完整版三级等保所需设备及服务
等保三级设备清单
安全网络域
1台
提供完整的SSL VPN服务。远程用户只需应用标准IE浏览器即可登陆网关,通过身份鉴别,在基于角色的策略控制下实现对企业内部资源的存取访问
WEB防火墙
外部应用域
2台
主要防护各区域与服务器区访问控制策略,隔离内网关键业务系统
WEB防篡改
外部应用域
1台
部署WEB防篡改系统,即WEB应用防护系统服务器,该服务器能沟通过后台备份、实时扫描等技术,实现对WEB文件内容的实时监控,发现问题时能实时恢复,有效地保证了WEB文件的安全性和真实性
服务器
数据服务域
内部应用域
/
部署多台服务器进行设备冗余,有效保障业务连续性
汇聚交换机
外部应用域
数据服务域
内部应用域
安全管理域
8台
汇聚交换机用于连接网络中的其它交换机或者为带宽占用量大的关键服务器提供附加带宽以及VLAN划分。
网络行为审计
安全网络域
1台
收集计算环境产生的日志信息,包括各类业务服务的操作系统和应用系统,数据库服务以及部分网络设备和安全设备
磁盘阵列
数据服务域
1台
部署磁盘阵列保障数据的完整性
数据库审计系统
数据服务域
1台
对流经核心处理区的所有数据库操作信息进行审计,通过记录、分析所有数据库的操作、应用信息,及时有效分析数据库系统发生的安全事件
身份认证管理系统
安全管理域
1套
采用数字证书认证有效保障业务数据的完整性、可靠性,防止关键业务数据被篡改
防火墙
安全网络域
2台
部署防火墙进行设备冗余,极大地提高内部网络的安全性,并通过过滤不安全的服务而降低风险。有效进行网络访问控制
三级等保测评服务内容
三级等保测评服务内容
三级等保测评是指对信息系统的安全性进行评估和测试,以确定其是否符合国
家三级等级保护标准的要求。
在进行三级等保测评时,需要按照以下内容进行服务:
1.系统资产确认与分类:通过对信息系统中的各种资产进行确认和分类,包括
软件、硬件、网络设备、数据库等,以便全面评估其安全性。
2.安全策略与规划评估:对信息系统的安全策略和规划进行评估,包括密码策略、网络安全策略、应急响应计划等,以确保其与国家三级等保标准相符。
3.权限与访问控制评估:评估系统中的权限管理和访问控制机制,包括用户权
限分配、身份认证、访问控制列表等,以确保系统只被授权人员访问。
4.安全运维管理评估:对系统的安全运维管理进行评估,包括安全事件管理、
日志审计、漏洞管理等,以确保对系统进行有效的监控和管理。
5.物理环境评估:评估物理环境中的安全措施,包括设备布置、防火墙设置、
电力和环境监控等,以确保系统能在安全的物理环境下运行。
6.网络安全评估:评估系统的网络安全性,包括网络拓扑结构、入侵检测与防御、防火墙设置等,以确保系统在网络层面上的安全性。
7.安全培训与意识评估:评估系统用户的安全培训和安全意识程度,并提供相
应的培训和改进建议,以提高系统用户的安全防范意识。
以上是三级等保测评的主要服务内容,通过对系统的各个方面进行评估,可以
帮助企业或组织发现潜在的安全风险,并采取相应的措施进行改进和强化,以确保系统的安全性达到国家三级等级保护标准的要求。
二级等保三级等保所需设备
用情况; 2、应限制单个用户对系统资
运维管理系统
源的最大或最小使用限度;
3、应能够对系统的服务水平
降低到预先规定的最小值进行
检测和报警。
网络设备防护:
1、主要网络设备应对同一用
户选择两种或两种以上组合的
鉴别技术来进行身份鉴别;
18
无要求
2、 应采用两种或两种以上组 合的鉴别技术对管理用户进行
堡垒机+UKey认证
序号 1 2 3 4 5 6
7 8 9 10
11
二等级保护基本要求
三级等保基本要求
所需设备
物理访问控制:
物理访问控制:
1、重要区域应配置电子门禁 1、重要区域应配置电子门禁 系统,控制、鉴别和记录进入 系统,控制、鉴别和记录进入
电子门禁系统
的人员。
的人员。
防盗窃和防破坏:
防盗窃和防破坏:
主机房应安装必要的防盗报警 1、应利用光、电等技术设置
避免受到未预期的删除、修改
或覆盖等
14
安全审计(G3) 1、 审计范围应覆盖到服务器 和重要客户端上的每个操作系 统用户和数据库用户;
