二、三级等保建议安全设备及其主要依据(毫无保留版)
二级等保
| 序号 | 建议功能或模块 | 建议方案或产品 | 重要程度 | 主要依据 | 备注 | |||
| 安全层面 | 二级分项 | 二级测评指标 | 权重 | |||||
| 1 | 边界防火墙 | 非常重要 | 网络安全 | 访问控制(G2) | a)应在网络边界部署访问控制设备,启用访问控制功能; | 1 | ||
| b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。 | 1 | |||||||
| 2 | ***检测系统 (模块) |
非常重要 | 网络安全 | ***防范(G2) | 应在网络边界处监视以下***行为:端口扫描、强力***、***后门***、拒绝服务***、缓冲区溢出***、IP碎片***和网络蠕虫***等 | 1 | ||
| 3 | WEB应用防火墙(模块) | 重要 | 应用安全 | 软件容错(A2) | a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求; | 1 | 部分老旧应用无相关校验功能,可由WEB应用防火墙对应用请求进行合法性过滤 | |
| 4 | 日志审计系统 | syslog服务器 | 非常重要 | 网络安全 | 安全审计(G2) | a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; | 1 | |
| b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 | 0.5 | |||||||
| 主机安全 | 安全审计(G2) | c)应保护审计记录,避免受到未预期的删除、修改或覆盖等。 | 0.5 | |||||
| 5 | 运维审计系统 (堡垒机) |
一般 | 网络安全 | 网络设备防护(G2) | d)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; | 1 | 部分网络设备不支持口令复杂度策略与更换策略,需要第三方运维管理工具实现。 | |
| 6 | 数据库审计 | 重要 | 主机安全 | 安全审计(G2) | a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户; | 1 | ||
| 7 | 终端管理软件 (补丁分发系统) |
重要 | 网络安全 | 边界完整性检查(S2) | 应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。 | 1 | 通过终端管理软件限制终端多网卡情况 | |
| 主机安全 | ***防范(G2) | 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。 | 1 | 可通过终端管理软件统一分发补丁 | ||||
| 8 | 企业版杀毒软件 | 重要 | 主机安全 | 恶意代码防范(G2) | a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库 | 1 | ||
| b)应支持防恶意代码的统一管理。 | 1 | |||||||
| 9 | 本地备份方案 | 重要 | 数据管理安全 | 备份和恢复(A2) | a) 应能够对重要信息进行备份和恢复; | 0.5 | ||
三级等保
| 序号 | 建议功能或模块 | 建议方案或产品 | 重要程度 | 主要依据 | 备注 | |||
| 安全层面 | 三级分项 | 三级测评指标 | 权重 | |||||
| 1 | 边界防火墙与区域防火墙 (带宽管理模块) |
非常重要 | 网络安全 | 访问控制(G3) | a)应在网络边界部署访问控制设备,启用访问控制功能; | 0.5 | ||
| b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级; | 1 | |||||||
| 网络安全 | 结构安全(G3) | f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段; | 0.5 | |||||
| g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。 | 0.5 | |||||||
| 2 | ***防护系统 | 非常重要 | 网络安全 | ***防范(G3) | a)应在网络边界处监视以下***行为:端口扫描、强力***、***后门***、拒绝服务***、缓冲区溢出***、IP碎片***和网络蠕虫***等 | 1 | ||
| b)当检测到***行为时,记录***源IP、***类型、***目的、***时间等,在发生严重***事件时应提供报警,及时进行处置。(落实) | 0.5 | |||||||
| 网络安全 | 访问控制(G3) | c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制; | 1 | |||||
| 3 | 防病毒网关 | 重要 | 网络安全 | 恶意代码防范(G3) | a)应在网络边界处对恶意代码进行检测和清除 | 1 | ||
| b)应维护恶意代码库的升级和检测系统的更新。 | 0.5 | |||||||
| 4 | WEB应用防火墙 (或防篡改) |
重要 | 数据管理安全 | 数据完整性(S3) | a)应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; | 0.2 | 协议校验、防篡改等功能 | |
| 应用安全 | 软件容错(A3) | a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求; | 1 | 部分老旧应用无相关校验功能,可由WEB应用防火墙对应用请求进行合法性过滤 | ||||
| 5 | 终端管理软件 (补丁分发系统) |
重要 | 网络安全 | 边界完整性检查(S3) | b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。 | 1 | 通过终端管理软件限制终端多网卡情况 | |
| 主机安全 | ***防范(G3) | c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。 | 0.5 | 可通过终端管理软件统一分发补丁 | ||||
| 6 | 企业版杀毒软件 | 非常重要 | 主机安全 | 恶意代码防范(G3) | a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库; | 1 | ||
| b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库; | 0.5 | |||||||
| c)应支持防恶意代码的统一管理。 | 0.5 | |||||||
| 7 | 网络准入系统 | 重要 | 网络安全 | 边界完整性检查(S3) | a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断; | 1 | ||
| 8 | 日志审计系统 | 非常重要 | 网络安全 | 安全审计(G3) | a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; | 1 | ||
| b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 | 0.5 | |||||||
| c)应能够根据记录数据进行分析,并生成审计报表; | 1 | |||||||
| d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等 | 0.5 | |||||||
| 主机安全 | 安全审计(G3) | e)应保护审计进程,避免受到未预期的中断; | 0.5 | |||||
| 9 | 数据库审计 | 重要 | 主机安全 | 安全审计(G3) | a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; | 1 | ||
| 10 | 运维审计系统(堡垒机) | 重要 | 网络安全 | 网络设备防护(G3) | d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别; | 1 | 部分网络设备不支持双因子认证、口令复杂度策略与更换策略,需要第三方运维管理工具实现。 | |
| e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; | 1 | |||||||
| 主机安全 | 访问控制(S3) | b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限; | 0.5 | |||||
| 11 | 网络管理系统 | 重要 | 主机安全 | 资源控制(A3) | c)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况; | 0.5 | 通过SNMP等协议统一监控各层面设备资源的系统 | |
| e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 | 0.2 | |||||||
| 12 | 异地备份方案 | 重要 | 数据管理安全 | 备份和恢复(A3) | a)应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放; | 0.5 | ||
| b)应提供异地实时备份功能,利用通信网络将数据实时备份至灾难备份中心 | 0.5 | |||||||