三级等保自检分析

报社现状三级等保建议管理制度建设备注技术要求重点措施物理位置的选择（G3）三级要求避免在建筑的高层或地下室、以及靠近用水设备避免机房设在高层或地下室，机房建设时考虑五层（共十层）无物理访问控制（G3）三级要求区域划分及隔离，并要求配置电子门禁系统机房日常管理，电子门禁系统没有电子门禁、没有机房进出登记制定机房进出人员管理及登记制度，对进出人员进行记录并存档防盗窃和防破坏（G3）三级要求安装监控报警系统机房日常管理，监控系统无监控系统对设备资产进行定期核查记录管理防雷击（G3）三级要求安装设备防止感应雷防雷保安器，避雷针，电力线路接地没有避雷针，避雷电源对防雷装置进行定期检查并记录存档防火（G3）三级要求建筑材料防火及区域防火隔离自动灭火装置,机房建设时考虑无灭火装置对火灾报警装置及灭火器进行定期检查并记录存档防水和防潮（G3）三级要求对机房进行防水检测和报警漏水检测设施没有漏水检测设施，未靠近用水设备无防静电（G3）三级要求采用防静电地板防静电地板未接地防静电定期检查设备及机柜防静电接地情况温湿度控制（G3）温湿度检测并控制精密空调、温湿度检测设施普通空调制定机房温湿度管理制度，并对机房温湿度进行记录并存档电力供应（A3）三级要求电路冗余及建立备用供电系统主供电线路冗余、UPS电源UPS续航能力4小时左右制定机房用电管理制度并对机房电力供应情况进行记录电磁防护（S3）三级要求对关键设备进行电磁屏蔽机房建设时考虑强弱电分开铺设无结构安全（G3）三级要求采用可靠的技术手段隔离重要网段与外部信息系统，并对带宽按优先级进行分配网闸（信息交换与隔离系统）无终端数量：内网大概20，外网大概20，服务器数量：3网络现况：网通宽带50MB现有应用系统：新闻网采编发布系统数据备份：没有现有网络安全产品：防火墙1台（深信服）在互联网出口处；终端安全管理产品：没有终端及服务器使用操作系统：WinXP、win7、winsever2003、winsever2008操作系统补丁更新：服务器与内网终端没有更新过终端杀毒软件：服务器、内网终端未统一安装杀毒软件无线网络分布：部分覆盖，零散布设，没有相应的无线网络安全解决方案机房物理安全调整，考虑进行机房装修或再建，需增加以下产品：1)门禁系统2)监控系统3)精密空调4)安装防静电地板5)防雷保安器6)安装漏水检测设施7)机房监测系统(动环监控系统)本次建议购置产品及功能：1)外网防火墙(对外网网络边界进行访问控制，基本的入侵防护的，考虑原有深信服防火墙进行相应规则配置实现，无需采购)2)WEB防火墙(对WEB服务器进行访问控制，网页防串改，基本的入侵防护等)3)终端企业版杀毒软件(服务器及终端主机的防病毒统一管理、可进行终端个体的漏洞扫描及补丁更新)4)终端安全产品(对终端的信息安全进行防护，后期可根据需求增加和调整功能模块)5)上网行为管理设备(对外网终端的上网行为进行监测，必要时进行管控)6)入侵防御设备(IPS)：网络边界处入侵防御7)重要服务器数据容灾备份8)日志审计管理设备(对日志记录进行审计，并对审计记录进行保护)后期三级等保可考虑增加设备：1)防病毒网关(多功能安全网关)：网络边界处2)入侵检测设备(IDS)：内网核心交换机处3)堡垒主机(运维网关、安全管理平台)：核心交换机处4)网闸(信息交换与隔离系统)：内外网边界处5)数据库审计(综合审计类产品)：核心交换机处6)VPN设备：如后期需要则考虑三级等保自检分析表第三级要求要求项物理安全网络安全报社现状三级等保建议管理制度建设备注技术要求重点措施三级等保自检分析表第三级要求要求项访问控制（G3）三级要求加强访问控制，并对网络信息内容进行过滤，同时对重要网段防止地址欺骗防火墙规则设置无安全审计（G3）三级要求对日志记录进行审计，并对审计记录进行保护上网行为管理设备规则设置对网络及安全设备的操作、配置、日志记录和监控等做出规定边界完整性检查（S3）三级要求对内部用户联接外部网络进行检查、定位，并必要时进行有效阻断。