一、等保2.0 三級信息系統(tǒng) 70-80 分套餐：

1、等保2.0 三級信息系統(tǒng) 70-80分 拓?fù)鋱D：

2、設(shè)備清單：下一代防火墻（含IPS、AV）+綜合日志審計系統(tǒng)+堡壘機+數(shù)據(jù)庫審計系統(tǒng)+殺毒軟件。

其他參考方案：

• 【接入邊界NGFW】【必配】：融合防火墻安全策略、訪問控制功能。解決安全區(qū)域邊界要求，并開啟AV模塊功能；配置網(wǎng)絡(luò)接入控制功能（802.1X）；配置SSL VPN功能；

• 【分區(qū)邊界NGFW 】【必配】：用于解決安全分區(qū)邊界的訪問控制問題；

• 【主機殺毒軟件】【必配】：解決安全計算環(huán)境要求；

• 【日志審計系統(tǒng)】【必配】：解決安全管理中心要求；

• 【堡壘機】【必配】：解決集中管控、安全審計要求；

• 【數(shù)據(jù)庫審計】【必選】：解決數(shù)據(jù)庫操作行為和內(nèi)容等進行細(xì)粒度的審計和管理，需要根據(jù)系統(tǒng)內(nèi)是否包含數(shù)據(jù)庫業(yè)務(wù)系統(tǒng)選擇；

• 【漏洞掃描】【必配】;

• 【上網(wǎng)行為管理】【必選】；

• 【W(wǎng)AF】【選配】。

  
  

3、詳解:

       第三級要求與第二級相比，主要區(qū)別在于多了關(guān)鍵設(shè)備及鏈路需要冗余、對重要區(qū)域重點保護需要防入侵防病毒、對遠(yuǎn)程訪問及互聯(lián)網(wǎng)用戶的上網(wǎng)行為進行審計、運維人員的所有操作審計、對數(shù)據(jù)庫的所有操作審計等要求，所以在應(yīng)用服務(wù)器邊界部署一組下一代防火墻、在互聯(lián)網(wǎng)出口部署一臺防火墻和上網(wǎng)行為管理用作內(nèi)外網(wǎng)隔離及應(yīng)用級的管控與審計，在安全管理區(qū)部署堡壘機和數(shù)據(jù)庫審計系統(tǒng)對各方面的操作進行審計并保護審計日志，滿足網(wǎng)絡(luò)安全法的存儲時間要求。，如果有互聯(lián)網(wǎng)發(fā)布系統(tǒng)還需增加web防火墻來對系統(tǒng)進行防入侵、防篡改，在應(yīng)用系統(tǒng)遠(yuǎn)程管理傳輸時還需使用HTTPS協(xié)議保護數(shù)據(jù)的完整性和保密性，總之涉及互聯(lián)網(wǎng)系統(tǒng)或需求的就需增加WEB應(yīng)用防火墻、上網(wǎng)行為管理和HTTPS來保證系統(tǒng)的安全。

二、等保2.0 三級信息系統(tǒng) 80-90分 套餐：

1、等保2.0 三級信息系統(tǒng) 80-90分 拓?fù)鋱D：

2、設(shè)備清單：下一代防火墻（含IPS、AV）+綜合日志審計系統(tǒng)+堡壘機+數(shù)據(jù)庫審計系統(tǒng)+殺毒軟件+數(shù)據(jù)備份系統(tǒng)+網(wǎng)絡(luò)準(zhǔn)入+VPN+入侵檢測+漏洞掃描系統(tǒng)+HTTPS。

其他參考方案：

• 【NGFW】（必選）；開啟VPN，AV特性；

• 【IPS】（必選）；解決區(qū)域邊界入侵防御；

• 【Anti-DDoS】【必選】;

• 【APT沙箱】【必選】：新型網(wǎng)絡(luò)攻擊行為

• 【上網(wǎng)行為管理】【必選】；

• 【日志審計系統(tǒng)】（必選）；

• 【數(shù)據(jù)庫審計系統(tǒng)】（必選）；

• 【漏洞掃描】（必選）；

• 【主機殺毒軟件】（必選）；

• 【態(tài)勢感知】【必選】;

• 【W(wǎng)AF應(yīng)用防火墻】【必選】；

• 【運維堡壘機】【必選】；

• 【網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)】【必選】；

• 【認(rèn)證服務(wù)器】【必選】；

• 【網(wǎng)頁防篡改】【可選】；

• 【主機入侵防御HIPS】【可選】；

• 【DLP數(shù)據(jù)防泄漏】【可選】；

• 【IAM身份鑒別平臺】【可選】；

• 【態(tài)勢感知探針】【可選】：可復(fù)用NGFW的能力

3、詳解

     在70-80分套餐上增加一套數(shù)據(jù)備份系統(tǒng)用于實時自動備份，在網(wǎng)絡(luò)部署一套網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)對業(yè)務(wù)終端、服務(wù)器做接入限制，配合準(zhǔn)入客戶端還可對違規(guī)內(nèi)、外聯(lián)進行管控審計，為了讓遠(yuǎn)程運維人員能夠安全的接入到內(nèi)部網(wǎng)絡(luò)進行運維，架設(shè)一臺VPN設(shè)備對傳輸通道進行加密保護鑒別數(shù)據(jù)的完整性和保密性，安全管理中心部署一臺IDS設(shè)備，對所有經(jīng)過核心交換機的流量進行檢測，保證內(nèi)網(wǎng)的發(fā)起的網(wǎng)絡(luò)攻擊能夠被檢測阻斷，安全漏洞掃描系統(tǒng)定期對內(nèi)部網(wǎng)絡(luò)的服務(wù)器、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備等進行安全漏洞掃描，以及時發(fā)現(xiàn)問題并修復(fù)。