日志审计系统 日志服务器 数据库审计系统
2、 审计内容应包括重要用户
行为、系统资源的异常使用和
重要系统命令的使用等系统内
重要的安 全相关事件;3、
审计记录应包括事件的日期、
设施。
机房防盗报警系统;
机房防盗报警系统
2、 应对机房设置监控报警系
统。
防火:
防火:
1、机房应设置灭火设备和火 1、机房应设置灭火设备和火
灾自动报警系统。
灾自动报警系统。
灭火设备 火灾自动报警系统
等级保护三级(等保三级)基本要求内容
等级保护三级(等保三级)基本要求内容等级保护第三级基本要求1.1.1 物理安全1.1.1.1 物理位置的选择(G3)为确保物理安全,机房和办公场地应选择在具有防震、防风和防雨等能力的建筑。
机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.1.2 物理访问控制(G3)为确保物理安全,机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
机房划分区域应进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3)为确保物理安全,应将主要设备放置在机房。
设备或主要部件应进行固定,并设置明显的不易除去的标记。
通信线缆应铺设在隐蔽处,可铺设在地下或管道中。
介质应分类标识,存储在介质库或档案室中。
利用光、电等技术设置机房防盗报警系统,对机房设置监控报警系统。
1.1.1.4 防雷击(G3)为确保物理安全,机房建筑应设置避雷装置。
应设置防雷保安器,防止感应雷。
机房应设置交流电源地线,并安装电源三级防雷器和信号二级防雷器。
1.1.1.5 防火(G3)为确保物理安全,机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
机房应采取区域隔离防火措施。
1.1.1.6 防水和防潮(G3)为确保物理安全,水管安装不得穿过机房屋顶和活动地板下。
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
应采取措施防止机房水蒸气结露和地下积水的转移与渗透。
应安装机房动力环境监控系统,以便检测水敏感元件的运行情况。
网络高峰期时,重要业务的带宽优先得到保障;h)应定期对网络拓扑结构进行评估和调整。
确保网络结构的合理性和安全性。
1.1.2.2访问安全(G3)本项要求包括:a)应对网络进行访问控制,限制非授权人员的访问;b)应对所有访问进行身份验证和授权。
(完整版)等保2.0三级需要的设备
使用范围
基本要求
产品类型Байду номын сангаас例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制(权限分离)
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计
下一代防火墙、日志审计系统
入侵防范
主机配置项+IPS、安全感知平台、EDR、主机入侵检测产品(HIDS)
恶意代码防范
通讯传输
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理(网络、主机、应用)
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
运维堡垒主机、APM
集中管理
运维堡垒主机、主机安全管理平台、态势感知
主机安全组件(EDR)、网络版防病毒软件
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备
剩余信息保护
终端综合管理系统
个人信息保护
行为审计
安全区域边界
边界防护
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感知平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证
等保2.0三级需要的设备