对外部用户非法联接内部网络进行检查、定位，并必要时进行有效阻断。上网行为管理设备规则设置无入侵防范（G3）三级要求对网络边界处的攻击行为进行记录并报警入侵防御设备（设备非模块）无恶意代码防范（G3）三级要求在网络边界处对恶意代码进行检测和清除。防病毒网关设备网络设备防护（G3）三级要求对主要网络设备用户使用至少两种技术进行身份鉴别，并对特权用户权限分离。堡垒主机（运维网关、安全管理平台）类设备对网络及安全设备的操作、配置、日志记录和监控等做出规定身份鉴别（S3）三级要求对不同主机用户进行区分识别终端安全类产品无终端数量：内网大概20，外网大概20，服务器数量：3网络现况：网通宽带50MB现有应用系统：新闻网采编发布系统数据备份：没有现有网络安全产品：防火墙1台（深信服）在互联网出口处；终端安全管理产品：没有终端及服务器使用操作系统：WinXP、win7、winsever2003、winsever2008操作系统补丁更新：服务器与内网终端没有更新过终端杀毒软件：服务器、内网终端未统一安装杀毒软件无线网络分布：部分覆盖，零散布设，没有相应的无线网络安全解决方案本次建议购置产品及功能：1)外网防火墙(对外网网络边界进行访问控制，基本的入侵防护的，考虑原有深信服防火墙进行相应规则配置实现，无需采购)2)WEB防火墙(对WEB服务器进行访问控制，网页防串改，基本的入侵防护等)3)终端企业版杀毒软件(服务器及终端主机的防病毒统一管理、可进行终端个体的漏洞扫描及补丁更新)4)终端安全产品(对终端的信息安全进行防护，后期可根据需求增加和调整功能模块)5)上网行为管理设备(对外网终端的上网行为进行监测，必要时进行管控)6)入侵防御设备(IPS)：网络边界处入侵防御7)重要服务器数据容灾备份8)日志审计管理设备(对日志记录进行审计，并对审计记录进行保护)后期三级等保可考虑增加设备：1)防病毒网关(多功能安全网关)：网络边界处2)入侵检测设备(IDS)：内网核心交换机处3)堡垒主机(运维网关、安全管理平台)：核心交换机处4)网闸(信息交换与隔离系统)：内外网边界处5)数据库审计(综合审计类产品)：核心交换机处6)VPN设备：如后期需要则考虑网络安全主机安全报社现状三级等保建议管理制度建设备注技术要求重点措施三级等保自检分析表第三级要求要求项访问控制（S3）三级要求对重要信息资源的操作进行记录并审计堡垒主机（运维网关、安全管理平台）类设备无安全审计（G3）三级要求对审计记录分析，生成审计报表，并防止审计进程的未预期中断终端安全类产品对服务器和数据库等的操作、配置、日志记录和监控等做出规定剩余信息保护（S3）三级要求对主机硬盘及内存上的剩余信息进行保护终端安全类产品入侵防范（G3）三级要求对入侵行为进行记录并报警终端安全类产品定期对操作系统进行统一补丁更新管理恶意代码防范（G3）三级要求主机恶意代码防范软件与边界恶意代码防范产品使用不同的恶意代码库（差异互补的原则）企业版杀毒软件与防病毒网关使用不同制造商产品对病毒防护系统的管理、使用和升级等做出规定资源控制（A3）三级要求对重要服务器的资源使用进行监视，对系统服务水平进行监控和报警堡垒主机（运维网关、安全管理平台）类设备对终端计算机的日常使用、软件安装，入网、维修、报废等做出规定身份鉴别（S3）三级要求使用至少两种技术来鉴别用户身份堡垒主机（运维网关、安全管理平台）类设备无访问控制（S3）三级要求对重要信息资源的操作进行记录堡垒主机（运维网关、安全管理平台）类设备无应用安全终端数量：内网大概20，外网大概20，服务器数量：3网络现况：网通宽带50MB现有应用系统：新闻网采编发布系统数据备份：没有现有网络安全产品：防火墙1台（深信服）在互联网出口处；终端安全管理产品：没有终端及服务器使用操作系统：WinXP、win7、winsever2003、winsever2008操作系统补丁更新：服务器与内网终端没有更新过终端杀毒软件：服务器、内网终端未统一安