网络等级保护 安全防护体系建设方案 智安网络等级保护安全防御体系方案 目 录 1 概述...........................................................................................3 1.1 基本背景·················································· 也是一项事关国家安 全、社会稳定的政治任务。通过开展等级保护工作，发现企业网络和信息系统与国 家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足，通过安全整改， 提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。 3 智安网络等级保护安全防御体系方案 1.2 等保标准的演进 信息等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法， 是促进信息化健康发展 具有重要意义。此系列标准可有效指导网络运营者、网络安全企业、网络安全服务 机构开展网络安全等级保护安全技术方案的设计和实施，指导测评机构更加规范化 和标准化地开展等级测评工作，进而全面提升网络运营者的网络安全防护能力。 1.3 规章制度清单 1994 《中国人民共和国计算机信息系统安全保护条例》（国务院令 147 号） 4 智安网络等级保护安全防御体系方案 2003《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发

.....................- 7 - 三、 IPv6 网络安全风险与防护技术................................................................................ - 8 - (一) IPv6 基础协议的安全风险与防护技术.......................................... ........................... - 8 - 1. 扩展报头安全风险与防护技术.............................................................................. - 8 - 2. 巨型帧攻击安全风险与防护技术.............................................. 3. 邻居发现协议安全风险与防护技术.................................................................... - 11 - 4. 无状态地址自动配置（SLAAC）安全风险与防护技术...................................- 12 - (二) IPv6 过渡技术的安全风险与防护技术............

等保五个规定动作 五个规定动作 + 新的安全要求（风险评估、安全监测、通报预警、应急 处置、自主可控等） 内容变化 技术（物理、网络、主机、应用、数据） + 管理 技术（物理环境、一个中心三重防护） + 管理 技术要求 等保 1.0 等保 2.0 物理安全 安全物理环境 网络安全 安全通信网络 主机安全 安全区域边界 应用安全 安全计算环境 数据安全 安全管理中心 管理要求 防静电 温湿度控制 电力供应 电磁防护 安全 通信 网络 网络架构 通信传输 加强了通信传输的保密性要求（密码技术） 可信验证 新增要求，各个级别和层面增加了可信验证控制点。 要求级别为“可”而非“应” 安全 区域 边界 边界防护 防护要求加强明确提出从内到外的攻击检测；无线 网络提出要求，要有边界防护设备； 访问控制 新增对信息内容进行过滤，实现对内容的访问控制 4A 账号管理、负载均衡、态势感知、终端数据防泄漏、负载均衡、 VSG 视频安全防护系统、网页防篡改 等保二级 必配推荐：防火墙 /UTM 、 IDS/IPS 、日志审计、堡垒机、网络版杀毒软件 选配推荐： WAF 、数据库审计、防毒墙、上网行为管理、网闸、 VPN 、终端数据防泄漏、负载均衡、 VSG 视频安全防护系统、态势感知 DAC 、网页防篡改 第 21页 新等级保护介绍 - 法律地位

网络安全实战攻防演习 防守方案 汇报人 XXX 致力于打造世界一流网络安全企业 1. 概述 网络安全实战攻防演习简介 检测国家关键基础设施与单位备案重要信息系统的安全问题和隐患，检验其 事件监测、安全防护与应急处置，快速协同、应急处突的能力。 目 的 涉及的行业众多、范围广泛，包含政府、金融、电力、运营商、重点企业等 国家关键基础设施行业，每年由选中单位上报资产或国家指定对应关键目标。 目 标 国家网络安全队伍、科研机构、部队、网络安全企业组成攻击检测队伍。 攻 击 检 测 方 针对真实关键目标开展红蓝攻防对抗，攻击方在不破坏目标正常业务工作的 前提下挖掘相关安全隐患，并将结果实时上报至指挥部，防护方依据监测的 安全事件开展追踪溯源、应急处置、安全防护工作。 形 式 2.攻击视角 从攻击者视角分析整体安全视图 以核心系统为目标（重要系统、重要人） 总部无法突破打击分支机构 分支机构无法突破打击供应链（研发） 第三方共享 平台发现大量敏感信息，为寻找攻击突破口提供了便捷，进而成功拿下多个重要成果。 四是网络暴露面过宽且漏洞大量存在。很多防守方互联网暴露面点多面广，老旧系统大量存在，攻击者可以通 过基层单位防护薄弱、管理存在缺陷等问题进入内网。 通过攻防演练裁判视角总结网络安全存在的主要问题，内网安全十分薄弱 网络安全存在的突出问题 五是供应链风险巨大。产品供应商、软件开发商、第三方运维厂商安全意识薄弱，频繁出现泄露系统源代码、

