计算机网络系统安全等级保护V2.0安全服务购买套餐解决方案
计算机网络系统安全等级保护V2.0安全服务购买套餐解决方案
一、 计算机网络系统安全等级保护项目背景
当前全球网络安全形势严峻,网络安全面临着各种新的挑战,网络攻击层出不穷,且攻击来源、攻击目的、攻击方法以及攻击规模都在发生着巨大的变化。与此同时,伴随我国信息化发展进入新阶段,云计算、大数据、移动办公等新技术新应用已经十分成熟,并大规模应用,新技术是一把双刃剑,在促进信息化发展的同时也带来新的安全风险,原有安全防护体系的适应性和防护能力出现不足。
为应对网络安全面临的全新形势和挑战,2014年2月,中央网络安全和信息化领导小组成立,习近平总书记作为领导小组组长,指出“没有网络安全就没有国家安全”、“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施”,确定了国家网络安全和信息化发展的方向。与此同时,我国网络安全制度体系建设和组织机制建设也进入了快车道,随着《中华人民共和国网络安全法》(以下简称《网络安全法》)的正式发布,将网络安全工作提升到法律的高度,各单位在信息化建设过程中,必须同步考虑网络安全建设。
网络安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。自从2007年《信息安全等级保护管理办法》发布以来,在公安部的监管下,我国开始全面推行信息安全等级保护制度,各单位按照等级保护制度的要求开展定级备案、建设整改和等级测评工作,等级保护制度开展对促进我国信息安全的发展起到重要的推动作用。
随着信息化的快速发展,新技术新应用逐渐成为各单位信息化建设的重要基础或重要组成,同时,新的安全威胁层出不穷,原有的安全保障制度体系已经远不能解决信息安全工作面临的新风险新问题。2016年11月7日,《中华人民共和国网络安全法》发布,于2017年6月1日起正式施行,这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,网络安全法进一步明确了信息化发展与网络安全并重的原则,指出“国家实行网络安全等级保护制度”,“对关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护”,并“保证安全技术措施同步规划、同步建设、同步使用”。随着《网络安全法》的发布施行,国家网络安全保障制度和标准体系也在逐步完善,2018年6月,由公安部牵头制定的《网络安全等级保护条例》发布征求意见稿,与此同时,等级保护核心系列标准也基本修订完成,此外,针对关键信息基础设施的相关制度和标准也在加紧制定中。
可以说,为适应信息化技术的快速发展和新的信息安全形势,我国网络安全等级保护制度体系已经发生了巨大的变化,同时,也对各单位的信息安全保障工作也提出了新的要求。在系统建设过程中,考虑到系统承载业务的重要性和即将面临的安全风险,按照等级保护制度的相关要求,需同步规划安全保障体系,并在系统建设过程中,落实安全保障技术措施和管理措施。
2019年《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)正式实施。以下分析《GB/T22239-2019》相较《GB/T22239-2008》发生的主要变化。
《GB/T22239-2019》相较于《GB/T22239-2008》,无论是在总体结构方面还是在细节内容方面均发生了变化。在总体结构方面的主要变化为:
1)为适应网络安全法,配合落实网络安全等级保护制度,标准的名称由原来的《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。
2)等级保护对象由原来的信息系统调整为基础信息网络、信息系统(含采用移动互联技术的系统)、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。
3)将原来各个级别的安全要求分为安全通用要求和安全扩展要求,安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。安全通用要求是不管等级保护对象形态如何必须满足的要求;针对云计算、移动互联、物联网和工业控制系统提出的特殊要求称为安全扩展要求。
4)原来基本要求中各级技术要求的“物理安全”、“网络安全”、“主机安全”、“应用安全”和“数据安全和备份与恢复”修订为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”;原各级管理要求的“安全管理制度”、“安全管理机构”、“人员安全管理”、“系统建设管理”和“系统运维管理,修订为“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。
5)云计算安全扩展要求针对云计算环境的特点提出。主要内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云计算环境管理”和“云服务商选择”等。
6)移动互联安全扩展要求针对移动互联的特点提出。主要内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购” 和“移动应用软件开发”等。
7)物联网安全扩展要求针对物联网的特点提出。主要内容包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理” 和“数据融合处理”等。
8)工业控制系统安全扩展要求针对工业控制系统的特点提出。主要内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等。
9)取消了原来安全控制点的S、A、G标注,增加附录A“关于安全通用要求和安全扩展要求的选择和使用描述等级保护对象的定级结果和安全要求之间的关系,说明如何根据定级的S、A结果选择安全要求的相关条款,简化了标准正文部分的内容。
10)增加附录C描述等级保护安全框架和关键技术、附录D描述云计算应用场景、附录E描述移动互联应用场景、附录F描述物联网应用场景、附录G描述工业控制系统应用场景、附录H描述大数据应用场景。
《GB/T22239-2019》采用安全通用要求和安全扩展要求的划分使得标准的使用更加具有灵活性和针对性。不同等级保护对象由于采用的信息技术不同,所采用的保护措施也会不同。例如,传统的信息系统和云计算平台的保护措施有差异,云计算平台和工业控制系统的保护措施也有差异。为了体现不同对象的保护差异,《GB/T22239-2019》将安全要求划分为安全通用要求和安全扩展要求。
安全通用要求针对共性化保护需求提出,无论等级保护对象以何种形式出现,需要根据安全保护等级实现相应级别的安全通用要求。安全扩展要求针对个性化保护需求提出,等级保护对象需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。等级保护对象的安全保护措施需要同时实现安全通用要求和安全扩展要求,从而更加有效地保护等级保护对象。例如,传统的信息系统可能只需要采用安全通用要求提出的保护措施即可,而云计算平台不仅需要采用安全通用要求提出的保护措施,还要针对云计算平台的技术特点采用云计算安全扩展要求提出的保护措施; 工业控制系统不仅需要采用安全通用要求提出的保护措施,还要针对工业控制系统的技术特点采用工业 控制系统安全扩展要求提出的保护措施。
