天融信“等级保护安全体系”理念

网络卫士主机监控与审计系统技术白皮书目录第一章前言 (1)第二章产品概述 (1)2.1产品架构 (2)2.2设计依据 (3)第三章功能简介 (3)3.1统一安全策略管理 (3)3.2集中补丁管理及软件分发 (3)3.3终端行为监控 (3)3.4终端系统状态监控 (4)3.5非法外联监控 (5)3.6非法内联监控 (5)3.7终端设备监控 (5)3.8移动存储介质管控 (5)3.9文件监控及网络共享监视 (5)3.10终端敏感信息检查 (5)3.11终端流量监控 (6)3.12安全审计 (6)3.13安全报警 (6)3.14资产管理 (7)3.15与天融信TopAnalyzer的完美整合 (7)3.16系统管理责权分立 (7)第四章产品优势与特点 (7)第五章产品性能指标 (7)第六章运行环境与部署 (8)6.1运行环境 (8)6.2产品应用部署 (8)6.2.1局域网应用部署 (8)6.2.2广域网应用部署 (9)第七章产品资质 (10)第八章关于天融信 (10)第一章前言随着计算机网络技术的飞速发展与应用，各行业信息化办公已经得到普及。

各单位经过多年的信息化建设，单位内部网络应用日益复杂，主要体现在网络分布广泛、终端数量庞大、业务应用系统越来越多。

虽然大部分单位都部署了防火墙、漏洞扫描等网络边界安全设备，但是由于业务运行保密性需求越来越高，边界防御产品无法对员工的个人行为进行管制，网络中的终端PC的安全运行无法得到保障，使得单位内部网络想日常运营存在重大的安全隐患，内部网络中的大量敏感信息也受到严重威胁。

来自网络内部终端PC的安全威胁成为众多安全管理者需要面临的新问题，主要体现在以下几方面：1)移动办公设备、终端PC以及存储介质随意接入内网该如何防范。

2)内网中的涉密设备非法连接外网该如何防范。

3)网络中占用大量带宽的终端如何才能及时发现。

4)如何及时发现网络中的终端设备的系统漏洞并自动分发、安装补丁。

.天融信等级保护解决方案天融信通过自身的安全产品、安全服务，可协助用户完成等级保护各个阶段的建设，确保用户严格按照等级保护的过程规划并建设自己的安全保障体系，更好地支撑应用和业务的开展，具体提供的服务包括：•等保定级服务：在用户等级保护建设的定级阶段提供，天融信将协助用户对信息系统进行划分，并根据信息系统的价值确定信息系统的保护等级，等级确定后协助用户完成保护等级的备案工作；•等保评估服务：在用户等级保护建设的规划阶段提供，天融信针对用户的信息系统进行全面的评估，根据评估的结果和信息系统确认的保护等级，结合“信息系统安全等级保护基本要求”中对各级别信息系统的技术和管理要求，调整相应的安全保护措施，并完成安全保障系统的整体规划；•等保管理整改服务：在用户等级保护建设的整改阶段提供，天融信将根据等级保护基本管理要求，结合用户的实际需求，协助用户建设相应的组织体系、策略体系、运行体系，从而全面提升用户安全管理的层次和能力；•等保技术整改集成：在用户等级保护建设的整改阶段提供，天融信将根据等级保护基本技术要求，结合用户的实际需求，协助用户完成安全设备的选型、采购、安装、策略配置等活动，协助用户搭建完善的技术防护系统，保障应用系统的安全可靠；•等保测评支持服务：在用户等级保护建设的测评阶段提供，在完成等级保护整改活动后，天融信将协助用户，准备测评材料，在测评过程中提供技术支持服务。

1.2.天融信等级保护定级在用户等级保护建设的定级阶段提供。

系统定级是进行等级保护规划和建设的前提，是等级保护建设的起点，目前国家已出台文件要求各行业用户根据自己的实际情况，进行信息系统的划分和定级，天融信可协助用户对信息系统进行识别和描述，明确保护对象，对信息系统的子系统进行划分，确定用户信息系统以及子系统的安全等级。

