等保安全设备推荐配置套餐

一、等级保护二级系统（一）物理和环境安全层面安全措施需求如下：1、防盗报警系统2、灭火设备和火灾自动报警系统3、水敏感检测仪及漏水检测报警系统4、精密空调5、备用发电机（二）网络和通信安全及设备和计算安全层面需要部署的安全产品如下：1、防火墙或者入侵防御系统2、上网行为管理系统3、网络准入系统4、审计平台或者统一监控平台（可满足主机、网络和应用层面的监控需求，在条件不允许的情况下，至少要使用数据库审计）5、防病毒软件（三）应用及数据安全层面需要部署的安全产品如下：1、VPN2、网页防篡改系统（针对网站系统）3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）。

二、等级保护三级系统（一）物理和环境安全层面安全措施需求如下：1、需要使用彩钢板、防火门等进行区域隔离2、视频监控系统3、防盗报警系统4、灭火设备和火灾自动报警系统5、水敏感检测仪及漏水检测报警系统6、精密空调7、除湿装置8、备用发电机9、电磁屏蔽柜（二）网络和通信安全及设备和计算安全层面需要部署的安全产品如下：1、入侵防御系统2、上网行为管理系统3、网络准入系统4、统一监控平台（可满足主机、网络和应用层面的监控需求）5、防病毒软件6、堡垒机7、防火墙8、审计平台（满足对操作系统、数据库、网络设备的审计，在条件不允许的情况下，至少要使用数据库审计）（三）应用及数据安全层面需要部署的安全产品如下：1、VPN2、网页防篡改系统（针对网站系统）3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）5、数据加密软件（满足加密存储，且加密算法需获得保密局认可）。

等级保护二级系统（一）物理和环境安全层面安全措施需求如下：1、防盗报警系统2、灭火设备和火灾自动报警系统3、水敏感检测仪及漏水检测报警系统4、精密空调5、备用发电机（二）网络和通信安全及设备和计算安全层面需要部署的安全产品如下：1、防火墙和入侵防御系统2、上网行为管理系统3、网络准入系统（服务商提供，了解费用问题[报预算]）4、审计平台或者统一监控平台（可满足主机、网络和应用层面的监控需求，在条件不允许的情况下，至少要使用数据库审计）【必须有】5、防病毒软件（三）应用及数据安全层面需要部署的安全产品如下：1、VPN2、网页防篡改系统（针对网站系统）【最好有】3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）。

等级保护三级系统（一）物理和环境安全层面安全措施需求如下：1、需要使用彩钢板、防火门等进行区域隔离2、视频监控系统3、防盗报警系统4、灭火设备和火灾自动报警系统5、水敏感检测仪及漏水检测报警系统6、精密空调7、除湿装置8、备用发电机9、电磁屏蔽柜（二）网络和通信安全及设备和计算安全层面需要部署的安全产品如下：1、入侵防御系统2、上网行为管理系统3、网络准入系统4、统一监控平台（可满足主机、网络和应用层面的监控需求）5、防病毒软件6、堡垒机7、防火墙8、审计平台（满足对操作系统、数据库、网络设备的审计，在条件不允许的情况下，至少要使用数据库审计）（三）应用及数据安全层面需要部署的安全产品如下：1、VPN2、网页防篡改系统（针对网站系统）3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）5、数据加密软件（满足加密存储，且加密算法需获得保密局认可）。

等保安全设备推荐配置套餐
本文主要内容：
•
三级等保安全设备推荐配置套餐•
•
二级等保安全设备推荐配置套餐•
01
三级等保安全设备推荐配置套餐
02
二级等保安全设备推荐配置套餐
03
推荐套餐后的话
套餐里一些内容可以根据单位的实际应用需求进行优先级调整，如网闸，如果单位有内外网数据交互的，完全可以放在基本配置套餐；如果是互联网用户，抗DDOS设备可以提前；如对链路链接要求高的可以将链路负载均衡放在优先级更高的套餐里去建设。

