等保2.0三級拓撲圖+設備套餐+詳解一、等保2.0

三級信息系統70-80分套餐：1、等保2.0三級信息系統70-80分拓撲圖：2、設備清單：下一代防火墻（含IPS、AV）+綜合日志審計系統+堡壘機+數據庫審計系統+殺毒軟件。其他參考方案：【接入邊界NGFW】【必配】：融合防火墻安全策略、訪問控制功能。解決安全區域邊界要求，并開啟AV模塊功能；配置網絡接入控制功能（802.1X）；配置SSLVPN功能；【分區邊界NGFW】【必配】：用于解決安全分區邊界的訪問控制問題；【主機殺毒軟件】【必配】：解決安全計算環境要求；【日志審計系統】【必配】：解決安全管理中心要求；【堡壘機】【必配】：解決集中管控、安全審計要求；【數據庫審計】【必選】：解決數據庫操作行為和內容等進行細粒度的審計和管理，需要根據系統內是否包含數據庫業務系統選擇；【漏洞掃描】【必配】;【上網行為管理】【必選】；【WAF】【選配】。3、詳解:

第三級要求與第二級相比，主要區別在于多了關鍵設備及鏈路需要冗余、對重要區域重點保護需要防入侵防病毒、對遠程訪問及互聯網用戶的上網行為進行審計、運維人員的所有操作審計、對數據庫的所有操作審計等要求，所以在應用服務器邊界部署一組下一代防火墻、在互聯網出口部署一臺防火墻和上網行為管理用作內外網隔離及應用級的管控與審計，在安全管理區部署堡壘機和數據庫審計系統對各方面的操作進行審計并保護審計日志，滿足網絡安全法的存儲時間要求。，如果有互聯網發布系統還需增加web防火墻來對系統進行防入侵、防篡改，在應用系統遠程管理傳輸時還需使用HTTPS協議保護數據的完整性和保密性，總之涉及互聯網系統或需求的就需增加WEB應用防火墻、上網行為管理和HTTPS來保證系統的安全。

二、等保2.0

三級信息系統80-90分套餐：1、等保2.0三級信息系統80-90分拓撲圖：2、設備清單：下一代防火墻（含IPS、AV）+綜合日志審計系統+堡壘機+數據庫審計系統+殺毒軟件+數據備份系統+網絡準入+VPN+入侵檢測+漏洞掃描系統+HTTPS。其他參考方案：【NGFW】（必選）；開啟VPN，AV特性；【IPS】（必選）；解決區域邊界入侵防御；【Anti-DDoS】【必選】;【APT沙箱】【必選】：新型網絡攻擊行為【上網行為管理】【必選】；【日志審計系統】（必選）；【數據庫審計系統】（必選）；【漏洞掃描】（必選）；【主機殺毒軟件】（必選）；【態勢感知】【必選】;【WAF應用防火墻】【必選】；【運維堡壘機】【必選】；【網絡準入控制系統】【必選】；【認證服務器】【必選】；【網頁防篡改】【可選】；【主機入侵防御HIPS】【可選】；【DLP數據防泄漏】【可選】；【IAM身份鑒別平臺】【可選】；【態勢感知探針】【可選】：可復用NGFW的能力3、詳解

在70-80分套餐上增加一套數據備份系統用于實時自動備份，在網絡部署一套網絡準入系統對業務終端、服務器做接入限制，配合準入客戶端還可對違規內、外聯進行管控審計，為了讓遠程運維人員能夠安全的接入到內部網絡進行運維，架設一臺VPN設備對傳輸通道進行加密保護鑒別數據的完整性和保密性，安全管理中心部署一臺IDS設備，對所有經過核心交換機的流量進行檢測，保證內網的發起的網絡攻擊能夠被檢測阻斷，安全漏洞掃描系統定期對內部網絡的服務器、數據庫、應用系統、網絡設備等進行安全漏洞掃描，以及時發現問題并修復。三、等保2.0

三級信息系統90分以上

套餐：1、等保2.0三級信息系統90分以上拓撲圖：2、設備清單：下一代防火墻（含IPS、AV）+綜合日志審計系統+堡壘機+數據庫審計系統+殺毒軟件+數據備份系統+網絡準入+VPN+入侵檢測+漏洞掃描系統+HTTPS+負載均衡+防火墻+安全隔離網閘+APT+蜜罐+CA認證系統+態勢感知平臺+云安全防護平臺。其他參考方案：【NGFW】（必選）；開啟VPN，AV特性；【IPS】（必選）；解決區域邊界入侵防御；【Anti-DDoS】【必選】;【APT沙箱】【必選】：新型網絡攻擊行為【上網行為管理】【必選】；【日志審計系統】（必選）；【數據庫審計系統】（必選）；【漏洞掃描】（必選）；【主機殺毒軟件】（必選）；【態勢感知】【必選】;【WAF應用防火墻】【必選】；【運維堡壘機】【必選】；【網絡準入控制系統】【必選】；【認證服務器】【必選】；【網頁防篡改】【可選】；【主機入侵防御HIPS】【可選】；【DLP數據防泄漏】【可選】；【IAM身份鑒別平臺】【可選】；【態勢感知探針】【可選】：可復用NGFW的能力多網架構，內網和外網物理隔離，通過網閘互通，其余規劃同上。注：內網安全要求比外網高，故安全規劃考慮更完善。

3、詳解

在互聯網出口的增加一臺防火墻保證出口防火墻的高可用性，在ISP運營商接入處部署一臺負載均衡用于鏈路負載，保證鏈路的高可用性，在DMZ區部署一臺網閘用于內部數據的擺渡及白名單訪問控制，在核心交換機旁路部署一臺APT或威脅情報分析系統來替換傳統的入侵檢測系統，對新型的網絡攻擊進行檢測和分析攻擊者的路徑、來源和身份等信息；安全管理區部署蜜罐系統將出口流量引至該系統中來虛擬應用環境誘捕攻擊者、鎖定攻擊路徑固定證據，此系統在每年的專項行動和HW行動中可以發揮出最大效益，部署CA認證系統對內部人員的賬戶、證書統一管理實現強身份認證，同時還滿足雙因素認證要求，態勢感知平臺將所有設備日志匯總到平臺進行匯總，利用計算模型、搜索引擎和大數據算法等技術手段分析出網絡安全威脅，進而提前發現即將發生的安全事件進行預警，當然還有一個關鍵點是可以統一風險展示，界面酷炫，可視化高，同時我們的數據安全才是重中之重，數據是一個企業的核心資產、是命脈，但是最大的安全威脅往往來自內部，所以在預算充足的情況還建議部署一臺數據防泄露系統（DLP）來對所有流經出去的核心數據做標記、做策略來限制數據被非法轉移、刪除、拖庫等行為，最大程度的保證數據的安全，也能滿足正在起草的數據安全法中的一些基本要求。最后在這里啰嗦一下，以往大家都是購買一堆設備部署到網絡中，各種設備只是在運行然而并沒有很好的或是最大化利用起來，導致設備的資源浪費沒有產生效果達不到企業的預期，所以在有的單