信息安全等级保护解决方案.docx

地市电子政务网络的信息安全等级保护（一)一、背景自从国家启动政府信息化建设以来，各地市政府大都已经完成了从无到有的电子政务网络建设。但是，初期的地市电子政务网连接范围一般较小，纵向上,没有连接起区县一级的政府办公网络；横向上，没有连接起各局、委、办的办公网络;相互之间缺乏有机联系，形成了信息孤岛,导致无论是政府内部办公还是公众服务，都存在沟通不畅、效率低的问题.为了加强政府内部的交流、提高政府的整体办公效率和服务水平,许多地市已经开始规划、建设具有更大连接范围、更快传输速度的大型电子政务网络.大型地市电子政务网络建设的基本目标是为各接入单位提供统一、优质的信息化传输平台。但与此同时,由于接入人员的身份复杂（分属不同的行政部门），各部门对信息安全的要求也存在差异,所以电子政务网在为正常业务数据提供高速通路的同时，也有可能成为网络安全威胁快速扩散和蔓延的温床。这已经成为地市电子政务网络建设中需要考虑的头号问题，换句话说：“大型地市电子政务网建设的好与不好，标准就是网络安全是否达标”。二、“等保”与电子政务网适逢其时的是，国家的相关部门已经制订了标准、规范,可以非常细致地指导地市电子政务网的“网络安全规划、建设和监管”.这个标准和规范就是“信息安全等级保护"。信息安全等级保护（简称“等保”)就是国家通过制订统一的标准，根据信息系统不同重要程度,有针对性开展保护工作，分等级对信息系统进行保护，国家对不同等级的信息系统实行不同强度的监督管理。“等保”将信息系统的安全等级分为5级，1级最低，5级最高。例如,电子政务内网要达到级保护要求，电子政务外网要达到级保护要求。“等保”有具体的实施指南，把实施流程进行了细化，在其中的“安全规划设计阶段”、“产品采购和工程实施阶段”、“运营管理和状态监控阶段”，3C公司都能提供很好的服务和帮助，尤其是在安全建设规划、详细方案设计的过程中。地市电子政务网络的信息安全等级保护（二）H3C公司多年服务于电子政务网,了解电子政务网运行中的安全需求，开发了“五大安全解决方案”,分别是:远程安全接入解决方案、边界防护解决方案、内网控制解决方案、数据中心保护解决方案和行为监管解决方案.这些解决方案不是单一的产品，而是多产品的联动配合，能够响应“等保"中的许多技术要求和管理要求，是落实“等保”的优秀解决方案。     远程安全接入解决方案能够响应的等保要求：O16。应具有对传输和存储数据进行完整性检测的能力O1-8.应具有合理使用和控制系统资源的能力O19。 应具有设计合理、安全网络结构的能力O1。 应具有对网络、系统和应用的访问进行控制的能力O115. 应具有对数据、文件或其他资源的访问进行控制的能力O1。 应具有对用户进行标识和鉴别的能力1-17。 应具有保证鉴别数据传输和存储保密性的能力O211。 应具有对传输和存储数据进行完整性检测的能力1 应具有对硬件故障产品进行替换的能力O13 应具有系统软件、应用软件容错的能力214。 应具有软件故障分析的能力215。 应具有合理使用和控制系统资源的能力O216.应具有记录用户操作行为的能力O-22。 应具有对传输和存储中的信息进行保密性保护的能力O224.应具有限制网络、操作系统和应用系统资源使用的能力O25. 应具有能够检测对网络的各种攻击并记录其活动的能力O2-27. 应具有对网络、系统和应用的访问进行控制的能力. 应具有对数据、文件或其他资源的访问进行控制的能力229 应具有对资源访问的行为进行记录的能力O3。应具有对用户进行唯一标识的能力O23。 应具有对用户产生复杂鉴别信息并进行鉴别的能力O2-35。 应具有保证鉴别数据传输和存储保密性的能力O23。 应具有非活动状态一段时间后自动切断连接的能力O28 应具有网络边界完整性检测能力1 应具有监测通信线路传输状况的能力O315. 应具有及时恢复正常通信的能力O16。 