網絡安全等級保護（第三級）（等保2.0）建設方案

網絡安全等級保護（第三級）（等保2.0）

建

設

方

案

等保三級（等保2.0）建設綜合解決方案2020年2月

目錄

第一章項目概述........................................4

1.1項目概述........................................4

1.2項目建設背景....................................4

1.2.1法律要求..................................5

1.2.2政策要求..................................7

1.3項目建設目標及內容..............................7

1.3.1項目建設目標..............................7

1.3.2建設內容..................................8

第二章現(xiàn)狀與差距分析..................................9

2.1現(xiàn)狀概述........................................9

2.1.1信息系統(tǒng)現(xiàn)狀..............................9

2.2現(xiàn)狀與差距分析.................................11

2.2.1物理安全現(xiàn)狀與差距分析...................11

2.2.2網絡安全現(xiàn)狀與差距分析...................19

2.2.3主機安全現(xiàn)狀與差距分析...................32

2.2.4應用安全現(xiàn)狀與差距分析...................44

2.2.5數(shù)據安全現(xiàn)狀與差距分析...................56

2.2.6安全管理現(xiàn)狀與差距分析...................59

2.3綜合整改建議...................................65

2.3.1技術措施綜合整改建議.....................65

2.3.2安全管理綜合整改建議.....................81

等保三級（等保2.0）建設綜合解決方案2020年2月

第三章安全建設目標...................................83

第四章安全整體規(guī)劃...................................85

4.1建設指導.......................................85

4.1.1指導原則.................................85

4.1.2安全防護體系設計整體架構................86

4.2安全技術規(guī)劃...................................88

4.2.1安全建設規(guī)劃拓樸圖......................88

4.2.2安全設備功能.............................89

4.3建設目標規(guī)劃...................................95

第五章工程建設.......................................98

5.1工程一期建設...................................98

5.1.1區(qū)域劃分.................................98

5.1.2網絡環(huán)境改造.............................99

5.1.3網絡邊界安全加固.......................99

5.1.4網絡及安全設備部署......................100

5.1.5安全管理體系建設服務....................135

5.1.6安全加固服務...........................153

5.1.7應急預案和應急演練.....................161

5.1.8安全等保認證協(xié)助服務....................161

5.2工程二期建設..................................162

5.2.1安全運維管理平臺（soc）................162

5.2.2APT高級威脅分析平臺....................166

等保三級（等保2.0）建設綜合解決方案2020年2月

等保三級（等保2.0）建設綜合解決方案2020年2月

第一章項目概述

1.1項目概述

某單位是人民政府的職能部門，貫徹執(zhí)行國家有關機關事務

工作的方針政策，擬訂省機關事務工作的政策、規(guī)劃和規(guī)章制度

并組織實施，負責省機關事務的管理、保障、服務工作。

在面對現(xiàn)在越來越嚴重的網絡安全態(tài)勢下，某單位積極響應

國家相關政策法規(guī)，積極開展信息安全等級保護建設。對自有網

絡安全態(tài)勢進行自我核查，補齊等保短板，履行安全保護義務。

項目目標：打造一個可信、可管、可控、可視的安全網絡環(huán)

