等级保护2.0第三级数据中心安全审计设备类安全防护产品功能

等级保护2.0第二级数据中心安全防护产品性能指标参考一、防火墙类1、WEB防火墙（推荐要求）WEB 网站访问防护专用安全设备，具备WEB 访问控制、WEB 网络数据分析等基本功能。

具备对SQL 注入、跨站、扫描器扫描、信息泄露、文件传输攻击、操作系统命令注入、目录遍历、异常发现、webshell 攻击检测、盗链行为、拒绝服务攻击防护、网页防篡改、身份认证、日志审计等14 项安全功能。

2、数据库防火墙（推荐要求）数据库访问控制和安全审计专用设备。

①具备数据库审计、数据库访问控制、数据库访问检测与过滤、数据库服务发现、脱敏数据发现、数据库状态和性能监控、数据库管理员特权管控等功能。

②支持桥接、网关和混合接入方式，基于安全等级标记的访问控制策略和双机热备功能，保障连续服务能力。

3、网络防火墙（必须具备其中3 项功能、支持3 种访问控制类型）网络边界防护和访问控制的专用设备。

①具备访问控制、入侵防御、病毒防御、应用识别、WEB 防护、负载均衡、流量管控、身份认证、数据防泄露等9 项功能。

②支持区域访问控制、数据包访问控制（例如基于IP、端口、网络协议访问的数据包）、会话访问控制、信息内容过滤访问控制、应用识别访问控制等5 种访问控制类型。

二、安全审计设备类1、网络安全审计（必须满足全部要求）记录网络行为并进行审计和异常行为发现的专用安全设备。

①对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

②审计记录包括事件的时间和日期、用户、事件类型、事件是否成功及其它与审计相关的信息。

③能够对记录数据进行分析，生成审计报表。

2、数据库审计（必须满足全部要求）监控数据库系统的用户操作日志、数据库活动、预警的专用设备。

①具备数据库操作记录的查询、保护、备份、分析、审计、实时监控、风险报警和操作过程回放等功能。

②支持监控中心报警、短信报警、邮件报警、Syslog报警等报警方式。

3、运维审计（必须满足全部要求）数据中心运维操作审计及预警的专用设备。

网络安全等级保护（等保2.0）3级建设内容设计方案一、物理环境安全设计机房与配套设备安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境，并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。

1.1.物理位置的选择在机房位置选择上，应选择的场地具有防震、防风和防雨等能力建筑内，同时尽量避免设在建筑物的顶层或地下室以保证机房的防水防潮效果，确保机房的选择合理合规。

在UPS电池按放的位置选择要考虑到楼板的承重等因素。

1.2.物理访问控制对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；进入机房的来访人员须经过申请和审批流程，并限制和监控其活动范围，同时在机房的各出入口出配置配置电子门禁系统和视频监控系统，通过开关门记录和视频来控制、鉴别和记录机房进入的人员相关信息。

1.3.防盗窃和防破坏在防盗窃和防破坏方面，对设备或主要部件进行固定，并设置明显的不易除去的标记。

在强弱电铺设方面尽量进行隐蔽布设。

为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。

此外，必须制定严格的出入管理制度和环境监控制度，以保障区域监控系统和环境监控系统的有效运行。

对介质进行分类标识，存储在介质库或档案室中。

利用光、电等技术设置机房防盗报警系统；对机房设置监控报警系统。

1.4.防雷击严格按照国家的相关的标准将各类机柜、设施和设备等通过接地系统安全接地。

同时在配电方面设置相应的防雷保安器或过压保护装置等。

1.5.防火合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。

房间装修必需使用阻燃材料，耐火等级符合国家相关标准规定，同时设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；1.6.防水和防潮在机房建设阶段，对机房窗户、屋顶和墙壁进行处理，防止液体渗透。

等级保护2.0 三级概述等级保护2.0（等保2.0）是我国信息安全保障的基本制度，其三级标准是在法律法规的基础上，对信息系统安全、物理和环境安全、网络通信安全、设备和计算安全、应用和数据安全、安全管理、评估与审计、应急响应等方面提出的具体要求。