定级阶段，天融信将根据国家相关主管部门的要求和指南，协助用户完成定级对象确认、划分子系统以及子系统的定级和备案工作。

天融信等级保护解决方案介绍天融信技术服务副总裁田野Tian_ye@等级保护基本需求•政策要求－符合等级保护的要求–系统定级并备案–系统达到《基本要求》相应级别的指标–符合《测评准则》要求，并通过测评•实际需求－满足客户实际要求–融合现有的安全体系或安全设施–同时满足客户的其他符合性要求，如SOX，行业标准等–适应业务特性与安全要求的差异性，并满足超过指标的高要求–需要整体考虑所有系统，统一进行安全建设和管理–需要建立长效机制，可持续运行、发展和完善等级保护实施中的几个难点•如何融合现在安全设施，并满足客户的其他符合性要求，形成一套体系，而不是几套体系并存•如何反映行业形象与业务特性，反映安全要求的差异性，并满足超过指标的高要求•标准中从“单个系统”出发，是各系统单独建设，还是统一建设？如何避免形成信息孤岛和重复建设？•如何避免成为一次“运动”，能够建立长效机制，可持续发展，真正对实际工作有帮助？等级保护需求分析•融合现有安全设施基础上，融合客户的其他符合性要求，从整体出发，统一建设/改造一套符合等级保护制度的安全体系–采用安全域框架设计和风险评估的方法，反映行业形象与业务特性，反映安全要求的差异性，并满足超过指标的高要求–采用统一安全平台建设基础上各系统单独保护的方法，解决各系统单独保护形成信息的孤岛和分散重复建设–采用建立一套安全运维体系的方法，来建立长效机制，做到可持续运行、发展和完善组织体系技术体系安全域框架设计方法终端管理和防病毒集中管理平台安全管理运行中心终端管理和防病毒集中管理平台全网统一监控和审计平台终端管理和防病毒集中管理平台设备安全配置与加固基础设施安全各主机网络设备网络安全监控审计第三方统一安全接入平台数据备份与冗灾平台应用系统安全增强各应用系统认证授权数据安全加密应用安全安全管理平台安全平台＋各系统保护方法物理安全项目建设安全管理安全风险管理安全运行维护安全体系的建设制定企业或部门级体系制定总体安全体系按要求开展工作安全目标安全要求提出安全规范、要求根据要求评估建设跟踪、定期审核安全建设工作按要求进行安全建设工作申请立项提供项目安全说明弱点评估系统加固安全事件处理按要求进行建设应急响应计划定期评估安全现状监控、审计安全现状安全预警提出规范、要求设备安全维护系统安全维护考核和检查落实规范、要求制定运维作业计划总部层面省级层面系统层面安全运行体系设计方法等级保护体系安全措施框架安全策略体系安全技术体系身份认证加密加固审核跟踪访问控制防恶意代码监控备份恢复管理制度组织职责技术标准规范信息安全政策安全组织教育培训人员职责人员安全安全组织体系安全体系建设项目建设安全管理安全风险管理与控制安全运行与维护安全运行体系安全管理运行中心技术体系安全教育、培训与资质认证组织体系安全策略与流程推广实施策略体系安全风险管理与控制保护对象框架日常安全运行与维护统一监控与审计管理平台终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台应用加密平台第三方统一安全接入平台统一鉴别认证平台统一身份认证与授权管理平台等级保护实施的通常流程7. 安全系统运营和维护中小型客户4.整改方案与计划3.下一年度系统测评5.本年安全项目建设6.整改后复核两类客户的方案分析•大型客户：大行业客户，2＋8行业–对安全要求很高，要求全价值链的服务和产品，建设周期3年以上，按规划进行–项目形式：咨询项目－系列集成项目－外包项目–方案：等级安全体系的咨询与实施•咨询（定级咨询，体系设计，安全规划，风险评估）•安全集成与产品提供•测评支持和安全运营外包•中小型客户–对安全要求一般，要求部分价值链，更接受产品，建设周期1－2年，按项目进行–项目形式：集成项目－售后服务–方案：等级保护一体化解决方案•定级咨询、方案设计、安全制度设计•安全集成与产品提供•测评支持和售后服务大型客户等级保护解决方案中小客户等级保护解决方案保需服务求政基等本服务信策要－保符级保总裁田野服务应别指标。

