级等保所需设备及服务
三级等保所需设备及服务
三级等保所需设备及服务一、设备:1. 防火墙(Firewall):用于阻止非法访问信息系统,并进行入侵检测和防范。
2.IDS/IPS系统(入侵检测与防御系统):用于监控和检测系统中的入侵行为,并采取相应的防御措施。
3.安全硬件设备:如加密机、安全存储设备、虚拟专用网设备等,用于保障数据的加密和存储安全。
4.安全审计设备:用于对系统的安全事件进行审计和记录,以便追溯和防范安全威胁。
5.服务器设备:用于存储和处理大量的敏感数据,并提供相应的服务功能。
6.数据备份与恢复设备:用于保障数据的可靠备份和紧急恢复,以应对数据泄露或系统崩溃等情况。
二、服务:1.安全评估与测试服务:对信息系统进行安全评估和测试,发现潜在漏洞和安全风险,并提出相应的修补和改进建议。
2.漏洞管理服务:对系统进行漏洞扫描和漏洞管理,及时修复系统中的漏洞,防止黑客利用漏洞进行攻击。
3.安全运维服务:对信息系统进行安全运维和管理,包括安全事件响应、安全日志分析和异常流量检测等。
4.信息安全培训服务:对系统用户进行安全意识和操作培训,提高用户的信息安全意识和防范能力。
5.网络监控与安全响应服务:对网络流量进行监控和分析,及时发现异常流量和安全事件,并采取相应的安全响应措施。
6.安全策略制定与执行服务:制定系统的安全策略和规范,确保系统遵循相关的安全标准和规范,并实施相应的安全措施。
除了设备和服务之外,三级等保还涉及到一系列的技术措施和管理措施,如密码策略、访问控制、权限管理、数据备份和恢复方案等。
同时,还需要进行定期的风险评估和安全审计,及时发现和处理系统中的安全威胁,保障信息系统的安全性。
总之,三级等保所需的设备和服务是多方面的,包括硬件设备、软件服务和安全运维服务等,通过综合运用这些设备和服务,可以有效保障信息系统的安全性,防止信息泄露和黑客攻击。
(完整版)三级等保所需设备及服务
序号
服务名称
功能
是否必须
备注
1
信息安全制度完善
完善信息安全管理制度,评审修订
是
2
安全检查
网络安全检查
是
3
安全培训
安全意识培训或安全技术培训
是
4
安全专家
应聘请信息安全专家作为常年的安全顾问,征询信息安全相关事宜
是
与防毒墙代码库相异;及时更新;支持统一管理
安全管理区
是
3
Web防火墙
防SQL注入、跨站攻击等
服务器前端
是
4
网页防篡改系统
篡改检测模块(数字水印技术和应用防护模块(防注入攻击),实现了对静态和动态网页和脚本的实时检测和恢复,
服务器区
6
漏洞扫描设备
通过漏洞扫描发现漏洞;通过终端安全分发补丁
核心交换区
7
堡垒机
等级
1物理安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
电子门禁
重要出入口(包括机房出入口和重要区域出入口等)
1、机房入口
2、重要服务器区入口
是
2
光电防盗报警
视频监控系统
防盗报警
机房窗户、入口等处
是
可通过监控弥补
3
防雷保安器
防感应雷
配电箱
是
4
自动消防系统
要求自动检测火情、自动报警、自动灭火
可以用手动灭火器加报警器组成
实现对网络设备、安全设备、服务器设备的远程集中管理、运维监控
核心交换区
8
数据库审计
实现对数据库的操作监控,语句回溯
服务器区或核心交换去
等保2.0-二、三级系统所需安全设备
一、等级保护二级系统(一)物理和环境安全层面安全措施需求如下:1、防盗报警系统2、灭火设备和火灾自动报警系统3、水敏感检测仪及漏水检测报警系统4、精密空调5、备用发电机(二)网络和通信安全及设备和计算安全层面需要部署的安全产品如下:1、防火墙或者入侵防御系统2、上网行为管理系统3、网络准入系统4、审计平台或者统一监控平台(可满足主机、网络和应用层面的监控需求,在条件不允许的情况下,至少要使用数据库审计)5、防病毒软件(三)应用及数据安全层面需要部署的安全产品如下:1、VPN2、网页防篡改系统(针对网站系统)3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。
