門戶網站安全解決方案

概述

門戶網站、網廳等Web網站是運營商與客戶溝通(tōng)的(de)便捷通(tōng)道(dào)，也是客戶辦理(lǐ)/使用相(xiàng)關業(yè)務的(de)前端平台，還(hái)有(yǒu)一些基于Web網站的(de)業(yè)務平台，更是業(yè)務穩定運營的(de)關鍵設施。這(zhè)些Web網站一旦受到侵害将直接影響運營商的(de)品牌形象、信譽以及日(rì)常業(yè)務運營。 由于Web應用的(de)開(kāi)放(fàng)性、用戶的(de)大衆性，使其成為(wèi)最佳的(de)攻擊和(hé)威脅目标。随着web應用中間(jiān)件(jiàn)和(hé)應用平台的(de)新漏洞/弱點被發現(xiàn)，針對(duì)性的(de)病毒、木馬、蠕蟲及自(zì)動化(huà)的(de)攻擊工(gōng)具往往會很(hěn)快出現(xiàn)，進而出現(xiàn)一波又(yòu)一波Web攻擊浪潮，導緻服務器(qì)被控制、Web服務中斷、客戶信息被竊取、業(yè)務欺詐的(de)事(shì)件(jiàn)的(de)發生(shēng)。同時(shí)，由于XSS、CSRF、Cookie竊取等攻擊導緻合法用戶的(de)客戶端被控制、信息被竊取、被欺詐、被敲詐等事(shì)件(jiàn)發生(shēng)，造成巨大的(de)不良社會影響。 随着業(yè)務的(de)發展，Web架構越來(lái)越複雜(zá)，使用的(de)應用關鍵和(hé)技(jì)術越來(lái)越多，對(duì)其安全防護的(de)難度越來(lái)越大，與此同時(shí)，行業(yè)監管越來(lái)越嚴，懲治力度不斷加大，使運維、管理(lǐ)人(rén)員(yuán)面臨着嚴峻的(de)挑戰。

安全解決方案

方案組成

本方案針對(duì)Web威脅的(de)特點，從(cóng)Web應用生(shēng)命周期的(de)角度出發，重點覆蓋了系統開(kāi)發、測試和(hé)運行等環節，從(cóng)事(shì)前、事(shì)中、事(shì)後等風(fēng)險管理(lǐ)角度出發，采用內(nèi)、外(wài)的(de)結合的(de)防護手段，建立了主動、縱深、多層面的(de)安全保障體(tǐ)系，可以有(yǒu)效保護web應用的(de)安全性，降低(dī)系統面臨的(de)風(fēng)險。 安全防護方案組成如下(xià)：

方案價值

保障網站服務的(de)安全、可靠運行，提高(gāo)客戶滿意度； 及時(shí)感知Web運營狀态，提升用戶訪問(wèn)體(tǐ)驗； 大幅提高(gāo)防護效果，有(yǒu)效抵禦各種攻擊，從(cóng)而解決安全成本； 滿足來(lái)自(zì)監管部門的(de)合規性要求； 提供安全攻擊證據，震懾非法攻擊者； 減少安全人(rén)員(yuán)負擔，提高(gāo)安全運維效率； 維護和(hé)提升公司的(de)品牌形象和(hé)商業(yè)信譽。

方案特點和(hé)優勢

對(duì)安全漏洞

弱點進行管理(lǐ)，防患于未然，降至安全成本； 通(tōng)過代碼審計(jì)，最大限度的(de)發現(xiàn)系統存在的(de)安全漏洞/弱點，提早修補，降低(dī)成本。同時(shí)，通(tōng)過傳遞安全開(kāi)發知識， 減少開(kāi)發實現(xiàn)中的(de)漏洞。 通(tōng)過Web漏洞掃描系統，實現(xiàn)已知漏洞的(de)自(zì)動化(huà)檢查，降低(dī)人(rén)員(yuán)投入。 通(tōng)過安全設備的(de)早期預警服務，及時(shí)對(duì)新發現(xiàn)漏洞的(de)有(yǒu)效管理(lǐ)。

立體(tǐ)的(de)安全防護體(tǐ)系，高(gāo)針對(duì)性的(de)防護措施

有(yǒu)效抵禦SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood等攻擊，并實現(xiàn)對(duì)網絡流量的(de)清洗。 同時(shí)，通(tōng)過Web應用防火牆，對(duì)各種web應用攻擊進行防護，對(duì)HTTP/HTTPS訪問(wèn)流量進行清洗； 通(tōng)過集成了傳統防火牆、入侵檢測防護、防病毒功能的(de)下(xià)一代防火牆，對(duì)已知的(de)各種攻擊、惡意代碼進行防護，并通(tōng)過防火牆測試，實現(xiàn)對(duì)Web訪問(wèn)的(de)嚴格控制。

有(yǒu)效地(dì)監控、備份與恢複措施，徹底保障網站的(de)完整性 在Web服務器(qì)上(shàng)部署基于主機(jī)的(de)Web防護系統，有(yǒu)效檢測和(hé)阻斷各種web網頁、圖片、程序等資源的(de)篡改攻擊； 對(duì)網站內(nèi)容進行備份，一旦檢測到系統完整性受損，可以自(zì)動化(huà)進行系統恢複。

7*24小(xiǎo)時(shí)外(wài)部安全監控和(hé)一流的(de)外(wài)部專家(jiā)支持 7*24小(xiǎo)時(shí)對(duì)系統進行漏洞檢查、挂馬檢查、網頁篡改檢測、內(nèi)容檢查，及時(shí)洞察系統的(de)安全态勢； 在全國(guó)範圍內(nèi)，模拟用戶對(duì)系統進行訪問(wèn)平穩度、可用性檢測，保障用戶體(tǐ)驗。 一流的(de)安全專家(jiā)支持，協助用戶處理(lǐ)各種疑難雜(zá)症。

防護措施間(jiān)的(de)關聯互動，大幅提升防護效果 網站安全檢測服務或Web漏洞掃描系統與Web應用防火牆進行聯動，一旦發現(xiàn)問(wèn)題，自(zì)動化(huà)啓動相(xiàng)應的(de)防護策略。 虛拟補丁技(jì)術提升了安全防護水(shuǐ)平，規避了補丁管理(lǐ)中的(de)各種問(wèn)題。

全面的(de)網站健康檢查，防止帶病上(shàng)崗、帶病投保； 上(shàng)線前評估和(hé)滲透測試，發現(xiàn)系統存在的(de)結構性問(wèn)題、集成性問(wèn)題、安全配置問(wèn)題，以及各種潛在的(de)業(yè)務邏輯錯(cuò)誤，并進行全面的(de)安全加固，防止帶病上(shàng)崗。 通(tōng)過安全檢查，評估系統是否已經受到了侵害，是否含有(yǒu)惡意代碼，防止帶病投保。 通(tōng)過Web安全掃描系統，對(duì)新版系統進行檢查，防止引入新漏洞。

