H3C-等级保护各级技术方案和推荐产品

H3C等级保护各级技术方案和推荐产品：身份鉴别和自主访问控制第一级第二级第三级第四级总体要求要求身份鉴别，允许设置给其他用户共享资源，限制非授权访问(同左)(增加)采用两种以上身份识别技术(同左)网络要求防火墙要求有包过滤功能；VPN接入控制粒度为用户组防火墙要求基于状态过滤；VPN接入控制粒度为单个用户对便携设备接入进行控制；VPN实现分级分权访问(SSLVPN)禁止通用协议和移动便携设备；禁止VPN用户接入主机和应用要求对操作系统和服务器进行访问控制(同左)要求两种接入控制措施，可采取Windows域账户/EAD/SSLVPN相结合方式(同左)：强制访问控制第一级第二级第三级第四级总体要求资源分类分级标记，按照访问控制策略，控制用户的访问要求(同左)主机要求主体粒度为用户级，对客体粒度为文件、数据库表/记录、字段级（建议采取SSLVPN配合数据库管理工具满足）(同左)：安全审计第一级第二级第三级第四级总体要求对网络、主机、应用系统、用户行为进行审计、记录(增加)对审计的统计分析和报警、确保审计记录可用，防止被非法访问和破坏(增加)违例行为中止要求网络、主机和应用要求网络流量分析(NetStream)服务器访问和上网行为审计(ACG)对日志进行收集分析，输出审计报表；并增加抗抵赖要求(SecCenter)安全事件统一管理审计(SecCenter)，跟踪监测到的安全侵害事件，并终止违规进程(安全联动)：完整性和保密性保护第一级第二级第三级第四级总体要求数据和信息完整性要求(增加)对信息加密、防泄漏、可重用要求(增加)对信息完整性要求，重要信息恢复要求(同左)网络要求关注带宽和拓扑合理性硬件冗余设计(双机热备)和防地址欺骗功能QoS功能，配置恢复应用要求无对敏感信息加密(VPN)非对称密钥加密(SSLVPN)硬件设备加密(网关+USBKey)数据要求有选择的备份具备自动备份功能剩余数据要清除重要系统本地热备，异地备份(H3CCDP方案)重要系统本/异地热备(H3CCDP方案)：边界保护第一级第二级第三级第四级总体要求防止非授权外联要求(增加)防止非授权接入、防止信息非授权交换(同左)网络要求防止内部用户非法外联(FW,IPS,UTM,ACG)(增加)防止非法接入网络(EAD)(增加)信息内容进行过滤(ACG,UTM开启URL\邮件过滤功能)：资源控制第一级第二级第三级第四级总体要求分配用户资源使用权限，保护主机和系统资源要求(增加)对系统软硬件资源进行配置和检测，对违规使用行为进行报警要求(增加)系统管理员配置和检测资源，安全管理员分配资源权限应用和主机要求通过FW控制单个用户和系统总共连接数ACG控制单个用户对系统资源的使用；ASE/LB对服务资源进行检测和分配全部资源采取优先级访问；限制违规终端登陆：入侵防范和恶意代码防范第一级第二级第三级第四级总体要求要求防范病毒等恶意代码(增加)检测入侵攻击网络、系统行为要求(增加)防范恶意代码入侵、植入、发作、传播要求，报警和清除要求(增加)实时报警和清除措施网络、主机和应用要求重要服务器安装杀毒软件，并实时升级(EAD自动完成)服务器和重要终端安全杀毒软件；边界有入侵检测和防病毒网关(推荐具有专业病毒库的IPS实现(增加)攻击日志记录，通过安全管理中心SecCenter记录入侵源、目的、类型、时间等(增加)入侵实时告警、阻断；所有服务器和终端安装杀毒软件：可信路径设置第一级第二级第三级第四级总体要求要求建立安全通信路径主机要求初始登录或鉴别时，与系统建立一条安全的信息传输通路。(如通过手机短信传送密码)：系统防渗透措施第一级第二级第三级第四级总体要求要求重要应用程序隔离，数据结果可信验证，部件可信连接网络、主机和应用要求除了边界外，内部增加安全隔离措施(内网控制方案的区域隔离)及对应解决方法第一级第二级第三级第四级总体要求要求进行集中安全管理和控制(同左)网络、主机和应用要求建立安管中心统一收集日志，下发安全策略，统一升级病毒特征库(SecCenter，iMC)(同左)：备份与恢复第一级第二级第三级第四级总体要求要求系统资源本、异地备份，能够有效恢复(同左)网络和数据要求对重要业务本地热备、异地备份(CDP方案)，网络设备、通信线路和服务器硬件冗余所有数据本/异地实时备份，并且有灾备要求(CDP方案)：密码技术应用第一级第二级第三级第四级总体要求要求采用密码技术支持身份鉴别等其他安全功能(同左)应用要求密码技术进行会话初始化验证(基于非对称加密的SSLVPN)(同左)及对应解决方法第一级第二级第三级第四级总体要求要求基本的防水、火、雷、潮等