等级保护2.0第三级数据中心安全审计设备类安全防护产品功能

等级保护2.0第二级数据中心安全防护产品性能指标参考一、防火墙类1、WEB防火墙（推荐要求）WEB 网站访问防护专用安全设备，具备WEB 访问控制、WEB 网络数据分析等基本功能。

具备对SQL 注入、跨站、扫描器扫描、信息泄露、文件传输攻击、操作系统命令注入、目录遍历、异常发现、webshell 攻击检测、盗链行为、拒绝服务攻击防护、网页防篡改、身份认证、日志审计等14 项安全功能。

2、数据库防火墙（推荐要求）数据库访问控制和安全审计专用设备。

①具备数据库审计、数据库访问控制、数据库访问检测与过滤、数据库服务发现、脱敏数据发现、数据库状态和性能监控、数据库管理员特权管控等功能。

②支持桥接、网关和混合接入方式，基于安全等级标记的访问控制策略和双机热备功能，保障连续服务能力。

3、网络防火墙（必须具备其中3 项功能、支持3 种访问控制类型）网络边界防护和访问控制的专用设备。

①具备访问控制、入侵防御、病毒防御、应用识别、WEB 防护、负载均衡、流量管控、身份认证、数据防泄露等9 项功能。

②支持区域访问控制、数据包访问控制（例如基于IP、端口、网络协议访问的数据包）、会话访问控制、信息内容过滤访问控制、应用识别访问控制等5 种访问控制类型。

二、安全审计设备类1、网络安全审计（必须满足全部要求）记录网络行为并进行审计和异常行为发现的专用安全设备。

①对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

②审计记录包括事件的时间和日期、用户、事件类型、事件是否成功及其它与审计相关的信息。

③能够对记录数据进行分析，生成审计报表。

2、数据库审计（必须满足全部要求）监控数据库系统的用户操作日志、数据库活动、预警的专用设备。

①具备数据库操作记录的查询、保护、备份、分析、审计、实时监控、风险报警和操作过程回放等功能。

②支持监控中心报警、短信报警、邮件报警、Syslog报警等报警方式。

3、运维审计（必须满足全部要求）数据中心运维操作审计及预警的专用设备。

网络安全等级保护（等保2.0）3级建设内容设计方案一、物理环境安全设计机房与配套设备安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境，并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。

1.1.物理位置的选择在机房位置选择上，应选择的场地具有防震、防风和防雨等能力建筑内，同时尽量避免设在建筑物的顶层或地下室以保证机房的防水防潮效果，确保机房的选择合理合规。

在UPS电池按放的位置选择要考虑到楼板的承重等因素。

1.2.物理访问控制对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；进入机房的来访人员须经过申请和审批流程，并限制和监控其活动范围，同时在机房的各出入口出配置配置电子门禁系统和视频监控系统，通过开关门记录和视频来控制、鉴别和记录机房进入的人员相关信息。

1.3.防盗窃和防破坏在防盗窃和防破坏方面，对设备或主要部件进行固定，并设置明显的不易除去的标记。

在强弱电铺设方面尽量进行隐蔽布设。

为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。

此外，必须制定严格的出入管理制度和环境监控制度，以保障区域监控系统和环境监控系统的有效运行。

对介质进行分类标识，存储在介质库或档案室中。

利用光、电等技术设置机房防盗报警系统；对机房设置监控报警系统。

1.4.防雷击严格按照国家的相关的标准将各类机柜、设施和设备等通过接地系统安全接地。

同时在配电方面设置相应的防雷保安器或过压保护装置等。

1.5.防火合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。

房间装修必需使用阻燃材料，耐火等级符合国家相关标准规定，同时设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；1.6.防水和防潮在机房建设阶段，对机房窗户、屋顶和墙壁进行处理，防止液体渗透。

等级保护2.0 三级概述等级保护2.0（等保2.0）是我国信息安全保障的基本制度，其三级标准是在法律法规的基础上，对信息系统安全、物理和环境安全、网络通信安全、设备和计算安全、应用和数据安全、安全管理、评估与审计、应急响应等方面提出的具体要求。