可靠的(de)安全審計(jì)措施，可供事(shì)件(jiàn)追溯和(hé)取證。 對(duì)Web網站的(de)不良內(nèi)容進行安全檢測； 對(duì)各種用戶的(de)Web訪問(wèn)行為(wèi)進行審計(jì)，并通(tōng)過行為(wèi)基線，自(zì)動化(huà)發現(xiàn)各種潛在一場(chǎng)行為(wèi)； 對(duì)重要的(de)數據庫操作(zuò)行為(wèi)進行審計(jì)，發現(xiàn)各種非法行為(wèi)。 對(duì)各種攻擊行為(wèi)進行審計(jì)，便于進行事(shì)件(jiàn)追溯和(hé)定位，對(duì)事(shì)件(jiàn)處理(lǐ)提供有(yǒu)效支持。 支持法律取證。

統一安全管理(lǐ) 統一設備與日(rì)志(zhì)管理(lǐ)平台，提供可視(shì)化(huà)的(de)安全管理(lǐ)界面； 對(duì)安全設備的(de)策略的(de)統一管理(lǐ)和(hé)下(xià)發； 對(duì)日(rì)志(zhì)數據的(de)統一存儲，便于進行各種統計(jì)分析； 提供豐富的(de)報告分析； 降低(dī)企業(yè)安全運維成本.

內(nèi)網準入解決方案

對(duì)企業(yè)而言最大的(de)變革是企業(yè)經營和(hé)管理(lǐ)方式的(de)變革，信息化(huà)革命深刻影響着企業(yè)的(de)經營方式，任何一個(gè)企業(yè)都(dōu)離不開(kāi)這(zhè)種變革，必須把信息化(huà)建設當成企業(yè)獲取競争優勢的(de)最終選擇。因此，企業(yè)集團對(duì)信息技(jì)術的(de)依賴程度越來(lái)越大，信息技(jì)術風(fēng)險成為(wèi)了企業(yè)集團運營中所要考慮的(de)重要方面。

面臨的(de)挑戰

用戶信息未知：企業(yè)集團辦公、生(shēng)産大多較為(wèi)分散，人(rén)員(yuán)複雜(zá)，随意或不受限制接入網絡現(xiàn)象頻(pín)發,內(nèi)部用戶信息缺乏有(yǒu)效登記手段，人(rén)員(yuán)審計(jì)困難。
終端位置未知：企業(yè)內(nèi)網終端數量、終端類型、終端分布情況複雜(zá)，管理(lǐ)者無法對(duì)時(shí)間(jiān)進行事(shì)件(jiàn)定位；
資産信息未知：企業(yè)信息資産的(de)數量随着企業(yè)不斷發展大量增加，如何對(duì)這(zhè)些大量的(de)信息資産進行有(yǒu)效的(de)管理(lǐ)，是企業(yè)集團安全管理(lǐ)面臨的(de)巨大挑戰；
數據洩露風(fēng)險：內(nèi)網數據信息可通(tōng)過移動介質外(wài)傳，容易發生(shēng)信息洩密事(shì)件(jiàn)。
終端安全風(fēng)險：終端系統自(zì)身(shēn)安全性會嚴重影響內(nèi)網安全，如病毒傳播、系統漏洞、弱口令破解等。

內(nèi)網準入解決方案

用戶信息登記：采用豐富的(de)實名制入網模式，內(nèi)部、外(wài)部、臨時(shí)用戶分别進行人(rén)性化(huà)的(de)入網注冊登記，并結合管理(lǐ)員(yuán)審核、審批，确保內(nèi)網用戶安全可靠。
網絡安全透視(shì)：盈高(gāo)科(kē)技(jì)産品提供衛星地(dì)圖般的(de)設備搜索和(hé)定位方式，使網絡中的(de)各種設備狀态不再是孤立的(de)展現(xiàn)，而是作(zuò)為(wèi)一個(gè)整體(tǐ)進行把控。
資産安全管控：全面收集內(nèi)網軟硬件(jiàn)資産，全方位監控、展示資産變動情況，提升管理(lǐ)部門對(duì)信息設備相(xiàng)關信息資産的(de)統計(jì)管理(lǐ)能力。 移動介質加密：人(rén)性化(huà)的(de)移動介質注冊、審核機(jī)制，硬件(jiàn)級的(de)安全加密技(jì)術，靈活的(de)策略控制，在不影響用戶安全使用的(de)前提下(xià)确保數據無從(cóng)洩露。
終端安全加固：通(tōng)過對(duì)網內(nèi)終端的(de)安全狀況量化(huà)，并提供“一鍵式”智能修複功能對(duì)有(yǒu)潛在安全風(fēng)險的(de)終端進行強制隔離和(hé)引導修複，從(cóng)根本上(shàng)杜絕安全隐患。

方案價值

1、對(duì)外(wài)來(lái)人(rén)員(yuán)進行有(yǒu)效的(de)管理(lǐ)，防止其接入單位網絡訪問(wèn)重要的(de)服務器(qì)，竊取單位的(de)重要資料；另外(wài)，內(nèi)網安全事(shì)件(jiàn)發生(shēng)時(shí)，可追溯至責任人(rén)。
2、提高(gāo)運維工(gōng)作(zuò)效率，精确定位故障點，及時(shí)排查問(wèn)題，成為(wèi)管理(lǐ)人(rén)員(yuán)提高(gāo)管理(lǐ)效率的(de)有(yǒu)效手段；
3、規範移動存儲設備的(de)安全使用，明(míng)确工(gōng)作(zuò)U盤和(hé)私人(rén)U盤的(de)使用界限，減少文(wén)檔流失和(hé)病毒的(de)進入；
4、提高(gāo)終端設備的(de)安全性和(hé)穩定性，減少漏洞攻擊事(shì)件(jiàn)的(de)發生(shēng)，避免系統漏洞、惡意軟件(jiàn)引發的(de)安全事(shì)件(jiàn)；
5、有(yǒu)效地(dì)對(duì)公司終端的(de)it資産和(hé)軟件(jiàn)資産進行審計(jì)，當發生(shēng)變化(huà)時(shí)及時(shí)進行報警；

超融合架構解決方案

超融合架構解決方案概述

超融合架構解決方案，融合了：計(jì)算(suàn)、網絡、存儲和(hé)安全四大模塊，通(tōng)過全虛拟化(huà)的(de)方式構建IT架構資源池。所有(yǒu)的(de)模塊資源均可以按需部署，靈活調度，動态擴展。通(tōng)過超融合一體(tǐ)機(jī)或者超融合操作(zuò)系統能夠在最短的(de)時(shí)間(jiān)內(nèi)，充分利舊(jiù)現(xiàn)有(yǒu)硬件(jiàn)基礎架構，将業(yè)務系統安全、穩定、高(gāo)效的(de)遷移到超融合平台中，并且為(wèi)後期邁向私有(yǒu)雲平台奠定基礎，從(cóng)而能夠實現(xiàn)多租戶的(de)管理(lǐ)及計(jì)費(fèi)審計(jì)等功能。

