等级保护2.0第三级数据中心入侵防范设备类安全防护产品功能

等级保护2.0第二级数据中心安全防护产品性能指标参考一、防火墙类1、WEB防火墙（推荐要求）WEB 网站访问防护专用安全设备，具备WEB 访问控制、WEB 网络数据分析等基本功能。

具备对SQL 注入、跨站、扫描器扫描、信息泄露、文件传输攻击、操作系统命令注入、目录遍历、异常发现、webshell 攻击检测、盗链行为、拒绝服务攻击防护、网页防篡改、身份认证、日志审计等14 项安全功能。

2、数据库防火墙（推荐要求）数据库访问控制和安全审计专用设备。

①具备数据库审计、数据库访问控制、数据库访问检测与过滤、数据库服务发现、脱敏数据发现、数据库状态和性能监控、数据库管理员特权管控等功能。

②支持桥接、网关和混合接入方式，基于安全等级标记的访问控制策略和双机热备功能，保障连续服务能力。

3、网络防火墙（必须具备其中3 项功能、支持3 种访问控制类型）网络边界防护和访问控制的专用设备。

①具备访问控制、入侵防御、病毒防御、应用识别、WEB 防护、负载均衡、流量管控、身份认证、数据防泄露等9 项功能。

②支持区域访问控制、数据包访问控制（例如基于IP、端口、网络协议访问的数据包）、会话访问控制、信息内容过滤访问控制、应用识别访问控制等5 种访问控制类型。

二、安全审计设备类1、网络安全审计（必须满足全部要求）记录网络行为并进行审计和异常行为发现的专用安全设备。

①对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

②审计记录包括事件的时间和日期、用户、事件类型、事件是否成功及其它与审计相关的信息。

③能够对记录数据进行分析，生成审计报表。

2、数据库审计（必须满足全部要求）监控数据库系统的用户操作日志、数据库活动、预警的专用设备。

①具备数据库操作记录的查询、保护、备份、分析、审计、实时监控、风险报警和操作过程回放等功能。

②支持监控中心报警、短信报警、邮件报警、Syslog报警等报警方式。

3、运维审计（必须满足全部要求）数据中心运维操作审计及预警的专用设备。

网络安全等级保护（等保2.0）3级建设内容设计方案一、物理环境安全设计机房与配套设备安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境，并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。

1.1.物理位置的选择在机房位置选择上，应选择的场地具有防震、防风和防雨等能力建筑内，同时尽量避免设在建筑物的顶层或地下室以保证机房的防水防潮效果，确保机房的选择合理合规。

在UPS电池按放的位置选择要考虑到楼板的承重等因素。

1.2.物理访问控制对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；进入机房的来访人员须经过申请和审批流程，并限制和监控其活动范围，同时在机房的各出入口出配置配置电子门禁系统和视频监控系统，通过开关门记录和视频来控制、鉴别和记录机房进入的人员相关信息。

1.3.防盗窃和防破坏在防盗窃和防破坏方面，对设备或主要部件进行固定，并设置明显的不易除去的标记。

在强弱电铺设方面尽量进行隐蔽布设。

为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。

此外，必须制定严格的出入管理制度和环境监控制度，以保障区域监控系统和环境监控系统的有效运行。

对介质进行分类标识，存储在介质库或档案室中。

利用光、电等技术设置机房防盗报警系统；对机房设置监控报警系统。

1.4.防雷击严格按照国家的相关的标准将各类机柜、设施和设备等通过接地系统安全接地。

同时在配电方面设置相应的防雷保安器或过压保护装置等。

1.5.防火合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。

房间装修必需使用阻燃材料，耐火等级符合国家相关标准规定，同时设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；1.6.防水和防潮在机房建设阶段，对机房窗户、屋顶和墙壁进行处理，防止液体渗透。

