等级保护2.0第二级数据中心安全防护产品性能指标参考
等级保护2.0第二级数据中心安全防护产品性能指标参考
一、 防火墙类
1、 web应用防火墙(推荐要求)
WEB 网站访问防护专用安全设备,具备 WEB 访问控制、
WEB 网络数据分析等基本功能。具备对 SQL 注入、跨站、 扫描器扫描、 信息泄露、 文件传输攻击、操作系统命令注入、目录遍历、异常发现、webshell 攻击检测、 盗链行为、 拒绝服务攻击防护、 网页防篡改、 身份认证、日志审计等 14 项安全功能。
2、 数据库防火墙(推荐要求)
数据库访问控制和安全审计专用设备。
①具备数据库审计、数据库访问控制、数据库访问检测与过滤、数据库服务发现、脱敏数据发现、数据库状态和性能监控、数据库管理员特权管控等功能。
②支持桥接、网关和混合接入方式,基于安全等级标记的访问控制策略和双机热备功能,保障连续服务能力。
3、 网络防火墙(必须 具备 其中3 项功能、 支持 3 种访问控制类型)
网络边界防护和访问控制的专用设备。
①具备访问控制、入侵防御、病毒防御、应用识别、WEB 防护、负载均衡、流量管控、身份认证、数据防泄露等 9 项功能。
②支持区域访问控制、数据包访问控制(例如基于IP、端口、网络协议访问的数据包)、会话访问控制、信息内容过滤访问控制、应用识别访问控制等 5 种访问控制类型。
二、 安全审计设备类
1、 网络安全审计(必须满足全部要求)
记录网络行为并进行审计和异常行为发现的专用安全设备。
①对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。
②审计记录包括事件的时间和日期、用户、事件类型、事件是否成功及其它与审计相关的信息。
③能够对记录数据进行分析,生成审计报表。
2、 数据库审计(必须满足全部要求)
监控数据库系统的用户操作日志、数据库活动、预警的专用设备。
①具备数据库操作记录的查询、保护、备份、分析、审计、实时监控、风险报警和操作过程回放等功能。
②支持监控中心报警、短信报警、邮件报警、 Syslog
报警等报警方式。
3、 运维审计(必须满足全部要求)
数据中心运维操作审计及预警的专用设备。
①具备资源授权、运维监控、运维操作审计、审计报表、违规操作实时告警与阻断、会话审计与回放等功能。
②支持基于用户、运维协议、目标主机、运维时间段(年、月、日、时间)等授权策略组合。
③支持运维用户、运维客户端地址、资源地址、协议、开始时间等实时监控信息项。
4、 主机安全审计(必须满足全部要求)
记录主机操作的审计设备。
①支持重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要事件审计。
②支持记录事件的日期、时间、类型、主体标识、客体标识和结果等。
三、 系统加固设备类
1、 漏洞扫描设备(推荐要求)
检测与发现系统漏洞的专用设备。
①具备资产管理、漏洞管理、扫描策略配置、漏洞扫描和报表管理等 5 项功能。
②支持 CVE、 CNNVD、 CNCVE、 CNVD、 BUGTRAQ 等 5 种漏洞库编号,按照国家新发布的漏洞及时更新。
③产品扫描信息支持主机信息、用户信息、服务信息、漏洞信息等 4 种内容。
④支持扫描操作系统、网络设备、虚拟化设备、数据库、移动设备、应用系统等 6 类系统和设备。
⑤支持主机探测、端口扫描、弱口令扫描、多主机扫描、多线程扫描、口令猜解等 6 种扫描方式。
⑥支持 SNMP trap、 邮件、 短信、 Syslog 等 4 种告警方式。
2、 WEB 漏洞扫描设备(推荐要求)
检测与发现医院 WEB 网站漏洞的专用设备。
①具备资产管理、漏洞管理、扫描策略配置、漏洞扫描和报表管理等功能。
②支持 SQL 注入、 Cookie 注入、跨站脚本攻击、敏感信息泄露等漏洞检测能力。
③支持 Cookie、 Form、 Basic、 NTLM 等登录认证方式。
④支持 SNMP trap、邮件、短信、 syslog 等告警方式。
四、 数据加固设备类
1、 网络防泄露设备(推荐要求)
防止通过网络传输泄露敏感/关键信息的专用设备。
①具备识别能力(协议识别、应用识别、文件识别、内容识别、 异常行为识别)、响应能力、策略管理、报表与审计等 4 项功能。
②支持 HTTP、 HTTPS、 FTP、 SMTP、 POP3 等 5 种协议识别。
③支持识别加密文件、压缩文件、图片文件、非Windows 文件、未知文件、自定义文件等 6 种文件类型。
④支持文档多层嵌套方式逃避检测、文件多层压缩逃避检测、邮件密送、修改文件扩展名、图片嵌入敏感文档、拷贝文档部分内容泄露敏感信息、少量多次泄露敏感信息、文档页眉页脚隐藏敏感信息、敏感信息标识为隐藏段落等 9 种常见异常行为识别方式。