《GB/T22239-2019》规定了第一级到第四级等级保护对象的安全要求,每个级别的安全要求均由安全通用要求和安全扩展要求构成。例如,《GB/T22239-2019》提出的第三级安全要求基本结构为:
8 第三级安全要求
8.1 安全通用要求
8.2 云计算安全扩展要求
8.3 移动互联安全扩展要求
8.4 物联网安全扩展要求
8.5 工控制系统安全扩展要求
安全通用要求细分为技术要求和管理要求。其中技术要求包括“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”;管理要求包括“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。两者合计10大类,如下图所示。
安全通用要求基本分类
技术要求分类体现了从外部到内部的纵深防御思想。对等级保护对象的安全防护应考虑从通信网络到区域边界再到计算环境的从外到内的整体防护,同时考虑对其所处的物理环境的安全防护。对级别较高的等级保护对象还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。
1)安全物理环境
安全通用要求中的安全物理环境部分是针对物理机房提出的安全控制要求。主要对象为物理环境、物理设备和物理设施等;涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。
*下图中数字表示每个控制点下各个级别的要求项数量,级别越高,要求项越多。后续表中的数字均为此含义。
序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
1 | 物理位置的选择 | 0 | 2 | 2 | 2 |
2 | 物理访问控制 | 1 | 1 | 1 | 2 |
3 | 防盗窃和防破坏 | 1 | 2 | 3 | 3 |
4 | 防雷击 | 1 | 1 | 2 | 2 |
5 | 防火 | 1 | 2 | 3 | 3 |
6 | 防水和防潮 | 1 | 2 | 3 | 3 |
7 | 防静电 | 0 | 1 | 2 | 2 |
8 | 温湿度控制 | 1 | 1 | 1 | 1 |
9 | 电力供应 | 1 | 2 | 3 | 4 |
10 | 电磁防护 | 0 | 1 | 2 | 2 |
表1安全物理环境控制点/要求项的逐级变化
承载高级别系统的机房相对承载低级别系统的机房强化了物理访问控制、电力供应和电磁防护等方面的要求。例如,四级相比三级增设了“重要区域应配置第二道电子门禁系统”、“应提供应急供电设施”、“应对关键区域实施电磁屏蔽”等要求。
2)安全通信网络
安全通用要求中的安全通信网络部分是针对通信网络提出的安全控制要求。主要对象为广域网、城域网和局域网等;涉及的安全控制点包括网络架构、通信传输和可信验证。
序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
1 | 网络架构 | 0 | 2 | 5 | 6 |
2 | 通信传输 | 1 | 1 | 2 | 4 |
3 | 可信认证 | 1 | 1 | 1 | 1 |
表2安全通信网络控制点/要求项的逐级变化
高级别系统的通信网络相对低级别系统的通信网络强化了优先带宽分配、设备接入认证、通信设备认证等方面的要求。例如,四级相比三级增设了“应可按照业务服务的重要程度分配带宽,优先保障重要业务”,“应采用可信验证机制对接入网络中的设备进行可信验证,保证接入网络的设备真实可信“应在通信前基于密码技术对通信双方进行验证或认证”等要求。
3)安全区域边界
安全通用要求中的安全区域边界部分是针对网络边界提出的安全控制要求。主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。
序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
1 | 边界防护 | 1 | 1 | 4 | 5 |
2 | 访问控制 | 3 | 4 | 5 | 5 |
3 | 入侵防范 | 0 | 1 | 4 | 4 |
4 | 恶意代码防范 | 0 | 1 | 2 | 2 |
5 | 安全审计 | 0 | 3 | 4 | 3 |
6 | 可信验证 | 1 | 1 | 1 | 1 |
表3安全区域边界控制点/要求项的逐级变化
高级别系统的网络边界相对低级别系统的网络边界强化了高强度隔离和非法接入阻断等方面的要求。例如,四级相比三级增设了“应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换”,“应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时,对其进行有效阻断”等要求。
4) 安全计算环境
安全通用要求中的安全计算环境部分是针对边界内部提出的安全控制要求。主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。
序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
1 | 身份鉴别 | 2 | 3 | 4 | 4 |
2 | 访问控制 | 3 | 4 | 7 | 7 |
3 | 安全审计 | 0 | 3 | 4 | 4 |
4 | 入侵防范 | 2 | 5 | 6 | 6 |
5 | 恶意代码防范 | 1 | 1 | 1 | 1 |
6 | 可信验证 | 1 | 1 | 1 | 1 |
7 | 数据完整性 | 1 | 1 | 2 | 3 |
8 | 数据保密性 | 0 | 0 | 2 | 2 |
9 | 数据备份与恢复 | 1 | 2 | 3 | 4 |
10 | 剩余信息保护 | 0 | 1 | 2 | 2 |
11 | 个人信息保护 | 0 | 2 | 2 | 2 |
表4安全计算环境控制点/要求项的逐级变化
高级别系统的计算环境相对低级别系统的计算环境强化了身份鉴别、访问控制和程序完整性等方面的要求。例如,四级相比三级增设了“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现”,“应对主体、客体设置安全标记,并依据安全标记和强制访问控制规则确定主体对客体的访问”,“应采用主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断”等要求。
5)安全管理中心
安全通用要求中的安全管理中心部分是针对整个系统提出的安全管理方面的技术控制要求,通过技术手段实现集中管理。涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。
高级别系统的安全管理相对低级别系统的安全管理强化了采用技术手段进行集中管控等方面的要求。
序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