等级保护2.0第三级数据中心安全审计设备类安全防护产品功能指
标参考
1、网络安全审计（满足全部要求）
记录网络行为并进行审计和异常行为发现的专用安全设备。

①对网络系统中的网络设备运行状况、网络流量、用户行为等
进行日志记录。

②审计记录包括事件的时间和日期、用户、事件类型、事件是
否成功及其它与审计相关的信息。

③能够对记录数据进行分析，生成审计报表。

2、数据库审计（满足全部要求）
监控数据库系统的用户操作日志、数据库活动、预警的专用设备。

①具备数据库操作记录的查询、保护、备份、分析、审计、实
时监控、风险报警和操作过程回放等功能。

②支持监控中心报警、短信报警、邮件报警、Syslog
报警等报警方式。

3、运维审计（满足全部要求）
数据中心运维操作审计及预警的专用设备。

①具备资源授权、运维监控、运维操作审计、审计报表、违规
操作实时告警与阻断、会话审计与回放等功能。

②支持基于用户、运维协议、目标主机、运维时间段（年、月、
日、时间）等授权策略组合。

③支持运维用户、运维客户端地址、资源地址、协议、开始时
间等实时监控信息项。

4、主机安全审计（满足全部要求）
记录主机操作的审计设备。

①支持重要用户行为、系统资源的异常使用和重要系统命令的
使用等系统内重要事件审计。

②支持记录事件的日期、时间、类型、主体标识、客体标识和
结果等。

5、
6、。

等级保护2.0 三级概述等级保护2.0（等保2.0）是我国信息安全保障的基本制度，其三级标准是在法律法规的基础上，对信息系统安全、物理和环境安全、网络通信安全、设备和计算安全、应用和数据安全、安全管理、评估与审计、应急响应等方面提出的具体要求。

1. 法律法规基础：等保2.0三级依据国家法律法规和标准，对信息系统的合规性进行严格要求，确保信息系统符合法律法规的要求。

2. 信息系统安全：等保2.0三级对信息系统的安全性提出更高要求，包括信息的保密性、完整性和可用性等。

3. 物理和环境安全：等保2.0三级强调物理和环境安全，对物理访问控制、物理安全监测等提出具体要求。

4. 网络通信安全：等保2.0三级在网络通信安全方面要求建立完善的网络安全体系，包括网络隔离、入侵检测、漏洞扫描等。

5. 设备和计算安全：等保2.0三级对设备和计算安全提出要求，包括防病毒、身份认证、访问控制等。

6. 应用和数据安全：等保2.0三级要求应用和数据安全得到保障，包括数据加密、数据备份等。

7. 安全管理：等保2.0三级强调安全管理，要求建立完善的安全管理体系，包括安全组织、安全策略、安全制度等。

8. 评估与审计：等保2.0三级要求对信息系统进行定期的评估和审计，确保信息系统的安全性。

9. 应急响应：等保2.0三级要求建立完善的应急响应机制，包括应急预案、应急演练等。

10. 技术要求符合性验证：等保2.0三级还要求对各项安全技术要求进行符合性验证，确保各项安全措施的有效性。

11. 人员安全：等保2.0三级强调人员安全的重要性，包括对员工的安全培训、岗位管理以及权限管理等方面提出了具体要求。

12. 供应链安全：等保2.0三级要求对供应链安全进行管理，包括对供应商的评估、管理以及控制等方面提出了具体要求。

通过满足等级保护2.0三级的要求，组织可以有效地提高信息系统的安全防护能力，减少安全风险，保障业务的正常运行。

等级保护2.0第三级终端安全终端安全管理系统类安全防护产品功
能指标参考
1、桌面终端安全管理（至少具备5 项功能、支持3 种连接方式管理）
用于满足终端各种安全管理和合规性需求的终端安全管理软件。

①具备即时通讯管理、非授权外连管理、软件分发、打印管理、
文件操作行为管理、补丁管理、移动介质管理、主机监控与审计、
上网行为控制与审计、敏感字审计、远程协助等11 项功能。

②支持对双网卡、WIFI、3G、蓝牙、红外等5 种违规连接
方式进行监测、审计和阻断。

2、移动终端安全管理（至少具备4 项功能、支持2 种操作系统类型）
支持组织内部移动业务终端安全防护的管理系统。

①具备移动身份管理、移动应用管理、移动内容管理、移动策略管理、移动设备管理等5 项功能。

②支持主流移动操作系统。

3、移动存储介质管理（至少具备4 项功能、支持4 种存储介质管理、支持3 种管理规则、支持4 种管理策略）
解决组织内部移动存储介质非法滥用造成信息泄露安全问题的专用管理设备。