二、网络安全专用产品 序号 产品类别 产品描述 １ 数据备份与恢复产品 能够对信息系统数据进行备份和恢复 , 且对备份与恢复过程进行管理的 产品。 ２ 防火墙 对经过的数据流进行解析 , 并实现访问控制及安全防护功能的产品。 ３ 入侵检测系统 (IDS) 以网络上的数据包作为数据源 , 监听所保护网络节点的所有数据包并进 行分析 , 从而发现异常行为的产品。 ４ 入侵防御系统 (IPS) 以网桥或网关形式部署在网络通路上 11 虚拟专用网产品 在互联网链路等公共通信基础网络上建立专用安全传输通道的产品。 12 防病毒网关 部署于网络和网络之间 , 通过分析网络层和应用层的通信 , 根据预先定 义的过滤规则和防护策略实现对网络内病毒防护的产品。 5 序号 产品类别 产品描述 13 统一威胁管理产品 (UTM) 通过统一部署的安全策略 , 融合多种安全功能 , 针对面向网络及应用系 统的安全威胁进行综合防御的网关型设备或系统。 对移动存储设备采取身份认证、访问控制、审计机制等管理手段 , 实现 移动存储设备与主机设备之间可信访问的产品。 26 文件加密产品 用于防御攻击者窃取以文件等形式存储的数据、保障存储数据安全的 产品。 27 数据泄露防护产品 通过对安全域内部敏感信息输出的主要途径进行控制和审计 , 防止安全 域内部敏感信息被非授权泄露的产品。 28 数据销毁软件产品 采用信息技术进行逻辑级底层数据清除 , 彻底销毁存储介质所承载数据

公网安 1960 号文 ； 行标 2.0 标准陆 续发布与实施 （如金融等） 2020 至今 公网安 1960 号文 7 等保 2.0 主要变化 等级保护范 围 进一步扩大 安全防护要求不断提高 网络安全法确立等级保护制度地位 等级保护政策体系进一步细化完善 21 条规定：国家实行等级保护制 度； 31 条规定：国家对关键信息基础 设施，在网络安全等级保护制度的 经费 保障 11 安全体系设计思路 设计思路说明 以基础信息网络与承载的信息系统、数据为保护对象； 以一个中心、三重防护的要求，构建满足等级保护 2.0 要求的技术能力； 以体系化设计思路，按照基础架构安全、动态身份安全、 纵深防御体系、全生命周期防护等实际安全需求，进行 安全技术体系规划设计； 以自适应的安全架构为目标，构建持续改进的安全运营 体系，在安全运营过程中实现安全技术体系的持续优化 体系，在安全运营过程中实现安全技术体系的持续优化 完善； 以安全管理体系的落地实践为导向，提升安全运营能力， 更好地落实等级保护制度。 安全防护对象 设备 应用 数据 通信网络 技术融合运营，运营提升管理，管理巩固安全 12 等级保护基本要求项 《基本要求》 2.0 （二级通用要求） 《基本要求》 2.0 （三级通用要求） 序号 安全控制类 安全控制点 安全要求项 序号 安全控制类 安全控制点 安全要求项

