二三級等保所需設(shè)備

二級等保序號 建議功能或模塊 建議方案或產(chǎn)品 重要程度

主要依據(jù) 備注安全層面 二級分項(xiàng) 二級測評指標(biāo) 權(quán)重1 邊界防火墻入侵檢測系統(tǒng)2〔模塊〕

格外重要 網(wǎng)絡(luò)安全格外重要 網(wǎng)絡(luò)安全

訪問掌握(G2)入侵防范〔G2〕

應(yīng)在網(wǎng)絡(luò)邊界部署訪問掌握設(shè)備，啟用訪問掌握1功能；應(yīng)能依據(jù)會話狀態(tài)信息為數(shù)據(jù)流供給明確的允許1/拒絕訪問的力量，掌握粒度為網(wǎng)段級。應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢1出攻擊、IPWEB〔模3塊〕

重要 應(yīng)用安全

軟件容錯(A2)

輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系1統(tǒng)設(shè)定要求；應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況1

局部老舊應(yīng)用無相關(guān)校驗(yàn)功能，可由WEB用懇求進(jìn)展合法性過濾4 日志審計(jì)系統(tǒng) syslog效勞器

格外重要

網(wǎng)絡(luò)安全主機(jī)安全

安全審計(jì)(G2)安全審計(jì)(G2)

用戶行為等進(jìn)展日志記錄；審計(jì)記錄應(yīng)包括大事的日期和時間、用戶、大事類型、大事是否成功及其他與審計(jì)相關(guān)的信息。應(yīng)保護(hù)審計(jì)記錄，避開受到未預(yù)期的刪除、修改或掩蓋等。

0.50.5運(yùn)維審計(jì)系統(tǒng)5〔堡壘機(jī)〕

一般 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)設(shè)備防護(hù)(G2)

身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)1有簡單度要求并定期更換；

局部網(wǎng)絡(luò)設(shè)備不支持口令簡單度策略與更換策略，需要第三方運(yùn)維治理工具實(shí)現(xiàn)。數(shù)據(jù)庫審計(jì) 重要 主機(jī)安全 安全審計(jì)(G2)

a)審計(jì)范圍應(yīng)掩蓋到效勞器上的每個操作系統(tǒng)用戶1和數(shù)據(jù)庫用戶；應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中消滅的內(nèi)部用戶未通過準(zhǔn)許私網(wǎng)絡(luò)安全 邊界完整性檢查〔S2〕 1

通過終端治理軟件限制終端多終端治理軟件(補(bǔ)丁分發(fā)系 重要

自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)展檢查。 網(wǎng)卡狀況操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組統(tǒng)) 主機(jī)安全 入侵防范〔G2〕

件和應(yīng)用程序，并通過設(shè)置升級效勞器等方式保持1系統(tǒng)補(bǔ)丁準(zhǔn)時得到更。

可通過終端治理軟件統(tǒng)一分發(fā)補(bǔ)丁企業(yè)版殺毒軟件 重要 主機(jī)安全 惡意代碼防范(G2)

應(yīng)安裝防惡意代碼軟件，并準(zhǔn)時更防惡意代碼1軟件版本和惡意代碼庫應(yīng)支持防惡意代碼的統(tǒng)一治理。 1本地備份方案 重要

數(shù)據(jù)治理安全

備份和恢復(fù)(A2)

a)應(yīng)能夠?qū)χ匾畔⑦M(jìn)展備份和恢復(fù)； 0.5三級等保序號 建議功能或模塊 建議方案或產(chǎn)品重要程度

主要依據(jù)安全層面 三級分項(xiàng)

備注三級測評指標(biāo) 權(quán)重邊界防火墻與區(qū)域防火墻格外重要 網(wǎng)絡(luò)安全 訪問掌握(G3)(帶寬治理模塊)

應(yīng)在網(wǎng)絡(luò)邊界部署訪問掌握設(shè)備，啟用訪問掌握功能；應(yīng)能依據(jù)會話狀態(tài)信息為數(shù)據(jù)流供給明確的允許/拒絕訪問的力量，掌握粒度為端口級；

0.51應(yīng)避開將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采0.5網(wǎng)絡(luò)安全 構(gòu)造安全(G3)網(wǎng)絡(luò)安全 入侵防范(G3)

取牢靠的技術(shù)隔離手段；應(yīng)依據(jù)對業(yè)務(wù)效勞的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保0.5護(hù)重要主機(jī)。應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕效勞攻擊、1IPIP、攻擊類入侵防護(hù)系統(tǒng)

