信息安全等級保護建設解決方案

信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。信息安全等級保護工作包括定級備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合國家要求的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。

核心方案優勢

        1、持續監控

        安全物理環境：對機房內交流配電柜、UPS電源系統、空調系統、通信等系統設備、機房溫度、機柜溫度、濕度、漏水等實時監測及故障告警

        安全通信網絡：監控網絡設備業務處理能力及各業務帶寬；可自定義監控點展示內容

        安全區域邊界：平臺安全功能，賦能邊界防護、訪問控制等安全區域邊界管理需求

        安全計算環境：平臺支持同時對多臺設備進行配置/備份和備份對比，以減少管理員的工作量，提高系統的可用性

        安全管理中心：智能化網絡拓撲生成能力，日志管理能力、NTP時鐘管理能力、故障告警與運維功能，網絡安全加固。

        2、安全可視

        可視化網絡安全、可視化環境管理、可視化資產管理、可視化系統管理、可視化運維管理

        3、主動防御

        配置管理：對監控對象包括所有網絡設備，配置文件定期可自動備份，并可進行配置文件變更差異對比。

        設備維護管理：通過平臺安管功能對設備進行開機、關機、重啟、批量命令下發、端口配置、流量控制等管理維護，支持遠程運維。

        安全事件處置：平臺定時自動化巡檢，發送巡檢報告；設備、鏈路、網絡運行情況報表記錄，支持歷史查詢。

等級保護建設流程

1.定級備案：編寫定級報告、填寫定級備案表，完成在公安機關的定級備案
2.差距評估：采用技術手段和訪談調查方式發現現狀與國家要求之間的差距
3.方案設計：依照國家相關標準，完成等級保護建設整改方案設計
4.建設整改：完成設備采購及調整、策略配置調優、完善管理制度等工作
5.系統測評：請測評中心完成系統測評，獲得測評報告

等級保護安全要求

　　等保2.0標準分為安全通用要求和安全擴展要求。安全通用要求為各行業的共性化保護需求提出；安全擴展要求針對目前新技術和新應用提出，包括云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求和工業控制系統安全擴展要求。標準中的每個級別都分別對安全通用要求和安全擴展要求做了詳細規范。

智和信通等級保護建設解決方案

1.方案概述

　　智和信通等級保護建設解決方案助力用戶《信息安全技術網絡安全等級保護基本要求》建設。我們以等保相關標準為依據，依托豐富的網絡安全行業經驗，配套自主研發的智和網管平臺SugarNMS，提升用戶網絡關鍵基礎設施綜合管理能力，助力用戶通過等級保護測評。

　　管理與運營是企業安全性的最終體現，隨著安全越發受重視，企業在安全管理方面也要與時俱進。IT運維是一個很大的范疇，涉及到的部門、架構、技術、產品十分廣泛。如智和網管平臺SugarNMS這樣的網絡管理軟件，是運維人員應配備的管理工具。用戶可配套“監控+分析+運維+安管+日志+開發”六大模塊進行IT運維智能管理，對網絡設備、計算機、服務器、智能設備、物聯網、工業設備、光設備、云設備、通信設備等所有聯網設備及軟件服務的集中管控，實現用戶IT業務運營維護AI智能化、自動化、精細化、可視化、大數據分析、功能擴展和開發集成的需求。

2.智和網管平臺SugarNMS助力安全技術要求建設

　　智和網管平臺SugarNMS可對安全物理環境、安全通信網絡、安全區域邊界、安全計算環境進行多維度監控管理；等保2.0三級及以上測評項，新增安全管理中心-集中管控控制項，強調要求設備管控，服務器、設備、鏈路、運行狀況監測和報警、分析統計等，這正是網管軟件特有的功能，其他網絡安全產品難以替代。

3.智和網管平臺SugarNMS助力安全管理要求建設

　　智和網管平臺SugarNMS助力安全管理要求建設，可對安全運維管理分類中配置管理、設備維護管理、安全事件處置、環境管理、資產管理、網絡和系統安全管理等安全控制點提供策略支撐。