应具有对传输和存储数据进行完整性检测和纠错的能力O-17. 应具有系统软件、应用软件容错的能力O-18.应具有软件故障分析的能力O39。 应具有软件状态监测和报警的能力O3-20。应具有自动保护当前工作状态的能力O321。 应具有合理使用和控制系统资源的能力O-22. 应具有按优先级自动分配系统资源的能力O333。 应具有使重要通信线路及时恢复的能力O4 应具有限制网络、操作系统和应用系统资源使用的能力O3-35 应具有合理分配、控制网络、操作系统和应用系统资源的能力O336。应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力O3 应具有对网络、系统和应用的访问进行严格控制的能力O9。应具有对数据、文件或其他资源的访问进行严格控制的能力O3-44. 应具有保证鉴别数据传输和存储保密性的能力34. 应具有对用户进行唯一标识的能力O3-51 应具有对传输和存储中的信息进行保密性保护的能力352。 应具有防止加密数据被破解的能力O53。 应具有路由选择和控制的能力O54。 应具有信息源发的鉴别能力O-5。应具有通信数据完整性检测和纠错能力O-7 应具有持续非活动状态一段时间后自动切断连接的能力38。 应具有基于密码技术的抗抵赖能力O35 应具有防止未授权下载、拷贝软件或者文件的能力-6。应具有切断非法连接的能力O362应具有重要数据和程序进行完整性检测和纠错能力O36 应具有保证重要业务系统及时恢复运行的能力O415。 应具有监测通信线路传输状况的能力O4-21. 应具有合理使用和控制系统资源的能力422. 应具有按优先级自动分配系统资源的能力O423。应具有对传输和存储数据进行完整性检测和纠错的能力O436 应具有使重要通信线路及时恢复的能力O37. 应具有限制网络、操作系统和应用系统资源使用的能力O43。 应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力4-39. 应具有合理分配、控制网络、操作系统和应用系统资源的能力O4-41. 应具有对网络、系统和应用的访问进行严格控制的能力O442。 应具有对数据、文件或其他资源的访问进行严格控制的能力O44。 应具有保证鉴别数据传输和存储保密性的能力O448. 应具有对用户进行唯一标识的能力-9 应具有对同一个用户产生多重鉴别信息,其中一个是不可伪造的鉴别信息并进行多重鉴别的能力O43 应具有对传输和存储中的信息进行保密性保护的能力O455. 应具有防止加密数据被破解的能力O456。应具有路由选择和控制的能力O457。 应具有信息源发的鉴别能力O4-59。应具有持续非活动状态一段时间后自动切断连接的能力4-60. 应具有基于密码技术的抗抵赖能力O-1。 应具有防止未授权下载、拷贝软件或者文件的能力43. 应具有切断非法连接的能力-64. 应具有重要数据和程序进行完整性检测和纠错能力4-68。 应具有保证通信不中断的能力O46。 应具有保证业务系统不中断的能力.     边界防护解决方案能够响应的等保要求：O1-8. 应具有合理使用和控制系统资源的能力O19。 应具有设计合理、安全网络结构的能力O113. 应具有发现网络协议、操作系统、应用系统等重要漏洞并及时修补的能力O114.应具有对网络、系统和应用的访问进行控制的能力O1-15.应具有对数据、文件或其他资源的访问进行控制的能力O1-6应具有对用户进行标识和鉴别的能力1-17。应具有保证鉴别数据传输和存储保密性的能力O1-18. 应具有对恶意代码的检测、阻止和清除能力O2-1 应具有合理使用和控制系统资源的能力O216.应具有记录用户操作行为的能力O225.应具有能够检测对网络的各种攻击并记录其活动的能力O226。 应具有发现所有已知漏洞并及时修补的能力O27应具有对网络、系统和应用的访问进行控制的能力228. 