等级保护2.0第三级终端安全终端安全管理系统类安全防护产品

将不同信息系统的资源划分不同隔离区域，区域间 限制访问；
利用轻量级客户端，实现虚拟机的入侵防御和基线 核查等。
等级保护2.0云计算解决方案
建设主动防护能力，持续安全监控预警
及时获取热点事件、漏洞、
运营 服务
恶意IP/域名。
热点事件 预警
攻击威胁源 封禁
攻击事件发 现与排查
安全事件 应急响应
自定义安全服务包，按需 选择，快速实现防护。
自助使用，自动交付，掌 握业务系统安全状态。
高可用设计，保障安全防 护连续性。
委办局1
虚拟机
虚拟机
委办局2
虚拟机
虚拟机
委办局3
虚拟机
虚拟机
防火墙 WAF
IPS
防火墙 网络审计 WAF
防火墙 DDoS防护 WAF
服务 平台
计算
存储
网络
防火墙 入侵防御 入侵检测 Web应用防护 安全审计 防病毒 EDR
SaaS PaaS IaaS
云服务客户
应用平台 软件平台 虚拟化计算资源 资源抽象控制
硬件 设施
范围和控制
等级保护2.0云计算解决方案
IaaS PaaS SaaS
新增安全要求，建立主动防护体系
实现对网络攻击特 别是新型网络攻击
行为的分析
被动安全防护
1
2
缺少监测预警
落实网络安全态感 知监测预警措施
集中安全管理
安全即服务
软件定义安全
硬件安全设备
统一管控
虚拟化
服务化
物理服务器
等级保护2.0云计算解决方案
做好区域隔离，实现东西向防护
某委办局
子网1
子网2

等级保护2.0第二级数据中心安全防护产品性能指标参考一、防火墙类1、WEB防火墙（推荐要求）WEB 网站访问防护专用安全设备，具备WEB 访问控制、WEB 网络数据分析等基本功能。

具备对SQL 注入、跨站、扫描器扫描、信息泄露、文件传输攻击、操作系统命令注入、目录遍历、异常发现、webshell 攻击检测、盗链行为、拒绝服务攻击防护、网页防篡改、身份认证、日志审计等14 项安全功能。

2、数据库防火墙（推荐要求）数据库访问控制和安全审计专用设备。

①具备数据库审计、数据库访问控制、数据库访问检测与过滤、数据库服务发现、脱敏数据发现、数据库状态和性能监控、数据库管理员特权管控等功能。

②支持桥接、网关和混合接入方式，基于安全等级标记的访问控制策略和双机热备功能，保障连续服务能力。

3、网络防火墙（必须具备其中3 项功能、支持3 种访问控制类型）网络边界防护和访问控制的专用设备。

①具备访问控制、入侵防御、病毒防御、应用识别、WEB 防护、负载均衡、流量管控、身份认证、数据防泄露等9 项功能。

②支持区域访问控制、数据包访问控制（例如基于IP、端口、网络协议访问的数据包）、会话访问控制、信息内容过滤访问控制、应用识别访问控制等5 种访问控制类型。

二、安全审计设备类1、网络安全审计（必须满足全部要求）记录网络行为并进行审计和异常行为发现的专用安全设备。

①对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

②审计记录包括事件的时间和日期、用户、事件类型、事件是否成功及其它与审计相关的信息。

③能够对记录数据进行分析，生成审计报表。

2、数据库审计（必须满足全部要求）监控数据库系统的用户操作日志、数据库活动、预警的专用设备。

①具备数据库操作记录的查询、保护、备份、分析、审计、实时监控、风险报警和操作过程回放等功能。

②支持监控中心报警、短信报警、邮件报警、Syslog报警等报警方式。

3、运维审计（必须满足全部要求）数据中心运维操作审计及预警的专用设备。

网络安全等级保护（等保2.0）3级建设内容设计方案一、物理环境安全设计机房与配套设备安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境，并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。

1.1.物理位置的选择在机房位置选择上，应选择的场地具有防震、防风和防雨等能力建筑内，同时尽量避免设在建筑物的顶层或地下室以保证机房的防水防潮效果，确保机房的选择合理合规。

在UPS电池按放的位置选择要考虑到楼板的承重等因素。

1.2.物理访问控制对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；进入机房的来访人员须经过申请和审批流程，并限制和监控其活动范围，同时在机房的各出入口出配置配置电子门禁系统和视频监控系统，通过开关门记录和视频来控制、鉴别和记录机房进入的人员相关信息。