境，更好的為機關各部門及領導者和公務人員提供工作和生活條

件，更好的保障各項行政活動正常進行。

1.2項目建設背景

機關后勤管理工作因為其政府內部服務的特殊性，一直比較

少地為社會公眾所關注或重視。機關后勤管理包括對物資、財

務、環(huán)境、生活以及各種服務項目在內的事務工作的管理，是行

政機關辦公室管理的重要一環(huán)，為機關各部門以及領導者和公務

人員提供工作和生活條件，是保障各項行政活動正常進行的物質

基礎。

隨著這幾年地區(qū)經濟的高速發(fā)展和政府行政職能分配管理的

需要，使機關事務管理工作的管理范圍和管理對象也相應的擴展

和增加，管理工作變得十分繁重。尤其是在新增的一些業(yè)務管理

4

等保三級（等保2.0）建設綜合解決方案2020年2月

工作方面，如對政府機關單位固定資產的管理、房屋出租、分配

的管理等，同時，隨著這幾年國家對資產管理的重視，信息化建

設從原來注重財務管理信息化逐漸向國有資產管理信息化發(fā)展，

作為機關事務管理的機構，正承擔著這樣一種責任和使命。同時

在面對現(xiàn)在不容樂觀的整體安全態(tài)勢環(huán)境下，開展機關事務管理

的信息化建設與信息安全建設，是整個社會和國家發(fā)展的必然趨

勢。

1.2.1法律要求

在2017年6月1日頒發(fā)的《中華人民共和國網絡安全法》中

明確規(guī)定了法律層面的網絡安全。具體如下：

“沒有網絡安全，就沒有國家安全”，《網絡安全法》第二

十一條明確規(guī)定“國家實行網絡安全等級保護制度”。各網絡運

營者應當按照要求，開展網絡安全等級保護的定級備案、等級測

評、安全建設、安全檢查等工作。除此之外，《網絡安全法》中

還從網絡運行安全、關鍵信息基礎設施運行安全、網絡信息安全

等對以下方面做了詳細規(guī)定：

網絡日志留存：第二十一條還規(guī)定，網絡運營者應當制定內

部安全管理制度和操作規(guī)程，確定網絡安全負責人，落實網絡安

全保護責任;采取防計算機病毒、網絡攻擊、網絡侵入等危害網絡

安全行為的技術措施;采取監(jiān)測、記錄網絡運行狀態(tài)、網絡安全事

件的技術措施，留存不少于六個月的相關網絡日志;采取數(shù)據分

類、重要數(shù)據備份和加密等措施。未履行上述網絡安全保護義務

等保三級（等保2.0）建設綜合解決方案2020年2月

的，會被依照此條款責令整改，拒不改正或者導致危害網絡安全

等后果的，處一萬元以上I萬元以下罰款，對直接負責的主管人

員處五千元以上五萬元以下罰款。

漏洞處置：第二十五條規(guī)定，網絡運營者應當制定網絡安全

事件應急預案，及時處置系統(tǒng)漏洞、計算機病毒、網絡攻擊、網

絡侵入等安全風險;在發(fā)生危害網絡安全的事件時，立即啟動應急

預案，采取相應的補救措施，并按照規(guī)定向有關主管部門報告。

沒有網絡安全事件應急預案的，沒有及時處置高危漏洞、網絡攻

擊的;在發(fā)生網絡安全事件時處置不恰當?shù)?，會被依照此條款責令

整改，拒不改正或者導致危害網絡安全等后果的，處一萬元以上

十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以

下罰款。

容災備份：第三十四條第三項規(guī)定，關鍵信息基礎設施單位

對重要系統(tǒng)和數(shù)據庫進行容災備份。沒有對重要系統(tǒng)和數(shù)據庫進

行容災備份的會被依照此條款責令改正。

應急演練：第三十四條第四項規(guī)定，關鍵信息基礎設施單位

應當制定網絡安全事件應急預案，并定期進行演練Q沒有網絡安

全事件預案的，或者沒有定期演練的，會被依照此條進行責令改

正。

安全檢測評估：第三十八條規(guī)定，關鍵信息基礎設施的運營

者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能

存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改

6

等保三級（等保2.0）建設綜合解決方案2020年2月

進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。每

年沒有進行安全檢測評估的單位要被責令改正。

1.2?2政策要求

為切實加強門戶網站安全管理和防護，保障網站安全穩(wěn)定運

行，國家非常重視，陸續(xù)頒布以下文件：《關于加強黨政機關網

站安全管理的通知》（中網辦發(fā)文（2014）1號）、《關于做好黨

