等保三级推荐的产品清单

SSL VPN
安全网络域
1台
提供完整的SSL VPN服务。远程用户只需应用标准IE浏览器即可登陆网关，通过身份鉴别，在基于角色的策略控制下实现对企业内部资源的存取访问
WEB防火墙
外部应用域
2台
主要防护各区域与服务器区访问控制策略，隔离内网关键业务系统
WEB防篡改
外部应用域
1台
部署WEB防篡改系统，即WEB应用防护系统服务器，该服务器能沟通过后台备份、实时扫描等技术，实现对WEB文件内容的实时监控，发现问题时能实时恢复，有效地保证了WEB文件的安全性和真实性
服务器
数据服务域
内部应用域
/
部署多台服务器进行设备冗余，有效保障业务连续性
汇聚交换机
外部应用域
数据服务域
内部应用域
安全管理域
8台
汇聚交换机用于连接网络中的其它交换机或者为带宽占用量大的关键服务器提供附加带宽以及VLAN划分。
网络行为审计
安全网络域
1台
收集计算环境产生的日志信息，包括各类业务服务的操作系统和应用系统，数据库服务以及部分网络设备和安全设备
磁盘阵列
数据服务域
1台
部署磁盘阵列保障数据的完整性
数据库审计系统
数据服务域
1台
对流经核心处理区的所有数据库操作信息进行审计，通过记录、分析所有数据库的操作、应用信息，及时有效分析数据库系统发生的安全事件
身份认证管理系统
安全管理域
1套
采用数字证书认证有效保障业务数据的完整性、可靠性，防止关键业务数据被篡改
防火墙
安全网络域
2台
部署防火墙进行设备冗余，极大地提高内部网络的安全性，并通过过滤不安全的服务而降低风险。有效进行网络访问控制

三级等保推荐的产品清单，请参考。
序号
产品名称
对应等保安全项
1
异常流量管理（抗DDOS）
网络安全-访问控制；网络安全-结构安全。
2
防火墙
网络安全-访问控制；主机安全-访问控制；应用安全-访问控制；
3
入侵防御
网络安全-入侵防护、恶意代码防范。
4
防病毒网关
网络安全-恶意代码防范。
5
入侵检测选型
网络安全-入侵防护、恶意代码防范。
6
应用监控系统
网络安全-安全审计；主机安全-安全审计；应用安全-安全审计；数据安全-数据完整性；
7
内网安全管理系统
网络安全-边界完整性检查；网络安全-安全审计；
8
网络版杀毒软件
主机安全-恶意代码防护。
9
WEB安全防护系统
主机安全-恶意代码防护。
10
网页防篡改系统
主机安全-恶意代码防护。
11
数据库审计
主机安全-安全审计；应用安全-安全审计。
12
运维管理堡垒机
网络安全-网络设备防护；数据安全-数据完整性。
13
日志审计
网络安全-安全审计；应用安全-安全审计。
14
CA认证系统
应用安全-抗抵赖、身份鉴别。
15
Web应用检测系统
网络安全-访问控制；主机安全-访问控制；应用安全-访问控制；
16
漏扫扫描系统
安全管理机构-审核和检查；系统运维管理-网络安全管理、系统安全管理；定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补。
19
网闸
网络安全-访问控制；主机安全-访问控制；应用安全-访问控制；
20

控制点
身份鉴别
物理和环境安全
电子门禁记录数据完 整性
视频记录数据完整性
第三级 应 应
应
密码模块实现
宜
网络和通信安全 设备和计算安全
身份鉴别
应
访问控制信息完整性
应
通信数据完整性
应
通信数据机密性
应
集中管理通道安全
应
密码模块实现
宜
身份鉴别
应
访问控制信息完整性
应
敏感标记的完整性
应
日志记录完整性
应
远程管理身份鉴别信 息机密性
签名验签服务器 智能密码钥匙 （USBKEY） 电子签章服务器 国密数字证书 服务器密码机 协同签名系统 时间戳服务器
h) 应采用密码技术对重要应用程序的加载和卸载进行安全控制；
i) 宜采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核 准的硬件密码产品实现密码运算和密钥管理。
对应产品名称
国密电子门禁系统 国密视频监控摄像机
SSL VPN安全网关 国密浏览器 国密数字证书 国密堡垒机 智能密码钥匙 服务器密码机
c) 应使用密码技术的完整性功能来保证系统资源访问控制信息的完整性；
d) 应使用密码技术的完整性功能来保证重要信息资源敏感标记的完整性；
e) 应采用可信计算技术建立从系统到应用的信任链，实现系统运行过程中重 要程序或文件完整性保护；
f) 应使用密码技术的完整性功能来对日志记录进行完整性保护；
g) 宜采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核 准的硬件密码产品实现密码运算和密钥管理。 a) 应使用密码技术对登录的用户进行身份标识和鉴别，实现身份鉴别信息的 防截获、防假冒和防重用，保证应用系统用户身份的真实性； b) 应使用密码技术的完整性功能来保证业务应用系统访问控制策略、数据库 表访问控制信息和重要信息资源敏感标记等信息的完整性； c) 应采用密码技术保证重要数据在传输过程中的机密性，包括但不限于鉴别 数据、重要业务数据和重要用户信息等； e) 应采用密码技术保证重要数据在传输过程中的完整性，包括但不限于 鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重 要d)用应户采信用息密等码；技术保证重要数据在存储过程中的机密性，包括但不限于鉴别 数据、重要业务数据和重要用户信息等； f) 应采用密码技术保证重要数据在存储过程中的完整性，包括但不限于 鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重 要g)用应户使信用息密、码重技要术可的执完行整程性序功等能；来实现对日志记录完整性的保护；