1 | 系统控制 | 2 | 2 | 2 | 2 |
2 | 审计控制 | 2 | 2 | 2 | 2 |
3 | 安全管理 | 0 | 2 | 2 | 2 |
4 | 集中控制 | 0 | 0 | 6 | 7 |
表5安全管理中心控制点/要求项的逐级变化
例如,三级相比二级增设了“应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控”,“应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测”,“应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求”,“应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理”等要求。
管理要求分类体现了从要素到活动的综合管理思想。安全管理需要的“机构”、“制度”和“人员”三要素缺一不可,同时还应对系统建设整改过程中和运行维护过程中的重要活动实施控制和管理。对级别较高的等级保护对象需要构建完备的安全管理体系。
1)安全管理制度
安全通用要求中的安全管理制度部分是针对整个管理制度体系提出的安全控制要求,涉及的安全控制点包括安全策略、管理制度、制定和发布以及评审和修订。
序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
1 | 安全策略 | 0 | 1 | 1 | 1 |
2 | 管理制度 | 1 | 2 | 3 | 3 |
3 | 制定和发布 | 0 | 2 | 2 | 2 |
4 | 评审和修订 | 0 | 1 | 1 | 1 |
表6安全管理制度控制点/要求项的逐级变化
2)安全管理机构
安全通用要求中的安全管理机构部分是针对整个管理组织架构提出的安全控制要求,涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。
序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
1 | 岗位设置 | 1 | 2 | 3 | 3 |
2 | 人员配备 | 1 | 1 | 2 | 3 |
3 | 授权和审批 | 1 | 2 | 3 | 3 |
4 | 沟通和合作 | 0 | 3 | 3 | 3 |
5 | 审核和检查 | 0 | 1 | 3 | 3 |
表7安全管理机构控制点/要求项的逐级变化
3)安全管理人员
安全通用要求中的安全管理人员部分是针对人员管理模式提出的安全控制要求,涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训以及外部人员访问管理。
序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
1 | 人员录入 | 1 | 2 | 3 | 4 |
2 | 人员离岗 | 1 | 1 | 2 | 2 |
3 | 安全意识教育和培训 | 1 | 1 | 3 | 3 |
4 | 外部人员访问管理 | 1 | 3 | 4 | 5 |
表8安全管理人员控制点/要求项的逐级变化
4)安全建设管理
安全通用要求中的安全建设管理部分是针对安全建设过程提出的安全控制要求,涉及的安全控制点包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理。
序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
1 | 定级和备案 | 1 | 4 | 4 | 4 |
2 | 安全方案设计 | 1 | 3 | 3 | 3 |
3 | 安全产品采购和使用 | 1 | 2 | 3 | 4 |
4 | 自行软件开发 | 0 | 2 | 7 | 7 |
5 | 外包软件开发 | 0 | 2 | 3 | 3 |
6 | 工程实施 | 1 | 2 | 3 | 3 |
7 | 测试验收 | 1 | 2 | 2 | 2 |
8 | 系统交付 | 2 | 3 | 3 | 3 |
9 | 等级测评 | 0 | 3 | 3 | 3 |
10 | 服务供应商管理 | 2 | 2 | 3 | 3 |
表9安全建设管理控制点/要求项的逐级变化
5)安全运维管理
安全通用要求中的安全运维管理部分是针对安全运维过程括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。
序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
1 | 环境管理 | 2 | 3 | 3 | 4 |
2 | 资产管理 | 0 | 1 | 3 | 3 |
3 | 介质管理 | 1 | 2 | 2 | 2 |
4 | 设备维护管理 | 1 | 2 | 4 | 4 |
5 | 漏洞和风险管理 | 1 | 1 | 2 | 2 |
6 | 网络和系统安全管理 | 2 | 5 | 10 | 10 |
7 | 恶意代码防范管理 | 2 | 3 | 2 | 2 |
8 | 配置管理 | 0 | 1 | 2 | 2 |
9 | 密码管理 | 0 | 2 | 2 | 3 |
10 | 变更管理 | 0 | 1 | 3 | 3 |
11 | 备份与恢复管理 | 2 | 3 | 3 | 3 |
12 | 安全事件处置 | 2 | 3 | 4 | 5 |
13 | 应急预案管理 | 0 | 2 | 4 | 5 |
14 | 外包运维管理 | 0 | 2 | 4 | 4 |
表10安全运维管理控制点/要求项的逐级变化
安全扩展要求是采用特定技术或特定应用场景下的等级保护对象需要增加实现的安全要求。《GB/T22239-2019》提出的安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。
采用了云计算技术的信息系统通常称为云计算平台。云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。云计算平台中通常有云服务商和云服务客户/云租户两种角色。根据云服务商所提供服务的类型,云计算平台有软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)3种基本的云计算服务模式。在不同的服务模式中,云服务商和云服务客户对资源拥有不同的控制范围,控制范围决定了安全责任的边界。
云计算安全扩展要求是针对云计算平台提出的安全通用要求之外额外需要实现的安全要求。云计算安全扩展要求涉及的控制点包括基础设施位置、网络架构、网络边界的访问控制、网络边界的入侵防范、网络边界的安全审计、集中管控、计算环境的身份鉴别、计算环境的访问控制、计算环境的入侵防范、镜像和快照保护、数据安全性、数据备份恢复、剩余信息保护、云服务商选择、供应链管理和云计算环境管理
序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
1 | 基础设施位置 | 1 | 1 | 1 | 1 |
2 | 网络架构 | 2 | 3 | 5 | 8 |