，以及设备、设施、介质防盗防破坏(增加)基本的电磁防护需求(增加)出入口、内部环境电子设备监控，人员进出控制，增加环境安全防护强度，重要设备电子屏蔽(同左)物理要求基建要求基建要求H3CiVS智能监控方案(同左)等保一级技术方案设计思路在网络边界和数据中心前端部署防火墙进行包过滤内部核心可以通过SecBlade防火墙插卡进行包过滤用IPSec或SSLVPN将远程接入控制到用户组重要服务器安装杀毒软件(推荐)iMC对所有网络、安全设备统一管理防火墙广域网城域网Internet服务器区SecPath/DPtech防火墙SecBlade防火墙开启VPN功能移动用户SecPath/DPtech防火墙智能网管中心iMC等保二级技术方案设计思路双机热备实现硬件冗余设计防火墙必须具备状态过滤功能SSLVPN实现远程接入控制粒度到单个用户NetStream实现内部网流分析ACG实现对外访问审计和非法外联检测带有专业病毒库的IPS实现入侵检测和病毒网关功能(推荐)SecCenter对安全事件进行记录并自动输出报表数据中心区分支机构SecPath/DPtech防火墙广域网城域网InternetSecPathACGSecPath/DPtechUTM配置SSLVPN功能SecBladeFW/NetstreamSecBladeFW/IPS安全管理中心SecCenter移动用户SecBladeFW/IPS智能网管中心iMC等保三级技术方案设计思路安全管理中心SecCenter分析审计数据，输出报表；iMC对所有设备统一下发配置和管理。EAD/SSLVPN与Windows域账户结合，实现两种认证方式EAD进行用户接入内网控制数据中心前部署SSLVPN，实现控制粒度到用户和文件数据中心前部署应用加速(ASE)/负载均衡(LB)，进行服务器健康检测和应用优先级调度CDP(连续数据保护)方案进行数据备份和恢复iVS(智能监控)方案进行内部环境和出入人员监控移动用户DPtech防火墙DPtechIPSDPtechUTM安全管理中心SecCenter安全管理平台智能网管中心iMCH3CiVS智能监控方案H3CCDP连续数据保护方案EADEADEADSecBladeFW/LBIPS/SSLVPN系列IV5000IV5000IX5000系列IX3000系列IX1000系列生产卷C快照快照快照备份卷B生产卷A生产卷B快照快照快照备份卷C万兆千兆快照快照快照备份卷A在线/近线存储1.可达秒级的最佳数据恢复技术2.自动连续快照保护，预防软灾难3.完善的数据库一致性技术4.备份数据立即检查及恢复验证5.支持广域网保护，可扩展为容灾模式视频监控与智能视频分析系统的集成•智能分析系统可以对实时图像的内容进行分析，分析图像中一个或多个人、物、车辆的移动轨迹，实现对警戒区闯入、遗留物、受保护物品移动、违章停车、警戒区域人员徘徊、人群异常聚集、抢劫抢夺、打架斗殴等的自动检测。•还可以实现视频诊断、人流统计、事后图像超清晰处理等增值业务。•智能视频系统将自动分析结果反馈给H3C监控系统实现各项联动功能。H3CiVS智能监控方案等保四级基本解决方案禁止移动VPN用户接入通过安全联动实现监控并终止违规进程(安全设备上报安全事件、SecCenter、iMC联动EAD或者交换机，对威胁源头进行下线、关闭端口处理)应用控制网关(ACG,UTM)开启URL、邮件过滤等功能进行敏感内容过滤防火墙DPtechIPSDPtechUTM安全管理中心SecCenter安全管理平台智能网管中心iMCH3CiVS智能监控方案H3CCDP连续数据保护方案EADEADEAD安全联动方案：——跟踪监测安全侵害事件，并终止违规进程核心交换机安全管理中心SecCenter智能网管中心iMC安全管理平台2、设备自动处理后，同时将日志上报给安全管理平台。5、iMC对该用户进行告警、下线等处理EADEADEAD1、用户进行非法或非授权行为告警SecBlade补丁/病毒库/安全代理服务器IPS防火墙3、Seccenter根据预定策略，将需要联动的告警通过iMC进行下发服务器区告警告警，SecCenterH3CSecBladeFW/IPS/NetStream/ACG3DPtechFW/IPS/UTMH3CSecCenter,EAD,CDP连续数据保护方案,iVS职能监控方案H3CSecBladeFW/IPS/NetStream/ACG/SSLVPN4DPtechFW/IPS/UTMH3CSecCenter,EAD,CDP连续数据保护方案,iVS职能监控方案H3CSecBladeFW/IPS/NetStream/ACG/SSLVPN