二三级等保所需设备
三级等保所需设备及服务
三级等保所需设备及服务一、设备:1. 防火墙(Firewall):用于阻止非法访问信息系统,并进行入侵检测和防范。
2.IDS/IPS系统(入侵检测与防御系统):用于监控和检测系统中的入侵行为,并采取相应的防御措施。
3.安全硬件设备:如加密机、安全存储设备、虚拟专用网设备等,用于保障数据的加密和存储安全。
4.安全审计设备:用于对系统的安全事件进行审计和记录,以便追溯和防范安全威胁。
5.服务器设备:用于存储和处理大量的敏感数据,并提供相应的服务功能。
6.数据备份与恢复设备:用于保障数据的可靠备份和紧急恢复,以应对数据泄露或系统崩溃等情况。
二、服务:1.安全评估与测试服务:对信息系统进行安全评估和测试,发现潜在漏洞和安全风险,并提出相应的修补和改进建议。
2.漏洞管理服务:对系统进行漏洞扫描和漏洞管理,及时修复系统中的漏洞,防止黑客利用漏洞进行攻击。
3.安全运维服务:对信息系统进行安全运维和管理,包括安全事件响应、安全日志分析和异常流量检测等。
4.信息安全培训服务:对系统用户进行安全意识和操作培训,提高用户的信息安全意识和防范能力。
5.网络监控与安全响应服务:对网络流量进行监控和分析,及时发现异常流量和安全事件,并采取相应的安全响应措施。
6.安全策略制定与执行服务:制定系统的安全策略和规范,确保系统遵循相关的安全标准和规范,并实施相应的安全措施。
除了设备和服务之外,三级等保还涉及到一系列的技术措施和管理措施,如密码策略、访问控制、权限管理、数据备份和恢复方案等。
同时,还需要进行定期的风险评估和安全审计,及时发现和处理系统中的安全威胁,保障信息系统的安全性。
总之,三级等保所需的设备和服务是多方面的,包括硬件设备、软件服务和安全运维服务等,通过综合运用这些设备和服务,可以有效保障信息系统的安全性,防止信息泄露和黑客攻击。
等保2.0-二、三级系统所需安全设备
一、等级保护二级系统(一)物理和环境安全层面安全措施需求如下:1、防盗报警系统2、灭火设备和火灾自动报警系统3、水敏感检测仪及漏水检测报警系统4、精密空调5、备用发电机(二)网络和通信安全及设备和计算安全层面需要部署的安全产品如下:1、防火墙或者入侵防御系统2、上网行为管理系统3、网络准入系统4、审计平台或者统一监控平台(可满足主机、网络和应用层面的监控需求,在条件不允许的情况下,至少要使用数据库审计)5、防病毒软件(三)应用及数据安全层面需要部署的安全产品如下:1、VPN2、网页防篡改系统(针对网站系统)3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。
二、等级保护三级系统(一)物理和环境安全层面安全措施需求如下:1、需要使用彩钢板、防火门等进行区域隔离2、视频监控系统3、防盗报警系统4、灭火设备和火灾自动报警系统5、水敏感检测仪及漏水检测报警系统6、精密空调7、除湿装置8、备用发电机9、电磁屏蔽柜(二)网络和通信安全及设备和计算安全层面需要部署的安全产品如下:1、入侵防御系统2、上网行为管理系统3、网络准入系统4、统一监控平台(可满足主机、网络和应用层面的监控需求)5、防病毒软件6、堡垒机7、防火墙8、审计平台(满足对操作系统、数据库、网络设备的审计,在条件不允许的情况下,至少要使用数据库审计)(三)应用及数据安全层面需要部署的安全产品如下:1、VPN2、网页防篡改系统(针对网站系统)3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)5、数据加密软件(满足加密存储,且加密算法需获得保密局认可)。
等保测试二级、三级设备清单
信息安全标准与规范
策略开发、制度规范 编写等
建立管理层和执行 层,确定人员、岗位 、职责
完善信息安全制度,形 成安全制度体系 加强安全制度贯彻的力 度,并进行相应的审核 增大信息安全管理制度 的覆盖面 对信息安全管理制度进 行体系化修订 落实信息安全组织,其 最高领导由单位主管领 导委任或授权 需要设立信息安全管理 工作的职能部门,设立 安全主管、安全管理各 个方面的负责人岗位, 并定义各负责人的职 建立信息安全审计队 伍,对信息安全进行定 期审计;