1. 法律法规基础：等保2.0三级依据国家法律法规和标准，对信息系统的合规性进行严格要求，确保信息系统符合法律法规的要求。

2. 信息系统安全：等保2.0三级对信息系统的安全性提出更高要求，包括信息的保密性、完整性和可用性等。

3. 物理和环境安全：等保2.0三级强调物理和环境安全，对物理访问控制、物理安全监测等提出具体要求。

4. 网络通信安全：等保2.0三级在网络通信安全方面要求建立完善的网络安全体系，包括网络隔离、入侵检测、漏洞扫描等。

5. 设备和计算安全：等保2.0三级对设备和计算安全提出要求，包括防病毒、身份认证、访问控制等。

6. 应用和数据安全：等保2.0三级要求应用和数据安全得到保障，包括数据加密、数据备份等。

7. 安全管理：等保2.0三级强调安全管理，要求建立完善的安全管理体系，包括安全组织、安全策略、安全制度等。

8. 评估与审计：等保2.0三级要求对信息系统进行定期的评估和审计，确保信息系统的安全性。

9. 应急响应：等保2.0三级要求建立完善的应急响应机制，包括应急预案、应急演练等。

10. 技术要求符合性验证：等保2.0三级还要求对各项安全技术要求进行符合性验证，确保各项安全措施的有效性。

11. 人员安全：等保2.0三级强调人员安全的重要性，包括对员工的安全培训、岗位管理以及权限管理等方面提出了具体要求。

12. 供应链安全：等保2.0三级要求对供应链安全进行管理，包括对供应商的评估、管理以及控制等方面提出了具体要求。

通过满足等级保护2.0三级的要求，组织可以有效地提高信息系统的安全防护能力，减少安全风险，保障业务的正常运行。

等级保护2.0第三级数据中心入侵防范设备类安全防护产品功能指标参考1、入侵防御设备（至少具备4 项功能、支持3 种入侵防御技术、支持2 种抗拒绝服务技术。

）对网络数据流量进行深度检测、实时分析，并对网络中的攻击行为进行主动防御的专用设备。

①具备深层检测、内容识别、即时侦测、主动防御、无线攻击防御、抗拒绝服务、日志审计、身份认证等9项功能。

②支持攻击行为记录（包括攻击源IP、攻击类型、攻击目的、攻击时间等）、协议分析、模式识别、异常流量监视、统计阀值、实时阻断攻击等6 种入侵防御技术。

③支持流量检测与清洗（流量型DDoS 攻击防御、应用型DDoS 攻击防御、DoS 攻击防御、非法协议攻击防御、常用攻击工具防御等）、流量牵引和回注等2 种抗拒绝服务技术。

2、入侵检测设备（满足其中三级要求）通过对网络上的数据包作为数据源，监听所保护网络内的所有数据包并进行分析，从而发现异常行为的入侵检测系统。

参照《信息安全技术网络入侵检测系统技术要求和测评方法》[GBT20275-2013]将网络入侵检测系统技术要求分为一级、二级、三级。

3、网络准入控制设备（推荐要求）屏蔽不安全的设备和人员接入网络，规范用户接入网络行为的专用设备。

①具备网络准入身份认证、合规性健康检查、终端接入管理（包括：PC、移动终端等）、用户管理、准入规则管理、高可用性、日志审计等7 项功能。

②支持pap、chap、md5、tls、peap 等5 种网络准入身份认证方法。

4、防病毒网关设备（至少具备5 项功能。

支持4 种病毒过滤方法。

）病毒防御网关化的专业设备。

①具备病毒过滤、内容过滤、反垃圾邮件、日志审计、身份认证、高可用等6 项功能。

②支持流杀毒、文件型杀毒、常用协议端口病毒扫描、IPv4和IPv6 双协议栈的病毒过滤、病毒隔离等5 种病毒过滤方法。

5、网络安全入侵防范（推荐要求）①在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；②当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

等级保护2.0第三级终端安全终端安全管理系统类安全防护产品功
能指标参考
1、桌面终端安全管理（至少具备5 项功能、支持3 种连接方式管理）
用于满足终端各种安全管理和合规性需求的终端安全管理软件。

①具备即时通讯管理、非授权外连管理、软件分发、打印管理、
文件操作行为管理、补丁管理、移动介质管理、主机监控与审计、
上网行为控制与审计、敏感字审计、远程协助等11 项功能。

②支持对双网卡、WIFI、3G、蓝牙、红外等5 种违规连接
方式进行监测、审计和阻断。

2、移动终端安全管理（至少具备4 项功能、支持2 种操作系统类型）
支持组织内部移动业务终端安全防护的管理系统。

①具备移动身份管理、移动应用管理、移动内容管理、移动策略管理、移动设备管理等5 项功能。

②支持主流移动操作系统。

3、移动存储介质管理（至少具备4 项功能、支持4 种存储介质管理、支持3 种管理规则、支持4 种管理策略）
解决组织内部移动存储介质非法滥用造成信息泄露安全问题的专用管理设备。

①具备移动存储介质注册管理、接入控制、访问权限控制、安全审计等4 项功能。

②支持移动硬盘、闪存、U 盘、储存卡等4 种移动存储介质的管理。

③支持预置策略、自定义策略、预置标签及自定义
标签等4 种管理规则。

④支持内部低密、内部普密、内置高密、外部应用审计、外部文档审计、外部无审计等6 种预置管理策略和预置标签管理策略。

等级保护2.0第三级容灾备份备用网络灾备类安全防护产品功能指标参考
1、备用网络链路（满足全部要求）
提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。

①主机房和备用机房各需要1 条内部网络备用链路。

②支持冗余技术设计网络拓扑结构，避免关键节点存在单点故
障。

③支持全冗余技术设计网络拓扑结构，保证系统的高可用性。

2、备用网络设备（至少具备3 项冗余部件，核心交换机具备足够的
千兆光电网口和万兆光电网口）
路由器、防火墙、交换机、负载均衡等设备需要具备冗余电源、冗余接口、冗余风扇等3 项部件。

3、
4、。

等级保护2.0第三级数据中心访问控制系统安全防护产品功能指标参考
1、上网行为管理（至少具备6 项功能、支持2 种身份管理方式、
外发内容管理支持3 项操作）
用于组织内部互联网的安全管理。

①具备上网人员管理、上网浏览管理、上网外发管理、上网应
用管理、上网流量管理、上网行为分析、上网隐私保护、风险集中告警等8 项功能。

②支持IP/MAC 识别方式、用户名/密码认证方式、与已有认
证系统的联合单点登录方式等3 种上网人员身份管理方式。

③支持对主流即时通讯软件外发内容的关键字识别、记录、阻
断等3 项操作。

2、虚拟化安全防护（推荐要求）
提供虚拟化网络边界防护的专用软件防火墙。

①具备访问控制、入侵防范、病毒过滤、应用识别、抗拒绝服
务、网络防护、日志审计、身份认证等8 项功能。

②支持网络访问控制、权限控制、目录级安全控制、属性安全
控制、服务器安全控制等5 种访问控制方法。