当前位置:文档之家 › 三级等保所需设备及服务培训资料

三级等保所需设备及服务培训资料

  • 格式:docx
  • 大小:17.47 KB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

三级等保培训

三级等保培训
数据安全和备份恢复具体包括:3个控制点 数据完整性(S)、数据保密性(S)、 备份和恢复(A)
23
数据安全及备份恢复的整2021改/7/1 要点
数据完整性 数据保密性
备份和恢复
鉴别数据传输的完整性 鉴别数据存储的保密性
重要数据的备份 硬件冗余
各类数据传输及存储 检测和恢复
各类数据的传输及存储
网络冗余、硬件冗余
(沪公发[2009]187号)---沪公发[2009]173号、沪密局[2009]39号、。。。
5
等级保护--十大核心2021标/7/1 准
基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》GB/T CCCC-CCCC 报批稿
应用类
定级:《信息系统安全保护等级定级指南》GB/T 22240-2008 建设:《信息系统安全等级保护基本要求》GB/T 22239-2008
整改要点:信息安全领导小组与职能部门、 专职安全员、定期全面安全检查、定期协调 会议、外部沟通与合作等
28
三级系统安全保护要求—人20员21/7/1 安全管理
对人员安全的管理,主要涉及两方面: 对内部 人员的安全管理和对外部人员的安全管理。
人员安全管理具体包括:5个控制点 人员录用、人员离岗、人员考核、 安全意识教育及培训、外部人员访问管理
《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评:《信息系统安全等级保护测评要求》 GB/T DDDD-DDDD 报批稿 《信息系统安全等级保护测评过程指南》 管理:《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006

信息安全等级保护建设(二三级)需上的设备

信息安全等级保护建设(二三级)需上的设备

信息安全等级保护二级:一、机房方面的安全措施需求(二级标准)如下:1、防盗报警系统2、灭火设备和火灾自动报警系统3、水敏感检测仪及漏水检测报警系统4、精密空调5、备用发电机二、主机和网络安全层面需要部署的安全产品如下:1、防火墙或者入侵防御系统2、上网行为管理系统3、网络准入系统4、审计平台或者统一监控平台(可满足主机、网络和应用层面的监控需求,在条件不允许的情况下,至少要使用数据库审计)5、防病毒软件三、应用及数据安全层面需要部署的安全产品如下:1、VPN2、网页防篡改系统(针对网站系统)3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。

信息安全等级保护三级:一、机房方面的安全措施需求(三级标准)如下:1、需要使用彩钢板、防火门等进行区域隔离2、视频监控系统3、防盗报警系统4、灭火设备和火灾自动报警系统5、水敏感检测仪及漏水检测报警系统6、精密空调7、除湿装置8、备用发电机9、电磁屏蔽柜二、主机和网络安全层面需要部署的安全产品如下:1、入侵防御系统2、上网行为管理系统3、网络准入系统4、统一监控平台(可满足主机、网络和应用层面的监控需求)5、防病毒软件6、堡垒机7、防火墙8、审计平台(满足对操作系统、数据库、网络设备的审计,在条件不允许的情况下,至少要使用数据库审计)三、应用及数据安全层面需要部署的安全产品如下:1、VPN2、网页防篡改系统(针对网站系统)3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。

5、数据加密软件(满足加密存储,且加密算法需获得保密局认可)。

(以上内容为个人建议,不作为标准答案,仅供参考)没有绝对安全的网络,只有相对安全的策略。

没有绝对稳定的网络,只有相对稳定的运维!等级保护一门企业必要掌握的知识技能——信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。

