三级等保所需设备及服务.doc

等级保护三级系统应配备设备及服务清单 1 物理安全部分 序号 设备或措施 功能 部署位置 是否必须 备注 1 电子门禁 重要出入口（包括机房出入口和重要区域出入口等） 1、机房入口 2、重要服务器区入口 是 2 光电防盗报警 视频监控系统 防盗报警 机房窗户、入口等处 是 可通过监控弥补 3 防雷保安器 防感应雷 配电箱 是 4 自动消防系统 要求自动检测火情、自动报警、自动灭火 可以用手动灭火器加报警器组成 5 新风换气 防水防潮 6 动力环境监测系统-水敏感检测仪表 可人工检测 7 机房专用空调 防水防潮、温湿度控制 是 海洛斯、艾默生等 8 接地系统 防雷接地 是 9 UPS系统 不间断电源（UPS） 是 华为、APC、台达、山特等 2 网络安全部分 序号 设备或措施 功能 部署位置 是否必须 备注 1 应用级防火墙 访问控制：实现路由控制，数据流控制，控制粒度到端口级；实现应用层访问控制和过滤；控制空闲会话数、最大网络连接数等 1、网络边界 2、重要服务器区前端 是 2 流量控制设备 对网络流量进行监控，保障重要资源的优先访问 1、网络边界 3 流量清洗设备 防止DDos攻击 1、 网络边界2、 服务器前端 4 IT运维管理软件 对网络设备、服务器、数据库、应用等进行监控，包括监视CPU、硬盘、内存、网络资源的使用情况 安全管理区 是 5 日志审计系统 对网络设备、安全设备、操作系统的日志进行集中存储、分析 安全管理区 是 6 网络审计系统 分析网络流量，排除网络故障 核心交换区 7 无线WIFI控制系统 支持多元化认证方式，如短信认证、二维码认证、微信认证等 核心交换区 8 终端安全管理系统(含准入硬件) 终端健康状态检查、终端准入控制、外设控制、终端非法外联控制 安全管理区 是 9 IDS系统 或IPS系统 无线IDS系统 网络攻击检测/报警：在网络边界处监视各种攻击行为 1、核心交换区 2、网络边界 是 10 防毒墙 网络入口病毒检测、查杀 网络边界 是 11 VPN/VFW等 云接入身份认证、链路安全、虚拟服务器间访问控制 1、 网络入口2、 虚拟服务器 12 上网行为管理 网络出口处 是 13 集中管控平台 对网络设备、服务器、数据库、应用等进行监控，包括监视CPU、硬盘、内存、网络资源的使用情况 网络管理中心 是 14 EMM 安全运行环境、代码审核、安全app加壳 15 网络加固 对网络设备身份鉴别、管理地址控制、密码复杂度、鉴别处理、加密传输等进行功能加固。 手工加固 是 人工配置，不需要加固 3 主机安全部分 序号 设备或措施 功能 部署位置 是否必须 备注 1 主机IPS软件或杀毒软件集成 特定进程、入侵行为监控和完整性检测 服务器 2 网络版防病毒软件 与防毒墙代码库相异；及时更新；支持统一管理 安全管理区 是 3 Web防火墙 防SQL注入、跨站攻击等 服务器前端 是 4 网页防篡改系统 篡改检测模块（数字水印技术和应用防护模块（防注入攻击），实现了对静态和动态网页和脚本的实时检测和恢复， 服务器区 6 漏洞扫描设备 通过漏洞扫描发现漏洞；通过终端安全分发补丁 核心交换区 7 堡垒机 实现对网络设备、安全设备、服务器设备的远程集中管理、运维监控 核心交换区 8 数据库审计 实现对数据库的操作监控，语句回溯 服务器区或核心交换去 是 9 操作系统加固软件 底层操作系统加固、强制访问控制、剩余信息保护 服务器 10 操作系统加固软件及人工配置 控制重要文件权限；禁用或删除不需要的服务、共享等；限制或禁用默认/匿名用户，删除多余、过期及共享用户；用户权限设置；系统管理员不由数据库管理员兼任；特权用户权限分离；对重要信息设置敏感标识并控制访问权限； 服务器 是 浪潮SSR或人工配置，不需设备 4 数据安全部分 序号 设备或措施 功能 部署位置 是否 必须 备注 1 网络设备、服务器设备 备份 关键网络设备、通信线路和数据 处理系统的硬件冗余，保证系统 的可用性 是 可冷备 2 软硬件一体化备份容灾 设备 应能够对重要信息进行备份和恢 复 安全管理区 是 3 负载均衡设 备 要求双线路，负载均衡 边界区 5 安全服务 序号 服务名称 功能 是否必须 备注 1 信息安全制度完善 完善信息安全管理制度，评审修订 是 2 安全检查 网络安全检查 是 3 安全培训 安全意识培训或安全技术培训 是 4 安全专家 应聘请信息安全专家作为常年的安全顾问，征询信息安全相关事宜 是 第 4 页 共 8 页