完整版三级等保所需设备及服务

三级等保测评服务内容
三级等保测评是指对信息系统的安全性进行评估和测试，以确定其是否符合国
家三级等级保护标准的要求。

在进行三级等保测评时，需要按照以下内容进行服务：
1.系统资产确认与分类：通过对信息系统中的各种资产进行确认和分类，包括
软件、硬件、网络设备、数据库等，以便全面评估其安全性。

2.安全策略与规划评估：对信息系统的安全策略和规划进行评估，包括密码策略、网络安全策略、应急响应计划等，以确保其与国家三级等保标准相符。

3.权限与访问控制评估：评估系统中的权限管理和访问控制机制，包括用户权
限分配、身份认证、访问控制列表等，以确保系统只被授权人员访问。

4.安全运维管理评估：对系统的安全运维管理进行评估，包括安全事件管理、
日志审计、漏洞管理等，以确保对系统进行有效的监控和管理。

5.物理环境评估：评估物理环境中的安全措施，包括设备布置、防火墙设置、
电力和环境监控等，以确保系统能在安全的物理环境下运行。

6.网络安全评估：评估系统的网络安全性，包括网络拓扑结构、入侵检测与防御、防火墙设置等，以确保系统在网络层面上的安全性。

7.安全培训与意识评估：评估系统用户的安全培训和安全意识程度，并提供相
应的培训和改进建议，以提高系统用户的安全防范意识。

以上是三级等保测评的主要服务内容，通过对系统的各个方面进行评估，可以
帮助企业或组织发现潜在的安全风险，并采取相应的措施进行改进和强化，以确保系统的安全性达到国家三级等级保护标准的要求。

等级保护三级(等保三级)基本要求内容等级保护第三级基本要求1.1.1 物理安全1.1.1.1 物理位置的选择（G3）为确保物理安全，机房和办公场地应选择在具有防震、防风和防雨等能力的建筑。

机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

1.1.1.2 物理访问控制（G3）为确保物理安全，机房出入口应安排专人值守，控制、鉴别和记录进入的人员。

需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。

机房划分区域应进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。

重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏（G3）为确保物理安全，应将主要设备放置在机房。

设备或主要部件应进行固定，并设置明显的不易除去的标记。

通信线缆应铺设在隐蔽处，可铺设在地下或管道中。

介质应分类标识，存储在介质库或档案室中。

利用光、电等技术设置机房防盗报警系统，对机房设置监控报警系统。

1.1.1.4 防雷击（G3）为确保物理安全，机房建筑应设置避雷装置。

应设置防雷保安器，防止感应雷。

机房应设置交流电源地线，并安装电源三级防雷器和信号二级防雷器。

1.1.1.5 防火（G3）为确保物理安全，机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。

机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。

机房应采取区域隔离防火措施。

1.1.1.6 防水和防潮（G3）为确保物理安全，水管安装不得穿过机房屋顶和活动地板下。

应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。

应采取措施防止机房水蒸气结露和地下积水的转移与渗透。

应安装机房动力环境监控系统，以便检测水敏感元件的运行情况。

网络高峰期时，重要业务的带宽优先得到保障；h)应定期对网络拓扑结构进行评估和调整。

确保网络结构的合理性和安全性。

1.1.2.2访问安全（G3）本项要求包括：a)应对网络进行访问控制，限制非授权人员的访问；b)应对所有访问进行身份验证和授权。

信息安然等级呵护扶植（二,三级）需上的装备信息安然等级呵护二级：一.机房方面的安然措施需求（二级尺度）如下：1.防盗报警体系2.灭火装备和火警主动报警体系3.水迟钝检测仪及漏水检测报警体系4.周详空调5.备用发电机二.主机和收集安然层面须要安排的安然产品如下：1.防火墙或者入侵防御体系2.上彀行动治理体系3.收集准入体系4.审计平台或者同一监控平台（可知足主机.收集和运用层面的监控需求,在前提不许可的情形下,至少要运用数据库审计）5.防病毒软件三.运用及数据安然层面须要安排的安然产品如下：1.VPN2.网页防篡改体系（针对网站体系）3.数据异地备份存储装备4.重要收集装备.通讯线路和数据处理体系的硬件冗余（症结装备双机冗余）.信息安然等级呵护三级一.机房方面的安然措施需求（三级尺度）如下：1.须要运用彩钢板.防火门等进行区域隔离2.视频监控体系3.防盗报警体系4.灭火装备和火警主动报警体系5.水迟钝检测仪及漏水检测报警体系6.周详空调7.除湿装配8.备用发电机9.电磁屏障柜二.主机和收集安然层面须要安排的安然产品如下：1.入侵防御体系2.上彀行动治理体系3.收集准入体系4.同一监控平台（可知足主机.收集和运用层面的监控需求）5.防病毒软件6.碉堡机7.防火墙8.审计平台（知足对操纵体系.数据库.收集装备的审计,在前提不许可的情形下,至少要运用数据库审计）三.运用及数据安然层面须要安排的安然产品如下：1.VPN2.网页防篡改体系（针对网站体系）3.数据异地备份存储装备4.重要收集装备.通讯线路和数据处理体系的硬件冗余（症结装备双机冗余）.5.数据加密软件（知足加密存储,且加密算法需获得保密局承认。

