• 020-89285383

品質保證  解決方案

網站(zhàn)安全監測與防護方案

背景需求

近些(xiē)年來(lái),随着互聯網技術的發展以及電子(zǐ)商(shāng)務(wù)和電子(zǐ)政務(wù)的普及,各企事(shì)業單位、黨政機關(guān)面臨的網站(zhàn)安全問題也(yě)随之凸顯出來(lái)。為(wèi)了(le)繼續發揮互聯網經濟産生(shēng)效益和優勢,需要我們必須積極應對網站(zhàn)安全問題。 目前,國内安全形勢非常嚴峻,網站(zhàn)面臨的安全問題大量湧現(xiàn)。首先,網站(zhàn)系統需要應對和處置的安全隐患持續增長,需要企業和機構進一(yī)步加強隐患的管理(lǐ)和控制。據CNCERT發布的《2015年中國互聯網網絡安全報(bào)告》顯示,2015年CNVD共收錄了(le)安全漏洞8080個(gè),其中高危漏洞收錄數量高達2909個(gè),該數字較2014年增長21.5%。其次,網站(zhàn)安全事(shì)故頻發,據CNCERT發布的《2015年中國互聯網網絡安全報(bào)告》顯示,2015年,CNCERT/CC共接收境内/外報(bào)告的網絡安全事(shì)件126916起,平均每天發生(shēng)安全事(shì)件347起,數量非常驚人(rén),其中有24550個(gè)網站(zhàn)被篡改,40782個(gè)境内主機被植入木馬或僵屍程序。最後,與網站(zhàn)相關(guān)的重大安全事(shì)故也(yě)頻頻發生(shēng),國内外各知名企業相繼發生(shēng)數起重大安全事(shì)故。其中,京東商(shāng)城洩露12G用戶數據、雅虎洩露5億用戶資料、LinkedIn旗下(xià)的在線學習網站(zhàn)Lynda.com被竊取950萬賬号信息等事(shì)件都直接導緻公衆個(gè)人(rén)信息的洩露。與此同時(shí),國家對網站(zhàn)安全問題越來(lái)越重視(shì),并且不斷加大網站(zhàn)安全的監管力度。中央網絡安全和信息化(huà)領導小組成立後,發布的第一(yī)個(gè)文件就(jiù)是《關(guān)于加強黨政機關(guān)網站(zhàn)安全管理(lǐ)的通知》,該文就(jiù)各級黨政機關(guān)及企事(shì)業單位開展網站(zhàn)安全管理(lǐ)提出若幹條指導意見。另一(yī)方面,國家各級主管部門加大檢查力度,近幾年多次開展重要保障活動及安全專項檢查工作(zuò),并且每次重要保障任務(wù)和專項檢查工作(zuò)的重點都包括對互聯網網站(zhàn)檢測和治理(lǐ)。

問題和困難

當前,各企業在網站(zhàn)安全管理(lǐ)上(shàng)存在的問題主要集中在網站(zhàn)的資産管理(lǐ)、漏洞管理(lǐ)、威脅管理(lǐ)、事(shì)件管理(lǐ)四個(gè)方面。 在資産管理(lǐ)方面,問題主要體(tǐ)現(xiàn)在企業缺乏有效的手段對網站(zhàn)等資産的變更進行監測和管理(lǐ),導緻新(xīn)上(shàng)線的網站(zhàn)或變更的網站(zhàn)在未經安全檢查和采取防護措施的前提下(xià)直接暴露在互聯網上(shàng)。通常這(zhè)些(xiē)網站(zhàn)存在大量安全隐患,非常容易被攻擊者所利用。

在漏洞管理(lǐ)方面,企業所面臨的困難主要是未能(néng)對網站(zhàn)漏洞及隐患進行定期排查和處置,導緻未發現(xiàn)、未處置的漏洞數量越來(lái)越多。通常有兩方面原因導緻漏洞數量的增加,一(yī)方面是用戶網站(zhàn)内容變更可能(néng)會引入的新(xīn)漏洞,另一(yī)方面是先前網站(zhàn)建設過程中引入的第三方代碼會被不斷發現(xiàn)存在新(xīn)漏洞。

在威脅管理(lǐ)方面,企業面臨的主要問題在于缺乏專職人(rén)員(yuán)對安全防護設備及其防護策略進行維護,使得安全設備檢測效能(néng)逐步降低(dī)。效能(néng)降低(dī)主要體(tǐ)現(xiàn)在兩個(gè)方面,一(yī)方面是監測和防護新(xīn)威脅的安全策略不能(néng)及時(shí)得到應用;另外一(yī)方面是網站(zhàn)業務(wù)系統的不斷變更導緻原先的防護規則逐步失效。在事(shì)件管理(lǐ)方面,企業面臨的主要問題是缺乏有效手段及時(shí)發現(xiàn)安全事(shì)故,使得安全事(shì)故造成影響和損失不斷增加。

 

方案介紹

網站(zhàn)安全監測與防護解決方案能(néng)夠通過事(shì)前漏洞分(fēn)析與預防、事(shì)中威脅監測與防護、事(shì)後安全事(shì)件監測與響應,迎接國家合規檢查、抵禦外部威脅、降低(dī)安全風(fēng)險。

 

