新等保解决方案产品销售指导

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2017/7/22,#,新等保解决方案产品销售指导,正式版,V1.0,产品与解决方案中心,王亮 张培蔚,2,等级保护通用要求,三级等保方案介绍,方案优势,&,价值,典型案例,可销售产品清单,等级保护有法可依违法必究,第二十一条,国家实行网络安全等级保护制度。网络运营者应当按照,网络安全等级保护,制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、,篡改,第五十九,条,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处,一万元以上十万元以下,罚款，对直接负责的主管人员处,五千元以上五万元以下,罚款,。,等保,2.0,扩展,安全通用要求,+,五个扩展分册,GB/T22239.1-XXXX,信息安全技术,网络安全等级保护基本要求,第,1,部分 安全通用,要求,GB/T,22239.2-XXXX,信息安全技术 网络安全等级保护基本要求,第,2,部分 云计算安全扩展要求,GB/T,22239.3-XXXX,信息安全技术 网络安全等级保护基本要求,第,3,部分 移动互联安全扩展要求,GB/T,22239.4-XXXX,信息安全技术 网络安全等级保护基本要求,第,4,部分 物联网安全扩展,要求,GB/T,22239.5-XXXX,信息安全技术 网络安全等级保护基本要求,第,5,部分 工业控制安全扩展,要求,GB/T,22239.6-XXXX,信息安全技术 网络安全等级保护基本,要求,第,6,部分 大数据安全扩展,要求,三,级安全控制项,1.0,：,290,项,技术,136,管理,154,技术要求,应用和数据安全,设备和计算安全,网络和通信安全,物理和环境安全,管理要求,安全策略和管理制度,安全管理机构和人员,安全建设管理,安全运维管理,等保三级安全的控制项,技术要求,数据安全及备份恢复,应用安全,主机安全,网络安全,物理安全,管理要求,系统运维管理,系统建设管理,人员安全管理,安全管理机构,安全管理制度,三,级安全控制项,2,.0,：,229,项,技术,116,管理,113,等保,2.0,控制域控制项变化示例,7,等级保护通用要求,三级等保方案介绍,方案优势,&,价值,典型案例,可销售产品清单,安全运维,安全产品与等保要求对应情况,网络,技术要求,物理安全,网络与通信安全,设备和计算安全,应用和数据安全,机构人员,数据,应用,操作系统,虚拟化,NGFW,Anti,DDoS,虚拟化,安全,天擎,NAC,WAF,网页,防篡改,鹰眼,VPN,DB,审计,等保咨询,物理环境,CCTV,门禁,漏扫,管理要求,机构人员,建设管理,等保集成,渗透测试,建设管理,SNI,NGSOC,安全运维,堡垒机,等级保护安全架构,策略制度,等保咨询,策略制度,360ID,应急响应,驻场保障,DLP,安全培训,ICG,IPS,天眼,防病毒墙,防火,防水,电力保障,机房抗震,日志审计,LAS,电磁防护,基础环境评估,注：物理安全由等保防护对象或电信基础设施运营商提供,网闸,天巡,漏扫,代码,卫士,SMAC,等保二级要求,等保三级增加要求,CA,应用改造,邮件网关,容灾备份,等保二级要求,等保三级增加要求,第三方设备：,360,自有设备：,等级保护生命周期安全服务（等保,2.0,）,定级备案,安全设计实施,安全运行维护,应急响应保障,总体安全规划,等保,咨询,服务,安全规划设计服务,等保,集成服务,安全,运维服务,系统调查,系统定级,定级报告,专家评审,协助备案,安全需求分析,安全策略设计,解决方案设计,安全建设规划,详细设计,技术实现,管理实现,安全,培训,运行管理,服务,商管控,等级测评,检测改进,基础环境评估,服务,现场,评估,报告编制,应急预案,监测,响应,评估改进,应急保障,安全应急服务,行业,/,领域主管部门,属地,公