网络安全等级保护网络安全等级保护第一章概述随着信息技术的高速发展，网络已经成为现代社会和经济发展的重要基础设施。

但与此同时，网络安全问题也逐渐引起人们的关注。

网络安全等级保护是一种系统的网络安全管理措施，旨在对网络系统和信息进行全面的保护，确保网络的安全稳定运行。

本文将重点介绍网络安全等级保护的基本概念、原则、体系架构及实施方法等内容。

第二章基本概念2.1 网络安全等级保护的定义网络安全等级保护是指在网络系统中，按照一定的安全等级要求，对系统和信息进行分类管理，制定相应的安全策略和措施，提高网络的抗攻击和抵御能力，保护信息资产的完整性、可用性和机密性。

2.2 网络安全等级保护的目标网络安全等级保护的主要目标包括：防范恶意攻击和非法侵入，保护信息系统和信息的完整性、可用性和机密性，提高网络的抗攻击和抵御能力，确保网络的安全和稳定运行。

第三章原则3.1 需求分析原则在进行网络安全等级保护时，必须根据不同的应用需求和安全等级要求，进行全面的需求分析。

同时，还需要考虑安全性、可管理性、经济性等因素，综合评估系统的安全等级需求。

3.2 分级管理原则网络安全等级保护采用分级管理的原则，将系统和信息按照其重要性和敏感性进行分类管理。

不同等级的系统和信息需要制定相应的安全策略和措施，实施相应的技术和管理手段。

第四章体系架构4.1 系统分类网络安全等级保护根据不同的应用需求和安全等级要求，将系统和信息进行分类管理。

可以分为高级保密、秘密、机密、普通等级等。

不同等级的系统和信息需要制定相应的安全策略和标准。

4.2 安全策略网络安全等级保护需要制定相应的安全策略，包括网络安全管理制度、安全技术标准、安全保密措施等。

同时还要制定安全应急预案和应急处理措施，以应对网络安全事件的发生。

第五章实施方法5.1 安全技术手段网络安全等级保护可以采用多种安全技术手段，包括访问控制、防火墙、入侵检测和防御系统、加密技术等。

这些技术手段可以有效地提高网络的抗攻击和抵御能力，保护信息的安全。

网络卫士网站防护系统产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-400-610-5119+8610-800-810-5119目录1 产品简介.............................................................................................................................. - 3 -1.1 产品概述..................................................................................................................... - 3 -1.2 产品组成..................................................................................................................... - 4 -2 产品特点.............................................................................................................................. - 5 -2.1 恶意代码主动防御..................................................................................................... - 5 -2.2 可保护动态网页不被篡改........................................................................................... - 5 -2.3 先进的主动防护体系................................................................................................. - 6 -2.4 防止SQL注入 ........................................................................................................... - 6 -2.5 防跨站攻击................................................................................................................. - 7 -2.6 采用内核级安全加固技术........................................................................................... - 7 -2.7 自身抗网络攻击能力................................................................................................... - 7 -3 产品功能.............................................................................................................................. - 7 -4 运行环境.............................................................................................................................. - 8 -5 产品型号.............................................................................................................................. - 9 -6 产品典型应用.......................................................................................................................... - 9 -1产品简介随着世界科学技术的迅猛发展和信息技术的广泛应用，特别是我国国民经济和社会信息化进程的全面加快，互联网已经成为人们工作和生活不可或缺的部分。

