等保2.0解決方案

需求來源

《中華人民共和國網絡安全法》于2017年6月1日頒布，明確了國家實行網絡安全等級保護制度，標志了等級保護制度的法律地位，等級保護制度是國家的基本制度、基本國策、地位特殊，對于維護中國網絡安全、維護國家安全、社會秩序和公共利益意義重大。為了配合網絡安全法的實施，同時適應云計算、移動互聯、物聯網、工業控制和大數據等新技術、新應用情況下網絡安全等級保護工作的開展，彌補等保1.0標準在適用性、時效性、可操作性等方面的缺陷，公安部組織相關單位制定并發布了等保2.0系列標準，為推動標準落地，聯軟科技提出了基于可信數字網絡架構的等保適配解決方案，可協助用戶建立“打防管控”一體化的網絡安全綜合防御體系，積極防御，同時滿足云計算、移動互聯、工控系統、物聯網提出安全擴展要求。

解決方案

為落實“分等級保護、突出重點、積極防患于、綜合防護”的總體要求，建立“打防管控”一體化網絡安全等級保護防護體系，聯軟提供了基于可信數字網絡架構的等保適配方案，方案具體如下：

網絡區域邊界

網絡接入控制：通過UniNAC不但能夠對非授權設備私自聯到內網的行為進行檢查或限制，還能適應有線、無線、VPN等復雜網絡環境，并對提供多重高可用設計，可大幅提升系統可靠性

授權外聯：通過UniAccess非授權外聯功能可對內部用戶非授權連接到外部網絡的行為進行檢查、預警和阻斷，如WIFI熱點等

移動接入控制：針對移動終端，通過UniEMM不但對接入終端和服務節點采用雙向認證，并可保證跨界的訪問僅可通過安全網關受控接口進行通信，并采用密碼技術保證通信過程中數據的完整性和保密性

資源訪問控制：可聯動所有主流網絡設備動態下發訪問控制策略（包括源地址、目的地址、源端口、目的端口、協議等），僅允許受控端口通信拒絕其他所有；也可通過邊界網關支持動態訪問控制策略，僅允許受控接口通信，拒絕其他所有通信

訪問控制列表最小化：通過數據安全擺渡設備實現數據安全交換，實現防火墻/網閘訪問控制列表最小化；同時管理后臺集中管理訪問控制策略，可在后臺刪除多余/無效的訪問控制列表，確保訪問控制列表排序合理

外部網絡攻擊行為：可在關鍵網絡節點處通過網絡智能防御設備及時發現網絡掃描、挖礦、漏洞利用等網絡攻擊行為，可向管理員預警，也可聯動防火墻阻斷惡意IP或域名。

內部網絡攻擊行為：可在網絡關鍵節點部署網絡智能防御設備，及時發現設備仿冒、IP/MAC偽裝連接、異常訪問、異常接入位置等異常行為，并可向管理員預警或聯動準入阻斷失陷主機的橫向攻擊行為，避免風險擴散

新型網絡攻擊行為：通過智能欺騙技術，高仿真內網真實設備或服務，可捕獲新型網絡攻擊行為，并分析預警或聯動準入、防火墻等設施阻斷風險，避免擴散

惡意代碼防范：通過數據安全擺渡設備可防止外網感染惡意代碼的文件導入內網，另外可確保格力情況先，失陷惡意代碼庫在線或離線更新

安全審計：可對本地或遠程每個接入的用戶進行安全接入審計，也可對仿冒接入、非法外聯、DDOS攻擊等安全事件進行審計，審計記錄包括日期事件、用戶、事件類型、事件是否成功等信息，可留存備份

安全計算環境

1、PC終端安全

安全檢查：通過UniAccess對賬戶身份身份進行驗證，可發現系統中是否存在默認賬戶，并可禁止或刪除默認賬戶，同時通過安全檢查可對終端上的惡意軟件進行檢查，對惡意代碼庫是否及時更新進行檢查

安全審計：通過UniAccess可對終端郵件、打印等各種外發通道實現管控、審計和阻攔，同時通過UniDLP更可發現外發通道中傳輸的敏感信息，針對敏感信息留存審計記錄

入侵防范：通過UniAccess標準化管理功能科對終端軟件進行卸載或安裝，服務、端口、共享禁用，可管理終端IP地址，防止用戶或黑客程序修改IP或MAC等

可信驗證：通過UniAccess可對可信區域模板機提取程序、程序目錄下所有文件、程序安裝過程中產生文件的MD5值，并存儲在管理服務器上，終端計算機僅能運行MD5庫中經過驗證的程序

