等保测评2.0二级要求

核心设计原则

分区分域防护

将网络划分为​​互联网接入区、DMZ区、核心业务区、运维管理区、终端接入区​​，各区域间通过防火墙隔离，实现纵向分层、横向分区。

重要网段（如财务系统）需通过VLAN或子网隔离，禁止直接暴露于边界。

边界防护强化

​​互联网出口​​：部署下一代防火墙（NGFW），集成IPS、防病毒（AV）模块，实现流量过滤、入侵检测及恶意代码清除。

​​内部边界​​：办公区与核心业务区之间部署访问控制策略，默认拒绝所有非必要通信。

基础安全能力

​​日志审计​​：集中收集防火墙、服务器等设备日志，存储周期≥6个月。

​​终端防护​​：全网安装杀毒软件，定期更新病毒库。

典型拓扑架构

基础版（70-80分）​

• ​​互联网出口层​​：NGFW：串联部署，启用IPS/AV功能，关闭高危端口（如22、3389）。

• ​​DMZ区​​：对外服务（如官网）部署于此，仅开放HTTP/HTTPS端口。

• ​​核心业务区​​：数据库服务器与应用服务器分离，通过防火墙限制横向访问。

• ​​运维管理区​​：部署综合日志审计系统，覆盖全网设备日志。

• ​​终端接入区​​：启用802.1X网络准入控制，防止非法设备接入。

增强版（80-90分）​

在基础版上新增：

• ​​服务器区防火墙​​：加强核心业务区防护，细化应用层访问控制。

• ​​堡垒机​​：集中管理运维操作，审计特权命令。

• ​​上网行为管理​​：审计员工上网行为，阻断高风险网站访问。

• ​​HTTPS加密​​：远程管理及对外服务强制启用TLS 1.2+。

高配版（90分以上）​

在增强版上新增：

• ​​WAF​​：防护Web应用漏洞（如SQL注入、XSS）。

• ​​数据库审计​​：记录所有数据库操作，满足细粒度审计要求。

• ​​漏洞扫描系统​​：定期检测系统漏洞并修复。

关键技术实现

• ​​访问控制​​：防火墙策略基于五元组（源/目的IP、端口、协议），默认拒绝所有流量，仅开放必要服务。

• ​​安全审计​​：日志审计系统需记录用户登录、权限变更等关键事件，支持溯源分析。

• ​​数据备份​​：核心业务数据每日备份，本地与异地各保留一份，加密存储。

设备清单参考

​​常见高风险项及整改

未关闭高危端口​​：通过NGFW策略限制SSH、RDP等管理端口仅对运维网段开放。

​​日志存储不足​​：扩展日志存储容量，确保满足6个月留存要求。

​​无线网络未隔离​​：划分独立VLAN，启用WPA3认证。

拓扑示例（简化）

互联网

│

├─ [NGFW] ←（IPS/AV启用）

│ │

│ ├─ DMZ区（Web服务器+负载均衡）

│ │

│ ├─ 核心业务区（防火墙+数据库/应用服务器）

│ │

│ ├─ 运维管理区（日志审计+堡垒机）

│ │

│ └─ 终端接入区（802.1X+杀毒软件）

│

└─ 备份链路（冗余设计）

等保测评2.0三级要求

核心设计原则

分区分域防护​​

将网络划分为​​互联网区、DMZ区、核心业务区、运维管理区、终端接入区​​等，各区域间通过防火墙隔离，实现纵向分层、横向分区。

重要网段（如核心数据库）需远离网络边界，并通过VLAN或子网隔离，禁止直接连接外部系统。

​​边界防护强化​​

​​互联网出口​​：部署下一代防火墙（NGFW）、IPS、Anti-DDoS设备，串联部署实现流量过滤、入侵防御及DDoS清洗。

​​内部区域边界​​：分区防火墙（如核心业务区与办公区之间）需启用访问控制列表（ACL），控制粒度为端口级，并配置会话超时终止。

​​冗余与高可用​​

关键设备（防火墙、核心交换机）需双机热备，链路采用负载均衡或冗余路由（如OSPF协议认证）。

典型拓扑架构

基础版拓扑（必配设备）​​

​​互联网出口层​​

NGFW（含IPS/AV模块）：实现访问控制、恶意代码检测。

上网行为管理：审计用户上网行为，阻断非法外联。

​​DMZ区​​

WAF（Web应用防火墙）：防护SQL注入、XSS攻击，防网页篡改。

负载均衡设备：保障对外服务高可用。

​​核心业务区​​

数据库审计系统：记录所有数据库操作，满足审计留存180天要求。

主机杀毒软件：部署在服务器及终端，定期更新病毒库。

​​运维管理区​​

堡垒机：集中管理运维操作，审计特权命令。

日志审计系统：聚合全网设备日志，生成合规报表。

增强版拓扑（推荐配置）​

在基础版上新增：

• APT沙箱：检测新型攻击（如零日漏洞利用）。

• 态势感知平台：通过探针采集流量，分析APT攻击链。

• 网络准入控制（如802.1X）：防止非法设备接入。

关键技术实现

​​访问控制​​

防火墙策略需遵循“默认拒绝”，仅开放必要端口（如HTTP 80/443）。

重要系统（如堡垒机）启用多因素认证（MFA）。

​​安全审计​​

所有网络设备、安全设备需开启日志功能，并转发至日志审计系统。

数据库审计需记录操作内容、时间、用户三要素。

​​入侵防范​​

IPS需定期更新特征库，检测端口扫描、暴力破解等行为。

核心交换机旁挂威胁探针，镜像流量至态势感知平台。

常见高风险项及整改

互联网出口无访问控制设备：部署NGFW，配置五元组（源/目的IP、端口、协议）访问策略

无线网络未隔离：划分独立VLAN，启用WPA3认证，禁用SSID广播

运维操作无审计：部署堡垒机，禁止直接SSH登录服务器，所有操作需通过跳板机

拓扑示例（简化）

互联网

│

├─ [NGFW + IPS + Anti-DDoS] ←（串联）

│ │

│ ├─ DMZ区（WAF + 负载均衡 + Web服务器）

│ │

│ ├─ 核心业务区（防火墙 + 数据库服务器 + 应用服务器）

│ │

│ ├─ 运维管理区（堡垒机 + 日志审计 + 漏洞扫描）

│ │

│ └─ 终端接入区（准入控制 + 终端杀毒）

│

└─ 备份链路（冗余）