3 | 网络边界的访问控制 | 1 | 2 | 2 | 2 |
4 | 网络边界的入侵防范 | 0 | 3 | 4 | 4 |
5 | 网络边界的安全审计 | 0 | 2 | 2 | 2 |
6 | 集中管控 | 0 | 0 | 4 | 4 |
7 | 计算机环境的身份鉴别 | 0 | 0 | 1 | 1 |
8 | 计算机环境的访问控制 | 2 | 2 | 2 | 2 |
9 | 计算机环境的入侵防范 | 0 | 0 | 3 | 3 |
10 | 镜像和快照保护 | 0 | 2 | 4 | 4 |
11 | 数据安全性 | 1 | 3 | 4 | 4 |
12 | 数据备份恢复 | 0 | 2 | 4 | 4 |
13 | 剩余信息保护 | 0 | 2 | 2 | 2 |
14 | 云服务商选择 | 3 | 4 | 5 | 5 |
15 | 供应链管理 | 1 | 2 | 3 | 3 |
16 | 云计算环境管理 | 0 | 1 | 1 | 1 |
表11云计算安全扩展要求控制点/要求项的逐级变化
采用移动互联技术的等级保护对象,其移动互联部分通常由移动终端、移动应用和无线网络3部分组成。移动终端通过无线通道连接无线接入设备接入有线网络;无线接入网关通过访问控制策略限制移动终端的访问行为;后台的移动终端管理系统(如果配置)负责对移动终端的管理,包括向客户端软件发送移动设备管理、移动应用管理和移动内容管理策略等。
移动互联安全扩展要求是针对移动终端、移动应用和无线网络提出的特殊安全要求,它们与安全通用要求一起构成针对采用移动互联技术的等级保护对象的完整安全要求。移动互联安全扩展要求涉及的控制点包括无线接入点的物理位置、无线和有线网络之间的边界防护、无线和有线网络之间的访问控制、无线和有线网络之间的入侵防范,移动终端管控、移动应用管控、移动应用软件采购、移动应用软件开发和配置管理。
序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
1 | 无线接入点的物理位置 | 1 | 1 | 1 | 1 |
2 | 无线和有线网络之间的边界防护 | 1 | 1 | 1 | 1 |
3 | 无线和有线网络之间的访问控制 | 1 | 1 | 1 | 1 |
4 | 无线和有线网络之间的入侵防范 | 0 | 5 | 6 | 6 |
5 | 移动终端管控 | 0 | 0 | 2 | 3 |
6 | 移动应用管控 | 1 | 2 | 3 | 4 |
7 | 移动应用软件采购 | 1 | 2 | 2 | 2 |
8 | 移动应用软件开发 | 0 | 2 | 2 | 2 |
9 | 配置管理 | 0 | 0 | 1 | 1 |
表12移动互联安全扩展要求控制点/要求项的逐级变化
物联网从架构上通常可分为3个逻辑层,即感知层、网络传输层和处理应用层。其中感知层包括传感器节点和传感网网关节点或RFID标签和RFID读写器,也包括感知设备与传感网网关之间、RFID标签与RFID读写器之间的短距离通信(通常为无线)部分;网络传输层包括将感知数据远距离传输到处理中心的网络,如互联网、移动网或几种不同网络的融合;处理应用层包括对感知数据进行存储与智能处理的平台,并对业务应用终端提供服务。对大型物联网来说,处理应用层一般由云计算平台和业务应用终端构成。
对物联网的安全防护应包括感知层、网络传输层和处理应用层。由于网络传输层和处理应用层通常由计算机设备构成,因此这两部分按照安全通用要求提出的要求进行保护。物联网安全扩展要求是针对感知层提出的特殊安全要求,它们与安全通用要求一起构成针对物联网的完整安全要求。
物联网安全扩展要求涉及的控制点包括感知节点的物理防护、感知网的入侵防范、感知网的接入控制、感知节点设备安全、网关节点设备安全、抗数据重放、数据融合处理和感知节点的管理。
序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
1 | 感知节点的物理防护 | 2 | 2 | 4 | 4 |
2 | 感知网的入侵防范 | 0 | 2 | 2 | 2 |
3 | 感知网的接入控制 | 1 | 1 | 1 | 1 |
4 | 感知节点设备安全 | 0 | 0 | 3 | 3 |
5 | 网关节点设备安全 | 0 | 0 | 4 | 4 |
6 | 抗数据重放 | 0 | 0 | 2 | 2 |
7 | 数据融合处理 | 0 | 0 | 1 | 2 |
8 | 感知节点的管理 | 1 | 2 | 3 | 3 |
表13物联网安全扩展要求控制点/要求项的逐级变化
1.2.3.4工业控制系统安全扩展要求
工业控制系统通常是可用性要求较高的等级保护对象。工业控制系统是各种控制系统的总称,典型的如数据采集与监视控制系统(SCADA)、集散控制系统(DCS)等。工业控制系统通常用于电力,水和污水处理,石油和天然气,化工,交通运输,制药,纸浆和造纸,食品和饮料以及离散制造(如汽车、航空航天和耐用品)等行业。
工业控制系统从上到下一般分为5个层级,依次为企业资源层,生产管理层、过程监控层、现场控制层和现场设备层,不同层级的实时性要求有所不同,工业控制系统的安全防护应包括各个层级。由于企业资源层、生产管理层和过程监控层通常由计算机设备构成,因此这些层级按照安全通用要求提出的要求进行保护。
工业控制系统安全扩展要求是针对现场控制层和现场设备层提出的特殊安全要求,它们与安全通用要求一起构成针对工业控制系统的完整安全要求。工业控制系统安全扩展要求涉及的控制点包括室外控制设备防护、网络架构、通信传输、访问控制、拨号使用控制、无线使用控制、控制设备安全、产品采购和使用以及外包软件开发。
序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
1 | 室外控制设备防护 | 2 | 2 | 2 | 2 |
2 | 网络架构 | 2 | 3 | 3 | 3 |
3 | 通信传输 | 0 | 1 | 1 | 1 |
4 | 访问控制 | 1 | 2 | 2 | 2 |
5 | 拨号使用控制 | 0 | 1 | 2 | 3 |
6 | 无线使用控制 | 2 | 2 | 4 | 4 |
7 | 控制设备安全 | 2 | 2 | 5 | 5 |
8 | 产品采购和使用 | 0 | 1 | 1 | 1 |
9 | 外包软件开发 | 0 | 1 | 1 | 1 |
表14工业控制系统安全扩展要求控制点/要求项的逐级变化
奇安信科技集团股份有限公司(以下简称奇安信,股票代码688561)成立于2014年,专注于网络空间安全市场,为政府、企业用户提供新一代企业级网络安全产品和服务。凭借持续的研发创新和以实战攻防为核心的安全能力,已发展成为国内领先的基于大数据、人工智能和安全运营技术的网络安全供应商。同时,奇安信是北京2022年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商;此外,公司已在印度尼西亚、新加坡、加拿大、中国香港等国家和地区开展网络安全业务。