1.3.防盗窃和防破坏在防盗窃和防破坏方面，对设备或主要部件进行固定，并设置明显的不易除去的标记。

在强弱电铺设方面尽量进行隐蔽布设。

为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。

此外，必须制定严格的出入管理制度和环境监控制度，以保障区域监控系统和环境监控系统的有效运行。

对介质进行分类标识，存储在介质库或档案室中。

利用光、电等技术设置机房防盗报警系统；对机房设置监控报警系统。

1.4.防雷击严格按照国家的相关的标准将各类机柜、设施和设备等通过接地系统安全接地。

同时在配电方面设置相应的防雷保安器或过压保护装置等。

1.5.防火合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。

房间装修必需使用阻燃材料，耐火等级符合国家相关标准规定，同时设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；1.6.防水和防潮在机房建设阶段，对机房窗户、屋顶和墙壁进行处理，防止液体渗透。

等级保护2.0第三级数据中心入侵防范设备类安全防护产品功能指标参考1、入侵防御设备（至少具备4 项功能、支持3 种入侵防御技术、支持2 种抗拒绝服务技术。

）对网络数据流量进行深度检测、实时分析，并对网络中的攻击行为进行主动防御的专用设备。

①具备深层检测、内容识别、即时侦测、主动防御、无线攻击防御、抗拒绝服务、日志审计、身份认证等9项功能。

②支持攻击行为记录（包括攻击源IP、攻击类型、攻击目的、攻击时间等）、协议分析、模式识别、异常流量监视、统计阀值、实时阻断攻击等6 种入侵防御技术。

③支持流量检测与清洗（流量型DDoS 攻击防御、应用型DDoS 攻击防御、DoS 攻击防御、非法协议攻击防御、常用攻击工具防御等）、流量牵引和回注等2 种抗拒绝服务技术。

2、入侵检测设备（满足其中三级要求）通过对网络上的数据包作为数据源，监听所保护网络内的所有数据包并进行分析，从而发现异常行为的入侵检测系统。

参照《信息安全技术网络入侵检测系统技术要求和测评方法》[GBT20275-2013]将网络入侵检测系统技术要求分为一级、二级、三级。

3、网络准入控制设备（推荐要求）屏蔽不安全的设备和人员接入网络，规范用户接入网络行为的专用设备。

①具备网络准入身份认证、合规性健康检查、终端接入管理（包括：PC、移动终端等）、用户管理、准入规则管理、高可用性、日志审计等7 项功能。

②支持pap、chap、md5、tls、peap 等5 种网络准入身份认证方法。

4、防病毒网关设备（至少具备5 项功能。

支持4 种病毒过滤方法。

）病毒防御网关化的专业设备。

①具备病毒过滤、内容过滤、反垃圾邮件、日志审计、身份认证、高可用等6 项功能。

②支持流杀毒、文件型杀毒、常用协议端口病毒扫描、IPv4和IPv6 双协议栈的病毒过滤、病毒隔离等5 种病毒过滤方法。

5、网络安全入侵防范（推荐要求）①在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；②当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

三级等保2.0标准
三级等保2.0标准是指我国信息安全管理制度中的一项重要标准，是对信息系统安全等级保护的升级和完善。

相比于之前的等保1.0标准，等保2.0标准更加注重信息系统的风险评估和管理、安全保障措施的科学性和有效性、安全管理的持续性和动态性等方面。

以下是三级等保2.0标准的一些主要内容：
1.安全保障目标：明确信息系统的安全保障目标，包括保密性、完整性和可用性等方面。

2.安全等级划分：对信息系统进行安全等级划分，根据安全等级制定相应的安全保障措施和管理要求。

3.安全保障措施：根据信息系统的安全等级，制定相应的安全保障措施，包括物理安全、网络安全、系统安全、数据安全等方面。

4.安全管理要求：制定信息系统的安全管理要求，包括安全管理制度、安全培训、安全检查等方面。

5.安全风险评估：对信息系统进行安全风险评估，制定相应的安全风险应对措施。

6.安全保障评估：对信息系统进行安全保障评估，评估安全保障措施的有效性。

7.安全管理绩效评估：对信息系统的安全管理绩效进行评估，评估安全管理的有效性和持续性。

8.安全管理改进：根据安全管理绩效评估结果，对信息系统的安全管理进行改进和优化。

以上是三级等保2.0标准的一些主要内容，具体的实施细节和要求可能会因不同行业和领域而有所不同。

一、等级保护二级系统（一）物理和环境安全层面安全措施需求如下：1、防盗报警系统2、灭火设备和火灾自动报警系统3、水敏感检测仪及漏水检测报警系统4、精密空调5、备用发电机（二）网络和通信安全及设备和计算安全层面需要部署的安全产品如下：1、防火墙或者入侵防御系统2、上网行为管理系统3、网络准入系统4、审计平台或者统一监控平台（可满足主机、网络和应用层面的监控需求，在条件不允许的情况下，至少要使用数据库审计）5、防病毒软件（三）应用及数据安全层面需要部署的安全产品如下：1、VPN2、网页防篡改系统（针对网站系统）3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）。

