信创安全等保二级和三级建设常用的设备，网络安全零基础入门到精通教程

本文链接：https://blog.csdn.net/Cairo_A/article/details/146586129

很多小伙伴对等级保护（简称"等保"）的评估和测试并不是很熟悉，一起探索一下在二级和三级等保测评中，需要哪些设备。

信息安全等级保护二级

一、机房方面的安全措施需求（二级标准）如下：

1、防盗报警系统

2、灭火设备和火灾自动报警系统

3、水敏感检测仪及漏水检测报警系统

4、精密空调

5、备用发电机

二、主机和网络安全层面需要部署的安全产品如下：

1、防火墙或者入侵防御系统

2、上网行为管理系统

3、网络准入系统

4、审计平台或者统一监控平台（可满足主机、网络和应用层面的监控需求，在条件不允许的情况下，至少要使用数据库审计）

5、防病毒软件

三、应用及数据安全层面需要部署的安全产品如下：

1、VPN

2、网页防篡改系统（针对网站系统）

3、数据异地备份存储设备

4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）。

信息安全等级保护三级

一、机房方面的安全措施需求（三级标准）如下：

1、需要使用彩钢板、防火门等进行区域隔离

2、视频监控系统

3、防盗报警系统

4、灭火设备和火灾自动报警系统

5、水敏感检测仪及漏水检测报警系统

6、精密空调

7、除湿装置

8、备用发电机

9、电磁屏蔽柜

我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程，需要的小伙伴可以扫描下方二维码或链接免费领取~

二、主机和网络安全层面需要部署的安全产品如下：

1、入侵防御系统

2、上网行为管理系统

3、网络准入系统

4、统一监控平台（可满足主机、网络和应用层面的监控需求）

5、防病毒软件

6、堡垒机

7、防火墙

8、审计平台（满足对操作系统、数据库、网络设备的审计，在条件不允许的情况下，至少要使用数据库审计）

三、应用及数据安全层面需要部署的安全产品如下：

1、VPN

2、网页防篡改系统（针对网站系统）

3、数据异地备份存储设备

4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）。

5、数据加密软件（满足加密存储，且加密算法需获得保密局认可）。

二级等保（基础版）规划设计

NGFW【必配】：融合传统防火墙安全策略、入侵防御、防病毒功能、VPN功能。解决安全区域边界、通信网络加密传输要求

【主机杀毒软件】【必配】：解决安全计算环境要求
【日志审计系统】【必配】：解决安全管理中心要求
【数据库审计】【必配】：解决安全管理中心审计要求

三级等保（基础版）规划设计

【接入边界NGFW】【必配】：融合防火墙安全策略、访问控制功能。解决安全区域边界要求，并开启AV模块功能；配置网络接入控制功能（802.1X）；配置SSL VPN功能；
【分区边界NGFW 】【必配】：用于解决安全分区边界的访问控制问题；
【主机杀毒软件】【必配】：解决安全计算环境要求；
【日志审计系统】【必配】：解决安全管理中心要求；
【堡垒机】【必配】：解决集中管控、安全审计要求；
【数据库审计】【必选】：解决数据库操作行为和内容等进行细粒度的审计和管理，需要根据系统内是否包含数据库业务系统选择；
【漏洞扫描】【必配】;
【上网行为管理】【必选】；
【WAF】【选配】。

三级等保（增强版）规划设计

【NGFW】（必选）；开启VPN，AV特性；
【IPS】（必选）；解决区域边界入侵防御；
【Anti-DDoS】【必选】;
【APT沙箱】【必选】：新型网络攻击行为
【上网行为管理】【必选】；
【日志审计系统】（必选）；
【数据库审计系统】（必选）；
【漏洞扫描】（必选）；
【主机杀毒软件】（必选）；
【态势感知】【必选】;
【WAF应用防火墙】【必选】；
【运维堡垒机】【必选】；
【网络准入控制系统】【必选】；
【认证服务器】【必选】；
【网页防篡改】【可选】；
【主机入侵防御HIPS】【可选】；
【DLP数据防泄漏】【可选】；
【IAM身份鉴别平台】【可选】；
【态势感知探针】【可选】：可复用NGFW的能力