①具备移动存储介质注册管理、接入控制、访问权限控制、安全审计等4 项功能。

②支持移动硬盘、闪存、U 盘、储存卡等4 种移动存储介质的管理。

③支持预置策略、自定义策略、预置标签及自定义
标签等4 种管理规则。

④支持内部低密、内部普密、内置高密、外部应用审计、外部文档审计、外部无审计等6 种预置管理策略和预置标签管理策略。

等级保护2.0第三级数据中心访问控制系统安全防护产品功能指标参考
1、上网行为管理（至少具备6 项功能、支持2 种身份管理方式、
外发内容管理支持3 项操作）
用于组织内部互联网的安全管理。

①具备上网人员管理、上网浏览管理、上网外发管理、上网应
用管理、上网流量管理、上网行为分析、上网隐私保护、风险集中告警等8 项功能。

②支持IP/MAC 识别方式、用户名/密码认证方式、与已有认
证系统的联合单点登录方式等3 种上网人员身份管理方式。

③支持对主流即时通讯软件外发内容的关键字识别、记录、阻
断等3 项操作。

2、虚拟化安全防护（推荐要求）
提供虚拟化网络边界防护的专用软件防火墙。

①具备访问控制、入侵防范、病毒过滤、应用识别、抗拒绝服
务、网络防护、日志审计、身份认证等8 项功能。

②支持网络访问控制、权限控制、目录级安全控制、属性安全
控制、服务器安全控制等5 种访问控制方法。

一、等级保护二级系统（一）物理和环境安全层面安全措施需求如下：1、防盗报警系统2、灭火设备和火灾自动报警系统3、水敏感检测仪及漏水检测报警系统4、精密空调5、备用发电机（二）网络和通信安全及设备和计算安全层面需要部署的安全产品如下：1、防火墙或者入侵防御系统2、上网行为管理系统3、网络准入系统4、审计平台或者统一监控平台（可满足主机、网络和应用层面的监控需求，在条件不允许的情况下，至少要使用数据库审计）5、防病毒软件（三）应用及数据安全层面需要部署的安全产品如下：1、VPN2、网页防篡改系统（针对网站系统）3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）。

二、等级保护三级系统（一）物理和环境安全层面安全措施需求如下：1、需要使用彩钢板、防火门等进行区域隔离2、视频监控系统3、防盗报警系统4、灭火设备和火灾自动报警系统5、水敏感检测仪及漏水检测报警系统6、精密空调7、除湿装置8、备用发电机9、电磁屏蔽柜（二）网络和通信安全及设备和计算安全层面需要部署的安全产品如下：1、入侵防御系统2、上网行为管理系统3、网络准入系统4、统一监控平台（可满足主机、网络和应用层面的监控需求）5、防病毒软件6、堡垒机7、防火墙8、审计平台（满足对操作系统、数据库、网络设备的审计，在条件不允许的情况下，至少要使用数据库审计）（三）应用及数据安全层面需要部署的安全产品如下：1、VPN2、网页防篡改系统（针对网站系统）3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）5、数据加密软件（满足加密存储，且加密算法需获得保密局认可）。