二、等级保护三级系统（一）物理和环境安全层面安全措施需求如下：1、需要使用彩钢板、防火门等进行区域隔离2、视频监控系统3、防盗报警系统4、灭火设备和火灾自动报警系统5、水敏感检测仪及漏水检测报警系统6、精密空调7、除湿装置8、备用发电机9、电磁屏蔽柜（二）网络和通信安全及设备和计算安全层面需要部署的安全产品如下：1、入侵防御系统2、上网行为管理系统3、网络准入系统4、统一监控平台（可满足主机、网络和应用层面的监控需求）5、防病毒软件6、堡垒机7、防火墙8、审计平台（满足对操作系统、数据库、网络设备的审计，在条件不允许的情况下，至少要使用数据库审计）（三）应用及数据安全层面需要部署的安全产品如下：1、VPN2、网页防篡改系统（针对网站系统）3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）5、数据加密软件（满足加密存储，且加密算法需获得保密局认可）。

第二阶段
进行系统服务的调研和评估，根据评估结果 制定安全防护方案，并进行方案的实施。
实施步骤与详细方案
01
第三阶段
进行应用服务的调研和评估，根据评估结果制定安全防护 方案，并进行方案的实施。
02
详细方案
每个阶段都需要制定详细的实施方案，包括具体的操作步 骤、实施时间和责任人等。
03
第一阶段
对网络设备进行安全配置，包括禁止不必要的端口和服务 、限制访问IP等；对服务器进行安全配置，包括安装补丁 、关闭不必要的服务等；对数据库进行漏洞扫描和安全配 置，包括设置强密码、限制访问权限等。
网络隔离与访问控制
通过VLAN、VPN等技术实现网络隔离，确保数据只 能被授权用户访问。
数据安全
数据加密
采用数据加密技术，确保数据在存储和传输过 程中被窃取后仍无法被非法获取。
数据备份与恢复
制定完善的数据备份与恢复策略，防止数据丢 失给业务带来严重影响。
数据访问控制
对数据进行分类，设置不同的访问权限，确保敏感数据只能被授权用户访问。
安全制度培训与宣传
定期组织员工进行安全制度培训，提高员工的安全意识，确保员工了解并遵守相关安全制度。
安全运维管理
安全漏洞发现与修复
01
建立安全漏洞发现与报告机制，及时发现并修复安全漏洞，防
止漏洞被利用。
安全审计与监控
02
建立安全审计与监控机制，对系统、网络、数据等资源进行实
时监控和审计，及时发现并处理异常行为。
实施风险与应对措施
实施风险
在实施过程中，可能会遇到以下风险和挑战
人员技能不足
需要具备专业的网络安全知识和技能，如果人员技能不足，可能 会影响实施效果。

安全审计（G）
日志收集分析系统及备份功能、网络审计、上网行为管理、云平台操作审计
虚拟化运维审计
集中管控（G）
安全管理系统、安全管控平台、日志收集分析系统、数据库审计、网络管理系统、态势感知、病毒管理端；安全管理系统、网管
虚拟日志收集分析系统
虚拟化数据库/网络审计、杀毒管理中心
防护子项
云平台安全
云租户安全
身份鉴别（S）
设备、操作系统、数据库、中间件自带认证、统一身份认证4A、堡垒机、ssh管理、多因素认证、CA证书、双向认证SSH/ HTTPS
双向认证、SSH/ HTTPS
访问控制（S）
系统账号划分、4A系统自带访问控制功能、终端安全管理、数据库防火墙、管理类手段、强访问控制、加密、平台身份认证，授权权限划分、存储加密；
云计算环境选择
运维地点，配置数据、日志信息存放地点
运维地点，配置数据、日志信息存放地点
统一策略下发平台、虚拟化防火墙、东西向虚拟化防火墙、虚拟化日志收集、杀毒，
入侵防范（G）
未知威胁攻击防护系统、抗异常流量拒绝服务攻击；网络回溯系统、入侵防护/检测
虚拟化防火墙、东西向虚拟化防火墙入侵防御模块
恶意代码（G）
防病毒网关；防火墙、统一威胁防护系统、入侵防御/检测木马监测、安全邮件网关
虚拟化防火墙（入侵防御/杀毒模块）、东西向虚拟化防火墙、主机杀毒
镜像校验；镜像加密
安全操作系统、虚拟漏洞扫描、虚拟化基线配置核查系统
应用和数据安全
防护子项
云平台安全
云租户安全
身份鉴别（S）
统一身份认证、多因素认证、证书
业务应用系统自身认证；
访问控制（S）
身份认证、管理类手段、最小化原则、数据库防火墙；敏感数据加密、访问控制、云平台账号三权分立；

