【正文】 系統(tǒng)外部環(huán)境技術框架管理框架n 以 ISO 27000系列為基礎建立 ISMS（ Information Security Management System，信息安全管理體系 ），在符合性方面滿足法規(guī)遵從要求n 以統(tǒng)一安全策略為基礎，綜合運用技術策略與管理策略最佳實踐：最佳實踐： H3C安全建設方案安全建設方案17n ISO 27000系列標準具有完整的規(guī)范體系，覆蓋要求、最佳實踐、實施指南、風險管理等各個方面n 以 ISO 27000為框架可以指導建設 滿足等級保護要求的信息安全架構(gòu)ISO 27000系列標準和術語定義ISO 27001信息安全管理體系要求 ISMS Requirements ISO 27002信息安全管理實踐準則ISO 27003實施指南ISMS Implementation guidelines ISO 27004度量 指標與衡量ISMS Metrics and measurement ISO 27006災難恢復和服務指南 ISO 27005風險管理指南Risk Management基于 ISO 27000建立信息安全架構(gòu)18安全需求隨業(yè)務需求演進安全滯后業(yè)務需求業(yè)務需求安全滿足現(xiàn)狀業(yè)務需求更新 ……阻礙安全領先牽引安全安全 IT基礎架構(gòu)基礎架構(gòu)業(yè)務現(xiàn)狀業(yè)務現(xiàn)狀 業(yè)務發(fā)展業(yè)務發(fā)展業(yè)務需求是無法超越的，但安全建設是可以先行的19基于 PDCA模型推動安全架構(gòu)演進部門工具部門工具企業(yè)工具企業(yè)工具戰(zhàn)略工具戰(zhàn)略工具核心競爭力核心競爭力信息化發(fā)展歷程數(shù)字化數(shù)字化IT產(chǎn)品化 IT系統(tǒng)化 IT集中 化 IT集 成 化 IT資源化 主要矛盾：非授權(quán)訪問主要矛盾：業(yè)務不穩(wěn)定主要矛盾：資料丟失主要矛盾：跨域訪問主要矛盾：動態(tài)業(yè)務PDCA的演進的演進發(fā)起者：系統(tǒng)用戶解決方案：主機防病毒發(fā)起者：網(wǎng)絡管理員解決方案：網(wǎng)絡防病毒防火墻系統(tǒng)入侵檢測發(fā)起者：技術主管解決方案：分域防護入侵抵御終端控制發(fā)起者：CIO解決方案：統(tǒng)一規(guī)劃統(tǒng)一管理風險控制發(fā)起者：CEO解決方案：機構(gòu)戰(zhàn)略決策生命周期管理機構(gòu)內(nèi)部控制執(zhí)行計劃檢查行動安全建設規(guī)律 安全基線更新 安全基線更新安全基線更新安全基線更新20信息安全等級保護政策H3C等級保護建設思路H3C等級保護解決方案H3C安全產(chǎn)品線簡介21H3C在等級保護建設過程中能夠參與的工作安全控制過程方法確定系統(tǒng)等級安全規(guī)劃 設計實施 運行 /維護確定安全需求設計安全方案安全建設安全測評運行監(jiān)控維護響應特殊需求等級需求基本要求產(chǎn)品使用選型系統(tǒng)監(jiān)控測評準則流程方法監(jiān)控流程應急預案應急響應Plan Do Check Action等保建設過程：基于等保建設過程：基于 PDCA、遵從公安部信息安全等級保護規(guī)范！、遵從公安部信息安全等級保護規(guī)范！ 應急響應應急響應評估咨詢評估咨詢 方案設計方案設計 周期性檢測周期性檢測22H3C SecCare安全服務體系安全三要安全三要素素人人流程流程 技術技術培訓培訓咨詢咨詢評估評估n 安全咨詢 以 ISO 17799/2700 GB/T 17859等級保護規(guī)范為基礎，以安全最佳實踐為模板，提供一種切實可行的安全建設的思路。n 安全培訓 提供針對 CIO/信息主管、主要工程師和一般用戶的不同的培訓課程，全面提高安全意識和技術能力。H3C SecCare 安全服務體系安全服務體系23網(wǎng)絡安全技術體系 iSPN局部安全 全局安全 智能安全端到端安全解決方案X86 ASIC NP FPGA Multicore萬兆安全平臺FW/VPN/UTM/IPS/... EAD/AntiVirus... SecCenter/SecBlade/ACG...CRM ERP OASCM P2P ...IT 應用24遠程安全接入 邊界防護安全統(tǒng)一管理平臺內(nèi)網(wǎng)控制 行為監(jiān)管數(shù)據(jù)中心保護五大解決方案25SecCenter大型分支SecPath 防火墻中小型分支 IPSec VPNIPSec+GRE VPN移動用戶BIMSSSL VPN合作伙伴IPSec VPN內(nèi)部網(wǎng)InterVPN ManagerSecPath 防火墻SecPath 防火墻SecPath 防火墻SecPath 防火墻安全管理平臺n VPN是成本最低、應用最廣泛的接入技術，預計 2023年 14億人民幣空間 《 計世資訊 》H3C遠程安全接入解決方案方案描述216。SecCenter ： 實現(xiàn) 全網(wǎng)安全 統(tǒng) 一管理216。26等保滿足性 —— 可滿足的一級技術目標O16. 應具有對傳輸和存儲數(shù)據(jù)進行完整性檢測的能力O18. 應具有合理使用和控制系統(tǒng)資源的能力O19. 應具有設計合理、安全網(wǎng)絡結(jié)構(gòu)的能力O114. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行控制的能力O115. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行控制的能力O116. 應具有對用戶進行標識和鑒別的能力O117. 應具有保證鑒別數(shù)據(jù)傳輸和存儲保密性的能力27等保滿足性 —— 可滿足的二級技術目標O211. 應具有對傳輸和存儲數(shù)據(jù)進行完整性檢測的能力O212. 