1.1 建设背景

2017年，网络安全法实施，强制要求等级保护工作，强调关键基础设施三同步。根据网络安全法的规定，等级保护是我国信息安全保障的基本制度。　　

《网络安全法》第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列全保护义务：保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》被称为“等保1.0”。但是“等保1.0”不仅缺乏对一些新技术和新应用的等级保护规范，比如云计算、大数据和物联网等，而且风险评估、安全监测和通报预警等工作以及政策、标准、测评、技术和服务等体系不完善。

为适应新技术的发展，解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护正式进入2.0时代，2019年12月1日等保2.0已正式开始实施

等保2.0充分体现了“一个中心三重防御“的思想，一个中心指“安全管理中心”，三重防御指“安全计算环境、安全区域边界、安全网络通信”，同时等保2.0强化可信计算安全技术要求的使用。

1.2 建设目标

根据不同定级系统安全目标，为定级的系统提供等级保护服务以及安全增值服务。本次整改建设完成后系统应该需具备以下能力：能够实现不同区域的访问控制能力，能够防范计算机病毒和恶意代码的能力，并且防范内外网的发起的网络攻击，同时有相应的日志能够记录这些安全事件。

1.3建设依据

1.3.1国家相关政策要求

（1） 《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）；

（2） 《信息安全等级保护管理办法》（公通字[2007]43号）；

（3） 《中华人民共和国网络安全法》

1.3.2等级保护及信息安全相关国家标准

（1） 《计算机信息系统安全等级保护划分准则》GB 17859-1999；

（2） 《信息安全技术 信息系统安全等级保护实施指南》GB/T 25058-2010；

（3） 《信息安全技术 信息系统安全等级保护定级指南》GB/T 22240-2008；

（4） 《信息安全技术 信息系统安全等级保护基本要求》GB/T 22239-2008；

（5） 《信息安全技术 信息系统安全等级保护测评要求》GB/T 28448-2012；

（6） 《信息安全技术 信息系统等级保护安全设计技术要求》GB/T 25070-2010；

（7） 《信息安全技术 信息系统安全等级保护体系框架》GA/T 708-2007；

（8） 《信息安全技术 信息系统安全等级保护基本模型》GA/T 709-2007；

（9） 《信息安全技术 信息技术安全性评估准则》GB/T 18336-2001；

（10） 《信息安全技术 信息安全风险评估规范》GB/T 20984-2007；

（11） 《信息安全技术 网络安全等级保护定级指南》GA/T 1389-2017；

（12） 《信息安全技术 网络安全等级保护基本要求 第1部分：安全通用要求》GA/T 1390.1-2017；

（13） 《信息安全技术 网络安全等级保护基本要求 第2部分：云计算安全扩展要求》GA/T 1390.2-2017；

2.1 从合规维度分析

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的积极作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展起到重要的推动作用。

为推进信息安全等级保护工作的开展，公安部根据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）的授权，会同国家相关部门共同推出了一系列指导等级保护具体工作开展的指导意见和规范，共同构成了信息安全等级保护政策体系。

按照《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求第1部分：安全通用要求》中等级保护第三级要求进行防护。至少应涵盖等级保护基本要求中的管理与技术要求。

另一方面，等级保护合规的要求在不断的向前演进，等级保护也从1.0时代迈向2.0时代，原有的防护体系、技术手段面临这新的威胁和挑战，所以需要一套“新”合规建设方案，真正落地等级保护、不止合规的理念，建立动态应对新的安全威胁。

2.1.1安全管理体系要求

考虑到安全形势不断变化，新的攻击方式和手段在不断的升级变化，由局部变为全局安全防护，安全管理体系的建设变的尤为重要，在等保建设过程中，需具备完善的安全管理体系和与之配套的相应管理工具，逐渐完善安全管理体系。

2.1.2安全技术措施要求

整体包含物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。具体覆盖物理和环境安全、网络架构安全、网络访问控制、网络安全审计、边界完整性检查、网络入侵防御、网络设备防护、数据完整性。可采取的主要安全措施和技术包括但不限于防火墙、入侵防御系统、安全审计系统、防病毒网关、应急响应中心、虚拟化防护、云堡垒、集中的容灾备份中心等，通过构建完整的数据安全保护能力，为数据中心提供完整的数据传输安全、数据存储安全、数据审计安全提供支撑。

2.2 从整体安全运营、运维分析

等级保护的建设、实施、完善一个安全体系的建立，需要依托于整体的安全管理框架和相关安全技术。最终等保的建设成果，能够建立一套面向安全决策、安全事件应急响应的流程。所以在建设前期，必须健全与安全设备配套的运营流程，能够针对安全设备的安全事件，结合日常运维动作，完善等保建设后的安全运营与运维，具体实现：