和应用程序；
动终端、移动终端管理系统、 应用程序。
移动终端管理客户端、感知节
点设备、网关节点设备、控制
16
设备等；
b)应关闭不需要的系统
服务、默认共享和高危 同上
17
端口；
1、应核查是否关闭了非必要的系统服 务和默认共享； 2、应核查是否不存在非必要的高危端 口。
c)应通过设定终端接入
方式或网络地址范围对 通过网络进行管理的管
15
断。
应测试验证通过非审计管理员的其他账 户来中断审计进程，验证审计进程是否 受到保护。
终端和服务器等设备中的操作
系统（包括宿主机和虚拟机操 作系统）、网络设备（包括虚
a)应遵循最小安装的原 拟机网络设备）、安全设备 1、应核查是否遵循最小安装原则；
则，仅安装需要的组件 （包括虚拟机安全设备）、移 2、应核查是否未安装非必要的组件和
拟机网络设备）、安全设备 （包括虚拟机安全设备）、移 动终端、移动终端管理系统、 移动终端管理客户端、感知节 点设备、网关节点设备、控制
1、应核查是否为用户分配了账户和权 限及相关设置情况； 2、应核查是否已禁用或限制匿名、默 认账户的访问权限
设备、业务应用系统、数据库
管理系统、中间件和系统管理
5
软件及系统设计文档等；
1
求并定期更换；
软件及系统设计文档等；
1、应核查是否配置并启用了登录失败
b)应具有登录失败处理
处理功能；
身份鉴 功能，应配置并启用结 别 束会话、限制非法登录 次数和当登录 连接超时自动退出等相
2、应核查是否配置并启用了限制非法 登录功能，非法登录达到一定次数后采 取特定动作，如账号锁定等； 3、应核查是否配置并启用了登录连续

等级保护2.0第三级数据中心安全管理系统安全防护产品功能指标参考1、文档安全管理（推荐要求）用于组织内部的核心信息资产有意或无意泄露防护的管理系统。

①具备文档加密、文档安全策略（权限控管、使用次数、文档生命期限、打印自定义水印等）、身份认证、使用追踪、离线管理、文档操作审计等6 项功能。

②支持对电子文档进行细粒度的权限控制，包括只读、打印、修改、复制等4 种权限控制。

③支持对文档的阅读、编辑、删除、打印、外发、授权等6 种动作进行详细的日志审计。

2、日志审计系统（满足全部要求，且日志存储时间≥6 个月）记录、分析和处理用户操作行为的系统。

①具备日志记录、用户重要操作日志记录、日志查询、日志保护、日志备份、日志分析模型、日志审计报告等项功能。

②支持用户名称、操作日期和时间、操作类型、是否成功、合规审计等项日志审计内容。

③支持数据分析，并生成审计报表。

3、资产风险管理（推荐要求）基于组织内部网络环境, 构建组织内部网络资产基础信息库，能整体和动态发现网络安全风险的管理系统。

①具备实时评估网络安全风险、验证重要风险点、评估风险影响范围、网络安全持续监控、风险通报和威胁预警、风险分析结果可视化、风险处理等7 项功能。

②支持信息系统、承载业务、网络设备、安全设备、服务器设备、终端设备、软件、数据、存储等9 种资产信息库内容。

③支持表格、指示灯、3D 图表、雷达图、拓扑图、热度图等6 种风险可视化结果展示方式。

4、统一安全管理（至少具备6项功能、支持4种可视化展示方式）对组织内部的各类网络安全安全事件的监控、分析和管理的信息系统。

①具备资产管理、资产风险管理、网络安全事件采集、网络安全事件分析、网络安全事件分析模型、实时安全监测、分析结果可视化、安全运营决策和处置服务等8 项功能。

②基于数据分析模型，支持表格、指示灯、3D 图表、雷达图、拓扑图、热度图等6 种可视化结果展示方式。

【互联网服务区】WEB服务器群集…应用服务器群集…
【安全管理区】身份认证\漏洞扫描\堡垒机\终端安全管理\全流量分析\安全管理平台
【综合业务区】OA服务器群集…ERP服务器群集…
【数据存储区】数据库群集…IP SAN存储群集…备份服务器群集…
【终端接入区】
【核心交换区】
防火墙
防火墙
防火墙
防火墙
防火墙
网络访问策略的控制要求，包括安全域的划分、网络之间的隔离。
网络架构
网络架构
通信传输
通信传输
安全通信网络
安全通信网络建设
合理的区域划分对具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享相同的安全策略，划分不同的网络区域；区域访问控制避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段；通信链路加密采用校验码技术或加解密技术保证通信过程中数据的完整性、保密性；
代表终端杀毒、EDR类产品
安全管理中心建设
安全管理体系
安全服务体系
应急响应服务
安全培训服务
安全测试服务
安全开发服务
安全咨询服务
安全运维服务
SecurityServices
应急演练
等保咨询
开发安全运维
重保安全
数据安全咨询
安全运营体系
依据标准化安全运营体系设计，为用户方提供全面的基础运营保障、安全风险分析研判与检测控制能力、风险监控预警能力以及安全事件的日常与应急处置能力。
身份安全认证对授权主体进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。终端安全管理实时针对终端的安全关机，包括漏洞扫描，基线核查、主机防病毒等，保证内网终端环境安全；全面安全审计保证审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计，审计记录满足等保要求；数据安全保护保证数据传输过程、数据存储中的加密，个人信息数据使用的审计，非法访问的禁止。

