二、三級等保建議安全設備及其主要依據(毫無保留版)
阿新 • • 發佈:2018-04-14
二三級等保二級等保
| 序號 | 建議功能或模塊 | 建議方案或產品 | 重要程度 | 主要依據 | 備註 | |||
| 安全層面 | 二級分項 | 二級測評指標 | 權重 | |||||
| 1 | 邊界防火墻 | 非常重要 | 網絡安全 | 訪問控制(G2) | a)應在網絡邊界部署訪問控制設備,啟用訪問控制功能; | 1 | ||
| b)應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力,控制粒度為網段級。 | 1 | |||||||
| 2 | 入侵檢測系統 (模塊) | 非常重要 | 網絡安全 | 入侵防範(G2) | 應在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等 | 1 | ||
| 3 | WEB應用防火墻(模塊) | 重要 | 應用安全 | 軟件容錯(A2) | a)應提供數據有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求; | 1 | 部分老舊應用無相關校驗功能,可由WEB應用防火墻對應用請求進行合法性過濾 | |
| 4 | 日誌審計系統 | syslog服務器 | 非常重要 | 網絡安全 | 安全審計(G2) | a)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日誌記錄; | 1 | |
| b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。 | 0.5 | |||||||
| 主機安全 | 安全審計(G2) | c)應保護審計記錄,避免受到未預期的刪除、修改或覆蓋等。 | 0.5 | |||||
| 5 | 運維審計系統 (堡壘機) | 一般 | 網絡安全 | 網絡設備防護(G2) | d)身份鑒別信息應具有不易被冒用的特點,口令應有復雜度要求並定期更換; | 1 | 部分網絡設備不支持口令復雜度策略與更換策略,需要第三方運維管理工具實現。 | |
| 6 | 數據庫審計 | 重要 | 主機安全 | 安全審計(G2) | a)審計範圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶; | 1 | ||
| 7 | 終端管理軟件 (補丁分發系統) | 重要 | 網絡安全 | 邊界完整性檢查(S2) | 應能夠對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查。 | 1 | 通過終端管理軟件限制終端多網卡情況 | |
| 主機安全 | 入侵防範(G2) | 操作系統應遵循最小安裝的原則,僅安裝需要的組件和應用程序,並通過設置升級服務器等方式保持系統補丁及時得到更新。 | 1 | 可通過終端管理軟件統一分發補丁 | ||||
| 8 | 企業版殺毒軟件 | 重要 | 主機安全 | 惡意代碼防範(G2) | a)應安裝防惡意代碼軟件,並及時更新防惡意代碼軟件版本和惡意代碼庫 | 1 | ||
| b)應支持防惡意代碼的統一管理。 | 1 | |||||||
| 9 | 本地備份方案 | 重要 | 數據管理安全 | 備份和恢復(A2) | a) 應能夠對重要信息進行備份和恢復; | 0.5 | ||
三級等保
| 序號 | 建議功能或模塊 | 建議方案或產品 | 重要程度 | 主要依據 | 備註 | |||
| 安全層面 | 三級分項 | 三級測評指標 | 權重 | |||||
| 1 | 邊界防火墻與區域防火墻 (帶寬管理模塊) | 非常重要 | 網絡安全 | 訪問控制(G3) | a)應在網絡邊界部署訪問控制設備,啟用訪問控制功能; | 0.5 | ||
| b)應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力,控制粒度為端口級; | 1 | |||||||
| 網絡安全 | 結構安全(G3) | f)應避免將重要網段部署在網絡邊界處且直接連接外部信息系統,重要網段與其他網段之間采取可靠的技術隔離手段; | 0.5 | |||||
| g)應按照對業務服務的重要次序來指定帶寬分配優先級別,保證在網絡發生擁堵的時候優先保護重要主機。 | 0.5 | |||||||
| 2 | 入侵防護系統 | 非常重要 | 網絡安全 | 入侵防範(G3) | a)應在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等 | 1 | ||
| b)當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間等,在發生嚴重入侵事件時應提供報警,及時進行處置。(落實) | 0.5 | |||||||