超融合架構解決方案軟件(jiàn)架構主要包含三大組件(jiàn)（服務器(qì)虛拟化(huà)aSV、網絡虛拟化(huà)aNet、存儲虛拟化(huà)aSAN）和(hé)一個(gè)管理(lǐ)平台（虛拟化(huà)管理(lǐ)平台VMP）。硬件(jiàn)架構上(shàng)，可以通(tōng)過一體(tǐ)機(jī)的(de)方式實現(xiàn)開(kāi)機(jī)即用，也可以采用通(tōng)用X86服務器(qì)實現(xiàn)基礎架構的(de)承載。配合傳統的(de)園區(qū)網交換機(jī)（背闆帶寬和(hé)交換容量夠用即可）即可完成整個(gè)平台的(de)搭建，無需各種功能複雜(zá)、價格昂貴的(de)數據中心級交換機(jī)。

超融合架構層

超融合架構層以服務器(qì)虛拟化(huà)為(wèi)底層架構，擴展出網絡虛拟化(huà)和(hé)存儲虛拟化(huà)，通(tōng)過所畫(huà)即所得的(de)方式能夠快速的(de)構建出業(yè)務邏輯，實現(xiàn)虛拟資源的(de)動态調度和(hé)靈活擴展，同時(shí)全網流量可視(shì)，配置簡易直觀，運維靈活便捷

服務器(qì)虛拟化(huà)（aSV）

aSV虛拟化(huà)平台作(zuò)為(wèi)介于硬件(jiàn)和(hé)操作(zuò)系統之間(jiān)的(de)軟件(jiàn)層，采用裸金(jīn)屬架構的(de)X86虛拟化(huà)技(jì)術，實現(xiàn)對(duì)服務器(qì)物(wù)理(lǐ)資源的(de)抽象，将CPU、內(nèi)存、I/O等服務器(qì)物(wù)理(lǐ)資源轉化(huà)為(wèi)一組可統一管理(lǐ)、調度和(hé)分配的(de)邏輯資源，并基于這(zhè)些邏輯資源在單個(gè)物(wù)理(lǐ)服務器(qì)上(shàng)構建多個(gè)同時(shí)運行、相(xiàng)互隔離的(de)虛拟機(jī)執行環境，實現(xiàn)更高(gāo)的(de)資源利用率，同時(shí)滿足應用更加靈活的(de)資源動态分配需求，譬如提供熱遷移、HA等高(gāo)可用特性，實現(xiàn)更低(dī)的(de)運營成本、更高(gāo)的(de)靈活性和(hé)更快速的(de)業(yè)務響應速度。

網絡虛拟化(huà)（aNET）

網絡虛拟化(huà)aNet，通(tōng)過提供全新的(de)網絡運營方式，解決了傳統硬件(jiàn)網絡的(de)衆多管理(lǐ)和(hé)運維難題，并且幫助數據中心操作(zuò)員(yuán)将敏捷性和(hé)經濟性提高(gāo)若幹數量級。 深信服網絡虛拟化(huà)aNet方案通(tōng)過和(hé)服務器(qì)虛拟化(huà)aSV相(xiàng)結合，在虛拟機(jī)和(hé)物(wù)理(lǐ)網絡之間(jiān)，提供了一整套完整的(de)邏輯網絡設備、連接和(hé)服務，包括分布式虛拟交換機(jī)aSwitch、虛拟路(lù)由器(qì)aRouter、虛拟下(xià)一代防火牆vNGAF、虛拟應用交付vAD、虛拟vSSL VPN、虛拟廣域網優化(huà)vWOC等虛拟網絡、安全設備；然後，還(hái)可以支持VXLAN等增強網絡協議(yì)，實現(xiàn)和(hé)物(wù)理(lǐ)網絡的(de)無縫對(duì)接，簡化(huà)網絡的(de)配置管理(lǐ)；此外(wài)，還(hái)可以通(tōng)過虛拟化(huà)管理(lǐ)平台，實現(xiàn)網絡拓撲部署、網絡故障探測等網絡管理(lǐ)功能。
從(cóng)而，aNet虛拟網絡可以快速完成不同應用系統的(de)網絡部署，網絡配置的(de)自(zì)動化(huà)調整，網絡故障排查等工(gōng)作(zuò)，提升網絡的(de)管理(lǐ)運維效率，提升網絡就緒、擴展速度，降低(dī)數據中心物(wù)理(lǐ)網絡的(de)建設成本。

存儲虛拟化(huà)（aSAN）

深信服存儲虛拟化(huà)aSAN，基于集群設計(jì)，将服務器(qì)上(shàng)的(de)硬盤存儲空間(jiān)組織起來(lái)形成一個(gè)統一的(de)虛拟共享存儲資源池，即ServerSAN分布式存儲系統，進行數據的(de)高(gāo)可靠、高(gāo)性能存儲。分布式存儲系統在功能上(shàng)與獨立共享存儲完全一緻；一份數據會同時(shí)存儲在多個(gè)不同的(de)物(wù)理(lǐ)服務器(qì)硬盤上(shàng)，提升數據可靠性；此外(wài)，再通(tōng)過SSD緩存，可以大幅提升服務器(qì)硬盤的(de)IO性能，實現(xiàn)高(gāo)性能存儲。同時(shí)，由于存儲與計(jì)算(suàn)完全融合在一個(gè)硬件(jiàn)平台上(shàng)，用戶無需像以往那(nà)樣購買連接計(jì)算(suàn)服務器(qì)和(hé)存儲設備的(de)SAN網絡設備（FC SAN或者iSCSI SAN）。

網絡功能虛拟化(huà)（NFV）

當前軟件(jiàn)定義網絡成為(wèi)了技(jì)術發展的(de)趨勢，深信服也率先在國(guó)內(nèi)推出全系列的(de)數據中心安全、優化(huà)産品（NGAF下(xià)一代防火牆、SSL VPN、AD應用交付、WOC廣域網優化(huà)）軟件(jiàn)虛拟化(huà)解決方案。這(zhè)些過去(qù)需要以專用硬件(jiàn)方式部署的(de)産品，不再需要依賴專用的(de)硬件(jiàn)，可以以軟件(jiàn)鏡像的(de)方式，完美(měi)支持在Vmware、KVM、XEN等服務器(qì)虛拟化(huà)環境下(xià)的(de)部署。從(cóng)而極大的(de)簡化(huà)政務雲數據中心網絡的(de)架構，為(wèi)各個(gè)租戶的(de)虛拟應用按需、靈活的(de)虛拟擴展出各種安全和(hé)優化(huà)方案，同時(shí)還(hái)便于劃分清楚各方的(de)運維職責。

深信服超融合架構的(de)優勢

1、提供更加完整的(de)IT基礎架構虛拟化(huà)方案，涵蓋網絡、安全、存儲、計(jì)算(suàn)
2、管理(lǐ)運維更加便捷、簡單，零學習(xí)成本，讓IT架構所畫(huà)即所得
3、整體(tǐ)擁有(yǒu)成本更低(dī)，無需特殊、專用的(de)網絡、服務器(qì)設備即可實現(xiàn)
4、國(guó)産化(huà)，提供多樣、豐富的(de)L2-L7安全和(hé)優化(huà)功能，更好(hǎo)的(de)滿足合規要求