三级等保所需设备及服务

三级等保所需设备及服务

三级等保所需设备及服务一、设备:1. 防火墙(Firewall):用于阻止非法访问信息系统,并进行入侵检测和防范。

2.IDS/IPS系统(入侵检测与防御系统):用于监控和检测系统中的入侵行为,并采取相应的防御措施。

3.安全硬件设备:如加密机、安全存储设备、虚拟专用网设备等,用于保障数据的加密和存储安全。

4.安全审计设备:用于对系统的安全事件进行审计和记录,以便追溯和防范安全威胁。

5.服务器设备:用于存储和处理大量的敏感数据,并提供相应的服务功能。

6.数据备份与恢复设备:用于保障数据的可靠备份和紧急恢复,以应对数据泄露或系统崩溃等情况。

二、服务:1.安全评估与测试服务:对信息系统进行安全评估和测试,发现潜在漏洞和安全风险,并提出相应的修补和改进建议。

2.漏洞管理服务:对系统进行漏洞扫描和漏洞管理,及时修复系统中的漏洞,防止黑客利用漏洞进行攻击。

3.安全运维服务:对信息系统进行安全运维和管理,包括安全事件响应、安全日志分析和异常流量检测等。

4.信息安全培训服务:对系统用户进行安全意识和操作培训,提高用户的信息安全意识和防范能力。

5.网络监控与安全响应服务:对网络流量进行监控和分析,及时发现异常流量和安全事件,并采取相应的安全响应措施。

6.安全策略制定与执行服务:制定系统的安全策略和规范,确保系统遵循相关的安全标准和规范,并实施相应的安全措施。

除了设备和服务之外,三级等保还涉及到一系列的技术措施和管理措施,如密码策略、访问控制、权限管理、数据备份和恢复方案等。

同时,还需要进行定期的风险评估和安全审计,及时发现和处理系统中的安全威胁,保障信息系统的安全性。

总之,三级等保所需的设备和服务是多方面的,包括硬件设备、软件服务和安全运维服务等,通过综合运用这些设备和服务,可以有效保障信息系统的安全性,防止信息泄露和黑客攻击。

(完整版)三级等保所需设备及服务

(完整版)三级等保所需设备及服务
5安全服务
序号
服务名称
功能
是否必须
备注
1
信息安全制度完善
完善信息安全管理制度,评审修订

2
安全检查
网络安全检查

3
安全培训
安全意识培训或安全技术培训

4
安全专家
应聘请信息安全专家作为常年的安全顾问,征询信息安全相关事宜

与防毒墙代码库相异;及时更新;支持统一管理
安全管理区

3
Web防火墙
防SQL注入、跨站攻击等
服务器前端

4
网页防篡改系统
篡改检测模块(数字水印技术和应用防护模块(防注入攻击),实现了对静态和动态网页和脚本的实时检测和恢复,
服务器区
6
漏洞扫描设备
通过漏洞扫描发现漏洞;通过终端安全分发补丁
核心交换区
7
堡垒机
等级
1物理安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
电子门禁
重要出入口(包括机房出入口和重要区域出入口等)
1、机房入口
2、重要服务器区入口

2
光电防盗报警
视频监控系统
防盗报警
机房窗户、入口等处

可通过监控弥补
3
防雷保安器
防感应雷
配电箱

4
自动消防系统
要求自动检测火情、自动报警、自动灭火
可以用手动灭火器加报警器组成
实现对网络设备、安全设备、服务器设备的远程集中管理、运维监控
核心交换区
8
数据库审计
实现对数据库的操作监控,语句回溯
服务器区或核心交换去

等保2.0-二、三级系统所需安全设备

等保2.0-二、三级系统所需安全设备

一、等级保护二级系统(一)物理和环境安全层面安全措施需求如下:1、防盗报警系统2、灭火设备和火灾自动报警系统3、水敏感检测仪及漏水检测报警系统4、精密空调5、备用发电机(二)网络和通信安全及设备和计算安全层面需要部署的安全产品如下:1、防火墙或者入侵防御系统2、上网行为管理系统3、网络准入系统4、审计平台或者统一监控平台(可满足主机、网络和应用层面的监控需求,在条件不允许的情况下,至少要使用数据库审计)5、防病毒软件(三)应用及数据安全层面需要部署的安全产品如下:1、VPN2、网页防篡改系统(针对网站系统)3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。