4.智和網管平臺SugarNMS支撐等?？刂祈椆δ芎喗?/strong>

4.1安全區域邊界-邊界防護

　　智和網管平臺SugarNMS支撐策略：終端接入控制+MAC-IP管理+黑白名單

　　平臺通過端口綁定MAC和IP，控制端口準入的終端設備，通過控制開啟和關閉Dot1X認證功能，實現終端接入的認證管理，通過控制網絡設備的端口打開、關閉和VLan控制，實現對終端接入設備的通斷控制。定時獲取全網的MAC-IP信息，并自動保存。支持根據MAC或IP對在線設備進行查詢。通過黑白名單功能從而檢測用戶所關心的設備（通過IP或MAC來識別）是否在網絡中出現及出現時間，提醒用戶是否進行下一步操作。

4.2安全區域邊界-訪問控制

　　針對a、b、c項，智和網管平臺SugarNMS支撐策略：

　　（1）統一準入控制+終端接入控制原則+ACL訪問控制：平臺支持實現ACL策略、源和目的IP、協議、端口、訪問動作等細粒度的控制，用戶可以自定義ACL模板，方便統一策略實施。

　　（2）通用萬能配置下發功能：實現深入的管控網絡設備，智和網管平臺實現對telnet、jdbc、jmx和snmp協議的支持。

　　（3）MAC-IP管理、黑白名單管理：通過端口綁定、MAC、IP綁定，控制終端設備和接入設備的網絡訪問；通過配置Dot1x實現上網認證；控制端口的打開關閉狀態和VLan設置，通過ACL訪問控制列表，實現網絡訪問控制。支持批量操作，實現全網統一準入控制策略。支持MAC-IP地址的黑白名單管理和告警、全網MAC-IP對應表，全網IP地址表。

　　（4）Qos策略配置：通過QOS、流行為類策略、優先級實現對網絡設備的流量分配；通過端口限速實現對網絡設備的流量控制；支持批量流量策略，方便全網實施統一流量策略。

　　（5）統一控制策略：實現對設備STP、NTP、路由等設備控制功能，支持批量控制，支持配置文件批量備份、同步等。支持多設備統一設備控制策略管理。

4.3安全計算環境-訪問控制

智和網管平臺SugarNMS支撐策略：

　　（1）三員認證體系：平臺符合三員認證體系，具備系統管理員、安全保密管理員和安全設計員三員管理，可賦予用戶對網絡管理或只讀的權限，不同管理員對不同網絡進行管理使網絡更加安全。

　　（2）設備用戶管理：通過對網絡設備發送添加本地用戶命令，為設備添加本地用戶，設置包括用戶名密碼、服務類型（連接協議telnet,SSH,terminal）、權限級別等內容，支持批量設備操作。

　　（3）SNMP管理：提供SNMP用戶管理頁面，可在設備上添加SNMP用戶，對SNMP協議版本、用戶名、用戶口令、權限級別進行設置。

4.4安全計算環境-入侵防范

　　針對C項要求，智和網管平臺SugarNMS支撐策略：

　　終端接入控制：平臺通過端口綁定MAC和IP，控制端口準入的終端設備，通過控制開啟和關閉Dot1X認證功能，實現終端接入的認證管理，通過控制網絡設備的端口打開、關閉和VLan控制，實現對終端接入設備的通斷控制。

4.5安全計算環境-數據備份恢復

　　針對a項內容，智和網管平臺SugarNMS功能支撐：

　　自動策略備份：支持同時對每多臺設備進行配置/備份和備份對比，以減少管理員的工作量，提高系統的可用性。

4.6-安全管理中心-集中管控

　　智和網管平臺SugarNMS支撐策略：

　　（1）拓撲管理 多種布局劃分網絡

　　智和網管平臺SugarNMS支持通過圖形化的方式，將網絡拓撲關系展示出來，支持樹形結構和平面結構的聯動展示，也可以按片區、按地域、按層級等多種布局方式劃分網絡。

　　在拓撲中以不同顏色設備圖標實時展現設備的狀態信息。通過拓撲圖對設備、設備資源、鏈路進行管理。通過圖形化、具象化的拓撲形式展現設備間的聯動關系與實時狀態信息，極大的降低了IT部門的維護難度，拖動式的布局形式使配置更加靈活。通過拓撲視圖，用戶可以方便的管理設備及其配置參數，支持對設備進行添加、修改、刪除、移動等操作。

