等保三级设备清单
- 格式:docx
- 大小:17.06 KB
- 文档页数:3
下载文档原格式
合集下载
等保测试二级、三级设备清单
信息安全标准与规范
策略开发、制度规范 编写等
建立管理层和执行 层,确定人员、岗位 、职责
完善信息安全制度,形 成安全制度体系 加强安全制度贯彻的力 度,并进行相应的审核 增大信息安全管理制度 的覆盖面 对信息安全管理制度进 行体系化修订 落实信息安全组织,其 最高领导由单位主管领 导委任或授权 需要设立信息安全管理 工作的职能部门,设立 安全主管、安全管理各 个方面的负责人岗位, 并定义各负责人的职 建立信息安全审计队 伍,对信息安全进行定 期审计;
序号 2 3 1 3 4
序号
1
2
3
4
5
设备名称 堡垒机
数据库审计 防火墙
入侵检测系统 Web应用防火墙
设备名称
安全培训
安全管理体系建设
安全组织管理整改
等级保护自评与咨询
安全应急响应服务
部署位置
技术要求
一、等级保护设备清单(二级)
旁路
NABH7000-S5120
旁路
NDBA 7000-S7520
串联
东软FW5200
单价(列表价)
¥318,000.00 ¥650,000.00 ¥185,000.00 ¥248,000.00 ¥158,000.00
小计:
单价
2000元/人/天
应急预案演练及管理,
提供我院应急预案演练
工具,方式,配合我院
6
安全应急预案管理 信息安全事件处置 技术人员,基层操作
者,和领导进行实际的
应急预案演练,留存记
等级保护定级解决方案
等级保护评估解决方案
等级保护据定级解决 方案及自评汇报
信息安全事件处置
安全体系指标与规划方 案咨询解决方案 系统建设安全监理解决 方案 等级保护自评综合汇报 档案 明确xxxxxx需要应对的 主要突发信息安全事件 策略,建立xxxxxx信息 化应急指挥系统,制定 和完善各类应急预案, 提高快速反应能力。
(完整版)等保2.0三级需要的设备
三级系统安全保护环境基本要求与对应产品
使用范围
基本要求
产品类型Байду номын сангаас例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制(权限分离)
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计
下一代防火墙、日志审计系统
入侵防范
主机配置项+IPS、安全感知平台、EDR、主机入侵检测产品(HIDS)
恶意代码防范
通讯传输
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理(网络、主机、应用)
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
运维堡垒主机、APM
集中管理
运维堡垒主机、主机安全管理平台、态势感知
主机安全组件(EDR)、网络版防病毒软件
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备
剩余信息保护
终端综合管理系统
个人信息保护
行为审计
安全区域边界
边界防护
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感知平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证
使用范围
基本要求
产品类型Байду номын сангаас例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制(权限分离)
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计
下一代防火墙、日志审计系统
入侵防范
主机配置项+IPS、安全感知平台、EDR、主机入侵检测产品(HIDS)
恶意代码防范
通讯传输
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理(网络、主机、应用)
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
运维堡垒主机、APM
集中管理
运维堡垒主机、主机安全管理平台、态势感知
主机安全组件(EDR)、网络版防病毒软件
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备