政機關網站開辦審核、資格復核和網站標識管理工作的通知》

（中央編辦發(fā)（2014）69號），公安部、中央網信辦、中編辦、

工信部等四部門《關于印發(fā)〈黨政機關、事業(yè)單位和國有企業(yè)互

聯(lián)網網站安全專項整治行動方案〉的通知》（公信安（2015）

2562號）

1.3項目建設目標及內容

1.3.1項目建設目標

依據國家信息安全等級保護相關指導規(guī)范，對某單位信息系

統(tǒng)、基礎設施和骨干網絡按照等保三級進行安全建設規(guī)劃，對安

全建設進行統(tǒng)一規(guī)劃和設備選型，實現(xiàn)方案合理、組網簡單、擴

容靈活、標準統(tǒng)一、經濟適用的建設目標。

依據信息安全等級保護三級標準，按照“統(tǒng)一規(guī)劃、統(tǒng)一標

準、重點明確、合理建設”的基本原則，在物理安全、網絡安

全、主機安全、應用安全、數(shù)據安全等幾個方面進行安全規(guī)劃與

建設，確?！熬W絡建設合規(guī)、安全防護到位”。

7

等保三級（等保2.0）建設綜合解決方案2020年2月

方案目標是讓某單位的骨干網絡、相關應用系統(tǒng)達到安全等

級保護第三級要求。經過建設后使整體網絡形成一套完善的安全

防護體系，提升整體信息安全防護能力。

1.3.2建設內容

本項目以某單位骨干網絡、信息系統(tǒng)等級保護建設為主線，

以讓相關信息系統(tǒng)達到安全等級保護第三級要求。借助網絡產

品、安全產品、安全服務、管理制度等手段，建立全網的安全防

控管理服務體系，從而全面提高某單位的工作效率，提升信息化

運用水平。

建設內容包括某單位內網骨干網絡、基礎設施和信息系統(tǒng)

等。

8

等保三級（等保2.0）建設綜合解決方案2020年2月

第二章現(xiàn)狀與差距分析

2.1現(xiàn)狀概述

2.L1信息系統(tǒng)現(xiàn)狀

本次項目中某單位外網項目中涉及的設備有：

1）服務器24臺

2）網絡設備若干路由器、交換機、ap

3）安全設備有：1臺防火墻（過保）、WAF（過保）、2臺

ips（dmz區(qū)前IPS已過保）、上網行為管理（過保）、

防病毒網關、綠盟安全審計系統(tǒng)、360天擎終端殺毒

（只具有殺毒模塊）

4）存儲設備：火星艙容災備份

網絡系統(tǒng)現(xiàn)狀

某單位的網絡系統(tǒng)整體構架采用三層層次化模型網絡架構，

即由核心層、匯聚層和接入層組成。

網絡現(xiàn)狀：

核心層：核心層是網絡的高速交換主干，對整個網絡的連通

起到至關重要的作用。某單位內網核心，由1臺DPX安全業(yè)務網

關組成。

匯聚層：匯聚層是網絡接入層和核心層的“中介”，是在工

作站接入核心層前先做匯聚，以減輕核心層設備的負荷。某單位

等保三級（等保2.0）建設綜合解決方案2020年2月

內網中，由迪普和H3C交換機作為內網的有線匯聚和內網的無線

匯聚交換機。

接入層：接入層向本地網段提供工作站接入。某單位內網網

絡中，由各種品牌的交換機作為終端前端接入交換機，為各區(qū)域

提供接入。

在DPX核心交換機上劃分VLAN和網關，整體網絡中部署了防

病毒網關、IPS、UAG、DDK數(shù)據容災備份系統(tǒng)。0A系統(tǒng)連接至無

線匯聚交換機。其他各系統(tǒng)旁路至核心交換機上。

安全現(xiàn)狀：

在整體網絡中部署有相應的安全設備做安全防護，但部分安

全設備過保，整體網絡安全防護體系不夠完善、區(qū)域劃分不合

理，現(xiàn)狀拓撲圖如下：

圖表1現(xiàn)狀拓撲圖

2.1.1.2主機系統(tǒng)現(xiàn)狀

某單位的業(yè)務系統(tǒng)0A、文件交換箱等，部署于多臺服務器

上。服務器為機架式服務器和塔式服務器，固定于標準機柜與固

定位置，并進行標識區(qū)分。服務器操作系統(tǒng)全都采用微軟的

WindowsServer系列操作系統(tǒng)。

某單位辦公終端約為300臺，win7為主，XP系統(tǒng)占少數(shù)，主

機系統(tǒng)沒有進行過定期更新補丁，安裝有360天擎殺毒軟件

等保三級（等保2.0）建設綜合解決方案2020年2月

應用系統(tǒng)現(xiàn)狀

某單位的應用系統(tǒng)主要為以下業(yè)務系統(tǒng)：0A、文件交換箱

等。也包含一些其他的辦公軟件。

2.2現(xiàn)狀與差距分析

2.2?1物理安全現(xiàn)狀與差距分析

某單位機房建設過程中參照B級機房標準參考進行統(tǒng)一規(guī)