網站(zhàn)安全監測與防護解決方案,主要由網站(zhàn)安全管理(lǐ)系統、網站(zhàn)安全監測引擎以及網站(zhàn)安全防護引擎構成。網站(zhàn)安全管理(lǐ)系統能(néng)夠為(wèi)用戶提供在線的、可視(shì)化(huà)的管理(lǐ)工具,幫助用戶查看和處置網站(zhàn)安全相關(guān)的資産事(shì)件、漏洞事(shì)件、威脅事(shì)件和安全事(shì)故。網站(zhàn)安全監測引擎可以幫助用戶監測網站(zhàn)變更的情況、網站(zhàn)存在安全漏洞以及發生(shēng)的安全事(shì)故。網站(zhàn)安全防護引擎采用Web應用防火(huǒ)牆産品,部署在用戶側,用于各類web應用攻擊的檢測和阻斷。 網站(zhàn)安全監測與防護解決方案是通過以下(xià)方式來(lái)幫助用戶完成網站(zhàn)的資産管理(lǐ)、漏洞管理(lǐ)、威脅管理(lǐ)以及事(shì)件管理(lǐ)。 在資産管理(lǐ)方面,網站(zhàn)安全監測與防護解決方案主要通過監測引擎為(wèi)指定的IP網段進行資産掃描,通過與現(xiàn)有資産比對發現(xiàn)新(xīn)上(shàng)線的網站(zhàn)及變更的網站(zhàn)系統,并及時(shí)向用戶通告。在用戶确認資産變更内容後,更新(xīn)現(xiàn)有資産列表并将變更的資産納入到安全監測與防護體(tǐ)系中,以便及時(shí)發現(xiàn)漏洞、威脅及事(shì)故。 在漏洞管理(lǐ)方面,主要通過網站(zhàn)安全監測引擎進行定期漏洞掃描,對暴露在公網上(shàng)的所有網站(zhàn)進行Web漏洞及系統漏洞掃描工作(zuò)。此後,由自動化(huà)驗證系統對于掃描發現(xiàn)的高中危漏洞進行漏洞驗證,将具有危害性的高中危漏洞信息通過網站(zhàn)安全管理(lǐ)系統和漏洞掃描報(bào)告直接推送用戶,用戶可以根據各類交付物中所羅列的漏洞詳情以及解決方案進行漏洞的整改加固。如(rú)果Web漏洞修複周期較長,用戶還可以通過網站(zhàn)安全管理(lǐ)系統委托進行漏洞預防工作(zuò)。對于修複的漏洞,用戶可以通過網站(zhàn)安全管理(lǐ)系統委托完成漏洞複驗的工作(zuò),從而完成整個(gè)漏洞生(shēng)命周期的閉環管理(lǐ)。 在威脅管理(lǐ)方面,網站(zhàn)安全監測與防護方案通過安全防護引擎進行威脅防護。防護引擎通過與雲的對接,可以定期對告警日志進行分(fēn)析判斷,并提供篩除誤報(bào)的策略優化(huà)建議(yì)。另外,雲也(yě)會提醒用戶對防護引擎的知識庫進行升級,以确保防護引擎可以對新(xīn)型威脅進行防護。 在事(shì)件管理(lǐ)方面,通過網站(zhàn)安全監測引擎對目标網站(zhàn)進行安全事(shì)故的日常監測,确保能(néng)夠在第一(yī)時(shí)間(jiān)發現(xiàn)網站(zhàn)挂馬、篡改、黑鏈、敏感内容、可用性通斷等多方面問題。在發現(xiàn)事(shì)件後,通過短信、網站(zhàn)安全管理(lǐ)系統及手機APP等多種方式第一(yī)時(shí)間(jiān)向用戶告警。另一(yī)方面用戶可通過網站(zhàn)安全管理(lǐ)系統委托通過網站(zhàn)安全防護引擎消除安全事(shì)件造成的影響。最後,本地應急響應工程師上(shàng)門協助用戶分(fēn)析事(shì)件原因,找到導緻事(shì)件發生(shēng)的根源,并提供加固建議(yì)和支持,消除存在的安全隐患。

 

方案優勢

       

網站(zhàn)安全監測與防護解決方案的六大核心優勢: 提供7*24小時(shí)的全天候服務(wù),發現(xiàn)安全問題後确保30分(fēn)鍾内通知用戶。 支持托管模式,0維護成本。 所有事(shì)件經過自動化(huà)技術和安全專家驗證,準确率接近100%。 提供短信、郵件、網站(zhàn)安全管理(lǐ)系統、手機APP等多元化(huà)通告方式,确保及時(shí)進行通告。 為(wèi)用戶提供漏洞智能(néng)補丁,對修複周期較長的漏洞提供預防措施。  通過網站(zhàn)安全管理(lǐ)系統,提供漏洞風(fēng)險、威脅攻擊、災害事(shì)故可視(shì)化(huà)展示,讓用戶一(yī)目了(le)然的洞悉全單位風(fēng)險、攻擊及災害分(fēn)布。

門戶網站(zhàn)安全解決方案

概述

門戶網站(zhàn)、網廳等Web網站(zhàn)是運營商(shāng)與客戶溝通的便捷通道,也(yě)是客戶辦理(lǐ)/使用相關(guān)業務(wù)的前端平台,還有一(yī)些(xiē)基于Web網站(zhàn)的業務(wù)平台,更是業務(wù)穩定運營的關(guān)鍵設施。這(zhè)些(xiē)Web網站(zhàn)一(yī)旦受到侵害将直接影響運營商(shāng)的品牌形象、信譽以及日常業務(wù)運營。 由于Web應用的開放(fàng)性、用戶的大衆性,使其成為(wèi)最佳的攻擊和威脅目标。随着web應用中間(jiān)件和應用平台的新(xīn)漏洞/弱點被發現(xiàn),針對性的病毒、木馬、蠕蟲及自動化(huà)的攻擊工具往往會很快(kuài)出現(xiàn),進而出現(xiàn)一(yī)波又一(yī)波Web攻擊浪潮,導緻服務(wù)器(qì)被控制、Web服務(wù)中斷、客戶信息被竊取、業務(wù)欺詐的事(shì)件的發生(shēng)。同時(shí),由于XSS、CSRF、Cookie竊取等攻擊導緻合法用戶的客戶端被控制、信息被竊取、被欺詐、被敲詐等事(shì)件發生(shēng),造成巨大的不良社會影響。 随着業務(wù)的發展,Web架構越來(lái)越複雜,使用的應用關(guān)鍵和技術越來(lái)越多,對其安全防護的難度越來(lái)越大,與此同時(shí),行業監管越來(lái)越嚴,懲治力度不斷加大,使運維、管理(lǐ)人(rén)員(yuán)面臨着嚴峻的挑戰。

安全解決方案

方案組成

本方案針對Web威脅的特點,從Web應用生(shēng)命周期的角度出發,重點覆蓋了(le)系統開發、測試和運行等環節,從事(shì)前、事(shì)中、事(shì)後等風(fēng)險管理(lǐ)角度出發,采用内、外的結合的防護手段,建立了(le)主動、縱深、多層面的安全保障體(tǐ)系,可以有效保護web應用的安全性,降低(dī)系統面臨的風(fēng)險。 安全防護方案組成如(rú)下(xià):

方案價值

保障網站(zhàn)服務(wù)的安全、可靠運行,提高客戶滿意度; 及時(shí)感知Web運營狀态,提升用戶訪問體(tǐ)驗; 大幅提高防護效果,有效抵禦各種攻擊,從而解決安全成本; 滿足來(lái)自監管部門的合規性要求; 提供安全攻擊證據,震懾非法攻擊者; 減少安全人(rén)員(yuán)負擔,提高安全運維效率; 維護和提升公司的品牌形象和商(shāng)業信譽。

方案特點和優勢

對安全漏洞

弱點進行管理(lǐ),防患于未然,降至安全成本; 通過代碼審計,最大限度的發現(xiàn)系統存在的安全漏洞/弱點,提早修補,降低(dī)成本。同時(shí),通過傳遞安全開發知識, 減少開發實現(xiàn)中的漏洞。 通過Web漏洞掃描系統,實現(xiàn)已知漏洞的自動化(huà)檢查,降低(dī)人(rén)員(yuán)投入。 通過安全設備的早期預警服務(wù),及時(shí)對新(xīn)發現(xiàn)漏洞的有效管理(lǐ)。

立體(tǐ)的安全防護體(tǐ)系,高針對性的防護措施

有效抵禦SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood等攻擊,并實現(xiàn)對網絡流量的清洗。 同時(shí),通過Web應用防火(huǒ)牆,對各種web應用攻擊進行防護,對HTTP/HTTPS訪問流量進行清洗; 通過集成了(le)傳統防火(huǒ)牆、入侵檢測防護、防病毒功能(néng)的下(xià)一(yī)代防火(huǒ)牆,對已知的各種攻擊、惡意代碼進行防護,并通過防火(huǒ)牆測試,實現(xiàn)對Web訪問的嚴格控制。

