等级保护三级系统应配备设备及服务清单
1 物理安全部分
序号 1 2 3 4 5 6 7 8 9 设备或措施 电子门禁 光电防盗报警 视频监控系统 防雷保安器 自动消防系统 新风换气 动力环境监测系统-水敏感检测仪表 机房专用空调 接地系统 UPS系统 功能 重要出入口(包括机房出入口和重要区域出入口等) 防盗报警 部署位置 1、机房入口 2、重要服务器区入口 机房窗户、入口等处 配电箱 是否必须 是 是 是 是 是 是 备注 可通过监控弥补 可以用手动灭火器加报警器组成 可人工检测 海洛斯、艾默生等 华为、APC、台达、山特等 防感应雷 要求自动检测火情、 自动报警、自动灭火 防水防潮 防水防潮、温湿度控制 防雷接地 不间断电源(UPS) 2 网络安全部分 序号 设备或措施 功能 访问控制:实现路由控制,数据流控制,控制粒度到端口级;实现应用层访问控制和过滤;控制空闲会话数、最大网络连接数等 对网络流量进行监控,保障重要资源的优先访问 防止DDos攻击 对网络设备、服务器、数据库、应用等进行监控,包括监视CPU、硬盘、内存、网络资源的使用情况 对网络设备、安全设备、操作系统的日志进行集中存储、分析 分析网络流量,排除部署位置 是否必须 备注 1 应用级防火墙 1、网络边界 2、重要服务器区前端 是 2 流量控制设备 1、网络边界 1、 网络边界2、 服务器前端 3 流量清洗设备 4 IT运维管理软件 安全管理区 是 5 6
日志审计系统 网络审计系统 安全管理区 核心交换区 是 第 1 页 共 8 页
7 8 9 10 网络故障 支持多元化认证方式,如短信认证、二无线WIFI控制系统 维码认证、微信认证等 终端健康状态检查、终端安全管理系统终端准入控制、外设(含准入硬件) 控制、终端非法外联控制 IDS系统 网络攻击检测/报警:或IPS系统 在网络边界处监视各无线IDS系统 种攻击行为 网络入口病毒检测、防毒墙 查杀 云接入身份认证、链路安全、虚拟服务器间访问控制 网络出口处 对网络设备、服务器、数据库、应用等进行监控,包括监视CPU、硬盘、内存、网络资源的使用情况 安全运行环境、代码审核、安全app加壳 对网络设备身份鉴别、管理地址控制、密码复杂度、鉴别处理、加密传输等进行功能加固。 核心交换区 安全管理区 是 1、核心交换区 是 2、网络边界 网络边界 1、 网络入口2、 虚拟服务器 是 11 VPN/VFW等 12 上网行为管理 是 13 集中管控平台 网络管理中心 是 14 EMM 15 网络加固 手工加固 是 人工配置,不需要加固 3 主机安全部分 序号 1 2 3 设备或措施 主机IPS软件或杀毒软件集成 网络版防病毒软件 Web防火墙 功能 特定进程、入侵行为监控和完整性检测 与防毒墙代码库相异;及时更新;支持统一管理 防SQL注入、跨站攻击等 篡改检测模块(数字水印技术和应用防护模块(防注入攻击),实现了对静态和动态网页和脚本的实时检测和恢复, 部署位置 服务器 安全管理区 服务器前端 是否必须 是 是 备注 4 网页防篡改系统 服务器区
第 2 页 共 8 页
6 漏洞扫描设备 7 堡垒机 8 9 数据库审计 操作系统加固软件 10 操作系统加固软件及人工配置 通过漏洞扫描发现漏洞;通过终端安全分发补丁 实现对网络设备、安全设备、服务器设备的远程集中管理、运维监控 实现对数据库的操作监控,语句回溯 底层操作系统加固、强制访问控制、剩余信息保护 控制重要文件权限;禁用或删除不需要的服务、共享等;限制或禁用默认/匿名用户,删除多余、过期及共享用户;用户权限设置;系统管理员不由数据库管理员兼任;特权用户权限分离;对重要信息设置敏感标识并控制访问权限; 核心交换区 核心交换区 服务器区或核心交换去 服务器 是 服务器 是 浪潮SSR或人工配置,不需设备
4 数据安全部分 序号 设备或措施 功能 是否 部署位置 必须 是 备注 1 关键网络设备、通信线网络设备、服务器路和数据 设备 备份 处理系统的硬件冗余,保证系统 的可用性 软硬件一体化备份 应能够对重要信息进行容灾 设备 安全管理区 备份和恢 复 负载均衡设 备 边界区 要求双线路,负载均衡 可冷备 2 是 3
5 安全服务 序号 1 2
第 3 页 共 8 页
服务名称 功能 完善信息安全管理制度,评审修订 网络安全检查 是否必须 是 是 备注 信息安全制度完善 安全检查 3 4 安全培训 安全专家 安全意识培训或安全技术培训 应聘请信息安全专家作为常年的安全顾问,征询信息安全相关事宜 是 是
第 4 页 共 8 页
(完整版)三级等保所需设备及服务
