安徽等保二級信息系統(tǒng)安全產品方案
控制點 | 測評項 | 產品名稱 |
---|---|---|
物理訪問控制 | 機房出入口應配置電子門禁系統(tǒng),控制、鑒別和記錄進入的人員 | 電子門禁系統(tǒng) |
防雷擊 | 應采取措施防止感應雷,例如設置防雷保安器或過壓保護裝置等 | 防雷感應裝置或過壓保護裝置 |
防火 | 機房應設置火災自動消防系統(tǒng),能夠自動檢測火情、自動報警,并自動滅火 | 火災自動消防系統(tǒng)或滅火器 |
防水和防潮 | 應安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警 | 對水敏感的檢測裝置 |
防靜電 | 應采用防靜電地板或地面并采用必要的接地防靜電措施 | 防靜電地板或地面 |
電力供應 | 應提供短期的備用電力供應,至少滿足設備在斷電情況下的正常運行要求 | UPS備用電源 |
控制點 | 測評項 | 產品名稱 |
---|---|---|
網絡架構 | 應劃分不同的網絡區(qū)域,并按照方便管理和控制的原則為各網絡區(qū)域分配地址 | 防火墻、交換機、路由器 |
網絡架構 | 應避免將重要網絡區(qū)域部署在邊界處,重要網絡區(qū)域與其他網絡區(qū)域之間應采取可靠的技術隔離手段 | 防火墻、網閘 |
控制點 | 測評項 | 產品名稱 |
---|---|---|
邊界防護 | 應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設備提供的受控接口進行通信 | 網閘、防火墻、WAF |
訪問控制 | 應在網絡邊界或區(qū)域之前根據(jù)訪問控制策略設置訪問規(guī)則,默認情況下除允許通信外受控接口拒絕所有通信, | 網閘、防火墻、交換機、路由器 |
訪問控制 | 應對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查,以允許/拒絕數(shù)據(jù)包進出。 | 網閘、防火墻 |
訪問控制 | 應能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力 | 網閘、防火墻 |
入侵防范 | 應在關鍵網絡節(jié)點處檢測、防止或限制從外部發(fā)起的網絡攻擊行為 | 抗APT攻擊系統(tǒng)、網絡回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)和入侵保護系統(tǒng) |
惡意代碼防范 | 應在關鍵網絡節(jié)點處對惡意代碼進行檢測和清除,并維護惡意代碼防護機制的升級和更新 | 防病毒網關、UTM防病毒模塊、下一代防火墻防病毒模塊 |
安全審計 | 應在網絡邊界、重要網絡節(jié)點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計 | 網絡審計系統(tǒng)、日志審計系統(tǒng) |
控制點 | 測評項 | 產品名稱 |
---|---|---|
安全審計 | 應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。 | 數(shù)據(jù)庫審計系統(tǒng)、日志審計 |
入侵防范 | 應能發(fā)現(xiàn)可能存在的已知漏洞,并在經過充分測試評估后,及時修補漏洞。 | 滲透測試、漏洞掃描 |
數(shù)據(jù)完整性 | 應采用校驗技術保證重要數(shù)據(jù)在傳輸過程中的完整性 | HTTPS |
惡意代碼防范 | 應安裝防惡意代碼軟件或配置具有相應功能的軟件,并定期進行升級和更新防惡意代碼庫 | 殺毒軟件 |
控制點 | 測評項 | 產品 |
---|---|---|
審計管理 | 應通過審計管理員對審計記錄進行分析,并根據(jù)分析結果進行處理,包括根據(jù)安全審計策略對審計記錄進行存儲、管理和查詢等; | 日志審計系統(tǒng)、綜合安全審計系統(tǒng)、數(shù)據(jù)庫審計 |
綜合列舉出的測評項來看,等保二級(除物理環(huán)境)需要部署的安全產品如下(參考):
1、防火墻/入侵防御系統(tǒng)、
2、堡壘機(管理系統(tǒng))、
3、殺毒軟件、
4、HTTPS、
5、審計系統(tǒng)/平臺、
6、數(shù)據(jù)備份系統(tǒng)等。