手机应用

企常青官方微信 看谁扫的快! 福利就是你的!
主页知识库等保认证

网络安全等级保护硬件及软件要求-二级、三级等保系统要求

2022-11-07 17:23:46
5655
来源:企常青

  在互联网行业,网络数据及用户信息安全越来越受国家重视,为了保护我国网络安全,公安部牵头制定了《网络安全等级保护制度及标准》,涉及到金融、教育、医疗、云服务等行业的企业,应该按照要求办理等保认证。网络安全等级保护涉及到:物理安全、网络安全、主机安全、应用安全以及数据安全及备份恢复,从而满足等保的各项要求。那么,网络安全等级保护中对硬件及软件的要求有哪些呢?接下来,我们主要针对二级和三级等保进行介绍:

  第一部分:二级网络安全等级保护要求

  (一)机房方面的安全措施需求:

  1、防盗报警系统

  2、灭火设备和火灾自动报警系统

  3、水敏感检测仪及漏水检测报警系统

  4、精密空调

  5、备用发电机

  (二)主机和网络安全层面需要部署的安全产品:

  1、防火墙或者入侵防御系统

  2、上网行为管理系统

  3、网络准入系统

  4、审计平台或者统一监控平台(可满足主机、网络和应用层面的监控需求,在条件不允许的情况下,至少要使用数据库审计)

  5、防病毒软件

  (三)应用及数据安全层面需要部署的安全产品:

  1、VPN

  2、网页防篡改系统(针对网站系统)

  3、数据异地备份存储设备

  4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。

  第二部分:三级网络安全等级保护的要求

  一、机房方面的安全措施需求:

  1、需要使用彩钢板、防火门等进行区域隔离

  2、视频监控系统

  3、防盗报警系统

  4、灭火设备和火灾自动报警系统

  5、水敏感检测仪及漏水检测报警系统

  6、精密空调

  7、除湿装置

  8、备用发电机

  9、电磁屏蔽柜

  二、主机和网络安全层面需要部署的安全产品:

  1、入侵防御系统

  2、上网行为管理系统

  3、网络准入系统

  4、统一监控平台(可满足主机、网络和应用层面的监控需求)

  5、防病毒软件

  6、堡垒机

  7、第二代防火墙或防火墙

  8、审计平台(满足对操作系统、数据库、网络设备的审计,在条件不允许的情况下,至少要使用数据库审计)

  三、应用及数据安全层面需要部署的安全产品:

  1、VPN

  2、网页防篡改系统(针对网站系统)

  3、数据异地备份存储设备

  4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。

  5、数据加密软件(满足加密存储,且加密算法需获得保密局认可)。

  第三部分:网络安全等级保护需要用到的设备

  1. 电子门禁系统

  物理访问控制

  重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

  2. 房防盗报警系统/监控报警系统

  防盗窃和防破坏

  应利用光、电灯技术设置机房防盗报警系统;

  应对机房设置监控报警系统。

  3. 火灾自动消防系统

  防火

  机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。

  4. 水敏感检测设备

  防水和防潮

  应安装队水敏感的检测仪表活元件,对机房进行防水检测和报警。

  5. 机房专用空调

  温湿度控制

  机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。

  6. UPS或备用发电机

  电力供应

  应建立备用供电系统。

  7. 负载均衡

  结构安全

  应保证网络各个部分的带宽满足业务高峰需要;

  应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。

  8. 防火墙

  访问控制(网站系统,需部署web应用防火墙、防篡改系统。)

  应在网络边界部署访问控制设备,启用访问控制功能;

  应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;

  应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。

  9. 准入准出设备

  边界完整性检查

  应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;

  应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。

  10. IDS/IPS

  入侵防范

  应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;

  当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。

  11. 防病毒网关(或UTM、防火墙集成模块)

  恶意代码防范

  应在网络边界处对恶意代码进行检测和清除;

  应维护恶意代码库的升级和检测系统的更新。

  12. 日志审计系统/数据库审计系统日志服务器

  安全审计

  应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;

  审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

  应能够根据记录数据进行分析,并生成审计报表;

  应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;

  数据库安全审计

  审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;

  审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;

  审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

  应能够根据记录数据进行分析,并生成审计报表;

  应保护审计进程,避免收到未预期的中断;

  应保护审计记录,避免受到未预期的删除、修改或覆盖等。

  13. 网络版杀毒软件

  恶意代码防范

  应安装防恶意代码软件,并及时更新恶意代码软件版本和恶意代码库;

  主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;

  应支持防恶意代码软件的统一管理。

  14. 运维管理系统

  资源控制

  应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;

  应限制单个用户对系统资源的最大或最小使用限度;

  应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。

  15. 堡垒机+UKey认证

  网络设备防护

  主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;

  身份鉴别

  应采用两种或两种以上组合的鉴别技术来管理用户进行身份鉴别;

  应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。

  16. 数据备份系统/异地容灾

  备份和恢复

  应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;

  应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地。

  17. 漏洞扫描设备

  网络安全管理

  应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;

  系统安全管理

  应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。

  上述内容为“网络安全等级保护硬件及软件要求”的介绍,如有其他疑惑,可咨询企常青网络安全等级保护顾问,我们会为您解决等保实施过程中的各类问题。


声明:以上内容由企常青结合政府网站、互联网及相关政策整理发布,若内容有误或涉及侵权,请发送邮件至 shichang@qichangqing.com 进行反馈,一经核实,本站将立刻删除!

企常青

相关最新文章

等保三级认证的服务内容与费用

等保三级认证是指根据《网络安全等级保护管理办法》,对网络运营者的网络安全等级保护工作进行评估和认证,分为一级、二级、三级、四级和五级这五个等级。等保三级...

信息安全等保三级认证解决方案-软件系统等级保护认证

三级等保认证是指中国信息安全等级保护制度中的高等级认证,要求企业在技术、管理、物理环境等多个方面具备一定的信息安全保护能力。为了达到三级等保认证,企业需...

网络安全等级保护认证机构

网络安全等级保护认证,是指对重要信息系统进行保护,使其免受攻击、破坏和侵入,并保证其持续可用、可靠运行,保障信息安全的活动。网络安全等级保护认证的实施,...

二级等保测评找什么公司?

二级等保测评需要由经过公安部门认证的“网络安全等级保护测评机构”进行测评,测评机构需要有专门的测评人员,包含初级、中级及高级测评师。等保测评是一项严谨的...

二级等保和三级等保的区别有哪些?

等保二级和三级对系统的安全需求不同,根据网络安全等级保护的五个不同等级,等保三级要高于等保二级。接下来,企常青为您整理介绍两者的区别。

工商核名
知识库导航