二、等级保护三级系统(一)物理和环境安全层面安全措施需求如下:1、需要使用彩钢板、防火门等进行区域隔离2、视频监控系统3、防盗报警系统4、灭火设备和火灾自动报警系统5、水敏感检测仪及漏水检测报警系统6、精密空调7、除湿装置8、备用发电机9、电磁屏蔽柜(二)网络和通信安全及设备和计算安全层面需要部署的安全产品如下:1、入侵防御系统2、上网行为管理系统3、网络准入系统4、统一监控平台(可满足主机、网络和应用层面的监控需求)5、防病毒软件6、堡垒机7、防火墙8、审计平台(满足对操作系统、数据库、网络设备的审计,在条件不允许的情况下,至少要使用数据库审计)(三)应用及数据安全层面需要部署的安全产品如下:1、VPN2、网页防篡改系统(针对网站系统)3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)5、数据加密软件(满足加密存储,且加密算法需获得保密局认可)。

三级等保测评服务内容

三级等保测评服务内容

三级等保测评服务内容
三级等保测评是指对信息系统的安全性进行评估和测试,以确定其是否符合国
家三级等级保护标准的要求。

在进行三级等保测评时,需要按照以下内容进行服务:
1.系统资产确认与分类:通过对信息系统中的各种资产进行确认和分类,包括
软件、硬件、网络设备、数据库等,以便全面评估其安全性。

2.安全策略与规划评估:对信息系统的安全策略和规划进行评估,包括密码策略、网络安全策略、应急响应计划等,以确保其与国家三级等保标准相符。

3.权限与访问控制评估:评估系统中的权限管理和访问控制机制,包括用户权
限分配、身份认证、访问控制列表等,以确保系统只被授权人员访问。

4.安全运维管理评估:对系统的安全运维管理进行评估,包括安全事件管理、
日志审计、漏洞管理等,以确保对系统进行有效的监控和管理。

5.物理环境评估:评估物理环境中的安全措施,包括设备布置、防火墙设置、
电力和环境监控等,以确保系统能在安全的物理环境下运行。

6.网络安全评估:评估系统的网络安全性,包括网络拓扑结构、入侵检测与防御、防火墙设置等,以确保系统在网络层面上的安全性。

7.安全培训与意识评估:评估系统用户的安全培训和安全意识程度,并提供相
应的培训和改进建议,以提高系统用户的安全防范意识。

以上是三级等保测评的主要服务内容,通过对系统的各个方面进行评估,可以
帮助企业或组织发现潜在的安全风险,并采取相应的措施进行改进和强化,以确保系统的安全性达到国家三级等级保护标准的要求。

二级等保三级等保所需设备


用情况; 2、应限制单个用户对系统资
运维管理系统
源的最大或最小使用限度;
3、应能够对系统的服务水平
降低到预先规定的最小值进行
检测和报警。
网络设备防护:
1、主要网络设备应对同一用
户选择两种或两种以上组合的
鉴别技术来进行身份鉴别;
18
无要求
2、 应采用两种或两种以上组 合的鉴别技术对管理用户进行
堡垒机+UKey认证
序号 1 2 3 4 5 6
7 8 9 10
11
二等级保护基本要求
三级等保基本要求
所需设备
物理访问控制:
物理访问控制:
1、重要区域应配置电子门禁 1、重要区域应配置电子门禁 系统,控制、鉴别和记录进入 系统,控制、鉴别和记录进入
电子门禁系统
的人员。
的人员。
防盗窃和防破坏:
防盗窃和防破坏:
主机房应安装必要的防盗报警 1、应利用光、电等技术设置
避免受到未预期的删除、修改
或覆盖等
14
安全审计(G3) 1、 审计范围应覆盖到服务器 和重要客户端上的每个操作系 统用户和数据库用户;
日志审计系统 日志服务器 数据库审计系统
2、 审计内容应包括重要用户
行为、系统资源的异常使用和
重要系统命令的使用等系统内
重要的安 全相关事件;3、
审计记录应包括事件的日期、
设施。
机房防盗报警系统;
机房防盗报警系统
2、 应对机房设置监控报警系
统。
防火:
防火:
1、机房应设置灭火设备和火 1、机房应设置灭火设备和火
灾自动报警系统。
灾自动报警系统。
灭火设备 火灾自动报警系统