劃，存在的物理安全隱患較少。但仍需參照以下標準進行核查、

整改；根據信息安全等級保護（第三級）中對物理安全相關項

（防火、防雷、防水、防磁及電力供應等）存在些許差距。詳見

下表差距分析。

圖表2物理安全現(xiàn)狀

是否

要求指標項現(xiàn)狀分析備注

號符合

物理位置的選擇（G3）

本項要求包括：

a）機房和辦公

場地應選擇在具有符合

滿足

防震、防風和防雨要求

等能力的建筑內；

b）機房場地應符合

滿足

避免設在建筑物的要求

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項現(xiàn)狀分析備注

號符合

高層或地下室，以

及用水設備的下層

或隔壁。

物理訪問控制（G3）

本項要求包括：

a）機房出入口

應安排專人值守，不符無相關

不滿足

控制、鑒別和記錄合要求記錄

進入的人員；

b）需進入機房

有監(jiān)

的來訪人員應經過

不符控，但是沒

申請和審批流程，不滿足

合要求有申請和審

并限制和監(jiān)控其活

批流程

動范圍；

C）應對機房劃依據業(yè)務系

分區(qū)域進行管理，統(tǒng)進行了機柜間在重要

區(qū)域和區(qū)域之間設基本的區(qū)域區(qū)分，但區(qū)域前設置

置物理隔離裝置，符合要求未在重要區(qū)域前物理隔離裝

在重要區(qū)域前設置設置物理隔離裝置。

交付或安裝等過渡置。

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項現(xiàn)狀分析備注

號符合

區(qū)域；

d）重要區(qū)域

應配置電子門禁系

符合

統(tǒng)，控制、鑒別和基本滿足

要求

記錄進入的人員。

防盜竊和防破壞（G3）

本項要求包括：

a）應將主要設符合

滿足

備放置在機房內；要求

b）應將設備或

主要部件進行固符合

滿足

定，并設置明顯的要求

不易除去的標記；

C）應將通信線

有部分

纜鋪設在隱蔽處，不符

不滿足線纜架設在

可鋪設在地下或管合要求

半空中

道中；

d）應對介質分符合

滿足

類標識，存儲在介要求

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項現(xiàn)狀分析備注

號符合

質庫或檔案室中；

e）應利用光、

符合

電等技術設置機房滿足

要求

防盜報警系統(tǒng)；

f）應對機房設符合

滿足

置監(jiān)控報警系統(tǒng)。要求

防雷擊（G3）

本項要求包括：

a）機房建筑應符合

滿足

設置避雷裝置；要求

b）應設置防雷

符合

保安器，防止感應滿足

要求

雷；

C）機房應設置符合

滿足

交流電源地線。要求

防火（G3）

本項要求包括：

a）機房應設置

基本安裝有氣體

火災自動消防系

符合要求滅火裝置

統(tǒng)，能夠自動檢測

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項現(xiàn)狀分析備注

號符合

火情、自動報警，

并自動滅火；

b）機房及相關

的工作房間和輔助符合

滿足

房應采用具有耐火要求

等級的建筑材料；

C）機房應采取

區(qū)域隔離防火措不符

不滿足

施，將重要設備與合要求

其他設備隔離開。

防水和防潮（G3）

本項要求包括：

a）水管安裝，

符合

不得穿過機房屋頂滿足

要求

和活動地板下；

b）應采取措施

防止雨水通過機房符合

滿足

窗戶、屋頂和墻壁要求

滲透；

c）應采取措施符合滿足

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項現(xiàn)狀分析備注

號符合

防止機房內水蒸氣要求

結露和地下積水的

轉移與滲透；

d）應安裝對水

敏感的檢測儀表或符合

滿足

組件，對機房進行要求

防水檢測和報警。

防靜電（G3）

本項要求包括：

a）主要設備應

符合

采用必要的接地防滿足

要求

靜電措施；

b）機房應采用符合

滿足

防靜電地板。要求

溫濕度控制（G3）

本項要求包括：

機房應設置安裝有動力

溫、濕度自動調節(jié)符合環(huán)境監(jiān)控系統(tǒng)，

設施，使機房溫、要求建議機房日常溫

濕度的變化在設備度控制在10?