安机关,有等保建设资质,的厂商，设计院等,有等保建设资质的厂商,等保用户,专业安全厂商,等保用户,专业安全厂商,10,等级保护通用要求,三级等保方案介绍,方案优势,&,价值,典型案例,可销售产品清单,1,安全风险评估,3,安全运维,2,等,保咨询,4,应急响应,5,安全架构设计,安全集成,一,站,式新等保三级解决,方案,优势,1-,产品覆盖,最,最全,优势,2-,公司资质,最,最全,序号,资质名称,网神,启明星辰,绿盟科技,天融信,深信服,华为,东软,蓝盾,北信源,亚信,安恒,阿里云,认定认可类,1,计算机信息系统集成企业资质（大型一级为最高级）,二级,二级,二级,二级,一级,一级,一级,二级,2,商用密码产品销售许可证,3,商用密码产品生产定点单位证书,4,纳税信用,A,级企业,5,ISO9001:2008,质量管理体系,(,包含网神科技,),6,ISO20000:2011,信息技术服务管理体系,7,ISO27001:2005,信息安全管理体系,8,ISO14000,环境管理体系认证,9,ISO18000,职业健康安全管理体系,10,TL9000,电讯业质量管理体系认证,安全服务类,1,信息安全等级保护建设服务机构能力评估合格证书,2,ISCCC,信息安全服务资质,-,应急处理服务,一级,一级,一级,一级,一级,一级,一级,一级,3,ISCCC,信息安全服务资质,-,风险评估服务,一级,一级,一级,一级,一级,一级,一级,一级,4,ISCCC,信息安全服务资质,-,信息系统安全集成服务,一级,一级,一级,一级,一级,一级,一级,一级,5,国测信息安全服务资质,-,安全开发类,一级,一级,一级,一级,一级,一级,一级,一级,6,国测信息安全服务资质,-,安全工程类,二级,二级,二级,二级,二级,二级,一级,二级,7,CISP,授权服务机构,8,通信网络安全服务能力评定证书安全设计与集成（三级为最高级）,二级,一级,二级,二级,一级,一级,9,通信网络安全服务能力评定证书风险评估（三级为最高级）,二级,二级,二级,二级,一级,一级,一级,10,通信网络安全服务能力评定证书应急响应（三级为最高级）,一级,一级,一级,一级,11,通信网络安全服务能力评定证书安全培训（三级为最高级）,一级,一级,一级,一级,服务支撑类,1,CNCERT/CC,网络安全应急服务支撑单位,国家级,国家级,国家级,国家级,国家级,省级,国家级,省级,国家级,省级,2,CNCERT,网络安全信息通报单位,优势,3-,威胁情报,及,及大数据,分,分析能力,最,最强,方案价值,-,“不止合,规,规”,等保,2.0,预警研判,应急处置,协同防御,自动化的闭环协,同,同处置“,终,终端,-,网关,-,云端”联,动,动的动态,纵,纵深防御,体,体系,技术支援和决策建议,帮助建设,事,事件的应,急,急处置能力。,提供安全,人,人才的实,训,训培养,可视化技,术,术,-,网络整体,安,安全态势,监,监测及相,关,关威胁的,预,预警，提,升,升组织安,全,全管理效,率,率。,高质量的,威,威胁情报,支,支撑，描,绘,绘攻击者,画,画像，了,解,解相关攻,击,击历史,15,等级保护,通,通用要求,三级等保,方,方案介绍,方案优势,&,价值,典型案例,可销售产,品,品清单,农业部（,金,金农工程,一,一期安全,集,集成与服,务,务项目）,：,：,开展定级,、,、调研、,设,设计、技,术,术实施、,管,管理实施,、,、评估加,固,固、测评,、,、产品采,购,购、运维,等,等全过程,。,。最终测,评,评三级系,统,统,85,分，二级,系,系统,95,分。,水利部（,水,水利信息,安,安全等级,保,保护集成,与,与服务项,目,目）：,开展定级,、,、调研、,设,设计、技,术,术实施、,管,管理实施,、,、评估加,固,固、测评,、,、产品采,购,购、运维,等,等全过程,。,。最终测,评,评三级系,统,统,88,分，二级,系,系统,97,分。