目录1服务产生背景 (2)2服务概述 (3)3服务方式 (3)3.1驻场值守方式 (3)3.2定期巡检方式 (3)3.3远程值守方式 (3)3.4应急响应方式 (3)4服务内容 (4)4.1健康检查服务 (4)4.2安全事件审计服务 (4)4.3网络行为审计服务 (4)4.4运维监控与分析服务 (5)4.5敏感问题预警与告警服务 (5)4.6终端安全监控与策略优化服务 (6)4.7等级保护合规性运维服务 (6)4.8应急响应服务 (6)4.9安全通告、漏洞分析服务 (7)4.10知识库维护服务 (7)4.11服务器优化服务 (7)4.12数据库维护服务 (8)4.13功能性定制服务 (8)4.13.1报表定制服务 (8)4.13.2关联分析规则定制开发 (8)4.13.3设备解析定制服务 (9)4.13.4工单流程定制服务 (9)4.14产品升级服务 (9)4.15保修及延保服务 (9)5服务价值 (11)6天融信优势 (11)1 服务产生背景国际著名咨询调查机构Gartner集团的调查发现，在经常出现的问题中，源自技术或产品(包括硬件、软件、网络、电力失常及天灾等)方面的问题其实只占20%，而管理流程失误、人员疏失问题占80%。

经过多年的信息化建设，大多数企业已经建立起了比较完整的信息系统。

但是，在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的及时、有效处理。

因此，用户通过引入专业的信息安全服务团队，来保障自身信息系统的稳定安全运行，同时通过专业的安全运维服务，逐步构建动态、完整、高效的用户信息安全整体，形成能持续完善、自我优化的安全运维体系和安全管理体系，提高用户信息系统的整体安全等级，为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。

用户安全运维中面临问题：信息管理部门的人员有限，员工的精力有限安全管理制度体系不完善，安全责任制落实不到位安全技术能力方面或多或少的存在一定的限制安全产品众多，维护、升级不及时海量安全事件无法及时处理异常操作行为无法及时预警处理大量安全事件经验不足外界新技术无法更快更好的应用到内网正是针对用户在运维管理中存在的弊端，天融信依靠长期从事信息安全运维服务的经验，同时结合信息安全保障体系建设中运维体系建设的要求，遵循ITIL （最佳实践指导）、ISO/IEC 27000系列服务标准及《北京市电子政务IT运维服务支撑系统规范》等相关标准，建立了一整套信息安全运维管理的服务内容。

网络安全等级保护解读在当今数字化的时代，网络已经成为我们生活、工作和社会运转不可或缺的一部分。

从日常的社交娱乐到关键的政务、金融、医疗等领域，网络无处不在。

然而，随着网络的广泛应用，网络安全问题也日益凸显。

网络安全等级保护作为保障网络安全的重要手段，对于维护网络空间的稳定和安全具有至关重要的意义。

那么，什么是网络安全等级保护呢？简单来说，网络安全等级保护是指对网络（含信息系统、数据等）分等级实行安全保护，对网络中使用的安全产品按等级进行管理，对网络中发生的安全事件分等级响应、处置。

为什么要实施网络安全等级保护呢？首先，网络安全威胁日益严峻。

黑客攻击、网络病毒、数据泄露等事件层出不穷，给个人、企业和国家带来了巨大的损失。

通过实施网络安全等级保护，可以提前识别和防范潜在的安全风险，降低遭受攻击的可能性。

其次，法律法规的要求。

我国出台了一系列相关法律法规，明确要求关键信息基础设施运营者等应当按照网络安全等级保护制度的要求，履行安全保护义务。

再者，保障业务的正常运行。

一个安全可靠的网络环境能够确保业务的连续性和稳定性，避免因网络安全问题导致业务中断或数据丢失。

网络安全等级保护主要分为五个等级。

第一级是自主保护级，适用于一般的网络用户，其安全保护主要依靠用户自身的安全意识和基本的安全措施。

第二级是指导保护级，适用于一定规模的组织，需要在自主保护的基础上，接受一定的指导和监督。

第三级是监督保护级，适用于涉及重要信息系统的组织，需要接受较为严格的监督和检查。

第四级是强制保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，具有极高的安全要求。

第五级是专控保护级，适用于涉及国家核心领域的极其重要的系统，安全保护措施最为严格。

在实施网络安全等级保护的过程中，需要遵循一系列的原则和流程。

首先是定级，根据网络系统的重要程度、业务特点等因素，确定其所属的安全等级。

然后是备案，将定级结果向相关部门进行备案。

接着是建设整改，按照等级保护的要求，对网络系统进行安全建设和整改。

云数据中心边界的全七层防护作者：程彦博来源：《中国计算机报》2013年第37期数据中心正在逐渐进化为云数据中心。

当计算、存储资源虚拟化并池化之后，很显然，企业数据中心的网络和安全必须变革才能适应这种进化，才能使其称为真正的云数据中心。

新一代安全防护技术云数据中心的特点及应用模式正在使网络边界变得越来越模糊，这使云数据中心的边界安全防护需求和以往的应用场景相比也会有所不同，传统的边界安全体系已经不能再适应云环境。

