码迷,mamicode.com
首页 > 其他好文 > 详细

二、三级等保建议安全设备及其主要依据(毫无保留版)

时间:2018-04-14 02:17:40      阅读:4062      评论:0      收藏:0      [点我收藏+]

标签:二三级等保

二级等保

序号建议功能或模块建议方案或产品重要程度主要依据备注
安全层面二级分项二级测评指标权重
1边界防火墙
非常重要网络安全访问控制(G2)a)应在网络边界部署访问控制设备,启用访问控制功能;1
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。1
2入侵检测系统
    (模块)

非常重要网络安全入侵防范(G2)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等1
3WEB应用防火墙(模块)
重要应用安全软件容错(A2)a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;1部分老旧应用无相关校验功能,可由WEB应用防火墙对应用请求进行合法性过滤
4日志审计系统syslog服务器非常重要网络安全安全审计(G2)a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;1
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。0.5
主机安全安全审计(G2)c)应保护审计记录,避免受到未预期的删除、修改或覆盖等。0.5
5运维审计系统
    (堡垒机)

一般网络安全网络设备防护(G2)d)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;1部分网络设备不支持口令复杂度策略与更换策略,需要第三方运维管理工具实现。
6数据库审计
重要主机安全安全审计(G2)a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;1
7终端管理软件
    (补丁分发系统)

重要网络安全边界完整性检查(S2)应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。1通过终端管理软件限制终端多网卡情况
主机安全入侵防范(G2)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。1可通过终端管理软件统一分发补丁
8企业版杀毒软件
重要主机安全恶意代码防范(G2)a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库1
b)应支持防恶意代码的统一管理。1
9本地备份方案
重要数据管理安全备份和恢复(A2)a) 应能够对重要信息进行备份和恢复;0.5



三级等保


序号建议功能或模块建议方案或产品重要程度主要依据备注
安全层面三级分项三级测评指标权重
1边界防火墙与区域防火墙
    (带宽管理模块)

非常重要网络安全访问控制(G3)a)应在网络边界部署访问控制设备,启用访问控制功能;0.5
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;1
网络安全结构安全(G3)f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;0.5
g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。0.5
2入侵防护系统
非常重要网络安全入侵防范(G3)a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等1
b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间等,在发生严重入侵事件时应提供报警,及时进行处置。(落实)0.5
网络安全访问控制(G3)c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;1
3防病毒网关
重要网络安全恶意代码防范(G3)a)应在网络边界处对恶意代码进行检测和清除1
b)应维护恶意代码库的升级和检测系统的更新。0.5
4WEB应用防火墙
    (或防篡改)

重要数据管理安全数据完整性(S3)a)应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;0.2协议校验、防篡改等功能
应用安全软件容错(A3)a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;1部分老旧应用无相关校验功能,可由WEB应用防火墙对应用请求进行合法性过滤
5终端管理软件
    (补丁分发系统)

重要网络安全边界完整性检查(S3)b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。1通过终端管理软件限制终端多网卡情况
主机安全入侵防范(G3)c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。0.5可通过终端管理软件统一分发补丁
6企业版杀毒软件
非常重要主机安全恶意代码防范(G3)a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;1
b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;0.5
c)应支持防恶意代码的统一管理。0.5
7网络准入系统
重要网络安全边界完整性检查(S3)a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;1
8日志审计系统
非常重要网络安全安全审计(G3)a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;1
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。0.5
c)应能够根据记录数据进行分析,并生成审计报表;1
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等0.5
主机安全安全审计(G3)e)应保护审计进程,避免受到未预期的中断;0.5
9数据库审计
重要主机安全安全审计(G3)a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;1
10运维审计系统(堡垒机)
重要网络安全网络设备防护(G3)d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;1部分网络设备不支持双因子认证、口令复杂度策略与更换策略,需要第三方运维管理工具实现。
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;1
主机安全访问控制(S3)b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;0.5
11网络管理系统
重要主机安全资源控制(A3)c)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;0.5通过SNMP等协议统一监控各层面设备资源的系统
e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。0.2
12异地备份方案
重要数据管理安全备份和恢复(A3)a)应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;0.5
b)应提供异地实时备份功能,利用通信网络将数据实时备份至灾难备份中心0.5


二、三级等保建议安全设备及其主要依据(毫无保留版)

标签:二三级等保

原文地址:http://blog.51cto.com/ilctc/2103324

(2)
(3)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!