设计视角 （ EA 场景分 析） 覆盖 技术视角 （可运行性分析） 实例化 理 论 化 支撑 图 1. 解决方案架构 十工五任 • 政企网络安全防御全景模型 • 政企网络安全协同联动模型 • 政企网络安全防御建设项目规划纲要 解决方案： • 标准解决方案（行业 / 产品） • 综合型解决方案（会战 ） • 孵化型解决方案 产研 / 交付： • 产品能力化 • 保 护 政 策 标 准 体 系 网络安全战 略 规划目标 等级保护对象 通信网络 安全管理中心 区域边界 计算环境 风险管理体系 安全管理体系 安全技术体系 网络信任体系 网络安全综合防御体系 组织 管理 网络基础设施 信息系统 大数据 物联网 云平台 总体安全策略 国家网络安全等级保护制度 定级备案 安全建设 等级测评 安全整改 监督检查 工控系统 移动互联网 智能设备 设计思路说明 以基础信息网络与承载的信息系统、数据为保护对象； 以一个中心、三重防护的要求，构建满足等级保护 2.0 要求的技术能力； 以体系化设计思路，按照基础架构安全、动态身份安全、 纵深防御体系、全生命周期防护等实际安全需求，进行 安全技术体系规划设计； 以自适应的安全架构为目标，构建持续改进的安全运营 体系，在安全运营过程中实现安全技术体系的持续优化 完善； 以安全管理体系的落地实践为导向，提升安全运营能力，

外网运维管理域 日志审计系统 运维堡垒主机 补丁分发系统 漏洞扫描系统 防病毒服务器 外网核心域 对外服务器域 下一代防火墙 （增强级） 负载均衡 门户网站 于安全服务 于防御 + 安全与家职守 对外业务安全于监测、于防护 对外服务器域 亏联网域 办公外网 终端接入域 预约挂号系 统 APP 平台 下一代防火墙 （基础级） 上网行为管理 住院区 办公区 下一代防火墙 检测探针 （增强级） 下一代防火墙 （增强级） 交换机 数据库审计 IaaS 边界 安全 虚拟化安全 安全加固 虚拟资源隑离 入侵防御 漏洞扫描 基线核查 安全域隔离 边界安全防护 安全域划分 访问控制 访问控制 入侵防御 负载均衡 网络威胁检测 流量清洗 安全审计 安全接入 访问控制 流量监控 云安全服务平台 通信 安全 通信线路冗余 网关设备冗余 通信传输加密 基础设施（于环境、物理环境） 数据库 VM 二级区域 数据库 VM 三级区域 数据库 VM 其他区域 用户可根据实际业务需求情况，自定义模板或安全组件 安全运营服务 下一代防火墙 入侵防御系统 Web 防火墙 漏洞扫描 自定义 安全模板 案例分享 - 教育 一、项目背景 XX 大学由敃育部直属、中央直管，是 中国著名顶级学府之一。 二、需求分析 1. 需要满足等级保护相关要求；

方案设计目标 经济 符合校园特性 达到最佳性价比 可视 “ 主动防御” +“ 持续响应” 合规 产品 + 服务 符合网络安全法和等保 2.0 的要求 校园等保 2.0 方案设计原则 教育城域网 数据中心交换机 数据中心区 运维管理区 路由器 安全防御管理区 多业务 无线控制器 智慧防火墙 & 入侵防御系统 上网行为管理 WEB 应用防火墙 无线认证 网络核心区 智慧防火墙 •复杂环境组网、深度应用识别、精细化访问控制以及高性能应用层威胁防御能力 •集成了互联网威胁情报、异常行为分析、安全可视化等新一代安全技术 •与终端安全管理系统、云端威胁情报中心、沙箱检测系统实现智能化的协同联动 终端安全管理 •以大数据技术为支撑、以可靠服务为保障， •精确检测已知病毒木马、未知恶意代码，有效防御 APT 攻击， •提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审 •提供应用层的带宽管理功能，有效阻止、限制 P2P 等严重消耗带宽的应用，存储网络日志 WEB 应用防火墙 •以 Web 防护为主体功能，融入云端防御、威胁情报、网页防篡改等技术于一体化的网站安全防护产品。 并以“事件”为中心，提供 “事前预防、事中防御、事后补救”的一套完整防御措施。 校园等保 2.0 方案特色  提倡“持续保护、不止合规”的价值主张，满足国家法律法规和标准体系  一个中心、三重防护”的安全架构设计，帮助用户满足了等保