1. 法律法规基础：等保2.0三级依据国家法律法规和标准，对信息系统的合规性进行严格要求，确保信息系统符合法律法规的要求。

2. 信息系统安全：等保2.0三级对信息系统的安全性提出更高要求，包括信息的保密性、完整性和可用性等。

3. 物理和环境安全：等保2.0三级强调物理和环境安全，对物理访问控制、物理安全监测等提出具体要求。

4. 网络通信安全：等保2.0三级在网络通信安全方面要求建立完善的网络安全体系，包括网络隔离、入侵检测、漏洞扫描等。

5. 设备和计算安全：等保2.0三级对设备和计算安全提出要求，包括防病毒、身份认证、访问控制等。

6. 应用和数据安全：等保2.0三级要求应用和数据安全得到保障，包括数据加密、数据备份等。

7. 安全管理：等保2.0三级强调安全管理，要求建立完善的安全管理体系，包括安全组织、安全策略、安全制度等。

8. 评估与审计：等保2.0三级要求对信息系统进行定期的评估和审计，确保信息系统的安全性。

9. 应急响应：等保2.0三级要求建立完善的应急响应机制，包括应急预案、应急演练等。

10. 技术要求符合性验证：等保2.0三级还要求对各项安全技术要求进行符合性验证，确保各项安全措施的有效性。

11. 人员安全：等保2.0三级强调人员安全的重要性，包括对员工的安全培训、岗位管理以及权限管理等方面提出了具体要求。

12. 供应链安全：等保2.0三级要求对供应链安全进行管理，包括对供应商的评估、管理以及控制等方面提出了具体要求。

通过满足等级保护2.0三级的要求，组织可以有效地提高信息系统的安全防护能力，减少安全风险，保障业务的正常运行。

等级保护2.0第三级数据中心入侵防范设备类安全防护产品功能指标参考1、入侵防御设备（至少具备4 项功能、支持3 种入侵防御技术、支持2 种抗拒绝服务技术。

）对网络数据流量进行深度检测、实时分析，并对网络中的攻击行为进行主动防御的专用设备。

①具备深层检测、内容识别、即时侦测、主动防御、无线攻击防御、抗拒绝服务、日志审计、身份认证等9项功能。

②支持攻击行为记录（包括攻击源IP、攻击类型、攻击目的、攻击时间等）、协议分析、模式识别、异常流量监视、统计阀值、实时阻断攻击等6 种入侵防御技术。

③支持流量检测与清洗（流量型DDoS 攻击防御、应用型DDoS 攻击防御、DoS 攻击防御、非法协议攻击防御、常用攻击工具防御等）、流量牵引和回注等2 种抗拒绝服务技术。

2、入侵检测设备（满足其中三级要求）通过对网络上的数据包作为数据源，监听所保护网络内的所有数据包并进行分析，从而发现异常行为的入侵检测系统。

参照《信息安全技术网络入侵检测系统技术要求和测评方法》[GBT20275-2013]将网络入侵检测系统技术要求分为一级、二级、三级。

3、网络准入控制设备（推荐要求）屏蔽不安全的设备和人员接入网络，规范用户接入网络行为的专用设备。

①具备网络准入身份认证、合规性健康检查、终端接入管理（包括：PC、移动终端等）、用户管理、准入规则管理、高可用性、日志审计等7 项功能。

②支持pap、chap、md5、tls、peap 等5 种网络准入身份认证方法。

4、防病毒网关设备（至少具备5 项功能。

支持4 种病毒过滤方法。

）病毒防御网关化的专业设备。

①具备病毒过滤、内容过滤、反垃圾邮件、日志审计、身份认证、高可用等6 项功能。

②支持流杀毒、文件型杀毒、常用协议端口病毒扫描、IPv4和IPv6 双协议栈的病毒过滤、病毒隔离等5 种病毒过滤方法。

5、网络安全入侵防范（推荐要求）①在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；②当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

等级保护2.0第三级终端安全终端安全管理系统类安全防护产品功
能指标参考
1、桌面终端安全管理（至少具备5 项功能、支持3 种连接方式管理）
用于满足终端各种安全管理和合规性需求的终端安全管理软件。

