等保五个规定动作 五个规定动作 + 新的安全要求（风险评估、安全监测、通报预警、应急 处置、自主可控等） 内容变化 技术（物理、网络、主机、应用、数据） + 管理 技术（物理环境、一个中心三重防护） + 管理 技术要求 等保 1.0 等保 2.0 物理安全 安全物理环境 网络安全 安全通信网络 主机安全 安全区域边界 应用安全 安全计算环境 数据安全 安全管理中心 管理要求 防静电 温湿度控制 电力供应 电磁防护 安全 通信 网络 网络架构 通信传输 加强了通信传输的保密性要求（密码技术） 可信验证 新增要求，各个级别和层面增加了可信验证控制点。 要求级别为“可”而非“应” 安全 区域 边界 边界防护 防护要求加强明确提出从内到外的攻击检测；无线 网络提出要求，要有边界防护设备； 访问控制 新增对信息内容进行过滤，实现对内容的访问控制 4A 账号管理、负载均衡、态势感知、终端数据防泄漏、负载均衡、 VSG 视频安全防护系统、网页防篡改 等保二级 必配推荐：防火墙 /UTM 、 IDS/IPS 、日志审计、堡垒机、网络版杀毒软件 选配推荐： WAF 、数据库审计、防毒墙、上网行为管理、网闸、 VPN 、终端数据防泄漏、负载均衡、 VSG 视频安全防护系统、态势感知 DAC 、网页防篡改 第 21页 新等级保护介绍 - 法律地位

测 网络安全战略规划目标 等保 2.0 安全框架核心内容 依据国家网络安全法律法规和等级 保护政策标准开展等级保护工作； 1 2 3 4 确定等级保护对象； 依然采用“一个中心、三重防护” 的 理念； 建立安全技术体系和安全管理体系， 构建具备相应等级安全保护能力的 网络安全综合防御体系。 5 开展组织管理、机制建设、安全规划、 通报预警、应急处置、态势感知、能 力建设、监督检查、技术检测、队伍 第四级系统每半年一次  第三级以上系统每年一次 测评结果的变化  60 分以上基本符合  75 分以上基本符合 等级保护控制层面的变化  安全控制层面划分上有较大变化 , 从传统 IT 防护变为体系化防护。 物理安全 网络安全 主机安全 应用安全 数据安全 安全制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 1.0 2.0 安全物理环境 安全通信网络 安全区域边界 安全计算环境 应对新技术提出新要求 增强了对未知威胁的防范要求，针对邮件攻击威胁提出 邮件安全要求，提出统一管控，要求能够对攻击进行溯 源和取证。 增强未知威胁防范和攻击溯源能力 感知预警、安全分析、动态防护、全面检测、应急处置 兵种，打造主动安全保障体系，提高信息系统网络抗攻 击能力。 建立主动安全保障体系 更加注重数据安全保障和个人信息保护，数据是 IT 的核 心和生命，个人信息保护在互联网时代被无限放大。

第三级 第四级 国家安全 第三级 第四级 第五级 《网络安全等级保护条例》 2.0 等级保护安全框 架 等级保护的基本要求、测 评要求和安全设计技术要 求框架统一，即：安全管 理中心支持下的三重防护 结构框架 通用安全要求 + 新型应 用安全扩展要求，将云 计算、移动互联、物联 网、工业控制系统等列 入标准规范 将可信验证列入各级别和 各环节的主要功能要求 定级对象 等保进入 2.0 工业控制系统、采用移动互联技术的网络 等 安全通用要求与安全扩展要求 安全要求 信息系统 2.0 版主要变化 控制措施 分类结构 变化 技术（物理、网络、主机、应用、数据） + 管理 技术（物理环境、一中心三防护） + 管理 安全要求 变化 五个规定动作 + 新的安全要求 等保五个规定动作 2.0 版主要变化 1. 物理安全 2. 网络安全 3. 主机安全 4. 应用安全 5. 数据安全 安全物理环境 物理位置选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 安全区域边界 安全计算环境 温湿度控制 电力供应 电磁防护 系统管理 审计管理 安全管理 集中管控 网络架构 通信传输 可信验证 边界防护 访问控制 入侵防范 安全审计 可信验证 恶意代码和垃圾邮件防范 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 数据完整性 数据保密性