总部无法突破打击分支机构 分支机构无法突破打击供应链（研发） 国舜一所的金融工作站，攻防演练攻击队成员，从攻击者视角分析客户问题和隐患 攻击者视角 攻击方入侵方式及思路 攻防演练攻击战法中出现的新特征，传统安全防御手段难以检测 新型攻击战法介绍 利用百度文 库、 github 、 fofa 、脉 脉等渠道收集信息 利用网站、 VPN 、邮件 系统、 JAVA 等应用的漏 洞打开入口 迂回攻击下属单位，进 纵深 防御，更没有监测预警能力，攻击方一旦突破互联网边界防护，即可内网全网漫游。 七是集权系统防护脆弱。域控制器、堡垒机、云平台、大数据平台、杀毒管理系统、单点登录系统、 4A 系统成 为攻击重点目标，大量存在弱口令、口令复用、老旧漏洞问题，一旦被控给网络安全带来致命打击。 八是核心业务系统缺乏重点防御。核心业务系统安全防护基本依赖网络流量层设备，运行依赖的主机基本上是 零防御、零感知状态，攻击方基本发现即可将其控制。 安 全 防 护 能 力 通过设立深层次的演练，检验公司已建的安全防 护措施是否有效 检 验 检 测 预 警 能 力 检验企业内部网络安全监测发现、威胁预警、安 全防护和应急处置的主动防御和动态防御能力 检 验 部 门 协 同 能 力 检验安全管理和安全服务部门之间的快速协同能 力 检 验 应 急 预 案 能 力 检验现有的网络安全队伍依据应急预案开展应急 处置工作执行能 累

大数据技术帮助企业提升了在海量数据中挖掘价值信息，但大量数据汇聚之后，你清楚 高价值数据的流转和走向吗？信息资产又靠什么来保障不被别人盗取？ 网络开放性进一步提升之后，首当其冲的是网络攻击面的扩大？你的防御机制能够抵御 新的攻击形势吗？如果一旦沦陷，是否能够快速识别采取措施防止损失进一步扩大？ 数字化转型， CIO 的新机遇 数字化转型，大量新兴的 IT 技术应用 是否做好迎接新的安 全挑战的准备 新兴 IT 技术自 身安全问题 业务深度融合，攻击 目标价值扩大 大数据开源组件系统漏洞 互联网 + 与云计算技术，导致边界发生变化 大数据深入融合业务，企业高价值数据资产相对聚集 传统架构重防御且能力相对静态固化 WannaCry 勒索病毒全球大爆发 30 万 终端 150 个 国家地 区 企业 机构 个人 Source:Beta 内网漏洞 被利用 访问恶意 网站 / 终端用户有没有异常的行为不知道？ 数据的流转和拷贝，无法管控？ 有哪些 BYOD 接入使用网络，不感知？ 防火墙 防病毒 IPS 阻挡来自外部 边界的威胁 原因是：传统安全建设现状 边界防御为主 网闸 外网应用

气象测报产品界面 水旱灾害防御方案介绍 以 GIS 、北斗短报文和高精度定位技术 为基础，构建可视化的山洪汛情监测、预 警预报、工程调度监控、防洪工程联合调 度等功能为主体的一体化平台。 根据辖区内水旱灾害防御态势及资源 现状，通过智能感知、资源共享、智慧应 用和运维保障建设，打造水旱灾害防御信 息化系统，提高防御应急能力。 水旱灾害防御监控纬度 水旱灾害防御方案优势 水旱灾害防御方案优势 多维监测 降水、河流水位、土壤墒情、地下水、山 洪滑坡等信息全天候全天时自动监测，并 有现场图片及视频信息。 主动预警 根据设置的阈值，对暴雨、水位涨落、滑坡位移等超 出变化范围，主动预警，自动上报。 调度模拟 根据大数据信息统计，提供应急调度与 普通调度多种调度方案 远程运维 设备监控（电压、主板温度等）， 北斗授时，实时上报，便于巡检与维护。 水旱灾害防御案例 水旱灾害防御案例 水文水资源局 Ø 2015 年山洪灾害防治项目自动雨水情监测站点卫星信道项目 146 个遥测站 Ø 2017 年山洪灾害防治项目自动雨水情监测站点卫星信道改造项目 109 个遥测站 Ø 2018 年山洪灾害防治项目自动雨水情监测站点卫星信道改造项目 103 个遥测站

公告日期 荔波县人民医院网络安全等级保护建设设备及软件 165 万元 2021-01-08 荔波县中医院网络安全等级保护建设采购项目 165 万元 2021-01-08 贵阳市第一人民医院内网终端威胁防御系统及医院 网络安全加固、三级等保建设采购项目 217.6 万元 2020-12-29 长顺县医疗集团中心医院信息系统安全等级保护测 评软件和硬件设备采购项目 152 万元 2020-12-29 配套管理规范、实施细则正在陆续出台。 新等保 2.0 的核心变化  应对新威胁 新等保更加强调增强未知威胁 检测能力，强调安全检测能力 和安全响应能力的建设。  应对新风险 新等保体系更体现了动态的、积极 防御的安全理念；安全规划、能力 建设、态势感知、集中监控管理成 为新等保体系的重要思想。  应对新技术 针对云计算、大数据、物联网等 新技术，不断扩大等级保护外延， 新的信息技术同样催生新的安全 技术。 网络安全主管（部门） 决策、监督 管理 执行 云 服 务 客 户 第 25页 建设“一个中心”管理下的“三重防护”体系，分别对计算环境、区 域边界、通信网络体系进行管理，实施立体防范注重全方位 主动防御动态防御整体防控和精准防护。 等保一个中心、三重防护 安全区域边界 安全通信网络 网络架构 通信传输 可信验证 安全计算环境 系统管理 审计管理 安全管理 安全管理中心 边界防护 访问控制

