三级等保所需设备及服务培训资料
三级等保培训
23
数据安全及备份恢复的整2021改/7/1 要点
数据完整性 数据保密性
备份和恢复
鉴别数据传输的完整性 鉴别数据存储的保密性
重要数据的备份 硬件冗余
各类数据传输及存储 检测和恢复
各类数据的传输及存储
网络冗余、硬件冗余
(沪公发[2009]187号)---沪公发[2009]173号、沪密局[2009]39号、。。。
5
等级保护--十大核心2021标/7/1 准
基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》GB/T CCCC-CCCC 报批稿
应用类
定级:《信息系统安全保护等级定级指南》GB/T 22240-2008 建设:《信息系统安全等级保护基本要求》GB/T 22239-2008
整改要点:信息安全领导小组与职能部门、 专职安全员、定期全面安全检查、定期协调 会议、外部沟通与合作等
28
三级系统安全保护要求—人20员21/7/1 安全管理
对人员安全的管理,主要涉及两方面: 对内部 人员的安全管理和对外部人员的安全管理。
人员安全管理具体包括:5个控制点 人员录用、人员离岗、人员考核、 安全意识教育及培训、外部人员访问管理
《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评:《信息系统安全等级保护测评要求》 GB/T DDDD-DDDD 报批稿 《信息系统安全等级保护测评过程指南》 管理:《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006
信息安全等级保护建设(二三级)需上的设备
信息安全等级保护二级:一、机房方面的安全措施需求(二级标准)如下:1、防盗报警系统2、灭火设备和火灾自动报警系统3、水敏感检测仪及漏水检测报警系统4、精密空调5、备用发电机二、主机和网络安全层面需要部署的安全产品如下:1、防火墙或者入侵防御系统2、上网行为管理系统3、网络准入系统4、审计平台或者统一监控平台(可满足主机、网络和应用层面的监控需求,在条件不允许的情况下,至少要使用数据库审计)5、防病毒软件三、应用及数据安全层面需要部署的安全产品如下:1、VPN2、网页防篡改系统(针对网站系统)3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。
信息安全等级保护三级:一、机房方面的安全措施需求(三级标准)如下:1、需要使用彩钢板、防火门等进行区域隔离2、视频监控系统3、防盗报警系统4、灭火设备和火灾自动报警系统5、水敏感检测仪及漏水检测报警系统6、精密空调7、除湿装置8、备用发电机9、电磁屏蔽柜二、主机和网络安全层面需要部署的安全产品如下:1、入侵防御系统2、上网行为管理系统3、网络准入系统4、统一监控平台(可满足主机、网络和应用层面的监控需求)5、防病毒软件6、堡垒机7、防火墙8、审计平台(满足对操作系统、数据库、网络设备的审计,在条件不允许的情况下,至少要使用数据库审计)三、应用及数据安全层面需要部署的安全产品如下:1、VPN2、网页防篡改系统(针对网站系统)3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。
5、数据加密软件(满足加密存储,且加密算法需获得保密局认可)。
(以上内容为个人建议,不作为标准答案,仅供参考)没有绝对安全的网络,只有相对安全的策略。
没有绝对稳定的网络,只有相对稳定的运维!等级保护一门企业必要掌握的知识技能——信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
三级等保所需设备及服务
三级等保所需设备及服务一、设备:1. 防火墙(Firewall):用于阻止非法访问信息系统,并进行入侵检测和防范。
2.IDS/IPS系统(入侵检测与防御系统):用于监控和检测系统中的入侵行为,并采取相应的防御措施。
3.安全硬件设备:如加密机、安全存储设备、虚拟专用网设备等,用于保障数据的加密和存储安全。
4.安全审计设备:用于对系统的安全事件进行审计和记录,以便追溯和防范安全威胁。
5.服务器设备:用于存储和处理大量的敏感数据,并提供相应的服务功能。
6.数据备份与恢复设备:用于保障数据的可靠备份和紧急恢复,以应对数据泄露或系统崩溃等情况。
二、服务:1.安全评估与测试服务:对信息系统进行安全评估和测试,发现潜在漏洞和安全风险,并提出相应的修补和改进建议。
