01-华为传输系统等级保护(二级)--应答20150520
- 格式:docx
- 大小:45.39 KB
- 文档页数:12
等保二级合格分什么是等保二级合格分?等保(信息系统安全等级保护)是中国国家信息安全保护的一项制度,旨在通过建立信息系统安全保护等级划分体系,提供不同安全等级的技术要求和管理控制措施,保护国家关键信息基础设施的安全。
等保二级是等保制度中的一种安全等级,要求信息系统的安全保护措施更加严格,能够应对更高级别的安全威胁。
而等保二级合格分是对信息系统进行评估和认证的一种方式,通过对信息系统的安全性进行综合评估,判断其是否达到等保二级的要求。
等保二级合格分的意义获得等保二级合格分对于企业和组织来说具有重要的意义:1.提升信息系统安全性:等保二级合格分要求信息系统具备更高的安全性,通过评估和认证,可以发现潜在的安全风险和漏洞,并采取相应的措施加以修复,从而提升信息系统的安全性。
2.保护关键信息资产:等保二级合格分针对的是国家关键信息基础设施,获得合格分意味着企业或组织的关键信息资产得到了更好的保护,减少了信息泄露、数据损坏等安全事件的风险。
3.提升企业形象和信誉:获得等保二级合格分可以证明企业或组织在信息安全管理方面具备较高的能力和水平,增加了合作伙伴和客户对企业的信任度,提升了企业的形象和信誉。
4.符合法律法规要求:根据《中华人民共和国网络安全法》,关键信息基础设施运营者应当按照国家有关规定,进行信息系统安全等级保护。
获得等保二级合格分可以满足法律法规的要求,避免可能的法律风险。
等保二级合格分的评估标准获得等保二级合格分需要满足一系列的评估标准,包括技术要求和管理措施。
以下是一些常见的评估标准:技术要求1.访问控制:包括身份认证、访问授权、权限管理等技术措施,确保只有授权的用户能够访问系统和数据。
2.安全传输:对于涉及机密信息的传输,要求使用加密技术,确保数据在传输过程中不被窃取或篡改。
3.安全存储:要求对关键信息进行加密存储,防止数据泄露和非法访问。
4.安全审计:建立完善的安全审计机制,记录系统的操作行为和安全事件,便于事后追溯和分析。
等保二级测评问题修复文档目录1 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;错误!未指定书签。
1.1Centos操作系统用户口令未有复杂度要求并定期更换 ................................................. 错误!未指定书签。
1.1.1提升系统口令复杂度 ............................................................................................. 错误!未指定书签。
1.1.2提升密码复杂度 ..................................................................................................... 错误!未指定书签。
1.2Windows(跳板机)操作系统未根据安全策略配置口令的复杂度和更换周期 .......... 错误!未指定书签。
1.3数据库系统用户口令未定期更换 ..................................................................................... 错误!未指定书签。
2应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;...... 错误!未指定书签。
2.1Centos操作系统未设置合理的登陆失败处理功能,未设置设备登录失败超时时间.. 错误!未指定书签。
2.1.1修改远程登录用户 ................................................................................................. 错误!未指定书签。
2.1.2修改客户端登录用户 ............................................................................................. 错误!未指定书签。
中国移动网上大学传输设备PON华为L2题库传输设备PON 华为L22015年5月18日9点30分试题数:122,重复命题数:4,重复命题率:3.28%1. OLT系统进行主备倒换后,主用主控板上承载的业务能迅速地切换到备用主控板上继续传送,保证业务的正常运行。
以下关于主备倒换的注意事项描述不正确的是A.当数据加载、数据保存、数据备份操作进行时,系统允许倒换操作B.当主、备用主控板通信故障,或者备用主控板故障时,系统将禁止倒换操作。
C.设备主控板双配置,且主、备用主控板上的线缆连接正确。
D.主、备用主控板的补丁状态和硬件环境一致。