三级等保（豪华版）规划设计

多网架构，内网和外网物理隔离，通过网闸互通，其余规划同上。

注：内网安全要求比外网高，故安全规划考虑更完善。

等保2级技术要点

等保技术要求	子项	主要内容	对应产品
网络架构	网络架构	分区分域，隔离技术	ngfw
	通信传输	采用校验技术保证通信过程中数据的完整性	ngfw(ipsec&ssl vpn)
	可信验证	基于可信根对通信设备的系统引导程序，系统程序，重要配置参数和通信，应用程序等进行可信验证，并将验证结果形成审计记录送至安全管理中心	设备自身可信启动机制
安全区域边界	边界防护	跨越边界的访问和数据流通过边界设备提供的受控接口进行通信	ngfw
	访问控制	基于五元组的会话状态进行访问控制，策略优化	ngfw
	入侵防范	在关键网络节点处监视网络攻击行为	ngfw(ips)
	恶意代码防范	恶意代码检测和清除，防护机制支持升级和更新	ngfw(av)
	安全审计	用户行为审计，安全事件审计	日志审计系统
	可信验证	边界设备基于可信根对系统进行可信引导	设备自身可信启动机制
安全计算环境	身份鉴别	身份唯一性，鉴别信息复杂度定期更换，登录失败处理功能，远程管理过程中防鉴别信息被窃听	主机安全加固，堡垒机+vpn
	访问控制	用户权限管理，管理用户权限最小化	主机安全加固
	安全审计	用户行为审计	日志审计系统
	入侵防范	检测入侵行为，非使用端口关闭，管理终端限制，发现已知漏洞	ngfw(ips),漏洞扫描
	恶意代码防范	安装防恶意代码软件，防护机制支持升级和更新	主机杀毒软件
	可信验证	计算设备基于可信根对系统进行可信引导	设备自身可信启动机制
	数据完整性	数据防篡改	ngfw(vpn),waf
	数据备份恢复	数据本地备份和恢复，批量数据异地实时备份	本地备份设备，异地备份方案
	剩余信息保护	监别信息存储空间清除	应用自身保障
	个人信息保护	个人信息最小采集原则，授权使用	应用自身保障
安全管理中心	系统管理	应对系统管理员进行身份鉴别，应通过系统管理员对系统的资源和运行进行配置，控制和管理	网络管理系统，堡垒机
安全管理中心	审计管理	应对安全审计员进行身份监别，应通过安全审计员对审计记录应进行分析并根据分析结果进行处理	日志审计系统

*黄色是等保2.0相比1.0点型增加

等保3级技术要点

等保技术要求	子项	主要内容	对应产品
安全通信网络	网络架构g	选型合理，分区隔离，凡余架构，高峰可用	ngfw, 防ddos
	通信传输g	采用校验技术/密码技术保证通信过程中数据的完整性和保密性和保密性	ngfw(ipsec&sslvpn)
	可信验证s	基于可信根对通信设备的系统引导，应用关键点动态验证，可报警，可审计	设备可信启动机制
安全区域边界	边界防护g	跨边界控制，内联设备，外联行为监测，无线网限制	ngfw,网络准入控制
	访问控制g	五元组过滤，内容过滤，策略优化，基于应用协议和应用内容的访问控制	ngfw,安全控制器
	入侵防范g	防外部攻击防内部攻击，防新型未知网络攻击	ps/ids,探针，沙箱，nta
	恶意代码防范g	网络防病毒，垃圾邮件过滤	ngfw(av),ngfw(防垃圾邮件）
	安全审计g	用户行为，安全事件审计，远程用户行为，访问互联网用户行为单独审计和数据分析	堡垒机，上网行为管理，综合日志审计系统
	可信验证s	基于可信根对区域设备的系统引导，应用关键点可动态验证，可报警，可审计	设备可信启动机制
安全计算环境	身份鉴别s	身份唯一性，鉴别信息复杂度，口令，密码技术，生物技术等双因子及以上认证且其中一种必须为密码技术	堡垒机，认证服务器
	访问控制s	用户权限管理，管理用户权限最小化访问控制的粒度应达到主体为用户级或进程级，客体为文件，数据库表级	访问控制平台，api网关
	安全审计g	用户行为审计，对审计进程保护	网行为管理，日志审计系统
	入侵防范g	检测入侵行为，非使用端口关闭，管理终端限制，发现已知漏洞	ips,漏洞扫描
	恶意代码防范 g	安装防恶意代码软件或免疫可信验证机制，防护机制支持升级和更新	ngfw(av),主机防病毒软件
	可信验证s	基于可信根对计算设备的系统引导，应用关键点动态验证，可报警，可审计	设备可信启动机制保障
	数据完整性s	数据防篡改；应采用校验技术或密码技术保证重要数据在传输/存储过程中的完整性	ngfw,vpn,waf,网页防篡改，加密机
	数据备份恢复a	数据本地备份和恢复，提供异地实时备份功能，数据处理系统热冗余	多活数据中心
	剩余信息保护s	鉴别信息，敏感信息缓存清除	应用自身机制
	个人信息保护 s	个人信息最小采集原则，访问控制	应用自身机制
安全管理中心	系统管理g	应对系统管理员进行身份鉴别，应通过系统管理员对系统的资源和运行进行配置，控制和管理	网管系统，堡垒机
	审计管理g	应对安全审计员进行身份鉴别，应通过安全审计员对审计记录，应进行分析，并根据分析结果进行处理	堡垒机，综合日志审计系统、数据库审计
	集中管控g	特定管理分区，统一网管和检测，日志采集和集中分析，安全事件识别告警和分析，策略补丁升级集中管理	网管系统，安全控制器，态势感知系统，补丁服务器
	安全管理g	应对安全管理员进行身份鉴别，应通过安全审计员对审计记录应进行分析，并根据分析结果进行处理	堡垒机，日志审计系统