smarteye软件等保评测

发布时间: 2024-06-15 21:50:52

体系化防护思路

可信：针对计算资源（软硬件）构建保护环境，以可信计算基（TCB）为基础，层层扩充，对计算资源进行保护，确保系统服务安全

可控：针对信息资源（数据及应用）构建业务流程控制链，以访问控制为核心，实行主体（用户）按策略规则访问客体（信息资源），确保业务信息安全

可管：保证资源安全必须实行科学管理，强调最小权限管理，高等级系统实行三权分离管理体制，不许设超级用户

等级保护安全设计技术要求及安全建设总体设计：信息系统的安全设计应基于业务流程自身特点，建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受信息安全攻击和破坏。

可信以可信计算技术为基础，构建一个可信的业务系统执行环境，即用户、平台、程序都是可信的，确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行，不会出现非预期的流程，从而保障了业务系统安全可信。

可控以访问控制技术为核心，实现主体对客体的受控访问，保证所有的访问行为均在可控范围之内进行，在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作，永远都按系统设计的方式进行资源访问，保证了系统的信息安全可控。

可管通过构建集中管控、最小权限管理与三权分立的管理平台，为管理员创建了一个工作平台，使其可以借助于本平台对系统进行更好的管理，从而弥补了我国现在重机制、轻管理的不足，保证信息系统安全可管。

全面感知——全天候全方位感知安全态势：对网络进行全面持续性安全监控和安全数据采集，综合利用安全知识、专家经验、分析模型、机器算法等进行数据分析挖掘，及时发现网络中存在的安全问题和潜藏的安全威胁。

情报结合——应用威胁情报的检测和防御：利用威胁情报填补安全检测系统对攻击者、攻击方式等情况的了解不足，帮助安全防御系统进行动态策略调整，提高对未知、新型威胁的检测、防御、追踪和预警能力。

联动防护——人机协同联动的响应和处置：通过良好定义的安全运营流程将安全人员、安全集中管控平台及各类安全产品有机地连接起来，协同联动，形成常态化能力，实现对网络攻击的快速响应和对安全事件的有效处置。

AIoT万物智联，智能安全帽生产厂家，执法记录仪生产厂家，智能安全帽、智能头盔、头盔记录仪、执法记录仪、智能视频分析/边缘计算AI盒子、车载DVR/NVR、布控球、室外高精度定位RTK/室内高精度定位UWB/蓝牙信标定位、智能眼镜、智能手电、无人机4G/5G补传系统，多源视频融合~融合通信~安全生产管控平台~大型可视指挥调度平台VMS/smarteye 。

等级保护安全技术设计

网络区域划分
安全通信网络
安全区域边界
安全计算环境
安全管理中心
可信验证系统

通用安全设计 – 网络区域划分

通用安全设计 - 安全通信网络

安全通信网络建设要点

路由器、交换机、防火墙等网络设备的业务处理能力满足业务高峰期需要；
网络带宽满足业务高峰期需要；
提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性；
重要网络区域与其他网络区域之间采取可靠的技术隔离手段；
采用密码技术保证通信过程中数据的保密性及完整性。

通用安全设计 - 安全区域边界

安全区域边界建设要点

对非授权设备私自连到内部网络的行为进行控制；
对内部用户非授权联到外部网络的行为进行控制；
对进出网络的数据流实现基于应用协议和应用内容的访问控制；
在关键网络节点处检测和/或防御从外部/内部发起的网络攻击行为；
对网络攻击特别是新型网络攻击行为进行检测分析，事件告警；
对垃圾邮件进行检测和防护，并及时升级和更新；
对用户的远程访问行为、互联网访问行为等进行审计和数据分析。

通用安全设计 - 安全计算环境

安全计算环境建设要点

采用口令或生物技术结合密码技术对用户进行身份鉴别；
采用基于角色/属性或安全标记的访问控制技术对操作系统、数据库、应用用户进行权限管理；
对重要的用户行为和重要安全事件进行集中审计；
采用漏洞检测、终端管理结合补丁管理、终端威胁防御、主动免疫可信验证、主机加固等技术保障终端及服务器等计算资源的安全；
采用密码技术、容灾备份技术等保障重要数据的完整性、保密性、可用性；
网页防篡改；
敏感数据和个人信息保护。

通用安全设计 - 安全管理中心

安全管理中心建设要点

划分不同管理角色，并提供集中的身份鉴别、访问授权和操作审计；
对网络和信息基础设施的运行状况进行集中监控；
对分散在网络中的审计数据进行收集汇总和集中分析；
对安全策略、恶意代码、补丁升级等进行集中管理；
部署态势感知和安全运营平台，支撑安全监测、分析、预警、响应、处置、追溯等安全管理和运维工作。