2.漏洞管理服务:对系统进行漏洞扫描和漏洞管理,及时修复系统中的漏洞,防止黑客利用漏洞进行攻击。
3.安全运维服务:对信息系统进行安全运维和管理,包括安全事件响应、安全日志分析和异常流量检测等。
4.信息安全培训服务:对系统用户进行安全意识和操作培训,提高用户的信息安全意识和防范能力。
5.网络监控与安全响应服务:对网络流量进行监控和分析,及时发现异常流量和安全事件,并采取相应的安全响应措施。
6.安全策略制定与执行服务:制定系统的安全策略和规范,确保系统遵循相关的安全标准和规范,并实施相应的安全措施。
除了设备和服务之外,三级等保还涉及到一系列的技术措施和管理措施,如密码策略、访问控制、权限管理、数据备份和恢复方案等。
同时,还需要进行定期的风险评估和安全审计,及时发现和处理系统中的安全威胁,保障信息系统的安全性。
总之,三级等保所需的设备和服务是多方面的,包括硬件设备、软件服务和安全运维服务等,通过综合运用这些设备和服务,可以有效保障信息系统的安全性,防止信息泄露和黑客攻击。
(完整版)三级等保所需设备及服务
序号
服务名称
功能
是否必须
备注
1
信息安全制度完善
完善信息安全管理制度,评审修订
是
2
安全检查
网络安全检查
是
3
安全培训
安全意识培训或安全技术培训
是
4
安全专家
应聘请信息安全专家作为常年的安全顾问,征询信息安全相关事宜
是
与防毒墙代码库相异;及时更新;支持统一管理
安全管理区
是
3
Web防火墙
防SQL注入、跨站攻击等
服务器前端
是
4
网页防篡改系统
篡改检测模块(数字水印技术和应用防护模块(防注入攻击),实现了对静态和动态网页和脚本的实时检测和恢复,
服务器区
6
漏洞扫描设备
通过漏洞扫描发现漏洞;通过终端安全分发补丁
核心交换区
7
堡垒机
等级
1物理安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
电子门禁
重要出入口(包括机房出入口和重要区域出入口等)
1、机房入口
2、重要服务器区入口
是
2
光电防盗报警
视频监控系统
防盗报警
机房窗户、入口等处
是
可通过监控弥补
3
防雷保安器
防感应雷
配电箱
是
4
自动消防系统
要求自动检测火情、自动报警、自动灭火
可以用手动灭火器加报警器组成
实现对网络设备、安全设备、服务器设备的远程集中管理、运维监控
核心交换区
8
数据库审计
实现对数据库的操作监控,语句回溯
服务器区或核心交换去
等保2.0-二、三级系统所需安全设备
一、等级保护二级系统(一)物理和环境安全层面安全措施需求如下:1、防盗报警系统2、灭火设备和火灾自动报警系统3、水敏感检测仪及漏水检测报警系统4、精密空调5、备用发电机(二)网络和通信安全及设备和计算安全层面需要部署的安全产品如下:1、防火墙或者入侵防御系统2、上网行为管理系统3、网络准入系统4、审计平台或者统一监控平台(可满足主机、网络和应用层面的监控需求,在条件不允许的情况下,至少要使用数据库审计)5、防病毒软件(三)应用及数据安全层面需要部署的安全产品如下:1、VPN2、网页防篡改系统(针对网站系统)3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。
二、等级保护三级系统(一)物理和环境安全层面安全措施需求如下:1、需要使用彩钢板、防火门等进行区域隔离2、视频监控系统3、防盗报警系统4、灭火设备和火灾自动报警系统5、水敏感检测仪及漏水检测报警系统6、精密空调7、除湿装置8、备用发电机9、电磁屏蔽柜(二)网络和通信安全及设备和计算安全层面需要部署的安全产品如下:1、入侵防御系统2、上网行为管理系统3、网络准入系统4、统一监控平台(可满足主机、网络和应用层面的监控需求)5、防病毒软件6、堡垒机7、防火墙8、审计平台(满足对操作系统、数据库、网络设备的审计,在条件不允许的情况下,至少要使用数据库审计)(三)应用及数据安全层面需要部署的安全产品如下:1、VPN2、网页防篡改系统(针对网站系统)3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)5、数据加密软件(满足加密存储,且加密算法需获得保密局认可)。
三级等保测评服务内容
三级等保测评服务内容
三级等保测评是指对信息系统的安全性进行评估和测试,以确定其是否符合国
家三级等级保护标准的要求。
在进行三级等保测评时,需要按照以下内容进行服务:
1.系统资产确认与分类:通过对信息系统中的各种资产进行确认和分类,包括
软件、硬件、网络设备、数据库等,以便全面评估其安全性。