⑤支持文件内容、发送者、接收者、文件特征、通讯协议等 5 种条件策略配置。
2、 存储数据防泄露设备(推荐要求)
发现和处理存储系统敏感数据的专用防泄露设备。
①具备敏感数据发现、发现的敏感数据展示、敏感数据隔离等 3 项功能。
②支持在文件服务器、数据库、协作平台、 Web 站点、台式机、 移动终端等 6 种系统的敏感数据发现。
③支持非结构化数据指纹检测、结构化数据指纹检测、机器学习特征提取与检测、关键内容描述、正则、数据符等 6 种检测技术。
3、 数据库加密设备(推荐要求)
加密医院数据库和发现数据库风险的专用设备。
①具备系统管理、加解密引擎管理、数据库透明加密管理、数据库状态监控、数据库风险扫描等 5 项功能。
②支持动态加解密、密文索引、多级密钥等技术。
4、 邮件加密设备(推荐要求)
邮件加密和邮件服务器安全防护的专用设备。
①具备邮件加密、安全防御、 邮件传输代理、日志审计等 4 项功能。
②支持附件加密、邮件替换、邮件附件备份、附件链接下载管理、防止机密信息外泄、第三方证书认证加密、网关-网关加密等 7 种邮件加密方式。
③支持 DNS 反向解析、 SMTP 攻击防御、 SMTP 连接限制、 SMTP 字典攻击、 SMTP 密码防猜机制、 POP 攻击防御、IMAP 攻击防御、 DNS 攻击防御等 8 种安全防御方式。
④支持邮件中继控制、多台 AD 服务器轮询、 SMTP认证控制、邮件交换、假冒 Postmaster 攻击防护等 5 种MTA 功能。
五、 入侵防范设备类
1、 入侵防御设备(必须具备 3 项功能、 支持 2 种入侵防御技术、 支持 2 种抗拒绝服务技术)
对网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御的专用设备。
①具备深层检测、内容识别、即时侦测、主动防御、无线攻击防御、抗拒绝服务、日志审计、身份认证等 9项功能。
②支持攻击行为记录(包括攻击源 IP、攻击类型、攻击目的、攻击时间等)、协议分析、模式识别、异常流量监视、统计阀值、实时阻断攻击等 6 种入侵防御技术。
③支持流量检测与清洗(流量型 DDoS 攻击防御、应用型 DDoS 攻击防御、 DoS 攻击防御、非法协议攻击防御、常用攻击工具防御等)、流量牵引和回注等 2 种抗拒绝服务技术。
2、 入侵检测设备(满足一级要求)
通过对网络上的数据包作为数据源,监听所保护网络内的所有数据包并进行分析,从而发现异常行为的入侵检测系统。
参照《信息安全技术网络入侵检测系统技术要求和测评方法》 [GBT20275-2013]将网络入侵检测系统技术要求分为一级、二级、三级。
3、 网络准入控制设备(推荐要求)
屏蔽不安全的设备和人员接入网络,规范用户接入网络行为的专用设备。
①具备网络准入身份认证、合规性健康检查、终端接入管理(包括:PC、移动终端等)、用户管理、准入规则管理、高可用性、日志审计等 7 项功能。
②支持 pap、 chap、 md5、 tls、 peap 等 5 种网络准入身份认证方法。
4、 防病毒网关设备(具备 3 项功能。支持 3 种病毒过滤方法)
病毒防御网关化的专业设备。
①具备病毒过滤、内容过滤、反垃圾邮件、日志审计、身份认证、高可用等 6 项功能。
②支持流杀毒、文件型杀毒、常用协议端口病毒扫描、 IPv4 和 IPv6 双协议栈的病毒过滤、病毒隔离等 5 种病毒过滤方法。
5、 网络安全入侵防范(推荐要求)
①在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等;
②当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
6、 主机入侵防范(推荐要求)
①能够检测到对重要服务器进行入侵的行为,能够记录入侵的源 IP、 攻击的类型、攻击的目的、攻击的时间,并在发生入侵事件时提供报警。
②能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。
7、 主机恶意代码防范(推荐要求)
①应用防恶意代码软件, 及时更新防恶意代码软件板本和恶意代码库。
②支持防恶意代码的统一管理。
8、 网页防篡改(推荐要求)
用于医院保护网站文件,防止网站篡改。
①具备网站攻击过滤、网站文件访问控制、网站安全校验、网站攻击事件告警、网站安全管理策略、网站备份、网站同步、网站自动恢复、网站服务器可靠性监测、网站审计日志等 10 项功能。
②网站同步过程支持文件加密传输技术、完整性校验、文件检索、快速传输技术等 4 种技术。
六、 身份认证系统
1、 统一身份管理(推荐要求)
对医院内所有应用实现统一的用户信息存储、认证和管理的系统。