剩余信息保护
终端综合管理系统
个人信息保护
行为审计
安全区域边界
边界防护
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感知平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证
三级等保清单
三级等保清单1,网络防火墙(1)具备访问控制、入侵防御、病毒防御、应用识别、WEB防护、负载均衡、流量管控、身份认证、数据防泄漏等9项功能;(2)支持区域访问控制、数据包插访问控制(例如基于IP、端口、网络协议访问的数据包)、会话访问控制、信息内容过滤访问控制、应用识别访问控制等5种访问控制类型;2,数据库防火墙(1)具备数据库审计、数据库访问控制、数据库访问检查与过滤、数据库服务发现、敏感数据发现、数据库状态和性能监控、数据库管理员特权管控等功能;(2)支持桥接、网络和混入接入方式,基于安全等级标记的访问控制策略和双机设备功能,保障连续服务能力;3,网络安全审计(1)对网络系统中的网络设备运行状况、网络流量、用户行为进行日志记录;(2)审计记录包括事件的时间和日期、用户、事件类型、事件是否成功及其他与审计相关的信息;(3)能够对记录数据进行分析,生成审计报表;4,数据库审计(1)具备数据库审计操作记录的查询、保护、备份、分析、审计、实时监控、风险预警和操作过程回放等功能;(2)支持监控中心报价、短信报警、邮件报警、SYSIONG报警等报警方式;5,运维审计(1)具备资源授权、运维监控、运维操作审计、审计报表、违规操作实时报警与阻断、会话审计与回放等功能;(2)支持基于用户、运维协议、目标主机、运维时间段(年、月、日、时间)等授权策略组合;(3)支持运维用户、运维客户端地址、资源地址、协议、开始时间等实时监控信息项;6,主机安全审计(1)支持重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要事件审计;(2)支持记录事件的日期、事件、类型、主体标识、客体标识和结果等;7,入侵防御设备(1)具备深层检测、内容识别、即时侦测、主动防御、无线攻击防御、拒绝服务、日志审计、身份认证等9项功能;(2)支持攻击行为记录(包括攻击源IP、异常流量监视、统计阈值、实时阻断攻击等6种入侵防御技术;(3)支持流量检测与清洗(流量型DDOS攻击防御、应用型DDOS攻击防御、DOSS攻击防御、非法协议攻击防御、常用攻击工具防御等)、流量牵引和回注等2种抗拒绝服务技术;8,防病毒网关设备(1)具备病毒过滤、内容过滤、反垃圾邮件、日志审计、身份认证、高可用等6项功能;(2)支持杀毒、文件型杀毒、常用协议端口病毒扫描、IPv4和IPv6双协议栈的病毒过滤、病毒隔离等5种病毒过滤方法;9,上网行为管理(1)具备上网人员管理、上网浏览管理、上网外发管理、上网应用管理、上网流量管理、上网行为分析、上网隐私保护、风险集中告警等8项功能;(2)支持IP/MAC 识别方式、用户/密码认证方式、与已有认证系统的联合名单登陆方式等3种上网人员身份管理方式;(3)支持对主流即时通讯软件外发内容的关键字识别、记录、阻断等3项操作;10,统一安全管理(1)具备资产管理、资产风险管理、网络安全事件采集、网络安全事件分析、网络安全事件分析模型,实时安全监测、分析结果可视化、安全运维决策和处置服务等8项功能;(2)基于数据分析模型、支持表格、展示灯、3D图标、雷达图、拓扑图、热度图等6等六种可视化结果展示方式;必须部署产品主机恶意代码防范、网页防篡改、统一身份管理、电子认证服务、用户身份鉴别、个人隐私保护、网络设备身份鉴别、主机身份鉴别、日志审计系统、电子信息鉴别、客户端终端认证、虚拟专用网络客户端、桌面终端安全管理、移动终端安全管理、移动存储介质管理、单向网闸、双向网闸、虚拟专用网络设备、流量控制、安全策略管理、网络设备管理。
等级保护三级产品(清单)供参考
等级保护三级产品清单供参考
技术设计
功能描述
产品推荐
边界防护
DDOS防护
Gurad
访问控制
安全访问控制ACL
FW
系统安全审计
网络审计
LA
入侵防范
入侵检测系统
IDSBiblioteka 恶意代码防防护防病毒网关/入侵防护系统
AV、IPS
身份鉴别
PKI
CA
数据完整性、保密性
数据安全加密
SSL/IPSECVPN网关
补丁管理
终端管理安全准入
ISM
物理隔离
不同安全级别的安全域的数据传递