①具备即时通讯管理、非授权外连管理、软件分发、打印管理、
文件操作行为管理、补丁管理、移动介质管理、主机监控与审计、
上网行为控制与审计、敏感字审计、远程协助等11 项功能。

②支持对双网卡、WIFI、3G、蓝牙、红外等5 种违规连接
方式进行监测、审计和阻断。

2、移动终端安全管理（至少具备4 项功能、支持2 种操作系统类型）
支持组织内部移动业务终端安全防护的管理系统。

①具备移动身份管理、移动应用管理、移动内容管理、移动策略管理、移动设备管理等5 项功能。

②支持主流移动操作系统。

3、移动存储介质管理（至少具备4 项功能、支持4 种存储介质管理、支持3 种管理规则、支持4 种管理策略）
解决组织内部移动存储介质非法滥用造成信息泄露安全问题的专用管理设备。

①具备移动存储介质注册管理、接入控制、访问权限控制、安全审计等4 项功能。

②支持移动硬盘、闪存、U 盘、储存卡等4 种移动存储介质的管理。

③支持预置策略、自定义策略、预置标签及自定义
标签等4 种管理规则。

④支持内部低密、内部普密、内置高密、外部应用审计、外部文档审计、外部无审计等6 种预置管理策略和预置标签管理策略。

等级保护2.0第三级容灾备份备用网络灾备类安全防护产品功能指标参考
1、备用网络链路（满足全部要求）
提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。

①主机房和备用机房各需要1 条内部网络备用链路。

②支持冗余技术设计网络拓扑结构，避免关键节点存在单点故
障。

③支持全冗余技术设计网络拓扑结构，保证系统的高可用性。

2、备用网络设备（至少具备3 项冗余部件，核心交换机具备足够的
千兆光电网口和万兆光电网口）
路由器、防火墙、交换机、负载均衡等设备需要具备冗余电源、冗余接口、冗余风扇等3 项部件。

3、
4、。

等级保护2.0第三级数据中心访问控制系统安全防护产品功能指标参考
1、上网行为管理（至少具备6 项功能、支持2 种身份管理方式、
外发内容管理支持3 项操作）
用于组织内部互联网的安全管理。

