三级等保涉及产品列表.docxVIP

章节 要求 部署产品 备注 7.1.1 物理安全 7.1.1.2 物理访问控制（G3） d) 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 电子门禁系统 7.1.1.3 防盗窃和防破坏（G3） e) 应利用光、电等技术设置机房防盗报警系统； f) 应对机房设置监控报警系统。 防盗报警系统 监控报警系统 7.1.1.4 防雷击（G3） b) 应设置防雷保安器，防止感应雷； 防雷保安器 7.1.1.5 防火（G3） a) 机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火 火灾自动消防系统 7.1.1.6 防水和防潮（G3） d) 应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。 水敏感的检测仪表 7.1.1.7 防静电（G3） b) 机房应采用防静电地板。 静电地板 7.1.1.8 温湿度控制（G3） 机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 温、湿度自动调节设施 7.1.1.9 电力供应（A3） d) 应建立备用供电系统。 备用供电系统 7.1.1.10 电磁防护（S3） a)防止外界电磁干扰和磁介质实施电磁屏蔽。 电磁屏蔽 7.1.2 网络安全 7.1.2.2 访问控制（G3） a) 应在网络边界部署访问控制设备，启用访问控制功能； d）应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。 防火墙 流控系统 7.1.2.3 安全审计（G3） a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； 行为审计 7.1.2.4 边界完整性检查（S3） a) 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断； 网络管理系统 漏洞扫描 7.1.2.5 入侵防范（G3） b) 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 入侵防御系统 7.1.2.6 恶意代码防范（G3） a) 应在网络边界处对恶意代码进行检测和清除； 入侵防御系统 7.1.2.7 网络设备防护（G3） a) 应对登录网络设备的用户进行身份鉴别 网络管理系统 7.1.3 主机安全 7.1.3.1 身份鉴别（S3） a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别； 认证准入系统 7.1.3.2 访问控制（S3） a) 应启用访问控制功能，依据安全策略控制用户对资源的访问； 认证准入系统 7.1.3.3 安全审计（G3） a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户； 审计系统 网管系统 7.1.3.4 剩余信息保护（S3） a) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中； 数据备份 7.1.3.5 入侵防范（G3） a) 应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警； 入侵防御系统 安全软件 7.1.3.6 恶意代码防范（G3） a) 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库； 安全软件 7.1.3.7 资源控制（A3） c) 应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况； 网络监控系统 7.1.4 应用安全 7.1.4.1 身份鉴别（S3） a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别； 认证准入系统 7.1.4.2 访问控制（S3） a) 应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问； 访问控制 7.1.4.3 安全审计（G3） a) 应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计； 审计系统 7.1.4.4 剩余信息保护（S3） a) 应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中； 7.1.4.5 通信完整性（S3） 应采用密码技术保证通信过程中数据的完整性。 7.1.4.6 通信保密性（S3） a) 在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证； 7.1.4.7 抗抵赖（G3） a) 应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能； 7.1.4.9 资源控制（A3） e) 应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额； 流控系统 7.1.5 数据安全及备份恢复 7.1.5.1 数据完整性（S3） 应能够检测到系统管理数据、鉴别信息和重要业务数