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理(网络、主机、应用)
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
运维堡垒主机、APM
集中管理
运维堡垒主机、主机安全管理平台、态势感知
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证
重要应用程序的动态可信验证
安全通信网络
网络架构
下一代防火墙、负载均衡、上网行为管理
等保2.0三级需要的设备
三级系统安全保护环境基本要求与对应产品
使用范围
基本要求
产品类型举例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制(权限分离)
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计
下一代防火墙、日志审计系统
入侵防范
主机配置项+IPS、安全感知平台、EDR、主机入侵检测产品(HIDS)
恶意代码防范
主机安全组件(EDR)、网络版防病毒软件
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备
等保建设(二,三级)需上的设备
信息安然等级呵护扶植(二,三级)需上的装备信息安然等级呵护二级:一.机房方面的安然措施需求(二级尺度)如下:1.防盗报警体系2.灭火装备和火警主动报警体系3.水迟钝检测仪及漏水检测报警体系4.周详空调5.备用发电机二.主机和收集安然层面须要安排的安然产品如下:1.防火墙或者入侵防御体系2.上彀行动治理体系3.收集准入体系4.审计平台或者同一监控平台(可知足主机.收集和运用层面的监控需求,在前提不许可的情形下,至少要运用数据库审计)5.防病毒软件三.运用及数据安然层面须要安排的安然产品如下:1.VPN2.网页防篡改体系(针对网站体系)3.数据异地备份存储装备4.重要收集装备.通讯线路和数据处理体系的硬件冗余(症结装备双机冗余).信息安然等级呵护三级一.机房方面的安然措施需求(三级尺度)如下:1.须要运用彩钢板.防火门等进行区域隔离2.视频监控体系3.防盗报警体系4.灭火装备和火警主动报警体系5.水迟钝检测仪及漏水检测报警体系6.周详空调7.除湿装配8.备用发电机9.电磁屏障柜二.主机和收集安然层面须要安排的安然产品如下:1.入侵防御体系2.上彀行动治理体系3.收集准入体系4.同一监控平台(可知足主机.收集和运用层面的监控需求)5.防病毒软件6.碉堡机7.防火墙8.审计平台(知足对操纵体系.数据库.收集装备的审计,在前提不许可的情形下,至少要运用数据库审计)三.运用及数据安然层面须要安排的安然产品如下:1.VPN2.网页防篡改体系(针对网站体系)3.数据异地备份存储装备4.重要收集装备.通讯线路和数据处理体系的硬件冗余(症结装备双机冗余).5.数据加密软件(知足加密存储,且加密算法需获得保密局承认。
三级等保所需设备及服务
2、重要服务器区前端
是
2
流量控制设备
对网络流量进行监控,保障重要资源的优先访问
1、网络边界
3
流量清洗设备
防止DDos攻击
1、网络边界2、服务器前端
4
IT运维管理软件
对网络设备、服务器、数据库、应用等进行监控,包括监视CPU、硬盘、内存、网络资源的使用情况
安全管理区
是
5
日志审计系统
对网络设备、安全设备、操作系统的日志进行集中存储、分析
等级
1物理安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
电子门禁
重要出入口(包括机房出入口和重要区域出入口等)
1、机房入口
2、重要服务器区入口
是
2
光电防盗报警
视频监控系统
防盗报警
机房窗户、入口等处
是
可通过监控弥补
3
防雷保安器
防感应雷
配电箱
是
4
自动消防系统
要求自动检测火情、自动报警、自动灭火
可以用手动灭火器加报警器组成
服务器
是浪潮SSR或人工配置,不需备4数据安全部分序号
设备或措施
功能
部署位置
是否
必须
备注
1
网络设备、服务器设备 备份
关键网络设备、通信线路和数据