①具备上网人员管理、上网浏览管理、上网外发管理、上网应
用管理、上网流量管理、上网行为分析、上网隐私保护、风险集中告警等8 项功能。

②支持IP/MAC 识别方式、用户名/密码认证方式、与已有认
证系统的联合单点登录方式等3 种上网人员身份管理方式。

③支持对主流即时通讯软件外发内容的关键字识别、记录、阻
断等3 项操作。

2、虚拟化安全防护（推荐要求）
提供虚拟化网络边界防护的专用软件防火墙。

①具备访问控制、入侵防范、病毒过滤、应用识别、抗拒绝服
务、网络防护、日志审计、身份认证等8 项功能。

②支持网络访问控制、权限控制、目录级安全控制、属性安全
控制、服务器安全控制等5 种访问控制方法。

三级等保2.0标准
三级等保2.0标准是指我国信息安全管理制度中的一项重要标准，是对信息系统安全等级保护的升级和完善。

相比于之前的等保1.0标准，等保2.0标准更加注重信息系统的风险评估和管理、安全保障措施的科学性和有效性、安全管理的持续性和动态性等方面。

以下是三级等保2.0标准的一些主要内容：
1.安全保障目标：明确信息系统的安全保障目标，包括保密性、完整性和可用性等方面。

2.安全等级划分：对信息系统进行安全等级划分，根据安全等级制定相应的安全保障措施和管理要求。

3.安全保障措施：根据信息系统的安全等级，制定相应的安全保障措施，包括物理安全、网络安全、系统安全、数据安全等方面。

4.安全管理要求：制定信息系统的安全管理要求，包括安全管理制度、安全培训、安全检查等方面。

5.安全风险评估：对信息系统进行安全风险评估，制定相应的安全风险应对措施。

6.安全保障评估：对信息系统进行安全保障评估，评估安全保障措施的有效性。

7.安全管理绩效评估：对信息系统的安全管理绩效进行评估，评估安全管理的有效性和持续性。

8.安全管理改进：根据安全管理绩效评估结果，对信息系统的安全管理进行改进和优化。

以上是三级等保2.0标准的一些主要内容，具体的实施细节和要求可能会因不同行业和领域而有所不同。

一、等级保护二级系统（一）物理和环境安全层面安全措施需求如下：1、防盗报警系统2、灭火设备和火灾自动报警系统3、水敏感检测仪及漏水检测报警系统4、精密空调5、备用发电机（二）网络和通信安全及设备和计算安全层面需要部署的安全产品如下：1、防火墙或者入侵防御系统2、上网行为管理系统3、网络准入系统4、审计平台或者统一监控平台（可满足主机、网络和应用层面的监控需求，在条件不允许的情况下，至少要使用数据库审计）5、防病毒软件（三）应用及数据安全层面需要部署的安全产品如下：1、VPN2、网页防篡改系统（针对网站系统）3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）。

二、等级保护三级系统（一）物理和环境安全层面安全措施需求如下：1、需要使用彩钢板、防火门等进行区域隔离2、视频监控系统3、防盗报警系统4、灭火设备和火灾自动报警系统5、水敏感检测仪及漏水检测报警系统6、精密空调7、除湿装置8、备用发电机9、电磁屏蔽柜（二）网络和通信安全及设备和计算安全层面需要部署的安全产品如下：1、入侵防御系统2、上网行为管理系统3、网络准入系统4、统一监控平台（可满足主机、网络和应用层面的监控需求）5、防病毒软件6、堡垒机7、防火墙8、审计平台（满足对操作系统、数据库、网络设备的审计，在条件不允许的情况下，至少要使用数据库审计）（三）应用及数据安全层面需要部署的安全产品如下：1、VPN2、网页防篡改系统（针对网站系统）3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）5、数据加密软件（满足加密存储，且加密算法需获得保密局认可）。

等级保护2.0第三级数据中心安全管理系统安全防护产品功能指标参考1、文档安全管理（推荐要求）用于组织内部的核心信息资产有意或无意泄露防护的管理系统。

①具备文档加密、文档安全策略（权限控管、使用次数、文档生命期限、打印自定义水印等）、身份认证、使用追踪、离线管理、文档操作审计等6 项功能。

②支持对电子文档进行细粒度的权限控制，包括只读、打印、修改、复制等4 种权限控制。

③支持对文档的阅读、编辑、删除、打印、外发、授权等6 种动作进行详细的日志审计。

2、日志审计系统（满足全部要求，且日志存储时间≥6 个月）记录、分析和处理用户操作行为的系统。

①具备日志记录、用户重要操作日志记录、日志查询、日志保护、日志备份、日志分析模型、日志审计报告等项功能。

②支持用户名称、操作日期和时间、操作类型、是否成功、合规审计等项日志审计内容。

③支持数据分析，并生成审计报表。

3、资产风险管理（推荐要求）基于组织内部网络环境, 构建组织内部网络资产基础信息库，能整体和动态发现网络安全风险的管理系统。

①具备实时评估网络安全风险、验证重要风险点、评估风险影响范围、网络安全持续监控、风险通报和威胁预警、风险分析结果可视化、风险处理等7 项功能。

②支持信息系统、承载业务、网络设备、安全设备、服务器设备、终端设备、软件、数据、存储等9 种资产信息库内容。

③支持表格、指示灯、3D 图表、雷达图、拓扑图、热度图等6 种风险可视化结果展示方式。

4、统一安全管理（至少具备6项功能、支持4种可视化展示方式）对组织内部的各类网络安全安全事件的监控、分析和管理的信息系统。

①具备资产管理、资产风险管理、网络安全事件采集、网络安全事件分析、网络安全事件分析模型、实时安全监测、分析结果可视化、安全运营决策和处置服务等8 项功能。

②基于数据分析模型，支持表格、指示灯、3D 图表、雷达图、拓扑图、热度图等6 种可视化结果展示方式。

等级保护2.0 建设（二，三级）需上的设备
信息安全等级保护二级：
一、机房方面的安全措施需求（二级标准）如下：
1、防盗报警系统
2、灭火设备和火灾自动报警系统
3、水敏感检测仪及漏水检测报警系统
4、精密空调
5、备用发电机
二、主机和网络安全层面需要部署的安全产品如下：
1、防火墙或者入侵防御系统
2、上网行为管理系统
3、网络准入系统
4、审计平台或者统一监控平台（可满足主机、网络和应用层面的监控需求，在条件不允许的情况下，至少要使用数据库审计）
5、防病毒软件
三、应用及数据安全层面需要部署的安全产品如下：
1、VPN
2、网页防篡改系统（针对网站系统）
3、数据异地备份存储设备
4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）。