b）应设置防雷保安器，防止感应雷；
防雷保安器
7。1。1.5防火(G3)
a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警,并自动灭火
火灾自动消防系统
7。1。1.6防水和防潮（G3）
d)应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。
水敏感的检测仪表
7.1.1。7防静电（G3)
b)机房应采用防静电地板。
流控系统
7。1。5数据安全及备份恢复
7.1。5。1数据完整性（S3）
应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施；
7。2管理要求
……………………。
…………………….
认证准入系统
7.1。3。3安全审计(G3）
a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；
审计系统
网管系统
7.1。3.4剩余信息保护(S3）
a）应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
数据备份
7.1。3。5入侵防范（G3）
a)应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警;
入侵防御系统
安全软件
7。1。3。6恶意代码防范(G3）
a)应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；
安全软件
a）应在网络边界处对恶意代码进行检测和清除;
入侵防御系统
7。1.2。7网络设备防护（G3）
a)应对登录网络设备的用户进行身份鉴别

信息安全标准与规范
策略开发、制度规范 编写等
建立管理层和执行 层，确定人员、岗位 、职责
完善信息安全制度，形 成安全制度体系 加强安全制度贯彻的力 度，并进行相应的审核 增大信息安全管理制度 的覆盖面 对信息安全管理制度进 行体系化修订 落实信息安全组织，其 最高领导由单位主管领 导委任或授权 需要设立信息安全管理 工作的职能部门，设立 安全主管、安全管理各 个方面的负责人岗位， 并定义各负责人的职 建立信息安全审计队 伍，对信息安全进行定 期审计；
序号 2 3 1 3 4
序号
1
2
3
4
5
设备名称 堡垒机
数据库审计 防火墙
入侵检测系统 Web应用防火墙
设备名称
安全培训
安全管理体系建设
安全组织管理整改
等级保护自评与咨询
安全应急响应服务
部署位置
技术要求
一、等级保护设备清单（二级）
旁路
NABH7000-S5120
旁路
NDBA 7000-S7520
串联
东软FW5200
单价（列表价）
¥318,000.00 ¥650,000.00 ¥185,000.00 ¥248,000.00 ¥158,000.00
小计：
单价
2000元/人/天
应急预案演练及管理，
提供我院应急预案演练
工具，方式，配合我院
6
安全应急预案管理 信息安全事件处置 技术人员，基层操作
者，和领导进行实际的
应急预案演练，留存记
等级保护定级解决方案
等级保护评估解决方案
等级保护据定级解决 方案及自评汇报
信息安全事件处置
安全体系指标与规划方 案咨询解决方案 系统建设安全监理解决 方案 等级保护自评综合汇报 档案 明确xxxxxx需要应对的 主要突发信息安全事件 策略，建立xxxxxx信息 化应急指挥系统，制定 和完善各类应急预案， 提高快速反应能力。

三级系统安全保护环境基本要求与对应产品
使用范围
基本要求
产品类型Байду номын сангаас例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制（权限分离）
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计
下一代防火墙、日志审计系统
入侵防范
主机配置项+IPS、安全感知平台、EDR、主机入侵检测产品（HIDS）
恶意代码防范
通讯传输
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理（网络、主机、应用）
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
运维堡垒主机、APM
集中管理
运维堡垒主机、主机安全管理平台、态势感知
主机安全组件（EDR）、网络版防病毒软件
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备
剩余信息保护
终端综合管理系统
个人信息保护
行为审计
安全区域边界
边界防护
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感知平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证

通讯传输
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理（网络、主机、应用）
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
运维堡垒主机、APM
集中管理
运维堡垒主机、主机安全管理平台、态势感知
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证
重要应用程序的动态可信验证
安全通信网络
网络架构
下一代防火墙、负载均衡、上网行为管理
等保2.0三级需要的设备
三级系统安全保护环境基本要求与对应产品
使用范围
基本要求
产品类型举例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制（权限分离）
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计
下一代防火墙、日志审计系统
入侵防范
主机配置项+IPS、安全感知平台、EDR、主机入侵检测产品（HIDS）
恶意代码防范
主机安全组件（EDR）、网络版防病毒软件
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备