信息安全等保三级（等保2.0）系统建设整体解决方案 2020年2月某单位信息安全等级保护（三级）建设方案目录第一章项目概述 (4)1.1项目概述 (4)1.2项目建设背景 (4)1.2.1法律要求 (5)1.2.2政策要求 (7)1.3项目建设目标及内容 (7)1.3.1项目建设目标 (7)1.3.2建设内容 (8)第二章现状与差距分析 (9)2.1现状概述 (9)2.1.1信息系统现状 (9)2.2现状与差距分析 (11)2.2.1物理安全现状与差距分析 (11)2.2.2网络安全现状与差距分析 (20)2.2.3主机安全现状与差距分析 (33)2.2.4应用安全现状与差距分析 (45)2.2.5数据安全现状与差距分析 (57)2.2.6安全管理现状与差距分析 (60)2.3综合整改建议 (66)2.3.1技术措施综合整改建议 (66)2.3.2安全管理综合整改建议 (82)第三章安全建设目标 (84)第四章安全整体规划 (86)4.1建设指导 (86)4.1.1指导原则 (86)4.1.2安全防护体系设计整体架构 (87)4.2安全技术规划 (89)4.2.1安全建设规划拓朴图 (89)4.2.2安全设备功能 (90)4.3建设目标规划 (96)第五章工程建设 (99)5.1工程一期建设 (99)5.1.1区域划分 (99)5.1.2网络环境改造 (100)5.1.3网络边界安全加固 (100)5.1.4网络及安全设备部署 (101)5.1.5安全管理体系建设服务 (136)5.1.6安全加固服务 (154)5.1.7应急预案和应急演练 (162)5.1.8安全等保认证协助服务 (162)5.2工程二期建设 (163)5.2.1安全运维管理平台（soc） (163)5.2.2APT高级威胁分析平台 (167)第六章方案预估效果 (169)6.1工程预期效果 (170)第一章项目概述1.1项目概述某单位是人民政府的职能部门，贯彻执行国家有关机关事务工作的方针政策，拟订省机关事务工作的政策、规划和规章制度并组织实施，负责省机关事务的管理、保障、服务工作。

管理大概80，外网大概40，服务器数外网网络边界进行访问控制，基本的终端数量：内网大概80，外网大概40，服务器数量：11网络现况：电信宽带30MB（互联网），电信专网4MB（一门诊）、10MB（城北门诊）,医保电信ADSL，电子远程药品监空系统移动光缆（带宽不详）现有应用系统：HIS、LIS、PACS 、EMR、物资资产财务、CA认证、医保数据备份：没有现有网络安全产品：防火墙1台（网神）在互联网出口处；服务器及内网终端安装Mcafee杀毒软件终端安全管理产品：没有分支机构远程连接：有2个分门诊，使用Radmin 、飞秋、远程桌面等局域网内部远程工具终端使用操作系统：WinXP、win8、win sever 2003、win sever 2008操作系统补丁更新：服务器与内网终端没有更新过终端杀毒软件：服务器、内网终端安装华军软件及功能：1)外网防火墙(对外网网络边界进行访问控制，基本的入侵防护的，可考虑原有网神防火墙利旧，需确认原有网神防火墙是否满足需求)2)内网防火墙(对内部网络边界进行访问控制，基本的入侵防护等)3)终端企业版杀毒软件(服务器及终端主机的防病毒统一管理、可进行终端个体的漏洞扫描及补丁更新)4)终端安全产品(对终端的信息安全进行防护，后期可根据需求增加和调整功能模块) 5)上网行为管理设备(对外网终端的上网行为进行监测，必要时进行管控)后期三级等保可考虑增加设备：1)入侵防御设备(IPS)：网络边界处2)防病毒网关(多功能安全网关)：网络边界处3)入侵检测设备(IDS)：内网核心交换机处4)堡垒主机(运维网关、安全管理平台)：核心交换机处5)网闸(信息交换与隔离系统)：内外网边界处6)数据库审计(综合审计类产品)：新：服务器与内网终端没有更新处5)网闸(信息交换系统运维管理。