应具有对数据、文件或其他资源的访问进行控制的能力232。 应具有对恶意代码的检测、阻止和清除能力2-33应具有防止恶意代码在网络中扩散的能力O-4. 应具有对恶意代码库和搜索引擎及时更新的能力2-38. 应具有网络边界完整性检测能力O-1。 应具有合理使用和控制系统资源的能力O33. 应具有限制网络、操作系统和应用系统资源使用的能力O-5 应具有合理分配、控制网络、操作系统和应用系统资源的能力336. 应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力O-37. 应具有发现所有已知漏洞并及时修补的能力338 应具有对网络、系统和应用的访问进行严格控制的能力O39.应具有对数据、文件或其他资源的访问进行严格控制的能力O0应具有对资源访问的行为进行记录、分析并响应的能力O-41.应具有对恶意代码的检测、阻止和清除能力O-2. 应具有防止恶意代码等在网络中扩散的能力3-3。应具有对恶意代码库和搜索引擎及时更新的能力O353.应具有路由选择和控制的能力O354。 应具有信息源发的鉴别能力O359。 应具有防止未授权下载、拷贝软件或者文件的能力O3-60. 应具有网络边界完整性检测能力O31应具有切断非法连接的能力O42。 应具有合理使用和控制系统资源的能力O4。 应具有按优先级自动分配系统资源的能力O37.应具有限制网络、操作系统和应用系统资源使用的能力438. 应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力O4-39。 应具有合理分配、控制网络、操作系统和应用系统资源的能力O40。 应具有发现所有已知漏洞并及时修补的能力O4-4 应具有对网络、系统和应用的访问进行严格控制的能力442。应具有对数据、文件或其他资源的访问进行严格控制的能力O44 应具有对恶意代码的检测、集中分析、阻止和清除能力5. 应具有防止恶意代码在网络中扩散的能力O4-4。 应具有对恶意代码库和搜索引擎及时更新的能力O47. 应具有保证鉴别数据传输和存储保密性的能力456 应具有路由选择和控制的能力O457。应具有信息源发的鉴别能力O461 应具有防止未授权下载、拷贝软件或者文件的能力O4-62。 应具有网络边界完整性检测能力O4-63 应具有切断非法连接的能力3.     内网控制解决方案能够响应的等保要求：O3. 应具有发现网络协议、操作系统、应用系统等重要漏洞并及时修补的能力11. 应具有对网络、系统和应用的访问进行控制的能力O11。 应具有对数据、文件或其他资源的访问进行控制的能力116。 应具有对用户进行标识和鉴别的能力O1-18 应具有对恶意代码的检测、阻止和清除能力2-5.应具有合理使用和控制系统资源的能力216。 应具有记录用户操作行为的能力O1 应具有对用户的误操作行为进行检测和报警的能力O224。 应具有限制网络、操作系统和应用系统资源使用的能力O2-2. 应具有能够检测对网络的各种攻击并记录其活动的能力O26。 应具有发现所有已知漏洞并及时修补的能力O27. 应具有对网络、系统和应用的访问进行控制的能力O228. 应具有对数据、文件或其他资源的访问进行控制的能力22。应具有对资源访问的行为进行记录的能力O20。 应具有对用户进行唯一标识的能力3。应具有对用户产生复杂鉴别信息并进行鉴别的能力232应具有对恶意代码的检测、阻止和清除能力233应具有防止恶意代码在网络中扩散的能力2-34. 应具有对恶意代码库和搜索引擎及时更新的能力O3-19. 应具有软件状态监测和报警的能力O32. 应具有合理使用和控制系统资源的能力O3-22。 应具有按优先级自动分配系统资源的能力O24。 应具有记录用户操作行为和分析记录结果的能力O3-34.应具有限制网络、操作系统和应用系统资源使用的能力O3. 