处理系统的硬件冗余,保证系统 的可用性
是
可冷备
2
软硬件一体化备份容灾 设备
应能够对重要信息进行备份和恢 复
安全管理区
是
3
负载均衡设
备
要求双线路,负载均衡
边界区
5
新风换气
二级等保和三级等保涉及产品和服务
二级等保和三级等保涉及产品和服务基本要求(3级)技术要求控制点安全产品及服务物理位置的选择(G3)避免地下室、一层、楼顶、阳光强烈面物理访问控制(G3)机房门禁系统/人员来访登记表防盗窃和防破坏(G3)机房防盗报警系统/监控系统防雷击(G3)可以防雷器/接地模块/引下线/信号防雷器/汇流排放火(G3)气体灭火/真空灭火防水和防潮(G3)作挡水围堰并在挡水围堰内楼地面做防水处理防静电(G3)防静电地板/陶瓷地板温湿度控制(G3)精密空调/温湿度变送器/温湿度监控系统电力供应(A3)市电专线/UPS不间断电源电磁防护(S3)滤波器/屏蔽门结构安全(G3)网络设备加固/冗余访问控制(G3)防火墙/网闸安全审计(G3)网络安全审计/堡垒机边界完整性检查(S3)终端安全管理/终端准入入侵防范(G3)网络入侵检测/网络入侵防护恶意代码防范(G3)防病毒网关网络设备防护(G3)网络设备加固/堡垒机身份鉴别(S3)终端安全管理/主机加固访问控制(S3)终端安全管理安全审计(G3)日志审计/主机审计剩余信息保护(S3)桌面虚拟化入侵防范(G3)终端安全管理/漏洞扫描系统/安全评估和主机加固/主机入侵检测恶意代码防范(G3)反病毒软件资源控制(A3)终端安全管理/网管软件身份鉴别(S3)应用系统加固/CA系统/堡垒机(二开)访问控制(S3)应用系统加固/CA系统/堡垒机(二开)安全审计(G3)应用审计系统剩余信息保护(S3)应用虚拟化/终端安全管理(沙盒技术)通信完整性(S3)CA系统通信保密性(S3)CA系统/VPN 抗抵赖(G3)CA系统软件容错(A3)代码审核资源控制(A3)终端安全管理/网管软件/应用虚拟化数据完整性(S3)数据库审计/VPN 数据保密性(S3)数据库加密/VPN 安全备份(A3)数据冗灾备份/链路冗余红色部分:安全服务或定制开发网络安全主机安全应用安全数据安全与备份恢复物理安全。
二三级等保所需设备
二三级等保所需设备二级等保序号建议功能或模块建议方案或产品重要程度主要依据安全层面二级分项二级测评指标权重备注1边界防火墙入侵检测系统2模块)WEB应用防火墙(模3块)4日志审计系统syslog服务器运维审计系统5堡垒机)非常重要网络安全非常重要网络安全重要应用安全网络安全非常重要主机安全一般网络安全访问控制(G2)入侵防范(G2)软件容错(A2)安全审计(G2)安全审计(G2)网络设备防护(G2)a)应在网络边界部署访问控制设备,启用访问控制1功用;b)应能根据会话状态信息为数据流提供明确的允许1拒绝访问的能力,控制粒度为网段级。
应在收集边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢1出攻击、IP碎片攻击和网络蠕虫攻击等a)应提供数据有效性检验功能,保证通过人机接口输入或经由过程通讯接口输入的数据花式或长度吻合系1统设定要求;a)应对收集系统中的收集装备运行状况、收集流量、1用户行为等进行日志记录;b)审计记录应包括变乱的日期和工夫、用户、变乱0.5类型、事件是否成功及其他与审计相关的信息。
c)应保护审计记录,避免受到未预期的删除、修改0.5或覆盖等。
d)身份鉴别信息应具有不易被冒用的特点,口令应1有复杂度要求并定期调换;部分老旧应用无相关校验功能,可由WEB应用防火墙对应用请求进行合法性过滤部分网络设备不支持口令复杂度策略与调换策略,需要第三方运维管理工具实现。
6数据库审计重要主机安全安全审计(G2)a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;应能够对内部网络中出现的内部用户未通过准许私1通过终端管理软件限制终端多网络安全边界完整性检查(S2)1终端管理软件7(补丁分发系重要统)主机安全入侵提防(G2)8企业版杀毒软件重要主机安全恶意代码防范(G2) 9当地备份方案重要数据管理备份和恢复(A2)安全三级等保序号主要依据建议功用或模块建议方案或产品重要水平安全层面三级分项边界防火墙与区域防火墙1十分重要收集安全访问控制(G3)带宽管理模块)自联到内部收集的行为进行检查。