應具有對硬件故障產(chǎn)品進行替換的能力O213. 應具有系統(tǒng)軟件、應用軟件容錯的能力O214. 應具有軟件故障分析的能力O215. 應具有合理使用和控制系統(tǒng)資源的能力O216. 應具有記錄用戶操作行為的能力O222. 應具有對傳輸和存儲中的信息進行保密性保護的能力O224. 應具有限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O225. 應具有能夠檢測對網(wǎng)絡的各種攻擊并記錄其活動的能力O227. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行控制的能力O228. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行控制的能力O229. 應具有對資源訪問的行為進行記錄的能力O230. 應具有對用戶進行唯一標識的能力O231. 應具有對用戶產(chǎn)生復雜鑒別信息并進行鑒別的能力O235. 應具有保證鑒別數(shù)據(jù)傳輸和存儲保密性的能力O237. 應具有非活動狀態(tài)一段時間后自動切斷連接的能力O238. 應具有網(wǎng)絡邊界完整性檢測能力28等保滿足性 —— 可滿足的三級技術目標O314. 應具有監(jiān)測通信線路傳輸狀況的能力O315. 應具有及時恢復正常通信的能力O316. 應具有對傳輸和存儲數(shù)據(jù)進行完整性檢測和糾錯的能力O317. 應具有系統(tǒng)軟件、應用軟件容錯的能力O318. 應具有軟件故障分析的能力O319. 應具有軟件狀態(tài)監(jiān)測和報警的能力O320. 應具有自動保護當前工作狀態(tài)的能力O321. 應具有合理使用和控制系統(tǒng)資源的能力O322. 應具有按優(yōu)先級自動分配系統(tǒng)資源的能力O333. 應具有使重要通信線路及時恢復的能力O334. 應具有限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O335. 應具有合理分配、控制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源的能力O336. 應具有能夠檢測、分析、響應對網(wǎng)絡和重要主機的各種攻擊的能力O338. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行嚴格控制的能力O339. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制的能力O344. 應具有保證鑒別數(shù)據(jù)傳輸和存儲保密性的能力O345. 應具有對用戶進行唯一標識的能力O351. 應具有對傳輸和存儲中的信息進行保密性保護的能力O352. 應具有防止加密數(shù)據(jù)被破解的能力O353. 應具有路由選擇和控制的能力O354. 應具有信息源發(fā)的鑒別能力O355. 應具有通信數(shù)據(jù)完整性檢測和糾錯能力O357. 應具有持續(xù)非活動狀態(tài)一段時間后自動切斷連接的能力O358. 應具有基于密碼技術的抗抵賴能力O359. 應具有防止未授權(quán)下載、拷貝軟件或者文件的能力O361. 應具有切斷非法連接的能力O362. 應具有重要數(shù)據(jù)和程序進行完整性檢測和糾錯能力O366. 應具有保證重要業(yè)務系統(tǒng)及時恢復運行的能力29等保滿足性 —— 可滿足的四級技術目標O415. 應具有監(jiān)測通信線路傳輸狀況的能力O421. 應具有合理使用和控制系統(tǒng)資源的能力O422. 應具有按優(yōu)先級自動分配系統(tǒng)資源的能力O423. 應具有對傳輸和存儲數(shù)據(jù)進行完整性檢測和糾錯的能力O436. 應具有使重要通信線路及時恢復的能力O437. 應具有限制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源使用的能力O438. 應具有能夠檢測、集中分析、響應、阻止對網(wǎng)絡和所有主機的各種攻擊的能力O439. 應具有合理分配、控制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源的能力O441. 應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行嚴格控制的能力O442. 應具有對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制的能力O447. 應具有保證鑒別數(shù)據(jù)傳輸和存儲保密性的能力O448. 應具有對用戶進行唯一標識的能力O449. 應具有對同一個用戶產(chǎn)生多重鑒別信息，其中一個是不可偽造的鑒別信息并進行多重鑒別的能力O453. 應具有對傳輸和存儲中的信息進行保密性保護的能力O455. 應具有防止加密數(shù)據(jù)被破解的能力O456. 應具有路由選擇和控制的能力O457. 應具有信息源發(fā)的鑒別能力O459. 應具有持續(xù)非活動狀態(tài)一段時間后自動切斷連接的能力O460. 應具有基于密碼技術的抗抵賴能力O461. 應具有防止未授權(quán)下載、拷貝軟件或者文件的能力O463. 應具有切斷非法連接的能力O464. 應具有重要數(shù)據(jù)和程序進行完整性檢測和糾錯能力O468. 應具有保證通信不中斷的能力O469. 應具有保證業(yè)務系統(tǒng)不中斷的能力30方案涉及產(chǎn)品與等級保護對應關系產(chǎn)品 等保一級 等保二級 等保三級 等保四級防火墻 /VPN網(wǎng)關 必選 必選 必選 必選SecKey身份認證令牌 推薦 必選 必選 必選BIMS/VPN Manager網(wǎng)管推薦 推薦 必選 必選SecCenter安全管理中心