SIS网闸
安全监控
应用监控
APM
安全管理
网络设备、安全设备管理报警
LM
风险分析
漏洞扫描系统
榕基、绿盟可选
安全服务
安全评估、加固、渗透、人工检查、扫描、日志分析等
安全服务
管理制度、体系设计
管理制度编写
根据用实际情况,参考27001、等保相关资料
技术设计
功能描述
产品推荐
边界防护
DDOS防护
Gurad
访问控制
安全访问控制ACL
FW
系统安全审计
网络审计
LA
入侵防范
入侵检测系统
IDSBiblioteka 恶意代码防防护防病毒网关/入侵防护系统
AV、IPS
身份鉴别
PKI
CA
数据完整性、保密性
数据安全加密
SSL/IPSECVPN网关
补丁管理
终端管理安全准入
ISM
物理隔离
不同安全级别的安全域的数据传递
SIS网闸
安全监控
应用监控
APM
安全管理
网络设备、安全设备管理报警
LM
风险分析
漏洞扫描系统
榕基、绿盟可选
安全服务
安全评估、加固、渗透、人工检查、扫描、日志分析等
安全服务
管理制度、体系设计
管理制度编写
根据用实际情况,参考27001、等保相关资料
三级等保所需设备及服务
等级保护三级系统应配备设备及服务清单1物理安全部分序号设备或措施功能部署位置重要出入口(包括机1、机房入口1 电子门禁房出入口和重要区域2、重要服务器出入口等)区入口2 光电防盗报警防盗报警机房窗户、入视频监控系统口等处3 防雷保安器防感应雷配电箱4 自动消防系统要求自动检测火情、自动报警、自动灭火5 新风换气防水防潮6动力环境监测系统-水敏感检测仪表7 机房专用空调防水防潮、温湿度控制8 接地系统防雷接地9 UPS系统不间断电源(UPS)是否备注必须是是可通过监控弥补是可以用手动灭火器加报警器组成可人工检测海洛斯、艾默生是等是华为、APC、台是达、山特等2网络安全部分序号设备或措施功能部署位置是否备注必须访问控制:实现路由控制,数据流控制,控制粒度到端口级;1、网络边界1 应用级防火墙实现应用层访问控制2、重要服务器是和过滤;控制空闲会区前端话数、最大网络连接原创内容侵权必究数等对网络流量进行监2 流量控制设备控,保障重要资源的1、网络边界优先访问1、网络边界3 流量清洗设备防止DDos攻击2、服务器前端对网络设备、服务器、数据库、应用等4 IT运维管理软件进行监控,包括监视安全管理区是CPU、硬盘、内存、网络资源的使用情况对网络设备、安全设5 日志审计系统备、操作系统的日志安全管理区是进行集中存储、分析原创内容侵权必究6 网络审计系统分析网络流量,排除核心交换区网络故障支持多元化认证方7 无线WIFI控制系统式,如短信认证、二核心交换区维码认证、微信认证等终端健康状态检查、8 终端安全管理系统终端准入控制、外设安全管理区是(含准入硬件) 控制、终端非法外联控制IDS系统网络攻击检测/报警:1、核心交换区9 或IPS系统在网络边界处监视各是2、网络边界无线IDS系统种攻击行为10 防毒墙网络入口病毒检测、网络边界是查杀云接入身份认证、链1、网络入口11 VPN/VFW等路安全、虚拟服务器2、虚拟服务间访问控制器12 上网行为管理网络出口处是对网络设备、服务器、数据库、应用等13 集中管控平台进行监控,包括监视网络管理中心是CPU、硬盘、内存、网络资源的使用情况14 EMM安全运行环境、代码审核、安全app加壳对网络设备身份鉴原创内容侵权必究别、管理地址控制、人工配置,不需15 网络加固密码复杂度、鉴别处手工加固是要加固理、加密传输等进行功能加固。
阿里云三级安全设备配置清单
必备
(等保)
防毒墙和杀毒软件选其一即可来自必备(等保)必备
(等保)
4
阿里云盾的堡垒机模块和阿里云安全审计
要求对服务器和重要客户端上的每个操作系统用户、数据库用户、网络设备用户、安全设备用户进行运维操作(用户行为)审计记录,审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息,并对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;审计记录的留存时间符合法律法规要求。
《网络安全法》第二十一条要求“三、采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”
必备
(等保、网络安全法)
必备
(等保、网络安全法)
日志审计设备
5
安骑士