安全通用要求：
安全通信网络
网络架构
安全区域边界
边界防护
通信传输
访问控制
可信验证
入侵防范
/
/
恶意代码和垃圾邮件防范
安全审计
可信验证
安全计算环境
身份鉴别
安全物理环境
物理位置选择
访问控制
物理访问控制
安全审计
防盗窃和防破坏
入侵防范
防雷击
恶意代码防范
防火
可信验证
防水和防潮
数据完整性
防静电
数据保密性
温湿度控制
数据备份恢复
电力供应
剩余信息保护
电磁防护
个人信息保护
安全管理中心
系统管理
安全管理制度
安全策略
审计管理
管理制度
安全管理
制定和发布
集中管理
评审和修订
安全管理机构
岗位设置
安全管理Hale Waihona Puke 员人员录用人员配备
人员离岗
授权和审批
安全意识教育和培训
沟通和合作
外部人员访问管理
审核和检查
安全建设管理
定级和备案
安全运维管理
环境管理
安全方案设计
室外控制设备物理防护
通信传输
安全建设管理
产品采购和使用
安全区域边界
访问控制
外包软件开发
拨号使用控制
无线使用控制
安全计算环境
控制设备安全
安全管理中心
集中管控
安全运维管理
配置管理
安全计算环境
移动终端管控
移动应用管控
物联网安全扩展要求：
安全区域边界
接入控制
安全物理环境

等级保护2.0第三级数据中心数据加固设备类安全防护产品功能指标参考1、网络防泄露设备（推荐要求）防止通过网络传输泄露敏感/关键信息的专用设备。

①具备识别能力（协议识别、应用识别、文件识别、内容识别、异常行为识别）、响应能力、策略管理、报表与审计等4 项功能。

②支持HTTP、HTTPS、FTP、SMTP、POP3 等5 种协议识别。

③支持识别加密文件、压缩文件、图片文件、非Windows 文件、未知文件、自定义文件等6 种文件类型。

④支持文档多层嵌套方式逃避检测、文件多层压缩逃避检测、邮件密送、修改文件扩展名、图片嵌入敏感文档、拷贝文档部分内容泄露敏感信息、少量多次泄露敏感信息、文档页眉页脚隐藏敏感信息、敏感信息标识为隐藏段落等9 种常见异常行为识别方式。

⑤支持文件内容、发送者、接收者、文件特征、通讯协议等5种条件策略配置。

2、存储数据防泄露设备（推荐要求）发现和处理存储系统敏感数据的专用防泄露设备。

①具备敏感数据发现、发现的敏感数据展示、敏感数据隔离等3 项功能。

②支持在文件服务器、数据库、协作平台、Web 站点、台式机、移动终端等6 种系统的敏感数据发现。

③支持非结构化数据指纹检测、结构化数据指纹检测、机器学习特征提取与检测、关键内容描述、正则、数据符等6 种检测技术。

3、数据库加密设备（推荐要求）加密医院数据库和发现数据库风险的专用设备。

①具备系统管理、加解密引擎管理、数据库透明加密管理、数据库状态监控、数据库风险扫描等5 项功能。

②支持动态加解密、密文索引、多级密钥等技术。

4、邮件加密设备（推荐要求）邮件加密和邮件服务器安全防护的专用设备。

①具备邮件加密、安全防御、邮件传输代理、日志审计等4项功能。

②支持附件加密、邮件替换、邮件附件备份、附件链接下载管理、防止机密信息外泄、第三方证书认证加密、网关-网关加密等7种邮件加密方式。

③支持DNS 反向解析、SMTP 攻击防御、SMTP 连接限制、SMTP 字典攻击、SMTP 密码防猜机制、POP 攻击防御、IMAP 攻击防御、DNS 攻击防御等8 种安全防御方式。