应具有合理分配、控制网络、操作系统和应用系统资源的能力3-36 应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力O3-. 应具有发现所有已知漏洞并及时修补的能力O3-3.应具有对网络、系统和应用的访问进行严格控制的能力O-3. 应具有对数据、文件或其他资源的访问进行严格控制的能力30 应具有对资源访问的行为进行记录、分析并响应的能力O3-. 应具有对恶意代码的检测、阻止和清除能力O342。 应具有防止恶意代码等在网络中扩散的能力O-3。 应具有对恶意代码库和搜索引擎及时更新的能力O345 应具有对用户进行唯一标识的能力O46 应具有对同一个用户产生多重鉴别信息并进行多重鉴别的能力O47 应具有对硬件设备进行唯一标识的能力O34应具有对硬件设备进行合法身份确定的能力O349 应具有检测非法接入设备的能力O3-54. 应具有信息源发的鉴别能力O358 应具有基于密码技术的抗抵赖能力O3-59.应具有防止未授权下载、拷贝软件或者文件的能力O36应具有切断非法连接的能力O21。 应具有合理使用和控制系统资源的能力O42。 应具有按优先级自动分配系统资源的能力O425 应具有记录用户操作行为和分析记录结果的能力27 应具有安全机制失效的自动检测和报警能力O2。 应具有检测到安全机制失效后恢复安全机制的能力O4-37. 应具有限制网络、操作系统和应用系统资源使用的能力O-38。 应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力O4-9。 应具有合理分配、控制网络、操作系统和应用系统资源的能力4-0 应具有发现所有已知漏洞并及时修补的能力O44.应具有对网络、系统和应用的访问进行严格控制的能力O42。应具有对数据、文件或其他资源的访问进行严格控制的能力O443。 应具有对资源访问的行为进行记录、集中分析并响应的能力O44 应具有对恶意代码的检测、集中分析、阻止和清除能力O445.应具有防止恶意代码在网络中扩散的能力4。应具有对恶意代码库和搜索引擎及时更新的能力O447。 应具有保证鉴别数据传输和存储保密性的能力4-48 应具有对用户进行唯一标识的能力O449. 应具有对同一个用户产生多重鉴别信息,其中一个是不可伪造的鉴别信息并进行多重鉴别的能力O-50 应具有对硬件设备进行唯一标识的能力O-51。 应具有对硬件设备进行合法身份确定的能力O4-5。 应具有检测非法接入设备的能力O4-5 应具有路由选择和控制的能力O457。 应具有信息源发的鉴别能力O-6. 应具有防止未授权下载、拷贝软件或者文件的能力O4-63应具有切断非法连接的能力4。     数据中心保护解决方案能够响应的等保要求:O1. 应具有发现网络协议、操作系统、应用系统等重要漏洞并及时修补的能力O-14应具有对网络、系统和应用的访问进行控制的能力O15. 应具有对数据、文件或其他资源的访问进行控制的能力O18. 应具有对恶意代码的检测、阻止和清除能力O-15. 应具有合理使用和控制系统资源的能力2-24 应具有限制网络、操作系统和应用系统资源使用的能力O225 应具有能够检测对网络的各种攻击并记录其活动的能力O2-26.应具有发现所有已知漏洞并及时修补的能力O2。 应具有对网络、系统和应用的访问进行控制的能力O28。 应具有对数据、文件或其他资源的访问进行控制的能力3。 应具有对恶意代码的检测、阻止和清除能力O233应具有防止恶意代码在网络中扩散的能力O23。 应具有对恶意代码库和搜索引擎及时更新的能力O-3 应具有限制网络、操作系统和应用系统资源使用的能力O3-。 应具有合理分配、控制网络、操作系统和应用系统资源的能力O3-36 应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力O-37。 