完整版三级等保所需设备及服务
等保三级设备清单
安全网络域
1台
提供完整的SSL VPN服务。远程用户只需应用标准IE浏览器即可登陆网关,通过身份鉴别,在基于角色的策略控制下实现对企业内部资源的存取访问
WEB防火墙
外部应用域
2台
主要防护各区域与服务器区访问控制策略,隔离内网关键业务系统
WEB防篡改
外部应用域
1台
部署WEB防篡改系统,即WEB应用防护系统服务器,该服务器能沟通过后台备份、实时扫描等技术,实现对WEB文件内容的实时监控,发现问题时能实时恢复,有效地保证了WEB文件的安全性和真实性
服务器
数据服务域
内部应用域
/
部署多台服务器进行设备冗余,有效保障业务连续性
汇聚交换机
外部应用域
数据服务域
内部应用域
安全管理域
8台
汇聚交换机用于连接网络中的其它交换机或者为带宽占用量大的关键服务器提供附加带宽以及VLAN划分。
网络行为审计
安全网络域
1台
收集计算环境产生的日志信息,包括各类业务服务的操作系统和应用系统,数据库服务以及部分网络设备和安全设备
磁盘阵列
数据服务域
1台
部署磁盘阵列保障数据的完整性
数据库审计系统
数据服务域
1台
对流经核心处理区的所有数据库操作信息进行审计,通过记录、分析所有数据库的操作、应用信息,及时有效分析数据库系统发生的安全事件
身份认证管理系统
安全管理域
1套
采用数字证书认证有效保障业务数据的完整性、可靠性,防止关键业务数据被篡改
防火墙
安全网络域
2台
部署防火墙进行设备冗余,极大地提高内部网络的安全性,并通过过滤不安全的服务而降低风险。有效进行网络访问控制
三级等保测评服务内容
三级等保测评服务内容
三级等保测评是指对信息系统的安全性进行评估和测试,以确定其是否符合国
家三级等级保护标准的要求。
在进行三级等保测评时,需要按照以下内容进行服务:
1.系统资产确认与分类:通过对信息系统中的各种资产进行确认和分类,包括
软件、硬件、网络设备、数据库等,以便全面评估其安全性。
2.安全策略与规划评估:对信息系统的安全策略和规划进行评估,包括密码策略、网络安全策略、应急响应计划等,以确保其与国家三级等保标准相符。
3.权限与访问控制评估:评估系统中的权限管理和访问控制机制,包括用户权
限分配、身份认证、访问控制列表等,以确保系统只被授权人员访问。
4.安全运维管理评估:对系统的安全运维管理进行评估,包括安全事件管理、
日志审计、漏洞管理等,以确保对系统进行有效的监控和管理。
5.物理环境评估:评估物理环境中的安全措施,包括设备布置、防火墙设置、
电力和环境监控等,以确保系统能在安全的物理环境下运行。
6.网络安全评估:评估系统的网络安全性,包括网络拓扑结构、入侵检测与防御、防火墙设置等,以确保系统在网络层面上的安全性。
7.安全培训与意识评估:评估系统用户的安全培训和安全意识程度,并提供相
应的培训和改进建议,以提高系统用户的安全防范意识。
以上是三级等保测评的主要服务内容,通过对系统的各个方面进行评估,可以
帮助企业或组织发现潜在的安全风险,并采取相应的措施进行改进和强化,以确保系统的安全性达到国家三级等级保护标准的要求。
二级等保三级等保所需设备
用情况; 2、应限制单个用户对系统资
运维管理系统
源的最大或最小使用限度;
3、应能够对系统的服务水平
降低到预先规定的最小值进行
检测和报警。
网络设备防护:
1、主要网络设备应对同一用
户选择两种或两种以上组合的
鉴别技术来进行身份鉴别;
18
无要求
2、 应采用两种或两种以上组 合的鉴别技术对管理用户进行
堡垒机+UKey认证
序号 1 2 3 4 5 6
7 8 9 10
11
二等级保护基本要求
三级等保基本要求
所需设备
物理访问控制:
物理访问控制:
1、重要区域应配置电子门禁 1、重要区域应配置电子门禁 系统,控制、鉴别和记录进入 系统,控制、鉴别和记录进入
电子门禁系统
的人员。
的人员。
防盗窃和防破坏:
防盗窃和防破坏:
主机房应安装必要的防盗报警 1、应利用光、电等技术设置
避免受到未预期的删除、修改
或覆盖等
14
安全审计(G3) 1、 审计范围应覆盖到服务器 和重要客户端上的每个操作系 统用户和数据库用户;
日志审计系统 日志服务器 数据库审计系统
2、 审计内容应包括重要用户
行为、系统资源的异常使用和
重要系统命令的使用等系统内
