一、等保2.0 三級(jí)信息系統(tǒng) 70-80 分套餐：

1、等保2.0 三級(jí)信息系統(tǒng) 70-80分 拓?fù)鋱D：

2、設(shè)備清單：下一代防火墻（含IPS、AV）+綜合日志審計(jì)系統(tǒng)+堡壘機(jī)+數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)+殺毒軟件。

其他參考方案：

• 【接入邊界NGFW】【必配】：融合防火墻安全策略、訪問(wèn)控制功能。解決安全區(qū)域邊界要求，并開(kāi)啟AV模塊功能；配置網(wǎng)絡(luò)接入控制功能（802.1X）；配置SSL VPN功能；

• 【分區(qū)邊界NGFW 】【必配】：用于解決安全分區(qū)邊界的訪問(wèn)控制問(wèn)題；

• 【主機(jī)殺毒軟件】【必配】：解決安全計(jì)算環(huán)境要求；

• 【日志審計(jì)系統(tǒng)】【必配】：解決安全管理中心要求；

• 【堡壘機(jī)】【必配】：解決集中管控、安全審計(jì)要求；

• 【數(shù)據(jù)庫(kù)審計(jì)】【必選】：解決數(shù)據(jù)庫(kù)操作行為和內(nèi)容等進(jìn)行細(xì)粒度的審計(jì)和管理，需要根據(jù)系統(tǒng)內(nèi)是否包含數(shù)據(jù)庫(kù)業(yè)務(wù)系統(tǒng)選擇；

• 【漏洞掃描】【必配】;

• 【上網(wǎng)行為管理】【必選】；

• 【W(wǎng)AF】【選配】。

  
  

3、詳解:

       第三級(jí)要求與第二級(jí)相比，主要區(qū)別在于多了關(guān)鍵設(shè)備及鏈路需要冗余、對(duì)重要區(qū)域重點(diǎn)保護(hù)需要防入侵防病毒、對(duì)遠(yuǎn)程訪問(wèn)及互聯(lián)網(wǎng)用戶(hù)的上網(wǎng)行為進(jìn)行審計(jì)、運(yùn)維人員的所有操作審計(jì)、對(duì)數(shù)據(jù)庫(kù)的所有操作審計(jì)等要求，所以在應(yīng)用服務(wù)器邊界部署一組下一代防火墻、在互聯(lián)網(wǎng)出口部署一臺(tái)防火墻和上網(wǎng)行為管理用作內(nèi)外網(wǎng)隔離及應(yīng)用級(jí)的管控與審計(jì)，在安全管理區(qū)部署堡壘機(jī)和數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì)各方面的操作進(jìn)行審計(jì)并保護(hù)審計(jì)日志，滿足網(wǎng)絡(luò)安全法的存儲(chǔ)時(shí)間要求。，如果有互聯(lián)網(wǎng)發(fā)布系統(tǒng)還需增加web防火墻來(lái)對(duì)系統(tǒng)進(jìn)行防入侵、防篡改，在應(yīng)用系統(tǒng)遠(yuǎn)程管理傳輸時(shí)還需使用HTTPS協(xié)議保護(hù)數(shù)據(jù)的完整性和保密性，總之涉及互聯(lián)網(wǎng)系統(tǒng)或需求的就需增加WEB應(yīng)用防火墻、上網(wǎng)行為管理和HTTPS來(lái)保證系統(tǒng)的安全。

二、等保2.0 三級(jí)信息系統(tǒng) 80-90分 套餐：

1、等保2.0 三級(jí)信息系統(tǒng) 80-90分 拓?fù)鋱D：

2、設(shè)備清單：下一代防火墻（含IPS、AV）+綜合日志審計(jì)系統(tǒng)+堡壘機(jī)+數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)+殺毒軟件+數(shù)據(jù)備份系統(tǒng)+網(wǎng)絡(luò)準(zhǔn)入+VPN+入侵檢測(cè)+漏洞掃描系統(tǒng)+HTTPS。

其他參考方案：

• 【NGFW】（必選）；開(kāi)啟VPN，AV特性；

• 【IPS】（必選）；解決區(qū)域邊界入侵防御；

• 【Anti-DDoS】【必選】;

