等级保护三级系统应配设备及服务
1 物理安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
电子门禁
重要出入口(包括机房出入口和重要区域出入口等)
1、机房入口
2、重要服务器区入口
2
光电防盗报警
视频监控系统
防盗报警
机房窗户、入口等处
可通过监控弥补
3
防雷保安器
防感应雷
配电箱
4
自动消防系统
要求自动检测火情、自动报警、自动灭火
可以用手动灭火器加报警器组成
5
新风换气
防水防潮
6
动力环境监测系统-水敏感检测仪表
可人工检测
7
机房专用空调
防水防潮、温湿度控制
海洛斯、艾默生等
8
接地系统
防雷接地
9
UPS系统
不间断电源(UPS
华为、APC、台达、山特等
2 网络安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
应用级防火墙
访问控制:实现路由控制,数据流控制,控制粒度到端口级;实现应用层访问控制和过滤;控制空闲会话数、最大网络连接数等
1、网络边界
2、重要服务器区前端
2
流量控制设备
对网络流量进行监控,保障重要资源的优先访问
1、网络边界
3
流量清洗设备
防止DDos攻击
1 网络边界2 服务器前端
4
IT运维管理软件
对网络设备、服务器、数据库、应用等进行监控,包括监视CPU、硬盘、内存、网络资源的使用情况
安全管理区
5
日志审计系统
对网络设备、安全设备、操作系统的日志进行集中存储、分析
安全管理区
6
网络审计系统
分析网络流量,排除网络故障
核心交换区
7
无线WIFI控制系统
支持多元化认证方式,如短信认证、二维码认证、认证等
核心交换区
8
终端安全管理系统(含准入硬件)
终端健康状态检查、终端准入控制、外设控制、终端非法外联控制
安全管理区
9
IDS系统
IPS系统
无线IDS系统
网络攻击检测/报警:在网络边界处监视各种攻击行为
1、核心交换区
2、网络边界
10
防毒墙
网络入口病毒检测、查杀
网络边界
11
VPN/VFW
云接入身份认证、链路安全、虚拟服务器间访问控制
1 网络入口2 虚拟服务器
12
上网行为管理
网络出口处
13
集中管控平台
对网络设备、服务器、数据库、应用等进行监控,包括监视CPU、硬盘、内存、网络资源的使用情况
网络管理中心
14
EMM
安全运行环境、代码审核、安全app加壳
15
网络加固
对网络设备身份鉴别、管理地址控制、密码复杂度、鉴别处理、加密传输等进行功能加固。
手工加固
人工配置,不需要加固
3 主机安全部分
序号
设备或措施
功能
部署位置
是否必须
备注
1
主机IPS软件或杀毒软件集成
特定进程、入侵行为监控和完整性检测
服务器
2
网络版防病毒软件
与防毒墙代码库相异;及时更新;支持统一管理
安全管理区
3
Web防火墙
SQL注入、跨站攻击等
服务器前端
4
网页防篡改系统
篡改检测模块(数字水印技术和应用防护模块(防注入攻击),实现了对静态和动态网页和脚本的实时检测和恢复,
服务器区
6
漏洞扫描设备
通过漏洞扫描发现漏洞;通过终端安全分发补丁
核心交换区
7
堡垒机
实现对网络设备、安全设备、服务器设备的远程集中管理、运维监控
核心交换区
8
数据库审计
实现对数据库的操作监控,语句回溯
服务器区或核心交换去
9
操作系统加固软件
底层操作系统加固、强制访问控制、剩余信息保护
服务器
10
操作系统加固软件及人工配置
控制重要文件权限;禁用或删除不需要的服务、共享等;限制或禁用默认/匿名用户,删除多余、过期及共享用户;用户权限设置;系统管理员不由数据库管理员兼任;特权用户权限分离;对重要信息设置敏感标识并控制访问权限;
服务器
浪潮SSR或人工配置,不需设备
4 据安全部分
序号
措施
功能
必须
备注
1
网络设备、服务器设备 备份
关键网络设备、通信线路和数据
处理系统的硬件冗余,保证系统 的可用性
可冷备
2
软硬件一体化备份容灾 设备
应能够对重要信息进行备份和恢 复
安全管理区
3
负载均衡设
要求双线路,负载均衡
边界区
5 安全服务
序号
服务名称
功能
否必须
备注
1
信息安全制度完善
完善信息搭建ssr服务器教程安全管理制度评审修订
2
安全检查
网络安全检查
3
安全培训
安全意识培训或安全技术培训
4
安全专家
应聘请信息安全专家作为常年的安全顾问,征询信息安全相关事宜

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。