二、等级保护三级系统(一)物理和环境安全层面安全措施需求如下:1、需要使用彩钢板、防火门等进行区域隔离2、视频监控系统3、防盗报警系统4、灭火设备和火灾自动报警系统5、水敏感检测仪及漏水检测报警系统6、精密空调7、除湿装置8、备用发电机9、电磁屏蔽柜(二)网络和通信安全及设备和计算安全层面需要部署的安全产品如下:1、入侵防御系统2、上网行为管理系统3、网络准入系统4、统一监控平台(可满足主机、网络和应用层面的监控需求)5、防病毒软件6、堡垒机7、防火墙8、审计平台(满足对操作系统、数据库、网络设备的审计,在条件不允许的情况下,至少要使用数据库审计)(三)应用及数据安全层面需要部署的安全产品如下:1、VPN2、网页防篡改系统(针对网站系统)3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)5、数据加密软件(满足加密存储,且加密算法需获得保密局认可)。
二级等保三级等保所需设备
用情况; 2、应限制单个用户对系统资
运维管理系统
源的最大或最小使用限度;
3、应能够对系统的服务水平
降低到预先规定的最小值进行
检测和报警。
网络设备防护:
1、主要网络设备应对同一用
户选择两种或两种以上组合的
鉴别技术来进行身份鉴别;
18
无要求
2、 应采用两种或两种以上组 合的鉴别技术对管理用户进行
堡垒机+UKey认证
序号 1 2 3 4 5 6
7 8 9 10
11
二等级保护基本要求
三级等保基本要求
所需设备
物理访问控制:
物理访问控制:
1、重要区域应配置电子门禁 1、重要区域应配置电子门禁 系统,控制、鉴别和记录进入 系统,控制、鉴别和记录进入
电子门禁系统
的人员。
的人员。
防盗窃和防破坏:
防盗窃和防破坏:
主机房应安装必要的防盗报警 1、应利用光、电等技术设置
避免受到未预期的删除、修改
或覆盖等
14
安全审计(G3) 1、 审计范围应覆盖到服务器 和重要客户端上的每个操作系 统用户和数据库用户;
日志审计系统 日志服务器 数据库审计系统
2、 审计内容应包括重要用户
行为、系统资源的异常使用和
重要系统命令的使用等系统内
重要的安 全相关事件;3、
审计记录应包括事件的日期、
设施。
机房防盗报警系统;
机房防盗报警系统
2、 应对机房设置监控报警系
统。
防火:
防火:
1、机房应设置灭火设备和火 1、机房应设置灭火设备和火
灾自动报警系统。
灾自动报警系统。
灭火设备 火灾自动报警系统
等保测试二级、三级设备清单
信息安全标准与规范
策略开发、制度规范 编写等
建立管理层和执行 层,确定人员、岗位 、职责
完善信息安全制度,形 成安全制度体系 加强安全制度贯彻的力 度,并进行相应的审核 增大信息安全管理制度 的覆盖面 对信息安全管理制度进 行体系化修订 落实信息安全组织,其 最高领导由单位主管领 导委任或授权 需要设立信息安全管理 工作的职能部门,设立 安全主管、安全管理各 个方面的负责人岗位, 并定义各负责人的职 建立信息安全审计队 伍,对信息安全进行定 期审计;
序号 2 3 1 3 4
序号
1
2
3
4
5
设备名称 堡垒机
数据库审计 防火墙
入侵检测系统 Web应用防火墙
设备名称
安全培训
安全管理体系建设
安全组织管理整改
等级保护自评与咨询
安全应急响应服务
部署位置
技术要求
一、等级保护设备清单(二级)
旁路
NABH7000-S5120
旁路
NDBA 7000-S7520
串联
东软FW5200
单价(列表价)
¥318,000.00 ¥650,000.00 ¥185,000.00 ¥248,000.00 ¥158,000.00
小计:
单价
2000元/人/天
应急预案演练及管理,
提供我院应急预案演练
工具,方式,配合我院
6
安全应急预案管理 信息安全事件处置 技术人员,基层操作
者,和领导进行实际的
应急预案演练,留存记
等级保护定级解决方案
等级保护评估解决方案
等级保护据定级解决 方案及自评汇报
信息安全事件处置
安全体系指标与规划方 案咨询解决方案 系统建设安全监理解决 方案 等级保护自评综合汇报 档案 明确xxxxxx需要应对的 主要突发信息安全事件 策略,建立xxxxxx信息 化应急指挥系统,制定 和完善各类应急预案, 提高快速反应能力。
