新等保解决方案产品销售指导正式版V1.0产品与解决方案中心王亮张培蔚CONTENTS2•等级保护通用要求•三级等保方案介绍•方案优势&价值•典型案例•可销售产品清单等级保护有法可依违法必究第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改…第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。等保2.0扩展—安全通用要求+五个扩展分册•GB/T22239.1-XXXX信息安全技术网络安全等级保护基本要求第1部分安全通用要求•GB/T22239.2-XXXX信息安全技术网络安全等级保护基本要求第2部分云计算安全扩展要求•GB/T22239.3-XXXX信息安全技术网络安全等级保护基本要求第3部分移动互联安全扩展要求•GB/T22239.4-XXXX信息安全技术网络安全等级保护基本要求第4部分物联网安全扩展要求•GB/T22239.5-XXXX信息安全技术网络安全等级保护基本要求第5部分工业控制安全扩展要求•GB/T22239.6-XXXX信息安全技术网络安全等级保护基本要求第6部分大数据安全扩展要求三级安全控制项1.0:290项技术136管理154技术要求应用和数据安全设备和计算安全网络和通信安全物理和环境安全管理要求安全策略和管理制度安全管理机构和人员安全建设管理安全运维管理等保三级安全的控制项技术要求数据安全及备份恢复应用安全主机安全网络安全物理安全管理要求系统运维管理系统建设管理人员安全管理安全管理机构安全管理制度三级安全控制项2.0:229项技术116管理113等保2.0控制域控制项变化示例CONTENTS7•等级保护通用要求•三级等保方案介绍•方案优势&价值•典型案例•可销售产品清单安全运维安全产品与等保要求对应情况网络技术要求物理安全网络与通信安全设备和计算安全应用和数据安全机构人员数据应用操作系统虚拟化NGFWAntiDDoS虚拟化安全天擎NACWAF网页防篡改鹰眼VPNDB审计等保咨询物理环境CCTV门禁漏扫管理要求机构人员建设管理等保集成渗透测试建设管理SNINGSOC安全运维堡垒机等级保护安全架构策略制度等保咨询策略制度360ID应急响应驻场保障DLP安全培训ICGIPS天眼防病毒墙防火防水电力保障机房抗震日志审计LAS电磁防护基础环境评估注:物理安全由等保防护对象或电信基础设施运营商提供网闸天巡漏扫代码卫士SMAC等保二级要求等保三级增加要求CA应用改造邮件网关容灾备份等保二级要求等保三级增加要求第三方设备:360自有设备:等级保护生命周期安全服务(等保2.0)定级备案安全设计实施安全运行维护应急响应保障总体安全规划等保咨询服务安全规划设计服务等保集成服务安全运维服务系统调查系统定级定级报告专家评审协助备案安全需求分析安全策略设计解决方案设计安全建设规划详细设计技术实现管理实现安全培训运行管理服务商管控等级测评检测改进基础环境评估服务现场评估报告编制应急预案监测响应评估改进应急保障安全应急服务行业/领域主管部门属地公安机关有等保建设资质的厂商,设计院等有等保建设资质的厂商等保用户专业安全厂商等保用户专业安全厂商CONTENTS10•等级保护通用要求•三级等保方案介绍•方案优势&价值•典型案例•可销售产品清单1安全风险评估3安全运维2等保咨询4应急响应5安全架构设计安全集成一站式新等保三级解决方案优势1--产品覆盖最全优势2--公司资质最全序号资质名称网神启明星辰绿盟科技天融信深信服华为东软蓝盾北信源亚信安恒阿里云认定认可类1计算机信息系统集成企业资质(大型一级为最高级)二级二级二级二级×一级一级一级××二级×2商用密码产品销售许可证√√√√√√√×√×××3商用密码产品生产定点单位证书√√√√××××√×××4纳税信用A级企业√√√√√√√√√√√√5ISO9001:2008质量管理体系(包含网神科技)√√√√√√√√√×√×6ISO20000