重要的安 全相关事件;3、
审计记录应包括事件的日期、
设施。
机房防盗报警系统;
机房防盗报警系统
2、 应对机房设置监控报警系
统。
防火:
防火:
1、机房应设置灭火设备和火 1、机房应设置灭火设备和火
灾自动报警系统。
灾自动报警系统。
灭火设备 火灾自动报警系统
等级保护三级(等保三级)基本要求内容
等级保护三级(等保三级)基本要求内容等级保护第三级基本要求1.1.1 物理安全1.1.1.1 物理位置的选择(G3)为确保物理安全,机房和办公场地应选择在具有防震、防风和防雨等能力的建筑。
机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.1.2 物理访问控制(G3)为确保物理安全,机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
机房划分区域应进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3)为确保物理安全,应将主要设备放置在机房。
设备或主要部件应进行固定,并设置明显的不易除去的标记。
通信线缆应铺设在隐蔽处,可铺设在地下或管道中。
介质应分类标识,存储在介质库或档案室中。
利用光、电等技术设置机房防盗报警系统,对机房设置监控报警系统。
1.1.1.4 防雷击(G3)为确保物理安全,机房建筑应设置避雷装置。
应设置防雷保安器,防止感应雷。
机房应设置交流电源地线,并安装电源三级防雷器和信号二级防雷器。
1.1.1.5 防火(G3)为确保物理安全,机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
机房应采取区域隔离防火措施。
1.1.1.6 防水和防潮(G3)为确保物理安全,水管安装不得穿过机房屋顶和活动地板下。
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
应采取措施防止机房水蒸气结露和地下积水的转移与渗透。
应安装机房动力环境监控系统,以便检测水敏感元件的运行情况。
网络高峰期时,重要业务的带宽优先得到保障;h)应定期对网络拓扑结构进行评估和调整。
确保网络结构的合理性和安全性。
1.1.2.2访问安全(G3)本项要求包括:a)应对网络进行访问控制,限制非授权人员的访问;b)应对所有访问进行身份验证和授权。
(完整版)等保2.0三级需要的设备
使用范围
基本要求
产品类型Байду номын сангаас例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制(权限分离)
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计
下一代防火墙、日志审计系统
入侵防范
主机配置项+IPS、安全感知平台、EDR、主机入侵检测产品(HIDS)
恶意代码防范
通讯传输
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理(网络、主机、应用)
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
运维堡垒主机、APM
集中管理
运维堡垒主机、主机安全管理平台、态势感知
主机安全组件(EDR)、网络版防病毒软件
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备
剩余信息保护
终端综合管理系统
个人信息保护
行为审计
安全区域边界
边界防护
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感知平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证
等保2.0三级需要的设备
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理(网络、主机、应用)
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
运维堡垒主机、APM
集中管理
运维堡垒主机、主机安全管理平台、态势感知