2.安全策略与规划评估:对信息系统的安全策略和规划进行评估,包括密码策略、网络安全策略、应急响应计划等,以确保其与国家三级等保标准相符。
3.权限与访问控制评估:评估系统中的权限管理和访问控制机制,包括用户权
限分配、身份认证、访问控制列表等,以确保系统只被授权人员访问。
4.安全运维管理评估:对系统的安全运维管理进行评估,包括安全事件管理、
日志审计、漏洞管理等,以确保对系统进行有效的监控和管理。
5.物理环境评估:评估物理环境中的安全措施,包括设备布置、防火墙设置、
电力和环境监控等,以确保系统能在安全的物理环境下运行。
6.网络安全评估:评估系统的网络安全性,包括网络拓扑结构、入侵检测与防御、防火墙设置等,以确保系统在网络层面上的安全性。
7.安全培训与意识评估:评估系统用户的安全培训和安全意识程度,并提供相
应的培训和改进建议,以提高系统用户的安全防范意识。
以上是三级等保测评的主要服务内容,通过对系统的各个方面进行评估,可以
帮助企业或组织发现潜在的安全风险,并采取相应的措施进行改进和强化,以确保系统的安全性达到国家三级等级保护标准的要求。
二级等保三级等保所需设备
用情况; 2、应限制单个用户对系统资
运维管理系统
源的最大或最小使用限度;
3、应能够对系统的服务水平
降低到预先规定的最小值进行
检测和报警。
网络设备防护:
1、主要网络设备应对同一用
户选择两种或两种以上组合的
鉴别技术来进行身份鉴别;
18
无要求
2、 应采用两种或两种以上组 合的鉴别技术对管理用户进行
堡垒机+UKey认证
序号 1 2 3 4 5 6
7 8 9 10
11
二等级保护基本要求
三级等保基本要求
所需设备
物理访问控制:
物理访问控制:
1、重要区域应配置电子门禁 1、重要区域应配置电子门禁 系统,控制、鉴别和记录进入 系统,控制、鉴别和记录进入
电子门禁系统
的人员。
的人员。
防盗窃和防破坏:
防盗窃和防破坏:
主机房应安装必要的防盗报警 1、应利用光、电等技术设置
避免受到未预期的删除、修改
或覆盖等
14
安全审计(G3) 1、 审计范围应覆盖到服务器 和重要客户端上的每个操作系 统用户和数据库用户;
日志审计系统 日志服务器 数据库审计系统
2、 审计内容应包括重要用户
行为、系统资源的异常使用和
重要系统命令的使用等系统内
重要的安 全相关事件;3、
审计记录应包括事件的日期、
设施。
机房防盗报警系统;
机房防盗报警系统
2、 应对机房设置监控报警系
统。
防火:
防火:
1、机房应设置灭火设备和火 1、机房应设置灭火设备和火
灾自动报警系统。
灾自动报警系统。
灭火设备 火灾自动报警系统
二级等保与三级等保所需设备
b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
UPS
访冋控制(G2)
a) 应在网络边界部署访问控制设备,启用访问控制功能; b) 应能根据会话状态信息为数据流提供明硕的允许/拒绝访问的能力,控制粒度为网段级。 c) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户
物理访问控制
1、机房出入口应安排专人值守或配置电子门禁系统、控制、鉴别和记录进入的人员
1、机房出入口应安排专人值守或配置电子门禁系统、控制、鉴别和记录进入的人员
防盗窃和防破坏
1、应将设备或主要部件进行固定,并设置明显的不易除去的标识
1、应将设备或主要部件进行固定,并设置明显的不易除去的标识
2、应将通信线缆铺设在隐蔽安全处
所需设备
物理访问控制(G3)
d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
电子门禁系统
防盜窃和防磁坏(G3)
e) 应利用光、电等技术设置机房防盜报警系统; f) 应对机房设置监控报警系统。
机房防盗报警系统 监控报警系统
防火(G3)
a)机房应设置火灾自动消防系统,能够自动检检测火情、自动报警, 并自动灭火:
边界完整性栓查(S3)
a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定岀位置.并对其进行有效阻断; b) 应能够对内部网络用户私自联到外部网络的行为进行检査,准确 定出位置,并对其进行有效阻断
准入准岀设备
入侵防范(G3)
a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢岀攻击、IP碎片攻击和网络蠕虫攻击等; b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