答案:A2. 在GPON网络中,一个PON口下挂24口FTTB-ONU,建议最多下挂( )台ONU合适。
A.24B.16C.8D.10答案:B3. 在故障检测中,可以帮助用来检测连通性的命令是A.PINGB.SHOW VERSIONC.IPCONFID.DISPLAY答案:A4. 华为OLT MA5600T设备的上行板能够提供2个GE电口的单板是B.GICFC.X1CAD.GICG答案:D5. 以下关于互换分析说法错误的是A.互换可以在任何场景下进行,操作简单方便。
B.互换法目的是发现是否存在物理器件上的问题。
C.互换是指将处于正常状态的部件与可能故障的部件对调,通过比较对调后二者运行状况的变化,判断故障的范围或部位。
D.互换可以有单板互换,端口互换,终端互换,光纤互换。
答案:B6. 华为OLT设备GPON单板BSY指示灯绿色闪烁代表的是A.单板异常B.单板无业务运行C.单板有业务运行D.单板有业务不稳定答案:C7. 华为OLT设备可以提供VDSL2接入的单板类型是A.ADIFB.SPUAC.ETHBD.VDSA答案:D8. IP地址129.9.100.160为哪类地址A.D类地址B.B类地址C.A类地址D.C类地址9. 在GPON上行方向光功率测试中,需将光功率仪表波长设置成A.1550nmB.1310nmC.1490nmD.850nm答案:B10. SC/APC和SC/PC对接最大可产生()db的衰减?A.10dbB.30dbC.20dbD.5db答案:A11. ODN的光模块类型为Class B+时,光预算衰减范围是A.10 ~ 25 dBB.20 ~ 36 dBC.13 ~ 28 dBD.17 ~ 32 dB答案:A12. Class B+标准中规定的OLT的接受灵敏度是A.-28dBmB.8dBmC.0.5dBmD.0.8dBm答案:A13. 在GPON网络中,一个PON口承载的最大用户数,建议规划不超过( )个用户比较合理。
机房二级等保清单-回复什么是机房二级等保清单?机房二级等保清单是指根据《信息安全等级保护管理办法》中规定的二级等保安全要求,对机房的信息系统进行安全评估和等级划分,制定一系列的控制措施和安全规程,以确保信息系统运行的安全和稳定。
为什么需要机房二级等保清单?随着信息化技术的日益发展,信息安全问题也越来越引起人们的关注。
机房作为企业或机构信息系统的核心和枢纽,承载着大量重要的业务数据和关键应用,其安全性至关重要。
二级等保清单的制定和执行,可以帮助机房确保系统的信息安全等级,并有效地预防和应对各种安全威胁和风险。
机房二级等保清单的内容包括哪些方面?机房二级等保清单涵盖了多个方面的内容,其中包括但不限于以下几个方面:1. 安全管理制度:明确机房的信息安全管理职责和权限,制定安全管理制度和规程,确保信息系统安全运行。
2. 客户准入控制:建立严格的客户准入机制,确保只有经过合法审核和授权的客户才可以接入机房的信息系统。
3. 物理环境安全:保证机房的物理环境安全,包括机房的门禁控制、监控系统、防火系统、温湿度控制等。
4. 计算设备安全:确保机房内的计算设备的安全,包括服务器、网络设备、存储设备等,要有相应的安全防护措施。
5. 网络安全保护:配置防火墙、入侵检测系统和流量监控系统等网络安全设备,设置网络安全策略和访问控制,保障机房网络的安全性。
6. 数据安全保护:对机房内的数据进行分类和标识,确保数据的安全存储、传输和备份,采取数据加密、访问控制等措施。
7. 应急响应机制:建立健全的应急响应机制和预案,及时应对安全事件和漏洞,迅速恢复机房的业务功能。
如何执行机房二级等保清单?执行机房二级等保清单需要以下几个步骤:1. 制定清单:根据机房信息系统的具体情况和二级等保的要求,制定适用于机房的二级等保清单,明确各项安全控制措施和要求。
2. 落实措施:根据清单中的要求,机房需要进行逐一的执行、测试和落实,确保各项措施有效地部署和运行。
2015年5月19日华为L21. OTN系统中的电层开销字节( )不支持BIP8奇偶校验A.PMB.FASC.SMD.TCMi答案:B2. 有关插损的说法正确的是()A.在一般的插损测试中,分波器的所有通道的插损值应该完全相等,所以只需对其中某一个通道测试即可B.每通道插损即每通道光信号经过光复用器件相应通道后输出光功率的损耗C.对于分波器的插损测试,可以利用仪表发光,然后输入分波器的输入端口并测试输入光功率,再逐个测试分波器的输出端口的光功率,所对应的光功率差值即为个通道插损D.插损是分波器或合波器的单个物理通道指标答案:B3. OTN网络中下面哪种单板不需要配置交叉业务?A.LSXB.NQ2C.ND2D.NS2答案:A4. 主控板上液晶指示灯显示”1”,表示该子架为:( )A.从子架2B.从子架1C.主子架D.从子架3答案:B5. 子网连接保护(SNCP)不包括:( )A.SW SNCP保护B.客户侧1+1保护C.ODUk SNCP保护D.VLAN SNCP保护答案:B6. 某网络出现大面积无规律的网元脱管,下面原因中最有可能的原因A.网元NCP故障B.网管到网元的路由不稳定C.网管运行故障D.网管数据库故障答案:B7. 以下说法正确的是()A.U2000上设置15分钟监视开始时间(必须晚于网管和网元的当前时间)。