最后不得不等建议大家网络安全技术措施整改到位了，还要统筹考虑采购一定量的网络安全服务，这是对系统日常安全运维的一个有效补充。

在等保管理制度里有要求：我们要定期对系统风险进行评估，要对发现的漏洞及时进行加固，要有应急预案，但是这些我们可能做的都不到位，需要专业的安全服务公司通过安全服务形式把我们这块短板补齐。

总之，我们的安全整改方案是在等保测评后根据发现的实际问题并结合单位业务需求而制定出的一套适合自己的安全配置套餐。

网络安全建设是一个持续过程，网络安全工作从来都没有终点。

积跬步可以成千
里，但我们得一直在积，而不能坐以待毙，我们得增强网络安全防御能力和威慑能力。

企业做等保需要哪些安全设备？
一般来讲，物理环境就是机房环境，这里可以分成两个角度传统的硬件服务器就是需要放置在机房中，而云服务器则是用云环境，就不需要考虑物理环境了。

请看下文：
安全设备来说，硬件设备和云安全设备都是类似，只不过名字会有不同，但是需要的功能都要有。

在等保中会分成一到五级等保，一级最低，不需要测评。

五级最高，基本是国家机密系统，常见的就是二级和三级系统，因为系统本身重要程度不一样，所需的安全设备情况也就不一样，三级等保相较于二级所需的设备会多一些。

三级等保所需安全设备：防火墙、入侵防御、防病毒、日志审计、数据库审计、堡垒机、主机安全。

如果有网站需要web应用防火墙，这是比较基础的一套安全设备，根据系统重要程度还可以添加漏洞扫描、资产测绘、态势感知等系统。

二级等保所需要的安全设备：防火墙、入侵防御、防病毒、日志审计、堡垒机、主机安全。

二级等保可以没有数据库审计设备。

如果防火墙为下一代防火墙，那三级等保和二级等保可以直接用下一代防火墙，省下入侵防御和防病毒设备。

如果防火墙本身具备主机安全功能，还可以去掉主机安全设备，也就是杀毒软件，但是杀毒软件本身价格不贵，也没什么必要去掉。

云安全设备和硬件设备类似，只不过是云化的，名字会有一些不同，比如阿里云的安全设备可能会叫云安全中心，但是功能都是一样，可以根据实际情况选择，或者找安全机构帮助选择。

安全设备数量一定要足够，同时要注意如果有以前的设备，要注意不要超过三年保修期，不然设备就无效了。

信息安然等级呵护扶植（二,三级）需上的装备信息安然等级呵护二级：一.机房方面的安然措施需求（二级尺度）如下：1.防盗报警体系2.灭火装备和火警主动报警体系3.水迟钝检测仪及漏水检测报警体系4.周详空调5.备用发电机二.主机和收集安然层面须要安排的安然产品如下：1.防火墙或者入侵防御体系2.上彀行动治理体系3.收集准入体系4.审计平台或者同一监控平台（可知足主机.收集和运用层面的监控需求,在前提不许可的情形下,至少要运用数据库审计）5.防病毒软件三.运用及数据安然层面须要安排的安然产品如下：1.VPN2.网页防篡改体系（针对网站体系）3.数据异地备份存储装备4.重要收集装备.通讯线路和数据处理体系的硬件冗余（症结装备双机冗余）.信息安然等级呵护三级一.机房方面的安然措施需求（三级尺度）如下：1.须要运用彩钢板.防火门等进行区域隔离2.视频监控体系3.防盗报警体系4.灭火装备和火警主动报警体系5.水迟钝检测仪及漏水检测报警体系6.周详空调7.除湿装配8.备用发电机9.电磁屏障柜二.主机和收集安然层面须要安排的安然产品如下：1.入侵防御体系2.上彀行动治理体系3.收集准入体系4.同一监控平台（可知足主机.收集和运用层面的监控需求）5.防病毒软件6.碉堡机7.防火墙8.审计平台（知足对操纵体系.数据库.收集装备的审计,在前提不许可的情形下,至少要运用数据库审计）三.运用及数据安然层面须要安排的安然产品如下：1.VPN2.网页防篡改体系（针对网站体系）3.数据异地备份存储装备4.重要收集装备.通讯线路和数据处理体系的硬件冗余（症结装备双机冗余）.5.数据加密软件（知足加密存储,且加密算法需获得保密局承认。