序号 2 3 1 3 4
序号
1
2
3
4
5
设备名称 堡垒机
数据库审计 防火墙
入侵检测系统 Web应用防火墙
设备名称
安全培训
安全管理体系建设
安全组织管理整改
等级保护自评与咨询
安全应急响应服务
部署位置
技术要求
一、等级保护设备清单(二级)
旁路
NABH7000-S5120
旁路
NDBA 7000-S7520
串联
东软FW5200
单价(列表价)
¥318,000.00 ¥650,000.00 ¥185,000.00 ¥248,000.00 ¥158,000.00
小计:
单价
2000元/人/天
应急预案演练及管理,
提供我院应急预案演练
工具,方式,配合我院
6
安全应急预案管理 信息安全事件处置 技术人员,基层操作
者,和领导进行实际的
应急预案演练,留存记
等级保护定级解决方案
等级保护评估解决方案
等级保护据定级解决 方案及自评汇报
信息安全事件处置
安全体系指标与规划方 案咨询解决方案 系统建设安全监理解决 方案 等级保护自评综合汇报 档案 明确xxxxxx需要应对的 主要突发信息安全事件 策略,建立xxxxxx信息 化应急指挥系统,制定 和完善各类应急预案, 提高快速反应能力。
等保安全设备推荐配置套餐
等保安全设备推荐配置套餐
本文主要内容:
•
三级等保安全设备推荐配置套餐•
•
二级等保安全设备推荐配置套餐•
01
三级等保安全设备推荐配置套餐
02
二级等保安全设备推荐配置套餐
03
推荐套餐后的话
套餐里一些内容可以根据单位的实际应用需求进行优先级调整,如网闸,如果单位有内外网数据交互的,完全可以放在基本配置套餐;如果是互联网用户,抗DDOS设备可以提前;如对链路链接要求高的可以将链路负载均衡放在优先级更高的套餐里去建设。
最后不得不等建议大家网络安全技术措施整改到位了,还要统筹考虑采购一定量的网络安全服务,这是对系统日常安全运维的一个有效补充。
在等保管理制度里有要求:我们要定期对系统风险进行评估,要对发现的漏洞及时进行加固,要有应急预案,但是这些我们可能做的都不到位,需要专业的安全服务公司通过安全服务形式把我们这块短板补齐。
总之,我们的安全整改方案是在等保测评后根据发现的实际问题并结合单位业务需求而制定出的一套适合自己的安全配置套餐。
网络安全建设是一个持续过程,网络安全工作从来都没有终点。
积跬步可以成千
里,但我们得一直在积,而不能坐以待毙,我们得增强网络安全防御能力和威慑能力。
二级等保与三级等保所需设备
b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
UPS
访冋控制(G2)
a) 应在网络边界部署访问控制设备,启用访问控制功能; b) 应能根据会话状态信息为数据流提供明硕的允许/拒绝访问的能力,控制粒度为网段级。 c) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户
物理访问控制
1、机房出入口应安排专人值守或配置电子门禁系统、控制、鉴别和记录进入的人员
1、机房出入口应安排专人值守或配置电子门禁系统、控制、鉴别和记录进入的人员
防盗窃和防破坏
1、应将设备或主要部件进行固定,并设置明显的不易除去的标识
1、应将设备或主要部件进行固定,并设置明显的不易除去的标识
2、应将通信线缆铺设在隐蔽安全处
所需设备
物理访问控制(G3)
d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
电子门禁系统
防盜窃和防磁坏(G3)
e) 应利用光、电等技术设置机房防盜报警系统; f) 应对机房设置监控报警系统。
机房防盗报警系统 监控报警系统
防火(G3)
a)机房应设置火灾自动消防系统,能够自动检检测火情、自动报警, 并自动灭火:
边界完整性栓查(S3)
a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定岀位置.并对其进行有效阻断; b) 应能够对内部网络用户私自联到外部网络的行为进行检査,准确 定出位置,并对其进行有效阻断
准入准岀设备