二级等保与三级等保所需设备

电力供应(A2)
b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
UPS
访冋控制(G2)
a) 应在网络边界部署访问控制设备,启用访问控制功能; b) 应能根据会话状态信息为数据流提供明硕的允许/拒绝访问的能力,控制粒度为网段级。 c) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户
物理访问控制
1、机房出入口应安排专人值守或配置电子门禁系统、控制、鉴别和记录进入的人员
1、机房出入口应安排专人值守或配置电子门禁系统、控制、鉴别和记录进入的人员
防盗窃和防破坏
1、应将设备或主要部件进行固定,并设置明显的不易除去的标识
1、应将设备或主要部件进行固定,并设置明显的不易除去的标识
2、应将通信线缆铺设在隐蔽安全处
所需设备
物理访问控制(G3)
d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
电子门禁系统
防盜窃和防磁坏(G3)
e) 应利用光、电等技术设置机房防盜报警系统; f) 应对机房设置监控报警系统。
机房防盗报警系统 监控报警系统
防火(G3)
a)机房应设置火灾自动消防系统,能够自动检检测火情、自动报警, 并自动灭火:
边界完整性栓查(S3)
a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定岀位置.并对其进行有效阻断; b) 应能够对内部网络用户私自联到外部网络的行为进行检査,准确 定出位置,并对其进行有效阻断
准入准岀设备
入侵防范(G3)
a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢岀攻击、IP碎片攻击和网络蠕虫攻击等; b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。

等保2.0三级需要的设备

通讯传输
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理(网络、主机、应用)
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
运维堡垒主机、APM
集中管理
运维堡垒主机、主机安全管理平台、态势感知
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证
重要应用程序的动态可信验证
安全通信网络
网络架构
下一代防火墙、负载均衡、上网行为管理
等保2.0三级需要的设备
三级系统安全保护环境基本要求与对应产品
使用范围
基本要求
产品类型举例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制(权限分离)
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计
下一代防火墙、日志审计系统
入侵防范
主机配置项+IPS、安全感知平台、EDR、主机入侵检测产品(HIDS)
恶意代码防范
主机安全组件(EDR)、网络版防病毒软件
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备

三级等保培训


5
16
11
45
13
60
73(类) 290(项)
10
三级系统安全保护要求—2021/7物/1 理安全
物理安全主要涉及的方面包括环境安全ห้องสมุดไป่ตู้防火、 防水、防雷击等)设备和介质的防盗窃防破坏等 方面。
物理安全具体包括:10个控制点 物理位置的选择(G)、 物理访问控制(G)、 防盗窃和防破坏(G)、 防雷击(G)、 防火(G)、防水和防潮(G) 、防静电(G) 、 温湿度控制(G)、电力供应(A)、 电磁防护(S)
主要设备冗余空间 整体网络带宽 重要网段部署
路由控制 带宽分配优先级
访问控制
访问控制设备(用户、网段) 拨号访问限制
端口控制
防止地址欺骗
应用层协议过滤
会话终止
最大流量数及最大连接数
安全审计
日志记录
审计报表
审计记录的保护
边界完整性检查
内部的非法联出
非授权设备私自外联 定位及阻断
入侵防范
检测常见攻击
记录、报警
技术/管理 安全技术 安全管理
层面
物理安全 网络安全 主机安全 应用安全 数据安全 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
指标类
类数量
S类 (3级)
A类 (3级)
G类 (3级)
1
1
8
1
0
6
3
1
3
5
2
2
2
1
0
N/A
合计
项数量
小计
小计
10
32
7
33
7
32
9
31
3
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全管理区

6
网络审计系统
分析网络流量,排除网络故障
核心交换区
7
无线WIFI控制系统
支持多元化认证方式,如短信认证、二维码认证、微信认证等
核心交换区
8
终端安全管理系统(含准入硬件)
终端健康状态检查、终端准入控制、外设控制、终端非法外联控制
安全管理区

