三级等保所需设备及服务
三级等保对机房的要求
三级等保对机房的要求
三级等保对机房的要求包括以下几个方面:
1. 物理环境:机房应具备合理的布局和适宜的环境条件。
包括但不限于:合适的温度、湿度、洁净度、防静电、防震、防雷等。
2. 电力供应:机房应具备稳定可靠的电力供应系统,包括备用电源和自动切换设备,以确保在电力故障或停电时机房正常运行。
3. 消防安全:机房应配备火灾报警系统和灭火设备,同时应有防水和防涝措施。
4. 监控安全:机房应配备监控系统,对机房内部和周边环境进行实时监控,并保存监控记录。
5. 访问控制:机房应实施严格的访问控制措施,包括门禁系统、监控系统等,确保只有授权人员才能进入机房。
6. 防水防潮:机房应具备防水防潮措施,防止水汽和潮气对设备造成损害。
7. 防尘防鼠:机房应具备防尘防鼠措施,防止灰尘和鼠害对设备造成损害。
8. 设备安全:机房内应使用符合国家标准和规范的设备,包括服务器、网络设备、存储设备等。
9. 数据备份与恢复:机房应建立完善的数据备份与恢复机制,以应对可能的数据丢失或损坏。
10. 安全管理制度:机房应建立完善的安全管理制度,包括但不限于:安全检查制度、安全巡查制度、应急预案等。
总的来说,三级等保对机房的要求涉及到物理环境、电力供应、消防安全、监控安全、访问控制、防水防潮、防尘防鼠、设备安全、数据备份与恢复以及安全管理制度等方面。
三级等保所需设备及服务
三级等保所需设备及服务一、设备:1. 防火墙(Firewall):用于阻止非法访问信息系统,并进行入侵检测和防范。
2.IDS/IPS系统(入侵检测与防御系统):用于监控和检测系统中的入侵行为,并采取相应的防御措施。
3.安全硬件设备:如加密机、安全存储设备、虚拟专用网设备等,用于保障数据的加密和存储安全。
4.安全审计设备:用于对系统的安全事件进行审计和记录,以便追溯和防范安全威胁。
5.服务器设备:用于存储和处理大量的敏感数据,并提供相应的服务功能。
6.数据备份与恢复设备:用于保障数据的可靠备份和紧急恢复,以应对数据泄露或系统崩溃等情况。
二、服务:1.安全评估与测试服务:对信息系统进行安全评估和测试,发现潜在漏洞和安全风险,并提出相应的修补和改进建议。
2.漏洞管理服务:对系统进行漏洞扫描和漏洞管理,及时修复系统中的漏洞,防止黑客利用漏洞进行攻击。
3.安全运维服务:对信息系统进行安全运维和管理,包括安全事件响应、安全日志分析和异常流量检测等。
4.信息安全培训服务:对系统用户进行安全意识和操作培训,提高用户的信息安全意识和防范能力。
5.网络监控与安全响应服务:对网络流量进行监控和分析,及时发现异常流量和安全事件,并采取相应的安全响应措施。
6.安全策略制定与执行服务:制定系统的安全策略和规范,确保系统遵循相关的安全标准和规范,并实施相应的安全措施。
除了设备和服务之外,三级等保还涉及到一系列的技术措施和管理措施,如密码策略、访问控制、权限管理、数据备份和恢复方案等。
同时,还需要进行定期的风险评估和安全审计,及时发现和处理系统中的安全威胁,保障信息系统的安全性。
总之,三级等保所需的设备和服务是多方面的,包括硬件设备、软件服务和安全运维服务等,通过综合运用这些设备和服务,可以有效保障信息系统的安全性,防止信息泄露和黑客攻击。
等级保护三级(等保三级)基本要求
等级保护第三级基本要求实施建议残留问题1.1.1物理安全1.1.1.1物理位置的选择(G3)本项要求包括:a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
一般选择在建筑物2-3层。
(同B类安全机房的选址要求。
)1.1.1.2物理访问控制(G3)本项要求包括:a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
重要区域物理隔离,并安装电子门禁系统(北京天宇飞翔,深圳微耕,瑞士KABA或德国KABA Gallenschutz)1.1.1.3防盗窃和防破坏(G3)本项要求包括:a)应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;使用机柜并在设备上焊接铭牌,标明设备型号、负责保管人员、维护单位等信息。
(设备铭牌只能被破坏性地去除。
)c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)应利用光、电等技术设置机房防机房安装光电防盗报警系统。