入侵防范(G3)
a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢岀攻击、IP碎片攻击和网络蠕虫攻击等; b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
(完整版)等保2.0三级需要的设备
使用范围
基本要求
产品类型Байду номын сангаас例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制(权限分离)
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计
下一代防火墙、日志审计系统
入侵防范
主机配置项+IPS、安全感知平台、EDR、主机入侵检测产品(HIDS)
恶意代码防范
通讯传输
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理(网络、主机、应用)
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
运维堡垒主机、APM
集中管理
运维堡垒主机、主机安全管理平台、态势感知
主机安全组件(EDR)、网络版防病毒软件
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备
剩余信息保护
终端综合管理系统
个人信息保护
行为审计
安全区域边界
边界防护
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感知平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证
等级保护2.0 建设(二,三级)需上的设备
等级保护2.0 建设(二,三级)需上的设备
信息安全等级保护二级:
一、机房方面的安全措施需求(二级标准)如下:
1、防盗报警系统
2、灭火设备和火灾自动报警系统
3、水敏感检测仪及漏水检测报警系统
4、精密空调
5、备用发电机
二、主机和网络安全层面需要部署的安全产品如下:
1、防火墙或者入侵防御系统
2、上网行为管理系统
3、网络准入系统
4、审计平台或者统一监控平台(可满足主机、网络和应用层面的监控需求,在条件不允许的情况下,至少要使用数据库审计)
5、防病毒软件
三、应用及数据安全层面需要部署的安全产品如下:
1、VPN
2、网页防篡改系统(针对网站系统)
3、数据异地备份存储设备
4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。
信息安全等级保护三级:
一、机房方面的安全措施需求(三级标准)如下:
1、需要使用彩钢板、防火门等进行区域隔离
2、视频监控系统
3、防盗报警系统
4、灭火设备和火灾自动报警系统
5、水敏感检测仪及漏水检测报警系统
6、精密空调
7、除湿装置
8、备用发电机
9、电磁屏蔽柜
二、主机和网络安全层面需要部署的安全产品如下:
1、入侵防御系统
2、上网行为管理系统
3、网络准入系统
4、统一监控平台(可满足主机、网络和应用层面的监控需求)
5、防病毒软件
6、堡垒机
7、防火墙
8、审计平台(满足对操作系统、数据库、网络设备的审计,在条件不允许的情况下,至少要使用数据库审计)
三、应用及数据安全层面需要部署的安全产品如下:。
等保建设(二,三级)需上的设备
信息安然等级呵护扶植(二,三级)需上的装备信息安然等级呵护二级:一.机房方面的安然措施需求(二级尺度)如下:1.防盗报警体系2.灭火装备和火警主动报警体系3.水迟钝检测仪及漏水检测报警体系4.周详空调5.备用发电机二.主机和收集安然层面须要安排的安然产品如下:1.防火墙或者入侵防御体系2.上彀行动治理体系3.收集准入体系4.审计平台或者同一监控平台(可知足主机.收集和运用层面的监控需求,在前提不许可的情形下,至少要运用数据库审计)5.防病毒软件三.运用及数据安然层面须要安排的安然产品如下:1.VPN2.网页防篡改体系(针对网站体系)3.数据异地备份存储装备4.重要收集装备.通讯线路和数据处理体系的硬件冗余(症结装备双机冗余).