二级等保和三级等保涉及产品和服务基本要求(3级)技术要求控制点安全产品及服务物理位置的选择（G3）避免地下室、一层、楼顶、阳光强烈面物理访问控制（G3）机房门禁系统/人员来访登记表防盗窃和防破坏（G3）机房防盗报警系统/监控系统防雷击（G3）可以防雷器/接地模块/引下线/信号防雷器/汇流排放火（G3）气体灭火/真空灭火防水和防潮（G3）作挡水围堰并在挡水围堰内楼地面做防水处理防静电（G3）防静电地板/陶瓷地板温湿度控制（G3）精密空调/温湿度变送器/温湿度监控系统电力供应（A3）市电专线/UPS不间断电源电磁防护（S3）滤波器/屏蔽门结构安全（G3）网络设备加固/冗余访问控制（G3）防火墙/网闸安全审计（G3）网络安全审计/堡垒机边界完整性检查（S3）终端安全管理/终端准入入侵防范（G3）网络入侵检测/网络入侵防护恶意代码防范（G3）防病毒网关网络设备防护（G3）网络设备加固/堡垒机身份鉴别（S3）终端安全管理/主机加固访问控制（S3）终端安全管理安全审计（G3）日志审计/主机审计剩余信息保护（S3）桌面虚拟化入侵防范（G3）终端安全管理/漏洞扫描系统/安全评估和主机加固/主机入侵检测恶意代码防范（G3）反病毒软件资源控制（A3）终端安全管理/网管软件身份鉴别（S3）应用系统加固/CA系统/堡垒机（二开）访问控制（S3）应用系统加固/CA系统/堡垒机（二开）安全审计（G3）应用审计系统剩余信息保护（S3）应用虚拟化/终端安全管理(沙盒技术)通信完整性（S3）CA系统通信保密性（S3）CA系统/VPN 抗抵赖（G3）CA系统软件容错（A3）代码审核资源控制（A3）终端安全管理/网管软件/应用虚拟化数据完整性（S3）数据库审计/VPN 数据保密性（S3）数据库加密/VPN 安全备份（A3）数据冗灾备份/链路冗余红色部分：安全服务或定制开发网络安全主机安全应用安全数据安全与备份恢复物理安全。

二三级等保所需设备二级等保序号建议功能或模块建议方案或产品重要程度主要依据安全层面二级分项二级测评指标权重备注1边界防火墙入侵检测系统2模块）WEB应用防火墙（模3块）4日志审计系统syslog服务器运维审计系统5堡垒机）非常重要网络安全非常重要网络安全重要应用安全网络安全非常重要主机安全一般网络安全访问控制(G2)入侵防范（G2）软件容错(A2)安全审计(G2)安全审计(G2)网络设备防护(G2)a)应在网络边界部署访问控制设备，启用访问控制1功用；b)应能根据会话状态信息为数据流提供明确的允许1拒绝访问的能力，控制粒度为网段级。

应在收集边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢1出攻击、IP碎片攻击和网络蠕虫攻击等a）应提供数据有效性检验功能，保证通过人机接口输入或经由过程通讯接口输入的数据花式或长度吻合系1统设定要求；a)应对收集系统中的收集装备运行状况、收集流量、1用户行为等进行日志记录；b)审计记录应包括变乱的日期和工夫、用户、变乱0.5类型、事件是否成功及其他与审计相关的信息。

c)应保护审计记录，避免受到未预期的删除、修改0.5或覆盖等。

d)身份鉴别信息应具有不易被冒用的特点，口令应1有复杂度要求并定期调换；部分老旧应用无相关校验功能，可由WEB应用防火墙对应用请求进行合法性过滤部分网络设备不支持口令复杂度策略与调换策略，需要第三方运维管理工具实现。

6数据库审计重要主机安全安全审计(G2)a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；应能够对内部网络中出现的内部用户未通过准许私1通过终端管理软件限制终端多网络安全边界完整性检查（S2）1终端管理软件7(补丁分发系重要统)主机安全入侵提防（G2）8企业版杀毒软件重要主机安全恶意代码防范(G2) 9当地备份方案重要数据管理备份和恢复(A2)安全三级等保序号主要依据建议功用或模块建议方案或产品重要水平安全层面三级分项边界防火墙与区域防火墙1十分重要收集安全访问控制(G3)带宽管理模块)自联到内部收集的行为进行检查。