有效地監控、備份與恢複措施,徹底保障網站(zhàn)的完整性 在Web服務(wù)器(qì)上(shàng)部署基于主機的Web防護系統,有效檢測和阻斷各種web網頁、圖片、程序等資源的篡改攻擊; 對網站(zhàn)内容進行備份,一(yī)旦檢測到系統完整性受損,可以自動化(huà)進行系統恢複。

7*24小時(shí)外部安全監控和一(yī)流的外部專家支持 7*24小時(shí)對系統進行漏洞檢查、挂馬檢查、網頁篡改檢測、内容檢查,及時(shí)洞察系統的安全态勢; 在全國範圍内,模拟用戶對系統進行訪問平穩度、可用性檢測,保障用戶體(tǐ)驗。 一(yī)流的安全專家支持,協助用戶處理(lǐ)各種疑難雜症。

防護措施間(jiān)的關(guān)聯互動,大幅提升防護效果 網站(zhàn)安全檢測服務(wù)或Web漏洞掃描系統與Web應用防火(huǒ)牆進行聯動,一(yī)旦發現(xiàn)問題,自動化(huà)啓動相應的防護策略。 虛拟補丁技術提升了(le)安全防護水平,規避了(le)補丁管理(lǐ)中的各種問題。

全面的網站(zhàn)健康檢查,防止帶病上(shàng)崗、帶病投保; 上(shàng)線前評估和滲透測試,發現(xiàn)系統存在的結構性問題、集成性問題、安全配置問題,以及各種潛在的業務(wù)邏輯錯誤,并進行全面的安全加固,防止帶病上(shàng)崗。 通過安全檢查,評估系統是否已經受到了(le)侵害,是否含有惡意代碼,防止帶病投保。 通過Web安全掃描系統,對新(xīn)版系統進行檢查,防止引入新(xīn)漏洞。

可靠的安全審計措施,可供事(shì)件追溯和取證。 對Web網站(zhàn)的不良内容進行安全檢測; 對各種用戶的Web訪問行為(wèi)進行審計,并通過行為(wèi)基線,自動化(huà)發現(xiàn)各種潛在一(yī)場(chǎng)行為(wèi); 對重要的數據庫操作(zuò)行為(wèi)進行審計,發現(xiàn)各種非法行為(wèi)。 對各種攻擊行為(wèi)進行審計,便于進行事(shì)件追溯和定位,對事(shì)件處理(lǐ)提供有效支持。 支持法律取證。

統一(yī)安全管理(lǐ) 統一(yī)設備與日志管理(lǐ)平台,提供可視(shì)化(huà)的安全管理(lǐ)界面; 對安全設備的策略的統一(yī)管理(lǐ)和下(xià)發; 對日志數據的統一(yī)存儲,便于進行各種統計分(fēn)析; 提供豐富的報(bào)告分(fēn)析; 降低(dī)企業安全運維成本.

内網準入解決方案

對企業而言最大的變革是企業經營和管理(lǐ)方式的變革,信息化(huà)革命深刻影響着企業的經營方式,任何一(yī)個(gè)企業都離不開這(zhè)種變革,必須把信息化(huà)建設當成企業獲取競争優勢的最終選擇。因此,企業集團對信息技術的依賴程度越來(lái)越大,信息技術風(fēng)險成為(wèi)了(le)企業集團運營中所要考慮的重要方面。

面臨的挑戰

用戶信息未知:企業集團辦公、生(shēng)産大多較為(wèi)分(fēn)散,人(rén)員(yuán)複雜,随意或不受限制接入網絡現(xiàn)象頻發,内部用戶信息缺乏有效登記手段,人(rén)員(yuán)審計困難。
終端位置未知:企業内網終端數量、終端類型、終端分(fēn)布情況複雜,管理(lǐ)者無法對時(shí)間(jiān)進行事(shì)件定位;
資産信息未知:企業信息資産的數量随着企業不斷發展大量增加,如(rú)何對這(zhè)些(xiē)大量的信息資産進行有效的管理(lǐ),是企業集團安全管理(lǐ)面臨的巨大挑戰;
數據洩露風(fēng)險:内網數據信息可通過移動介質外傳,容易發生(shēng)信息洩密事(shì)件。
終端安全風(fēng)險:終端系統自身(shēn)安全性會嚴重影響内網安全,如(rú)病毒傳播、系統漏洞、弱口令破解等。

内網準入解決方案

用戶信息登記:采用豐富的實名制入網模式,内部、外部、臨時(shí)用戶分(fēn)别進行人(rén)性化(huà)的入網注冊登記,并結合管理(lǐ)員(yuán)審核、審批,确保内網用戶安全可靠。
網絡安全透視(shì):盈高科技産品提供衛星地圖般的設備搜索和定位方式,使網絡中的各種設備狀态不再是孤立的展現(xiàn),而是作(zuò)為(wèi)一(yī)個(gè)整體(tǐ)進行把控。
資産安全管控:全面收集内網軟硬件資産,全方位監控、展示資産變動情況,提升管理(lǐ)部門對信息設備相關(guān)信息資産的統計管理(lǐ)能(néng)力。 移動介質加密:人(rén)性化(huà)的移動介質注冊、審核機制,硬件級的安全加密技術,靈活的策略控制,在不影響用戶安全使用的前提下(xià)确保數據無從洩露。
終端安全加固:通過對網内終端的安全狀況量化(huà),并提供“一(yī)鍵式”智能(néng)修複功能(néng)對有潛在安全風(fēng)險的終端進行強制隔離和引導修複,從根本上(shàng)杜絕安全隐患。

方案價值

1、對外來(lái)人(rén)員(yuán)進行有效的管理(lǐ),防止其接入單位網絡訪問重要的服務(wù)器(qì),竊取單位的重要資料;另外,内網安全事(shì)件發生(shēng)時(shí),可追溯至責任人(rén)。
2、提高運維工作(zuò)效率,精确定位故障點,及時(shí)排查問題,成為(wèi)管理(lǐ)人(rén)員(yuán)提高管理(lǐ)效率的有效手段;
3、規範移動存儲設備的安全使用,明确工作(zuò)U盤和私人(rén)U盤的使用界限,減少文檔流失和病毒的進入;
4、提高終端設備的安全性和穩定性,減少漏洞攻擊事(shì)件的發生(shēng),避免系統漏洞、惡意軟件引發的安全事(shì)件;
5、有效地對公司終端的it資産和軟件資産進行審計,當發生(shēng)變化(huà)時(shí)及時(shí)進行報(bào)警;

超融合架構解決方案

超融合架構解決方案概述

超融合架構解決方案,融合了(le):計算(suàn)、網絡、存儲和安全四大模塊,通過全虛拟化(huà)的方式構建IT架構資源池。所有的模塊資源均可以按需部署,靈活調度,動态擴展。通過超融合一(yī)體(tǐ)機或者超融合操作(zuò)系統能(néng)夠在最短的時(shí)間(jiān)内,充分(fēn)利舊現(xiàn)有硬件基礎架構,将業務(wù)系統安全、穩定、高效的遷移到超融合平台中,并且為(wèi)後期邁向私有雲平台奠定基礎,從而能(néng)夠實現(xiàn)多租戶的管理(lǐ)及計費審計等功能(néng)。