用于对网络传输中的病毒进行过滤的网络安全设备,与主机杀毒软件相结合,实现网络和主机层面的同步过滤查杀。并要求主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。
信息安全等级保护安全设备清单
依据《网络安全等级保护基本要求-试行稿》。
序号
安全设备名称
三级等保要求
三级
二级
1
云防火墙
要求必须在网络边界处部署访问控制设备,并设置访问控制策略为进出数据流提供明确的允许/拒绝访问的能力等
必备
(等保)
必备
(等保)
2
阿里云盾的WEB防火墙模块
Web应用防火墙作为一种专业的Web安全防护工具,基于对HTTP/HTTPS流量的双向解码和分析,可应对HTTP/HTTPS应用中的各类安全威胁,如SQL注入、XSS、跨站请求伪造攻击(CSRF)、Cookie篡改以及应用层DDoS等,能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题
(等保)
防毒墙和杀毒软件选其一即可来自必备(等保)必备
(等保)
4
阿里云盾的堡垒机模块和阿里云安全审计
要求对服务器和重要客户端上的每个操作系统用户、数据库用户、网络设备用户、安全设备用户进行运维操作(用户行为)审计记录,审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息,并对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;审计记录的留存时间符合法律法规要求。
《网络安全法》第二十一条要求“三、采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”
必备
(等保、网络安全法)
必备
(等保、网络安全法)
日志审计设备
5
安骑士
用于对网络传输中的病毒进行过滤的网络安全设备,与主机杀毒软件相结合,实现网络和主机层面的同步过滤查杀。并要求主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。
信息安全等级保护安全设备清单
依据《网络安全等级保护基本要求-试行稿》。
序号
安全设备名称
三级等保要求
三级
二级
1
云防火墙
要求必须在网络边界处部署访问控制设备,并设置访问控制策略为进出数据流提供明确的允许/拒绝访问的能力等
必备
(等保)
必备
(等保)
2
阿里云盾的WEB防火墙模块
Web应用防火墙作为一种专业的Web安全防护工具,基于对HTTP/HTTPS流量的双向解码和分析,可应对HTTP/HTTPS应用中的各类安全威胁,如SQL注入、XSS、跨站请求伪造攻击(CSRF)、Cookie篡改以及应用层DDoS等,能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题
三级等保所需设备及服务
三级等保所需设备及服务一、设备:1. 防火墙(Firewall):用于阻止非法访问信息系统,并进行入侵检测和防范。
2.IDS/IPS系统(入侵检测与防御系统):用于监控和检测系统中的入侵行为,并采取相应的防御措施。
3.安全硬件设备:如加密机、安全存储设备、虚拟专用网设备等,用于保障数据的加密和存储安全。
4.安全审计设备:用于对系统的安全事件进行审计和记录,以便追溯和防范安全威胁。
5.服务器设备:用于存储和处理大量的敏感数据,并提供相应的服务功能。
6.数据备份与恢复设备:用于保障数据的可靠备份和紧急恢复,以应对数据泄露或系统崩溃等情况。
二、服务:1.安全评估与测试服务:对信息系统进行安全评估和测试,发现潜在漏洞和安全风险,并提出相应的修补和改进建议。
2.漏洞管理服务:对系统进行漏洞扫描和漏洞管理,及时修复系统中的漏洞,防止黑客利用漏洞进行攻击。
3.安全运维服务:对信息系统进行安全运维和管理,包括安全事件响应、安全日志分析和异常流量检测等。
4.信息安全培训服务:对系统用户进行安全意识和操作培训,提高用户的信息安全意识和防范能力。
5.网络监控与安全响应服务:对网络流量进行监控和分析,及时发现异常流量和安全事件,并采取相应的安全响应措施。
6.安全策略制定与执行服务:制定系统的安全策略和规范,确保系统遵循相关的安全标准和规范,并实施相应的安全措施。
除了设备和服务之外,三级等保还涉及到一系列的技术措施和管理措施,如密码策略、访问控制、权限管理、数据备份和恢复方案等。
同时,还需要进行定期的风险评估和安全审计,及时发现和处理系统中的安全威胁,保障信息系统的安全性。