信息系统安全等级保护基本要求(三级要求)信息系统安全等级保护基本要求1 三级基本要求 (6)1.1 技术要求 (6)1.1.1 物理安全 (6)1.1.1.1 物理位置的选择（G3） (6)1.1.1.2 物理访问控制（G3） (6)1.1.1.3 防盗窃和防破坏（G3） (7)1.1.1.4 防雷击（G3） (7)1.1.1.5 防火（G3） (8)1.1.1.6 防水和防潮（G3） (8)1.1.1.7 防静电（G3） (8)1.1.1.8 温湿度控制（G3） (9)1.1.1.9 电力供应（A3） (9)1.1.1.10 电磁防护（S3） (9)1.1.2 网络安全 (10)1.1.2.1 结构安全（G3） (10)1.1.2.2 访问控制（G3） (10)1.1.2.3 安全审计（G3） (11)1.1.2.4 边界完整性检查（S3） (12)1.1.2.5 入侵防范（G3） (12)1.1.2.6 恶意代码防范（G3） (13)1.1.2.7 网络设备防护（G3） (13)1.1.3 主机安全 (14)1.1.3.1 身份鉴别（S3） (14)1.1.3.2 访问控制（S3） (14)1.1.3.3 安全审计（G3） (15)1.1.3.4 剩余信息保护（S3） (16)1.1.3.5 入侵防范（G3） (16)1.1.3.6 恶意代码防范（G3） (17)1.1.3.7 资源控制（A3） (17)1.1.4 应用安全 (18)1.1.4.1 身份鉴别（S3） (18)1.1.4.2 访问控制（S3） (18)1.1.4.3 安全审计（G3） (19)1.1.4.4 剩余信息保护（S3） (20)1.1.4.5 通信完整性（S3） (20)1.1.4.6 通信保密性（S3） (20)1.1.4.7 抗抵赖（G3） (20)1.1.4.8 软件容错（A3） (21)1.1.4.9 资源控制（A3） (21)1.1.5 数据安全及备份恢复 (22)1.1.5.1 数据完整性（S3） (22)1.1.5.2 数据保密性（S3） (22)1.1.5.3 备份和恢复（A3） (23)1.2 管理要求 (23)1.2.1 安全管理制度 (23)1.2.1.1 管理制度（G3） (23)1.2.1.2 制定和发布（G3） (24)1.2.1.3 评审和修订（G3） (24)1.2.2 安全管理机构 (25)1.2.2.1 岗位设置（G3） (25)1.2.2.2 人员配备（G3） (25)1.2.2.3 授权和审批（G3） (26)1.2.2.4 沟通和合作（G3） (26)1.2.2.5 审核和检查（G3） (27)1.2.3 人员安全管理 (28)1.2.3.1 人员录用（G3） (28)1.2.3.2 人员离岗（G3） (28)1.2.3.3 人员考核（G3） (29)1.2.3.4 安全意识教育和培训（G3） (29)1.2.3.5 外部人员访问管理（G3） (29)1.2.4 系统建设管理 (30)1.2.4.1 系统定级（G3） (30)1.2.4.2 安全方案设计（G3） (30)1.2.4.3 产品采购和使用（G3） (31)1.2.4.4 自行软件开发（G3） (32)1.2.4.5 外包软件开发（G3） (32)1.2.4.6 工程实施（G3） (33)1.2.4.7 测试验收（G3） (33)1.2.4.8 系统交付（G3） (34)1.2.4.9 系统备案（G3） (35)1.2.4.10 等级测评（G3） (35)1.2.4.11 安全服务商选择（G3） (36)1.2.5 系统运维管理 (36)1.2.5.1 环境管理（G3） (36)1.2.5.2 资产管理（G3） (37)1.2.5.3 介质管理（G3） (37)1.2.5.4 设备管理（G3） (38)1.2.5.5 监控管理和安全管理中心（G3）. 39 1.2.5.6 网络安全管理（G3） (40)1.2.5.7 系统安全管理（G3） (41)1.2.5.8 恶意代码防范管理（G3） (42)1.2.5.9 密码管理（G3） (43)1.2.5.10 变更管理（G3） (43)1.2.5.11 备份与恢复管理（G3） (43)1.2.5.12 安全事件处置（G3） (44)1.2.5.13 应急预案管理（G3） (45)第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

等级保护2.0安全架构介绍等级保护2.0安全架构介绍等级保护2.0安全架构介绍基于“动态安全”体系架构设计，构筑“⽹络+安全”稳固防线“等级保护2.0解决⽅案”，基于“动态安全”架构，将⽹络与安全进⾏融合，以合规为基础，⾯对⽤户合规和实际遇到的安全挑战，将场景化安全理念融⼊其中，为⽤户提供“⼀站式”的安全进化。

国家⽹络安全等级保护⼯作进⼊2.0时代国家《⽹络安全法》于2017年6⽉1⽇正式施⾏，所有了⽹络运营者和关键信息基础设施运营者均有义务按照⽹络安全等级保护制度的要求对系统进⾏安全保护。