装杀毒软件无线网络分布：部分覆盖，零散布设，没有相应的无线网络安全解决方案本次建议购置产品及功能：1)外网防火墙(对外网网络边界进行访问控制，基本的入侵防护的，考虑原有深信服防火墙进行相应规则配置实现，无需采购)2)WEB防火墙(对WEB服务器进行访问控制，网页防串改，基本的入侵防护等)3)终端企业版杀毒软件(服务器及终端主机的防病毒统一管理、可进行终端个体的漏洞扫描及补丁更新)4)终端安全产品(对终端的信息安全进行防护，后期可根据需求增加和调整功能模块)5)上网行为管理设备(对外网终端的上网行为进行监测，必要时进行管控)6)入侵防御设备(IPS)：网络边界处入侵防御7)重要服务器数据容灾备份8)日志审计管理设备(对日志记录进行审计，并对审计记录进行保护)后期三级等保可考虑增加设备：1)防病毒网关(多功能安全网关)：网络边界处2)入侵检测设备(IDS)：内网核心交换机处3)堡垒主机(运维网关、安全管理平台)：核心交换机处4)网闸(信息交换与隔离系统)：内外网边界处5)数据库审计(综合审计类产品)：核心交换机处6)VPN设备：如后期需要则考虑主机安全报社现状三级等保建议管理制度建设备注技术要求重点措施三级等保自检分析表第三级要求要求项安全审计（G3）三级要求对审计记录分析，生成审计报表，并防止审计进程的未预期中断数据库审计、综合审计类产品无剩余信息保护（S3）三级要求对应用系统的剩余信息进行保护应用程序开发考虑通信完整性（S3）三级要求技术保证通信过程中数据的完整性应用程序通信保障，外部网络用户连接应用系统的考虑使用VPN加密通道技术,证书，加密SSl等方式无通信保密性（S3）三级要求技术保证通信过程中数据的保密性应用程序通信保障，外部网络用户连接应用系统的考虑使用VPN加密通道技术,证书，加密SSl等方式无抗抵赖（G3）二级要求能对应用系统的用户操作证据的功能堡垒主机（运维网关、安全管理平台）类设备软件容错（A3）三级要求应用系统提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复设备、系统灾备冗余无资源控制（A3）三级要求对应用系统的资源使用进行优先级分配系统资源服务器虚拟化技术等无应用安全终端数量：内网大概20，外网大概20，服务器数量：3网络现况：网通宽带50MB现有应用系统：新闻网采编发布系统数据备份：没有现有网络安全产品：防火墙1台（深信服）在互联网出口处；终端安全管理产品：没有终端及服务器使用操作系统：WinXP、win7、winsever2003、winsever2008操作系统补丁更新：服务器与内网终端没有更新过终端杀毒软件：服务器、内网终端未统一安装杀毒软件无线网络分布：部分覆盖，零散布设，没有相应的无线网络安全解决方案本次建议购置产品及功能：1)外网防火墙(对外网网络边界进行访问控制，基本的入侵防护的，考虑原有深信服防火墙进行相应规则配置实现，无需采购)2)WEB防火墙(对WEB服务器进行访问控制，网页防串改，基本的入侵防护等)3)终端企业版杀毒软件(服务器及终端主机的防病毒统一管理、可进行终端个体的漏洞扫描及补丁更新)4)终端安全产品(对终端的信息安全进行防护，后期可根据需求增加和调整功能模块)5)上网行为管理设备(对外网终端的上网行为进行监测，必要时进行管控)6)入侵防御设备(IPS)：网络边界处入侵防御7)重要服务器数据容灾备份8)日志审计管理设备(对日志记录进行审计，并对审计记录进行保护)后期三级等保可考虑增加设备：1)防病毒网关(多功能安全网关)：网络边界处2)入侵检测设备(IDS)：内网核心交换机处3)堡垒主机(运维网关、安全管理平台)：核心交换机处4)网闸(信息交换与隔离系统)：内外网边界处5)数据库审计(综合审计类产品)：核心交换机处6)VPN设备：如后期需要则考虑报社现状三级等保建议管理制度建设备注技术要求重点措施三级等保自检分析表第三级要求要求项数据完整性（S3）三级要求测到重要数据传输过程、存