信息安全等級保護(hù)建設(shè)解決方案

信息安全等級保護(hù)是國家信息安全保障的基本制度、基本策略、基本方法。信息安全等級保護(hù)工作包括定級備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查五個階段。信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合國家要求的測評機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。

核心方案優(yōu)勢

? ? ? ? 1、持續(xù)監(jiān)控

? ? ? ? 安全物理環(huán)境：對機(jī)房內(nèi)交流配電柜、UPS電源系統(tǒng)、空調(diào)系統(tǒng)、通信等系統(tǒng)設(shè)備、機(jī)房溫度、機(jī)柜溫度、濕度、漏水等實時監(jiān)測及故障告警

? ? ? ? 安全通信網(wǎng)絡(luò)：監(jiān)控網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力及各業(yè)務(wù)帶寬；可自定義監(jiān)控點展示內(nèi)容

? ? ? ? 安全區(qū)域邊界：平臺安全功能，賦能邊界防護(hù)、訪問控制等安全區(qū)域邊界管理需求

? ? ? ? 安全計算環(huán)境：平臺支持同時對多臺設(shè)備進(jìn)行配置/備份和備份對比，以減少管理員的工作量，提高系統(tǒng)的可用性

? ? ? ? 安全管理中心：智能化網(wǎng)絡(luò)拓?fù)渖赡芰Γ罩竟芾砟芰?、NTP時鐘管理能力、故障告警與運維功能，網(wǎng)絡(luò)安全加固。

? ? ? ? 2、安全可視

? ? ? ? 可視化網(wǎng)絡(luò)安全、可視化環(huán)境管理、可視化資產(chǎn)管理、可視化系統(tǒng)管理、可視化運維管理

? ? ? ? 3、主動防御

? ? ? ? 配置管理：對監(jiān)控對象包括所有網(wǎng)絡(luò)設(shè)備，配置文件定期可自動備份，并可進(jìn)行配置文件變更差異對比。

? ? ? ? 設(shè)備維護(hù)管理：通過平臺安管功能對設(shè)備進(jìn)行開機(jī)、關(guān)機(jī)、重啟、批量命令下發(fā)、端口配置、流量控制等管理維護(hù)，支持遠(yuǎn)程運維。

? ? ? ? 安全事件處置：平臺定時自動化巡檢，發(fā)送巡檢報告；設(shè)備、鏈路、網(wǎng)絡(luò)運行情況報表記錄，支持歷史查詢。

等級保護(hù)建設(shè)流程

1.定級備案：編寫定級報告、填寫定級備案表，完成在公安機(jī)關(guān)的定級備案
2.差距評估：采用技術(shù)手段和訪談?wù){(diào)查方式發(fā)現(xiàn)現(xiàn)狀與國家要求之間的差距
3.方案設(shè)計：依照國家相關(guān)標(biāo)準(zhǔn)，完成等級保護(hù)建設(shè)整改方案設(shè)計
4.建設(shè)整改：完成設(shè)備采購及調(diào)整、策略配置調(diào)優(yōu)、完備管理制度等工作
5.系統(tǒng)測評：請測評中心完成系統(tǒng)測評，獲得測評報告

等級保護(hù)安全要求

　　等保2.0標(biāo)準(zhǔn)分為安全通用要求和安全擴(kuò)展要求。安全通用要求為各行業(yè)的共性化保護(hù)需求提出；安全擴(kuò)展要求針對目前新技術(shù)和新應(yīng)用提出，包括云計算安全擴(kuò)展要求、移動互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求。標(biāo)準(zhǔn)中的每個級別都分別對安全通用要求和安全擴(kuò)展要求做了詳細(xì)規(guī)范。

智和信通等級保護(hù)建設(shè)解決方案

1.方案概述

　　智和信通等級保護(hù)建設(shè)解決方案助力用戶《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》建設(shè)。我們以等保相關(guān)標(biāo)準(zhǔn)為依據(jù)，依托豐富的網(wǎng)絡(luò)安全行業(yè)經(jīng)驗，配套自主研發(fā)的智和網(wǎng)管平臺SugarNMS，提升用戶網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施綜合管理能力，助力用戶通過等級保護(hù)測評。

　　管理與運營是企業(yè)安全性的更終體現(xiàn)，隨著安全越發(fā)受重視，企業(yè)在安全管理方面也要與時俱進(jìn)。IT運維是一個很大的范疇，涉及到的部門、架構(gòu)、技術(shù)、產(chǎn)品十分廣泛。如智和網(wǎng)管平臺SugarNMS這樣的網(wǎng)絡(luò)管理軟件，是運維人員應(yīng)配備的管理工具。用戶可配套“監(jiān)控+分析+運維+安管+日志+開發(fā)”六大模塊進(jìn)行IT運維智能管理，對網(wǎng)絡(luò)設(shè)備、計算機(jī)、服務(wù)器、智能設(shè)備、物聯(lián)網(wǎng)、工業(yè)設(shè)備、光設(shè)備、云設(shè)備、通信設(shè)備等所有聯(lián)網(wǎng)設(shè)備及軟件服務(wù)的集中管控，實現(xiàn)用戶IT業(yè)務(wù)運營維護(hù)AI智能化、自動化、精細(xì)化、可視化、大數(shù)據(jù)分析、功能擴(kuò)展和開發(fā)集成的需求。