网络安全等级保护网络安全设备配置参考大全H3C设备参考目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1用户帐号分配* (5)2.1.2删除无关的帐号* (6)2.2口令 (7)2.2.1静态口令以密文形式存放 (7)2.2.2帐号、口令和授权 (8)2.2.3密码复杂度 (9)2.3授权 (10)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (10)第3章日志安全要求 (12)3.1日志安全 (12)3.1.1启用信息中心 (12)3.1.2开启NTP服务保证记录的时间的准确性 (13)3.1.3远程日志功能* (14)第4章IP协议安全要求 (16)4.1IP协议 (16)4.1.1VRRP认证 (16)4.1.2系统远程服务只允许特定地址访问 (16)4.2功能配置 (17)4.2.1SNMP的Community默认通行字口令强度 (17)4.2.2只与特定主机进行SNMP协议交互 (18)4.2.3配置SNMPV2或以上版本 (19)4.2.4关闭未使用的SNMP协议及未使用write权限 (20)第5章IP协议安全要求 (22)5.1其他安全配置 (22)5.1.1关闭未使用的接口 (22)5.1.2修改设备缺省BANNER语 (23)5.1.3配置定时账户自动登出 (23)5.1.4配置console口密码保护功能 (24)5.1.5端口与实际应用相符 (25)网络安全等级保护网络安全设备配置参考大全H3C设备参考第1章概述1.1目的规范配置H3C路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本comwareV7版本交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-H3C-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

今天在这里不得不等整理下二级信息系统网络安全整改如何去做，列一个二级套餐供大家参考，不作为标准答案。

1、最低配置套餐安全设备：防火墙+网络版杀毒软件，这是在没有高危风险的情况下，想通过等保二级至少要有的安全技术措施；这个是在经费非常紧张的情况下的不得已配置。

为什么要求是网络版杀软，在主机安全恶意代码防范中要求应支持防恶意代码软件的统一管理。

单机版能统一管理吗？但是实际还是不少用户就是单机版，服务器没杀软，请大家务必重要。

2、优先配置套餐安全设备：最低配置套餐+IDS+日志审计+waf(有WEB应用的话）+数据备份系统。

这个套餐属于相对比较全的，一方面能满足等保里相关要求条款要求，另一方面也有很高的实用性。

WAF要不要取决于你的系统是不是WEB应用类的，如果是，强烈建议大家要上WAF。

数据备份也是一个刚性需求，当数据丢失时，有备份是一件多么幸福的事。

为什么在这里把日志审计放在这而没放数据库审计，因为在等保主机安全和应用安全里对安全审计分别提了这样的要求：避免受到未预期的删除、修改或覆盖等和应保证无法删除、修改或覆盖审计记录。

所以单靠主机和应用自带的日志功能肯定无法满足这个要求，另外《网络安全法》里也明确日志要保留6个月以上，所以强烈建议大家日志审计一定要上。

为什么叫优先配置套餐，就是如果大家想先做整改或者想有一个即合规又有一定效果的防护体系，那么选择这个套餐没错的，优先这样建设。

3、不烦恼配置套餐安全设备：优先配置套餐+安全准入+数据库审计+双因素认证+堡垒机+机房运维管理软件+应用容灾。

网络安全建设能做到这样基本是方方面面都考虑到了，从身份可信验证到安全接入，到防病毒、防入侵，再到相应的数据库操作审计，日志审计，运维审计，最后到应用的容灾。

基本从事前、事中、事后三个角度对安全都做了一定的措施，做到这样出了问题，也不用太烦恼了，基本该做的都做了，还能怎么办？资金充足的用户力争都做到这样的一个安全配置。