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证
重要应用程序的动态可信验证
安全通信网络
网络架构
下一代防火墙、负载均衡、上网行为管理
等保2.0三级需要的设备
三级系统安全保护环境基本要求与对应产品
使用范围
基本要求
产品类型举例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制(权限分离)
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计
下一代防火墙、日志审计系统
入侵防范
主机配置项+IPS、安全感知平台、EDR、主机入侵检测产品(HIDS)
恶意代码防范
主机安全组件(EDR)、网络版防病毒软件
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备
等保建设(二,三级)需上的设备
信息安然等级呵护扶植(二,三级)需上的装备信息安然等级呵护二级:一.机房方面的安然措施需求(二级尺度)如下:1.防盗报警体系2.灭火装备和火警主动报警体系3.水迟钝检测仪及漏水检测报警体系4.周详空调5.备用发电机二.主机和收集安然层面须要安排的安然产品如下:1.防火墙或者入侵防御体系2.上彀行动治理体系3.收集准入体系4.审计平台或者同一监控平台(可知足主机.收集和运用层面的监控需求,在前提不许可的情形下,至少要运用数据库审计)5.防病毒软件三.运用及数据安然层面须要安排的安然产品如下:1.VPN2.网页防篡改体系(针对网站体系)3.数据异地备份存储装备4.重要收集装备.通讯线路和数据处理体系的硬件冗余(症结装备双机冗余).信息安然等级呵护三级一.机房方面的安然措施需求(三级尺度)如下:1.须要运用彩钢板.防火门等进行区域隔离2.视频监控体系3.防盗报警体系4.灭火装备和火警主动报警体系5.水迟钝检测仪及漏水检测报警体系6.周详空调7.除湿装配8.备用发电机9.电磁屏障柜二.主机和收集安然层面须要安排的安然产品如下:1.入侵防御体系2.上彀行动治理体系3.收集准入体系4.同一监控平台(可知足主机.收集和运用层面的监控需求)5.防病毒软件6.碉堡机7.防火墙8.审计平台(知足对操纵体系.数据库.收集装备的审计,在前提不许可的情形下,至少要运用数据库审计)三.运用及数据安然层面须要安排的安然产品如下:1.VPN2.网页防篡改体系(针对网站体系)3.数据异地备份存储装备4.重要收集装备.通讯线路和数据处理体系的硬件冗余(症结装备双机冗余).5.数据加密软件(知足加密存储,且加密算法需获得保密局承认。
三级等保所需设备及服务
2、重要服务器区前端
是
2
流量控制设备
对网络流量进行监控,保障重要资源的优先访问
1、网络边界
3
流量清洗设备
防止DDos攻击
1、网络边界2、服务器前端
4
IT运维管理软件
对网络设备、服务器、数据库、应用等进行监控,包括监视CPU、硬盘、内存、网络资源的使用情况
安全管理区
是
5
日志审计系统
对网络设备、安全设备、操作系统的日志进行集中存储、分析
等级
1物理安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
电子门禁
重要出入口(包括机房出入口和重要区域出入口等)
1、机房入口
2、重要服务器区入口
是
2
光电防盗报警
视频监控系统
防盗报警
机房窗户、入口等处
是
可通过监控弥补
3
防雷保安器
防感应雷
配电箱
是
4
自动消防系统
要求自动检测火情、自动报警、自动灭火
可以用手动灭火器加报警器组成
服务器
是浪潮SSR或人工配置,不需备4数据安全部分序号
设备或措施
功能
部署位置
是否
必须
备注
1
网络设备、服务器设备 备份
关键网络设备、通信线路和数据
处理系统的硬件冗余,保证系统 的可用性
是
可冷备
2
软硬件一体化备份容灾 设备
应能够对重要信息进行备份和恢 复
安全管理区
是
3
负载均衡设
备
要求双线路,负载均衡
边界区
5
新风换气
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1
序号
设备或措施
功能
部署位置
是否 必须
备注
1
电子门禁
重要岀入口(包括机 房岀入口和重要区域 出入口等)
