三级等保安全建设符合性清单（ word 可编辑版）.docxVIP

PAGE PAGE 10 三级等保安全建设符合性清单 信息安全等级保护是党中央国务院决定在信息安全领域实施的基本国策，由公安部牵头经过十余年的探索和实践，信息安全等级保护的政策、标准体系已经基本形成。在 1994 年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》（国务院 147 号令）第九条规定:计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级的具体办法，由公安部会同有关部门制定。2003 年颁布的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004 年由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合转发的《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66 号）中再次强调， 信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化健康发展的一项基本制度。2011 年 12 月 6 日发布的《省计算机信息系统安全保护办法》（省人民政府令第 183 号文件）第九条明确要求计算机信息系统涉及国家安全、社会公共利益、重大经济建设等信息的，其运营、使用单位或者主管部门应当选择符合法定条件的安全等级测评机构，依据国家规定的技术标准，对计算机信息系统安全等级状况进行测评。我区第二级以上计算机信息系统建设完成后，经测评合格方可投入使用。第十条明确要求计算机信息系统确定为第二级保护等级的，应当每两年至少进行一次系统安全等 级测评；确定为第三级的，应当每年至少进行一次系统安全等级测评。 序号 产品名称 序号 产品名称 1 防火墙 备注 内外网 对应等保控制点及要求 层面/控制 要求项 2017 年 6 月 1 日正式颁布实施的《网络安全法》第二十一条明确国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问， 防止网络数据泄露或者被窃取、篡改： 各一台 点 网络全局/ 结构安全 网络安全/ 访问控制 网络安全/ 恶意代码防护  c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段； 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段； 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。 应在网络边界部署访问控制设备，启用访问控制功能； 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制； d)应在会话处于非活跃一定时间或会话结束后终止网络连接； e)应限制网络最大流量数及网络连接数； 重要网段应采取技术手段防止地址欺骗； 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问， 控制粒度为单个用户； 应限制具有拨号访问权限的用户数量。 应在网络边界处对恶意代码进行检测和清除； b)应维护恶意代码库的升级和检测系统的更新。 网络安全/ 入侵防范 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等； 当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 IPS 入侵防护 内外网 各一台 主机安全/ 入侵防范  a)应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源 IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警； 网络安全/ 访问控制 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制； WEB 应用防护 外网网 应用安全/ a)应采用密码技术保证通信过程中数据的完整性站应用 通信完整性 应用安全/ a)在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证通信保密性 b)应对通信过程中的整个报文或会话过程进行加密 漏洞扫描系统 网闸隔离设备 堡垒机 系统运维管理/网络安全管理 网络安全/ 访问控制 网络安全/ 网络设备防护 d)应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补； 应在网络边界部署访问控制设