当前位置：文档库 › 等保2.0三级需要的设备

等保2.0三级需要的设备

等保2.0三级需要的

设备

-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN

二三级等保所需设备

二级等保序号建议功能或模块建议方案或产品重要程度主要依据备注安全层面二级分项二级测评指标权重 1边界防火墙非常重要网络安全访问控制(G2)a)应在网络边界部署访问控制设备，启用访问控制功能； 1 b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。 1 2 入侵检测系统（模块）非常重要网络安全入侵防范（G2）应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等 1 3 WEB应用防火墙（模块）重要应用安全软件容错(A2) a）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求； 1 部分老旧应用无相关校验功能，可由WEB应用防火墙对应用请求进行合法性过滤 4日志审计系统syslog服务器非常重要网络安全安全审计(G2) a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； 1 b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 0.5主机安全安全审计(G2) c)应保护审计记录，避免受到未预期的删除、修改或覆盖等。 0.5 5 运维审计系统（堡垒机）一般网络安全网络设备防护(G2) d)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换； 1 部分网络设备不支持口令复杂度策略与更换策略，需要第三方运维管理工具实现。

6数据库审计重要主机安全安全审计(G2) a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户； 1 7终端管理软件 (补丁分发系统) 重要网络安全边界完整性检查（S2）应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。 1 通过终端管理软件限制终端多网卡情况主机安全入侵防范（G2）操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。 1 可通过终端管理软件统一分发补丁 8企业版杀毒软件重要主机安全恶意代码防范(G2)a)应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库 1 b)应支持防恶意代码的统一管理。1 9本地备份方案重要数据管理安全备份和恢复(A2)a) 应能够对重要信息进行备份和恢复；0.5 三级等保序号建议功能或模块建议方案或产品重要程度主要依据备注安全层面三级分项三级测评指标权重 1 边界防火墙与区域防火墙 (带宽管理模块)非常重要网络安全访问控制(G3) a)应在网络边界部署访问控制设备，启用访问控制功能； 0.5 b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； 1

安全等级保护2级和3级等保要求

二级、三级等级保护要求比较一、技术要求技术要求项二级等保三级等保物理位置的选择1）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 1）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内； 2）机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁； 3）机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。物理访问控制1）机房出入口应有专人值守，鉴别进入的人员身份并登记在案； 2）应批准进入机房的来访人员，限制和监控其活动范围。 1）机房出入口应有专人值守，鉴别进入的人员身份并登记在案； 2）应批准进入机房的来访人员，限制和监控其活动范围； 3）应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过度区域； 4）应对重要区域配置电子门禁系统，鉴别和记录进入的人员身份并监控其活动。物理安全防盗窃和防破坏1）应将主要设备放置在物理受限的范围内； 2）应对设备或主要部件进行固定，并设置明显的不易除去的标记； 3）应将通信线缆铺设在隐蔽处，如铺设在地下或管道中等； 4）应对介质分类标识，存储在介质库或档案室中； 5）应安装必要的防盗报警设施，以防进入机房的盗窃和破坏行为。 1）应将主要设备放置在物理受限的范围内； 2）应对设备或主要部件进行固定，并设置明显的无法除去的标记； 3）应将通信线缆铺设在隐蔽处，如铺设在地下或管道中等； 4）应对介质分类标识，存储在介质库或档案室中； 5）设备或存储介质携带出工作环境时，应受到监控和内容加密； 6）应利用光、电等技术设置机房的防盗报警系统，以防进入机房的盗窃和破坏行为； 7）应对机房设置监控报警系统。

等保建设(二,三级)需上的设备

信息安全等级保护建设（二，三级）需上的设备信息安全等级保护二级：一、机房方面的安全措施需求（二级标准）如下： 1、防盗报警系统 2、灭火设备和火灾自动报警系统 3、水敏感检测仪及漏水检测报警系统 4、精密空调 5、备用发电机二、主机和网络安全层面需要部署的安全产品如下： 1、防火墙或者入侵防御系统 2、上网行为管理系统 3、网络准入系统 4、审计平台或者统一监控平台（可满足主机、网络和应用层面的监控需求，在条件不允许的情况下，至少要使用数据库审计） 5、防病毒软件三、应用及数据安全层面需要部署的安全产品如下： 1、VPN 2、网页防篡改系统（针对网站系统） 3、数据异地备份存储设备 4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）。

信息安全等级保护三级一、机房方面的安全措施需求（三级标准）如下： 1、需要使用彩钢板、防火门等进行区域隔离 2、视频监控系统 3、防盗报警系统 4、灭火设备和火灾自动报警系统 5、水敏感检测仪及漏水检测报警系统 6、精密空调 7、除湿装置 8、备用发电机 9、电磁屏蔽柜二、主机和网络安全层面需要部署的安全产品如下： 1、入侵防御系统 2、上网行为管理系统 3、网络准入系统 4、统一监控平台（可满足主机、网络和应用层面的监控需求） 5、防病毒软件 6、堡垒机 7、防火墙 8、审计平台（满足对操作系统、数据库、网络设备的审计，在条件不允许的情况下，至少要使用数据库审计）三、应用及数据安全层面需要部署的安全产品如下： 1、VPN 2、网页防篡改系统（针对网站系统） 3、数据异地备份存储设备 4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）。 5、数据加密软件（满足加密存储，且加密算法需获得保密局认可