(完整版)等保2.0三级需要的设备
使用范围
基本要求
产品类型Байду номын сангаас例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制(权限分离)
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计
下一代防火墙、日志审计系统
入侵防范
主机配置项+IPS、安全感知平台、EDR、主机入侵检测产品(HIDS)
恶意代码防范
通讯传输
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理(网络、主机、应用)
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
运维堡垒主机、APM
集中管理
运维堡垒主机、主机安全管理平台、态势感知
主机安全组件(EDR)、网络版防病毒软件
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备
剩余信息保护
终端综合管理系统
个人信息保护
行为审计
安全区域边界
边界防护
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感知平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证
等保2.0三级需要的设备
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理(网络、主机、应用)
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
运维堡垒主机、APM
集中管理
运维堡垒主机、主机安全管理平台、态势感知
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证
重要应用程序的动态可信验证
安全通信网络
网络架构
下一代防火墙、负载均衡、上网行为管理
等保2.0三级需要的设备
三级系统安全保护环境基本要求与对应产品
使用范围
基本要求
产品类型举例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制(权限分离)
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计
下一代防火墙、日志审计系统
入侵防范
主机配置项+IPS、安全感知平台、EDR、主机入侵检测产品(HIDS)
恶意代码防范
主机安全组件(EDR)、网络版防病毒软件
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备
等级保护三级所需设备清单
6
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
数据库审计系统
1
对系统数据库进行审计,审计内容包括管理员对数据库的操作和数据中的安全事件,自动进行分析,生成数据库审计报表。
必须
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
补丁分发系统
1
针对系统服务器的安全补丁进行集中分发,统计升级。
非必须
10
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
漏洞扫描系统
1
通过对网络设备、安全设备、服务器、数据库进行定期漏洞扫描,及时发现安全漏洞,及时升级。
非必须
当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
3
应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
安全审计平台(SOC平台)
等保三级设备清单
序号
三级等保要求点
提供的设备
数量
主要功能点及模块
重要(必须)程度
2
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为.
