| 控制点 | 测评项 | 产品名称 |
|---|---|---|
| 物理访问控制 | 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员 | 电子门禁系统 |
| 防雷击 | 应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等 | 防雷感应装置或过压保护装置 |
| 防火 | 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火 | 火灾自动消防系统或灭火器 |
| 防水和防潮 | 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警 | 对水敏感的检测装置 |
| 防静电 | 应采用防静电地板或地面并采用必要的接地防静电措施 | 防静电地板或地面 |
| 电力供应 | 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求 | UPS备用电源 |
| 控制点 | 测评项 | 产品名称 |
|---|---|---|
| 网络架构 | 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址 | 防火墙、交换机、路由器 |
| 网络架构 | 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段 | 防火墙、网闸 |
| 控制点 | 测评项 | 产品名称 |
|---|---|---|
| 边界防护 | 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信 | 网闸、防火墙、WAF |
| 访问控制 | 应在网络边界或区域之前根据访问控制策略设置访问规则,默认情况下除允许通信外受控接口拒绝所有通信, | 网闸、防火墙、交换机、路由器 |
| 访问控制 | 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。 | 网闸、防火墙 |
| 访问控制 | 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力 | 网闸、防火墙 |
| 入侵防范 | 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为 | 抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统 |
| 恶意代码防范 | 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新 | 防病毒网关、UTM防病毒模块、下一代防火墙防病毒模块 |
| 安全审计 | 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 | 网络审计系统、日志审计系统 |
| 控制点 | 测评项 | 产品名称 |
|---|---|---|
| 安全审计 | 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 | 数据库审计系统、日志审计 |
| 入侵防范 | 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。 | 渗透测试、漏洞扫描 |
| 数据完整性 | 应采用校验技术保证重要数据在传输过程中的完整性 | HTTPS |
| 恶意代码防范 | 应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库 | 杀毒软件 |
| 控制点 | 测评项 | 产品 |
|---|---|---|
| 审计管理 | 应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等; | 日志审计系统、综合安全审计系统、数据库审计 |
综合列举出的测评项来看,等保二级(除物理环境)需要部署的安全产品如下(参考):
1、防火墙/入侵防御系统、
2、堡垒机(管理系统)、
3、杀毒软件、
4、HTTPS、
5、审计系统/平台、
6、数据备份系统等。
我们能够为用户提供:
等保全生命周期服务:
系统定级咨询、系统备案、差距分析评估、安全建设整改咨询、等级保护测评、监督检查改进。
依托丰富的安全工作经验,切实提升企业客户的信息安全防护能力,最终使客户信息系统安全合规。