超融合架構解決方案軟件架構主要包含三大組件(服務(wù)器(qì)虛拟化(huà)aSV、網絡虛拟化(huà)aNet、存儲虛拟化(huà)aSAN)和一(yī)個(gè)管理(lǐ)平台(虛拟化(huà)管理(lǐ)平台VMP)。硬件架構上(shàng),可以通過一(yī)體(tǐ)機的方式實現(xiàn)開機即用,也(yě)可以采用通用X86服務(wù)器(qì)實現(xiàn)基礎架構的承載。配合傳統的園區網交換機(背闆帶寬和交換容量夠用即可)即可完成整個(gè)平台的搭建,無需各種功能(néng)複雜、價格昂貴的數據中心級交換機。

超融合架構層

超融合架構層以服務(wù)器(qì)虛拟化(huà)為(wèi)底層架構,擴展出網絡虛拟化(huà)和存儲虛拟化(huà),通過所畫即所得的方式能(néng)夠快(kuài)速的構建出業務(wù)邏輯,實現(xiàn)虛拟資源的動态調度和靈活擴展,同時(shí)全網流量可視(shì),配置簡易直觀,運維靈活便捷

服務(wù)器(qì)虛拟化(huà)(aSV)

aSV虛拟化(huà)平台作(zuò)為(wèi)介于硬件和操作(zuò)系統之間(jiān)的軟件層,采用裸金(jīn)屬架構的X86虛拟化(huà)技術,實現(xiàn)對服務(wù)器(qì)物理(lǐ)資源的抽象,将CPU、内存、I/O等服務(wù)器(qì)物理(lǐ)資源轉化(huà)為(wèi)一(yī)組可統一(yī)管理(lǐ)、調度和分(fēn)配的邏輯資源,并基于這(zhè)些(xiē)邏輯資源在單個(gè)物理(lǐ)服務(wù)器(qì)上(shàng)構建多個(gè)同時(shí)運行、相互隔離的虛拟機執行環境,實現(xiàn)更高的資源利用率,同時(shí)滿足應用更加靈活的資源動态分(fēn)配需求,譬如(rú)提供熱遷移、HA等高可用特性,實現(xiàn)更低(dī)的運營成本、更高的靈活性和更快(kuài)速的業務(wù)響應速度。

網絡虛拟化(huà)(aNET)

網絡虛拟化(huà)aNet,通過提供全新(xīn)的網絡運營方式,解決了(le)傳統硬件網絡的衆多管理(lǐ)和運維難題,并且幫助數據中心操作(zuò)員(yuán)将敏捷性和經濟性提高若幹數量級。 深信服網絡虛拟化(huà)aNet方案通過和服務(wù)器(qì)虛拟化(huà)aSV相結合,在虛拟機和物理(lǐ)網絡之間(jiān),提供了(le)一(yī)整套完整的邏輯網絡設備、連接和服務(wù),包括分(fēn)布式虛拟交換機aSwitch、虛拟路(lù)由器(qì)aRouter、虛拟下(xià)一(yī)代防火(huǒ)牆vNGAF、虛拟應用交付vAD、虛拟vSSL VPN、虛拟廣域網優化(huà)vWOC等虛拟網絡、安全設備;然後,還可以支持VXLAN等增強網絡協議(yì),實現(xiàn)和物理(lǐ)網絡的無縫對接,簡化(huà)網絡的配置管理(lǐ);此外,還可以通過虛拟化(huà)管理(lǐ)平台,實現(xiàn)網絡拓撲部署、網絡故障探測等網絡管理(lǐ)功能(néng)。
從而,aNet虛拟網絡可以快(kuài)速完成不同應用系統的網絡部署,網絡配置的自動化(huà)調整,網絡故障排查等工作(zuò),提升網絡的管理(lǐ)運維效率,提升網絡就(jiù)緒、擴展速度,降低(dī)數據中心物理(lǐ)網絡的建設成本。

存儲虛拟化(huà)(aSAN)

深信服存儲虛拟化(huà)aSAN,基于集群設計,将服務(wù)器(qì)上(shàng)的硬盤存儲空間(jiān)組織起來(lái)形成一(yī)個(gè)統一(yī)的虛拟共享存儲資源池,即ServerSAN分(fēn)布式存儲系統,進行數據的高可靠、高性能(néng)存儲。分(fēn)布式存儲系統在功能(néng)上(shàng)與獨立共享存儲完全一(yī)緻;一(yī)份數據會同時(shí)存儲在多個(gè)不同的物理(lǐ)服務(wù)器(qì)硬盤上(shàng),提升數據可靠性;此外,再通過SSD緩存,可以大幅提升服務(wù)器(qì)硬盤的IO性能(néng),實現(xiàn)高性能(néng)存儲。同時(shí),由于存儲與計算(suàn)完全融合在一(yī)個(gè)硬件平台上(shàng),用戶無需像以往那樣購(gòu)買連接計算(suàn)服務(wù)器(qì)和存儲設備的SAN網絡設備(FC SAN或者iSCSI SAN)。

網絡功能(néng)虛拟化(huà)(NFV)

當前軟件定義網絡成為(wèi)了(le)技術發展的趨勢,深信服也(yě)率先在國内推出全系列的數據中心安全、優化(huà)産品(NGAF下(xià)一(yī)代防火(huǒ)牆、SSL VPN、AD應用交付、WOC廣域網優化(huà))軟件虛拟化(huà)解決方案。這(zhè)些(xiē)過去需要以專用硬件方式部署的産品,不再需要依賴專用的硬件,可以以軟件鏡像的方式,完美支持在Vmware、KVM、XEN等服務(wù)器(qì)虛拟化(huà)環境下(xià)的部署。從而極大的簡化(huà)政務(wù)雲數據中心網絡的架構,為(wèi)各個(gè)租戶的虛拟應用按需、靈活的虛拟擴展出各種安全和優化(huà)方案,同時(shí)還便于劃分(fēn)清楚各方的運維職責。

深信服超融合架構的優勢

1、提供更加完整的IT基礎架構虛拟化(huà)方案,涵蓋網絡、安全、存儲、計算(suàn)
2、管理(lǐ)運維更加便捷、簡單,零學習成本,讓IT架構所畫即所得
3、整體(tǐ)擁有成本更低(dī),無需特殊、專用的網絡、服務(wù)器(qì)設備即可實現(xiàn)
4、國産化(huà),提供多樣、豐富的L2-L7安全和優化(huà)功能(néng),更好(hǎo)(hǎo)的滿足合規要求

超融合架構最佳實踐

超融合架構可以應用到數據中心涉及的衆多業務(wù)系統的領域,尤其是應用開發測試環境、新(xīn)業務(wù)系統上(shàng)線和非關(guān)鍵業務(wù)系統改造是特别适合部署超融合架構。