格外重要

網(wǎng)絡(luò)安全 訪問掌握(G3)

型、攻擊目的、攻擊時間等，在發(fā)生嚴(yán)峻入侵事0.5件時應(yīng)供給報(bào)警，準(zhǔn)時進(jìn)展處置。〔落實(shí)〕應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)展過濾，實(shí)現(xiàn)對應(yīng)、FTP、TELNET、SMTP、POP31令級的掌握；防病毒網(wǎng)關(guān)

重要 網(wǎng)絡(luò)安全 惡意代碼防范(G3)

應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)展檢測和去除1應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更。0.5WEB4〔或防篡改〕

數(shù)據(jù)治理安全重要

數(shù)據(jù)完整性(S3)

a〕應(yīng)能夠檢測到系統(tǒng)治理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在0.2檢測到完整性錯誤時實(shí)行必要的恢復(fù)措施；應(yīng)供給數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)

協(xié)議校驗(yàn)、防篡改等功能局部老舊應(yīng)用無相關(guān)校驗(yàn)功應(yīng)用安全 軟件容錯(A3)

接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長1度符合系統(tǒng)設(shè)定要求；

能，可由WEB應(yīng)用懇求進(jìn)展合法性過濾終端治理軟件5(補(bǔ)丁分發(fā)系統(tǒng))

網(wǎng)絡(luò)安全 邊界完整性檢查(S3)重要主機(jī)安全 入侵防范(G3)

應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)展檢查，準(zhǔn)確定出位置，并對其進(jìn)展有效1阻斷。操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級效勞器等方0.5式保持系統(tǒng)補(bǔ)丁準(zhǔn)時得到更。

通過終端治理軟件限制終端多網(wǎng)卡狀況可通過終端治理軟件統(tǒng)一分發(fā)補(bǔ)丁應(yīng)安裝防惡意代碼軟件，并準(zhǔn)時更防惡意代1碼軟件版本和惡意代碼庫；企業(yè)版殺毒軟件

格外重要 主機(jī)安全 惡意代碼防范(G3)

主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫；

0.5應(yīng)支持防惡意代碼的統(tǒng)一治理。 0.5a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)

重要 網(wǎng)絡(luò)安全 邊界完整性檢查(S3)

為進(jìn)展檢查，準(zhǔn)確定出位置，并對其進(jìn)展有效阻1斷；應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流1量、用戶行為等進(jìn)展日志記錄；審計(jì)記錄應(yīng)包括大事的日期和時間、用戶、事日志審計(jì)系統(tǒng)

格外重要

網(wǎng)絡(luò)安全 安全審計(jì)(G3)

件類型、大事是否成功及其他與審計(jì)相關(guān)的信0.5息。應(yīng)能夠依據(jù)記錄數(shù)據(jù)進(jìn)展分析，并生成審計(jì)報(bào)表；應(yīng)對審計(jì)記錄進(jìn)展保護(hù)，避開受到未預(yù)期的刪除、修改或掩蓋等

10.5主機(jī)安全 安全審計(jì)(G3) e)應(yīng)保護(hù)審計(jì)進(jìn)程，避開受到未預(yù)期的中斷；0.5數(shù)據(jù)庫審計(jì)

重要 主機(jī)安全 安全審計(jì)(G3)

a)審計(jì)范圍應(yīng)掩蓋到效勞器和重要客戶端上的1每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；運(yùn)維審計(jì)系統(tǒng)〔堡壘機(jī)〕

網(wǎng)絡(luò)安全 網(wǎng)絡(luò)設(shè)備防護(hù)(G3)重要

主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種1以上組合的鑒別技術(shù)來進(jìn)展身份鑒別；身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令1應(yīng)有簡單度要求并定期更換；應(yīng)依據(jù)治理用戶的角色安排權(quán)限，實(shí)現(xiàn)治理用

局部網(wǎng)絡(luò)設(shè)備不支持雙因子認(rèn)證、口令簡單度策略與更換策略，需要第三方運(yùn)維治理工具實(shí)現(xiàn)。主機(jī)安全 訪問掌握(S3)

戶的權(quán)限分別，僅授予治理用戶所需的最小權(quán)0.5限；網(wǎng)絡(luò)治理系統(tǒng)

重要 主機(jī)安全 資源掌握(A3)

應(yīng)對重要效勞器進(jìn)展監(jiān)視，包括監(jiān)視效勞器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用狀況；e)應(yīng)能夠?qū)ο到y(tǒng)的效勞水平降低到預(yù)先規(guī)定的最小