总之,三级等保所需的设备和服务是多方面的,包括硬件设备、软件服务和安全运维服务等,通过综合运用这些设备和服务,可以有效保障信息系统的安全性,防止信息泄露和黑客攻击。
三级等保所需设备及服务
1、网络边界
2、重要服务器区前端
是
2
流量控制设备
对网络流量进行监控,保障重要资源的优先访问
1、网络边界
3
流量清洗设备
防止DDos攻击
1、网络边界2、服务器前端
4
IT运维管理软件
对网络设备、服务器、数据库、应用等进行监控,包括监视CPU、硬盘、内存、网络资源的使用情况
安全管理区
是
5
日志审计系统
对网络设备、安全设备、操作系统的日志进行集中存储、分析
等级
1物理安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
电子门禁
重要出入口(包括机房出入口和重要区域出入口等)
1、机房入口
2、重要服务器区入口
是
2
光电防盗报警
视频监控系统
防盗报警
机房窗户、入口等处
是
可通过监控弥补
3
防雷保安器
防感应雷
配电箱
是
4
自动消防系统
要求自动检测火情、自动报警、自动灭火
可以用手动灭火器加报警器组成
服务器
是浪潮SSR或人工配置,不需备4数据安全部分序号
设备或措施
功能
部署位置
是否
必须
备注
1
网络设备、服务器设备 备份
关键网络设备、通信线路和数据
处理系统的硬件冗余,保证系统 的可用性
是
可冷备
2
软硬件一体化备份容灾 设备
应能够对重要信息进行备份和恢 复
安全管理区
是
3
负载均衡设
备
要求双线路,负载均衡
边界区
5
新风换气
2、重要服务器区前端
是
2
流量控制设备
对网络流量进行监控,保障重要资源的优先访问
1、网络边界
3
流量清洗设备
防止DDos攻击
1、网络边界2、服务器前端
4
IT运维管理软件
对网络设备、服务器、数据库、应用等进行监控,包括监视CPU、硬盘、内存、网络资源的使用情况
安全管理区
是
5
日志审计系统
对网络设备、安全设备、操作系统的日志进行集中存储、分析
等级
1物理安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
电子门禁
重要出入口(包括机房出入口和重要区域出入口等)
1、机房入口
2、重要服务器区入口
是
2
光电防盗报警
视频监控系统
防盗报警
机房窗户、入口等处
是
可通过监控弥补
3
防雷保安器
防感应雷
配电箱
是
4
自动消防系统
要求自动检测火情、自动报警、自动灭火
可以用手动灭火器加报警器组成
服务器
是浪潮SSR或人工配置,不需备4数据安全部分序号
设备或措施
功能
部署位置
是否
必须
备注
1
网络设备、服务器设备 备份
关键网络设备、通信线路和数据
处理系统的硬件冗余,保证系统 的可用性
是
可冷备
2
软硬件一体化备份容灾 设备
应能够对重要信息进行备份和恢 复
安全管理区
是
3
负载均衡设
备
要求双线路,负载均衡
边界区
5
新风换气
等保建设(二,三级)需上的设备
信息安然等级呵护扶植(二,三级)需上的装备信息安然等级呵护二级:一.机房方面的安然措施需求(二级尺度)如下:1.防盗报警体系2.灭火装备和火警主动报警体系3.水迟钝检测仪及漏水检测报警体系4.周详空调5.备用发电机二.主机和收集安然层面须要安排的安然产品如下:1.防火墙或者入侵防御体系2.上彀行动治理体系3.收集准入体系4.审计平台或者同一监控平台(可知足主机.收集和运用层面的监控需求,在前提不许可的情形下,至少要运用数据库审计)5.防病毒软件三.运用及数据安然层面须要安排的安然产品如下:1.VPN2.网页防篡改体系(针对网站体系)3.数据异地备份存储装备4.重要收集装备.通讯线路和数据处理体系的硬件冗余(症结装备双机冗余).信息安然等级呵护三级一.机房方面的安然措施需求(三级尺度)如下:1.须要运用彩钢板.防火门等进行区域隔离2.视频监控体系3.防盗报警体系4.灭火装备和火警主动报警体系5.水迟钝检测仪及漏水检测报警体系6.周详空调7.除湿装配8.备用发电机9.电磁屏障柜二.主机和收集安然层面须要安排的安然产品如下:1.入侵防御体系2.上彀行动治理体系3.收集准入体系4.同一监控平台(可知足主机.收集和运用层面的监控需求)5.防病毒软件6.碉堡机7.防火墙8.审计平台(知足对操纵体系.数据库.收集装备的审计,在前提不许可的情形下,至少要运用数据库审计)三.运用及数据安然层面须要安排的安然产品如下:1.VPN2.网页防篡改体系(针对网站体系)3.数据异地备份存储装备4.重要收集装备.通讯线路和数据处理体系的硬件冗余(症结装备双机冗余).5.数据加密软件(知足加密存储,且加密算法需获得保密局承认。