2.智和網(wǎng)管平臺SugarNMS助力安全技術(shù)要求建設(shè)

　　智和網(wǎng)管平臺SugarNMS可對安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境進(jìn)行多維度監(jiān)控管理；等保2.0三級及以上測評項，新增安全管理中心-集中管控控制項，強(qiáng)調(diào)要求設(shè)備管控，服務(wù)器、設(shè)備、鏈路、運行狀況監(jiān)測和報警、分析統(tǒng)計等，這正是網(wǎng)管軟件特有的功能，其他網(wǎng)絡(luò)安全產(chǎn)品難以替代。

3.智和網(wǎng)管平臺SugarNMS助力安全管理要求建設(shè)

　　智和網(wǎng)管平臺SugarNMS助力安全管理要求建設(shè)，可對安全運維管理分類中配置管理、設(shè)備維護(hù)管理、安全事件處置、環(huán)境管理、資產(chǎn)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理等安全控制點提供策略支撐。

4.智和網(wǎng)管平臺SugarNMS支撐等?？刂祈椆δ芎喗?/strong>

4.1安全區(qū)域邊界-邊界防護(hù)

　　智和網(wǎng)管平臺SugarNMS支撐策略：終端接入控制+MAC-IP管理+黑白名單

　　平臺通過端口綁定MAC和IP，控制端口準(zhǔn)入的終端設(shè)備，通過控制開啟和關(guān)閉Dot1X認(rèn)證功能，實現(xiàn)終端接入的認(rèn)證管理，通過控制網(wǎng)絡(luò)設(shè)備的端口打開、關(guān)閉和VLan控制，實現(xiàn)對終端接入設(shè)備的通斷控制。定時獲取全網(wǎng)的MAC-IP信息，并自動保存。支持根據(jù)MAC或IP對在線設(shè)備進(jìn)行查詢。通過黑白名單功能從而檢測用戶所關(guān)心的設(shè)備（通過IP或MAC來識別）是否在網(wǎng)絡(luò)中出現(xiàn)及出現(xiàn)時間，提醒用戶是否進(jìn)行下一步操作。

4.2安全區(qū)域邊界-訪問控制

　　針對a、b、c項，智和網(wǎng)管平臺SugarNMS支撐策略：

　　（1）統(tǒng)一準(zhǔn)入控制+終端接入控制原則+ACL訪問控制：平臺支持實現(xiàn)ACL策略、源和目的IP、協(xié)議、端口、訪問動作等細(xì)粒度的控制，用戶可以自定義ACL模板，方便統(tǒng)一策略實施。

　　（2）通用萬能配置下發(fā)功能：實現(xiàn)深入的管控網(wǎng)絡(luò)設(shè)備，智和網(wǎng)管平臺實現(xiàn)對telnet、jdbc、jmx和snmp協(xié)議的支持。

　　（3）MAC-IP管理、黑白名單管理：通過端口綁定、MAC、IP綁定，控制終端設(shè)備和接入設(shè)備的網(wǎng)絡(luò)訪問；通過配置Dot1x實現(xiàn)上網(wǎng)認(rèn)證；控制端口的打開關(guān)閉狀態(tài)和VLan設(shè)置，通過ACL訪問控制列表，實現(xiàn)網(wǎng)絡(luò)訪問控制。支持批量操作，實現(xiàn)全網(wǎng)統(tǒng)一準(zhǔn)入控制策略。支持MAC-IP地址的黑白名單管理和告警、全網(wǎng)MAC-IP對應(yīng)表，全網(wǎng)IP地址表。

　　（4）Qos策略配置：通過QOS、流行為類策略、優(yōu)先級實現(xiàn)對網(wǎng)絡(luò)設(shè)備的流量分配；通過端口限速實現(xiàn)對網(wǎng)絡(luò)設(shè)備的流量控制；支持批量流量策略，方便全網(wǎng)實施統(tǒng)量策略。

　　（5）統(tǒng)一控制策略：實現(xiàn)對設(shè)備STP、NTP、路由等設(shè)備控制功能，支持批量控制，支持配置文件批量備份、同步等。支持多設(shè)備統(tǒng)一設(shè)備控制策略管理。