B.15分钟监视结束时间(必须晚于15分钟监视开始时间),必须设置C.U2000上设置15分钟监视开始时间(可以早于于网管和网元的当前时间)。
D.15分钟监视结束时间(必须早于15分钟监视开始时间),可以不设置。
答案:A8. 192.3THz波长的OTU单板,其输出接在M40的第( )口。
A.56B.38C.3D.76答案:B9. 管线资源系统中,光缆与光缆段是——A.一一对应关系B.从属关系C.归属关系D.无关系答案:A10. ()是在两个光交接设备(ODF\光交\光分\终端盒)之间的直达光纤,包含熔接点,即光纤路由A.光路B.管道段C.局向光纤D.挂墙段答案:C重复命题1次2015年6月19日9点30分传输设备OTN 华为L211. DWDM系统中,实现波长转换的关键器件是()A.REGB.EDFAC.SOAD.OUT答案:D12. OTN规定OCH的三个子层的关系,从客户侧输入到波分侧输出正确的是A.客户业务—>OPUk―>ODUk―>OTUkB.客户业务—>ODUk―>OPUk―>OTUkC.客户业务—>OPUk->OTUk―>ODUkD.客户业务—>OTUk―>ODUk―>OPUk答案:A13. PTN采用24位来标志网元ID,其中高8位是(),低16位是();其中()的作用是用来标识一个区域内的PTN网元A.基础ID,扩展ID,基础IDB.扩展ID,基础ID,扩展IDC.基础ID,扩展ID,扩展ID;D.扩展ID,基础ID,基础ID答案:B14. 某单板面板上的条形编码最后几位是TN1M1LOG01TPT,对其含义描述正确的是()。
多选题1.BTS3012的硬件结构可分为:、、、。
(ABCD)A、公共子系统B、载波子系统C、射频前端子系统D、天馈子系统2.BTS3002C的主要组成模块是:、,和。
(ABC)A、主控模块(MCU)B、数字射频模块(DRU)C、电源模块(PSU)D、天馈模块3.同步小区必须符合(ABCD)A、机柜最少原则B、天线最少原则C、完整同步定向小区原则D、主机柜优先原则4.天馈系统驻波比变差的可能原因有:(ABCD)A、接头松动B、接头防水不好导致进水C、天馈避雷器驻波大D、馈线某处折损5.基站环境告警箱能提供以下哪些告警功能:( ABD )A 、火警 B、烟雾 C、风扇告警 D、浸水6.BTS远端维护中,查看信道状态时,状态A、I 分别表示什么( BD )A 、闭塞 B、激活 C、退出服务 D、空闲7.BTS3012基站,时钟出现参考源异常,可能的原因是:(ABC )A、基站传输问题;B、DTMU单板问题;C、BSC的时钟偏移、MSC时钟正常D、MSC时钟偏移、BSC的时钟正常8.在BTS3012中,如下哪些告警产生后,会导致载频关功放:( ABCD )A、载频功放温度告警B、载频板硬件告警C、二级驻波告警D、LAPD告警9.对于BTS3002C某个机架上只安装了一个DRU模块(安装在DRU0槽位),以下描述错误的有:(BC)A、DRU1槽位上必须安装防水小盖板;B、DRU1槽位上的背板插头必须用防水胶带密封;C、DRU0底部的RX-OUT必须安装随基站发送的匹配负载,不需要防水胶带密封;D、DRU0底部的RX-OUT必须安装随基站发送的匹配负载,需要用防水胶带密封;10.有关BTS硬件质量检查标准,正确的叙述有:( BD )A、定向天线方位角误差不大于±10度,定向天线倾角误差应不大于±1度;B、馈线最小弯曲半径应不小于馈线直径的20倍;C、地线、电源线的余长不能散乱摆放,应整齐盘绕;D、低压电力电缆宜埋地引入移动基站。
二级等保的通用要求一、引言二级等保是指在网络安全领域中的一种评级标准,用于评估和确保信息系统的安全性和可信度。
随着互联网的迅速发展和信息安全事件的增加,二级等保的要求成为了保障网络安全的重要措施。
二、核心要求1.网络设备安全:对网络设备进行全面的安全检查和管理,包括防火墙、路由器、交换机等设备。
要求设备的操作系统和应用程序安全可靠,必要时进行安全补丁的及时更新。
2.身份认证和访问控制:确保用户身份的真实性和合法性,通过强密码要求、多重身份验证等方式实现身份认证。
同时,实施严格的访问控制策略,限制用户对系统资源的访问权限。
3.数据保护和加密:对重要的数据进行加密保护,确保数据在传输和存储过程中不被窃取或篡改。
同时,建立完善的备份和恢复机制,保证数据的可靠性和可用性。
4.安全审计和事件响应:建立安全审计机制,记录和监控系统的安全事件和行为,及时发现和处置安全威胁。
对安全事件进行彻底的调查和分析,制定相应的应对措施,并进行事后的安全演练和总结。
5.风险评估和安全管理:建立全面的风险评估机制,对系统进行定期的安全漏洞扫描和风险分析,及时修复和处理发现的安全问题。
同时,建立健全的安全管理体系,包括安全策略、规范和流程等,确保信息系统的安全可控。
6.物理环境和安全管理:确保信息系统所处的物理环境安全可靠,包括机房的防火、防水、防雷等设施的完善。