盗报警系统;f)应对机房设置监控报警系统。
机房安装视频监控报警系统。
1.1.1.4防雷击(G3)本项要求包括:a)机房建筑应设置避雷装置;b)应设置防雷保安器,防止感应雷;安装电源三级防雷器和信号二级防雷器(美国克雷太ALLTEC)。
c)机房应设置交流电源地线。
1.1.1.5防火(G3)本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;安装有管网气体自动灭火系统。
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;进行机房改造,使用防火材料装修。
三级等保测评服务内容
三级等保测评服务内容
三级等保测评是指对信息系统的安全性进行评估和测试,以确定其是否符合国
家三级等级保护标准的要求。
在进行三级等保测评时,需要按照以下内容进行服务:
1.系统资产确认与分类:通过对信息系统中的各种资产进行确认和分类,包括
软件、硬件、网络设备、数据库等,以便全面评估其安全性。
2.安全策略与规划评估:对信息系统的安全策略和规划进行评估,包括密码策略、网络安全策略、应急响应计划等,以确保其与国家三级等保标准相符。
3.权限与访问控制评估:评估系统中的权限管理和访问控制机制,包括用户权
限分配、身份认证、访问控制列表等,以确保系统只被授权人员访问。
4.安全运维管理评估:对系统的安全运维管理进行评估,包括安全事件管理、
日志审计、漏洞管理等,以确保对系统进行有效的监控和管理。
5.物理环境评估:评估物理环境中的安全措施,包括设备布置、防火墙设置、
电力和环境监控等,以确保系统能在安全的物理环境下运行。
6.网络安全评估:评估系统的网络安全性,包括网络拓扑结构、入侵检测与防御、防火墙设置等,以确保系统在网络层面上的安全性。
7.安全培训与意识评估:评估系统用户的安全培训和安全意识程度,并提供相
应的培训和改进建议,以提高系统用户的安全防范意识。
以上是三级等保测评的主要服务内容,通过对系统的各个方面进行评估,可以
帮助企业或组织发现潜在的安全风险,并采取相应的措施进行改进和强化,以确保系统的安全性达到国家三级等级保护标准的要求。
二级等保三级等保所需设备
用情况; 2、应限制单个用户对系统资
运维管理系统
源的最大或最小使用限度;
3、应能够对系统的服务水平
降低到预先规定的最小值进行
检测和报警。
网络设备防护:
1、主要网络设备应对同一用
户选择两种或两种以上组合的
鉴别技术来进行身份鉴别;
18
无要求
2、 应采用两种或两种以上组 合的鉴别技术对管理用户进行
堡垒机+UKey认证
序号 1 2 3 4 5 6
7 8 9 10
11
二等级保护基本要求
三级等保基本要求
所需设备
物理访问控制:
物理访问控制:
1、重要区域应配置电子门禁 1、重要区域应配置电子门禁 系统,控制、鉴别和记录进入 系统,控制、鉴别和记录进入
电子门禁系统
的人员。
的人员。
防盗窃和防破坏:
防盗窃和防破坏:
主机房应安装必要的防盗报警 1、应利用光、电等技术设置
避免受到未预期的删除、修改
或覆盖等
14
安全审计(G3) 1、 审计范围应覆盖到服务器 和重要客户端上的每个操作系 统用户和数据库用户;
日志审计系统 日志服务器 数据库审计系统
2、 审计内容应包括重要用户
行为、系统资源的异常使用和
重要系统命令的使用等系统内
重要的安 全相关事件;3、
审计记录应包括事件的日期、
设施。
机房防盗报警系统;
机房防盗报警系统
2、 应对机房设置监控报警系
统。
防火:
防火:
1、机房应设置灭火设备和火 1、机房应设置灭火设备和火
灾自动报警系统。
灾自动报警系统。
灭火设备 火灾自动报警系统
等级保护三级(等保三级)基本要求内容
等级保护三级(等保三级)基本要求内容等级保护第三级基本要求1.1.1 物理安全1.1.1.1 物理位置的选择(G3)为确保物理安全,机房和办公场地应选择在具有防震、防风和防雨等能力的建筑。
机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.1.2 物理访问控制(G3)为确保物理安全,机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