個人信息保護：通過UniDLP可禁止未授權訪問和非法使用用戶個人信息。不因失竊等泄露個人信息和機密信息?？刂聘鞣N客戶信息、業務敏感數據等多種泄露途徑，從而防止數據外泄

2、移動終端安全

邊界防護：邊界部署接入網關，對通過無線接入的終端進行雙向接入認證，并實現動態資源訪問控制

入侵防范：能夠發現非授權移動終端的接入行為，并能夠阻斷非授權移動終端接入；另外，能夠檢測無線接入設備SSID廣播、WPS等搞風險功能的開啟狀態，并可關閉這些存在的高風險功能

移動終端管控：可檢查并強制移動終端安裝、注冊并運行移動終端客戶端軟件，并可對移動終端進行遠程控制及設備全生命周期管理，如遠程鎖定、遠程數據擦除等

移動應用管控：通過應用商店可選擇用戶需要的應用安裝并運行；可在移動終端只允許指定證書簽名的應用軟件安裝和運行；提供軟件白名單功能，通過白名單功能控制應用軟件安裝和運行

安全建設管理：通過后臺發布軟件，確保軟件來自可靠分發渠道；可確保軟件由指定的開發者開發；可對應用軟件開發者進行資格審查，審查通過后軟件簽名發布，管理平臺可確保簽名證書合法性

安全運維管理：可建立無線接入設備和合法移動設備配置庫，并通過配置庫識別非法設備

3、服務器安全

安全基線管理：通過UniSIMS基線檢查、弱口令檢測功能，可以對服務器登錄的用戶進行身份標識和鑒別，可確保服務器登錄用戶身份標識唯一性，并可對身份鑒別信息進行復雜度檢查，可幫助用戶查找默認賬號或默認口令等

入侵防范：通過UniSIMS可檢查服務器是否遵循最小安裝原則，并能檢查出服務器不需要的系統服務、默認端口、高危端口和漏洞

4、資產探測及漏洞檢測

訪問控制：通過魔方星云可針對互聯網資產和內網資產，執行弱口令檢測掃描，識別出操作系統、網絡設備、安全設備、數據庫、中間件等系統存在的默認口令（弱口令賬戶），及時整改

入侵檢測：通過魔方星云可針對互聯網資產和內網資產，執行資產探測、端口服務識別，發現目標系統開放的不需要的系統服務、默認共享和高危端口。通過漏洞掃描功能，發現可能存在的已知漏洞，并提供漏洞結果的POC驗證信息，協助安全人員確認漏洞的真實性，為整改提供幫助

審核和檢查：通過魔方星云可執行周期性掃描檢測任務，及時發現互聯網或內網存在的漏洞，并可導出數據、生成風險掃描報告，留存以備等級保護測評檢查

上線前安全測試：在上線前，利用星云的系統掃描功能、集成掃描能力，統一調度上線前安全性測試的掃描任務，進行上線前的系統層和Web應用層漏洞掃描，并出具安全測試報告

漏洞和風險管理：通過建立周期性的掃描任務，完善最新全量資產庫。執行常規漏洞檢測可識別已知安全漏洞，并推動修補整改。在高危漏洞爆發/重大安全威脅時，可根據漏洞/安全情報，執行快速排查和POC掃描檢測，完成精準識別，協助修改。另外，管理員可以通過持續掃描，跟蹤漏洞修復進度、更新狀態，實現閉環管理

業務價值與方案優勢

安全區域邊界。確保只允許合法、合規用戶接入，同時實現訪問控制列表最小化，并可有效檢查或控制非授權內聯、非授權外聯等行為，最大限度滿足等保2.0測評要求

安全計算環境：可實現PC終端、移動終端、服務器等多種計算機環境的安全，滿足身份鑒別、賬號管理、入侵防范等合規需要，并可通過標準化管理、安全檢查等功能，確保主機安全可控，程序可信

資產識別管理。統一識別和管理服務器、終端、網絡等設備基線和漏洞，保護核心資產，提高管理員運維效率

異常行為可管。不依賴黑白名單，實現外部攻擊行為、內部異常行為，新型網絡攻擊行為可管可控

數據安全可控。提供敏感內容識別、屏幕與打印水印、數據內部安全流轉、數據授權外發、泄密追蹤溯源等數據保護技術，確保個人隱私數據可控

智慧洞察安全?；贏I的深度分析和全景安全展示，真正做到用戶可見、行為可控、風險可視、響應及時

成功案例

國開行等。