超融合架構最佳實踐

超融合架構可以應用到數據中心涉及的(de)衆多業(yè)務系統的(de)領域，尤其是應用開(kāi)發測試環境、新業(yè)務系統上(shàng)線和(hé)非關鍵業(yè)務系統改造是特别适合部署超融合架構。

以下(xià)為(wèi)深信服超融合架構的(de)三個(gè)實際應用案例分享  某汽車制造業(yè)
背景：應用開(kāi)發部門每周至少要測試一套業(yè)務系統，給網絡運維部門帶來(lái)很(hěn)大的(de)工(gōng)作(zuò)量。每次測試都(dōu)要改變網絡架構和(hé)相(xiàng)應的(de)部署環境
解決之道(dào)：在數據中心劃分了一個(gè)獨立的(de)區(qū)域，用5台超融合一體(tǐ)機(jī)，搭建了一套專用的(de)測試環境。利用計(jì)算(suàn)、網絡和(hé)存儲虛拟化(huà)模拟出4個(gè)測試拓撲模闆，
超融合方案價值：其中模拟出一個(gè)在隊列深度為(wèi)1的(de)情況下(xià)實現(xiàn)了IOPS高(gāo)達2萬的(de)模闆,測試上(shàng)線周期縮短，運維工(gōng)作(zuò)量減少，無需大量硬件(jiàn)支撐 

等保三級整改一站式方案

等保整改方案五步走

1. 安全域劃分 做等級保護的(de)整改，第一步一定是要明(míng)确安全域。下(xià)面是經典安全域劃分方案： 業(yè)務服務器(qì)域：客戶的(de)業(yè)務服務器(qì)和(hé)存儲的(de)安全區(qū)域 用戶終端域：用戶終端，一些完全不重要的(de)服務器(qì) 安全管理(lǐ)域：安全管理(lǐ)中心，包括網管系統服務器(qì)啊，終端安全管理(lǐ)的(de)服務器(qì)等用來(lái)做網絡和(hé)安全運維管理(lǐ)的(de)這(zhè)些設備 互聯網出口域：互聯網出口的(de)網絡和(hé)安全設備
2. 互聯網出口 在互聯網出口部署防火牆、入侵防禦、病毒過濾、上(shàng)網行為(wèi)管理(lǐ)、鏈路(lù)負載；
3. 安全域互訪隔離 所有(yǒu)的(de)安全域之間(jiān)必須通(tōng)過防火牆才能互聯互通(tōng)；
4. Web安全防護 web服務器(qì)前部署web防火牆；
5. 安全管理(lǐ)中心 在安全管理(lǐ)中心要有(yǒu)這(zhè)些東西(xī)：漏洞掃描系統、數據庫審計(jì)系統、終端安全管理(lǐ)系統、網管系統、應用性能管理(lǐ)系統、SSL VPN、防病毒系統、運維堡壘主機(jī)；
以上(shàng)五個(gè)步驟完成，設備整改完成。

疑難問(wèn)題解答(dá)

是不是上(shàng)面這(zhè)些設備都(dōu)部署，才能通(tōng)過三級等保？ 回答(dá)：不是。上(shàng)面是比較理(lǐ)想的(de)情況，實際情況根據客戶預算(suàn)和(hé)客戶實際需求來(lái)進行，部署70-80%的(de)設備即可。

安全域隔離防火牆，很(hěn)多客戶利用交換機(jī)的(de)ACL做，測評中心也認可。 回答(dá)：對(duì)。等保要求進行訪問(wèn)控制，沒要求必須用防火牆，交換機(jī)ACL也是訪問(wèn)控制手段，但(dàn)用防火牆是最專業(yè)的(de)訪問(wèn)控制設備，其專業(yè)性智能型運維容易程度都(dōu)遠(yuǎn)遠(yuǎn)強于交換機(jī)ACL，而且交換機(jī)ACL損耗交換機(jī)性能嚴重，交換機(jī)是交換設備，不是專業(yè)的(de)安全設備。

是不是做了這(zhè)些就可以通(tōng)過等保測評了？ 回答(dá)：設備層面足夠了。還(hái)需要做一些安全加固和(hé)管理(lǐ)制度文(wén)檔整理(lǐ)。
安全加固指的(de)是把服務器(qì)、數據庫、網絡設備、安全設備、業(yè)務系統的(de)一些安全策略調整到符合等保的(de)規定，比如你(nǐ)服務器(qì)密碼都(dōu)是666，現(xiàn)在開(kāi)啓服務器(qì)的(de)密碼強度要求這(zhè)個(gè)策略，就是安全加固。文(wén)檔整理(lǐ)主要是安全管理(lǐ)制度，以及測評申請書(shū)。

了解到客戶情況後，怎麽給客戶做整改方案？ 回答(dá)：上(shàng)面整改五步走，每一步都(dōu)說(shuō)明(míng)了需要什麽，缺少的(de)設備就是需要整改的(de)。安全加固和(hé)安全制度是肯定需要整改的(de)。

雲計(jì)算(suàn)安全解決方案

業(yè)務挑戰

目前，許多組織已經将業(yè)務系統遷移到雲平台上(shàng)，雲平台已經成為(wèi)組織重要的(de)IT基礎設施。雲計(jì)算(suàn)技(jì)術給傳統的(de)IT基礎設施、應用、數據以及運營管理(lǐ)都(dōu)帶來(lái)了革命性改變，對(duì)于安全管理(lǐ)來(lái)說(shuō)，既是挑戰，也是機(jī)遇。首先，雲計(jì)算(suàn)引入了新的(de)威脅和(hé)風(fēng)險，進而也影響和(hé)打破了傳統的(de)信息安全保障體(tǐ)系設計(jì)、實現(xiàn)方法和(hé)運維管理(lǐ)體(tǐ)系；其次，雲計(jì)算(suàn)的(de)資源彈性、按需調配、高(gāo)可靠性及資源集中化(huà)等都(dōu)間(jiān)接增強或有(yǒu)利于安全防護，同時(shí)也給安全措施改進和(hé)升級、安全應用設計(jì)和(hé)實現(xiàn)、安全運維和(hé)管理(lǐ)等帶來(lái)了問(wèn)題和(hé)挑戰。 根據調研數據，雲計(jì)算(suàn)安全風(fēng)險是客戶所關注的(de)重點，雲計(jì)算(suàn)安全已經成為(wèi)組織規劃、設計(jì)、建設和(hé)使用雲計(jì)算(suàn)系統所急需解決的(de)重大問(wèn)題之一。