等级保护2.0第三级数据中心安全管理系统安全防护产品功能指标参考1、文档安全管理（推荐要求）用于组织内部的核心信息资产有意或无意泄露防护的管理系统。

①具备文档加密、文档安全策略（权限控管、使用次数、文档生命期限、打印自定义水印等）、身份认证、使用追踪、离线管理、文档操作审计等6 项功能。

②支持对电子文档进行细粒度的权限控制，包括只读、打印、修改、复制等4 种权限控制。

③支持对文档的阅读、编辑、删除、打印、外发、授权等6 种动作进行详细的日志审计。

2、日志审计系统（满足全部要求，且日志存储时间≥6 个月）记录、分析和处理用户操作行为的系统。

①具备日志记录、用户重要操作日志记录、日志查询、日志保护、日志备份、日志分析模型、日志审计报告等项功能。

②支持用户名称、操作日期和时间、操作类型、是否成功、合规审计等项日志审计内容。

③支持数据分析，并生成审计报表。

3、资产风险管理（推荐要求）基于组织内部网络环境, 构建组织内部网络资产基础信息库，能整体和动态发现网络安全风险的管理系统。

①具备实时评估网络安全风险、验证重要风险点、评估风险影响范围、网络安全持续监控、风险通报和威胁预警、风险分析结果可视化、风险处理等7 项功能。

②支持信息系统、承载业务、网络设备、安全设备、服务器设备、终端设备、软件、数据、存储等9 种资产信息库内容。

③支持表格、指示灯、3D 图表、雷达图、拓扑图、热度图等6 种风险可视化结果展示方式。

4、统一安全管理（至少具备6项功能、支持4种可视化展示方式）对组织内部的各类网络安全安全事件的监控、分析和管理的信息系统。

①具备资产管理、资产风险管理、网络安全事件采集、网络安全事件分析、网络安全事件分析模型、实时安全监测、分析结果可视化、安全运营决策和处置服务等8 项功能。

②基于数据分析模型，支持表格、指示灯、3D 图表、雷达图、拓扑图、热度图等6 种可视化结果展示方式。

等级保护2.0 建设（二，三级）需上的设备
信息安全等级保护二级：
一、机房方面的安全措施需求（二级标准）如下：
1、防盗报警系统
2、灭火设备和火灾自动报警系统
3、水敏感检测仪及漏水检测报警系统
4、精密空调
5、备用发电机
二、主机和网络安全层面需要部署的安全产品如下：
1、防火墙或者入侵防御系统
2、上网行为管理系统
3、网络准入系统
4、审计平台或者统一监控平台（可满足主机、网络和应用层面的监控需求，在条件不允许的情况下，至少要使用数据库审计）
5、防病毒软件
三、应用及数据安全层面需要部署的安全产品如下：
1、VPN
2、网页防篡改系统（针对网站系统）
3、数据异地备份存储设备
4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）。

信息安全等级保护三级：
一、机房方面的安全措施需求（三级标准）如下：
1、需要使用彩钢板、防火门等进行区域隔离
2、视频监控系统
3、防盗报警系统
4、灭火设备和火灾自动报警系统
5、水敏感检测仪及漏水检测报警系统
6、精密空调
7、除湿装置
8、备用发电机
9、电磁屏蔽柜
二、主机和网络安全层面需要部署的安全产品如下：
1、入侵防御系统
2、上网行为管理系统
3、网络准入系统
4、统一监控平台（可满足主机、网络和应用层面的监控需求）
5、防病毒软件
6、堡垒机
7、防火墙
8、审计平台（满足对操作系统、数据库、网络设备的审计，在条件不允许的情况下，至少要使用数据库审计）
三、应用及数据安全层面需要部署的安全产品如下：。

等级保护2.0第三级容灾备份应用容灾类安全防护产品功能指标参考
1、本地应用高可用（至少具备5 个组件、支持1 种技术）
①具有应用服务器、数据库服务器、存储磁盘阵列、集群软件
和应用容灾软件等5 个组件。

②支持使用集群、负载均衡等2 种相关技术。

2、本地应用恢复（至少具备2 项功能，RTO≦15 分钟，RPO≦10
分钟）
具备关键业务信息系统复原时间目标（RTO）和复原点目标（RPO）等2 项功能。

3、异地应用容灾（推荐要求）
①具有应用服务器、数据库服务器、存储磁盘阵列、集群软件
和应用容灾软件等5 个组件。

②支持使用高可用、负载均衡、内容分发网络等3 种相关技术。

4、异地应用恢复（推荐要求）
具备关键业务信息系统复原时间目标（RTO）和复原点目标（RPO）等2 项功能,关键业务信息系统RTO≦1 小时，RPO≦30
分钟。