信息安全等级保护三级：
一、机房方面的安全措施需求（三级标准）如下：
1、需要使用彩钢板、防火门等进行区域隔离
2、视频监控系统
3、防盗报警系统
4、灭火设备和火灾自动报警系统
5、水敏感检测仪及漏水检测报警系统
6、精密空调
7、除湿装置
8、备用发电机
9、电磁屏蔽柜
二、主机和网络安全层面需要部署的安全产品如下：
1、入侵防御系统
2、上网行为管理系统
3、网络准入系统
4、统一监控平台（可满足主机、网络和应用层面的监控需求）
5、防病毒软件
6、堡垒机
7、防火墙
8、审计平台（满足对操作系统、数据库、网络设备的审计，在条件不允许的情况下，至少要使用数据库审计）
三、应用及数据安全层面需要部署的安全产品如下：。

等级保护2.0第三级容灾备份应用容灾类安全防护产品功能指标参考
1、本地应用高可用（至少具备5 个组件、支持1 种技术）
①具有应用服务器、数据库服务器、存储磁盘阵列、集群软件
和应用容灾软件等5 个组件。

②支持使用集群、负载均衡等2 种相关技术。

2、本地应用恢复（至少具备2 项功能，RTO≦15 分钟，RPO≦10
分钟）
具备关键业务信息系统复原时间目标（RTO）和复原点目标（RPO）等2 项功能。

3、异地应用容灾（推荐要求）
①具有应用服务器、数据库服务器、存储磁盘阵列、集群软件
和应用容灾软件等5 个组件。

②支持使用高可用、负载均衡、内容分发网络等3 种相关技术。

4、异地应用恢复（推荐要求）
具备关键业务信息系统复原时间目标（RTO）和复原点目标（RPO）等2 项功能,关键业务信息系统RTO≦1 小时，RPO≦30
分钟。

等级保护2.0第三级数据中心数据加固设备类安全防护产品功能指标参考1、网络防泄露设备（推荐要求）防止通过网络传输泄露敏感/关键信息的专用设备。

①具备识别能力（协议识别、应用识别、文件识别、内容识别、异常行为识别）、响应能力、策略管理、报表与审计等4 项功能。

②支持HTTP、HTTPS、FTP、SMTP、POP3 等5 种协议识别。

③支持识别加密文件、压缩文件、图片文件、非Windows 文件、未知文件、自定义文件等6 种文件类型。

④支持文档多层嵌套方式逃避检测、文件多层压缩逃避检测、邮件密送、修改文件扩展名、图片嵌入敏感文档、拷贝文档部分内容泄露敏感信息、少量多次泄露敏感信息、文档页眉页脚隐藏敏感信息、敏感信息标识为隐藏段落等9 种常见异常行为识别方式。

