二级等保

三级等保

序号建议功能或模块建议方案或产品重要程度主要依据备注安全层面三级分项三级测评指标权重1边界防火墙与区域防火墙
    (带宽管理模块)
非常重要网络安全访问控制(G3)a)应在网络边界部署访问控制设备，启用访问控制功能；0.5
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；1
网络安全结构安全(G3)f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；0.5
g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。0.5
2***防护系统
非常重要网络安全***防范(G3)a)应在网络边界处监视以下***行为：端口扫描、强力***、***后门***、拒绝服务***、缓冲区溢出***、IP碎片***和网络蠕虫***等1
b)当检测到***行为时，记录***源IP、***类型、***目的、***时间等，在发生严重***事件时应提供报警，及时进行处置。（落实）0.5
网络安全访问控制(G3)c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；1
3防病毒网关
重要网络安全恶意代码防范(G3)a)应在网络边界处对恶意代码进行检测和清除1
b)应维护恶意代码库的升级和检测系统的更新。0.5
4WEB应用防火墙
    （或防篡改）
重要数据管理安全数据完整性(S3)a）应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；0.2协议校验、防篡改等功能应用安全软件容错(A3)a）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；1部分老旧应用无相关校验功能，可由WEB应用防火墙对应用请求进行合法性过滤5终端管理软件
    (补丁分发系统)
重要网络安全边界完整性检查(S3)b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。1通过终端管理软件限制终端多网卡情况主机安全***防范(G3)c)操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。0.5可通过终端管理软件统一分发补丁6企业版杀毒软件
非常重要主机安全恶意代码防范(G3)a)应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；1
b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；0.5
c)应支持防恶意代码的统一管理。0.5
7网络准入系统
重要网络安全边界完整性检查(S3)a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；1
8日志审计系统
非常重要网络安全安全审计(G3)a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；1
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。0.5
c)应能够根据记录数据进行分析，并生成审计报表；1
d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等0.5
主机安全安全审计(G3)e)应保护审计进程，避免受到未预期的中断；0.5
9数据库审计
重要主机安全安全审计(G3)a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；1
10运维审计系统（堡垒机）
重要网络安全网络设备防护(G3)d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；1部分网络设备不支持双因子认证、口令复杂度策略与更换策略，需要第三方运维管理工具实现。e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；1主机安全访问控制(S3)b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；0.5
11网络管理系统
重要主机安全资源控制(A3)c)应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；0.5通过SNMP等协议统一监控各层面设备资源的系统e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。0.2
12异地备份方案
重要数据管理安全备份和恢复(A3)a)应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；0.5
b）应提供异地实时备份功能，利用通信网络将数据实时备份至灾难备份中心0.5