三级等保要求标准安全清单
等级保护建设咨
5
安全服务
询
一代千兆防火墙,单电源,提供1个console接口;固化8个SFP接口,10 个千兆电口;2个USB口;可选配病毒库、攻击库、应用识别库、垃圾邮件库、网 页分类库特征库升级服务
RG-WALL 1600-M6600病毒库、攻击库、应用识别库、垃圾邮件库、网页分类 库特征库升级服务授权1年 千兆入侵检测防御系统,固化6千兆电口和一扩展槽,2U冗余电源 RG-IDP 2000E特征库升级-1年
价格
总量 2
6 1 3 1 1 1 1 1
1
1
4 2 2
2
总价
备注
(隔离内外网和不同区域,保障内网安全;满足三级等保中边界安全要 求)
(提供入侵检测功能,以满足等保三级中关于网络安全入侵防范的要 求)
(提供行为审计功能,以满足等保三级中关于网络安全审计的要求)
(实现用户入网身份认证,防止非法用户访问,满足三级等保中,用户 身份安全要求)部署终端安全防护软件,实现的准入、 病毒防护、软件 分发、系统升级等安全管控。
(WEB应用防护,满足等保三级中关键应用安全要求) (提供数据加密传输功能,满足等保三级中 数据安全要求)
(实现单点登录和运维审计,满足等保三级中 运维安全要求)
日志审计,安全态势感知,安全运维 全域信息安全动态监测、分析与预警机制
购买专业安全服务进行全流程监管和服务内容知识库管理
新一代RG-UAC 6000,标准2U机架设备,6GE+1扩展槽位(支持8电/4光 4电扩展卡),冗余电源,支持500M带宽,5000用户,1T硬盘
RG-SMP 2.X专业版软件本体,含安全域功能,按在线终端数授权;软件本体包 含100终端的授权
等保建设需上的设备
信息安全等级保护建设(二,三级)需上的设备信息安全等级保护二级:一、机房方面的安全措施需求(二级标准)如下:1、防盗报警系统2、灭火设备和火灾自动报警系统3、水敏感检测仪及漏水检测报警系统4、精密空调5、备用发电机二、主机和网络安全层面需要部署的安全产品如下:1、防火墙或者入侵防御系统2、上网行为管理系统3、网络准入系统4、审计平台或者统一监控平台(可满足主机、网络和应用层面的监控需求,在条件不允许的情况下,至少要使用数据库审计)5、防病毒软件三、应用及数据安全层面需要部署的安全产品如下:1、VPN2、网页防篡改系统(针对网站系统)3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。
信息安全等级保护三级一、机房方面的安全措施需求(三级标准)如下:1、需要使用彩钢板、防火门等进行区域隔离2、视频监控系统3、防盗报警系统4、灭火设备和火灾自动报警系统5、水敏感检测仪及漏水检测报警系统6、精密空调7、除湿装置8、备用发电机9、电磁屏蔽柜二、主机和网络安全层面需要部署的安全产品如下:1、入侵防御系统2、上网行为管理系统3、网络准入系统4、统一监控平台(可满足主机、网络和应用层面的监控需求)5、防病毒软件6、堡垒机7、防火墙8、审计平台(满足对操作系统、数据库、网络设备的审计,在条件不允许的情况下,至少要使用数据库审计)三、应用及数据安全层面需要部署的安全产品如下:1、VPN2、网页防篡改系统(针对网站系统)3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。
5、数据加密软件(满足加密存储,且加密算法需获得保密局认可。
三级等保所需设备及服务