同时,加强对信息系统的安全管理,包括人员的安全培训、安全意识的提高等,防止人为因素对系统安全造成的影响。
三、实施建议1.建立专门的网络安全团队,负责网络安全的规划、实施和管理。
团队成员应具备较高的网络安全技术能力和较强的应急响应能力。
2.对网络设备进行全面的安全配置和管理,确保设备的安全性和可靠性。
定期对设备进行漏洞扫描和安全评估,及时修复和处理发现的安全问题。
3.加强对用户身份认证和访问控制的管理,包括强密码要求、多重身份验证等措施。
对用户的权限进行合理分配和管理,限制用户对系统资源的访问权限。
华为传输(chuán shū)设备常见告警含义及处理方法AU_AIS AU告警指示(1)由MS_AIS、R_LOS、R_LOF 告警引发的相应VC4 通道的AU_AIS 告警;(2)业务配置错误;(3)对端站发送AU_AIS;(4)对端站发送部分故障;(5)本站接收部分故障。
(1)由本站MS_AIS、R_LOS、R_LOF 等告警引发的相应VC4通道的AU_AIS 告警,检查方法可通过对MS_AIS、R_LOS、R_LOF 的分析来定位故障;(2)还有一个可能原因是相应VC4 通道的业务有收发错开的现象,导致收端在相应通道上出现AU_AIS 告警,在这种情况下,该AU_4 中相应的TU 上也会伴随出现TU_AIS 告警。
这时,请检查出现AU_AIS 的站和它的互通业务站,以及中间业务穿通站的业务时隙配置是否错误;(3)更换对端站对应的交叉板和线路板;(4)更换本站的线路板和交叉板。
AU_LOP AU指针丢失(1)对端站发送部分故障;(2)对端站业务配置错误;(3)本站接收误码过大。
(1)检查对端站及本站业务配置是否正确,如果不正确,重新配置业务; (2)对于155M 光接口板一般无此故障,若有的话多为此光板配置有误。
而622M 和2500M光接口板接收到AU_LOP 告警,应检查对方时钟板是否正常工作、交叉板是否检测到了时钟;(3)如业务为140M 业务,检查业务是否正确接入;(4)依次更换对端站对应的交叉板和线路板,定位故障点;(5)更换本站的线路板和交叉板。
MS_AIS 复用段告警指示(1)对端站发送MS_AIS 信号;(2)对端站时钟板故障;(3)本板接收部分故障。
(1)检查对端站线路板是否存在问题,可通过复位或更换单板的方法检查告警是否消失;(2)检查本站线路板,同样可通过复位或更换单板的方法来检查告警是否消失。
MS_RDI 复用段远端接收失效指示(1)对端站接收到R_LOS/R_LOF/MS_AIS 信号;(2)对端站接收部分故障;(3)本站发送部分故障。
等级保护二级技术要求等级保护二级技术要求等级保护是指按照一定的标准和要求,对信息系统进行分类和分级管理,以确保信息系统的安全性和可靠性。
在等级保护中,二级是一个较高的安全等级,对技术要求提出了更高的要求。
本文将从网络安全、数据保护、身份认证和访问控制四个方面介绍等级保护二级的技术要求。
一、网络安全在等级保护二级中,对网络安全的要求更加严格。
首先,要求建立安全可靠的网络边界防护,包括防火墙、入侵检测系统和入侵防御系统等。
其次,要求对网络进行全面监控和日志记录,及时发现和应对安全事件。
此外,还要求对网络进行定期的安全评估和漏洞扫描,及时修复和更新系统漏洞,以保证网络的安全性。
二、数据保护数据是信息系统中最重要的资产之一,对数据的保护是等级保护二级中的一个重要技术要求。
首先,要求对数据进行加密保护,包括数据的传输加密和存储加密。
其次,要求建立完备的备份和恢复机制,确保数据的可用性和完整性。
此外,还要求对数据进行分类和分级,对不同等级的数据采取不同的保护措施,以确保数据的安全。
三、身份认证在等级保护二级中,对用户身份认证提出了更高的要求。
首先,要求采用强密码策略,确保用户密码的复杂性和安全性。
其次,要求采用多因素身份认证,如指纹、虹膜等生物特征识别技术,提高身份认证的安全性。
此外,还要求建立严格的权限管理机制,对用户的访问权限进行精确控制,确保只有授权用户才能访问系统。
四、访问控制对于等级保护二级,对系统访问控制提出了更高的要求。
首先,要求建立严格的访问控制策略,根据用户的角色和权限,限制其对系统资源的访问。
其次,要求对系统进行细粒度的访问控制,对每个用户的操作进行审计和监控,及时发现和阻止异常行为。
此外,还要求建立安全审计机制,对系统的安全事件进行跟踪和分析,保证系统的安全和稳定运行。
等级保护二级对技术要求提出了更高的要求,包括网络安全、数据保护、身份认证和访问控制等方面。
只有按照这些要求,才能确保信息系统的安全性和可靠性。