解決方案

雲計(jì)算(suàn)安全防護方案設計(jì)遵循以業(yè)務為(wèi)中心，風(fēng)險為(wèi)導向的(de)，基于安全域的(de)縱深主動防護思想，綜合考慮雲平台安全威脅、需求特點和(hé)相(xiàng)關要求，對(duì)安全防護體(tǐ)系架構、內(nèi)容、實現(xiàn)機(jī)制及相(xiàng)關産品組件(jiàn)進行了優化(huà)設計(jì)。 雲計(jì)算(suàn)安全方案主要由安全資源池、安全子(zǐ)平台、安全運營管理(lǐ)平台和(hé)安全應用等組成。 安全資源池：支持物(wù)理(lǐ)安全設備、虛拟化(huà)安全設備、SaaS安全服務等各種安全資源，接受各安全子(zǐ)平台的(de)管理(lǐ)，對(duì)外(wài)提供相(xiàng)應的(de)安全能力。 安全運營管理(lǐ)平台：與安全子(zǐ)平台配合，提供安全産品開(kāi)通(tōng)、調度、服務編排，以及安全運維功能，并實現(xiàn)與雲管理(lǐ)平台和(hé)SDN控制器(qì)的(de)對(duì)接。安全運營平台包含了雲安全運營的(de)一些共性功能模塊和(hé)一些提供特定安全能力的(de)子(zǐ)平台。 安全子(zǐ)平台：管理(lǐ)安全資源，提供安全策略管理(lǐ)、配置管理(lǐ)、安全能力管理(lǐ)、安全日(rì)志(zhì)管理(lǐ)等與特定安全應用密切相(xiàng)關的(de)功能。根據應用場(chǎng)景的(de)不同，可靈活配置和(hé)擴展。 安全應用：基于安全子(zǐ)平台提供的(de)安全能力，提供管理(lǐ)、控制、分析、呈現(xiàn)功能的(de)組件(jiàn)。用戶可根據需要靈活選配。

方案亮(liàng)點

适應性廣，安全功能多 支持VMWare、OpenStack雲平台，以及基于KVM、Xen的(de)各種定制化(huà)雲平台。同時(shí)，可以支持物(wù)理(lǐ)的(de)、虛拟化(huà)、SaaS化(huà)的(de)安全資源類型，提供多種安全能力。

模塊化(huà)架構，可靈活擴展 系統采用模塊化(huà)架構，根據應用場(chǎng)景和(hé)需求的(de)不同，可以選擇和(hé)部署相(xiàng)應的(de)安全資源、安全子(zǐ)平台、安全應用，滿足經濟性、合規性要求。

彈性資源，收放(fàng)自(zì)如 通(tōng)過資源池化(huà)技(jì)術、負載均衡技(jì)術、熱遷移技(jì)術，以及通(tōng)過安全子(zǐ)平台的(de)能力，可以對(duì)外(wài)提供安全、彈性的(de)安全功能，自(zì)如的(de)進行擴容、縮容。

全程自(zì)動化(huà)，可快速部署 運用SDN、NFV技(jì)術，用戶通(tōng)過安全運營平台可以按需、自(zì)助的(de)進行安全能力的(de)開(kāi)通(tōng)、安全APP的(de)下(xià)載、安裝和(hé)使用。同時(shí)，可以根據業(yè)務需要，實現(xiàn)多種安全設備的(de)協同防護，抵禦各類安全攻擊事(shì)件(jiàn)。

安全策略的(de)動态跟随 對(duì)于雲計(jì)算(suàn)系統安全域邊界的(de)動态變化(huà)，通(tōng)過區(qū)域子(zǐ)網劃分、安全隔離、SDN、分布式交換等技(jì)術，可以做到邊界防護策略的(de)持續有(yǒu)效，保障雲平台的(de)安全。

應用場(chǎng)景 适用于私有(yǒu)雲、公有(yǒu)雲、混合雲等各類雲平台的(de)安全防護。既适用于原生(shēng)服務器(qì)虛拟化(huà)、雲平台的(de)場(chǎng)景，也可以應用于采納SDN和(hé)NFV技(jì)術的(de)軟件(jiàn)定義數據中心場(chǎng)景。

私有(yǒu)雲

構建私有(yǒu)雲

利用軟件(jiàn)定義的(de)數據中心體(tǐ)系結構構建和(hé)運行基于虛拟化(huà)的(de)私有(yǒu)雲。交付虛拟化(huà)基礎架構服務以及高(gāo)度可用的(de)應用和(hé)服務。

超越服務器(qì)虛拟化(huà)

服務器(qì)虛拟化(huà)可在提高(gāo)業(yè)務敏捷性的(de)同時(shí)，使 CAPEX 和(hé) OPEX 成本削減 50%* 以上(shàng)。現(xiàn)在，您可以對(duì)數據中心的(de)其餘部分進行虛拟化(huà)，以使所有(yǒu) IT 服務都(dōu)能像虛拟機(jī)一樣調配和(hé)管理(lǐ)起來(lái)既經濟，又(yòu)便捷。軟件(jiàn)定義的(de)數據中心體(tǐ)系結構可将抽象化(huà)、池化(huà)和(hé)自(zì)動化(huà)延展到其餘的(de)數據中心資源，包括計(jì)算(suàn)、網絡和(hé)存儲。可以基于任意雲計(jì)算(suàn)基礎架構部署您的(de)虛拟化(huà)基礎架構并實現(xiàn)跨平台管理(lǐ)。

高(gāo)度可用的(de)應用和(hé)服務

利用軟件(jiàn)定義的(de)數據中心 (SDDC) 體(tǐ)系結構，基于 超融合架構的(de)私有(yǒu)雲可為(wèi)通(tōng)過标準化(huà)和(hé)整合的(de)數據中心實現(xiàn)高(gāo)度可用的(de)應用和(hé)服務奠定基礎。借助私有(yǒu)雲，還(hái)可實現(xiàn)安全、合規的(de) IT，對(duì) IT 運維進行智能控制，以及快速調配應用并實現(xiàn)持續監管。

網絡信息安全整體(tǐ)解決方案

背景

随着近(jìn)年(nián)來(lái)INTERNET接入的(de)普及和(hé)寬帶的(de)增加，各行業(yè)分布全國(guó)乃至全球的(de)用戶群體(tǐ)，信息化(huà)應用系統對(duì)網絡的(de)依賴性也越來(lái)越強，業(yè)務對(duì)網絡的(de)依賴程度也越來(lái)越大，信息安全的(de)重要性也在不斷提升，用戶所面臨的(de)各種問(wèn)題也變得越來(lái)越複雜(zá)，來(lái)自(zì)不同層面的(de)安全威脅也越來(lái)越多。如何确保網絡和(hé)應用的(de)連續高(gāo)可用、網絡安全防範、應用訪問(wèn)安全分權接入、智能終端無縫接入、內(nèi)部網絡高(gāo)效管理(lǐ)、數據存儲的(de)完整和(hé)高(gāo)可用、運維操作(zuò)的(de)管理(lǐ)，以及如何對(duì)數據庫系統的(de)訪問(wèn)和(hé)管理(lǐ)進行合理(lǐ)的(de)審計(jì)分析已經成為(wèi)企業(yè)迫切需要關注的(de)問(wèn)題。