是
6
网络审计系统
分析网络流量,排除网络故障
核心交换区
7
无线WIFI控制系统
支持多元化认证方式,如短信认证、二维码认证、微信认证等
核心交换区
8
终端安全管理系统(含准入硬件)
终端健康状态检查、终端准入控制、外设控制、终端非法外联控制
安全管理区
是
9
IDS系统
或IPS系统
无线IDS系统
网络攻击检测/报警:在网络边界处监视各种攻击行为
是
14
EMM
安全运行环境、代码审核、安全app加壳
15
网络加固
对网络设备身份鉴别、管理地址控制、密码复杂度、鉴别处理、加密传输等进行功能加固。
手工加固
是
人工配置,不需要加固
3主机安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
主机IPS软件或杀毒软件集成
特定进程、入侵行为监控和完整性检测
服务器
2
网络版防病毒软件
与防毒墙代码库相异;及时更新;支持统一管理
安全管理区
是
3
Web防火墙
防SQL注入、跨站攻击等
服务器前端
是
4
网页防篡改系统
篡改检测模块(数字水印技术和应用防护模块(防注入攻击),实现了对静态和动态网页和脚本的实时检测和恢复,
服务器区
6
漏洞扫描设备
通过漏洞扫描发现漏洞;通过终端安全分发补丁
核心交换区
7
堡垒机
可以用手动灭火器加报警器组成
5
新风换气
防水防潮
6
动力环境监测系统-水敏感检测仪表
可人工检测
7
机房专用空调
防水防潮、温湿度控制
是
海洛斯、艾默生等
8
接地系统
防雷接地
是
9
UPS系统
不间断电源(UPS)
是
华为、APC、台达、山特等
2网络安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
应用级防火墙
访问控制:实现路由控制,数据流控制,控制粒度到端口级;实现应用层访问控制和过滤;控制空闲会话数、最大网络连接数等
1、网络边界
2、重要服务器区前端
是
2
流量控ห้องสมุดไป่ตู้设备
对网络流量进行监控,保障重要资源的优先访问
1、网络边界
3
流量清洗设备
防止DDos攻击
1、网络边界2、服务器前端
4
IT运维管理软件
对网络设备、服务器、数据库、应用等进行监控,包括监视CPU、硬盘、内存、网络资源的使用情况
安全管理区
是
5
日志审计系统
对网络设备、安全设备、操作系统的日志进行集中存储、分析
服务器
是
浪潮SSR或人工配置,不需设备
4数据安全部分
序号
设备或措施
功能
部署位置
是否
必须
备注
1
网络设备、服务器设备 备份
关键网络设备、通信线路和数据
处理系统的硬件冗余,保证系统 的可用性
是
可冷备
2
软硬件一体化备份容灾 设备
应能够对重要信息进行备份和恢 复
安全管理区
是
3
负载均衡设
备
要求双线路,负载均衡
边界区
1、核心交换区
2、网络边界
是
10
防毒墙
网络入口病毒检测、查杀
网络边界
是
11
VPN/VFW等
云接入身份认证、链路安全、虚拟服务器间访问控制
1、网络入口2、虚拟服务器
12
上网行为管理
网络出口处
是
13
集中管控平台
对网络设备、服务器、数据库、应用等进行监控,包括监视CPU、硬盘、内存、网络资源的使用情况
网络管理中心
实现对网络设备、安全设备、服务器设备的远程集中管理、运维监控
核心交换区
8
数据库审计
实现对数据库的操作监控,语句回溯
服务器区或核心交换去
是
9
操作系统加固软件
底层操作系统加固、强制访问控制、剩余信息保护
服务器
10
操作系统加固软件及人工配置
控制重要文件权限;禁用或删除不需要的服务、共享等;限制或禁用默认/匿名用户,删除多余、过期及共享用户;用户权限设置;系统管理员不由数据库管理员兼任;特权用户权限分离;对重要信息设置敏感标识并控制访问权限;
三级等保所需设备及服务
等级
1物理安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
电子门禁
重要出入口(包括机房出入口和重要区域出入口等)
1、机房入口
2、重要服务器区入口
是
2
光电防盗报警
视频监控系统
防盗报警
机房窗户、入口等处
是
可通过监控弥补
3
防雷保安器
防感应雷
配电箱
是
4
自动消防系统
要求自动检测火情、自动报警、自动灭火
5安全服务
序号
服务名称
功能
是否必须
备注
1
信息安全制度完善
完善信息安全管理制度,评审修订
是
2
安全检查
网络安全检查
是
3
安全培训
安全意识培训或安全技术培训
是
4
安全专家
应聘请信息安全专家作为常年的安全顾问,征询信息安全相关事宜
是