以下(xià)為(wèi)深信服超融合架構的三個(gè)實際應用案例分(fēn)享  某汽車制造業
背景:應用開發部門每周至少要測試一(yī)套業務(wù)系統,給網絡運維部門帶來(lái)很大的工作(zuò)量。每次測試都要改變網絡架構和相應的部署環境
解決之道:在數據中心劃分(fēn)了(le)一(yī)個(gè)獨立的區域,用5台超融合一(yī)體(tǐ)機,搭建了(le)一(yī)套專用的測試環境。利用計算(suàn)、網絡和存儲虛拟化(huà)模拟出4個(gè)測試拓撲模闆,
超融合方案價值:其中模拟出一(yī)個(gè)在隊列深度為(wèi)1的情況下(xià)實現(xiàn)了(le)IOPS高達2萬的模闆,測試上(shàng)線周期縮短,運維工作(zuò)量減少,無需大量硬件支撐 

等保三級整改一(yī)站(zhàn)式方案

等保整改方案五步走

1. 安全域劃分(fēn) 做等級保護的整改,第一(yī)步一(yī)定是要明确安全域。下(xià)面是經典安全域劃分(fēn)方案: 業務(wù)服務(wù)器(qì)域:客戶的業務(wù)服務(wù)器(qì)和存儲的安全區域 用戶終端域:用戶終端,一(yī)些(xiē)完全不重要的服務(wù)器(qì) 安全管理(lǐ)域:安全管理(lǐ)中心,包括網管系統服務(wù)器(qì)啊,終端安全管理(lǐ)的服務(wù)器(qì)等用來(lái)做網絡和安全運維管理(lǐ)的這(zhè)些(xiē)設備 互聯網出口域:互聯網出口的網絡和安全設備
2. 互聯網出口 在互聯網出口部署防火(huǒ)牆、入侵防禦、病毒過濾、上(shàng)網行為(wèi)管理(lǐ)、鏈路(lù)負載;
3. 安全域互訪隔離 所有的安全域之間(jiān)必須通過防火(huǒ)牆才能(néng)互聯互通;
4. Web安全防護 web服務(wù)器(qì)前部署web防火(huǒ)牆;
5. 安全管理(lǐ)中心 在安全管理(lǐ)中心要有這(zhè)些(xiē)東西(xī):漏洞掃描系統、數據庫審計系統、終端安全管理(lǐ)系統、網管系統、應用性能(néng)管理(lǐ)系統、SSL VPN、防病毒系統、運維堡壘主機;
以上(shàng)五個(gè)步驟完成,設備整改完成。

疑難問題解答(dá)

是不是上(shàng)面這(zhè)些(xiē)設備都部署,才能(néng)通過三級等保? 回答(dá):不是。上(shàng)面是比較理(lǐ)想的情況,實際情況根據客戶預算(suàn)和客戶實際需求來(lái)進行,部署70-80%的設備即可。

安全域隔離防火(huǒ)牆,很多客戶利用交換機的ACL做,測評中心也(yě)認可。 回答(dá):對。等保要求進行訪問控制,沒要求必須用防火(huǒ)牆,交換機ACL也(yě)是訪問控制手段,但(dàn)用防火(huǒ)牆是最專業的訪問控制設備,其專業性智能(néng)型運維容易程度都遠(yuǎn)遠(yuǎn)強于交換機ACL,而且交換機ACL損耗交換機性能(néng)嚴重,交換機是交換設備,不是專業的安全設備。

是不是做了(le)這(zhè)些(xiē)就(jiù)可以通過等保測評了(le)? 回答(dá):設備層面足夠了(le)。還需要做一(yī)些(xiē)安全加固和管理(lǐ)制度文檔整理(lǐ)。
安全加固指的是把服務(wù)器(qì)、數據庫、網絡設備、安全設備、業務(wù)系統的一(yī)些(xiē)安全策略調整到符合等保的規定,比如(rú)你服務(wù)器(qì)密碼都是666,現(xiàn)在開啓服務(wù)器(qì)的密碼強度要求這(zhè)個(gè)策略,就(jiù)是安全加固。文檔整理(lǐ)主要是安全管理(lǐ)制度,以及測評申請書。

了(le)解到客戶情況後,怎麽給客戶做整改方案? 回答(dá):上(shàng)面整改五步走,每一(yī)步都說(shuō)明了(le)需要什(shén)麽,缺少的設備就(jiù)是需要整改的。安全加固和安全制度是肯定需要整改的。

雲計算(suàn)安全解決方案

業務(wù)挑戰

目前,許多組織已經将業務(wù)系統遷移到雲平台上(shàng),雲平台已經成為(wèi)組織重要的IT基礎設施。雲計算(suàn)技術給傳統的IT基礎設施、應用、數據以及運營管理(lǐ)都帶來(lái)了(le)革命性改變,對于安全管理(lǐ)來(lái)說(shuō),既是挑戰,也(yě)是機遇。首先,雲計算(suàn)引入了(le)新(xīn)的威脅和風(fēng)險,進而也(yě)影響和打破了(le)傳統的信息安全保障體(tǐ)系設計、實現(xiàn)方法和運維管理(lǐ)體(tǐ)系;其次,雲計算(suàn)的資源彈性、按需調配、高可靠性及資源集中化(huà)等都間(jiān)接增強或有利于安全防護,同時(shí)也(yě)給安全措施改進和升級、安全應用設計和實現(xiàn)、安全運維和管理(lǐ)等帶來(lái)了(le)問題和挑戰。 根據調研數據,雲計算(suàn)安全風(fēng)險是客戶所關(guān)注的重點,雲計算(suàn)安全已經成為(wèi)組織規劃、設計、建設和使用雲計算(suàn)系統所急需解決的重大問題之一(yī)。

解決方案

雲計算(suàn)安全防護方案設計遵循以業務(wù)為(wèi)中心,風(fēng)險為(wèi)導向的,基于安全域的縱深主動防護思想,綜合考慮雲平台安全威脅、需求特點和相關(guān)要求,對安全防護體(tǐ)系架構、内容、實現(xiàn)機制及相關(guān)産品組件進行了(le)優化(huà)設計。 雲計算(suàn)安全方案主要由安全資源池、安全子(zǐ)平台、安全運營管理(lǐ)平台和安全應用等組成。 安全資源池:支持物理(lǐ)安全設備、虛拟化(huà)安全設備、SaaS安全服務(wù)等各種安全資源,接受各安全子(zǐ)平台的管理(lǐ),對外提供相應的安全能(néng)力。 安全運營管理(lǐ)平台:與安全子(zǐ)平台配合,提供安全産品開通、調度、服務(wù)編排,以及安全運維功能(néng),并實現(xiàn)與雲管理(lǐ)平台和SDN控制器(qì)的對接。安全運營平台包含了(le)雲安全運營的一(yī)些(xiē)共性功能(néng)模塊和一(yī)些(xiē)提供特定安全能(néng)力的子(zǐ)平台。 安全子(zǐ)平台:管理(lǐ)安全資源,提供安全策略管理(lǐ)、配置管理(lǐ)、安全能(néng)力管理(lǐ)、安全日志管理(lǐ)等與特定安全應用密切相關(guān)的功能(néng)。根據應用場(chǎng)景的不同,可靈活配置和擴展。 安全應用:基于安全子(zǐ)平台提供的安全能(néng)力,提供管理(lǐ)、控制、分(fēn)析、呈現(xiàn)功能(néng)的組件。用戶可根據需要靈活選配。