【最新整理,下载后即可编辑】传输设备PTN 华为L22015年5月18日14点30分1、关于环回的描述,错误的是()A.通过网管做VC4环回不会影响ECCB.内环回是指来自交叉的信号在环回点返回交叉板方向的环回方式C.利用支路板的各种自环功能来隔离设备故障和连线故障时,要判断是设备故障,应用(内环回)功能D.外环回是指外部的电路信号进入单板以后,在环回点上将输入信号发送回去的环回方式↑答案:A2、若设备某单板光口收光下门限为-18dbm,当前光口收光为-19dbm,设备上报什么告警A.ETH_LOSB.ETH_LINK_DOWNC.T_ALOSD.IN_PWR_ABN↑答案:D3、PTN网元升级操作中PTN加载软件包成功,网元处于什么状态A.待激活态B.正常态C.待分发态D.待稳定态↑答案:C4、PTN网络承载2G业务,其基站接入侧采用()接口A.10GEB.FEC.GED.E1↑答案:D5、关于U2000产品的定位,以下哪项描述正确()A.华为公司网络和无线领域的融合网管B.华为公司接入与承载领域的融合网管C.华为公司承载领域的融合网管D.华为公司接入领域的融合网管↑答案:B6、恢复网元数据库,以下哪些不是必须的()A.添加逻辑单板B.设备IDC.同步网元时间D.主控板版本↑答案:C7、PTN端口即时流量从哪里查询A.二层属性B.高级属性C.三层属性D.基本属性↑答案:B8、网元脱管的可能原因不包括()A.至该网元光路全部故障B.网元主控板故障C.网关网元连接中断D.设备处于运行态↑答案:D9、PTN控制平面ID(LSR ID)地址的原则包括A.LSR ID为32位的IP地址格式,掩码16B.可以使用标准的B、C类的IP地址C.网元上的LSR ID 、网元IP、端口IP不能彼此重复或属于同一个网段D.设备LSR ID可以重复↑答案:B10、聚合组成员失效的情况下,对于负载分担模式下可能会造成()A.业务中断B.没有影响C.引发链路倒换,短暂丢包D.带宽不够,持续丢包↑答案:D11、PTN网元升级操作中网元状态处于什么情况下允许升级A.正常态B.待稳定态C.待分发态D.待激活态↑答案:A12、在使能MPLS_OAM功能后,当一条LPS的中间断掉后,在宿节点会上报哪个告警A.MPLS_TUNNEL_MISMERGEB.MPLS_TUNNEL_LOCVC.MPLS_TUNNEL_MISMATCH↑答案:B13、PTN网元升级操作中激活操作成功,网元处于什么状态A.正常态B.待稳定态C.待激活态D.待分发态↑答案:B14、一般情况对网络带宽占用最小的是A.LTE业务B.互联网业务C.TD业务D.2G业务↑答案:D15、部署Qos需要部署Tunnel的LSP属性为()A.都可以B.NoneD.Uniform↑答案:C16、如果CES业务周期性地出现误码,最可能的原因是A.物理链路异常B.设备之间的时钟不同步C.无线设备的问题D.PW参数不匹配↑答案:B17、PTN的E1口是个灵活E1口,它还可以用在网络侧承载MPLS tunnel,这时候需要把它设置绑定成(),绑定后再设成3层类型的接口。
一、填空题。
1、SDH的中文翻译是:同步数字传输体制。
【难度2LV】2、ITU-T定义了SDH四个级别的同步传送模块,分别为STM-1,STM-4,STM-16,STM-64 。
【难度2LV】3、STM-1的速率为155MB/S ,可以收容63 个2M业务,可收容 3 个34M业务,可收容 1 个140M业务。
【难度2LV】4、在SDH网络中基本的网元类型有:终端复用器(TM)、分插复用器(ADM)、再生中继器(REG)及小型数字交叉连接设备(DXC)。
【难度3LV】5、为了将各种PDH信号装入SDH净负荷中,一般需经过映射、定位和复用三个步骤。
【难度3LV】6、SDH帧结构的段开销和通道开销中有丰富的字节用作误码监视,其中B1 字节用作再生段误码监视;B2 字节用作复用段误码监视,而M1 字节作为复用段远端误码块指示;B3 字节用作高阶通道误码监视,而G1 字节的高四位作为高阶通道远端误码块指示;V5 字节的高两位作为低阶通道误码监视,其第三位作为低阶通道远端误码块指示。
【难度4LV】7、PDH采用的复用技术是码速调整(异步复用),SDH采用的复用技术是指针调整(同步复用)。
【难度3LV】8、TUG复用结构中,一个VC4包含 3 个TUG3,一个TUG3包含7 个TUG2,一个TUG2包含 3 个TU12。
因此VC4的第34时隙,属于第 1 个TUG3的第 5 个TUG2的第 2 个TU12。
【难度4LV】9、目前光通信中常用的激光波长为:1310 纳米和1550 纳米。
【难度1LV】10、光接口常测指标有:光源工作波长,平均发送光功率,S点眼图,消光比,接收机灵敏度,接收机过载光功率,实际接收光功率,光输入口允许频偏;电接口常测指标有输出口AIS比特率,输入口允许频偏,输出口波形,输入口允许衰减,输入口抗干扰能力。
【难度4LV】11、在622双纤双向共享复用段保护环系统中,一般将第 1 和第 2 个VC4作为工作时隙,而将第 3 和第 4 个VC4作为保护时隙。
产品特点能力丰富,快速合规满足等保二级基础要求,需要包括如下产品提供的安全防护能力:华为安全等级保护(二级)产品套装产品概述网络安全等级保护已经进入到2.0时代,为遵从等保2.0要求,同时帮助广大企业客户提高网络安全防护能力,降低系统被攻击的风险,华为推出等级保护(二级)产品套装。