等级保密三级设备清单
等级保密三级设备清单
本文档旨在列出等级保密三级设备的清单,并确保其机密性。
一、条件限制
等级保密三级设备只能用于特定的保密项目和部门,对其使用和访问要有严格的限制。
任何未经授权的使用或泄露都将面临严厉的法律后果。
二、设备清单
以下是等级保密三级设备的清单:
1. 电脑系统
- 品牌型号:[请填写具体品牌型号]
- CPU:[请填写CPU型号]
- 内存:[请填写内存容量]
- 存储空间:[请填写存储空间大小]
2. 打印机
- 品牌型号:[请填写具体品牌型号]
- 打印速度:[请填写打印速度]
- 打印分辨率:[请填写打印分辨率]
3. 外部存储设备
- 品牌型号:[请填写具体品牌型号]
- 存储空间:[请填写存储空间大小]
4. 网络设备
- 品牌型号:[请填写具体品牌型号]
- 支持的网络协议:[请填写支持的网络协议]
5. 监控设备
- 品牌型号:[请填写具体品牌型号]
- 监控范围:[请填写监控范围]
三、安全措施
为确保等级保密三级设备的安全性,以下安全措施将被采取:
1. 严格的访问控制:只有经过授权的人员才能使用和访问设备。
2. 定期维护和更新:设备将定期进行维护和更新以确保其安全
性和稳定性。
3. 物理安全措施:设备将被放置在安全的地方,并采取适当的
物理安全措施。
4. 数据备份:重要数据将定期备份并存储在安全的地方。
请确保对等级保密三级设备的使用和访问进行认真的监督,并
严格按照保密规定执行。
该清单为保密信息,请确保在合适的环境下查阅,并避免未经
授权的访问、复制或泄露。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SSL VPN
安全网络域
1台
提供完整的SSL VPN服务。远程用户只需应用标准IE浏览器即可登陆网关,通过身份鉴别,在基于角色的策略控制下实现对企业内部资源的存取访问
WEB防火墙
外部应用域
2台
主要防护各区域与服务器区访问控制策略,隔离内网关键业务系统
WEB防篡改
外部应用域
1台
部署WEB防篡改系统,即WEB应用防护系统服务器,该服务器能沟通过后台备份、实时扫描等技术,实现对WEB文件内容的实时监控,发现问题时能实时恢复,有效地保证了WEB文件的安全性和真实性
服务器
数据服务域
内部应用域
/
部署多台服务器进行设备冗余,有效保障业务连续性
汇聚交换机
外部应用域
数据服务域
内部应用域
安全管理域
8台
汇聚交换机用于连接网络中的其它交换机或者为带宽占用量大的关键服务器提供附加带宽以及VLAN划分。
网络行为审计
安全网络域
1台
收集计算环境产生的日志信息,包括各类业务服务的操作系统和应用系统,数据库服务以及部分网络设备和安全设备
磁盘阵列
数据服务域
1台
部署磁盘阵列保障数据的完整性
数据库审计系统
数据服务域
1台
对流经核心处理区的所有数据库操作信息进行审计,通过记录、分析所有数据库的操作、应用信息,及时有效分析数据库系统发生的安全事件
身份认证管理系统
安全管理域
1套
采用数字证书认证有效保障业务数据的完整性、可靠性,防止关键业务数据被篡改
防火墙
安全网络域
2台
部署防火墙进行设备冗余,极大地提高内部网络的安全性,并通过过滤不安全的服务而降低风险。有效进行网络访问控制
入侵防护系统
安全网络域
1台
实现对网络攻击进行防护,抵御各类针对核心业务系统的应用层攻击。安全网络域内部网络区域入侵行为的报警与记录
入侵检测系统
安全量中包含的、针对各类内部业务系统的网络攻击行为,对攻击行为实施监测、报警
内网安全管理
安全管理域
1套
内网安全管理系统可以对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。
应用监控系统
安全管理域
1套
应用安全管理系统是一种系统性能监测与管理设备,部署方式简单,只需与被监测业务系统对象网络可达即可,本项目中对业务状态进行管理和监控。
等级保护三级系统所涉及网络安全产品清单如下:
部署产品
部署位置
数量
作用说明
下一代防火墙
安全网络域
2台
部署下一代防火墙进行设备冗余,极大地提高内部网络的安全性,并通过过滤不安全的服务而降低风险。有效进行网络访问控制
核心交换机
安全网络域