通用安全设计 - 可信验证系统

可信验证系统建设要点

基于可信根对网络设备、计算设备及安全设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

安全管理员负责配置可信验证策略。

通用安全设计 - 总结

依据通用安全要求，实现 “一个中心，三重保护”的动态、纵深网络安全综合防御体系；
实现对网络设备、计算设备及安全设备的可信验证，并对验证失败事件进行告警和日志上报；
实现系统管理、审计管理、安全管理的权限分离，并通过IT运维管理、集中日志审计、堡垒机、态势感知和安全运营管理等技术平台支撑管理工作的实际落地。

云计算安全设计

移动互联安全设计

工业控制系统安全设计

大数据系统安全设计

满足等保要求的安全产品

通用：NGFW、IDS、VPN、抗DDoS、APT监测、终端威胁防御、数据防泄漏、安全审计、堡垒机、安全管理、态势感知等可高度覆盖基本要求的各类软硬件产品

云计算：安全资源池、分布式虚拟化防火墙、云工作负载、虚机威胁防御等核心产品

移动互联：移动终端管控、移动APP漏洞扫描与加固平台、VPN移动安全接入等移动安全产品

物联网：安全标识系统、物联网安全管控平台、物联网应用防火墙、物联网网关、物联网密钥管理系统等优势产品

工业控制系统：工业防火墙、工业网闸、工业行为审计、工业主机白名单、工业漏扫等产品

大数据系统：大数据安全网关、大数据安全管控系统等产品

等级保护能力

等级保护第三级通用安全产品推荐

等保三级基本要求与对应产品
使用范围	基本要求	产品类型举例
安全通信网络	网络架构	NGFW（下一代防火墙）、TopRules（安全隔离与信息交换系统）、TopApp（负载均衡系统）等
安全通信网络	通信传输	网络加密机（IPSEC/SSLVPN综合安全网关系统）或NGFW内置VPN功能模块（国密）
安全区域边界	边界防护	NGFW（下一代防火墙）、TopNAC（网络准入系统）、TopDesk(终端管理系统)、无线接入网关等
	访问控制	NGFW（下一代防火墙）、TopRules（安全隔离与信息交换系统）、TopGate（应用安全网关）等
	入侵防范	TopWAF（web应用安全防护系统/网页防篡改系统）、TopIDP（入侵防御系统）、TopSentry（入侵检测系统）、TopADS（异常流量管理与抗拒绝服务系统）、TopFilter（防毒墙）、TopAPT（高级威胁监测系统）、TopSA（网络安全态势感知系统）等
	恶意代码和垃圾邮件防范	TopFilter（防毒墙）、TopSMG（安全邮件网关系统）等
	安全审计	TA-NET（网络审计系统）、TopNTA（网络流量分析系统）、TA-DB（数据库审计系统）、TopACM（上网行为管理系统）、大数据分析平台等

等保三级基本要求与对应产品
使用范围	基本要求	产品类型举例
安全计算环境	身份鉴别	TopUTS（集中身份管理系统）、数字证书系统、TDSM-DBGW(数据库安全网关系统)、TopSAG（运维安全审计系统）等
	访问控制	TopSAG（运维安全审计系统）、TDSM-DBFW（数据库安全网关）、TopScanner（脆弱性扫描与管理系统）、主机核心加固系统等
	安全审计	TopDesk（主机监控与审计系统）、TA-DB（数据库审计系统）、TopSAG（运维安全审计系统）等
	入侵防范	TopNAC（网络准入系统）、TopScanner（脆弱性扫描与管理系统）、TopWAF（web应用安全防护系统）、TopSentry（入侵检测系统）、主机核心加固系统等
	恶意代码防范	TopEDR（终端威胁防御系统）
	数据完整性、保密性	VPN系统（IPSEC VPN/SSL VPN）、TDSM-DBGW(数据库安全网关系统)、 TDSM-DSM（文档安全管理系统）等
	数据备份恢复	TDSM-SBU（存储备份一体机）、TDSM-SBU（容灾一体机）
	个人信息保护	TopDLP(数据防泄漏系统)、TopDM(数据脱敏系统)、TDSM-DBS(数据库透明加密系统)等

等保三级基本要求与对应产品
使用范围	基本要求	产品类型举例
安全管理中心	系统管理	TA-L（日志收集和分析系统）、TopSAG（运维安全审计系统）、TopUTS（集中身份管理系统）、数字证书系统、网络管理系统等
	审计管理
	安全管理
	集中管控	TA-L（日志收集和分析系统）、TSM-TopPolicy（安全策略管理系统）、TSM-TopAnalyzer（安全管理系统）、TopSA（网络安全态势感知系统）、TopDesk（主机监控与审计系统）等
	可信验证	可信芯片、可信UKey、可信插卡、可信主板、可信验证系统、基于可信计算的应用程序白名单管理系统等