华为等级保护(二级)产品套装是基于等级保护2.0第二级要求的核心产品组合,能够帮助用户快速有效地完成等级保护的建设,包括AI 防火墙、IPS 产品、运维审计产品和日志审计等产品,通过完善的安全能力,为用户提供基础的网络安全防护能力,让用户可以基于标准化的产品服务建设更为高效的防御体系,并从繁琐的等级保护产品选型中脱身出来,专注于实现企业安全防御方案的实效性。
优质产品组合,满足多场景应用•HiSecEngine USG6000E AI 防火墙:在提供NGFW 能力的基础上,联动其他安全设备,主动积极防御网络威胁,增强边界检测能力,有效防御高级威胁,同时解决性能下降问题。
产品提供模式匹配以及加解密业务处理加速能力,使得防火墙处理内容安全检测、IPSec 等业务的性能显著提升。
基于AI 技术的高级威胁检测,检测准确率大于99%。
•HiSecEngine IPS6000E 入侵防御系统:在传统IPS 产品的基础上进行了扩展,增加网络环境感知能力、深度应用感知能力、内容感知能力,以及对未知威胁的防御能力,实现了更精准的检测能力、更优化的管理体验。
HiSecEngine IPS6000E 能够更好地保障客户应用和业务安全,实现对网络基础设施、服务器、客户端以及网络带宽性能的全面防护。
•UMA1000统一运维审计系统:支持丰富的运维协议、运维资产和运维方式,具备完善的账号管理机制,全面记录IT 运维过程。
通过集中管理、监控与审计企业所有运维人员的操作行为,有效降低网络设备、服务器、数据库、业务系统等资源的内部运维风险,完善IT 管理体系,同时满足相关法规、标准要求。
华为等级保护2.0详细解决方案目录等级保护2.0要求解读华为等级保护解决方案23网络安全态势1据国家互联网应急中心2018年5月发布的《2017年我国互联网网络安全态势综述》,监测数据显示,2017年国内互联网安全形势十分严峻,敲诈勒索病毒盛行,分布式拒绝服务攻击峰值持续新高、工业控制系统安全风险加剧!国家信息安全漏洞共享平台(CNVD )所收录的安全漏洞数量达到15955个,同比增长47.4%。
205万余个移动互联网恶意程序,较上一年增长39.0%,近7年来持续保持高速增长趋势2017年我国遭受DDoS 攻击依然严重,攻击峰值流量持续攀升。
大流量攻击事件的主要攻击方式为TCP SYN Flood 、NTP 反射放大攻击和SSDP 反射放大攻击。
国家信息安全漏洞共享平台(CNVD )共收录通用软硬件漏洞10822个,高危漏洞收录数量高达4146个,占38.3%,”零日”漏洞3203个,较2015年增长82.5%2017年,CNCERT 监测发现我国境内约2万个网站被篡改,较2016年的约1.7万个增长20.0%,其中被篡改的政府网站有618个,较2016年的467个增长32.3%网站安全形势十分严峻拒绝服务攻击变成常用手段工业互联网安全安全漏洞数量持续走高互联网金融安全网络安全事件持续高发,新型威胁层出不穷1101万余台主机被境外控制服务器控制,来自美国的控制服务器数量居首位,其次是俄罗斯和日本。
移动互联网恶意程序达到253万个,同比增长23.4%。
大量主机被木马远程控制业务数字化快速发展,被动防御的安全手段已经无法满足需要防护的基础设施数字化:云化、IoT 、5G 、移动化攻击:规模化、产业化•云化:开放、数据应用集中、攻击面增大,云服务责任边界模糊•IoT :移动化、异构化、海量化,攻击无处不在•5G :多连接、大流量,网络切片,管理复杂•安全防护成为一种持续对抗,向事前和事中的持续监测、响应转变•安全检测智能化,管控维自动化,全网统一安全管理•攻击手段持续升级,甚至采用智能化,持续创新,防护难度加大•黑客产业化进程加快,能够充分调动资源进行攻击且获取巨额收益,从“小作坊”走向“正规军”安全防护理念:应急响应持续监测和响应,自动化智能化《中华人民共和国网络安全法》【第三十一条】【第二十一条】国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
华为传输系统对二级等级保护应答6 第二级基本要求6.1 技术要求6.1.1 物理安全6.1.1.1 物理位置的选择G2(答:不涉及)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
6.1.1.2 物理访问控制G2(答:不涉及)本项要求包括:a) 机房出入口应安排专人值守控制、鉴别和记录进入的人员b) 需进入机房的来访人员应经过申请和审批流程并限制和监控其活动范围。
6.1.1.3 防盗窃和防破坏G2(答:不涉及)本项要求包括a) 应将主要设备放置在机房内b) 应将设备或主要部件进行固定并设置明显的不易除去的标记c) 应将通信线缆铺设在隐蔽处可铺设在地下或管道中d) 应对介质分类标识存储在介质库或档案室中e) 主机房应安装必要的防盗报警设施。
6.1.1.4 防雷击G2(答:不涉及)本项要求包括a) 机房建筑应设置避雷装置b) 机房应设置交流电源地线。
6.1.1.5 防火G2(答:不涉及)机房应设置灭火设备和火灾自动报警系统。