等保2.0 三级拓扑图+设备套餐+详解

等保2.0 三级拓扑图+设备套餐+详解一、等保2.0 三级信息系统 70-80 分套餐： 1、等保2.0 三级信息系统 70-80分拓扑图： 2、设备清单：下一代防火墙（含IPS、AV）+综合日志审计系统+堡垒机+数据库审计系统+杀毒软件。其他参考方案： ?【接入边界NGFW】【必配】：融合防火墙安全策略、访问控制功能。解决安全区域边界要求，并开启AV模块功能；配置网络接入控制功能（802.1X）；配置SSL VPN功能； ?【分区边界NGFW 】【必配】：用于解决安全分区边界的访问控制问题； ?【主机杀毒软件】【必配】：解决安全计算环境要求； ?【日志审计系统】【必配】：解决安全管理中心要求； ?【堡垒机】【必配】：解决集中管控、安全审计要求；

?【数据库审计】【必选】：解决数据库操作行为和内容等进行细粒度的审计和管理，需要根据系统内是否包含数据库业务系统选择； ?【漏洞扫描】【必配】; ?【上网行为管理】【必选】； ?【WAF】【选配】。 3、详解: 第三级要求与第二级相比，主要区别在于多了关键设备及链路需要冗余、对重要区域重点保护需要防入侵防病毒、对远程访问及互联网用户的上网行为进行审计、运维人员的所有操作审计、对数据库的所有操作审计等要求，所以在应用服务器边界部署一组下一代防火墙、在互联网出口部署一台防火墙和上网行为管理用作内外网隔离及应用级的管控与审计，在安全管理区部署堡垒机和数据库审计系统对各方面的操作进行审计并保护审计日志，满足网络安全法的存储时间要求。，如果有互联网发布系统还需增加web防火墙来对系统进行防入侵、防篡改，在应用系统远程管理传输时还需使用HTTPS协议保护数据的完整性和保密性，总之涉及互联网系统或需求的就需增加WEB应用防火墙、上网行为管理和HTTPS来保证系统的安全。

等保建设需上的设备

信息安全等级保护二级：一、机房方面的安全措施需求（二级标准）如下： 1、防盗报警系统 2、灭火设备和火灾自动报警系统 3、水敏感检测仪及漏水检测报警系统 4、精密空调 5、备用发电机二、主机和网络安全层面需要部署的安全产品如下： 1、防火墙或者入侵防御系统 2、上网行为管理系统 3、网络准入系统 4、审计平台或者统一监控平台（可满足主机、网络和应用层面的监控需求，在条件不允许的情况下，至少要使用数据库审计） 5、防病毒软件三、应用及数据安全层面需要部署的安全产品如下： 1、VPN 2、网页防篡改系统（针对网站系统） 3、数据异地备份存储设备 4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）。

3、数据异地备份存储设备 4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）。 5、数据加密软件（满足加密存储，且加密算法需获得保密局认可

三级等保所需设备及服务

等级保护三级系统应配备设备及服务清单 1物理安全部分序号设备或措施功能部署位置重要出入口（包括机1、机房入口 1 电子门禁房出入口和重要区域2、重要服务器出入口等）区入口 2 光电防盗报警防盗报警机房窗户、入视频监控系统口等处 3 防雷保安器防感应雷配电箱 4 自动消防系统要求自动检测火情、自动报警、自动灭火 5 新风换气防水防潮 6 动力环境监测系统 -水敏感检测仪表 7 机房专用空调防水防潮、温湿度控制 8 接地系统防雷接地 9 UPS系统不间断电源（UPS）是否备注必须是是可通过监控弥补是可以用手动灭火器加报警器组成可人工检测海洛斯、艾默生是等是华为、APC、台是达、山特等 2网络安全部分序号设备或措施功能部署位置是否备注必须访问控制：实现路由控制，数据流控制，控制粒度到端口级；1、网络边界 1 应用级防火墙实现应用层访问控制2、重要服务器是和过滤；控制空闲会区前端话数、最大网络连接原创内容侵权必究

数等对网络流量进行监 2 流量控制设备控，保障重要资源的1、网络边界优先访问 1、网络边界 3 流量清洗设备防止DDos攻击2、服务器前端对网络设备、服务器、数据库、应用等 4 IT运维管理软件进行监控，包括监视安全管理区是 CPU、硬盘、内存、网络资源的使用情况对网络设备、安全设 5 日志审计系统备、操作系统的日志安全管理区是进行集中存储、分析原创内容侵权必究

6 网络审计系统分析网络流量，排除核心交换区网络故障支持多元化认证方 7 无线WIFI控制系统式，如短信认证、二核心交换区维码认证、微信认证等终端健康状态检查、 8 终端安全管理系统终端准入控制、外设安全管理区是(含准入硬件) 控制、终端非法外联控制 IDS系统网络攻击检测/报警： 1、核心交换区 9 或IPS系统在网络边界处监视各是 2、网络边界无线IDS系统种攻击行为 10 防毒墙网络入口病毒检测、网络边界是查杀云接入身份认证、链1、网络入口 11 VPN/VFW等路安全、虚拟服务器2、虚拟服务间访问控制器 12 上网行为管理网络出口处是对网络设备、服务器、数据库、应用等 13 集中管控平台进行监控，包括监视网络管理中心是 CPU、硬盘、内存、网络资源的使用情况 14 EMM 安全运行环境、代码审核、安全app加壳对网络设备身份鉴原创内容侵权必究