奇安信面向新型基础设施建设、面向数字化业务,运用系统工程的方法论,结合“内生安全”思想,将新一代网络安全框架作为顶层设计指导,以“数据驱动安全”为技术理念、以打造网络安全颠覆性和非对称性能力为目标、以“人+机器”协同运营为手段,创建了面向万物互联时代的网络安全协同联动防御体系。奇安信拥有完备的网络安全产品和创新的网络安全服务,完善的研发、采购、生产和销售模式。针对云计算、大数据、物联网、移动互联网、工业互联网和5G等新技术下产生的新业态、新业务和新场景,为政府与企业等用户提供全面、有效的网络安全解决方案。
近年来奇安信以高投入研发下的技术创新为引领,特别针对云计算、大数据、移动互联网、工业互联网、物联网等新技术运用下产生的新业态、新场景,为政府与企业等机构客户提供全面有效的网络安全解决方案,率先提出并成功实践“数据驱动安全”“44333”“内生安全”等先进的安全理念,推出了“天狗”系列第三代安全引擎,零信任、“天眼”等创新的安全产品,并于2020年发布面向新基建的新一代网络安全框架,此框架下的"十大工程五大任务",可以适用于各个应用场景,能指导不同的行业输出符合其业务特点的网络安全架构。
奇安信重点涵盖了网络安全行业多个前沿领域,包括建设云和大数据安全防护与管理运营中心、物联网安全防护与管理系统、工业互联网安全服务中心、安全服务化项目、基于“零信任”的动态可信访问控制平台,以及网络空间测绘与安全态势感知平台。其中,工业互联网安全服务中心将构建全国性的三级工业互联网安全服务中心体系,为4000家以上工业互联网企业及工业关键基础设施建立安全管理中心,提供工业安全防护、监测、安全托管服务;针对目前市场上云安全和大数据安全的有效防护产品和方案稀缺的现状,奇安信的云和大数据安全防护与管理运营中心项目将通过构建能力平台、产品体系和服务中心三部分,全面提升奇安信全方位安全防护的服务能力。
三、计算机网络系统等级保护所选安全产品介绍
硬件性能配置 | 千兆以太网电接口≥4 个,千兆光口≥4 个,1个Console口,支持液晶屏;网络层吞吐量≥3G,并发连接≥160万,每秒新建连接数≥4万,标准1U机箱; |
服 务 | 含三年产品保修服务。 |
部署模式 | 产品支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求。支持旁路模式; |
基础组网 | *支持VTEP模式接入VxLAN网络,并可作为VXLAN二层、三层网关实现VxLan网络与传统以太网的相同子网内、跨子网间互联互通; *支持支持静态路由、策略路由及动态路由。策略路由支持用户自定义其优先级,动态路由应至少支持RIP v1/v2/ng, OSPFv2/v3,BGP4/4+协议; *支持IPv4的DNS代理功能,即从指定的入接口或源ISP接收到的DNS解析请求,设备可根据自定义的IP、域名对应关系,代理DNS服务器返回查询结果; *支持NAT64,包括:对源地址为IPv6地址、目的地址为IPv4地址的会话执行源地址转换,将IPv6地址转换为IPv4地址,实现IPv6客户端转换为IPv4地址后访问IPv4资源;源地址为IPv4地址、目的地址为IPv4地址的会话执行目的地址转换,将IPv4地址转换为IPv6地址,实现IPv4客户端通过IPv4地址访问IPv6资源;支持路由模式、透明模式的HA高可靠性部署,可工作于主备、主主模式,会话、用户、配置可实时同步; |
攻击防护 | *支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查; *支持基于IPv4/v6地址、应用的会话限制,限制动作包每IP新建、每IP并发、所有IP新建、所有IP并发,且可以基于安全域指定限制方向; *支持上传、下载、双向的文件内容过滤;内容过滤支持手工及文件批量导入两种方式进行敏感信息定义;内容过滤至少支持html、doc、docx、xls、xlsx、ppt、pptx、chm、7z等30种常见文件类型;文件类型识别基于文件特征而非扩展名,更改文件扩展名后仍可有效识别; *支持基于不同安全区域防御DNS Flood、HTTP Flood攻击,并支持警告、阻断、首包丢弃、TC反弹技术、NS重定向、自动重定向、手工确认等多种防护措施;能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀; |
*支持漏洞防护功能,同时将漏洞防护特征库分类,至少包括缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WEB攻击等六种分类;漏洞防护支持日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作; | |
安全管理 | *支持基于主机或威胁情报视图,统计网络中确认被入侵、攻破的主机数量,至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息;并对威胁情报发现的恶意主机执行自动阻断; |
*支持安全策略的快速检索及基于名称、地址、端口、协议多维度的高级策略检索,支持策略的复制、调序、查询; | |
持将告警信息以SNMP Trap、邮件、声音、短信等形式通知管理员,告警信息的范围至少包括配置变更、病毒事件、攻击事件、异常事件、CPU利用率、内存利用率、硬盘利用率、接口带宽利用率等; | |
3.2上网行为管理(NBM3240)
硬件性能配置 | 千兆电口≥6个,并发连接数≥16万,最大新建连接数≥24000个/秒,硬盘128G SSD; |
服务要求 | 含三年软件特征库升级服务,三年产品保修服务; |
部署模式 | 支持网关模式、镜像模式、网桥模式及多路桥接,支持多台设备主主模式部署; |
审计功能
| *可集中呈现上网行为风险等级和状态;行为风险等级包括安全等级、效率等级、合规等级和管控等级; *支持配置病毒查杀策略,检查网络中传输的文件是否是病毒, *支持记录日志、病毒过滤; *支持与云端杀毒平台联动,对网络中传输的文件进行特征比对,以便减少对本地计算资源的消耗;至少应支持对以下几类网络应用传输的文件进行病毒云查杀:HTTP/FTP/IMAP/SMTP/POP3; *支持基于云端大数据安全平台,对恶意URL访问进行封堵和记录日志; *支持通过恶意软件特征检测方式识别失陷主机并记录日志。 *支持与威胁情报大数据平台对接,能够快速识别、封堵失陷主机、记录日志。应用协议库包含的应用数量不低于7100种,应用规则总数不低于30000种;为覆盖工作无关应用,移动应用不少于1000种,即时消息应不低于150种,网络游戏不低于270种,在线购物不低于50种,虚拟货币交易平台不低于40种。 *根据URL库及URL关键字进行网址访问管理,一条策略实现阻断、记录、告警,方便维护。 *能够基于发件人、收件人、主题、内容、附件名维度进行过滤、记录、告警;能够支持SSL加密的SMTP邮件审计;一条策略可实现Webmail以及SSL加密的Webmail基于发件人、收件人、主题、内容、附件名维度的记录、阻塞、告警。 *通过HTTPS审计功能,可以针对网站分类、证书颁发者、证书所有者、证书有效期等进行审计,加以控制;通过SNMP审计策略对SNMP通信内容进行审计和控制。 *所有日志可以按照用户,IP地址,匹配策略,访问控制,时间等各个列排序;可生成网页访问、论坛发帖,webmail、邮件收发、应用访问、应用流量等各种统计报表; *支持钻入式关联检索。基于用户、应用、内容等访问行为的统计排名,从不同角度发现异常行为,并能根据相关统计结果,逐层点击定位详细日志内容。 *支持上网行为分析报表、网络带宽分析报表、合规分析报表、效率分析报表、安全分析报表;设备必须提供告警信息集中展示页面,便于快速发现所有告警。 *支持通过FTP和SFTP方式将日志导出到指定服务器,日志支持SSL加密和ZIP压缩,支持自定义导出数据的时间段和数据定时上传的频率。支持定义导出日志数据的范围、用户、位置和工具。 *支持将日志数据通过设备USB接口导出。 *支持策略管理、日志审计、权限分配相互独立的三权制衡管理机制,避免超级管理员权限过大的弊端。系统管理员和审计员的账号创建,权限变更需要审核员审批才能生效。管理员和审计员的操作会形成日志受审核员监督。 *支持多台设备可以被集中管理平台统一下发、回收策略。 *支持将多台设备日志集中存储于一台日志中心服务器,便于数据的集中查询与统计。必须支持采用PC自带超级终端通过设备串口管理设备,配置命令行。 |