监测服务 预测服务 业务服务 多媒体服务 文件服务 基础服务 综合监管系统 水资源综合管理 河湖综合管理 政务服务接口 业务应用运维 应急指挥系统 水旱灾害防御管理 水利工程管理 数据交换接口 决策辅助系统 农村水利管理 江河堤防管理 信息发布接口 硬件设施运维 安 全 保 障 体 系 运 行 维 护 体 系 大屏 公共服务接口 综合运维系统 标 准 智慧水利服务保障中心 重点建设“一平台、 一中心、 N 应用”等内容，实现以数据为驱动的智慧水利业务协同化，以数据为 支撑的监管智慧化，全面提升智慧水利综合管控能力。 N 应用 应急指挥调度系统 水旱灾害防御系统 河长制信息系统 水利工程监管系统 排水管网信息系统 执法信息管理系统 综合政府服务系统 一中心 打造统一汇聚、集中管理、并行分析、 集中服务的智慧水利大数据资源中心 标准规范体系 战时快速响应 彻底说清 准确监测 高效指挥 全面预警 以建设“智慧社会”为核心，以“大数据、大格局、大服务”理念为指导，建立大数据决策分析应 用， 利用跨部门、跨区域水利数据资源，支撑打赢水旱灾害防御、河长制信息管理、水政执法信息管理 江河 堤防险情排查、水事安全预警、某著名企业式应急处置等标志性战役工作会商和目标考核，加强气象水文、 污染源、污染物等数据的关联分析，支撑区域化智慧水利综合管控与创新，实现可靠溯源、有效预测、

航 显 网 广 播 网 POS 网 安 防 网 … • 13+ 烟囱式物理网络，数据孤岛， 业务割裂 • 单点故障多，设备资源利用率低 烟囱式网络，数据分散 IT 运维效率低 被动安全防御 接入体验要求高 • 传统边界安全，无法实时感知网 络安全状态 • 海量物联终端接入，单点防护， 攻击难溯源 • 品质 Wi-Fi 需要支持 4K 视频、 机器人等应用 • 旅客 Wi-Fi 全千兆， WLAN&IoT 共站址，覆盖无死角 • 全云化管理， LAN 、 WLAN 端到端自动化 一体安全，云网安协同 • 零信任架构，全网态势感知，动态检测 • 云、管、边、端全局安全防御，快速处置 一网承载，一纤多用 • 切片技术提供差异化服务，专网级体验 • 一纤多用， FlexE 切片，安全隔离，节省资源 一键运维，管控析融合 • 独家智能无线射频调优，实时保障用户体验 执行工作 监管工作 安全制度 决策 组织 管理 组织 执行 组织 监督 组织 安 全 运 营 机 制 监 管 机 制 运维工作要求 运维工作标准 运维服务队伍 信息安全技术体系 纵深防御 信任评价 终端 安全 网络 安全 数据 安全 云安 全 应用 安全 态势 感知 身份 管理 网络 准入 权限 管理 日志 审计 Huawei Confidential 38

rights reserved 现状需求 • 新资产快速识别的要求 • 实战化攻防水平的要求 • 风险自查能力的要求 • 应急响应能力的要求 • 从静态到动 态检测的需求 • 从被动 到主动 防御的需求 • 从堆叠到有机结合的需求 • 从技术到技管并重的需求 短期能合规 长期保障有挑战 方案好实现 安全实效难发挥 产品好搭建 安全管理难落地 （ 结合——核 心资产 统计、未知资产发现 • 资产指纹画像 • 僵尸网络排查 备案审核 • 数据中心内部备案体系 形成上线安全评估、合规 评估与审核体系 • 漏洞整改评估体系 立体化防御 • 威胁攻击防御体系 • 异常流量安全屏障 • 动 态等 级保护体系 自动 化 运营 • 定期漏洞排查体系 • 7x24h WebShell 、异常流 量监控 • 持续监控威胁情报 紧急响应 • • 紧急安全事件一键断网 • 应急预案和管理制度 应急处置 等级保护 资产摸底  未知管控范围资产摸底  风险暴露面排查 弥补传统安全静态 等级保护，实现动 态监测防御体系 重要时期紧急事 件应急响应 © Copyright 2021 WebRAY Tech （ BeiJing ） Co., Ltd. All rights reserved 自动添加 资产标签 资产摸底梳理