信息安然等级呵护三级一.机房方面的安然措施需求(三级尺度)如下:1.须要运用彩钢板.防火门等进行区域隔离2.视频监控体系3.防盗报警体系4.灭火装备和火警主动报警体系5.水迟钝检测仪及漏水检测报警体系6.周详空调7.除湿装配8.备用发电机9.电磁屏障柜二.主机和收集安然层面须要安排的安然产品如下:1.入侵防御体系2.上彀行动治理体系3.收集准入体系4.同一监控平台(可知足主机.收集和运用层面的监控需求)5.防病毒软件6.碉堡机7.防火墙8.审计平台(知足对操纵体系.数据库.收集装备的审计,在前提不许可的情形下,至少要运用数据库审计)三.运用及数据安然层面须要安排的安然产品如下:1.VPN2.网页防篡改体系(针对网站体系)3.数据异地备份存储装备4.重要收集装备.通讯线路和数据处理体系的硬件冗余(症结装备双机冗余).5.数据加密软件(知足加密存储,且加密算法需获得保密局承认。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
二级等保
序号建议功能或模块建议方案或产品重要程度
主要依据备注
安全层面二级分项二级测评指标权重
1边界防火墙非常重要网络安全访问控制(G2)a)应在网络边界部署访问控制设备,启用访问控制功能;
1 b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
1
2
入侵检测系统
(模块)非常重要网络安全入侵防范(G2)
应在网络边界处监视以下攻击行为:端口扫描、强
力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢
出攻击、IP碎片攻击和网络蠕虫攻击等
1
3
WEB应用防火墙(模
块)重要应用安全软件容错(A2)
a)应提供数据有效性检验功能,保证通过人机接口
输入或通过通信接口输入的数据格式或长度符合系
统设定要求;
1
部分老旧应用无相关校验功
能,可由WEB应用防火墙对应
用请求进行合法性过滤
4日志审计系统syslog服务器非常重要网络安全安全审计(G2)
a)应对网络系统中的网络设备运行状况、网络流量、
用户行为等进行日志记录;
1
b)审计记录应包括事件的日期和时间、用户、事件
类型、事件是否成功及其他与审计相关的信息。
0.5主机安全安全审计(G2)
c)应保护审计记录,避免受到未预期的删除、修改
或覆盖等。
0.5
5
运维审计系统
(堡垒机)一般网络安全网络设备防护(G2)
d)身份鉴别信息应具有不易被冒用的特点,口令应
有复杂度要求并定期更换;
1
部分网络设备不支持口令复杂
度策略与更换策略,需要第三
方运维管理工具实现。
6数据库审计重要主机安全安全审计(G2)
a)审计范围应覆盖到服务器上的每个操作系统用户
和数据库用户;
1
7终端管理软件
(补丁分发系
统)
重要
网络安全边界完整性检查(S2)
应能够对内部网络中出现的内部用户未通过准许私
自联到外部网络的行为进行检查。
1
通过终端管理软件限制终端多
网卡情况
主机安全入侵防范(G2)
操作系统应遵循最小安装的原则,仅安装需要的组
件和应用程序,并通过设置升级服务器等方式保持
系统补丁及时得到更新。
1
可通过终端管理软件统一分发
补丁
8企业版杀毒软件重要主机安全恶意代码防范(G2)a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库
1 b)应支持防恶意代码的统一管理。
1
9本地备份方案重要
数据管理
安全
备份和恢复(A2)a) 应能够对重要信息进行备份和恢复;0.5
三级等保
序号建议功能或模块建议方案或产品重要程度
主要依据备注
安全层面三级分项三级测评指标权重
1
边界防火墙与区域防火墙
(带宽管理模块)非常重要网络安全访问控制(G3)
a)应在网络边界部署访问控制设备,启用访问控
制功能;
0.5
b)应能根据会话状态信息为数据流提供明确的
允许/拒绝访问的能力,控制粒度为端口级;
1
网络安全结构安全(G3)f)应避免将重要网段部署在网络边界处且直接
连接外部信息系统,重要网段与其他网段之间采
取可靠的技术隔离手段;