等级保护三级系统应配备设备及服务清单1物理安全部分序号设备或措施功能部署位置重要出入口(包括机1、机房入口1 电子门禁房出入口和重要区域2、重要服务器出入口等)区入口2 光电防盗报警防盗报警机房窗户、入视频监控系统口等处3 防雷保安器防感应雷配电箱4 自动消防系统要求自动检测火情、自动报警、自动灭火5 新风换气防水防潮6动力环境监测系统-水敏感检测仪表7 机房专用空调防水防潮、温湿度控制8 接地系统防雷接地9 UPS系统不间断电源(UPS)是否备注必须是是可通过监控弥补是可以用手动灭火器加报警器组成可人工检测海洛斯、艾默生是等是华为、APC、台是达、山特等2网络安全部分序号设备或措施功能部署位置是否备注必须访问控制:实现路由控制,数据流控制,控制粒度到端口级;1、网络边界1 应用级防火墙实现应用层访问控制2、重要服务器是和过滤;控制空闲会区前端话数、最大网络连接原创内容侵权必究数等对网络流量进行监2 流量控制设备控,保障重要资源的1、网络边界优先访问1、网络边界3 流量清洗设备防止DDos攻击2、服务器前端对网络设备、服务器、数据库、应用等4 IT运维管理软件进行监控,包括监视安全管理区是CPU、硬盘、内存、网络资源的使用情况对网络设备、安全设5 日志审计系统备、操作系统的日志安全管理区是进行集中存储、分析原创内容侵权必究6 网络审计系统分析网络流量,排除核心交换区网络故障支持多元化认证方7 无线WIFI控制系统式,如短信认证、二核心交换区维码认证、微信认证等终端健康状态检查、8 终端安全管理系统终端准入控制、外设安全管理区是(含准入硬件) 控制、终端非法外联控制IDS系统网络攻击检测/报警:1、核心交换区9 或IPS系统在网络边界处监视各是2、网络边界无线IDS系统种攻击行为10 防毒墙网络入口病毒检测、网络边界是查杀云接入身份认证、链1、网络入口11 VPN/VFW等路安全、虚拟服务器2、虚拟服务间访问控制器12 上网行为管理网络出口处是对网络设备、服务器、数据库、应用等13 集中管控平台进行监控,包括监视网络管理中心是CPU、硬盘、内存、网络资源的使用情况14 EMM安全运行环境、代码审核、安全app加壳对网络设备身份鉴原创内容侵权必究别、管理地址控制、人工配置,不需15 网络加固密码复杂度、鉴别处手工加固是要加固理、加密传输等进行功能加固。
等保三级机房建设标准
等保三级机房建设标准
等保三级机房建设是指按照国家等级保护标准,对机房环境、设备设施、安全管理等方面进行规范和要求的一种级别。
1. 机房环境
(1)机房地理位置:机房应位于防水、防火、抗震等自然灾害影响较小的区域,远离交通干扰和噪音源。
(2)机房面积:机房面积应满足业务需求,并且要有合理的布局,确保设备摆放和空调散热的良好环境。
(3)机房电力:机房应有稳定可靠的电力供应,配备备用电源和UPS(不间断电源)系统,确保设备在停电情况下能正常运行。
2. 设备设施
(1)服务器机柜:机柜应具备防尘、防潮、防静电等特性,并且有良好的散热设计。
(2)网络设备:网络设备应支持高速稳定的数据传输,具备防火墙、入侵检测等安全功能。
(3)监控系统:机房应配备完善的监控系统,包括视频监控、门禁系统等,确保机房安全。
3. 安全管理
(1)机房进出管理:机房应设置门禁系统,限制非授权人员进入,同时要建立访客记录系统。
(2)数据安全保护:机房应设有防火墙、入侵检测系统等,保护网络安全,防止黑客攻击和数据泄露。
(3)设备安全管理:机房应定期检查设备的运行状态,做好设备维护和保养工作,确保设备正常运行。
(4)应急响应机制:机房应有完善的应急响应机制,能够及时处理突发事件,保障业务的连续运行。
等保2.0三级需要的设备
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理(网络、主机、应用)
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
运维堡垒主机、APM
集中管理
运维堡垒主机、主机安全管理平台、态势感知
主机安全组件(EDR)、网络版防病毒软件
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备
剩余信息保护
终端综合管理系统
个人信息保护
行为审计
安全区域边界
边界防护
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感知平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证