方案亮點

适應性廣,安全功能(néng)多 支持VMWare、OpenStack雲平台,以及基于KVM、Xen的各種定制化(huà)雲平台。同時(shí),可以支持物理(lǐ)的、虛拟化(huà)、SaaS化(huà)的安全資源類型,提供多種安全能(néng)力。

模塊化(huà)架構,可靈活擴展 系統采用模塊化(huà)架構,根據應用場(chǎng)景和需求的不同,可以選擇和部署相應的安全資源、安全子(zǐ)平台、安全應用,滿足經濟性、合規性要求。

彈性資源,收放(fàng)自如(rú) 通過資源池化(huà)技術、負載均衡技術、熱遷移技術,以及通過安全子(zǐ)平台的能(néng)力,可以對外提供安全、彈性的安全功能(néng),自如(rú)的進行擴容、縮容。

全程自動化(huà),可快(kuài)速部署 運用SDN、NFV技術,用戶通過安全運營平台可以按需、自助的進行安全能(néng)力的開通、安全APP的下(xià)載、安裝和使用。同時(shí),可以根據業務(wù)需要,實現(xiàn)多種安全設備的協同防護,抵禦各類安全攻擊事(shì)件。

安全策略的動态跟随 對于雲計算(suàn)系統安全域邊界的動态變化(huà),通過區域子(zǐ)網劃分(fēn)、安全隔離、SDN、分(fēn)布式交換等技術,可以做到邊界防護策略的持續有效,保障雲平台的安全。

應用場(chǎng)景 适用于私有雲、公有雲、混合雲等各類雲平台的安全防護。既适用于原生(shēng)服務(wù)器(qì)虛拟化(huà)、雲平台的場(chǎng)景,也(yě)可以應用于采納SDN和NFV技術的軟件定義數據中心場(chǎng)景。

私有雲

構建私有雲

利用軟件定義的數據中心體(tǐ)系結構構建和運行基于虛拟化(huà)的私有雲。交付虛拟化(huà)基礎架構服務(wù)以及高度可用的應用和服務(wù)。

超越服務(wù)器(qì)虛拟化(huà)

服務(wù)器(qì)虛拟化(huà)可在提高業務(wù)敏捷性的同時(shí),使 CAPEX 和 OPEX 成本削減 50%* 以上(shàng)。現(xiàn)在,您可以對數據中心的其餘部分(fēn)進行虛拟化(huà),以使所有 IT 服務(wù)都能(néng)像虛拟機一(yī)樣調配和管理(lǐ)起來(lái)既經濟,又便捷。軟件定義的數據中心體(tǐ)系結構可将抽象化(huà)、池化(huà)和自動化(huà)延展到其餘的數據中心資源,包括計算(suàn)、網絡和存儲。可以基于任意雲計算(suàn)基礎架構部署您的虛拟化(huà)基礎架構并實現(xiàn)跨平台管理(lǐ)。

高度可用的應用和服務(wù)

利用軟件定義的數據中心 (SDDC) 體(tǐ)系結構,基于 超融合架構的私有雲可為(wèi)通過标準化(huà)和整合的數據中心實現(xiàn)高度可用的應用和服務(wù)奠定基礎。借助私有雲,還可實現(xiàn)安全、合規的 IT,對 IT 運維進行智能(néng)控制,以及快(kuài)速調配應用并實現(xiàn)持續監管。

網絡信息安全整體(tǐ)解決方案

背景

随着近年來(lái)INTERNET接入的普及和寬帶的增加,各行業分(fēn)布全國乃至全球的用戶群體(tǐ),信息化(huà)應用系統對網絡的依賴性也(yě)越來(lái)越強,業務(wù)對網絡的依賴程度也(yě)越來(lái)越大,信息安全的重要性也(yě)在不斷提升,用戶所面臨的各種問題也(yě)變得越來(lái)越複雜,來(lái)自不同層面的安全威脅也(yě)越來(lái)越多。如(rú)何确保網絡和應用的連續高可用、網絡安全防範、應用訪問安全分(fēn)權接入、智能(néng)終端無縫接入、内部網絡高效管理(lǐ)、數據存儲的完整和高可用、運維操作(zuò)的管理(lǐ),以及如(rú)何對數據庫系統的訪問和管理(lǐ)進行合理(lǐ)的審計分(fēn)析已經成為(wèi)企業迫切需要關(guān)注的問題。

解決方案

通過互聯網出口部署負載均衡設備解決鏈路(lù)流量分(fēn)配不合理(lǐ),對多條鏈路(lù)健康狀況實時(shí)監控和智能(néng)負載;對所有應用系統實現(xiàn)持續監測健康狀态合理(lǐ)調度,一(yī)旦服務(wù)系統集群内單台服務(wù)器(qì)故障實現(xiàn)智能(néng)切換到其他正常服務(wù)器(qì)系統上(shàng),保證應用服務(wù)訪問的持久穩定。

通過在互聯網出口、内部專線網絡入口、服務(wù)器(qì)區域等部署應用層防火(huǒ)牆,不僅能(néng)夠實現(xiàn)原有區域安全隔離的效果,還能(néng)夠實現(xiàn)IPS入侵防禦、AV病毒防護、DOS/DDOS等安全功能(néng);針對WEB應用的WAF防護,能(néng)防止黑客利用web應用程序及各類B/S業務(wù)的應用程序漏洞進行的各種攻擊,實現(xiàn)雙向數據的訪問過濾。桌面端部署網絡版防護軟件及數據加密管理(lǐ)系統,解決客戶最後一(yī)公裏的安全問題,确保企業内部數據的安全可控。

通過在服務(wù)器(qì)區部署SSL VPN産品,将服務(wù)器(qì)與外界進行邏輯隔離,使所有來(lái)自外部的訪問請求都經過SSL VPN的認證才能(néng)安全接入訪問;在接入後進行嚴格的控制訪問權限,使人(rén)員(yuán)與資源相關(guān)聯,防止越權訪問。

通過部署專業的存儲備份系統,對所有的應用服務(wù)器(qì)采用網絡備份方式,通過局域網或專用的備份局域網絡,對應用服務(wù)器(qì)的數據進行備份,将數據通過備份服務(wù)器(qì)寫入到磁帶庫或磁盤陣列中,确保數據的安全和完整。

通過運維審計系統對企業内部的主要信息系統、網絡系統等遠(yuǎn)程運維操作(zuò)進行綜合審計,針對核心數據資産的違規訪問和操作(zuò)得到有效監管。 通過數據審計系統的旁路(lù)監聽(tīng)方式采集,分(fēn)析處理(lǐ),記錄數據庫服務(wù)器(qì)的所有操作(zuò),提供監測報(bào)警策略設置、數據庫服務(wù)器(qì)負擔狀況統計分(fēn)析、數據庫客戶端訪問操作(zuò)統計分(fēn)析以及數據庫客戶端訪問排名等功能(néng),實現(xiàn)對數據庫服務(wù)器(qì)應用(包括數據庫系統操作(zuò),數據操作(zuò))的實時(shí)監測、報(bào)警、記錄和審計。

