二、三级等保建议安全设备及其主要依据(毫无保留版)
二级等保
序号 | 建议功能或模块 | 建议方案或产品 | 重要程度 | 主要依据 | 备注 | |||
安全层面 | 二级分项 | 二级测评指标 | 权重 | |||||
1 | 边界防火墙 | 非常重要 | 网络安全 | 访问控制(G2) | a)应在网络边界部署访问控制设备,启用访问控制功能; | 1 | ||
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。 | 1 | |||||||
2 |
***检测系统 (模块) |
非常重要 | 网络安全 | ***防范(G2) | 应在网络边界处监视以下***行为:端口扫描、强力***、***后门***、拒绝服务***、缓冲区溢出***、IP碎片***和网络蠕虫***等 | 1 | ||
3 | WEB应用防火墙(模块) | 重要 | 应用安全 | 软件容错(A2) | a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求; | 1 | 部分老旧应用无相关校验功能,可由WEB应用防火墙对应用请求进行合法性过滤 | |
4 | 日志审计系统 | syslog服务器 | 非常重要 | 网络安全 | 安全审计(G2) | a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; | 1 | |
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 | 0.5 | |||||||
主机安全 | 安全审计(G2) | c)应保护审计记录,避免受到未预期的删除、修改或覆盖等。 | 0.5 | |||||
5 |
运维审计系统 (堡垒机) |
一般 | 网络安全 | 网络设备防护(G2) | d)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; | 1 | 部分网络设备不支持口令复杂度策略与更换策略,需要第三方运维管理工具实现。 | |
6 | 数据库审计 | 重要 | 主机安全 | 安全审计(G2) | a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户; | 1 | ||
7 |
终端管理软件 (补丁分发系统) |
重要 | 网络安全 | 边界完整性检查(S2) | 应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。 | 1 | 通过终端管理软件限制终端多网卡情况 | |
主机安全 | ***防范(G2) | 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。 | 1 | 可通过终端管理软件统一分发补丁 | ||||
8 | 企业版杀毒软件 | 重要 | 主机安全 | 恶意代码防范(G2) | a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库 | 1 | ||
b)应支持防恶意代码的统一管理。 | 1 | |||||||
9 | 本地备份方案 | 重要 | 数据管理安全 | 备份和恢复(A2) | a) 应能够对重要信息进行备份和恢复; | 0.5 |
三级等保
序号建议功能或模块建议方案或产品重要程度主要依据备注安全层面三级分项三级测评指标权重1边界防火墙与区域防火墙
(带宽管理模块)
非常重要网络安全访问控制(G3)a)应在网络边界部署访问控制设备,启用访问控制功能;0.5
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;1
网络安全结构安全(G3)f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;0.5
g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。0.5
2***防护系统
非常重要网络安全***防范(G3)a)应在网络边界处监视以下***行为:端口扫描、强力***、***后门***、拒绝服务***、缓冲区溢出***、IP碎片***和网络蠕虫***等1
b)当检测到***行为时,记录***源IP、***类型、***目的、***时间等,在发生严重***事件时应提供报警,及时进行处置。(落实)0.5
网络安全访问控制(G3)c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;1
3防病毒网关
重要网络安全恶意代码防范(G3)a)应在网络边界处对恶意代码进行检测和清除1
b)应维护恶意代码库的升级和检测系统的更新。0.5
4WEB应用防火墙
(或防篡改)
重要数据管理安全数据完整性(S3)a)应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;0.2协议校验、防篡改等功能应用安全软件容错(A3)a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;1部分老旧应用无相关校验功能,可由WEB应用防火墙对应用请求进行合法性过滤5终端管理软件
(补丁分发系统)
重要网络安全边界完整性检查(S3)b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。1通过终端管理软件限制终端多网卡情况主机安全***防范(G3)c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。0.5可通过终端管理软件统一分发补丁6企业版杀毒软件
非常重要主机安全恶意代码防范(G3)a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;1
b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;0.5
c)应支持防恶意代码的统一管理。0.5
7网络准入系统
重要网络安全边界完整性检查(S3)a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;1
8日志审计系统
非常重要网络安全安全审计(G3)a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;1
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。0.5
c)应能够根据记录数据进行分析,并生成审计报表;1
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等0.5
主机安全安全审计(G3)e)应保护审计进程,避免受到未预期的中断;0.5
9数据库审计
重要主机安全安全审计(G3)a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;1
10运维审计系统(堡垒机)
重要网络安全网络设备防护(G3)d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;1部分网络设备不支持双因子认证、口令复杂度策略与更换策略,需要第三方运维管理工具实现。e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;1主机安全访问控制(S3)b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;0.5
11网络管理系统
重要主机安全资源控制(A3)c)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;0.5通过SNMP等协议统一监控各层面设备资源的系统e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。0.2
12异地备份方案
重要数据管理安全备份和恢复(A3)a)应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;0.5
b)应提供异地实时备份功能,利用通信网络将数据实时备份至灾难备份中心0.5
转载于:https://blog.51cto.com/ilctc/2103324
二、三级等保建议安全设备及其主要依据(毫无保留版)相关推荐
- 三级等保要求及所需设备
等级保护的工作流程包括定级.备案.建设整改.等级测评,核心思想在于建立"可信.可控.可管"的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏.那么,三级等级保护需要哪 ...