机房划分区域应进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3)为确保物理安全,应将主要设备放置在机房。
设备或主要部件应进行固定,并设置明显的不易除去的标记。
通信线缆应铺设在隐蔽处,可铺设在地下或管道中。
介质应分类标识,存储在介质库或档案室中。
利用光、电等技术设置机房防盗报警系统,对机房设置监控报警系统。
1.1.1.4 防雷击(G3)为确保物理安全,机房建筑应设置避雷装置。
应设置防雷保安器,防止感应雷。
机房应设置交流电源地线,并安装电源三级防雷器和信号二级防雷器。
1.1.1.5 防火(G3)为确保物理安全,机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
机房应采取区域隔离防火措施。
1.1.1.6 防水和防潮(G3)为确保物理安全,水管安装不得穿过机房屋顶和活动地板下。
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
应采取措施防止机房水蒸气结露和地下积水的转移与渗透。
应安装机房动力环境监控系统,以便检测水敏感元件的运行情况。
网络高峰期时,重要业务的带宽优先得到保障;h)应定期对网络拓扑结构进行评估和调整。
确保网络结构的合理性和安全性。
1.1.2.2访问安全(G3)本项要求包括:a)应对网络进行访问控制,限制非授权人员的访问;b)应对所有访问进行身份验证和授权。
(完整版)等保2.0三级需要的设备
使用范围
基本要求
产品类型Байду номын сангаас例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制(权限分离)
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计
下一代防火墙、日志审计系统
入侵防范
主机配置项+IPS、安全感知平台、EDR、主机入侵检测产品(HIDS)
恶意代码防范
通讯传输
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理(网络、主机、应用)
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
运维堡垒主机、APM
集中管理
运维堡垒主机、主机安全管理平台、态势感知
主机安全组件(EDR)、网络版防病毒软件
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备
剩余信息保护
终端综合管理系统
个人信息保护
行为审计
安全区域边界
边界防护
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感知平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证
等保2.0三级需要的设备
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理(网络、主机、应用)
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
运维堡垒主机、APM
集中管理
运维堡垒主机、主机安全管理平台、态势感知
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证
重要应用程序的动态可信验证
安全通信网络
网络架构
下一代防火墙、负载均衡、上网行为管理
等保2.0三级需要的设备
三级系统安全保护环境基本要求与对应产品
使用范围
基本要求
产品类型举例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制(权限分离)
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计
下一代防火墙、日志审计系统
入侵防范
主机配置项+IPS、安全感知平台、EDR、主机入侵检测产品(HIDS)
恶意代码防范
主机安全组件(EDR)、网络版防病毒软件
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
14ห้องสมุดไป่ตู้
EMM
安全运行环境、代码审核、安全app加壳
15
网络加固