随着2019年5⽉13⽇《GB/T 22239-2019 信息安全技术 ⽹络安全等级保护基本要求》标准的正式发布，国家⽹络安全等级保护⼯作正式进⼊2.0时代。

等级保护2.0关键变化“信息安全”→“⽹络安全”引⼊移动互联、⼯控、物联⽹等新领域等保2.0充分体现了“⼀个中⼼三重防御“的思想。

⼀个中⼼指“安全管理中⼼”，三重防御指“安全计算环境、安全区域边界、安全⽹络通信”，同时等保2.0强化可信计算安全技术要求的使⽤。

被动防御→主动防御等级保护2.0解决⽅案拓扑结构设计安全管理中⼼⼤数据安全（流量+⽇志）IT运维管理堡垒机漏洞扫描WMS等保建设咨询服务建设要点对安全进⾏统⼀管理与把控集中分析与审计定期识别漏洞与隐患安全通信⽹络下⼀代防⽕墙VPN路由器交换机建设要点构建安全的⽹络通信架构保障信息传输安全安全区域边界下⼀代防⽕墙（防病毒+垃圾邮件）⼊侵检测/防御上⽹⾏为管理安全沙箱动态防御系统⾝份认证管理流量探针WEB应⽤防护建设要点强化安全边界防护及⼊侵防护优化访问控制策略安全计算环境⼊侵检测/防御数据库审计动态防御系统⽹页防篡改漏洞风险评估（渗透+漏扫服务）杀毒软件建设要点强调系统及应⽤安全加强⾝份鉴别机制与⼊侵防范安全通信⽹络：建设要点（等保三级）等保要求 控制点 对应产品或⽅案安全通信⽹络 ⽹络架构 防⽕墙、路由器、交换机、⽹络规划与配置优化、关键设备/链路/服务器冗余通信传输 VPN可信验证 可信计算机制主⼲⽹络链路及设备均采⽤冗余部署基于业务管理和安全需求划分出有明确边界的⽹络区域采⽤VPN或HTTPS等加密⼿段保护业务应⽤安全区域边界：建设要点（等保三级）等保要求 控制点 对应产品或⽅案安全区域边界 边界防护 防⽕墙、⾝份认证与准⼊系统、⽆线控制器访问控制 第⼆代防⽕墙、WEB应⽤防⽕墙、⾏为管理系统⼊侵防范 ⼊侵检测与防御、未知威胁防御、⽇志管理系统恶意代码和垃圾邮件防范 防病毒⽹关、垃圾邮件⽹关，或第⼆代防⽕墙安全审计 ⾏为审计系统、⾝份认证与准⼊系统、⽇志管理系统可信验证 可信计算机制区域边界部署必要的应⽤层安全设备，启⽤安全过滤策略建⽴基于⽤户的⾝份认证与准⼊机制，启⽤安全审计策略采⽤⾏为模型分析等技术防御新型未知威胁攻击采集并留存不少于半年的关键⽹络、安全及服务器设备⽇志安全区域边界：建设要点（等保三级）等保要求 控制点 对应产品或⽅案安全计算环境 ⾝份鉴别 ⾝份认证与准⼊系统、堡垒机、安全加固服务访问控制 ⾝份认证与准⼊系统、安全加固服务安全审计 堡垒机、数据库审计、⽇志管理系统⼊侵防范 ⼊侵检测防御、未知威胁防御、⽇志管理系统、渗透测试/漏洞扫描/安全加固服务恶意代码防范 杀毒软件、沙箱可信验证 可信计算机制数据完整性 VPN、防篡改系统数据保密性 VPN、SSL等应⽤层加密机制数据备份恢复 本地数据备份与恢复、异地数据备份、重要数据系统热备剩余信息保护 敏感信息清除个⼈信息保护 个⼈信息保护安全管理中⼼：建设要点（等保三级）等保要求 控制点 对应产品安全管理中⼼ 系统管理 堡垒机审计管理 堡垒机安全管理 堡垒机集中管控 VPN、IT运维管理系统、安全态势感知平台、⽇志管理系统安全建设管理 测试验收 上线前安全检测服务安全运维管理 漏洞和风险管理 渗透测试服务、漏洞扫描服务系统管理员、审计管理员、安全管理员权责清晰，三权分⽴设置独⽴安全管理区，采集全⽹安全信息，实施分析预警管理借⼒专业安服⼈员，提供渗透测试等⾼技术要求安全服务等级保护2.0解决⽅案特⾊总结：1+N 全⽹安全等保2.0标准名称《⽹络安全等级保护》，明确强调了安全体系的建设必须要跟⽹络架构设计紧密结合完整的等保安全产品品类1提供基于SDN技术的⽹络安全⽀撑体系2全系列⽆线产品，形成有线⽆线全⽹统⼀安全体系3⽤户⾝份+应⽤鉴权4IT运维管理的可靠⽀撑5等级保护2.0推荐配置⽅案序号 等保所需产品与服务 必备/可选(等保⼆级) 必备/可选(等保三级) 对应锐捷产品或服务名称1 防⽕墙 必备 必备 RG-WALL2 ⼊侵防御 必备 必备 RG-IDP3 ⽇志审计与集中管理 必备 必备 RG-BDS4 渗透测试服务 必备 必备 渗透测试5 漏洞扫描服务 必备 必备 漏洞扫描6 堡垒机 可选 必备 RG-OAS7 上⽹⾏为管理 可选 必备 RG-UAC8 WAF应⽤防⽕墙 可选 必备 RG-WG9 终端准⼊系统 可选 必备 SMP系列10 数据库审计 可选 可选 RG-DBS11 等级保护建设咨询 可选 可选 等级保护建设咨询12 安全事件处置服务 可选 可选 安全事件处置13 ⽹站防篡改 可选 可选 RG-Wlock14 机房运维管理软件 可选 可选 RIIL15 未知威胁防御 可选 可选 RG-DDP16 APT 可选 可选 RG-SandBox17 ⽹络版杀毒软件 必备 必备 ⽕绒终端安全（战略合作）。