- 三级等保测评攻略来了,快快评论收藏哦
今天给大家做了三级等保测评攻略,快快收藏起来哦!现在的人越来越注重安全,不管是人身安全.财产安全.还是网络安全,都是不可忽略的存在.企业更是需要注重信息安全,这也就出现了等级安全保护这项行业.虽然很多 ...
- 三级等保 服务器开启日志审计功能
文章目录 前言 一.三级等保 二.设置步骤 1.详细步骤 2.查看审计日志 总结 前言 在三级等保过程中,经常会碰到需要将服务器开启日志审计功能,在此进行记录 提示:以下是本篇文章正文内容,下面案例可 ...
- 2021年CFA二三级机考题目大变!
近日,协会更新了2021年CFA二三级机考考试题目,跟纸质版考试大有不同! 2021年CFA二三级机考考试题目和纸质考试完全不一样. CFA二级划重点: 2021年CFA二级的考试题型与CFA一级是不 ...
- 三级等保之数据库加解密技术方案预言分析篇(一)
系列文章目录 三级等保之数据库加解密技术方案预言分析篇(一) 三级等保之SpringBootMybatis数据安全(二) 数据库内容加密后支持模糊搜索功能(三) 文章目录 系列文章目录 前言 一.项目 ...
- 软件项目管理0713:三级等保的重要性
软件项目管理0713:三级等保的重要性 作为项目经理一定要重视三级登保,如果是政府项目或者是大厂的项目,他们本身有等级比较高的制度或者是安全机构,会对于采购或者对接的系统进行安全评测,这样保证的软件的 ...
- 第一天作业二 三级菜单的实现
第一天作业二 三级菜单的实现 这个作业花了一定的时间,主要是卡在循环时显示不同的问题. #!/usr/bin/env python # -*-conding:utf-8-** # __Author__ ...
- 迪赛推出国家公立医院绩效考核服务系统,融合迪赛智慧数加持赋能,让二三级医院用户领跑“国考”!
建设背景 2019年,国务院陆续发布<国务院办公厅关于加强三级公立医院绩效考核工作的意见>.<关于加强二级公立医院绩效考核工作的通知>,为贯彻落实相关政策,国家卫健委以雷霆之势 ...
- 2021年CFA二三级和一级一样都是机考嘛?
CFA官网:2021年CFA二级考试是机上考试!这是真的吗?那CFA三级也是这样的吗?很多人有这样的疑惑,2020年不是公布CFA一级是机考吗?怎么二三级也是了?www.gfedu.cn/cfa 是的 ...
最新文章
- Windows下编译Chrome V8
- 价值2950亿美元的「量子霸权」,技术水平到了哪个阶段
- 洛谷P1016 旅行家的预算 贪心
- mysql with as_mysql数据库学习(第十六篇)- 视图
- java -cp 和 java -jar 的区别
- java多线程基本概述(二十六)——免锁容器
- 算法问题拓展——kadane算法及其二维数组的扩展
- MySQL复习资料(二)——MySQL-DDL语句
- 【SICP练习】123 练习3.54
- code principles
- C#图片无损转换为ico格式
- C++定义点和矩形求矩形面积周长
- h264流头类型分辨方法
- vue 不同条件展示不同页面_vue根据条件不同显示不同按钮的操作
- Glide如何加载项目中的图片资源
- Android开发论坛汇总
- 【网络工程师】<软考中级>网络互联与互联网
- UML图——类图(6中关系)
- 嫁人就嫁程序猿:不说话则已,开口就是段子手
- 「建议收藏」推荐给软件测试员的10本书
热门文章
- java设置北京时间的时区
- 如何打造一个优秀的软件研发团队
- 北京课工场教育科技公司喜获第八届中国软件杯企业突出贡献奖
- sql 授予其他用户权限语句
- Fractal解题笔记
- linux编译安装icu,Icu+配置使用说明
- 基于过程的软件测试全景图 (2)
- 推荐系统遇上深度学习(二十一)--贝叶斯个性化排序(BPR)算法原理及实战
- 平静的纪中生活(2021.7.12~7.22)
- 电力系统分析(第二版)Hadi Saadat matlab 第五章 输电线路模型及其特性(教材搬运)