日志报表管理
| |
系统管理
|
3.3终端安全管理(TQ-ESM-FL-BOU-AV+FIX)
360天擎终端安全管理系统是面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的集防病毒与终端安全管控于一体的解决方案。360天擎终端安全管理系统,以大数据技术为支撑、以可靠服务为保障,它能够为用户精确检测已知病毒木马、未知恶意代码,有效防御APT攻击,并提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审计、XP盾甲防护诸多功能。
针对政企客户终端面临的外部威胁和内部管理痛点,奇安信集团基于“终端安全一体化”产品理念,推出集防病毒和安全管控于一体的安全管理系统,结合云端统一的大数据和威胁情报,有效发现识别病毒、木马、APT等各类威胁,通过病毒查杀、准入、防黑加固等安能力,为用户构建立体防护体系,同时完美兼容不同操作系统和计算平台,实现平台一体化。
Ø 控制中心
安全控制中心是360天擎终端安全管理系统的核心,部署在服务器端,主要包括安全管控和安全事件收集告警两大功能。
安全控制中心采用B/S架构,管理员可以随时随地的通过浏览器打开访问,对360天擎终端安全管理系统终端进行管理和控制。主要有分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量监控、终端软硬件资产管理等。安全此外安全控制中心还提供了系统运维的基础服务,如:云查杀服务、终端升级服务、数据服务、通讯服务等。
安全事件收集告警,通过管控中心,管理员可以了解全网终端的告警信息,通过报表分析,掌握全网威胁状况。
Ø 客户端
客户端部署在需要被保护的终端或服务器上,执行最终的木马病毒查杀、漏洞修复、安全防护等安全操作。并与安全控制中心通信,提供控制中心管理所需的相关安全告警信息。
n 功能一体化:国内首家集终端防病毒和安全管控于一体的终端安全管理系统;
n 平台一体化:完美兼容Windows、Linux、国产操作系统、MacOS X,同时支持桌面和服务器操作系统;
n 数据一体化:结合云端大数据和威胁情报,有效感知本地安全态势;
n 多引擎技术:拥有领先的云查杀引擎、系统修复引擎、QEX脚本查杀引擎、启发式引擎、QVM人工智能引擎,有效查杀已知和未知病毒
n 立体化主防:具备隔离防护、5层入口防护、7层系统防护及8层应用防护等主动防御技术
n 智能自学习:通过海量病毒样本数据自学习,QVM-II人工智能引擎无需频繁更新特征库、病毒检出率仍远超传统查杀引擎
n “非白即黑”安全策略:具备及时发现和抵御未知威胁的能力,并可以通过与天眼系统进行联动,有效抵御APT攻击
n 资产管理:自动识别全网终端资产信息,实时监控系统状态并告警,保障业务连续性
n 安全策略管理:通过非法外联、外设管理、进程控制、主机防火墙、桌面安全加固等多元化方式,提升终端安全等级
n 漏洞补丁管理:对全网终端漏洞进行扫描并关联,根据终端分组或操作系统类型错峰下发补丁
n 网络安全准入:支持旁路应用准入、802.1x准入及其它多种准入技术,对不满足安全性检查的终端不予接入网络,并引导到修复区进行安全修复
n 审计管控:全网文件安全审计,外设使用审计,多级管理,多种报警方式,实现高效的全网管控
3.4日志审计(LAS-R21P)
3.5信息系统等级保护一体机
合规一体机产品是一个架构先进、适用范围广的统一安全管理产品,能广泛兼容多种客户环境,为客户搭建安全服务能力供给平台,实现安全服务的可运营、可持续产出。平台提供的整体安全能力覆盖了南北向安全、东西向安全、主机安全、漏洞管理、web应用层面等完整的安全防护体系和多种审计手段,能够为各种公有云、行业云、私有云构建一套真正属于云时代的安全防护框架。
合规一体机产品提供了一个统一的安全管理平台。平台内集成了丰富的安全组件,包括智慧防火墙、IPS、VPN、WAF、堡垒机、数据库审计、日志审计、主机安全、网络安全审计等安全产品组件,从网络、主机、应用等多个层面保障客户的业务安全。
合规一体机产品的架构如下图所示:
主要组成及其功能:
Ø 安全管理平台:核心管理平台,负责本地安全组件的生命周期管理、授权激活、日志收集、安全策略。安全管理平台提供对客户的自助门户和系统管理门户,根据不同的登录角色进行区分。
Ø 基础合规套餐:合规一体机产品内提供的安全功能和安全防护实例包括:智慧防火墙、IPS、VPN、主机安全、数据库审计、日志审计、堡垒机产品组件,由合规一体机产品的安全管理平台进行统一管理。
Ø 增强合规套餐:合规一体机产品内提供的安全功能和安全防护实例包括:智慧防火墙、IPS、VPN、web应用防火墙、主机安全、漏洞扫描、数据库审计、日志审计、堡垒机产品安全组件,由合规一体机产品的安全管理平台进行统一管理。
Ø 旁路审计套餐:合规一体机产品内提供的安全功能和安全防护实例包括:数据库审计、日志审计、堡垒机、网络安全审计、漏洞扫描产品安全组件,由合规一体机产品的安全管理平台进行统一管理。
合规一体机产品为客户提供了一个能够持续运营的安全业务平台,每个客户都可以轻松地在本地快速搭建起一套符合等保合规要求的安全服务平台。合规一体机产品内集成的各种组件能为客户的提供多个层面上的安全防护能力,充分满足等保合规的要求。
总结合规一体机产品带给客户的价值如下:
1) 可运营、可管理的安全管理平台:
l 与各种安全组件的无缝集成,客户在平台上即可完成安全组件的创建和基础的安全策略配置工作,无需复杂安装部署过程,用户体验良好。
l 所有安全事件的统一收集、呈现、威胁态势分析,并可以统一设置告警策略。
l 服务链支持与传统网络设备对接实现自动化的网络引流,减少人工操作,缩短安全服务上线时间。
2) 丰富的安全组件协助客户构建立体的安全防护体系。合规一体机产品已经集成的安全能力包括:
l 智慧防火墙(建议单独配置)
l IPS
l VPN
l 主机安全
l Web应用防火墙
l 数据库审计
l 网络安全审计
l 堡垒机
l 漏洞扫描
l 日志审计
3)等保一体机技术参数
部署模式 | 合规一体机支持服务器三节点部署模式,安全管理平台支持主备部署模式,主备部署模式下支持当主的服务故障时能够在几秒内切换到备的服务,保证安全服务的不中断。 |