三、等保2.0 三級信息系統(tǒng) 90分以上 套餐：

1、等保2.0 三級信息系統(tǒng)90分以上拓?fù)鋱D：

2、設(shè)備清單：下一代防火墻（含IPS、AV）+綜合日志審計系統(tǒng)+堡壘機+數(shù)據(jù)庫審計系統(tǒng)+殺毒軟件+數(shù)據(jù)備份系統(tǒng)+網(wǎng)絡(luò)準(zhǔn)入+VPN+入侵檢測+漏洞掃描系統(tǒng)+HTTPS+負(fù)載均衡+防火墻+安全隔離網(wǎng)閘+APT+蜜罐+CA認(rèn)證系統(tǒng)+態(tài)勢感知平臺+云安全防護平臺。

其他參考方案：

• 【NGFW】（必選）；開啟VPN，AV特性；

• 【IPS】（必選）；解決區(qū)域邊界入侵防御；

• 【Anti-DDoS】【必選】;

• 【APT沙箱】【必選】：新型網(wǎng)絡(luò)攻擊行為

• 【上網(wǎng)行為管理】【必選】；

• 【日志審計系統(tǒng)】（必選）；

• 【數(shù)據(jù)庫審計系統(tǒng)】（必選）；

• 【漏洞掃描】（必選）；

• 【主機殺毒軟件】（必選）；

• 【態(tài)勢感知】【必選】;

• 【W(wǎng)AF應(yīng)用防火墻】【必選】；

• 【運維堡壘機】【必選】；

• 【網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)】【必選】；

• 【認(rèn)證服務(wù)器】【必選】；

• 【網(wǎng)頁防篡改】【可選】；

• 【主機入侵防御HIPS】【可選】；

• 【DLP數(shù)據(jù)防泄漏】【可選】；

• 【IAM身份鑒別平臺】【可選】；

• 【態(tài)勢感知探針】【可選】：可復(fù)用NGFW的能力

多網(wǎng)架構(gòu)，內(nèi)網(wǎng)和外網(wǎng)物理隔離，通過網(wǎng)閘互通，其余規(guī)劃同上。

注：內(nèi)網(wǎng)安全要求比外網(wǎng)高，故安全規(guī)劃考慮更完善。

3、詳解

       在互聯(lián)網(wǎng)出口的增加一臺防火墻保證出口防火墻的高可用性，在ISP運營商接入處部署一臺負(fù)載均衡用于鏈路負(fù)載，保證鏈路的高可用性，在DMZ區(qū)部署一臺網(wǎng)閘用于內(nèi)部數(shù)據(jù)的擺渡及白名單訪問控制，在核心交換機旁路部署一臺APT或威脅情報分析系統(tǒng)來替換傳統(tǒng)的入侵檢測系統(tǒng)，對新型的網(wǎng)絡(luò)攻擊進行檢測和分析攻擊者的路徑、來源和身份等信息；安全管理區(qū)部署蜜罐系統(tǒng)將出口流量引至該系統(tǒng)中來虛擬應(yīng)用環(huán)境誘捕攻擊者、鎖定攻擊路徑固定證據(jù)，此系統(tǒng)在每年的專項行動和HW行動中可以發(fā)揮出最大效益，部署CA認(rèn)證系統(tǒng)對內(nèi)部人員的賬戶、證書統(tǒng)一管理實現(xiàn)強身份認(rèn)證，同時還滿足雙因素認(rèn)證要求，態(tài)勢感知平臺將所有設(shè)備日志匯總到平臺進行匯總，利用計算模型、搜索引擎和大數(shù)據(jù)算法等技術(shù)手段分析出網(wǎng)絡(luò)安全威脅，進而提前發(fā)現(xiàn)即將發(fā)生的安全事件進行預(yù)警，當(dāng)然還有一個關(guān)鍵點是可以統(tǒng)一風(fēng)險展示，界面酷炫，可視化高，同時我們的數(shù)據(jù)安全才是重中之重，數(shù)據(jù)是一個企業(yè)的核心資產(chǎn)、是命脈，但是最大的安全威脅往往來自內(nèi)部，所以在預(yù)算充足的情況還建議部署一臺數(shù)據(jù)防泄露系統(tǒng)（DLP）來對所有流經(jīng)出去的核心數(shù)據(jù)做標(biāo)記、做策略來限制數(shù)據(jù)被非法轉(zhuǎn)移、刪除、拖庫等行為，最大程度的保證數(shù)據(jù)的安全，也能滿足正在起草的數(shù)據(jù)安全法中的一些基本要求。

最后在這里啰嗦一下，以往大家都是購買一堆設(shè)備部署到網(wǎng)絡(luò)中，各種設(shè)備只是在運行然而并沒有很好的或是最大化利用起來，導(dǎo)致設(shè)備的資源浪費沒有產(chǎn)生效果達(dá)不到企業(yè)的預(yù)期，所以在有的單位領(lǐng)導(dǎo)眼里安全就是看不見，摸不著的東西，產(chǎn)生不了效益，其實最根本原因還是網(wǎng)絡(luò)安全人才的缺乏，沒有專業(yè)的人員跟蹤、維護、分析及配置策略，在這種情況下企業(yè)還是要從采購傳統(tǒng)設(shè)備向采購安全服務(wù)及產(chǎn)品化服務(wù)的觀念進行轉(zhuǎn)變，才能應(yīng)對當(dāng)下網(wǎng)絡(luò)安全激流勇進的形勢，滿足企業(yè)的網(wǎng)絡(luò)安全需求。