⑤支持文件内容、发送者、接收者、文件特征、通讯协议等5种条件策略配置。

2、存储数据防泄露设备（推荐要求）发现和处理存储系统敏感数据的专用防泄露设备。

①具备敏感数据发现、发现的敏感数据展示、敏感数据隔离等3 项功能。

②支持在文件服务器、数据库、协作平台、Web 站点、台式机、移动终端等6 种系统的敏感数据发现。

③支持非结构化数据指纹检测、结构化数据指纹检测、机器学习特征提取与检测、关键内容描述、正则、数据符等6 种检测技术。

3、数据库加密设备（推荐要求）加密医院数据库和发现数据库风险的专用设备。

①具备系统管理、加解密引擎管理、数据库透明加密管理、数据库状态监控、数据库风险扫描等5 项功能。

②支持动态加解密、密文索引、多级密钥等技术。

4、邮件加密设备（推荐要求）邮件加密和邮件服务器安全防护的专用设备。

①具备邮件加密、安全防御、邮件传输代理、日志审计等4项功能。

②支持附件加密、邮件替换、邮件附件备份、附件链接下载管理、防止机密信息外泄、第三方证书认证加密、网关-网关加密等7种邮件加密方式。

③支持DNS 反向解析、SMTP 攻击防御、SMTP 连接限制、SMTP 字典攻击、SMTP 密码防猜机制、POP 攻击防御、IMAP 攻击防御、DNS 攻击防御等8 种安全防御方式。

等级保护2.0第三级数据中心漏洞扫描设备安全防护产品功能指标参考
1、漏洞扫描设备（推荐要求）
检测与发现系统漏洞的专用设备。

①具备资产管理、漏洞管理、扫描策略配置、漏洞扫描和报表
管理等5 项功能。

②支持CVE、CNNVD、CNCVE、CNVD、BUGTRAQ
等5 种漏洞库编号，按照国家新发布的漏洞及时更新。

③产品扫描信息支持主机信息、用户信息、服务信息、漏洞信
息等4 种内容。

④支持扫描操作系统、网络设备、虚拟化设备、数据库、移动
设备、应用系统等6 类系统和设备。

⑤支持主机探测、端口扫描、弱口令扫描、多主机扫描、多线
程扫描、口令猜解等6 种扫描方式。

⑥支持SNMP trap、邮件、短信、Syslog 等4 种告警方
式。

2、WEB 漏洞扫描设备（推荐要求）
检测与发现医院WEB 网站漏洞的专用设备。

①具备资产管理、漏洞管理、扫描策略配置、漏洞扫描和报表
管理等功能。

②支持SQL 注入、Cookie 注入、跨站脚本攻击、敏感信息
泄露等漏洞检测能力。

③支持Cookie、Form、Basic、NTLM 等登录认证方式。

④支持SNMP trap、邮件、短信、syslog 等告警方式。

3、
4、。

等级保护2.0要求所需设备清单等级保护的工作流程包括定级、备案、建设整改、等级测评、监督检查，核心思想在于建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受信息安全攻击和破坏。

那么，等级保护需要哪些设备呢？本文整理了以下信息，以供参考，实际需求根据项目情况确定。

三级等保要求及所需设备三级等级保护指标项：物理访问控制(G3)d)重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

所需设备：电子门禁系统防盗窃和防破坏(G3)e)应利用光、电等技术设置机房防盗报警系统；f)应对机房设置监控报警系统。

所需设备：监控报警系统、机房防盗报警系统防火(G3)a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；所需设备：火灾自动消防系统防水和防潮(G3)d)应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

所需设备：水敏感检测设备温湿度控制(G3)机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

所需设备：机房专用空调电力供应(A3)d)应建立备用供电系统所需设备：UPS或备用发电机结构安全(G3)b)应保证网络各个部分的带宽满足业务高峰期需要；g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。

所需设备：负载均衡访问控制(G3)a)应在网络边界部署访问控制设备，启用访问控制功能b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级c) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP 3等协议命令级的控制所需设备：防火墙(网站系统，需部署web应用防火墙、防篡改系统)边界完整性检查(S3)a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断所需设备：准入准出设备入侵防范(G3)a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

等级保护2.0第三级终端安全身份认证设备类安全防护产品功能指标参考
1、电子信息鉴别（满足全部要求）
用于对实体和其所呈现身份之间绑定关系进行确认过程的专用设备。

①支持口令认证、证书认证、智能卡认证、短信认证、第三方
系统联动等5 种身份鉴别方式。

②支持两种或以上组合的鉴别技术进行身份鉴别。

2、生物信息鉴别（推荐要求）
基于生物信息鉴别的身份认证专用设备。

①具备用户身份识别和鉴别、身份认证、权限管理、PKI/CA
集成接口等4 项功能。

②支持人脸、指纹、掌纹、虹膜等4 种用户身份生物信息采集
和鉴别类型。

3、
4、。