4.3安全計算環(huán)境-訪問控制

智和網(wǎng)管平臺SugarNMS支撐策略：

　　（1）三員認(rèn)證體系：平臺符合三員認(rèn)證體系，具備系統(tǒng)管理員、安全保密管理員和安全設(shè)計員三員管理，可賦予用戶對網(wǎng)絡(luò)管理或只讀的權(quán)限，不同管理員對不同網(wǎng)絡(luò)進(jìn)行管理使網(wǎng)絡(luò)更加安全。

　　（2）設(shè)備用戶管理：通過對網(wǎng)絡(luò)設(shè)備發(fā)送添加本地用戶命令，為設(shè)備添加本地用戶，設(shè)置包括用戶名密碼、服務(wù)類型（連接協(xié)議telnet,SSH,terminal）、權(quán)限級別等內(nèi)容，支持批量設(shè)備操作。

　　（3）SNMP管理：提供SNMP用戶管理頁面，可在設(shè)備上添加SNMP用戶，對SNMP協(xié)議版本、用戶名、用戶口令、權(quán)限級別進(jìn)行設(shè)置。

4.4安全計算環(huán)境-入侵防范

　　針對C項要求，智和網(wǎng)管平臺SugarNMS支撐策略：

　　終端接入控制：平臺通過端口綁定MAC和IP，控制端口準(zhǔn)入的終端設(shè)備，通過控制開啟和關(guān)閉Dot1X認(rèn)證功能，實現(xiàn)終端接入的認(rèn)證管理，通過控制網(wǎng)絡(luò)設(shè)備的端口打開、關(guān)閉和VLan控制，實現(xiàn)對終端接入設(shè)備的通斷控制。

4.5安全計算環(huán)境-數(shù)據(jù)備份恢復(fù)

　　針對a項內(nèi)容，智和網(wǎng)管平臺SugarNMS功能支撐：

　　自動策略備份：支持同時對每多臺設(shè)備進(jìn)行配置/備份和備份對比，以減少管理員的工作量，提高系統(tǒng)的可用性。

4.6-安全管理中心-集中管控

　　智和網(wǎng)管平臺SugarNMS支撐策略：

　　（1）拓?fù)涔芾?多種布局劃分網(wǎng)絡(luò)

　　智和網(wǎng)管平臺SugarNMS支持通過圖形化的方式，將網(wǎng)絡(luò)拓?fù)潢P(guān)系展示出來，支持樹形結(jié)構(gòu)和平面結(jié)構(gòu)的聯(lián)動展示，也可以按片區(qū)、按地域、按層級等多種布局方式劃分網(wǎng)絡(luò)。

　　在拓?fù)渲幸圆煌伾O(shè)備圖標(biāo)實時展現(xiàn)設(shè)備的狀態(tài)信息。通過拓?fù)鋱D對設(shè)備、設(shè)備資源、鏈路進(jìn)行管理。通過圖形化、具象化的拓?fù)湫问秸宫F(xiàn)設(shè)備間的聯(lián)動關(guān)系與實時狀態(tài)信息，更大的降低了IT部門的維護(hù)難度，拖動式的布局形式使配置更加靈活。通過拓?fù)湟晥D，用戶可以方便的管理設(shè)備及其配置參數(shù)，支持對設(shè)備進(jìn)行添加、修改、刪除、移動等操作。

（2）智能識別 設(shè)備類型無線擴(kuò)展

• 自動識別當(dāng)前設(shè)備類型及其配置參數(shù)，支持所有主流設(shè)備，小眾設(shè)備可通過自定義的形式進(jìn)行添加管理，實時查看設(shè)備運行情況，即時發(fā)現(xiàn)設(shè)備故障。
• 支持網(wǎng)絡(luò)設(shè)備廠商：Cisco、Juniper、Foundry、Avaya、3COM、Intel、Fore、Marconi、Motorola、華為、中興、華三、聯(lián)想、銳捷、港灣、邁普、烽火、天融信、深信服及其它眾多網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商
• 支持設(shè)備管理協(xié)議：SNMP、Telnet、SSH、Ping

（3）多維監(jiān)控 面板圖真實展現(xiàn)

　　支持主動從多個方面監(jiān)控網(wǎng)絡(luò)設(shè)備，能實時監(jiān)控設(shè)備網(wǎng)口、電口、光接口的狀態(tài)。包括端口可用性、端口性能數(shù)據(jù)、端口故障、鏈路問題都能通過網(wǎng)管軟件實時掌控。支持直接在操作界面真實展現(xiàn)設(shè)備的機(jī)架圖、面板圖，并能方便的配置和自定義機(jī)架圖和面板圖。通過網(wǎng)管軟件可以批量的升級和備份設(shè)備。