重要应用程序的动态可信验证
安全通信网络
网络架构
下一代防火墙、负载均衡、上网行为管理
三级系统安全保护环境基本要求与对应产品
使用范围
基本要求
产品类型举例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制(权限分离)
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计ቤተ መጻሕፍቲ ባይዱ
下一代防火墙、日志审计系统
入侵防范
(完整版)三级等保所需设备及服务
序号
服务名称
功能
是否必须
备注
1
信息安全制度完善
完善信息安全管理制度,评审修订
是
2
安全检查
网络安全检查
是
3
安全培训
安全意识培训或安全技术培训
是
4
安全专家
应聘请信息安全专家作为常年的安全顾问,征询信息安全相关事宜
是
与防毒墙代码库相异;及时更新;支持统一管理
安全管理区
是
3
Web防火墙
防SQL注入、跨站攻击等
服务器前端
是
4
网页防篡改系统
篡改检测模块(数字水印技术和应用防护模块(防注入攻击),实现了对静态和动态网页和脚本的实时检测和恢复,
服务器区
6
漏洞扫描设备
通过漏洞扫描发现漏洞;通过终端安全分发补丁
核心交换区
7
堡垒机
等级
1物理安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
电子门禁
重要出入口(包括机房出入口和重要区域出入口等)
1、机房入口
2、重要服务器区入口
是
2
光电防盗报警
视频监控系统
防盗报警
机房窗户、入口等处
是
可通过监控弥补
3
防雷保安器
防感应雷
配电箱
是
4
自动消防系统
要求自动检测火情、自动报警、自动灭火
可以用手动灭火器加报警器组成
实现对网络设备、安全设备、服务器设备的远程集中管理、运维监控
核心交换区
8
数据库审计
实现对数据库的操作监控,语句回溯
服务器区或核心交换去
等保建设(二,三级)需上的设备
信息安全等级保护建设(二,三级)需上的设备令狐采学信息安全等级保护二级:一、机房方面的安全措施需求(二级标准)如下:1、防盗报警系统2、灭火设备和火灾自动报警系统3、水敏感检测仪及漏水检测报警系统4、精密空调5、备用发电机二、主机和网络安全层面需要部署的安全产品如下:1、防火墙或者入侵防御系统2、上网行为管理系统3、网络准入系统4、审计平台或者统一监控平台(可满足主机、网络和应用层面的监控需求,在条件不允许的情况下,至少要使用数据库审计)5、防病毒软件三、应用及数据安全层面需要部署的安全产品如下:1、VPN2、网页防篡改系统(针对网站系统)3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。
信息安全等级保护三级一、机房方面的安全措施需求(三级标准)如下:1、需要使用彩钢板、防火门等进行区域隔离2、视频监控系统3、防盗报警系统4、灭火设备和火灾自动报警系统5、水敏感检测仪及漏水检测报警系统6、精密空调7、除湿装置8、备用发电机9、电磁屏蔽柜二、主机和网络安全层面需要部署的安全产品如下:1、入侵防御系统2、上网行为管理系统3、网络准入系统4、统一监控平台(可满足主机、网络和应用层面的监控需求)5、防病毒软件6、堡垒机7、防火墙8、审计平台(满足对操作系统、数据库、网络设备的审计,在条件不允许的情况下,至少要使用数据库审计)三、应用及数据安全层面需要部署的安全产品如下:1、VPN2、网页防篡改系统(针对网站系统)3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。
5、数据加密软件(满足加密存储,且加密算法需获得保密局认可。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1
序号
设备或措施
功能
部署位置
是否 必须
备注
1
电子门禁
重要岀入口(包括机 房岀入口和重要区域 出入口等)
1、机房入口
2、重要服务器 区入口
是
2
光电防盗报警 视频监控系统
防盗报警
机房窗户、入 口等处
是
可通过监控弥补
3
防雷保安器
防感应雷
