二三級(jí)等保所需設(shè)備

1、二級(jí)等保建議功能或模塊建議方案或產(chǎn)品重要程度主要依據(jù)安全層面二級(jí)分項(xiàng)邊界防火墻非常重要網(wǎng)絡(luò)安全訪問控制(G2)入侵檢測(cè)系統(tǒng)(模塊)非常重要網(wǎng)絡(luò)安全入侵防范(G2)WEB應(yīng)用防火墻(模塊)重要應(yīng)用安全軟件容錯(cuò)(A2)網(wǎng)絡(luò)安全安全審計(jì)(G2)日志審計(jì)系統(tǒng)syslog月艮務(wù)器非常重要主機(jī)安全安全審計(jì)(G2)運(yùn)維審計(jì)系統(tǒng)序號(hào)(堡壘機(jī))_般網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)(G2)6備注權(quán)重二級(jí)測(cè)評(píng)指標(biāo)a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制1功能；b）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許1/拒絕訪問的能力，控制粒度為網(wǎng)段級(jí)。應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、

2、緩沖區(qū)溢1出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等部分老舊應(yīng)用無相關(guān)校驗(yàn)功能，可由WEB應(yīng)用防火墻對(duì)應(yīng)用請(qǐng)求進(jìn)行合法性過濾a）應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系1統(tǒng)設(shè)定要求；a）應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、1用戶行為等進(jìn)行日志記錄；b）審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件0.5類型、事件是否成功及其他與審計(jì)相關(guān)的信息。c）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改0.5或覆蓋等。部分網(wǎng)絡(luò)設(shè)備不支持口令復(fù)雜d）身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)1度策略與更換策略，需要第三有復(fù)雜度要求并定期更換；方運(yùn)維管理工具實(shí)現(xiàn)。數(shù)據(jù)

3、庫審計(jì)重要主機(jī)安全安全審計(jì)（G2）a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶1和數(shù)據(jù)庫用戶；21應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私通過終端管理軟件限制終端多網(wǎng)絡(luò)安全邊界完整性檢查（S2）1終端管理軟件自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查。網(wǎng)卡情況7（補(bǔ)丁分發(fā)系統(tǒng)）重要操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組可通過終端管理軟件統(tǒng)一分發(fā)主機(jī)安全入侵防范（G2）件和應(yīng)用程序，并通過設(shè)置升級(jí)服務(wù)器等方式保持1系統(tǒng)補(bǔ)丁及時(shí)得到更新。a）應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼1軟件版本和惡意代碼庫補(bǔ)丁8企業(yè)版殺毒軟件重要主機(jī)安全惡意代碼防范（G2）b）應(yīng)支持防惡意代碼的統(tǒng)一管理。1數(shù)據(jù)管理9

4、本地備份方案重要安全備份和恢復(fù)（A2）a）應(yīng)能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù)；0.5三級(jí)等保邊界防火墻與區(qū)域防火墻（帶寬管理模塊）非常重要網(wǎng)絡(luò)安全訪問控制（G3）a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控0.5制功能；b）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的主要依據(jù)備注序號(hào)建議功能或模塊建議方案或產(chǎn)品重要程度安全層面三級(jí)分項(xiàng)三級(jí)測(cè)評(píng)指標(biāo)權(quán)重允許/拒絕訪問的能力，控制粒度為端口級(jí)；網(wǎng)絡(luò)安全結(jié)構(gòu)安全(G3)2入侵防護(hù)系統(tǒng)非常重要網(wǎng)絡(luò)安全入侵防范(G3)網(wǎng)絡(luò)安全訪問控制(G3)3防病毒網(wǎng)關(guān)重要網(wǎng)絡(luò)安全惡意代碼防范(G3)WEB應(yīng)用防火墻數(shù)據(jù)管理安全數(shù)據(jù)完整性(S3)(或防篡改)重要應(yīng)用安全軟件容錯(cuò)(

5、A3)4f）應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采0.5取可靠的技術(shù)隔離手段；g）應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保0.5護(hù)重要主機(jī)。a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、1緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等b）當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間等，在發(fā)生嚴(yán)重入侵事0.5件時(shí)應(yīng)提供報(bào)警，及時(shí)進(jìn)行處置。（落實(shí)）c）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNETsSMTP、POP3等協(xié)議命1令級(jí)的控

6、制；a）應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除1b）應(yīng)維護(hù)惡意代碼庫的升級(jí)和檢測(cè)系統(tǒng)的更新。0.5a）應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重協(xié)議校驗(yàn)、防篡改等功能部分老舊應(yīng)用無相關(guān)校驗(yàn)功能，可由WEB應(yīng)用防火墻對(duì)應(yīng)用請(qǐng)求進(jìn)行合法性過濾要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在0.2檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；a）應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長(zhǎng)1度符合系統(tǒng)設(shè)定要求；網(wǎng)絡(luò)安全邊界完整性檢查(S3)終端管理軟件5(補(bǔ)丁分發(fā)系統(tǒng))重要主機(jī)安全入侵防范(G3)6企業(yè)版殺毒軟件非常重要主機(jī)安全惡意代碼防范(G3)7網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)重要網(wǎng)絡(luò)安全邊界完整性

7、檢查(S3)8日志審計(jì)系統(tǒng)非常重要網(wǎng)絡(luò)安全安全審計(jì)(G3)主機(jī)安全安全審計(jì)(G3)通過終端管理軟件限制終端多網(wǎng)卡情況可通過終端管理軟件統(tǒng)一分發(fā)補(bǔ)丁b）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效1阻斷。C）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級(jí)服務(wù)器等方0.5式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。a）應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代1碼軟件版本和惡意代碼庫；b）主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代0.5碼產(chǎn)品不同的惡意代碼庫；c）應(yīng)支持防惡意代碼的統(tǒng)一管理。0.5a）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出

8、位置，并對(duì)其進(jìn)行有效阻1斷；a）應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流1量、用戶行為等進(jìn)行日志記錄；b）審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信0.5息。c）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)1表；d）應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪0.5除、修改或覆蓋等e）應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；0.59數(shù)據(jù)庫審計(jì)重要主機(jī)安全安全審計(jì)(G3)網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)(G3)10運(yùn)維審計(jì)系統(tǒng)(堡壘機(jī))重要主機(jī)安全訪問控制(S3)11網(wǎng)絡(luò)管理系統(tǒng)重要主機(jī)安全資源控制(A3)12異地備份方案數(shù)據(jù)管理重要備份和恢復(fù)(A3)安全部分網(wǎng)絡(luò)設(shè)備不支持雙因子認(rèn)證、口令復(fù)雜度策略與更換策略，需要第三方運(yùn)維管理工具實(shí)現(xiàn)。通過SNMP等協(xié)議統(tǒng)一監(jiān)控各層面設(shè)備資源的系統(tǒng)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的1每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；d）主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種1以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；e）身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令1應(yīng)有復(fù)雜度要求并定期更換；b）應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)0.5限；c）應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的