提供标准的北向接口,并能提供安全组件的计量数据、安全组件资源监控数据、安全事件等数据给第三方平台。 | |
安全管理平台和虚拟安全产品部署在合规一体机的安全资源池内,合规一体机采用标准X86服务器。虚拟安全产品的安装数量可以随着标准X86服务器数量的扩容而增长。 | |
系统概览 | 支持展示最近24小时、7天、30天安全组件数量增长趋势,安全组件已使用的授权数量、剩余授权数量,待审核订单数和项目数。 |
支持展示最近24小时、7天、30天发生的安全威胁的类型的TOP 10,每种安全威胁的24小时、7天、30天变化的趋势,可以查看平台内最新7条安全威胁事件。 | |
可基于所有掌握的安全组件的安全数据,形成客户视角的安全资源池综合安全态势展示。 | |
支持客户视角的安全防护和攻击威胁状态的综合呈现,包括安全组件防护态势、用户等保合规态势、用户风险、数据中心受攻击态势、主机失陷、攻击威胁类型、威胁趋势及威胁源态势等丰富的展示维度,并采用地图炮、分布图、趋势图等多种可视化手段进行呈现。 | |
组件性能 | 合规一体机能够提供轻代理主机安全防护服务,集成防病毒、主机防火墙、主机入侵防御、Webshell检测、防暴力破解等功能,用户能够选择主机安全轻代理的规格、授权终端数、使用时长,以及所属的区域和网络。 |
合规一体机能够提供网站防护服务,用户能够选择网站防护的规格、可管理的域名数、使用时长,以及所属的区域和网络。 | |
合规一体机能够提供综合漏洞扫描服务,包含多个模块:数据库漏洞扫描、系统漏洞扫描、WEB漏洞扫描、等保合规检查模块,用户能够选择综合漏洞扫描的规格、授权、使用时长,以及所属的区域和网络; | |
合规一体机能够提供堡垒机服务,提供运维安全管理与审计能力。用户能够选择堡垒机的规格、授权、使用时长,以及所属的区域和网络。 | |
合规一体机能够提供日志收集与分析系统,集日志采集与存储、日志归一化、关联分析、报表统计功能于一身,实现网络设备、安全设备、主机操作系统、中间件、数据库、应用系统在内的设备及系统的全面日志审计。 | |
合规一体机能够提供数据库审计服务,用户能够选择数据库审计的规格、授权、使用时长,以及所属的区域和网络。 | |
支持对第三方安全组件的生命周期管理。支持在合规一体机上发布自定义的第三方安全组件,支持用户申请开通第三方安全组件。 | |
安全服务 | 可通过合规一体机直接控制安全组件实例开机、关机、重启、删除,并支持查看安全实例的状态。 |
支持安全组件的批量开机、关机、重启操作。 | |
支持用户通过订单实现安全组件授权许可的扩容(授权数量增加)、续费(授权时长增加)。 | |
支持用户通过合规一体机单点登录到组件内置的管理页面。 | |
用户可以查看当前安全组件防护的资产列表,支持可以查看防火墙防护的IP地址、WAF内配置的域名、综合扫描内的扫描任务、数据库审计的审计对象、堡垒机审计的虚拟机、主机安全(无代理)防护的虚拟机。 | |
支持在综合漏洞扫描详情页直接添加漏洞扫描任务。 | |
支持在Web应用防火墙详情页直接添加普通服务器、代理服务器、安全策略。 | |
支持在数据库审计详情页添加数据库审计对象。 | |
服务编排 | 支持可视化拖拽的方式实现防火墙、网站防护组件的服务链建立、删除。 |
支持以拖拽的方式为虚拟机添加防护。包括将虚拟机流量引流到防火墙,在网站防护中添加防护域名。 | |
支持在添加引流交换机后,通过添加保护IP的方式,使用netconf协议在引流交换机上下发策略路由配置,牵引用户需要保护的流量。 | |
支持华为CloudEngine系列交换机(如:CE 5800系列、CE 6800系列、CE12800系列)和华三数据中心交换机(如:S6800系列)。 | |
支持在同一安全资源池内设置多台引流的交换机。满足复杂网络环境下的资源池部署要求。 | |
监控告警 | 支持对安全资源池设备的总览性展示,包括配置摘要信息、服务健康状态、设备资源监控告警情况、物理资源使用和分配情况、外网流量趋势、IP使用情况、TOP5 CPU使用率最高设备、TOP5 内存使用率最高设备、TOP5 磁盘使用率最高设备等情况的概览;支持导出。 |
支持列出全部物理资源和虚拟资源信息,除基本信息外,还展示单机实时服务状态、实时告警数量、实时CPU/内存/磁盘使用率;支持按不同维度筛选和搜索;支持导出;支持告警数和单机监控链接跳转。 | |
支持展示设备单机相关告警和主要信息,支持1小时、12小时、1天、7天、30天或自定义时间段内的CPU使用率、内存使用率、磁盘使用率(多磁盘)、网卡流量(多网卡,流入和流出流量)的趋势图;支持告警链接跳转;支持导出。 | |
展示告警策略基本信息;支持新建、编辑、复制、删除、启用和停用告警策略;支持按时间和类型等维度筛选和搜索策略;支持出厂预定义告警策略模板;支持资源监控告警、授权告警、日志存储告警、设备变更告警、安全威胁事件告警等不同告警类型和相应具体指标的设置和选择,可选择目标告警设备和告警接收邮件等;支持查看策略详情并看到关联具体策略的告警事件。 | |
支持匹配告警策略产生告警事件,分别以邮件和在线展示对用户进行告警。支持过去1天、7天和30天的告警威胁分布情况图表和列表数据展示;支持全部告警事件列表导出;告警事件可根据时间和不同维度进行筛选和搜索;支持查看告警事件详情且链接跳转到相关告警来源页面。 | |
系统管理 | 支持查看当前平台已经导入的授权的类型和授权数量,可单独查看每类授权的更新记录。 |
允许在订单中加入多个审核角色,可以自定义流程中各个节点的审核角色。不同的流程可以关联到不同的租户。 | |
支持Web云防护的接入配置。 | |
可选择是否展示威胁感知页面,填写对接的天眼威胁感知产品 | |
支持创建新的镜像类型,添加第三方镜像类型可以用于在安全市场中发布第三方组件。 | |
支持通过管理平台上传安全组件的镜像文件。 | |
支持管理员手动选择各类安全组件的镜像版本,第三方镜像类型支持删除。 | |
支持合规一体机系统通过安装包离线升级,通过浏览器上传升级包后可升级主程序版本。 | |
支持合规一体机作为智慧防火墙vNGFW的本地特征库升级服务器。用户可以上传、删除vNGFW的特征库文件,并一键触发vNGFW的升级任务。 | |
允许管理员修改日志存储策略,包括剩余存储容量、日志存储时长、存储容量使用率告警。 |
四、计算机网络系统安全等级保护V2.0套餐产品选型及服务列表
系统设备名称 | 设备型号及编码 | 参数及详细描述 | 单位 | 数量 |
防火墙 | NSG3000-TE15P | 多核AMP+架构,网络层吞吐量3G,并发连接≥160万,每秒新建连接数4万,标准1U机箱,单电源,标准配置4个10/100/1000M自适应电口,2个千兆SFP插槽,1个Console口, 含三年硬件维保服务。 | 套 | 1 |
上网行为管理系统 | NBM3240 | 120M带宽/1000人网络环境使用;最大并发连接数为16万;最大新建连接数为24000个/秒; 含专用操作系统与上网行为管理标准软件。1U硬件;标配6个千兆电接口(其中含1个管理接口和1个HA接口);4个千兆SFP插槽;单交流电源含三年硬件质保服务。 三年软件版本升级三年URL库应用协议库定期更新。 | 套 | 1 |