• 【APT沙箱】【必選】：新型網(wǎng)絡(luò)攻擊行為

• 【上網(wǎng)行為管理】【必選】；

• 【日志審計(jì)系統(tǒng)】（必選）；

• 【數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)】（必選）；

• 【漏洞掃描】（必選）；

• 【主機(jī)殺毒軟件】（必選）；

• 【態(tài)勢(shì)感知】【必選】;

• 【W(wǎng)AF應(yīng)用防火墻】【必選】；

• 【運(yùn)維堡壘機(jī)】【必選】；

• 【網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)】【必選】；

• 【認(rèn)證服務(wù)器】【必選】；

• 【網(wǎng)頁(yè)防篡改】【可選】；

• 【主機(jī)入侵防御HIPS】【可選】；

• 【DLP數(shù)據(jù)防泄漏】【可選】；

• 【IAM身份鑒別平臺(tái)】【可選】；

• 【態(tài)勢(shì)感知探針】【可選】：可復(fù)用NGFW的能力

3、詳解

     在70-80分套餐上增加一套數(shù)據(jù)備份系統(tǒng)用于實(shí)時(shí)自動(dòng)備份，在網(wǎng)絡(luò)部署一套網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)對(duì)業(yè)務(wù)終端、服務(wù)器做接入限制，配合準(zhǔn)入客戶(hù)端還可對(duì)違規(guī)內(nèi)、外聯(lián)進(jìn)行管控審計(jì)，為了讓遠(yuǎn)程運(yùn)維人員能夠安全的接入到內(nèi)部網(wǎng)絡(luò)進(jìn)行運(yùn)維，架設(shè)一臺(tái)VPN設(shè)備對(duì)傳輸通道進(jìn)行加密保護(hù)鑒別數(shù)據(jù)的完整性和保密性，安全管理中心部署一臺(tái)IDS設(shè)備，對(duì)所有經(jīng)過(guò)核心交換機(jī)的流量進(jìn)行檢測(cè)，保證內(nèi)網(wǎng)的發(fā)起的網(wǎng)絡(luò)攻擊能夠被檢測(cè)阻斷，安全漏洞掃描系統(tǒng)定期對(duì)內(nèi)部網(wǎng)絡(luò)的服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備等進(jìn)行安全漏洞掃描，以及時(shí)發(fā)現(xiàn)問(wèn)題并修復(fù)。

三、等保2.0 三級(jí)信息系統(tǒng) 90分以上 套餐：

1、等保2.0 三級(jí)信息系統(tǒng)90分以上拓?fù)鋱D：

2、設(shè)備清單：下一代防火墻（含IPS、AV）+綜合日志審計(jì)系統(tǒng)+堡壘機(jī)+數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)+殺毒軟件+數(shù)據(jù)備份系統(tǒng)+網(wǎng)絡(luò)準(zhǔn)入+VPN+入侵檢測(cè)+漏洞掃描系統(tǒng)+HTTPS+負(fù)載均衡+防火墻+安全隔離網(wǎng)閘+APT+蜜罐+CA認(rèn)證系統(tǒng)+態(tài)勢(shì)感知平臺(tái)+云安全防護(hù)平臺(tái)。

其他參考方案：

• 【NGFW】（必選）；開(kāi)啟VPN，AV特性；

• 【IPS】（必選）；解決區(qū)域邊界入侵防御；

• 【Anti-DDoS】【必選】;

• 【APT沙箱】【必選】：新型網(wǎng)絡(luò)攻擊行為

• 【上網(wǎng)行為管理】【必選】；

• 【日志審計(jì)系統(tǒng)】（必選）；

• 【數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)】（必選）；

• 【漏洞掃描】（必選）；

• 【主機(jī)殺毒軟件】（必選）；

• 【態(tài)勢(shì)感知】【必選】;