今天在这里不得不等整理下二级信息系统网络安全整改如何去做，列一个二级套餐供大家参考，不作为标准答案。

1、最低配置套餐安全设备：防火墙+网络版杀毒软件，这是在没有高危风险的情况下，想通过等保二级至少要有的安全技术措施；这个是在经费非常紧张的情况下的不得已配置。

为什么要求是网络版杀软，在主机安全恶意代码防范中要求应支持防恶意代码软件的统一管理。

单机版能统一管理吗？但是实际还是不少用户就是单机版，服务器没杀软，请大家务必重要。

2、优先配置套餐安全设备：最低配置套餐+IDS+日志审计+waf(有WEB应用的话）+数据备份系统。

这个套餐属于相对比较全的，一方面能满足等保里相关要求条款要求，另一方面也有很高的实用性。

WAF要不要取决于你的系统是不是WEB应用类的，如果是，强烈建议大家要上WAF。

数据备份也是一个刚性需求，当数据丢失时，有备份是一件多么幸福的事。

为什么在这里把日志审计放在这而没放数据库审计，因为在等保主机安全和应用安全里对安全审计分别提了这样的要求：避免受到未预期的删除、修改或覆盖等和应保证无法删除、修改或覆盖审计记录。

所以单靠主机和应用自带的日志功能肯定无法满足这个要求，另外《网络安全法》里也明确日志要保留6个月以上，所以强烈建议大家日志审计一定要上。

为什么叫优先配置套餐，就是如果大家想先做整改或者想有一个即合规又有一定效果的防护体系，那么选择这个套餐没错的，优先这样建设。

3、不烦恼配置套餐安全设备：优先配置套餐+安全准入+数据库审计+双因素认证+堡垒机+机房运维管理软件+应用容灾。

网络安全建设能做到这样基本是方方面面都考虑到了，从身份可信验证到安全接入，到防病毒、防入侵，再到相应的数据库操作审计，日志审计，运维审计，最后到应用的容灾。

基本从事前、事中、事后三个角度对安全都做了一定的措施，做到这样出了问题，也不用太烦恼了，基本该做的都做了，还能怎么办？资金充足的用户力争都做到这样的一个安全配置。

二三级等保所需设备二级等保序号建议功能或模块建议方案或产品重要程度主要依据安全层面二级分项二级测评指标权重备注1边界防火墙入侵检测系统2模块）WEB应用防火墙（模3块）4日志审计系统syslog服务器运维审计系统5堡垒机）非常重要网络安全非常重要网络安全重要应用安全网络安全非常重要主机安全一般网络安全访问控制(G2)入侵防范（G2）软件容错(A2)安全审计(G2)安全审计(G2)网络设备防护(G2)a)应在网络边界部署访问控制设备，启用访问控制1功用；b)应能根据会话状态信息为数据流提供明确的允许1拒绝访问的能力，控制粒度为网段级。

应在收集边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢1出攻击、IP碎片攻击和网络蠕虫攻击等a）应提供数据有效性检验功能，保证通过人机接口输入或经由过程通讯接口输入的数据花式或长度吻合系1统设定要求；a)应对收集系统中的收集装备运行状况、收集流量、1用户行为等进行日志记录；b)审计记录应包括变乱的日期和工夫、用户、变乱0.5类型、事件是否成功及其他与审计相关的信息。

c)应保护审计记录，避免受到未预期的删除、修改0.5或覆盖等。

d)身份鉴别信息应具有不易被冒用的特点，口令应1有复杂度要求并定期调换；部分老旧应用无相关校验功能，可由WEB应用防火墙对应用请求进行合法性过滤部分网络设备不支持口令复杂度策略与调换策略，需要第三方运维管理工具实现。

6数据库审计重要主机安全安全审计(G2)a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；应能够对内部网络中出现的内部用户未通过准许私1通过终端管理软件限制终端多网络安全边界完整性检查（S2）1终端管理软件7(补丁分发系重要统)主机安全入侵提防（G2）8企业版杀毒软件重要主机安全恶意代码防范(G2) 9当地备份方案重要数据管理备份和恢复(A2)安全三级等保序号主要依据建议功用或模块建议方案或产品重要水平安全层面三级分项边界防火墙与区域防火墙1十分重要收集安全访问控制(G3)带宽管理模块)自联到内部收集的行为进行检查。