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項現(xiàn)狀分析備注

號符合

運行所允許的范圍28℃,濕度30?

之內。70%o

電力供應（A3）

本項要求包括：

a）應在機房供

電線路上配置穩(wěn)壓基本

滿足

器和過電壓防護設符合要求

備；

設置UPS電

b）應提供短期

池供電，并至少

的備用電力供應，

符合保證斷電時主要

至少滿足主要設備

要求設備在滿負荷情

在斷電情況下的

況下4小時的正

正常運行要求；

常運行。

c）應設置冗余

只有一條出增加線

或并行的電力電纜不符

口線，極容易出纜，做到冗

線路為計算機系統(tǒng)合要求

現(xiàn)單點故障余

供電；

d）應建立備用符合

滿足

供電系統(tǒng)。要求

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項現(xiàn)狀分析備注

號符合

電磁防護（S3）

本項要求包括：

a）應采用接地

方式防止外界電磁符合

滿足

干擾和設備寄生耦要求

介干擾；

b）電源線和通

0

信線纜應隔離鋪符合

滿足

設，避免互相干要求

擾；

C）應對關鍵設

符合

備和磁介質實施電滿足

要求

磁屏蔽。

等保三級（等保2.0）建設綜合解決方案2020年2月

2.2.2網絡安全現(xiàn)狀與差距分析

由于某單位前期口經行相關安全建設，仍有相關安全防護建

設不到位，主要表現(xiàn)出以下問題點：

1.網絡結構基本清晰，但細節(jié)規(guī)劃不合理；

2.新增移動接入鏈路，

3.面對日益突增的網絡安全事件缺乏有效防御手段及應急機

制；

4.骨干網絡架構規(guī)劃不合理，核心交換區(qū)無冗余，安全防護

區(qū)域劃分不明晰，不能對不同區(qū)域間防護措施、技術手段

進行統(tǒng)一規(guī)劃，不同區(qū)域對惡意攻擊的防范能力不一。

詳見下表差距分析：

圖表3網絡安全現(xiàn)狀

是否

要求指標項差距分析備注

號符合

結構安全（G3）

本項要求包括：

a）應保證主域網核心

要網絡設備的業(yè)交換設備均采域網核心設

不符

務處理能力具備用單鏈路、單備至少有二臺，

合要求

冗余空間，滿足設備，無冗余采用多鏈路

業(yè)務高峰期需空間，一旦出

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項差距分析備注

號符合

要；現(xiàn)設備故障則

會出現(xiàn)單點故

障，無法有效

保障對外開放

的業(yè)務安全穩(wěn)

定的運行。

b）應保證網

絡各個部分的帶符合

滿足

寬滿足業(yè)務高峰要求

期需要；

C）應在業(yè)務

終端與業(yè)務服務

符合

器之間進行路由滿足

要求

控制建立安全的

訪問路徑；

d）應繪制與

我們會在工

當前運行情況相不符暫無拓撲

程結束后重新繪

符的網絡拓撲結合要求圖

制網絡拓撲圖。

構圖；

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項差距分析備注

號符合

e）應根據各

部門的工作職

整體網絡結

能、重要性和所

構中已按照需求

涉及信息的重要

進行子網劃分。

程度等因素，劃

基本但使用中存在混

分不同的子網或

符合要求舌L,沒有按規(guī)定

網段，并按照方

使用。待本次項

便管理和控制的

目建設進行梳

原則為各子網、

理、嚴格限制

網段分配地址

段；

f）應避免將

重要網段部署在

網絡邊界處且直

接連接外部信息基本

滿足

系統(tǒng)，重要網段符合要求

與其他網段之間

采取可靠的技術

隔離手段；

訪問控制（G3）

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項差距分析備注

號符合

本項要求包括：

僅在dmz

建議在互聯(lián)

a）應在網絡區(qū)部署防火墻

網出口與服務器

邊界部署訪問控不符且防火墻已過

區(qū)前部署防火墻

制設備，啟用訪合要求保，其他區(qū)域

進邊界隔離與訪

問控制功能；未部署訪問控

問控制

制設備

b）應能根據

會話狀態(tài)信息為

數(shù)據流提供明確符合

滿足

的允許/拒絕訪問要求

的能力，控制粒

度為端口級；

c）應對進出

網絡的信息內容

進行過濾，實現(xiàn)