6.1.1.6 防水和防潮G2(答:不涉及)本项要求包括a) 水管安装不得穿过机房屋顶和活动地板下b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
6.1.1.7 防静电G2(答:不涉及)关键设备应采用必要的接地防静电措施。
6.1.1.8 温湿度控制G2(答:不涉及)机房应设置温、湿度自动调节设施使机房温、湿度的变化在设备运行所允许的范围之内。
6.1.1.9 电力供应A2(答:不涉及)本项要求包括a) 应在机房供电线路上配置稳压器和过电压防护设备b) 应提供短期的备用电力供应至少满足关键设备在断电情况下的正常运行要求。
6.1.1.10 电磁防护S2(答:满足)电源线和通信线缆应隔离铺设避免互相干扰。
6.1.2 网络安全6.1.2.1 结构安全G2(答:不涉及)本项要求包括a) 应保证关键网络设备的业务处理能力具备冗余空间满足业务高峰期需要b) 应保证接入网络和核心网络的带宽满足业务高峰期需要c) 应绘制与当前运行情况相符的网络拓扑结构图d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素划分不同的子网或网段并按照方便管理和控制的原则为各子网、网段分配地址段。
6.1.2.2 访问控制G2(答:不涉及)本项要求包括a) 应在网络边界部署访问控制设备启用访问控制功能b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力控制粒度为网段级。
c) 应按用户和系统之间的允许访问规则决定允许或拒绝用户对受控系统进行资源访问控制粒度为单个用户d) 应限制具有拨号访问权限的用户数量。
6.1.2.3 安全审计G2(答:不涉及)本项要求包括a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
6.1.2.4 边界完整性检查S2(答:不涉及)应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
6.1.2.5 入侵防范G2(答:不涉及)应在网络边界处监视以下攻击行为端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
6.1.2.6 网络设备防护G2(答:满足)本项要求包括a) 应对登录网络设备的用户进行身份鉴别b) 应对网络设备的管理员登录地址进行限制c) 网络设备用户的标识应唯一d) 身份鉴别信息应具有不易被冒用的特点口令应有复杂度要求并定期更换e) 应具有登录失败处理功能可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施f) 当对网络设备进行远程管理时应采取必要措施防止鉴别信息在网络传输过程中被窃听。
6.1.3 主机安全6.1.3.1 身份鉴别S2(答:满足)本项要求包括a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点口令应有复杂度要求并定期更换c) 应启用登录失败处理功能可采取结束会话、限制非法登录次数和自动退出等措施d) 当对服务器进行远程管理时应采取必要措施防止鉴别信息在网络传输过程中被窃听e) 应为操作系统和数据库系统的不同用户分配不同的用户名确保用户名具有唯一性。
6.1.3.2 访问控制S2(答:满足)本项要求包括a) 应启用访问控制功能依据安全策略控制用户对资源的访问b) 应实现操作系统和数据库系统特权用户的权限分离c) 应限制默认帐户的访问权限重命名系统默认帐户修改这些帐户的默认口令d) 应及时删除多余的、过期的帐户避免共享帐户的存在。
6.1.3.3 安全审计G2(答:不涉及)本项要求包括:a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等d) 应保护审计记录避免受到未预期的删除、修改或覆盖等。
6.1.3.4 入侵防范G2(答:满足)操作系统应遵循最小安装的原则仅安装需要的组件和应用程序并通过设置升级服务器等方式保持系统补丁及时得到更新。
6.1.3.5 恶意代码防范G2(答:不涉及)本项要求包括a) 应安装防恶意代码软件并及时更新防恶意代码软件版本和恶意代码库b) 应支持防恶意代码软件的统一管理。
6.1.3.6 资源控制A2(答:满足)本项要求包括:a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录b) 应根据安全策略设置登录终端的操作超时锁定c) 应限制单个用户对系统资源的最大或最小使用限度。
6.1.4 应用安全6.1.4.1 身份鉴别S2(答:满足)本项要求包括a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别b) 应提供用户身份标识唯一和鉴别信息复杂度检查功能保证应用系统中不存在重复用户身份标识身份鉴别信息不易被冒用c) 应提供登录失败处理功能可采取结束会话、限制非法登录次数和自动退出等措施d) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能并根据安全策略配置相关参数。