0.5
g)应按照对业务服务的重要次序来指定带宽分
配优先级别,保证在网络发生拥堵的时候优先保
护重要主机。
0.5
2入侵防护系统非常重要网络安全入侵防范(G3)
a)应在网络边界处监视以下攻击行为:端口扫
描、强力攻击、木马后门攻击、拒绝服务攻击、
缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等
1
b)当检测到攻击行为时,记录攻击源IP、攻击类
型、攻击目的、攻击时间等,在发生严重入侵事
件时应提供报警,及时进行处置。
(落实)
0.5网络安全访问控制(G3)
c)应对进出网络的信息内容进行过滤,实现对应
用层HTTP、FTP、TELNET、SMTP、POP3等协议命
令级的控制;
1
3防病毒网关重要网络安全恶意代码防范(G3)
a)应在网络边界处对恶意代码进行检测和清除1
b)应维护恶意代码库的升级和检测系统的更新。
0.5
4
WEB应用防火墙
(或防篡改)重要
数据管理
安全
数据完整性(S3)
a)应能够检测到系统管理数据、鉴别信息和重
要业务数据在传输过程中完整性受到破坏,并在
检测到完整性错误时采取必要的恢复措施;
0.2协议校验、防篡改等功能
应用安全软件容错(A3)
a)应提供数据有效性检验功能,保证通过人机
接口输入或通过通信接口输入的数据格式或长
度符合系统设定要求;
1
部分老旧应用无相关校验功
能,可由WEB应用防火墙对
应用请求进行合法性过滤
5
终端管理软件
(补丁分发系统)重要
网络安全边界完整性检查(S3)
b)应能够对内部网络用户私自联到外部网络的
行为进行检查,准确定出位置,并对其进行有效
阻断。
1
通过终端管理软件限制终端
多网卡情况主机安全入侵防范(G3)
c)操作系统应遵循最小安装的原则,仅安装需要
的组件和应用程序,并通过设置升级服务器等方
式保持系统补丁及时得到更新。
0.5
可通过终端管理软件统一分
发补丁
6企业版杀毒软件非常重要主机安全恶意代码防范(G3)a)应安装防恶意代码软件,并及时更新防恶意代
码软件版本和恶意代码库;
1 b)主机防恶意代码产品应具有与网络防恶意代
码产品不同的恶意代码库;
0.5
c)应支持防恶意代码的统一管理。
0.5
7网络准入系统重要网络安全边界完整性检查(S3)a)应能够对非授权设备私自联到内部网络的行
为进行检查,准确定出位置,并对其进行有效阻断;
1
8日志审计系统非常重要网络安全安全审计(G3)
a)应对网络系统中的网络设备运行状况、网络流
量、用户行为等进行日志记录;
1
b)审计记录应包括事件的日期和时间、用户、事
件类型、事件是否成功及其他与审计相关的信
息。
0.5
c)应能够根据记录数据进行分析,并生成审计报
表;
1
d)应对审计记录进行保护,避免受到未预期的删
除、修改或覆盖等
0.5主机安全安全审计(G3)e)应保护审计进程,避免受到未预期的中断;0.5
9数据库审计重要主机安全安全审计(G3)
a)审计范围应覆盖到服务器和重要客户端上的
每个操作系统用户和数据库用户;
1
10运维审计系统(堡垒机)重要网络安全网络设备防护(G3)
d)主要网络设备应对同一用户选择两种或两种
以上组合的鉴别技术来进行身份鉴别;
1
部分网络设备不支持双因子
认证、口令复杂度策略与更
换策略,需要第三方运维管
理工具实现。
e)身份鉴别信息应具有不易被冒用的特点,口令
应有复杂度要求并定期更换;
1
主机安全访问控制(S3)
b)应根据管理用户的角色分配权限,实现管理用
户的权限分离,仅授予管理用户所需的最小权
限;
0.5
11网络管理系统重要主机安全资源控制(A3)c)应对重要服务器进行监视,包括监视服务器的
CPU、硬盘、内存、网络等资源的使用情况;
0.5
通过SNMP等协议统一监控
各层面设备资源的系统e)应能够对系统的服务水平降低到预先规定的
最小值进行检测和报警。
0.2
12异地备份方案重要
数据管理
安全备份和恢复(A3)
a)应提供本地数据备份与恢复功能,完全数据备
份至少每天一次,备份介质场外存放;
0.5
b)应提供异地实时备份功能,利用通信网络将
数据实时备份至灾难备份中心
0.5。