符合

對應用層HTTP、滿足

要求

FTP、TELNET、

SMTP、POP3等協(xié)

議命令級的控

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項差距分析備注

號符合

制；

d）應在會話

處于非活躍一定

符合

時間或會話結束滿足

要求

后終止網絡連

接；

未部署流

量控制設備，

無法根據所承

載的業(yè)務和帶

e）應限制網

不符寬的實際情況部署上網行

絡最大流量數(shù)及

合要求確定網絡最大為管理及流控

網絡連接數(shù)；

流量數(shù)和網絡

連接數(shù)并進行

管理。

未部署訪實現(xiàn)重要網

f）重要網段

不符問控制設備的段地址進行有效

應采取技術手段

合要求區(qū)域無法采用保護防止地址欺

防止地址欺騙；

包過濾或傳輸騙。

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項差距分析備注

號符合

控制協(xié)議，進

行邊界訪問控

制,防止地址

欺騙，應對網

絡中的廣播、

組播進行必要

的控制。

沒有在服

g）應按用戶

務器區(qū)前和網

和系統(tǒng)之間的允

絡出口設置防

許訪問規(guī)則，決新增2臺防

火墻、認證網

定允許或拒絕用不符火墻實現(xiàn)不同安

關或授權管理

戶對受控系統(tǒng)進合要求全域之間的訪問

系統(tǒng)，可對單

行資源訪問，控控制

個用戶的訪問

制粒度為單個用

進行策略控

戶；

制。

h）應限制具

不符

有撥號訪問權限不涉及

合要求

的用戶數(shù)量。

安全審計（G3）

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項差距分析備注

號符合

本項要求包括：

有上網行

為管理設備

（過保），但

是并沒有辦法

對網絡設備運部署綜合日

行狀況日志記志審計系統(tǒng)可對

錄，而部署綜來自不同廠商的

a）應對網絡

合安全日志審安全設備、網絡

系統(tǒng)中的網絡設

計系統(tǒng)可對來設備、主機、操

備運行狀況、網不符

自不同廠商的作系統(tǒng)、數(shù)據庫

絡流量、用戶行合要求

安全設備、網系統(tǒng)、用戶業(yè)務

為等進行日志記

絡設備、主系統(tǒng)的日志、警

錄；

機、操作系報等信息匯集到

統(tǒng)、數(shù)據庫系審計中心,實現(xiàn)

統(tǒng)、用戶業(yè)務綜合安全審計。

系統(tǒng)的日志、

警報等信息匯

集到審計中

心，實現(xiàn)綜合

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項差距分析備注

號符合

安全審計。

b）審計記錄

應包括：事件的

日期和時間、用

符合

戶、事件類型、滿足

要求

事件是否成功及

其他與審計相關

的信息；

c）應能夠根

據記錄數(shù)據進行不符部署日志審

不滿足

分析，并生成審合要求計系統(tǒng)

計報表；

d）應對審計

記錄進行保護，安全審計口

符合

避免受到未預期滿足志記錄要求保存

要求

的刪除、修改或至少半年以上。

覆蓋等。

邊界完整性檢查（S3）

本項要求包括:

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項差距分析備注

號符合

a）應能夠對

非授權設備私自

可通終端

聯(lián)到內部網絡的可采用終端

不符管理系統(tǒng)或ARP

行為進行檢查，管理系統(tǒng)等手段

合要求綁定技術手段

準確定出位置，進行管理控制

實現(xiàn)