DATA LAKES 3rd PARTIES INCONSISTENT APIs 漏洞扫描 安全 Web 网关 上网行为管理 网络流量分析 主机加固 端点安全 IDS/IPS 防火墙 高级威胁防护 邮件安全网关 数据防泄漏 整合所有安全产品，统一快速的调度 DATA LAKES, SIEMs THREAT PLATFORMS & ANALYTICS ORCHESTRATION OTHER DATA LAKES 3rd PARTIES APIs 漏洞扫描 安全 Web 网关 上网行为管理 网络流量分析 主机加固 端点安全 CASK 平 台 IDS/IPS 防火墙 高级威胁防护 邮件安全网关 数据防泄漏 CASK 的工作方式 自动执行动作 行为阻断 策略应用 启用查杀 告警通知 合规部门 安全运维人员 事件回溯 排查验证 事件目录 事件联动编排 Syslog 待定的事件 事件 代理 事件分类账 E H E H E H E H E H E H EH = Event Handler 事件处理程序 事件驱动的安全自动联动 防火墙阻断 终端防护隔离 邮件网关拦截 SIEM 分析 威胁情报匹配 安全专家响应 安全事件发生 事件 - 响应 - 通知 - 人工处 理 各安全产品和设备 产生安全事件 主平台运行在云端 或者本地服务器上

将支撑部件调整至设计高度。 7. 活动地板铺设过程中应随时调整水平遇到障碍或不规则地面，应按实际尺寸镶补并附加 支撑部件，保证地板牢固可靠。 8. 在活动地板上搬运，安装设备时应对地板表面采取防护措施，保证竣工时提供完整如新 的地板面。 9. 活动地板铺设接缝应横平竖直，铺设偏差应符合下表的规定： 活动地板允许偏差 序号 检测项目 检测标准 允许编差 检测方法 检测数量 1 地板不平度 机械应急操作装置应设在贮瓶间或防护区外便于操作的地方，并能在一个地点完成释放气体前 30s 内人员疏散的声警报警。 被保护区域常开的防火门，应设有门自动释放器、在释放气体前能自动关闭。 应在释放气体前，自动切断被保护区的送、排风风机或关闭送风阀门。 对于组合分配系统，宜在现场适当部位设置气体灭火控制室，但装设位置应接近被保护区，控制 盘（箱）应采取防护措施。 气体灭火控制室应有下列控制、显示功能。 可以间 接损坏微电子设备。 二、雷电防护区的划分 按照 IEC1312-1 及 GB50057-94 要求，应将要保护的空间划分为不同的防雷区，以规定各部分空间 不同的雷击电磁脉冲的严重程度和指明各区交界处的等电位连接点的位置。各区以在其交界处的 电磁环境有明显改变作为划分不同防雷区的特征。防雷区宜按以下分区： 1、LPZ OA 区：直击雷非防护区，本区内的各物体都可能遭到直接雷击和导走全部雷电流；本区

希望一劳永逸地解决租户安全问题是不切实际的。人 类的操作永远无法做到完美，系统和技术总在不断演 进，新的漏洞会不断出现，完全消除漏洞是不可能 的。所以，0日攻击、钓鱼攻击以及账户被破解都无 法被避免。 07 租户安全防护难以全局统筹 现代企业和组织的网络环境越发复杂，涉及众多设 备、应用、数据类型。同时安全威胁也在不断演变， 包括网络攻击、钓鱼、木马、病毒、社会工程学攻击 等多种形式。安全团队需要同时跟踪多种威胁情报， 全管控来保障运维安全，具体来说，需要实现事前对权限的有效规划和管理，事中对运维操作的严格管控，以 及事后对运维操作的审计与分析，减少由于运维误操作给云业务带来的风险。除了云平台本身的安全保障，在 租户安全维度，也应构建完整的安全防护体系，端到端保障云租户的安全。 2.1 平台运维现代化核心能力 2.1.1 全链路监控构建从应用到云平台的 全栈感知能力 从应用视角到平台视角，构建全面的指标体系，快速 感知故障 核心应用部署上云，从上到下可以分为四层，分别为 传统的安全威胁主要来源于数据中心外部，在边 界作好防护就能解决大部分问题。而在金融云场 景下，租户间网络边界从物理边界变为虚拟网络 边界，防护边界变的模糊。此外，云平台的安全 边界还会随着云租户数量和规模的扩展或调整而 发生动态调整； 安全攻击不仅有可能来源于数据中心外部，还可 能来源于内部的社会工程、钓鱼软件、恶意植 入、权限滥用、数据窃取等安全威胁； 攻击点的多样性需要不同安全防护工具来应对， 因而，安全威胁会在不同安全防护工具上以不同