方案價值

實現(xiàn)了(le)多台服務(wù)器(qì)(服務(wù)器(qì)集群)合理(lǐ)利用,為(wèi)企業業務(wù)的擴充和系統規模的提高創造有利的條件。  實現(xiàn)了(le)多條鏈路(lù)合理(lǐ)利用,另外豐富的報(bào)表功能(néng),提供鏈路(lù)負載統計、商(shāng)業決策分(fēn)析、穩定性統計報(bào)表等幫助企業了(le)解鏈路(lù)使用情況,從而為(wèi)企業提供網絡優化(huà)和改造的依據,為(wèi)企業業務(wù)運營計劃,提供商(shāng)業決策的依據。

應用層防火(huǒ)牆多個(gè)安全功能(néng)模塊,多核并行處理(lǐ)技術保障,不僅能(néng)替代原有傳統防火(huǒ)牆的所有功能(néng),且穩定性好(hǎo)(hǎo);特别針對應用層安全風(fēng)險提供完整的應用安全加固技術,幫助客戶實現(xiàn)全面的安全防護,防護來(lái)自内外網的各個(gè)層面的安全風(fēng)險。解決了(le)用戶網絡安全管理(lǐ)難題,彌補了(le)現(xiàn)有傳統安全體(tǐ)系針對應用層防護的不足,有效阻止了(le)來(lái)之應用層的各類攻擊,實現(xiàn)了(le)廣域網流量清洗的效果。

實現(xiàn)了(le)“三合一(yī)”的WEB安全 事(shì)前,快(kuài)速的進行風(fēng)險掃描,幫助用戶快(kuài)速定位安全風(fēng)險并智能(néng)更新(xīn)防護策略; 事(shì)中,有效防止了(le)引起網頁篡改問題、網頁挂馬問題、敏感信息洩漏問題、無法響應正常服務(wù)問題及“拖庫”、“暴庫”問題的web攻擊、漏洞攻擊、系統掃描等攻擊; 事(shì)後,對服務(wù)器(qì)外發内容進行安全檢測,防止攻擊繞過安全防護體(tǐ)系,對Web業務(wù)産生(shēng)的網站(zhàn)篡改、數據洩漏問題。

實現(xiàn)了(le)終端的“主動防禦”,建立一(yī)個(gè)覆蓋全網的、可伸縮、抗打擊的防病毒體(tǐ)系。  實現(xiàn)了(le)數據内部安全傳輸,确保數據外發的密級保護,建立一(yī)個(gè)可控的文件共享傳輸體(tǐ)系。  實現(xiàn)了(le)精細的應用控制,有效阻止内部敏感信息外發,并能(néng)提高員(yuán)工工作(zuò)效率;全面的安全防護措施,過濾木馬惡意鏈接網址,強化(huà)分(fēn)支辦公終端的安全;細緻的上(shàng)網行為(wèi)審計,完全滿足公安部門的監管要求;精确流量管控,合理(lǐ)的記性流量分(fēn)配;實用的智能(néng)分(fēn)析系統,為(wèi)客戶決策出謀劃策。  實現(xiàn)了(le)應用的安全、快(kuài)速、穩定的業務(wù)接入訪問;便捷的用戶體(tǐ)驗,降低(dī)了(le)管理(lǐ)工作(zuò)量,應用程序圖形化(huà)的方式呈現(xiàn)于智能(néng)終端之上(shàng),實現(xiàn)輕松跨平台訪問,為(wèi)多元化(huà)的終端辦公提供了(le)快(kuài)速安全的途徑。  實現(xiàn)了(le)一(yī)體(tǐ)化(huà)的備份與恢複,可為(wèi)各種複雜的環境提供最全面的備份與恢複,就(jiù)保護公司最寶貴的資産數據而言,減少了(le)其中的複雜性及恢複的時(shí)效性,确保了(le)數據的安全和完整。  滿足IT運維合規性要求,順利通過IT審計;實現(xiàn)了(le)對企業IT資源的管理(lǐ);實現(xiàn)了(le)對IT用戶的管理(lǐ)、對IT用戶的授權管理(lǐ);實現(xiàn)了(le)對運維操作(zuò)日志的完整記錄;符合等級保護要求完善了(le)國家法律法規的要求。  實現(xiàn)了(le)針對所有帳戶對數據庫訪問與操作(zuò)的全面監測審計;加強了(le)對數據庫臨時(shí)帳戶的審計監測;加強了(le)針對重要敏感數據的訪問的審計監測;提供了(le)詳細的數據庫審計記錄及分(fēn)類統計;實現(xiàn)了(le)數據庫異常操作(zuò)監測報(bào)警;彌補了(le)數據庫系統内置日志審計的缺陷。

等級保護測評服務(wù)介紹

等級保護概述

等級保護政策背景 等級保護是國家信息安全保障的基本制度、基本策略、基本方針。開展信息安全等級保護工作(zuò)是保護信息化(huà)發展、維護國家信息安全的根本保障,是信息安全保障工作(zuò)中國家意志的體(tǐ)現(xiàn)。
通過将等級化(huà)方法和安全體(tǐ)系方法有效結合,設計一(yī)套等級化(huà)的信息安全保障體(tǐ)系,是适合我國國情、系統化(huà)地解決大型組織信息安全問題的一(yī)個(gè)非常有效的方法。 國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生(shēng)活中的重要程度,信息系統遭到破壞後對國家安全、社會秩序、公共利益以及公民(mín)、法人(rén)和其他組織的合法權益的危害程度等因素确定。
為(wèi)進一(yī)步貫徹落實《國家信息化(huà)領導小組關(guān)于加強信息安全保障工作(zuò)的意見》(中辦發[2003-27]号)、《關(guān)于信息安全等級保護工作(zuò)的實施意見》(公通字[2004]66号)、《信息安全等級保護管理(lǐ)辦法》(公通字[2007]43号)、《關(guān)于開展全國重要信息系統安全等級保護定級工作(zuò)的通知》(公信安[2007]861号)等文件的精神,提高我國基礎信息網絡和重要信息系統的信息安全保護能(néng)力和水平,自2007年開始,從國家層面開始推動我國的政府、金(jīn)融、電力、電信、交通等基礎行業在全國範圍内組織開展重要信息系統安全等級保護定級、備案、測評、整改工作(zuò)。

等級保護涉及系統

根據等級保護相關(guān)政策要求,需要實施等級保護的信息系統包括:
 黨政系統(黨委、政府);
 金(jīn)融系統(銀行、保險、證券)及财稅系統(财政、稅務(wù)、 工商(shāng));
 經貿系統(商(shāng)業貿易、海關(guān));
 電信系統(郵電、電信、廣播、電視(shì));
 能(néng)源系統(電力、熱力、燃氣、煤炭、油料);
 交通運輸系統(航空、航天、鐵路(lù)、公路(lù)、水運、海運);
 供水系統(水利及水源供給);
 社會應急服務(wù)系統(醫(yī)療、消防、緊急救援);
 教育科研系統(教育、科研、尖端科技);
 國防建設系統;
 國有大中型企業系統;
 互聯單位、接入單位、重點網站(zhàn)及向公衆提供上(shàng)網服務(wù)場(chǎng)所的計算(suàn)機信息系統。