9
IDS系统
或IPS系统
无线IDS系统
网络攻击检测/报警:在网络边界处监视各种攻击行为

14
EMM
安全运行环境、代码审核、安全app加壳
15
网络加固
对网络设备身份鉴别、管理地址控制、密码复杂度、鉴别处理、加密传输等进行功能加固。
手工加固

人工配置,不需要加固
3主机安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
主机IPS软件或杀毒软件集成
特定进程、入侵行为监控和完整性检测
服务器
2
网络版防病毒软件
与防毒墙代码库相异;及时更新;支持统一管理
安全管理区

3
Web防火墙
防SQL注入、跨站攻击等
服务器前端

4
网页防篡改系统
篡改检测模块(数字水印技术和应用防护模块(防注入攻击),实现了对静态和动态网页和脚本的实时检测和恢复,
服务器区
6
漏洞扫描设备
通过漏洞扫描发现漏洞;通过终端安全分发补丁
核心交换区
7
堡垒机
可以用手动灭火器加报警器组成
5
新风换气
防水防潮
6
动力环境监测系统-水敏感检测仪表
可人工检测
7
机房专用空调
防水防潮、温湿度控制

海洛斯、艾默生等
8
接地系统
防雷接地

9
UPS系统
不间断电源(UPS)

华为、APC、台达、山特等
2网络安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
应用级防火墙
访问控制:实现路由控制,数据流控制,控制粒度到端口级;实现应用层访问控制和过滤;控制空闲会话数、最大网络连接数等
1、网络边界
2、重要服务器区前端

2
流量控ห้องสมุดไป่ตู้设备
对网络流量进行监控,保障重要资源的优先访问
1、网络边界
3
流量清洗设备
防止DDos攻击
1、网络边界2、服务器前端
4
IT运维管理软件
对网络设备、服务器、数据库、应用等进行监控,包括监视CPU、硬盘、内存、网络资源的使用情况
安全管理区

5
日志审计系统
对网络设备、安全设备、操作系统的日志进行集中存储、分析
服务器

浪潮SSR或人工配置,不需设备
4数据安全部分
序号
设备或措施
功能
部署位置
是否
必须
备注
1
网络设备、服务器设备 备份
关键网络设备、通信线路和数据
处理系统的硬件冗余,保证系统 的可用性

可冷备
2
软硬件一体化备份容灾 设备
应能够对重要信息进行备份和恢 复
安全管理区

3
负载均衡设

要求双线路,负载均衡
边界区
1、核心交换区
2、网络边界

10
防毒墙
网络入口病毒检测、查杀
网络边界

11
VPN/VFW等
云接入身份认证、链路安全、虚拟服务器间访问控制
1、网络入口2、虚拟服务器
12
上网行为管理
网络出口处

13
集中管控平台
对网络设备、服务器、数据库、应用等进行监控,包括监视CPU、硬盘、内存、网络资源的使用情况
网络管理中心
实现对网络设备、安全设备、服务器设备的远程集中管理、运维监控
核心交换区
8
数据库审计
实现对数据库的操作监控,语句回溯
服务器区或核心交换去

9
操作系统加固软件
底层操作系统加固、强制访问控制、剩余信息保护
服务器
10
操作系统加固软件及人工配置
控制重要文件权限;禁用或删除不需要的服务、共享等;限制或禁用默认/匿名用户,删除多余、过期及共享用户;用户权限设置;系统管理员不由数据库管理员兼任;特权用户权限分离;对重要信息设置敏感标识并控制访问权限;
三级等保所需设备及服务
等级
1物理安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
电子门禁
重要出入口(包括机房出入口和重要区域出入口等)
1、机房入口
2、重要服务器区入口

2
光电防盗报警
视频监控系统
防盗报警
机房窗户、入口等处

可通过监控弥补
3
防雷保安器
防感应雷
配电箱

4
自动消防系统
要求自动检测火情、自动报警、自动灭火
5安全服务
序号
服务名称
功能
是否必须
备注
1
信息安全制度完善
完善信息安全管理制度,评审修订

2
安全检查
网络安全检查

3
安全培训
安全意识培训或安全技术培训

4
安全专家
应聘请信息安全专家作为常年的安全顾问,征询信息安全相关事宜