2台
核心交换机用于连接网络中的其它交换机或者为带宽占用量大的关键服务器提供附加带宽以及VLAN划分。
抗DDOS流量清洗
安全网络域
1台
部署2台流量清洗设备。对网络流量进行监控分析和异常流量检测(包括DDoS攻击、网络蠕虫病毒、流量异常等),在定位异常流量发源地后进行流量清洗
漏洞扫描
安全网络域
1台
洞扫描系统在网络中并不是一个实时启动的系统,只需要定期挂接到网络中,对当前网段上的重点服务器以及主要的桌面机和网络设备进行一次扫描,即可得到当前系统中存在的各种安全漏洞
运维审计系统
安全管理域
1台
堡垒机运维审计系统部署在管理网络内部管理区,并设置用户权限的管理,可分为运维用户、管理员和日志管理员,三权分立。运维用户主要是给第三方运维人员的账号,只能进行运维操作,账号不属于堡垒机本身
防病毒管理
安全管理域
1套
在各应用服务器、数据库服务器、席位终端安装防病毒软件,有效查杀病毒、恶意脚本、木马、蠕虫等恶意代码
安全网络域
1台
提供完整的SSL VPN服务。远程用户只需应用标准IE浏览器即可登陆网关,通过身份鉴别,在基于角色的策略控制下实现对企业内部资源的存取访问
WEB防火墙
外部应用域
2台
主要防护各区域与服务器区访问控制策略,隔离内网关键业务系统
WEB防篡改
外部应用域
1台
部署WEB防篡改系统,即WEB应用防护系统服务器,该服务器能沟通过后台备份、实时扫描等技术,实现对WEB文件内容的实时监控,发现问题时能实时恢复,有效地保证了WEB文件的安全性和真实性
服务器
数据服务域
内部应用域
/
部署多台服务器进行设备冗余,有效保障业务连续性
汇聚交换机
外部应用域
数据服务域
内部应用域
安全管理域
8台
汇聚交换机用于连接网络中的其它交换机或者为带宽占用量大的关键服务器提供附加带宽以及VLAN划分。
网络行为审计
安全网络域
1台
收集计算环境产生的日志信息,包括各类业务服务的操作系统和应用系统,数据库服务以及部分网络设备和安全设备
磁盘阵列
数据服务域
1台
部署磁盘阵列保障数据的完整性
数据库审计系统
数据服务域
1台
对流经核心处理区的所有数据库操作信息进行审计,通过记录、分析所有数据库的操作、应用信息,及时有效分析数据库系统发生的安全事件
身份认证管理系统
安全管理域
1套
采用数字证书认证有效保障业务数据的完整性、可靠性,防止关键业务数据被篡改
防火墙
安全网络域
2台
部署防火墙进行设备冗余,极大地提高内部网络的安全性,并通过过滤不安全的服务而降低风险。有效进行网络访问控制
入侵防护系统
安全网络域
1台
实现对网络攻击进行防护,抵御各类针对核心业务系统的应用层攻击。安全网络域内部网络区域入侵行为的报警与记录
入侵检测系统
安全量中包含的、针对各类内部业务系统的网络攻击行为,对攻击行为实施监测、报警
内网安全管理
安全管理域
1套
内网安全管理系统可以对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。
应用监控系统
安全管理域
1套
应用安全管理系统是一种系统性能监测与管理设备,部署方式简单,只需与被监测业务系统对象网络可达即可,本项目中对业务状态进行管理和监控。
等级保护三级系统所涉及网络安全产品清单如下:
部署产品
部署位置
数量
作用说明
下一代防火墙
安全网络域
2台
部署下一代防火墙进行设备冗余,极大地提高内部网络的安全性,并通过过滤不安全的服务而降低风险。有效进行网络访问控制
核心交换机
安全网络域
2台
核心交换机用于连接网络中的其它交换机或者为带宽占用量大的关键服务器提供附加带宽以及VLAN划分。
抗DDOS流量清洗
安全网络域
1台
部署2台流量清洗设备。对网络流量进行监控分析和异常流量检测(包括DDoS攻击、网络蠕虫病毒、流量异常等),在定位异常流量发源地后进行流量清洗
漏洞扫描
安全网络域
1台
洞扫描系统在网络中并不是一个实时启动的系统,只需要定期挂接到网络中,对当前网段上的重点服务器以及主要的桌面机和网络设备进行一次扫描,即可得到当前系统中存在的各种安全漏洞
运维审计系统
安全管理域
1台
堡垒机运维审计系统部署在管理网络内部管理区,并设置用户权限的管理,可分为运维用户、管理员和日志管理员,三权分立。运维用户主要是给第三方运维人员的账号,只能进行运维操作,账号不属于堡垒机本身
防病毒管理
安全管理域
1套
在各应用服务器、数据库服务器、席位终端安装防病毒软件,有效查杀病毒、恶意脚本、木马、蠕虫等恶意代码