1、机房入口
2、重要服务器 区入口
是
2
光电防盗报警 视频监控系统
防盗报警
机房窗户、入 口等处
是
可通过监控弥补
3
防雷保安器
防感应雷
配电箱
是
4
自动消防系统
要求自动检测火情、 自动报警、自动灭火
服务器区
6
漏洞扫描设备
通过漏洞扫描发现漏 洞;通过终端安全分 发补丁
核心交换区
7
堡垒机
实现对网络设备、安 全设备、服务器设备 的远程集中管理、运 维监控
核心交换区
8
数据库审计
实现对数据库的操作 监控,语句回溯
服务器区或核 心交换去
是
9
操作系统加固软
件
底层操作系统加固、 强制访问控制、剩余 信息保护
服务器
可以用手动灭火 器加报警器组成
5
新风换气
防水防潮
6
动力环境监测系统-水敏感检测仪表
可人工检测
7
机房专用空调
防水防潮、温湿度控 制
是
海洛斯、艾默生 等
8
接地系统
防雷接地
是
9
UPS系统
不间断电源(UPS)
是
华为、APC、台
达、山特等
2
序号
设备或措施
功能
部署位置
是否 必须
备注
1
应用级防火墙
访问控制:实现路由 控制,数据流控制, 控制粒度到端口级; 实现应用层访问控制 和过滤;控制空闲会 话数、最大网络连接 数等
10
操作系统加固软 件及人工配置
控制重要文件权限; 禁用或删除不需要的 服务、共享等;限制 或禁用默认/匿名用 户,删除多余、过期 及共享用户;用户权 限设置;系统管理员 不由数据库管理员兼 任;特权用户权限分 离;对重要信息设置 敏感标识并控制访问 权限;
服务器
是
浪潮SSR或人工 配置,不需设备
4
是
13
集中管控平台
对网络设备、服务 器、数据库、应用等 进行监控,包括监视
CPU硬盘、内存、网 络资源的使用情况
网络管理中心
是
14
EMM
安全运行环境、代码 审核、安全app加壳
15
网络加固
对网络设备身份鉴 另V、管理地址控制、 密码复杂度、鉴别处 理、加密传输等进行 功能加固。
手工加固
是
人工配置,不需 要加固
1、网络边界
2、重要服务器 区前端
是
2
流量控制设备
对网络流量进行监 控,保障重要资源的 优先访问
1、网络边界
3
流量清洗设备
防止DDos攻击
1、网络边界
2、服务器前 端
4
IT运维管理软件
对网络设备、服务 器、数据库、应用等 进行监控,包括监视
CPU硬盘、内存、网 络资源的使用情况
安全管理区
是
5
日志审计系统
对网络设备、安全设 备、操作系统的日志 进行集中存储、分析
安全管理区
是
6
网络审计系统
分析网络流量,排除
核心交换区
网络故障
7
无线WIFI控制系统
支持多元化认证方 式,如短信认证、二 维码认证、微信认证 等
核心交换区
8
终端安全管理系统(含准入硬件)
终端健康状态检查、 终端准入控制、外设 控制、终端非法外联 控制
完善信息安全管理制度, 评审修订
是
2
安全检查
网络安全检查
是
3
安全培训
安全意识培训或安全技术 培训
是
4
安全专家
应聘请信息安全专家作为 常年的安全顾问,征询信
是
息安全相关事宜
序号
设备或措施
功能
部署位置
是否 必须
备注
1
网络设备、服务器 设备备份
关键网络设备、通信线
路和数据
处理系统的硬件冗余, 保证系统的可用性
是
可冷备
2
软硬件一体化备份 容灾设备
应能够对重要信息进行 备份和恢复
安全管理区
是
3
负载均衡设 备
要求双线路,负载是否必须
备注
1
信息安全制度完善
安全管理区
是
9
IDS系统 或IPS系统 无线IDS系统
网络攻击检测/报警: 在网络边界处监视各 种攻击行为
1、核心交换区
2、网络边界
是
10
防毒墙
网络入口病毒检测、 查杀
网络边界
是
11
VPN/VFV等
云接入身份认证、链 路安全、虚拟服务器 间访问控制
1、网络入口
2、虚拟服务
器
12
上网行为管理
网络岀口处
3
序号
设备或措施
功能
部署位置
是否 必须
备注
1
主机IPS软件或 杀毒软件集成
特定进程、入侵行为 监控和完整性检测
服务器
2
网络版防病毒软 件
与防毒墙代码库相 异;及时更新;支持 统一管理
安全管理区
是
3
Wet防火墙
防SQ注入、跨站攻击 等
服务器前端
是
4
网页防篡改系统
篡改检测模块(数字 水印技术和应用防护 模块(防注入攻 击),实现了对静态 和动态网页和脚本的 实时检测和恢复,