:2011信息技术服务管理体系√××√×√√√×√×√7ISO27001:2005信息安全管理体系√√√√×√√√×√√√8ISO14000环境管理体系认证√√×√×√√××√√×9ISO18000职业健康安全管理体系√××××√√×××××10TL9000电讯业质量管理体系认证×××√×√××××××安全服务类1信息安全等级保护建设服务机构能力评估合格证书√√√×××××√×√√2ISCCC信息安全服务资质-应急处理服务一级一级一级一级×一级一级一级××一级×3ISCCC信息安全服务资质-风险评估服务一级一级一级一级×一级一级一级××一级×4ISCCC信息安全服务资质-信息系统安全集成服务一级一级一级一级×一级一级一级×一级××5国测信息安全服务资质-安全开发类一级一级一级一级××一级×一级一级一级×6国测信息安全服务资质-安全工程类二级二级二级二级×二级二级××一级二级×7CISP授权服务机构√√×√××√×××√×8通信网络安全服务能力评定证书安全设计与集成(三级为最高级)二级一级二级二级×××一级×一级××9通信网络安全服务能力评定证书风险评估(三级为最高级)二级二级二级二级×××一级×一级一级×10通信网络安全服务能力评定证书应急响应(三级为最高级)一级一级一级一级××××××××11通信网络安全服务能力评定证书安全培训(三级为最高级)一级一级一级一级××××××××服务支撑类1CNCERT/CC网络安全应急服务支撑单位国家级国家级国家级国家级国家级省级国家级省级××国家级省级2CNCERT网络安全信息通报单位√√√√×√×××√××优势3--威胁情报及大数据分析能力最强方案价值--“不止合规”等保2.0预警研判应急处置协同防御•自动化的闭环协同处置“终端-网关-云端”联动的动态纵深防御体系•技术支援和决策建议•帮助建设事件的应急处置能力。•提供安全人才的实训培养•可视化技术--网络整体安全态势监测及相关威胁的预警,提升组织安全管理效率。•高质量的威胁情报支撑,描绘攻击者画像,了解相关攻击历史CONTENTS15•等级保护通用要求•三级等保方案介绍•方案优势&价值•典型案例•可销售产品清单农业部(金农工程一期安全集成与服务项目):开展定级、调研、设计、技术实施、管理实施、评估加固、测评、产品采购、运维等全过程。最终测评三级系统85分,二级系统95分。水利部(水利信息安全等级保护集成与服务项目):开展定级、调研、设计、技术实施、管理实施、评估加固、测评、产品采购、运维等全过程。最终测评三级系统88分,二级系统97分。教育部(小金教等级保护咨询服务项目):495万,等级保护咨询项目,包含信息系统安全建设全生命周期。安监总局国土等……承建了多个部委的等级保护建设项目的咨询、集成与产品集成实施工作。承建了诸如金盾、金安、金农、金水、金信、金质、金土、金审等重大项目。部分案例CONTENTS17•等级保护通用要求•三级等保方案介绍•方案优势&价值•典型案例•可销售产品清单可销售产品清单-23款产品产品名称产品描述产品形态满足的等保控制域数据库审计网络数据捕获能力、数据库协议解析、事件关联分析为基础,可以精准识别数据库操作硬件应用和数据安全DLP保护数据防窃密软件应用和数据安全WAF+防篡改对网站服务器提供安全防护,作为针对网站服务器的各类访问请求进行检测和验证。确保其安全性和合法性,对非法的请求予以实时阻断,防止网页被篡改,从而对各类网站站点进行有效防护。