解決方案

通(tōng)過互聯網出口部署負載均衡設備解決鏈路(lù)流量分配不合理(lǐ)，對(duì)多條鏈路(lù)健康狀況實時(shí)監控和(hé)智能負載；對(duì)所有(yǒu)應用系統實現(xiàn)持續監測健康狀态合理(lǐ)調度，一旦服務系統集群內(nèi)單台服務器(qì)故障實現(xiàn)智能切換到其他(tā)正常服務器(qì)系統上(shàng)，保證應用服務訪問(wèn)的(de)持久穩定。

通(tōng)過在互聯網出口、內(nèi)部專線網絡入口、服務器(qì)區(qū)域等部署應用層防火牆，不僅能夠實現(xiàn)原有(yǒu)區(qū)域安全隔離的(de)效果，還(hái)能夠實現(xiàn)IPS入侵防禦、AV病毒防護、DOS/DDOS等安全功能；針對(duì)WEB應用的(de)WAF防護，能防止黑(hēi)客利用web應用程序及各類B/S業(yè)務的(de)應用程序漏洞進行的(de)各種攻擊，實現(xiàn)雙向數據的(de)訪問(wèn)過濾。桌面端部署網絡版防護軟件(jiàn)及數據加密管理(lǐ)系統，解決客戶最後一公裏的(de)安全問(wèn)題，确保企業(yè)內(nèi)部數據的(de)安全可控。

通(tōng)過在服務器(qì)區(qū)部署SSL VPN産品，将服務器(qì)與外(wài)界進行邏輯隔離，使所有(yǒu)來(lái)自(zì)外(wài)部的(de)訪問(wèn)請求都(dōu)經過SSL VPN的(de)認證才能安全接入訪問(wèn)；在接入後進行嚴格的(de)控制訪問(wèn)權限，使人(rén)員(yuán)與資源相(xiàng)關聯，防止越權訪問(wèn)。

通(tōng)過部署專業(yè)的(de)存儲備份系統，對(duì)所有(yǒu)的(de)應用服務器(qì)采用網絡備份方式，通(tōng)過局域網或專用的(de)備份局域網絡，對(duì)應用服務器(qì)的(de)數據進行備份，将數據通(tōng)過備份服務器(qì)寫入到磁帶庫或磁盤陣列中，确保數據的(de)安全和(hé)完整。

通(tōng)過運維審計(jì)系統對(duì)企業(yè)內(nèi)部的(de)主要信息系統、網絡系統等遠(yuǎn)程運維操作(zuò)進行綜合審計(jì)，針對(duì)核心數據資産的(de)違規訪問(wèn)和(hé)操作(zuò)得到有(yǒu)效監管。 通(tōng)過數據審計(jì)系統的(de)旁路(lù)監聽(tīng)方式采集，分析處理(lǐ)，記錄數據庫服務器(qì)的(de)所有(yǒu)操作(zuò)，提供監測報警策略設置、數據庫服務器(qì)負擔狀況統計(jì)分析、數據庫客戶端訪問(wèn)操作(zuò)統計(jì)分析以及數據庫客戶端訪問(wèn)排名等功能，實現(xiàn)對(duì)數據庫服務器(qì)應用（包括數據庫系統操作(zuò)，數據操作(zuò)）的(de)實時(shí)監測、報警、記錄和(hé)審計(jì)。

方案價值



實現(xiàn)了多台服務器(qì)（服務器(qì)集群）合理(lǐ)利用，為(wèi)企業(yè)業(yè)務的(de)擴充和(hé)系統規模的(de)提高(gāo)創造有(yǒu)利的(de)條件(jiàn)。  實現(xiàn)了多條鏈路(lù)合理(lǐ)利用，另外(wài)豐富的(de)報表功能，提供鏈路(lù)負載統計(jì)、商業(yè)決策分析、穩定性統計(jì)報表等幫助企業(yè)了解鏈路(lù)使用情況，從(cóng)而為(wèi)企業(yè)提供網絡優化(huà)和(hé)改造的(de)依據，為(wèi)企業(yè)業(yè)務運營計(jì)劃，提供商業(yè)決策的(de)依據。



應用層防火牆多個(gè)安全功能模塊，多核并行處理(lǐ)技(jì)術保障，不僅能替代原有(yǒu)傳統防火牆的(de)所有(yǒu)功能，且穩定性好(hǎo)；特别針對(duì)應用層安全風(fēng)險提供完整的(de)應用安全加固技(jì)術，幫助客戶實現(xiàn)全面的(de)安全防護，防護來(lái)自(zì)內(nèi)外(wài)網的(de)各個(gè)層面的(de)安全風(fēng)險。解決了用戶網絡安全管理(lǐ)難題，彌補了現(xiàn)有(yǒu)傳統安全體(tǐ)系針對(duì)應用層防護的(de)不足，有(yǒu)效阻止了來(lái)之應用層的(de)各類攻擊，實現(xiàn)了廣域網流量清洗的(de)效果。



實現(xiàn)了“三合一”的(de)WEB安全 事(shì)前，快速的(de)進行風(fēng)險掃描，幫助用戶快速定位安全風(fēng)險并智能更新防護策略； 事(shì)中，有(yǒu)效防止了引起網頁篡改問(wèn)題、網頁挂馬問(wèn)題、敏感信息洩漏問(wèn)題、無法響應正常服務問(wèn)題及“拖庫”、“暴庫”問(wèn)題的(de)web攻擊、漏洞攻擊、系統掃描等攻擊； 事(shì)後，對(duì)服務器(qì)外(wài)發內(nèi)容進行安全檢測，防止攻擊繞過安全防護體(tǐ)系，對(duì)Web業(yè)務産生(shēng)的(de)網站篡改、數據洩漏問(wèn)題。