应具有发现所有已知漏洞并及时修补的能力3-38. 应具有对网络、系统和应用的访问进行严格控制的能力O33. 应具有对数据、文件或其他资源的访问进行严格控制的能力O4 应具有对资源访问的行为进行记录、分析并响应的能力341。 应具有对恶意代码的检测、阻止和清除能力O。 应具有防止恶意代码等在网络中扩散的能力343。应具有对恶意代码库和搜索引擎及时更新的能力O437 应具有限制网络、操作系统和应用系统资源使用的能力43。 应具有能够检测、集中分析、响应、阻止对网络和所有主机的各种攻击的能力O-9. 应具有合理分配、控制网络、操作系统和应用系统资源的能力40。 应具有发现所有已知漏洞并及时修补的能力4.应具有对网络、系统和应用的访问进行严格控制的能力O42. 应具有对数据、文件或其他资源的访问进行严格控制的能力O4-44 应具有对恶意代码的检测、集中分析、阻止和清除能力445 应具有防止恶意代码在网络中扩散的能力O46。 应具有对恶意代码库和搜索引擎及时更新的能力5。     行为监管解决方案能够响应的等保要求：O4. 应具有对网络、系统和应用的访问进行控制的能力1-5 应具有对数据、文件或其他资源的访问进行控制的能力1-6.应具有对用户进行标识和鉴别的能力O2-5。应具有合理使用和控制系统资源的能力O-16。 应具有记录用户操作行为的能力22 应具有限制网络、操作系统和应用系统资源使用的能力O25. 应具有能够检测对网络的各种攻击并记录其活动的能力O2。应具有对网络、系统和应用的访问进行控制的能力O28。 应具有对数据、文件或其他资源的访问进行控制的能力O2-29. 应具有对资源访问的行为进行记录的能力O230。 应具有对用户进行唯一标识的能力O231 应具有对用户产生复杂鉴别信息并进行鉴别的能力O3. 应具有合理使用和控制系统资源的能力O-22. 应具有按优先级自动分配系统资源的能力3-2. 应具有记录用户操作行为和分析记录结果的能力O3-34 应具有限制网络、操作系统和应用系统资源使用的能力O33. 应具有合理分配、控制网络、操作系统和应用系统资源的能力38。 应具有对网络、系统和应用的访问进行严格控制的能力39。 应具有对数据、文件或其他资源的访问进行严格控制的能力O3-4.应具有对资源访问的行为进行记录、分析并响应的能力O3-45. 应具有对用户进行唯一标识的能力O-4应具有对同一个用户产生多重鉴别信息并进行多重鉴别的能力O3-9. 应具有防止未授权下载、拷贝软件或者文件的能力36. 应具有切断非法连接的能力O41。 应具有合理使用和控制系统资源的能力425。应具有记录用户操作行为和分析记录结果的能力O7。 应具有限制网络、操作系统和应用系统资源使用的能力O43。 应具有合理分配、控制网络、操作系统和应用系统资源的能力O1。 应具有对网络、系统和应用的访问进行严格控制的能力O442。 应具有对数据、文件或其他资源的访问进行严格控制的能力O43. 应具有对资源访问的行为进行记录、集中分析并响应的能力O-8。 应具有对用户进行唯一标识的能力-49. 应具有对同一个用户产生多重鉴别信息，其中一个是不可伪造的鉴别信息并进行多重鉴别的能力O461。 应具有防止未授权下载、拷贝软件或者文件的能力O463. 应具有切断非法连接的能力O465。应具有对敏感信息进行标识的能力O46 应具有对敏感信息的流向进行控制的能力总结作为业内领先的网络与安全解决方案供应商,H3C在信息安全等级保护正式开始推行的时候，就敏锐地意识到等级保护与3C一直倡导的“面向安全的网络设计"有着天然的契合。基于此，在产品、解决方案、品牌以及组织架构等方面已经做足准备的H3C公司，必将充分发挥“五大安全解决方案”的技术优势，利用“面向安全的网络设计”准确地把握地市电子政务网络建设中的“等保”要求，为大型地市电子政务网络新一轮的升级改造贡献自己的力量。