硬件应用和数据安全鹰眼通过镜像流量的方式识别web资产、发现web漏洞硬件应用和数据安全天擎集防病毒与终端安全管控于一体的终端安全解决方案,提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审计、XP盾甲防护诸多功能软件设备和计算安全NAC为企业终端提供安全合规准入规范及手段硬件设备和计算安全漏洞扫描由系统扫描、Web扫描、弱口令破解、配置指标检查于一体化的专业安全产品硬件设备和计算安全+网络和通信安全360ID一次性口令系统软件/硬件设备和计算安全+网络和通信安全NGFW为各行业网络出口打造的“云+端+边界+联动”下一代安全防御体系硬件网络和通信安全Anti-DDoS能够解决流量型DDOS以及连接型DDOS攻击造成的网络瘫痪,服务无法正常运行的问题,是集攻击检测、攻击防御、网络监控及管理于一体的安全产品硬件网络和通信安全行为管理为企业提供法律遵从、企业合规、工作效率提升、互联网防泄密等价值硬件网络和通信安全IDS检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。硬件网络和通信安全IPS将深度内容检测、安全防护、应用识别管理等技术完美地结合在一起,配合定期更新的入侵攻击特征库,可检测包括探测与扫描、溢出攻击、DDOS攻击、SQL注入、可疑代码、蠕虫、木马、间谍软件等各种网络威胁并进行细粒度的处置。硬件网络和通信安全天眼利用大数据分析技术,提升用户“精准发现”其网络中威胁的能力,需捆绑安服销售硬件网络和通信安全防病毒墙NGFW加AVLicense提供防病毒墙功能硬件网络和通信安全网闸位于不同安全级别的网络之间或者不同的安全域之间,采用专用的2+1架构实现安全隔离,通过协议转换、信息摆渡的方式实现高效安全的数据交换硬件网络和通信安全IDS检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。硬件网络和通信安全IPS将深度内容检测、安全防护、应用识别管理等技术完美地结合在一起,配合定期更新的入侵攻击特征库升级硬件网络和通信安全SMAC防火墙集中配置,策略管理中心代码卫士源代码安全缺陷检测、合规检测、溯源检测三大检测功能,并可实现软件安全开发生命周期管理硬件安全建设管理堡垒机基于软硬件一体化设计,集账号、认证、授权、审计为一体的设计理念,实现对事企业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计硬件安全运维日志审计系统满足各个行业及单位对合规性要求的日志审计软件/硬件安全运维SNI/NGSOC实现威胁发现、持续性内外部态势感知、分析溯源、联动处置和安全运维,有效提升管理能力硬件安全运维可销售服务清单-7款服务产品名称产品描述产品形态满足的等保控制域等级保护咨询1、定级咨询;2、差距评估;3、方案设计;4、协助测评服务一次性安全管理机构和人员安全策略和管理制度等级保护建设集成(行业五群CSI周华涛)1、安全技术体系设计;2、安全管理体系设计;3、安全产品集成实施;4、风险评估;5、安全加固服务一次性安全建设管理渗透测试360CERT渗透测试工具采用高速渗透式扫描引擎配合漏洞验证手段。可以快速对大批量网站进行工具渗透并对结果进行验证。100%无误报,所有漏洞均提供截图验证。服务一次性安全策略和管理制度安全运维管理基础环境评估1,漏洞扫描2,对操作系统、数据库、中间件、网络设备、网络安全设备、网络边界进行配置核查一次性,人工服务安全建设管理应急响应在用户发生确切的安全事件时,应急响应实施人员及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏服务一次性安全运维管理驻场安全保障服务安全策略优化,定期风险评估,安全监控服务年付安全运维管理机构和人员管理业务安全技能培训培训内容从攻击者、防御者、管理者等多角度对企业安全进行深入浅出的解一次学员不超过10人安全管理机构和人员THANKS解决方案负责人产品与解决方案中心王亮wangliang01@b.360.cn周永刚zhouyonggang@b.360.cn张培蔚zhangpeiwei@b.360.cn附录一安全要求和属性标识技术/管理分类安全控制点属性标识安全技术要求物理和环境安全物理位置选择G物理访问控制G防盗窃和防破坏G防雷击G防火G防水和防潮G防静电G温湿度控制G电力供