需求分析...................................................................................166 9.1.2 安全防护策略............................................................................168 9.1.3 用户价值...... 以用基于大数 据的分析来进行时间研判。 云存储：将存储资源进行池化，保证高速读取和写入的同时，提高可靠和 稳定性，做到数据一秒不丢，重建秒级恢复。 安全管控：作为安防业内唯一一家拥有全面安全防护系统的厂家，本着进 不来、黑不掉、看不了、拿不走、逃不掉的五个安全原则，时刻保护客户的数 据、网络、应用、资产等维度的全面安全。 1.4 建设原则 为了达到国内领先的目标，该系统设计应该充分考虑系统的合理性、先进 50348-2004) 《电子计算机机房设计规范》(GB50174-93） 《建筑物防雷设计规范》(GB50057-94) 《建筑物电子信息系统防雷技术规范》(GB50343-2004) 《安全防范系统雷电浪涌防护技术要求》(GA/T670-2006) 《民用建筑电气设计规范》(JGJ/T16-92) 《安全防范系统验收规则》（GA308/2001） 《中国电气装置安装工程施工及验收规范》（GBJ232-90

景下的算 力性能行业领先，满足了用户对极致算力的追求。 2、安全可靠自主可控：基于国产鲲鹏处理器底座，处理器通过严苛的安全可靠测评，结合故障核在 线隔离与提前预测等技术，构建了全方位的安全可靠防护体系，确保数据安全与业务连续性，树立了AI算 力平台安全可靠的新标杆。 3、高效存储与网络配置：内置M.2 SSD，节省硬盘槽位空间；灵活配置10G/25G网卡及RAID卡，实 现了网络传输与 务数据的融合处理与分析能 力，支持大规模数据挖掘与智能决策，助力政府提升治理效能和服务水平。其高效存储与网络配置，确 保了政务数据的快速流通与共享，促进了政府各部门间的协同工作。此外，严格的安全防护体系为政务 数据筑起了坚实的防线，保障了政府服务的稳定性和公信力。 3、运营商业务场景：运营商网络环境具有网络规模庞大、多层次网络结构、多样化的业务承载等特 征，形成了复杂网络环境，同时有极高的高并发需求。HuaKun 发展实现了重要 新突破，极大提高了行业内存储安全水平，在国际处于领先水平。 传统的存储控制器芯片安全防护能力弱，极易被攻击或破坏。与传统的存储控制器芯片相比，本项 目芯片可实现更高性能的密码运算能力及更高级别芯片安全防护能力，进一步提高身份识别、数据传 输、数据存储等全链条数据安全防护。另外，本项目芯片通过集成多个应用接口，实现了传统的需要多 个芯片才能实现的功能，形成多芯片合一的超聚合

..............................................................................187 5.2.2.6、 威胁来源与安全防护的核心资源...................................................................187 5.2.3、 行政审批中心云安全建设方案.. ...............................................................................213 5.2.3.4.2、 应用攻击防护...........................................................................................218 5.2 .............................................................................923 15.7.6.2、 机房的静电及其防护解决方案......................................................................923 15.7.7、 等电位连接.......

信息系统 建设与安全建设的同步。系统建设过程中的安全方面主要包括系统 等级保护自定级、基础设施安全基本要求（含主机系统、网络环 55 企业数字化转型及企业数字化平台建设方案 境）、系统安全防护方案设计、安全测试方案、安全验收方案等方 面。 （3）运行维护：根据 XXXX 公司安全运维工作的现状，强化公 司 IT 资产管理，并重点加强安全监控和响应机制，安全日志审计与 分析机制，安全预警机制三方面的建设工作。 护、适度安全”的原则，依据信息系统等级定级结果，采用“二级系统 统一成域，三级系统独立分域”的方法划分安全域。公司外网划分为 外网应用系统域和外网办公终端域。各安全域采用符合等级保护要 求的技术措施进行防护。 （3）分层保护：对每个安全域内的信息系统，均按物理安全、 网络安全、主机安全、应用安全、数据安全等五层实施安全保护， 各层安全技术应与相应的安全管理措施相匹配。 3.3.1.4 网络安全指标体系 基础架构安全（网络安全、主机安全）、 虚拟化安全、数据安全、应用安全和安全管理等几个层面构建云平 台安全框架。 主要建设思路如下： 1) 以分区分域为基础构建安全防护架体系 严格遵从集团公司安全技术体系，通过细化安全分区和业务分 域，重构安全边界，缩小攻击面，提升基础防护。构建三级的安全 边界，适配云平台和 IT 建设的特点，包括：网络出口安全、安全域 改造、微隔离等内容。 2) 加强应用、数据和身份安全