火山引擎云安全依托字节跳动在安全技术上的实践沉淀，面向互联网、金融、汽车、大消费等行业输出云上安全能力。重点布局大模型 安全、数据隐私安全、AI安全智能体等领域，致力于在AI时代，为企业大模型应用提供最全面的云上安全防护方案。 火山引擎 Jeddak AICC 方案概况 方案优势和用户价值 方案优势： 1、数据安全：基于硬件芯片级加密技术，实现全链路100%加密，保障用户数据安全。 2、模型安全：基于用户自 AICC旨在帮助客户构建一套用户信任的安全计算服务，为端上用户提供安全可 靠的云上运行环境，保障端云协作全链路的安全。 典型应用场景：可信AI推理 基于火山引擎硬件级加密技术等核心能力，为客户构筑端云混合的安全防护体系， 为个人提供全链路加密的可信私密云服务。 用户价值： 典型客户： 关键经营数据分析——现⾦流健康度继续下降 中移互联网有限公司是中国移动面向互联网领域设立的专业子公司，2022年3月正 关键经营数据分析——现⾦流健康度继续下降 AI赋能数据安全 2025年，AI技术深度融入数据安全领域，推动防护模式从“被动响应”向“主动智能”跃迁。生成式 AI 与嵌入式机器学习 （ML） 已融入 数据安全态势管理 （DSPM--Data Security Posture Management）、数据泄露防护 （DLP）、数据目录和威胁检测等产品， AI赋能的数据安全体系实现了对海量数据的分类分级、自动化脱敏、敏感数据识别、

补丁分发系统 漏洞扫描系统 防病毒服务器 外网核心域 对外服务器域 下一代防火墙 （增强级） 负载均衡 门户网站 于安全服务 于防御 + 安全与家职守 对外业务安全于监测、于防护 对外服务器域 亏联网域 办公外网 终端接入域 预约挂号系 统 APP 平台 下一代防火墙 （基础级） 上网行为管理 住院区 办公区 访问区 无线区 联通 电信 链路负载均 衡 下一代防火墙 检测探针 （增强级） 下一代防火墙 （增强级） 交换机 数据库审计 IaaS 边界 安全 虚拟化安全 安全加固 虚拟资源隑离 入侵防御 漏洞扫描 基线核查 安全域隔离 边界安全防护 安全域划分 访问控制 访问控制 入侵防御 负载均衡 网络威胁检测 流量清洗 安全审计 安全接入 访问控制 流量监控 云安全服务平台 通信 安全 通信线路冗余 网关设备冗余 通信传输加密 通信传输加密 完整性校验 带外管理通道 API 接口 SDN 网络 编排 DaaS 安全 PaaS 安全 东西向安全 安 全 南北向安全 SaaS 安全 Web 安全防护 漏洞管理 安全传输 数据脱敂 容器安全 访问控制 访问控制 输入数据验证 API 接口安全 虚拟机微隑离 VPC 隑离 数据加密 剩余信息保护

.......................................................................................10 2.3.2 安全防护................................................................................................... .........................14 3.3.1 用户访问业务安全防护..........................................................................................14 3.3.2 数据交换业务安全防护............................................ ..............................................18 3.3.3 安全管理区安全防护.............................................................................................23 4.1 数据中心安全建设思路.......................

com www.leagsoft.com 信息在“流转”过程中如何与“人”产生关联？ 整个过程如何管理，针对使用风险如何有效管控？ 哪些业务数据需要防护？ 如何区分业务数据？ 如何进行防护处理？ 受防护的数据如何 内外安全传输？ ？ 传统方案的不足 www.leagsoft.com www.leagsoft.com 虚拟桌面（云桌面）存在的安全隐患 运维 弱身份认证 数据交换隐患 www.leagsoft.com www.leagsoft.com 管理者面临的困惑… 从何了解“信息” 的流转途径 如何让“信息”被合 规授权访问 如何快速部署 防护措施 如何对风险 进行自动分析 www.leagsoft.com www.leagsoft.com 联软解决方案 www.leagsoft.com 平台建设思路 数据发现 / 评估 联软税务数据防泄露平台特点 自动化流程管理 以征管系统为中心 主被动结合式防护 联 软 科 技 传 统 厂 商 被动文件防护 传统设备管理 人工管理方式 www.leagsoft.com 平台功能 www.leagsoft.com 核心功能 登录审计 业务管理帐号登录 审计告警 业务防护 业务 / 数据库资料 防护 数据发现 数据识别、分类、 分级、移动 数据流转 数据流转内