,教育部（,小,小金教等,级,级保护咨,询,询服务项,目,目）：,495,万，等级,保,保护咨询,项,项目，包,含,含信息系,统,统安全建,设,设全生命,周,周期。,安监总局,国土等,承建了,多个部委,的,的等级保,护,护建设项,目,目,的咨询、,集,集成与产,品,品集成实,施,施工作。,承建了诸,如,如金盾、,金安,、,金农、金,水,水、金信,、,、金质、,金,金土、金,审,审等,重大项目,。,。,部分案例,17,等级保护,通,通用要求,三级等保,方,方案介绍,方案优势,&,价值,典型案例,可销售产,品,品清单,可销售产,品,品清单,-23,款产品,产品名称,产品描述,产品形态,满足的等保控制域,数据库审计,网络,数据捕获能力、数据库协议解析、事件关联分析为基础，可以精准识别数据库,操作,硬件,应用和数据安全,DLP,保护数据防窃密,软件,应用和数据安全,WAF+,防篡改,对网站服务器提供安全防护，作为针对网站服务器的各类访问请求进行检测和验证。确保其安全性和合法性，对非法的请求予以实时阻断，防止网页被篡改，从而对各类网站站点进行有效防护。,硬件,应用和数据安全,鹰眼,通过镜像流量的方式识别,web,资产、发现,web,漏洞,硬件,应用和数据安全,天擎,集防病毒与终端安全管控于一体的终端安全解决方案，提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审计、,XP,盾甲防护诸多功能,软件,设备和计算安全,NAC,为企业终端提供安全合规准入规范及手段,硬件,设备和计算安全,漏洞扫描,由系统扫描、,Web,扫描、弱口令破解、配置指标检查于一体化的专业安全产品,硬件,设备和计算,安全,+,网络和通信安全,360ID,一次性口令系统,软件,/,硬件,设备和计算,安全,+,网络和通信安全,NGFW,为各行业网络出口打造的“云,+,端,+,边界,+,联动”下一代安全防御体系,硬件,网络和通信安全,Anti-DDoS,能够解决流量型,DDOS,以及连接型,DDOS,攻击造成的网络瘫痪，服务无法正常运行的问题，是集攻击检测、攻击防御、网络监控及管理于一体的安全产品,硬件,网络和通信安全,行为管理,为企业提供法律遵从、企业合规、工作效率提升、互联网防泄密等价值,硬件,网络和通信安全,IDS,检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。,硬件,网络和通信安全,IPS,将深度内容检测、安全防护、应用识别管理等技术完美地结合在一起，配合定期更新的入侵攻击特征库，可检测包括探测与扫描、溢出攻击、,DDOS,攻击、,SQL,注入、可疑代码、蠕虫、木马、间谍软件等各种网络威胁并进行细粒度的处置。,硬件,网络和通信安全,天眼,利用大数据分析技术，提升用户“精准发现”其网络中威胁的能力，需捆绑安服销售,硬件,网络和通信安全,防病毒墙,NGFW,加,AV License,提供防病毒墙功能,硬件,网络和通信安全,网闸,位于不同安全级别的网络之间或者不同的安全域之间，采用专用的,2+1,架构实现安全隔离，通过协议转换、信息摆渡的方式实现高效安全的数据交换,硬件,网络和通信安全,IDS,检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。,硬件,网络和通信安全,IPS,将深度内容检测、安全防护、应用识别管理等技术完美地结合在一起，配合定期更新的入侵攻击特征,库升级,硬件,网络和通信安全,SMAC,防火墙集中配置，策略管理中心,代码卫士,源代码安全缺陷检测、合规检测、溯源检测三大检测功能，并可实现软件安全开发生命周期管理,硬件,安全建设管理,堡垒机,基于软硬件一体化设计，集账号、认证、授权、审计为一体的设计理念，实现对事企业,IT,中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计,硬件,安全运维,日志审计系统,满足各个行业及单位对合规性要求的日志审计,软件,/,硬件,安全运维,SNI/