并對其進行有效

阻斷；

b）應能夠對

內部網絡用戶私

自聯(lián)到外部網絡

可采用終端

的行為進行檢不符

管理系統(tǒng)等手段

查，準確定出位合要求

進行管理控制

置，并對其進行

有效阻斷。

入侵防范（G3）

本項要求包括：

a）應在網絡出口處部

基本

邊界處監(jiān)視以下署有IPS入侵

符合要求

攻擊行為：端口防御

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項差距分析備注

號符合

掃描、強力攻

擊、木馬后門攻

擊、拒絕服務攻

擊、緩沖區(qū)溢出

攻擊、IP碎片攻

擊和網絡蠕蟲攻

擊等；

b）當檢測到

攻擊行為時，記

錄攻擊源IP、攻

落實安全

擊類型、攻擊目基本

審計系統(tǒng)報警

的、攻擊時間，符合要求

功能。

在發(fā)生嚴重入侵

事件時應提供報

警

惡意代碼防范（G3）

本項要求包括：

a）應在網絡

符合

邊界處對惡意代滿足

要求

碼進行檢測和清

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項差距分析備注

號符合

除；

b）應維護惡

意代碼庫的升級符合

和檢測系統(tǒng)的更要求

新。

網絡試洛防護（G3）

本項要求包括：

沒有指定可以指定專

專人進行維人維護網絡設

a）應對登錄護。通過密碼備，并通過用戶

不符

網絡設備的用戶和用戶名進行名和密碼進行

合要求

進行身份鑒別；身份鑒別，同身份鑒別，同時

時也沒有部署也可以部署堡壘

堡壘主機。主機

b）應對網絡增添堡壘機

對管理員

設備的管理員登不符設備，這樣可以

登陸地址沒有

錄地址進行限合要求有效對遠程用戶

限制。

制；進行管理。

c）網絡設備不符網絡設備重新對設備

用戶的標識應唯合要求沒有唯一的標進行標示。

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項差距分析備注

號符合

—*■

主要網絡

d）主要網絡

設備未對同一

設備應對同一用

用戶選擇兩種

戶選擇兩種或兩不符

或兩種以上組增設堡壘機

種以上組合的鑒合要求

合的鑒別技術

別技術來進行身

來進行身份鑒

份鑒別；

別；

e）身份鑒別

用戶口令應

信息應具有不易

密碼沒有12位以上，數(shù)字

被冒用的特點，不符

定期更換，復和字母組成，至

口令應有復雜度合要求

雜度不夠少3個月更換一

要求并定期更

次。

換；

f）應具有登

當一次登

錄失敗處理功

錄密碼錯誤次

能，可采取結束符合

數(shù)超過6次，

會話、限制非法要求

應能自動關閉

登錄次數(shù)和當網

并告警。

絡登錄連接超時

等保三級（等保2.0）建設綜合解決方案2020年2月

是否

要求指標項差距分析備注

號符合

自動退出等措

施；

g）當對網絡

設備進行遠程管傳輸中進

理時，應采取必不符行加密，可以

要措施防止鑒別合要求使用IPsecVPN

信息在網絡傳輸技術

過程中被竊聽；

網絡管理

員、系統(tǒng)管理

員和安全審計

h）應實現(xiàn)設

不符員分開，并按部署堡壘機

備特權用戶的權

合要求職責分工限制控制用戶權限

限分離。

各自權限，但

無技術手段控

制。

等保三級（等保2.0）建設綜合解決方案2020年2月

2.2.3主機安全現(xiàn)狀與差距分析

某單位內網主機終端已部署終端殺毒軟件。

終端主機安全現(xiàn)狀差距分析，如下：

圖表4主機安全現(xiàn)狀

是否

要求指標項差距分析備注

號符合

身份鑒別（S3）

本項要求包括：

沒有嚴格

通過賬號密

a）應對登錄

碼限制操作

操作系統(tǒng)和數(shù)據

基本符系統(tǒng)和數(shù)據

庫系統(tǒng)的用戶進

合要求庫系統(tǒng)的用

行身份標識和鑒

戶登陸，進

別；

行身份標識

和鑒別；

b）操作系統(tǒng)系統(tǒng)管理員

和數(shù)據庫系統(tǒng)管的登錄身份標識

不符合

理用戶身份標識不滿足唯一，口令12

要求

應具有不易被冒位以上，且數(shù)字

用的特點，口令和字母大小寫組

等保三級（等保2.0）建設綜合解決方案2020年2月