配电箱
是
4
自动消防系统
要求自动检测火情、 自动报警、自动灭火
服务器区
6
漏洞扫描设备
通过漏洞扫描发现漏 洞;通过终端安全分 发补丁
核心交换区
7
堡垒机
实现对网络设备、安 全设备、服务器设备 的远程集中管理、运 维监控
核心交换区
8
数据库审计
实现对数据库的操作 监控,语句回溯
服务器区或核 心交换去
是
9
操作系统加固软
件
底层操作系统加固、 强制访问控制、剩余 信息保护
服务器
可以用手动灭火 器加报警器组成
5
新风换气
防水防潮
6
动力环境监测系统-水敏感检测仪表
可人工检测
7
机房专用空调
防水防潮、温湿度控 制
是
海洛斯、艾默生 等
8
接地系统
防雷接地
是
9
UPS系统
不间断电源(UPS)
是
华为、APC、台
达、山特等
2
序号
设备或措施
功能
部署位置
是否 必须
备注
1
应用级防火墙
访问控制:实现路由 控制,数据流控制, 控制粒度到端口级; 实现应用层访问控制 和过滤;控制空闲会 话数、最大网络连接 数等
10
操作系统加固软 件及人工配置
控制重要文件权限; 禁用或删除不需要的 服务、共享等;限制 或禁用默认/匿名用 户,删除多余、过期 及共享用户;用户权 限设置;系统管理员 不由数据库管理员兼 任;特权用户权限分 离;对重要信息设置 敏感标识并控制访问 权限;
服务器
是
浪潮SSR或人工 配置,不需设备
4
是
13
集中管控平台
对网络设备、服务 器、数据库、应用等 进行监控,包括监视
CPU硬盘、内存、网 络资源的使用情况
网络管理中心
是
14
EMM
安全运行环境、代码 审核、安全app加壳
15
网络加固
对网络设备身份鉴 另V、管理地址控制、 密码复杂度、鉴别处 理、加密传输等进行 功能加固。
手工加固
是
人工配置,不需 要加固
1、网络边界
2、重要服务器 区前端
是
2
流量控制设备
对网络流量进行监 控,保障重要资源的 优先访问
1、网络边界
3
流量清洗设备
防止DDos攻击
1、网络边界
2、服务器前 端
4
IT运维管理软件
对网络设备、服务 器、数据库、应用等 进行监控,包括监视
CPU硬盘、内存、网 络资源的使用情况
安全管理区
是
5
日志审计系统
对网络设备、安全设 备、操作系统的日志 进行集中存储、分析
安全管理区
是
6
网络审计系统
分析网络流量,排除
核心交换区
网络故障
7
无线WIFI控制系统
支持多元化认证方 式,如短信认证、二 维码认证、微信认证 等
核心交换区
8
终端安全管理系统(含准入硬件)
终端健康状态检查、 终端准入控制、外设 控制、终端非法外联 控制
完善信息安全管理制度, 评审修订
是
2
安全检查
网络安全检查
是
3
安全培训
安全意识培训或安全技术 培训
是
4
安全专家
应聘请信息安全专家作为 常年的安全顾问,征询信
是
息安全相关事宜
序号
设备或措施
功能
部署位置
是否 必须
备注
1
网络设备、服务器 设备备份
关键网络设备、通信线
路和数据
处理系统的硬件冗余, 保证系统的可用性
是
可冷备
2
软硬件一体化备份 容灾设备
应能够对重要信息进行 备份和恢复
安全管理区
是
3
负载均衡设 备
要求双线路,负载是否必须
备注
1
信息安全制度完善
安全管理区
是
9
IDS系统 或IPS系统 无线IDS系统
网络攻击检测/报警: 在网络边界处监视各 种攻击行为
1、核心交换区
2、网络边界
是
10
防毒墙
网络入口病毒检测、 查杀
网络边界
是
11
VPN/VFV等
云接入身份认证、链 路安全、虚拟服务器 间访问控制
1、网络入口
2、虚拟服务
器
12
上网行为管理
网络岀口处
3
序号
设备或措施
功能
部署位置
是否 必须
备注
1
主机IPS软件或 杀毒软件集成
特定进程、入侵行为 监控和完整性检测
服务器
2
网络版防病毒软 件
与防毒墙代码库相 异;及时更新;支持 统一管理
安全管理区
是
3
Wet防火墙
防SQ注入、跨站攻击 等
服务器前端
是
4
网页防篡改系统
篡改检测模块(数字 水印技术和应用防护 模块(防注入攻 击),实现了对静态 和动态网页和脚本的 实时检测和恢复,