安徽等保二級(jí)信息系統(tǒng)安全產(chǎn)品方案
| 控制點(diǎn) | 測評(píng)項(xiàng) | 產(chǎn)品名稱 |
|---|---|---|
| 物理訪問控制 | 機(jī)房出入口應(yīng)配置電子門禁系統(tǒng),控制、鑒別和記錄進(jìn)入的人員 | 電子門禁系統(tǒng) |
| 防雷擊 | 應(yīng)采取措施防止感應(yīng)雷,例如設(shè)置防雷保安器或過壓保護(hù)裝置等 | 防雷感應(yīng)裝置或過壓保護(hù)裝置 |
| 防火 | 機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),能夠自動(dòng)檢測火情、自動(dòng)報(bào)警,并自動(dòng)滅火 | 火災(zāi)自動(dòng)消防系統(tǒng)或滅火器 |
| 防水和防潮 | 應(yīng)安裝對(duì)水敏感的檢測儀表或元件,對(duì)機(jī)房進(jìn)行防水檢測和報(bào)警 | 對(duì)水敏感的檢測裝置 |
| 防靜電 | 應(yīng)采用防靜電地板或地面并采用必要的接地防靜電措施 | 防靜電地板或地面 |
| 電力供應(yīng) | 應(yīng)提供短期的備用電力供應(yīng),至少滿足設(shè)備在斷電情況下的正常運(yùn)行要求 | UPS備用電源 |
| 控制點(diǎn) | 測評(píng)項(xiàng) | 產(chǎn)品名稱 |
|---|---|---|
| 網(wǎng)絡(luò)架構(gòu) | 應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域,并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址 | 防火墻、交換機(jī)、路由器 |
| 網(wǎng)絡(luò)架構(gòu) | 應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處,重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段 | 防火墻、網(wǎng)閘 |
| 控制點(diǎn) | 測評(píng)項(xiàng) | 產(chǎn)品名稱 |
|---|---|---|
| 邊界防護(hù) | 應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信 | 網(wǎng)閘、防火墻、WAF |
| 訪問控制 | 應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之前根據(jù)訪問控制策略設(shè)置訪問規(guī)則,默認(rèn)情況下除允許通信外受控接口拒絕所有通信, | 網(wǎng)閘、防火墻、交換機(jī)、路由器 |
| 訪問控制 | 應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查,以允許/拒絕數(shù)據(jù)包進(jìn)出。 | 網(wǎng)閘、防火墻 |
| 訪問控制 | 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力 | 網(wǎng)閘、防火墻 |
| 入侵防范 | 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為 | 抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報(bào)檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)和入侵保護(hù)系統(tǒng) |
| 惡意代碼防范 | 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測和清除,并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新 | 防病毒網(wǎng)關(guān)、UTM防病毒模塊、下一代防火墻防病毒模塊 |
| 安全審計(jì) | 應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì),審計(jì)覆蓋到每個(gè)用戶,對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì) | 網(wǎng)絡(luò)審計(jì)系統(tǒng)、日志審計(jì)系統(tǒng) |
| 控制點(diǎn) | 測評(píng)項(xiàng) | 產(chǎn)品名稱 |
|---|---|---|
| 安全審計(jì) | 應(yīng)啟用安全審計(jì)功能,審計(jì)覆蓋到每個(gè)用戶,對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)。 | 數(shù)據(jù)庫審計(jì)系統(tǒng)、日志審計(jì) |
| 入侵防范 | 應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞,并在經(jīng)過充分測試評(píng)估后,及時(shí)修補(bǔ)漏洞。 | 滲透測試、漏洞掃描 |
| 數(shù)據(jù)完整性 | 應(yīng)采用校驗(yàn)技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性 | HTTPS |
| 惡意代碼防范 | 應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件,并定期進(jìn)行升級(jí)和更新防惡意代碼庫 | 殺毒軟件 |
| 控制點(diǎn) | 測評(píng)項(xiàng) | 產(chǎn)品 |
|---|---|---|
| 審計(jì)管理 | 應(yīng)通過審計(jì)管理員對(duì)審計(jì)記錄進(jìn)行分析,并根據(jù)分析結(jié)果進(jìn)行處理,包括根據(jù)安全審計(jì)策略對(duì)審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等; | 日志審計(jì)系統(tǒng)、綜合安全審計(jì)系統(tǒng)、數(shù)據(jù)庫審計(jì) |
綜合列舉出的測評(píng)項(xiàng)來看,等保二級(jí)(除物理環(huán)境)需要部署的安全產(chǎn)品如下(參考):
1、防火墻/入侵防御系統(tǒng)、
2、堡壘機(jī)(管理系統(tǒng))、
3、殺毒軟件、
4、HTTPS、
5、審計(jì)系統(tǒng)/平臺(tái)、
6、數(shù)據(jù)備份系統(tǒng)等。