6.1.4.2 访问控制S2(答:满足)本项要求包括:a) 应提供访问控制功能依据安全策略控制用户对文件、数据库表等客体的访问b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作c) 应由授权主体配置访问控制策略并严格限制默认帐户的访问权限d) 应授予不同帐户为完成各自承担任务所需的最小权限并在它们之间形成相互制约的关系。
6.1.4.3 安全审计G2(答:不涉及)本项要求包括:a) 应提供覆盖到每个用户的安全审计功能对应用系统重要安全事件进行审计b) 应保证无法删除、修改或覆盖审计记录c) 审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。
6.1.4.4 通信完整性S2(答:满足)应采用校验码技术保证通信过程中数据的完整性。
6.1.4.5 通信保密性S2(答:不满足)本项要求包括:a) 在通信双方建立连接之前应用系统应利用密码技术进行会话初始化验证b) 应对通信过程中的敏感信息字段进行加密。
6.1.4.6 软件容错A2(答:满足)本项要求包括a) 应提供数据有效性检验功能保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求b) 在故障发生时应用系统应能够继续提供一部分功能确保能够实施必要的措施。
6.1.4.7 资源控制A2(答:不涉及)本项要求包括:a) 当应用系统的通信双方中的一方在一段时间内未作任何响应另一方应能够自动结束会话b) 应能够对应用系统的最大并发会话连接数进行限制c) 应能够对单个帐户的多重并发会话进行限制。
6.1.5 数据安全及备份恢复6.1.5.1 数据完整性S2(答:满足)应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。
6.1.5.2 数据保密性S2(答:满足)应采用加密或其他保护措施实现鉴别信息的存储保密性。
6.1.5.3 备份和恢复A2(答:满足)本项要求包括a) 应能够对重要信息进行备份和恢复b) 应提供关键网络设备、通信线路和数据处理系统的硬件冗余保证系统的可用性。
6.2 管理要求6.2.1 安全管理制度6.2.1.1 管理制度G2(答:不涉及)本项要求包括a) 应制定信息安全工作的总体方针和安全策略说明机构安全工作的总体目标、范围、原则和安全框架等b) 应对安全管理活动中重要的管理内容建立安全管理制度c) 应对安全管理人员或操作人员执行的重要管理操作建立操作规程。
6.2.1.2 制定和发布G2(答:不涉及)本项要求包括a) 应指定或授权专门的部门或人员负责安全管理制度的制定b) 应组织相关人员对制定的安全管理制度进行论证和审定c) 应将安全管理制度以某种方式发布到相关人员手中。
6.2.1.3 评审和修订G2(答:满足)应定期对安全管理制度进行评审对存在不足或需要改进的安全管理制度进行修订。
6.2.2 安全管理机构6.2.2.1 岗位设置G2(答:不涉及)本项要求包括a) 应设立安全主管、安全管理各个方面的负责人岗位并定义各负责人的职责b) 应设立系统管理员、网络管理员、安全管理员等岗位并定义各个工作岗位的职责。
6.2.2.2 人员配备G2(答:不涉及)本项要求包括a) 应配备一定数量的系统管理员、网络管理员、安全管理员等b) 安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。
6.2.2.3 授权和审批G2(答:不涉及)本项要求包括a) 应根据各个部门和岗位的职责明确授权审批部门及批准人对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批b) 应针对关键活动建立审批流程并由批准人签字确认。
6.2.2.4 沟通和合作G2(答:不涉及)本项要求包括a) 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通b) 应加强与兄弟单位、公安机关、电信公司的合作与沟通。
6.2.2.5 审核和检查G2(答:不涉及)安全管理员应负责定期进行安全检查检查内容包括系统日常运行、系统漏洞和数据备份等情况。
6.2.3 人员安全管理6.2.3.1 人员录用G2(答:不涉及)本项要求包括a) 应指定或授权专门的部门或人员负责人员录用b) 应规范人员录用过程对被录用人员的身份、背景和专业资格等进行审查对其所具有的技术技能进行考核c) 应与从事关键岗位的人员签署保密协议。
6.2.3.2 人员离岗G2(答:不涉及)本项要求包括a) 应规范人员离岗过程及时终止离岗员工的所有访问权限b) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备c) 应办理严格的调离手续。