實現(xiàn)了終端的(de)“主動防禦”，建立一個(gè)覆蓋全網的(de)、可伸縮、抗打擊的(de)防病毒體(tǐ)系。  實現(xiàn)了數據內(nèi)部安全傳輸，确保數據外(wài)發的(de)密級保護，建立一個(gè)可控的(de)文(wén)件(jiàn)共享傳輸體(tǐ)系。  實現(xiàn)了精細的(de)應用控制，有(yǒu)效阻止內(nèi)部敏感信息外(wài)發，并能提高(gāo)員(yuán)工(gōng)工(gōng)作(zuò)效率；全面的(de)安全防護措施，過濾木馬惡意鏈接網址，強化(huà)分支辦公終端的(de)安全；細緻的(de)上(shàng)網行為(wèi)審計(jì)，完全滿足公安部門的(de)監管要求；精确流量管控，合理(lǐ)的(de)記性流量分配；實用的(de)智能分析系統，為(wèi)客戶決策出謀劃策。  實現(xiàn)了應用的(de)安全、快速、穩定的(de)業(yè)務接入訪問(wèn)；便捷的(de)用戶體(tǐ)驗，降低(dī)了管理(lǐ)工(gōng)作(zuò)量，應用程序圖形化(huà)的(de)方式呈現(xiàn)于智能終端之上(shàng)，實現(xiàn)輕松跨平台訪問(wèn)，為(wèi)多元化(huà)的(de)終端辦公提供了快速安全的(de)途徑。  實現(xiàn)了一體(tǐ)化(huà)的(de)備份與恢複，可為(wèi)各種複雜(zá)的(de)環境提供最全面的(de)備份與恢複，就保護公司最寶貴的(de)資産數據而言，減少了其中的(de)複雜(zá)性及恢複的(de)時(shí)效性，确保了數據的(de)安全和(hé)完整。  滿足IT運維合規性要求，順利通(tōng)過IT審計(jì)；實現(xiàn)了對(duì)企業(yè)IT資源的(de)管理(lǐ)；實現(xiàn)了對(duì)IT用戶的(de)管理(lǐ)、對(duì)IT用戶的(de)授權管理(lǐ)；實現(xiàn)了對(duì)運維操作(zuò)日(rì)志(zhì)的(de)完整記錄；符合等級保護要求完善了國(guó)家(jiā)法律法規的(de)要求。  實現(xiàn)了針對(duì)所有(yǒu)帳戶對(duì)數據庫訪問(wèn)與操作(zuò)的(de)全面監測審計(jì)；加強了對(duì)數據庫臨時(shí)帳戶的(de)審計(jì)監測；加強了針對(duì)重要敏感數據的(de)訪問(wèn)的(de)審計(jì)監測；提供了詳細的(de)數據庫審計(jì)記錄及分類統計(jì)；實現(xiàn)了數據庫異常操作(zuò)監測報警；彌補了數據庫系統內(nèi)置日(rì)志(zhì)審計(jì)的(de)缺陷。

等級保護測評服務介紹

等級保護概述

等級保護政策背景 等級保護是國(guó)家(jiā)信息安全保障的(de)基本制度、基本策略、基本方針。開(kāi)展信息安全等級保護工(gōng)作(zuò)是保護信息化(huà)發展、維護國(guó)家(jiā)信息安全的(de)根本保障，是信息安全保障工(gōng)作(zuò)中國(guó)家(jiā)意志(zhì)的(de)體(tǐ)現(xiàn)。
通(tōng)過将等級化(huà)方法和(hé)安全體(tǐ)系方法有(yǒu)效結合，設計(jì)一套等級化(huà)的(de)信息安全保障體(tǐ)系，是适合我國(guó)國(guó)情、系統化(huà)地(dì)解決大型組織信息安全問(wèn)題的(de)一個(gè)非常有(yǒu)效的(de)方法。 國(guó)家(jiā)信息安全等級保護堅持自(zì)主定級、自(zì)主保護的(de)原則。信息系統的(de)安全保護等級應當根據信息系統在國(guó)家(jiā)安全、經濟建設、社會生(shēng)活中的(de)重要程度，信息系統遭到破壞後對(duì)國(guó)家(jiā)安全、社會秩序、公共利益以及公民(mín)、法人(rén)和(hé)其他(tā)組織的(de)合法權益的(de)危害程度等因素确定。
為(wèi)進一步貫徹落實《國(guó)家(jiā)信息化(huà)領導小(xiǎo)組關于加強信息安全保障工(gōng)作(zuò)的(de)意見》（中辦發[2003-27]号）、《關于信息安全等級保護工(gōng)作(zuò)的(de)實施意見》（公通(tōng)字[2004]66号）、《信息安全等級保護管理(lǐ)辦法》（公通(tōng)字[2007]43号）、《關于開(kāi)展全國(guó)重要信息系統安全等級保護定級工(gōng)作(zuò)的(de)通(tōng)知》（公信安[2007]861号）等文(wén)件(jiàn)的(de)精神，提高(gāo)我國(guó)基礎信息網絡和(hé)重要信息系統的(de)信息安全保護能力和(hé)水(shuǐ)平，自(zì)2007年(nián)開(kāi)始，從(cóng)國(guó)家(jiā)層面開(kāi)始推動我國(guó)的(de)政府、金(jīn)融、電(diàn)力、電(diàn)信、交通(tōng)等基礎行業(yè)在全國(guó)範圍內(nèi)組織開(kāi)展重要信息系統安全等級保護定級、備案、測評、整改工(gōng)作(zuò)。

等級保護涉及系統

根據等級保護相(xiàng)關政策要求，需要實施等級保護的(de)信息系統包括：
 黨政系統（黨委、政府）；
 金(jīn)融系統（銀行、保險、證券）及财稅系統（财政、稅務、 工(gōng)商）；
 經貿系統（商業(yè)貿易、海(hǎi)關）；
 電(diàn)信系統（郵電(diàn)、電(diàn)信、廣播、電(diàn)視(shì)）；
 能源系統（電(diàn)力、熱力、燃氣、煤炭、油料）；
 交通(tōng)運輸系統（航空、航天、鐵(tiě)路(lù)、公路(lù)、水(shuǐ)運、海(hǎi)運）；
 供水(shuǐ)系統（水(shuǐ)利及水(shuǐ)源供給）；
 社會應急服務系統（醫療、消防、緊急救援）；
 教育科(kē)研系統（教育、科(kē)研、尖端科(kē)技(jì)）；
 國(guó)防建設系統；
 國(guó)有(yǒu)大中型企業(yè)系統；
 互聯單位、接入單位、重點網站及向公衆提供上(shàng)網服務場(chǎng)所的(de)計(jì)算(suàn)機(jī)信息系統。

等級保護相(xiàng)關标準

我國(guó)現(xiàn)行等級保護工(gōng)作(zuò)主要相(xiàng)關标準如下(xià)：
《計(jì)算(suàn)機(jī)信息系統安全保護等級劃分準則》（GB 17859-1999）
《信息系統安全等級保護定級指南》（GB/T 22240-2008）
《信息系統安全等級保護基本要求》（GB/T 22239-2008）
《信息系統安全等級保護實施指南》（GB/T 25058-2010）
《信息系統安全等級保護測評要求》（V2.0(送審稿)）
《信息安全技(jì)術 網絡基礎安全技(jì)術要求》（GB/T 20270-2006）
《信息安全技(jì)術 信息系統通(tōng)用安全技(jì)術要求》（GB/T 20271-2006）
《信息安全技(jì)術 操作(zuò)系統安全技(jì)術要求》（GB/T 20272-2006）
《信息安全技(jì)術 數據庫管理(lǐ)系統安全技(jì)術要求》（GB/T 20273-2006）
《信息安全技(jì)術 服務器(qì)技(jì)術要求》（GB/T 21028-2007）
《信息安全技(jì)術 終端計(jì)算(suàn)機(jī)系統安全等級技(jì)術要求》（GA/T 671-2006）
《信息安全技(jì)術 信息系統安全管理(lǐ)要求》（GB/T 20269-2006）
《信息安全技(jì)術 信息系統安全工(gōng)程管理(lǐ)要求》（GB/T 20282-2006）
《信息安全技(jì)術 信息安全事(shì)件(jiàn)分類分級指南》（GB/Z 20986-2007）
《涉及國(guó)家(jiā)秘密的(de)計(jì)算(suàn)機(jī)信息系統分級保護技(jì)術要求》 BMB 17-2006
《涉及國(guó)家(jiā)秘密的(de)信息系統分級保護管理(lǐ)規範》 BMB 20-2007
《涉及國(guó)家(jiā)秘密的(de)計(jì)算(suàn)機(jī)信息系統分級保護測評指南》 BMB 22-2007
《涉及國(guó)家(jiā)秘密的(de)計(jì)算(suàn)機(jī)信息系統安全保密測評指南》 BMZ 3-2001