①具备单点登录、用户身份信息管理、用户管理规则库、用户访问权限设置、权限规则库、用户与权限的适配管理、系统审计、第三方应用系统接口调用获取权限等 8项功能。
②实现多业务系统的统一认证, 支持数字证书、动态口令、静态口令、 Windows 域认证、通行码认证、指纹认证、人脸识别等 7 种认证方式。
2、 电子认证服务(推荐要求)
用于发放并管理所有参与医院网上业务的实体所需的数字证书。
①具备数字证书的申请、审核、签发、查询、发布、证书吊销列表的签发、查询、发布等 8 项数字证书全生命周期管理功能。
②支持国密系列标准。
③支持交叉认证、 数据备份/恢复、 日志审计管理等 3项系统管理功能。
3、 用户身份鉴别(满足第一项要求)
数据中心服务器操作系统和数据库管理系统提供鉴别机制,保证用户身份安全可信, 支持用户标识和用户鉴别。
①支持受控的口令或具有相应安全强度的其他机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。
②支持两种或两种以上的组合机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。
4、 个人隐私保护(推荐要求)
患者隐私数据存储于数据库,具备隐私数据(敏感)数据防泄露能力。
①具备隐私数据字段级加密保护功能,并能提供第三方服务接口,支持动态脱敏和动态加密数据保护功能。
②支持代理、网关和混合接入方式,基于安全等级标记的数据标签技术和双机热备功能,保障连续服务能力。
5、 网络设备身份鉴别(推荐要求)
①支持登录网络设备的用户进行身份、 地址、 标识进行管理。
②支持两种或以上组合的鉴别技术进行身份鉴别。
③支持口令复杂度、 定期更换、 失败处理、 结束会话、限制非法登录次数、 登录连接超时自动退等 6 项安全功能。
6、 主机身份鉴别(推荐要求)
①对登录操作系统和数据库系统的用户进行身份标识和鉴别。
②支持两种或以上组合的鉴别技术进行身份鉴别。
③支持口令复杂度、 定期更换、 失败处理、 结束会话、限制非法登录次数、 登录连接超时自动退等 6 项安全功能。
七、 访问控制系统
1、 上网行为管理(推荐要求)
用于医院互联网的安全管理。
①具备上网人员管理、上网浏览管理、上网外发管理、上网应用管理、上网流量管理、上网行为分析、上网隐私保护、风险集中告警等 8 项功能。
②支持 IP/MAC 识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式等 3 种上网人员身份管理方式。
③支持对主流即时通讯软件外发内容的关键字识别、记录、阻断等 3 项操作。
2、 虚拟化安全防护(推荐要求)
提供虚拟化网络边界防护的专用软件防火墙。
①具备访问控制、入侵防范、病毒过滤、应用识别、抗拒绝服务、 网络防护、日志审计、身份认证等 8 项功能。
②支持网络访问控制、权限控制、目录级安全控制、属性安全控制、服务器安全控制等 5 种访问控制方法。
八、 安全管理系统
1、 文档安全管理(推荐要求)
用于医院核心信息资产有意或无意泄露防护的管理系统。
①具备文档加密、文档安全策略(权限控管、使用次数、文档生命期限、打印自定义水印等)、 身份认证、使用追踪、 离线管理、文档操作审计等 6 项功能。
②支持对电子文档进行细粒度的权限控制, 包括只读、打印、修改、复制等 4 种权限控制。
③支持对文档的阅读、编辑、删除、打印、外发、授权等 6 种动作进行详细的日志审计。
2、 日志审计系统(满足全部要求,日志存储时间大于等于6个月)
记录、分析和处理用户操作行为的系统。
①具备日志记录、用户重要操作日志记录、日志查询、日志保护、日志备份、日志分析模型、日志审计报告等项功能。
②支持用户名称、操作日期和时间、操作类型、是否成功、合规审计等项日志审计内容。
③支持数据分析,并生成审计报表。
3、 资产风险管理(推荐要求)
基于医院网络环境, 构建医院网络资产基础信息库,能整体和动态发现网络安全风险的管理系统。
①具备实时评估网络安全风险、验证重要风险点、评估风险影响范围、网络安全持续监控、风险通报和威胁预警、风险分析结果可视化、风险处理等 7 项功能。
②支持信息系统、承载业务、网络设备、安全设备、服务器设备、终端设备、软件、数据、存储等 9 种资产信息库内容。
③支持表格、指示灯、 3D 图表、雷达图、拓扑图、热度图等 6 种风险可视化结果展示方式。
4、 统一安全管理(推荐要求)
对医院各类网络安全安全事件的监控、分析和管理的信息系统。
①具备资产管理、资产风险管理、网络安全事件采集、网络安全事件分析、网络安全事件分析模型、实时安全监测、分析结果可视化、安全运营决策和处置服务等 8 项功能。
②基于数据分析模型, 支持表格、指示灯、 3D 图表、雷达图、拓扑图、热度图等 6 种可视化结果展示方式。