对网络设备身份鉴别、管理地址控制、密码复杂度、鉴别处理、加密传输等进行功能加固。
手工加固
是
人工配置,不需要加固
3主机安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
主机IPS软件或杀毒软件集成
特定进程、入侵行为监控和完整性检测
服务器
2
网络版防病毒软件
服务器
是
浪潮SSR或人工配置,不需设备
4数据安全部分
序号
设备或措施
功能
部署位置
是否
必须
备注
1
网络设备、服务器设备 备份
关键网络设备、通信线路和数据
处理系统的硬件冗余,保证系统 的可用性
是
可冷备
2
软硬件一体化备份容灾 设备
应能够对重要信息进行备份和恢 复
安全管理区
是
3
负载均衡设
备
要求双线路,负载均衡
边界区
等级
1物理安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
电子门禁
重要出入口(包括机房出入口和重要区域出入口等)
1、机房入口
2、重要服务器区入口
是
2
光电防盗报警
视频监控系统
防盗报警
机房窗户、入口等处
是
可通过监控弥补
3
防雷保安器
防感应雷
配电箱
是
4
自动消防系统
要求自动检测火情、自动报警、自动灭火
可以用手动灭火器加报警器组成
与防毒墙代码库相异;及时更新;支持统一管理
安全管理区
是
3
Web防火墙
防SQL注入、跨站攻击等
服务器前端
是
4
网页防篡改系统
篡改检测模块(数字水印技术和应用防护模块(防注入攻击),实现了对静态和动态网页和脚本的实时检测和恢复,
服务器区
6
漏洞扫描设备
通过漏洞扫描发现漏洞;通过终端安全分发补丁
核心交换区
7
堡垒机
1、网络边界
2、重要服务器区前端
是
2
流量控制设备
对网络流量进行监控,保障重要资源的优先访问
1、网络边界
3
流量清洗设备
防止DDos攻击
1、网络边界2、服务器前端
4
IT运维管理软件
对网络设备、服务器、数据库、应用等进行监控,包括监视CPU、硬盘、内存、网络资源的使用情况
安全管理区
是
5
日志审计系统
对网络设备、安全设备、操作系统的日志进行集中存储、分析
5
新风换气
防水防潮
6
动力环境监测系统-水敏感检测仪表
可人工检测
7
机房专用空调
防水防潮、温湿度控制
是
海洛斯、艾默生等
8
接地系统
防雷接地
是
9
UPS系统
不间断电源(UPS)
是
华为、APC、台达、山特等
2网络安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
应用级防火墙
访问控制:实现路由控制,数据流控制,控制粒度到端口级;实现应用层访问控制和过滤;控制空闲会话数、最大网络连接数等
1、核心交换区
2、网络边界
是
10
防毒墙
网络入口病毒检测、查杀
网络边界
是
11
VPN/VFW等
云接入身份认证、链路安全、虚拟服务器间访问控制
1、网络入口2、虚拟服务器
12
上网行为管理
网络出口处
是
13
集中管控平台
对网络设备、服务器、数据库、应用等进行监控,包括监视CPU、硬盘、内存、网络资源的使用情况
网络管理中心
安全管理区
是
6
网络审计系统
分析网络流量,排除网络故障
核心交换区
7
无线WIFI控制系统
支持多元化认证方式,如短信认证、二维码认证、微信认证等
核心交换区
8
终端安全管理系统(含准入硬件)
终端健康状态检查、终端准入控制、外设控制、终端非法外联控制
安全管理区
是
9
IDS系统
或IPS系统
无线IDS系统
网络攻击检测/报警:在网络边界处监视各种攻击行为
实现对网络设备、安全设备、服务器设备的远程集中管理、运维监控
核心交换区
8
数据库审计
实现对数据库的操作监控,语句回溯
服务器区或核心交换去
是
9
操作系统加固软件
底层操作系统加固、强制访问控制、剩余信息保护
服务器
10
操作系统加固软件及人工配置
控制重要文件权限;禁用或删除不需要的服务、共享等;限制或禁用默认/匿名用户,删除多余、过期及共享用户;用户权限设置;系统管理员不由数据库管理员兼任;特权用户权限分离;对重要信息设置敏感标识并控制访问权限;
5安全服务
序号
服务名称
功能
是否必须
备注
1
信息安全制度完善
完善信息安全管理制度,评审修订
是
2
安全检查
网络安全检查
是
3
安全培训
安全意识培训或安全技术培训
是
4
安全专家
应聘请信息安全专家作为常年的安全顾问,征询信息安全相关事宜
是