等級保護相關(guān)标準

我國現(xiàn)行等級保護工作(zuò)主要相關(guān)标準如(rú)下(xià):
《計算(suàn)機信息系統安全保護等級劃分(fēn)準則》(GB 17859-1999)
《信息系統安全等級保護定級指南(nán)》(GB/T 22240-2008)
《信息系統安全等級保護基本要求》(GB/T 22239-2008)
《信息系統安全等級保護實施指南(nán)》(GB/T 25058-2010)
《信息系統安全等級保護測評要求》(V2.0(送審稿))
《信息安全技術 網絡基礎安全技術要求》(GB/T 20270-2006)
《信息安全技術 信息系統通用安全技術要求》(GB/T 20271-2006)
《信息安全技術 操作(zuò)系統安全技術要求》(GB/T 20272-2006)
《信息安全技術 數據庫管理(lǐ)系統安全技術要求》(GB/T 20273-2006)
《信息安全技術 服務(wù)器(qì)技術要求》(GB/T 21028-2007)
《信息安全技術 終端計算(suàn)機系統安全等級技術要求》(GA/T 671-2006)
《信息安全技術 信息系統安全管理(lǐ)要求》(GB/T 20269-2006)
《信息安全技術 信息系統安全工程管理(lǐ)要求》(GB/T 20282-2006)
《信息安全技術 信息安全事(shì)件分(fēn)類分(fēn)級指南(nán)》(GB/Z 20986-2007)
《涉及國家秘密的計算(suàn)機信息系統分(fēn)級保護技術要求》 BMB 17-2006
《涉及國家秘密的信息系統分(fēn)級保護管理(lǐ)規範》 BMB 20-2007
《涉及國家秘密的計算(suàn)機信息系統分(fēn)級保護測評指南(nán)》 BMB 22-2007
《涉及國家秘密的計算(suàn)機信息系統安全保密測評指南(nán)》 BMZ 3-2001

等級保護服務(wù)介紹

信息安全等級保護工作(zuò)流程包括以下(xià)幾個(gè)階段:系統定級、系統備案、差距測評、系統整改、驗收測評、定期測評等階段。包含的工作(zuò)内容如(rú)下(xià):
系統定級:信息系統運營使用單位按照《信息系統信息安全等級保護定級指南(nán)》,确定信息系統安全等級。有主管部門的,報(bào)主管部門審核批準。
系統備案:已運營的第二級以上(shàng)信息系統,在安全保護等級确定後30天内,由其運營、使用單位到所在地區的市(shì)級以上(shàng)安全機關(guān)辦理(lǐ)備案手續。第三極以上(shàng)信息系統,還需要提供相關(guān)附件材料。相應安全機關(guān)審核通過後,由公安機關(guān)頒發系統等級保護備案證書。
差距測評:選擇有資質的等級保護測評機構,進行差距測評,形成等級保護測評報(bào)告。
系統整改:根據測評結果,制訂整改方案,按照國家的相關(guān)規範和技術标準,使用符合國家相關(guān)規定,滿足系統等級需求産品,并調試及進行信息系統安全整改工作(zuò)。(備注:一(yī)般情況下(xià),為(wèi)保證系統整改的效果,差距測評及系統整改兩個(gè)階段由同一(yī)家公司完成)。
驗收測評:選擇第三方測評機構進行驗收測評,驗收合格後,系統運營、使用單位向地級以上(shàng)市(shì)公安機關(guān)提交測評報(bào)告,審核通過後,由公安機關(guān)頒發合格證書。 定期測評:定期選擇第三方測評機構進行測評。三級系統每年至少一(yī)次,四級以上(shàng)系統每半年至少一(yī)次。

等級保護測評實施流程

信息系統安全等級測評分(fēn)為(wèi)四個(gè)過程階段:測評準備過程、方案編制過程、測評實施過程、分(fēn)析與報(bào)告編制過程。 具體(tǐ)測評實施流程圖如(rú)下(xià)所示:
一(yī)、測評準備過程:主要是通過訪談的方式了(le)解被測系統的基本情況,包括被測系統的物理(lǐ)環境,網絡結構和邊界,網絡設備,主機系統,應用系統等測評對象情況。
二、方案編制過程:根據被測系統的定級報(bào)告和系統自身(shēn)的情況确定測評指标和對應的測評實施内容、對測評實施中的測試和滲透測試項編制測試方案,細化(huà)測試點,測試工具,測試對象,測試方法,測試步驟,對現(xiàn)場(chǎng)測評的總體(tǐ)計劃作(zuò)出安排,根據上(shàng)述工作(zuò)内容編制完成方案,然後測評雙方對測評方案進行确認、審核,并進一(yī)步溝通和協調以确定現(xiàn)場(chǎng)測評計劃。
三、測評實施過程:根據雙方确認的測評方案到被測系統現(xiàn)場(chǎng)完成測評工作(zuò)。現(xiàn)場(chǎng)測評工作(zuò)涉及三類方法:訪談、檢查和測試。訪談是我方測評人(rén)員(yuán)通過與信息系統有關(guān)人(rén)員(yuán)(個(gè)人(rén)/群體(tǐ))進行交流、討(tǎo)論等活動,獲取證據以證明信息系統安全防護措施是否有效。檢查是我方測評人(rén)員(yuán)通過對測評對象進行觀察、查驗、分(fēn)析等活動,獲取證據以證明信息系統安全防護措施是否有效。測試是我方測評人(rén)員(yuán)使用預定的方法及工具使測評對象産生(shēng)特定的行為(wèi),通過查看、分(fēn)析這(zhè)些(xiē)行為(wèi)的結果,獲取證據以證明信息系統安全防護措施是否有效。
四、分(fēn)析與報(bào)告編制過程:在完成測評實施過程之後,我方将根據現(xiàn)場(chǎng)測評的記錄進行綜合測評分(fēn)析,包括單項測評結果彙總分(fēn)析,系統整體(tǐ)測評,系統風(fēng)險分(fēn)析和評價,并最終給出差距分(fēn)析和整體(tǐ)建議(yì)。

等級保護測評内容

依據等級保護相關(guān)标準要求,對信息系統安全等級保護狀況進行測評評估,包括以下(xià)兩個(gè)方面的内容: 一(yī)、安全技術測評,包括物理(lǐ)、網絡、主機、數據及應用安全測評;
二、安全管理(lǐ)測評,包括安全管理(lǐ)機構、人(rén)員(yuán)安全管理(lǐ)、安全管理(lǐ)制度、系統建設管理(lǐ)、系統運維管理(lǐ)測評。 如(rú)下(xià)圖所示:

等級保護系統整改

東軟将根據等級保護差距測評結果,制訂等級保護整改方案,按照國家的相關(guān)規範和技術标準,采取符合國家相關(guān)規定、滿足系統等級需求的措施,進行信息系統安全整改工作(zuò)。
3 等級保護服務(wù)客戶收益
 滿足國家信息安全等級保護相關(guān)政策與标準要求。
 實現(xiàn)信息系統等級化(huà)保護和等級化(huà)管理(lǐ)。  解決原有咨詢服務(wù)重視(shì)問題發現(xiàn)和提要求而
解決方案實施落實較弱的模式。  提高企業業務(wù)系統信息安全防護能(néng)力。
 縮短從體(tǐ)系設計到體(tǐ)系實現(xiàn)的過程,避免咨詢服務(wù)成果與安全建設脫節的弊病。