（2）智能識別 設備類型無線擴展

• 自動識別當前設備類型及其配置參數，支持所有主流設備，小眾設備可通過自定義的形式進行添加管理，實時查看設備運行情況，第一時間發現設備故障。
• 支持網絡設備廠商：Cisco、Juniper、Foundry、Avaya、3COM、Intel、Fore、Marconi、Motorola、華為、中興、華三、聯想、銳捷、港灣、邁普、烽火、天融信、深信服及其它眾多網絡設備生產廠商
• 支持設備管理協議：SNMP、Telnet、SSH、Ping

（3）多維監控 面板圖真實展現

　　支持主動從多個方面監控網絡設備，能實時監控設備網口、電口、光接口的狀態。包括端口可用性、端口性能數據、端口故障、鏈路問題都能通過網管軟件實時掌控。支持直接在操作界面真實展現設備的機架圖、面板圖，并能方便的配置和自定義機架圖和面板圖。通過網管軟件可以批量的升級和備份設備。

（4）智能告警系統 自定義告警閥值

　　支持多種告警機制，自定義配置告警閥值，迅速定位告警設備，支持快速標識已經執行操作的告警。全面采集設備資源、應用、服務等告警信息?？蓪⒏婢畔祿凑諘r間、資源、性能類型等多種維度以圖表等形式展現。通過對告警機制以及閥值的設置，第一時間獲取準確的告警信息，快速定位告警設備，提升告警處理效率，極大的降低了因設備故障給企業帶來的損失。

• 故障采集：具備主動的故障監控功能，能從眾多的事件和狀態中，系統將零散的狀態信息，總結成為當前工作狀態，并產生告警。
• 故障優化：包括事件過濾機制、故障事件上報機制、故障事件呈現過濾、故障事件入庫過濾、故障事件確認等處理機制，有效避免誤報和漏報。
• 故障定位：可實現快速的故障定位，能一步定位到發生故障的源頭設備，及時處理好故障，有效地預防故障發生。
• 故障處理：通過故障閥門值的設置，可以在故障真正到來之前，提前觸發通知機制。并支持三級逐步預警。在故障消失后，系統能自動檢測到先前故障，并做自動清除告警處理。
• 故障通知：故障可以通過界面顏色、告警列表、Email、微信等方式發出通知，告警可以向上逐步追溯，按照從全局→網絡→設備→資源的管理習慣來組織故障顯示。

（5）日志管理系統

（6）NTP時鐘管理

　　提供NTP服務端和客戶端，通過NTP時鐘管理，保證系統范圍內的時間由唯一確定的時鐘產生，保證各項數據的管理和分析在時間上的一致性，向IT運維部門提供科學合理的決策依據。

四、智和信通方案優勢

1.統一運維監控： 采用統一的安全運維平臺，用戶只需在一個平臺上即可統一管理各項安全功能，使得運維更加簡單

2.全程展示分析：采用可視化設計，提供多維度安全報表為安全決策提供數據支撐，提升組織安全管理效率

3.擴展能力強大：根據客戶業務的特點和實際網絡情況，靈活部署相關安全設備，軟件監控設備可無限擴展

4.安全可觀可控：萬能命令模板，為設備配置各種控制命令，用戶可以批量下發命令，實現對設備的批量控制

5.100%Java架構產品：從功能模塊、數據庫、C/S界面全部基于統一Java技術平臺和統一數據關系模型，不包含任何第三方功能庫

6.Java網絡拓撲圖：平臺包含了國內首款Java網絡拓撲圖產品、智能化專利的Java SNMP組件和自動發現產品。

7.隔離性好：平臺在基礎框架、可重用組件和軟件功能之間保持隔離，既確?？焖俣ㄖ朴植粨p失組件化、架構化特性

8.自主知識產權：從底層網絡協議到開發平臺，100%自主知識產權，確保移交給客戶的產品中不含任何第三方商業權利

9.方便系統集成：采用標準Java領域成熟的輕量級技術，既方便開發，也方便與各種系統集成。

10.多種客戶端選擇：同時具有基于Java的客戶端和HTML5的客戶端，滿足不同用戶喜好。

11.完善的開發服務：通過可選擇的模塊式或者代碼式的開發形式，在最短的時間內滿足用戶各種定制需求，同時提供全套開發資料和完善的培訓服務，讓網管軟件開發再無后顧之憂。