（4）智能告警系統(tǒng) 自定義告警閥值

　　支持多種告警機(jī)制，自定義配置告警閥值，迅速定位告警設(shè)備，支持快速標(biāo)識已經(jīng)執(zhí)行操作的告警。采集設(shè)備資源、應(yīng)用、服務(wù)等告警信息。可將告警信息數(shù)據(jù)按照時間、資源、性能類型等多種維度以圖表等形式展現(xiàn)。通過對告警機(jī)制以及閥值的設(shè)置，即時獲取準(zhǔn)確的告警信息，快速定位告警設(shè)備，提升告警處理效率，更大的降低了因設(shè)備故障給企業(yè)帶來的損失。

• 故障采集：具備主動的故障監(jiān)控功能，能從眾多的事件和狀態(tài)中，系統(tǒng)將零散的狀態(tài)信息，總結(jié)成為當(dāng)前工作狀態(tài)，并產(chǎn)生告警。
• 故障優(yōu)化：包括事件過濾機(jī)制、故障事件上報機(jī)制、故障事件呈現(xiàn)過濾、故障事件入庫過濾、故障事件確認(rèn)等處理機(jī)制，有效避免誤報和漏報。
• 故障定位：可實現(xiàn)快速的故障定位，能一步定位到發(fā)生故障的源頭設(shè)備，及時處理好故障，有效地預(yù)防故障發(fā)生。
• 故障處理：通過故障閥門值的設(shè)置，可以在故障真正到來之前，提前觸發(fā)通知機(jī)制。并支持三級逐步預(yù)警。在故障消失后，系統(tǒng)能自動檢測到先前故障，并做自動清除告警處理。
• 故障通知：故障可以通過界面顏色、告警列表、Email、微信等方式發(fā)出通知，告警可以向上逐步追溯，按照從全局→網(wǎng)絡(luò)→設(shè)備→資源的管理習(xí)慣來組織故障顯示。

（5）日志管理系統(tǒng)

（6）NTP時鐘管理

　　提供NTP服務(wù)端和客戶端，通過NTP時鐘管理，保證系統(tǒng)范圍內(nèi)的時間由確定的時鐘產(chǎn)生，保證各項數(shù)據(jù)的管理和分析在時間上的一致性，向IT運維部門提供科學(xué)合理的決策依據(jù)。

四、智和信通方案優(yōu)勢

1.統(tǒng)一運維監(jiān)控：?采用統(tǒng)一的安全運維平臺，用戶只需在一個平臺上即可統(tǒng)一管理各項安全功能，使得運維更加簡單

2.全程展示分析：采用可視化設(shè)計，提供多維度安全報表為安全決策提供數(shù)據(jù)支撐，提升組織安全管理效率

3.擴(kuò)展能力強(qiáng)大：根據(jù)客戶業(yè)務(wù)的特點和實際網(wǎng)絡(luò)情況，靈活部署相關(guān)安全設(shè)備，軟件監(jiān)控設(shè)備可無限擴(kuò)展

4.安全可觀可控：萬能命令模板，為設(shè)備配置各種控制命令，用戶可以批量下發(fā)命令，實現(xiàn)對設(shè)備的批量控制

5.100%Java架構(gòu)產(chǎn)品：從功能模塊、數(shù)據(jù)庫、C/S界面全部基于統(tǒng)一Java技術(shù)平臺和統(tǒng)一數(shù)據(jù)關(guān)系模型，不包含任何第三方功能庫

6.Java網(wǎng)絡(luò)拓?fù)鋱D：平臺包含了國內(nèi)Java網(wǎng)絡(luò)拓?fù)鋱D產(chǎn)品、智能化專利的Java SNMP組件和自動發(fā)現(xiàn)產(chǎn)品。

7.隔離性好：平臺在基礎(chǔ)框架、可重用組件和軟件功能之間保持隔離，既確?？焖俣ㄖ朴植粨p失組件化、架構(gòu)化特性

8.自主知識產(chǎn)權(quán)：從底層網(wǎng)絡(luò)協(xié)議到開發(fā)平臺，100%自主知識產(chǎn)權(quán)，確保移交給客戶的產(chǎn)品中不含任何第三方商業(yè)權(quán)利

9.方便系統(tǒng)集成：采用標(biāo)準(zhǔn)Java領(lǐng)域成熟的輕量級技術(shù)，既方便開發(fā)，也方便與各種系統(tǒng)集成。

10.多種客戶端選擇：同時具有基于Java的客戶端和HTML5的客戶端，滿足不同用戶喜好。

11.完備的開發(fā)服務(wù)：通過可選擇的模塊式或者代碼式的開發(fā)形式，在更短的時間內(nèi)滿足用戶各種定制需求，同時提供全套開發(fā)資料和完備的培訓(xùn)服務(wù)，讓網(wǎng)管軟件開發(fā)再無后顧之憂。