统一管控通过单个账号可以实现所有安全的网元的单点登录，生命周期管理安全组件的资源状态进行统一运维监控

安全态势通过安全日志模块可以收集各网元的安全威胁日志再做统一展现，图形化大屏实时显示安全态势分析

协同联动通过安全事件分析联动安全组件进行安全防护，建立健全整体防护体系。

3.1设计原则

本安全规划需要充分考虑长远发展需求，统一规划、统一布局、统一设计、规范标准，并根据实际需要及投资金额，突出重点、分步实施，保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以下的原则：

l 合规性

在结合现状及需求分析过程需要紧密结合各信息系统的实际情况，防止与实际情况脱节。同时在现状及需求分析阶段充分参考国内信息安全建设法律法规以及国际标准和最佳实践，保证需求分析结论的符合性，以满足后期的总体设计内容的合规性；

l 动态性

信息安全问题不是静态的。信息系统安全保障体系的设计和建设，必须遵循动态性原则。必须适应不断发展的信息技术和不断改变的脆弱性，必须能够及时地、不断地改进和完善系统的安全保障措施。

l 经济性

本规划在满足共性、兼顾特殊安全的基础上，提出等保一体机概念。采用云计算模式通过安全厂商采购适度的安全服务，集中防护充分利用现有资源，在可用性的前提条件下充分保证系统建设的经济性，提高投资效率，避免重复建设。通过分层次、专业队伍安全运维，实现统一管理，降低运维成本。

l 场景化

提供多种场景下等保的建设方案，可以在不改动现有的网络的网络架构的同时又能快速高效的通过等保测评

l 简单化

简单化才能高效的整个安全体系高效的运转，才能把重心更多的放在持续安全运营上，这样安全才能动态的运转起来。

l 技术管理并重

信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖所有的信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障信息系统的整体安全性。

3.2设计思路

按照等级保护政策、标准、指南等文件要求，对保护对象进行区域划分和定级，对不同的保护对象进行不同级别的的安全防护设计。同时等保一体机平台建立统一管理中心保障安全管理措施和防护的有效协同及一体化管理，并且借助等保一体机平台实现安全事件的统一分析，从而联动各安全组件进行持续的防护。

3.3安全防护架构

安全防护架构核心主要是基于等级保护2.0相关标准，在快速合规的同时保证用户业务能够安全高效的运行。其中安全态势模板整合了不同的安全组件，实现了安全事件的态势分析，和联动防御。在合规的同时也快用户网络架构增加了额外的价值。

安全防护架构图

? 通过合规模板套餐，助力用户快速合规，同时提供安全组件和等保条例的对标，保障设计方案的合规性；

? 统一日志上报，安全态势分析、以及策略联动为用户业务系统提供持续安全保护；

? 集中化管理，单点登录实现了安全组件的统一运维监控，让安全运维变得不再复杂。

4.1快速合规

在过去的等保建设中都是在差距分析的过程中不断的用硬件盒子去解决等保条例中的相应的安全需求，各厂家对等保条例不同的解读，导致用户网络环境中各种厂家的设备都有，传统的硬件等保解决方案在整个的建设中相对周期会很长，在中小型用户中没有太多的资源能够耗费在其中，用户需要的是高效、简单、快速的通过合规性检查，免除各种繁琐的步骤直接就能让业务系统能够快速的通过等保检查，而等保一体机基于虚拟化的技术把安全模块做成一体化同时通过管理平台提供的等保二级和等保三级的套餐，让等保建设变得更加的简单。

4.2统一管控、安全态势

在传统的等保建设完成后管理运维过程中，由于各厂家的设备加上运维人员安全意识的不足导致虽然等保建设完成了，但对运维提出了极大的挑战，天融信等保一体机在这块加入了统一管控功能，通过单个账号即可登录不同的安全网元上进行运维，同时平台集中收集各安全网元上报的安全日志，形成安全威胁的态势整体分析，让用户及时能够知道业务环境现在的安全状态，好及时更新相应的安全策略。

统一管控

安全态势

l 一体化快速交付，满足等保合规

天融信等保一体机基于等级保护二级、三级要求推出对应的安全服务一体化套餐，用户无需单独另购其他安全资源，满足云环境下各种安全防护需求，包括网络安全，主机安全，应用安全，数据安全等。

l 快速部署实施，提高运维效率

天融信等保一体机通过旁路部署方式，无需改变原有物理拓扑即可快速部署实施。系统内运行的多个安全网元均可在统一管控平台上单点登录和管理，简化运维工作，提高运维效率。

l 降低硬件成本，节约机房空间

天融信等保一体机采用通用x86架构，通过云安全管理平台实现安全即服务。与传统硬件安全设备相比，部署天融信等保一体机可降低硬件成本，节约机房空间，降低硬件维护难度。

?