终端安全管理系统 | TQ-ESM-FL-BOU-AV+FIX | 防病毒功能+补丁功能,支持Windows XP/VISTA/WIN7/WIN8/WIN10,可扩展其它操作系统平台和其它功能,含三年升级服务。 | 点 | 50 |
日志审计系统 | LAS-R21P | 事件处理最高1000EPS。硬件规格:标准1U机箱,6个千兆电口,2个扩展插槽,1个Console接口单电源,2T硬盘。包含25授权节点包含三年维保。 | 台 | 1 |
网络中心安全环境、安全管理整改(测评机构提出甲方完成) | 机房环境整改、安全制度机构人员运维管理健全 | 初次测评后提出整改方案:安全防盗、安全供电、机房动环监控、通讯安全标准布线、设备安全安装、防漏水防静电等;管理制度、机构、人员、运维管理建立。 | 次 | 1 |
二级网络安全等保系统测评 | 系统项目 | 整套网络架构或者按照一个功能系统安全级别分值测评(分别初测和终测)。 | 项 | 1 |
系统设备名称 | 设备型号及编码 | 参数及详细描述 | 单位 | 数量 |
防火墙 | NSG3000-TE15P | 多核AMP+架构,网络层吞吐量3G,并发连接≥160万,每秒新建连接数4万,标准1U机箱,单电源,标准配置4个10/100/1000M自适应电口,2个千兆SFP插槽,1个Console口, 含三年硬件维保服务。 | 套 | 1 |
上网行为管理系统 | NBM3240 | 建议120M带宽/1000人网络环境使用;最大并发连接数为16万;最大新建连接数为24000个/秒; 含专用操作系统与上网行为管理标准软件。1U硬件;标配6个千兆电接口(其中含1个管理接口和1个HA接口);4个千兆SFP插槽;单交流电源。含三年硬件质保服务, 三年软件版本升级服务,三年URL库、应用协议库定期更新。 | 套 | 1 |
合规一体机服务器主机(磁盘基础型) | CSMPv2.0-QAX-SDSec-MGR-HM-1000-L | 提供系统主机硬件,硬件规格:英特尔4210处理器*2, 128G内存, 600G SAS硬盘 *2+ 4T SATA硬盘 *2, 9361 1G RAID卡 ,4口千兆网卡, 800W电源*2,含3年硬件质保。 | 套 | 1 |
合规一体机安全管理中心 | CSMPv2.0-QAX-SDSec | 合规一体机安全管理中心软件,进行远程管理、策略下发安全更新等 | 套 | 1 |
合规一体机终端安全管理增强包A型3年使用授权 | CSMPv2.0-QAX-SDSec-TQA-AV+FIX+YWGK-3Y | 合规一体机终端安全管理组件,提供增强包A型,包含防病毒+补丁+运维管控三个功能150点,含三年升级服务。支持Windows XP/VISTA/WIN7/WIN8/WIN10,可扩展其它操作系统平台和其它功能。 | 套 | 1 |
合规一体机综合日志审计25资产组件3年使用授权 | CSMPv2.0-QAX-SDSec-LAS-25-3Y | 综合日志审计安全组件,包含25个日志源授权,功能包括日志采集、存储、查询、关联分析、告警、报表等。支持安全设备、操作系统、数据库、应用系统、网络设备的日志采集,含三年升级许可。 | 套 | 1 |
合规一体机数据库审计基础版组件3年使用授权 | CSMPv2.0-QAX-SDSec-DBAudit-200-3Y | 数据库审计安全组件,支持200Mbps吞吐,含三年升级许可。 | 套 | 1 |
合规一体机堡垒机25资产组件3年使用授权 | CSMPv2.0-QAX-SDSec-BH-25-3Y | 堡垒机安全组件,可管理25资产(服务器、数据库、网络设备),含三年升级更新服务。 | 套 | 1 |
合规一体机综合漏洞扫描标准版组件3年使用授权 | CSMPv2.0-QAX-SDSec-SCAN-100-3Y | 漏洞扫描组件,支持数据库漏洞扫描(100个IP)、系统漏洞扫描(100个IP)、WEB漏洞扫描(25个URL)、主机基线配置核查(100个IP)、网络基线配置核查(100个IP)、等保合规检查模块含三年升级许可。 | 套 | 1 |
合规一体机Web应用防火墙基础版组件3年使用授权 | CSMPv2.0-QAX-SDSec-vWAF-300-3Y | Web应用防火墙安全组件,提供网站及Web应用系统防护,支持SQL注入、跨站脚本、扫描嗅探、应用层拒绝服务等攻击防护。最大应用层防护带宽300M,QPS:4000/S,包含3年特征库升级、维保服务。 | 套 | 1 |
网络中心各项安全环境安全管理整改建议方案(测评机构提出甲方完成) | 定制(测评机构初次测评后整改方案提出的环境和管理方面的整改方案) | 信息中心安全环境(防盗、防漏水、防火、停电等动环监控)、通讯安全(通讯线路整理)、边界整改建议方案由甲方完成,安全管理制度、安全机构及安全人员、系统设备管理、运维管理方案规划建立(服务提供方协助甲方完成)。 | 次 | 1 |
安全系统集成技术服务 | 定制(服务方提供的安全设备) | 按照三级网络等级保护V2.0进行安全技术集成及等保安全技术服务 | 次 | 1 |
三级安全等保系统测评 | 按单个信息系统 | 整套网络架构或者按照一个功能型信息系统的安全级别测评分值;专业结构在需方网络整改前初次测评交付安全整改方案;按方案整改后(安全环境、管理制度、安全系统设备集成)最终测评出系统安全分值级别,按测评报告向公安部门备案。 | 项 | 1 |
以上所列等保服务套餐,根据服务需方情况可以选择软硬件及服务一次性购买的方式,也可以选择分三年购买网络等保安全服务的方式。选择一次性购买方式,安全软硬件产品产权归采购单位所有。选择只购买网络等级安全服务的方式,服务提供方所提供的安全硬件产品产权归服务提供方所有,服务购买方只享有购买网络等保安全服务的权益。购买网络等保安全服务方式,签订分期三年的安全服务合同,在三年内逐年向服务方支付服务费。服务提供方推荐测评机构(购方可自选),测评费在行业规定的标准收费基础上可以优惠折扣,测评费由服务购买方另外支付。网络机房安全环境完善及制度机构人员建立由需求方完成,服务提供方也可协助需方完成。服务提供方保证提供的服务方案能够顺利通过测评并取得公安网安的等保备案证书。
5.2.1二级网络安全等保购买服务收费
二级网络安全等保购买服务的方式,服务提供方提供方案第四项二级等级保护套餐的系统和设备,并安装调试完成并确保通过测评后,服务购买方第一年支付服务提供方10万元的等保安全服务费,第二年服务购买方支付8万元的等保安全服务费,第三年服务购买方支付5万元的等保安全服务费,测评费由测评机构另行收取,三年服务结束后双方另行协商后续服务合同。
5.2.2三级网络安全等保购买服务收费
三级网络安全等保购买服务的方式,服务方提供第四项三级网络安全等保套餐系统设备并安装集成并确保通过等保测评后,服务购买方第一年支付15万元的等保安全服务费,第二年支付12万元的等保安全服务费,第三年支付8万元的等保安全服务费,三级网络等保测评费由测评机构单独收取,三年服务结束后双方另行协商后续服务方式。
单位:张家口市金诚科技有限责任公司
地址:张家口市胜利中路24号桥东区