要解决云数据中心的边界安全问题，必须依靠新一代数据中心边界防护技术。

天融信高级副总裁刘辉认为，新一代安全防护技术应该是智能化的“全网管控”技术，它包括“云端接入”安全技术、“应用防护”安全技术以及“虚拟环境”安全技术。

于是，天融信提出了高性能云数据中心边界安全防护解决方案。

TopConnect虚拟化接入与TopVPN智能集群相结合可以满足企业“云端接入”安全的需求；在物理边界部署一系列物理网关对各种非法访问、攻击、病毒等安全威胁进行深度检测与防御，同时，利用网关虚拟化技术还可以为不同租户提供虚拟网关租用服务，这就满足了“应用防护”安全的需求；TopVSP虚拟化安全平台为虚拟机之间的安全防护与虚拟化平台自身安全提供了相应解决方案，它可以满足“虚拟环境”安全的需求；TopPolicy智能化管理平台将全网的网络及安全设备进行有效整合，提供智能化的安全管控机制，从而满足企业“全网管控”安全需求。

全七层防护随着应用的多元化，用户的网络系统面临着复合型的安全威胁，防护需求也从传统的四层发展到了七层。

不仅如此，数据处理的流量和流程也在增加，不断挑战着网络安全设备的处理能力。

另外，云数据中心要实现全七层防护，就必须实现对数据的深度检测和还原。

天融信网关产品线高级产品经理马腾辉介绍，作为数据中心高性能边界防护解决方案的核心，天融信全系网关产品基于完全自主研发的安全操作系统TOS（Topsec Operating System），以多核硬件平台为基础，采用系统分层与引擎分组的设计思想，在确保高可靠性的基础上实现了高性能的设计目标。

附件2: 信息系统安全等级保护基本要求1 第一级基本要求1.1 技术要求1.1.1 物理安全1.1.1.1 物理访问控制（G1）机房出入应安排专人负责，控制、鉴别和记录进入的人员。

1.1.1.2 防盗窃和防破坏（G1）本项要求包括：a)应将主要设备放置在机房内；b)应将设备或主要部件进行固定，并设置明显的不易除去的标记。

1.1.1.3 防雷击（G1）机房建筑应设置避雷装置。

1.1.1.4 防火（G1）机房应设置灭火设备。

1.1.1.5 防水和防潮（G1）本项要求包括：a)应对穿过机房墙壁和楼板的水管增加必要的保护措施；b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。

1.1.1.6 温湿度控制（G1）机房应设置必要的温、湿度控制设施，使机房温、湿度的变化在设备运行所允许的范围之内。

1.1.1.7 电力供应（A1）应在机房供电线路上配置稳压器和过电压防护设备。

1.1.2 网络安全1.1.2.1 结构安全（G1）本项要求包括：a)应保证关键网络设备的业务处理能力满足基本业务需要；b)应保证接入网络和核心网络的带宽满足基本业务需要；c)应绘制与当前运行情况相符的网络拓扑结构图。

1.1.2.2 访问控制（G1）本项要求包括：a)应在网络边界部署访问控制设备，启用访问控制功能；b)应根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包出入；c)应通过访问控制列表对系统资源实现允许或拒绝用户访问，控制粒度至少为用户组。

1.1.2.3 网络设备防护（G1）本项要求包括：a)应对登录网络设备的用户进行身份鉴别；b)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；c)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

1.1.3 主机安全1.1.3.1 身份鉴别（S1）应对登录操作系统和数据库系统的用户进行身份标识和鉴别。