• 【W(wǎng)AF應(yīng)用防火墻】【必選】；

• 【運(yùn)維堡壘機(jī)】【必選】；

• 【網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)】【必選】；

• 【認(rèn)證服務(wù)器】【必選】；

• 【網(wǎng)頁(yè)防篡改】【可選】；

• 【主機(jī)入侵防御HIPS】【可選】；

• 【DLP數(shù)據(jù)防泄漏】【可選】；

• 【IAM身份鑒別平臺(tái)】【可選】；

• 【態(tài)勢(shì)感知探針】【可選】：可復(fù)用NGFW的能力

多網(wǎng)架構(gòu)，內(nèi)網(wǎng)和外網(wǎng)物理隔離，通過(guò)網(wǎng)閘互通，其余規(guī)劃同上。

注：內(nèi)網(wǎng)安全要求比外網(wǎng)高，故安全規(guī)劃考慮更完善。

3、詳解

       在互聯(lián)網(wǎng)出口的增加一臺(tái)防火墻保證出口防火墻的高可用性，在ISP運(yùn)營(yíng)商接入處部署一臺(tái)負(fù)載均衡用于鏈路負(fù)載，保證鏈路的高可用性，在DMZ區(qū)部署一臺(tái)網(wǎng)閘用于內(nèi)部數(shù)據(jù)的擺渡及白名單訪問(wèn)控制，在核心交換機(jī)旁路部署一臺(tái)APT或威脅情報(bào)分析系統(tǒng)來(lái)替換傳統(tǒng)的入侵檢測(cè)系統(tǒng)，對(duì)新型的網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和分析攻擊者的路徑、來(lái)源和身份等信息；安全管理區(qū)部署蜜罐系統(tǒng)將出口流量引至該系統(tǒng)中來(lái)虛擬應(yīng)用環(huán)境誘捕攻擊者、鎖定攻擊路徑固定證據(jù)，此系統(tǒng)在每年的專(zhuān)項(xiàng)行動(dòng)和HW行動(dòng)中可以發(fā)揮出最大效益，部署CA認(rèn)證系統(tǒng)對(duì)內(nèi)部人員的賬戶(hù)、證書(shū)統(tǒng)一管理實(shí)現(xiàn)強(qiáng)身份認(rèn)證，同時(shí)還滿足雙因素認(rèn)證要求，態(tài)勢(shì)感知平臺(tái)將所有設(shè)備日志匯總到平臺(tái)進(jìn)行匯總，利用計(jì)算模型、搜索引擎和大數(shù)據(jù)算法等技術(shù)手段分析出網(wǎng)絡(luò)安全威脅，進(jìn)而提前發(fā)現(xiàn)即將發(fā)生的安全事件進(jìn)行預(yù)警，當(dāng)然還有一個(gè)關(guān)鍵點(diǎn)是可以統(tǒng)一風(fēng)險(xiǎn)展示，界面酷炫，可視化高，同時(shí)我們的數(shù)據(jù)安全才是重中之重，數(shù)據(jù)是一個(gè)企業(yè)的核心資產(chǎn)、是命脈，但是最大的安全威脅往往來(lái)自?xún)?nèi)部，所以在預(yù)算充足的情況還建議部署一臺(tái)數(shù)據(jù)防泄露系統(tǒng)（DLP）來(lái)對(duì)所有流經(jīng)出去的核心數(shù)據(jù)做標(biāo)記、做策略來(lái)限制數(shù)據(jù)被非法轉(zhuǎn)移、刪除、拖庫(kù)等行為，最大程度的保證數(shù)據(jù)的安全，也能滿足正在起草的數(shù)據(jù)安全法中的一些基本要求。

最后在這里啰嗦一下，以往大家都是購(gòu)買(mǎi)一堆設(shè)備部署到網(wǎng)絡(luò)中，各種設(shè)備只是在運(yùn)行然而并沒(méi)有很好的或是最大化利用起來(lái)，導(dǎo)致設(shè)備的資源浪費(fèi)沒(méi)有產(chǎn)生效果達(dá)不到企業(yè)的預(yù)期，所以在有的單位領(lǐng)導(dǎo)眼里安全就是看不見(jiàn)，摸不著的東西，產(chǎn)生不了效益，其實(shí)最根本原因還是網(wǎng)絡(luò)安全人才的缺乏，沒(méi)有專(zhuān)業(yè)的人員跟蹤、維護(hù)、分析及配置策略，在這種情況下企業(yè)還是要從采購(gòu)傳統(tǒng)設(shè)備向采購(gòu)安全服務(wù)及產(chǎn)品化服務(wù)的觀念進(jìn)行轉(zhuǎn)變，才能應(yīng)對(duì)當(dāng)下網(wǎng)絡(luò)安全激流勇進(jìn)的形勢(shì)，滿足企業(yè)的網(wǎng)絡(luò)安全需求。