等級保護服務介紹

信息安全等級保護工(gōng)作(zuò)流程包括以下(xià)幾個(gè)階段：系統定級、系統備案、差距測評、系統整改、驗收測評、定期測評等階段。包含的(de)工(gōng)作(zuò)內(nèi)容如下(xià)：
系統定級：信息系統運營使用單位按照(zhào)《信息系統信息安全等級保護定級指南》，确定信息系統安全等級。有(yǒu)主管部門的(de)，報主管部門審核批準。
系統備案：已運營的(de)第二級以上(shàng)信息系統，在安全保護等級确定後30天內(nèi)，由其運營、使用單位到所在地(dì)區(qū)的(de)市(shì)級以上(shàng)安全機(jī)關辦理(lǐ)備案手續。第三極以上(shàng)信息系統，還(hái)需要提供相(xiàng)關附件(jiàn)材料。相(xiàng)應安全機(jī)關審核通(tōng)過後，由公安機(jī)關頒發系統等級保護備案證書(shū)。
差距測評：選擇有(yǒu)資質的(de)等級保護測評機(jī)構，進行差距測評，形成等級保護測評報告。
系統整改：根據測評結果，制訂整改方案，按照(zhào)國(guó)家(jiā)的(de)相(xiàng)關規範和(hé)技(jì)術标準，使用符合國(guó)家(jiā)相(xiàng)關規定，滿足系統等級需求産品，并調試及進行信息系統安全整改工(gōng)作(zuò)。（備注：一般情況下(xià)，為(wèi)保證系統整改的(de)效果，差距測評及系統整改兩個(gè)階段由同一家(jiā)公司完成）。
驗收測評：選擇第三方測評機(jī)構進行驗收測評，驗收合格後，系統運營、使用單位向地(dì)級以上(shàng)市(shì)公安機(jī)關提交測評報告，審核通(tōng)過後，由公安機(jī)關頒發合格證書(shū)。 定期測評：定期選擇第三方測評機(jī)構進行測評。三級系統每年(nián)至少一次，四級以上(shàng)系統每半年(nián)至少一次。

等級保護測評實施流程

信息系統安全等級測評分為(wèi)四個(gè)過程階段：測評準備過程、方案編制過程、測評實施過程、分析與報告編制過程。 具體(tǐ)測評實施流程圖如下(xià)所示：
一、測評準備過程：主要是通(tōng)過訪談的(de)方式了解被測系統的(de)基本情況，包括被測系統的(de)物(wù)理(lǐ)環境，網絡結構和(hé)邊界，網絡設備，主機(jī)系統，應用系統等測評對(duì)象情況。
二、方案編制過程：根據被測系統的(de)定級報告和(hé)系統自(zì)身(shēn)的(de)情況确定測評指标和(hé)對(duì)應的(de)測評實施內(nèi)容、對(duì)測評實施中的(de)測試和(hé)滲透測試項編制測試方案，細化(huà)測試點，測試工(gōng)具，測試對(duì)象，測試方法，測試步驟，對(duì)現(xiàn)場(chǎng)測評的(de)總體(tǐ)計(jì)劃作(zuò)出安排，根據上(shàng)述工(gōng)作(zuò)內(nèi)容編制完成方案，然後測評雙方對(duì)測評方案進行确認、審核，并進一步溝通(tōng)和(hé)協調以确定現(xiàn)場(chǎng)測評計(jì)劃。
三、測評實施過程：根據雙方确認的(de)測評方案到被測系統現(xiàn)場(chǎng)完成測評工(gōng)作(zuò)。現(xiàn)場(chǎng)測評工(gōng)作(zuò)涉及三類方法：訪談、檢查和(hé)測試。訪談是我方測評人(rén)員(yuán)通(tōng)過與信息系統有(yǒu)關人(rén)員(yuán)（個(gè)人(rén)/群體(tǐ)）進行交流、讨論等活動，獲取證據以證明(míng)信息系統安全防護措施是否有(yǒu)效。檢查是我方測評人(rén)員(yuán)通(tōng)過對(duì)測評對(duì)象進行觀察、查驗、分析等活動，獲取證據以證明(míng)信息系統安全防護措施是否有(yǒu)效。測試是我方測評人(rén)員(yuán)使用預定的(de)方法及工(gōng)具使測評對(duì)象産生(shēng)特定的(de)行為(wèi)，通(tōng)過查看(kàn)、分析這(zhè)些行為(wèi)的(de)結果，獲取證據以證明(míng)信息系統安全防護措施是否有(yǒu)效。
四、分析與報告編制過程：在完成測評實施過程之後，我方将根據現(xiàn)場(chǎng)測評的(de)記錄進行綜合測評分析，包括單項測評結果彙總分析，系統整體(tǐ)測評，系統風(fēng)險分析和(hé)評價，并最終給出差距分析和(hé)整體(tǐ)建議(yì)。

等級保護測評內(nèi)容

依據等級保護相(xiàng)關标準要求，對(duì)信息系統安全等級保護狀況進行測評評估，包括以下(xià)兩個(gè)方面的(de)內(nèi)容： 一、安全技(jì)術測評，包括物(wù)理(lǐ)、網絡、主機(jī)、數據及應用安全測評；
二、安全管理(lǐ)測評，包括安全管理(lǐ)機(jī)構、人(rén)員(yuán)安全管理(lǐ)、安全管理(lǐ)制度、系統建設管理(lǐ)、系統運維管理(lǐ)測評。 如下(xià)圖所示：

等級保護系統整改

東軟将根據等級保護差距測評結果，制訂等級保護整改方案，按照(zhào)國(guó)家(jiā)的(de)相(xiàng)關規範和(hé)技(jì)術标準，采取符合國(guó)家(jiā)相(xiàng)關規定、滿足系統等級需求的(de)措施，進行信息系統安全整改工(gōng)作(zuò)。
3 等級保護服務客戶收益
 滿足國(guó)家(jiā)信息安全等級保護相(xiàng)關政策與标準要求。
 實現(xiàn)信息系統等級化(huà)保護和(hé)等級化(huà)管理(lǐ)。  解決原有(yǒu)咨詢服務重視(shì)問(wèn)題發現(xiàn)和(hé)提要求而
解決方案實施落實較弱的(de)模式。  提高(gāo)企業(yè)業(yè)務系統信息安全防護能力。
 縮短從(cóng)體(tǐ)系設計(jì)到體(tǐ)系實現(xiàn)的(de)過程，避免咨詢服務成果與安全建設脫節的(de)弊病。