关注我 实时更新 最新资料
等级保护三级系统应配备设备及服务清单
1物理安全部分
序号 设备或措施
1
电子门禁
光电防盗报警 2
视频监控系统
3
防雷保安器 4
自动消防系统
5
新风换气
动力环境监测系统 6
-水敏感检测仪表
7
机房专用空调
8 接地系统 9
UPS系统
2网络安全部分
序号 设备或措施
1
应用级防火墙
功能
部署位置
重要出入口(包括机
1、机房入口 房出入口和重要区域 2、重要服务器 出入口等)
区入口 机房窗户、入 防盗报警
口等处
防感应雷
配电箱
要求自动检测火情、
自动报警、自动灭火
防水防潮
防水防潮、温湿度控
制
防雷接地
不间断电源(UPS)
功能
部署位置
访问控制:实现路由 控制,数据流控制,
控制粒度到端口级;
1、网络边界 实现应用层访问控制 2、重要服务器 和过滤;控制空闲会 区前端
话数、最大网络连接
原创内容 侵权必究
是否
必须
是 是 是
是
是
是
是否
必须
是
备注
可通过监控弥补
可以用手动灭火 器加报警器组成
可人工检测 海洛斯、艾默生
等
华为、
APC、台达、山特等
备注
关注我 实时更新 最新资料
2
流量控制设备
3
流量清洗设备
4
IT运维管理软件
5
日志审计系统
数等
对网络流量进行监
控,保障重要资源的 1、网络边界
优先访问
1、 网络边界 防止DDos攻击
2、 服务器前 端
对网络设备、服务 器、数据库、应用等
进行监控,包括监视 安全管理区
CPU、硬盘、内存、网 络资源的使用情况 对网络设备、安全设
备、操作系统的日志 安全管理区
进行集中存储、分析
原创内容 侵权必究
是
是
关注我 实时更新 最新资料
6
网络审计系统
7
无线WIFI控制系统
终端安全管理系统
8
(含准入硬件)
IDS系统 9
或IPS系统
无线IDS系统 10
防毒墙
11
VPN/VFW等
12
上网行为管理
13
集中管控平台
14
EMM
分析网络流量,排除
核心交换区
网络故障
支持多元化认证方 式,如短信认证、二
核心交换区
维码认证、微信认证
等
终端健康状态检查、
终端准入控制、外设
安全管理区
控制、终端非法外联
控制
网络攻击检测/报警:
1、核心交换区
在网络边界处监视各
2、网络边界
种攻击行为
网络入口病毒检测、
网络边界
查杀
云接入身份认证、链
1、 网络入口路安全、虚拟服务器 2、 虚拟服务间访问控制
器
网络出口处 对网络设备、服务 器、数据库、应用等
进行监控,包括监视 网络管理中心
CPU、硬盘、内存、网 络资源的使用情况 安全运行环境、代码
审核、安全app加壳
对网络设备身份鉴 原创内容 侵权必究
是
是
是
是
是
关注我 实时更新 最新资料
15
网络加固
3主机安全部分
序号 设备或措施
主机IPS软件或 1
杀毒软件集成 网络版防病毒软
2
件
3
Web防火墙
4
网页防篡改系统
别、管理地址控制、
密码复杂度、鉴别处
手工加固
理、加密传输等进行功能加固。
功能
部署位置
特定进程、入侵行为
服务器
监控和完整性检测
与防毒墙代码库相 异;及时更新;支持
安全管理区
统一管理
防SQL注入、跨站攻击
服务器前端
等
篡改检测模块(数字 水印技术和应用防护
模块(防注入攻 服务器区
击),实现了对静态 和动态网页和脚本的
原创内容 侵权必究
是
是否
必须
是
是
人工配置,不需 要加固
备注
关注我 实时更新 最新资料
6
漏洞扫描设备
7
堡垒机
8
数据库审计
操作系统加固软
9
件
操作系统加固软
10
件及人工配置 4数据安全部分
序号 设备或措施
实时检测和恢复, 通过漏洞扫描发现漏
洞;通过终端安全分 核心交换区
发补丁
实现对网络设备、安
全设备、服务器设备
核心交换区
的远程集中管理、运
维监控
实现对数据库的操作
服务器区或核 监控,语句回溯 心交换去
底层操作系统加固、
强制访问控制、剩余
服务器
信息保护
控制重要文件权限; 禁用或删除不需要的 服务、共享等;限制 或禁用默认/匿名用 户,删除多余、过期
及共享用户;用户权
服务器
限设置;系统管理员
不由数据库管理员兼任;特权用户权限分离;对重要信息设置敏感标识并控制访问权限;
功能
部署位置
原创内容 侵权必究
是
是
是否必须浪潮SSR或人工 配置,不需设备备注
三级等保所需设备及服务