IPS入侵防御系统(集成网络防病毒模块)
1
提供网络入侵事件的检测和预警,集成的防病毒模块主要提供网络中的恶意代码(病毒、木马等)的检测和清除。
必须
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
核心交换区
8
数据库审计
实现对数据库的操作监控,语句回溯
服务器区或核心交换去
是
9
操作系统加固软件
底层操作系统加固、强制访问控制、剩余信息保护
服务器
10
操作系统加固软件及人工配置
控制重要文件权限;禁用或删除不需要的服务、共享等;限制或禁用默认/匿名用户,删除多余、过期及共享用户;用户权限设置;系统管理员不由数据库管理员兼任;特权用户权限分离;对重要信息设置敏感标识并控制访问权限;
服务器
是
浪潮SSR或人工配置,不需设备
4数据安全部分
序号
设备或措施
功能
部署位置
是否
必须
备注
1
网络设备、服务器设备 备份
关键网络设备、通信线路和数据
处理系统的硬件冗余,保证系统 的可用性
是
可冷备
2
软硬件一体化备份容灾 设备
应能够对重要信息进行备份和恢 复
安全管理区
是
3
负载均衡设
备
要求双线路,负载均衡
边界区
5
新风换气
防水防潮
6
动力环境监测系统-水敏感检测仪表
可人工检测
7
机房专用空调
防水防潮、温湿度控制
是
海洛斯、艾默生等
8
接地系统
防雷接地
是
9
UPS系统
不间断电源(UPS)
是
华为、APC、台达、山特等
2网络安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
应用级防火墙
访问控制:实现路由控制,数据流控制,控制粒度到端口级;实现应用层访问控制和过滤;控制空闲会话数、最大网络连接数等
安全管理区
是
6
网络审计系统
分析网络流量,排除网络故障
核心交换区
7
无线WIFI控制系统
支持多元化认证方式,如短信认证、二维码认证、微信认证等
核心交换区
8
终端安全管理系统(含准入硬件)
终端健康状态检查、终端准入控制、外设控制、终端非法外联控制
安全管理区
是
9
IDS系统
或IPS系统
无线IDS系统
网络攻击检测/报警:在网络边界处监视各种攻击行为
等级
1物理安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
电子门禁
重要出入口(包括机房出入口和重要区域出入口等)
1、机房入口
2、重要服务器区入口
是
2
光电防盗报警
视频监控系统
防盗报警
机房窗户、入口等处
是
可通过监控弥补
3
防雷保安器
防感应雷
配电箱
是
4
自动消防系统
要求自动检测火情、自动报警、自动灭火
可以用手动灭火器加报警器组成
1、核心交换区
2、网络边界
是
10
防毒墙
网络入口病毒检测、查杀
网络边界
是
11
VPN/VFW等
云接入身份认证、链路安全、虚拟服务器间访问控制
1、网络入口2、虚拟服务器
12
上网行为管理
网络出口处
是
13
集中管控平台
对网络设备、服务器、数据库、应用等进行监控,包括监视CPU、硬盘、内存、网络资源的使用情况
网络管理中心
1、网络边界
2、重要服务器区前端
是
2
流量控制设备
对网络流量进行监控,保障重要资源的优先访问
1、网络边界
3
流量清洗设备
防止DDos攻击
1、网络边界2、服务器前端
4
IT运维管理软件
对网络设备、服务器、数据库、应用等进行监控,包括监视CPU、硬盘、内存、网络资源的使用情况
安全管理区
是
5
日志审计系统
对网络设备、安全设备、操作系统的日志进行集中存储、分析
是
14
EMM
安全运行环境、代码审核、安全app加壳
15
网络加固
对网络设备身份鉴别、管理地址控制、密码复杂度、鉴别处理、加密传输等进行功能加固。
手工加固
是
人工配置,不需要加固
3主机安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
主机IPS软件或杀毒软件集成
特定进程、入侵行为监控和完整性检测
服务器
2
网络版防病毒软件
5安全服务
序号
服务名称
功能
是否必须
备注
1
信息安全制度完善
完善信息安全管理制度,评审修订
是
2
安全检查
网络安全检查
是
3
安全培训
安全意识培训或安全技术培训
是
4
安全专家
应聘请信息安全专家作为常年的安全顾问,征询信息安全相关事宜
是
与防毒墙代码库相异;及时更新;支持统一管理
安全管理区
是
3
Web防火墙
防SQL注入、跨站攻击等
服务器前端
是
4网Biblioteka 防篡改系统篡改检测模块(数字水印技术和应用防护模块(防注入攻击),实现了对静态和动态网页和脚本的实时检测和恢复,
服务器区
6
漏洞扫描设备
通过漏洞扫描发现漏洞;通过终端安全分发补丁
核心交换区
7
堡垒机