| 網絡安全 | 訪問控制(G3) | c)應對進出網絡的信息內容進行過濾,實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制; | 1 | |||||
| 3 | 防病毒網關 | 重要 | 網絡安全 | 惡意代碼防範(G3) | a)應在網絡邊界處對惡意代碼進行檢測和清除 | 1 | ||
| b)應維護惡意代碼庫的升級和檢測系統的更新。 | 0.5 | |||||||
| 4 | WEB應用防火墻 (或防篡改) | 重要 | 數據管理安全 | 數據完整性(S3) | a)應能夠檢測到系統管理數據、鑒別信息和重要業務數據在傳輸過程中完整性受到破壞,並在檢測到完整性錯誤時采取必要的恢復措施; | 0.2 | 協議校驗、防篡改等功能 | |
| 應用安全 | 軟件容錯(A3) | a)應提供數據有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求; | 1 | 部分老舊應用無相關校驗功能,可由WEB應用防火墻對應用請求進行合法性過濾 | ||||
| 5 | 終端管理軟件 (補丁分發系統) | 重要 | 網絡安全 | 邊界完整性檢查(S3) | b)應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查,準確定出位置,並對其進行有效阻斷。 | 1 | 通過終端管理軟件限制終端多網卡情況 | |
| 主機安全 | 入侵防範(G3) | c)操作系統應遵循最小安裝的原則,僅安裝需要的組件和應用程序,並通過設置升級服務器等方式保持系統補丁及時得到更新。 | 0.5 | 可通過終端管理軟件統一分發補丁 | ||||
| 6 | 企業版殺毒軟件 | 非常重要 | 主機安全 | 惡意代碼防範(G3) | a)應安裝防惡意代碼軟件,並及時更新防惡意代碼軟件版本和惡意代碼庫; | 1 | ||
| b)主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫; | 0.5 | |||||||
| c)應支持防惡意代碼的統一管理。 | 0.5 | |||||||
| 7 | 網絡準入系統 | 重要 | 網絡安全 | 邊界完整性檢查(S3) | a)應能夠對非授權設備私自聯到內部網絡的行為進行檢查,準確定出位置,並對其進行有效阻斷; | 1 | ||
| 8 | 日誌審計系統 | 非常重要 | 網絡安全 | 安全審計(G3) | a)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日誌記錄; | 1 | ||
| b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。 | 0.5 | |||||||
| c)應能夠根據記錄數據進行分析,並生成審計報表; | 1 | |||||||
| d)應對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等 | 0.5 | |||||||
| 主機安全 | 安全審計(G3) | e)應保護審計進程,避免受到未預期的中斷; | 0.5 | |||||
| 9 | 數據庫審計 | 重要 | 主機安全 | 安全審計(G3) | a)審計範圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶; | 1 | ||
| 10 | 運維審計系統(堡壘機) | 重要 | 網絡安全 | 網絡設備防護(G3) | d)主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別; | 1 | 部分網絡設備不支持雙因子認證、口令復雜度策略與更換策略,需要第三方運維管理工具實現。 | |
| e)身份鑒別信息應具有不易被冒用的特點,口令應有復雜度要求並定期更換; | 1 | |||||||
| 主機安全 | 訪問控制(S3) | b)應根據管理用戶的角色分配權限,實現管理用戶的權限分離,僅授予管理用戶所需的最小權限; | 0.5 | |||||
| 11 | 網絡管理系統 | 重要 | 主機安全 | 資源控制(A3) | c)應對重要服務器進行監視,包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況; | 0.5 | 通過SNMP等協議統一監控各層面設備資源的系統 | |
| e)應能夠對系統的服務水平降低到預先規定的最小值進行檢測和報警。 | 0.2 | |||||||
| 12 | 異地備份方案 | 重要 | 數據管理安全 | 備份和恢復(A3) | a)應提供本地數據備份與恢復功能,完全數據備份至少每天一次,備份介質場外存放; | 0.5 | ||
| b)應提供異地實時備份功能,利用通信網絡將數據實時備份至災難備份中心 | 0.5 | |||||||
二、三級等保建議安全設備及其主要依據(毫無保留版)