二级等保项目设备清单及高风险项整改方向

一、项目所需设备清单

1. 安全物理环境

2. 安全通信网络

3. 安全区域边界

4. 安全计算环境

5. 安全管理中心

6. 总结设备清单

二、高风险项解读与整改方向

高风险判定指引

高风险项整改举例

结语

随着信息系统安全防护需求的不断提升，二级等保测评项目必须购置和部署一系列安全设备，通过对高危风险项的针对性整改，构建核心防护能力，从而实现安全投入与产出的平衡。本文将从安全技术测评的五个层面出发，详细阐述项目所需设备清单及高风险项的解读与整改方向。

一、项目所需设备清单

二级等保项目的安全技术测评主要涵盖以下五个层面：安全物理环境、安全通信网络、安全区域边界、安全计算环境以及安全管理中心。下面分别介绍各层面的安全措施需求和对应设备。

1. 安全物理环境

一般指机房的安全防护，主要措施包括：

电子门禁系统
若未配置电子门禁，则需配合视频监控、进出签字记录表等辅助管理措施，确保机房出入安全。
消防灭火设备及火灾自动报警系统
必须配备有效期内的灭火设备，确保火灾发生时能够及时响应。
备用电力保障
配置UPS或者备用发电机、备用供电线路，至少满足其中一项要求，确保机房供电稳定。

2. 安全通信网络

保障不同网络区域之间安全隔离，主要部署以下设备：

路由器、交换机
通过路由器及三层交换机实现网络区域隔离，预算充足时可配置热备冗余，提高容灾能力。
防火墙
建议采用新一代防火墙（支持防病毒、入侵检测及VPN模块等），用于网络边界安全防护；若采用利旧设备，可在内部实现纵深隔离。
VPN设备
对于分支机构或远程访问场景，采用VPN设备确保数据传输安全。
其他密码产品
保障关键数据和用户鉴权信息的完整性与保密性。

3. 安全区域边界

对不同安全区域进行有效隔离，需部署以下安全设备：

新一代防火墙
要求具备入侵检测/防御、防病毒等模块，确保安全策略、规则库半年内更新，恶意代码库一个月内更新。
防病毒网关
若现有防火墙不具备内置防病毒功能，需增设防病毒网关进行防护。
入侵检测/防御设备
针对网络关键节点，部署IDS/IPS设备检测并限制外部攻击。
安全审计系统
集中采集各类安全设备与网络设备的日志，实现统一审计；系统应同时覆盖主机、网络以及部分中间件应用层面的监控需求，降低设备采购成本。
网闸
当核心业务网络与其他网络之间数据交换不频繁时，可部署网闸实现隔离，降低与互联网数据交互的风险（非必选，根据业务敏感程度决定）。

注：如新一代防火墙具备防病毒和入侵防御功能，则可不再单独购置防病毒网关和IDS/IPS设备。

4. 安全计算环境

保障主机和服务器安全，主要措施包括：

防病毒系统（或EDR）
在服务器与终端上安装集中防病毒软件或EDR，实现恶意代码防范。
终端安全管控系统
通过设备准入管理、关闭不必要的服务和端口、监控外设接口及外联设备使用，降低终端非法接入风险。此系统能有效阻止通过终端渗透至业务核心，强烈推荐购置。
安全审计系统
小型系统可与网络边界审计系统共用，集中采集安全日志。
数据库审计系统
针对数据库网络行为进行精准监控与审计，建议采用专用设备以加强数据资产安全。
Web应用防火墙/防篡改系统
针对互联网网站服务，配置WAF或防篡改系统确保Web服务器安全。
HTTPS数字证书
在B/S架构业务系统中，部署HTTPS服务以确保数据传输完整性和可靠性。

5. 安全管理中心

构建安全管理平台，主要包括：

堡垒机
通过分权限管理路由器、核心交换机、重要服务器、终端和数据库，实现集中运维审计及三权分立管理。
安全审计系统
实现对各类安全设备、网络设备及关键系统的分权限日志审计，确保安全管理全面覆盖。

6. 总结设备清单

结合以上五个层面的要求，一个二级等保项目的设备清单（其中红色标注为必须配置）可归纳为：

新一代防火墙（包含防病毒、入侵检测、VPN等模块，并保持有效授权与版本更新）
- 用于网络边界防护，若为利旧设备，建议在内部区域隔离中使用。
- 如未配置，则需增设防病毒网关和IDS/IPS设备；远程访问场景下，配置VPN设备。
统一安全审计系统
- 覆盖网络设备、安全设备、服务器、终端以及中间件的审计管理。
网络版杀毒软件或EDR
- 部署在服务器与终端，实现恶意代码防范。
数据库审计系统
- 对数据库进行精准审计，弥补统一审计系统在数据库监控上的不足。
堡垒机（运维审计系统）
- 实现对各类设备统一运维管理，并通过分权管理强化安全审计。
终端安全管控系统
- 控制终端设备接入、关闭不必要服务、监控外设接口，建议采购以降低风险。
WAF防火墙设备
- 针对互联网访问的Web服务，建议配置HTTPS、WAF及抗DDOS设备。
路由器、交换机等网络设备
存储设备
- 用于数据库备份存储及审计日志存储与转移。

二、高风险项解读与整改方向

网络安全等级保护现场测评完成后，通过对现场测评记录的梳理，可以初步计算出测评得分。只有在测评分数70分以上，且不存在无法降低的高风险项时，才能视为基本符合要求。具体评判依据如下：

一票否决原则
- 若信息系统中存在无法降低的高风险项，则测评直接判定不合格。
测评得分判定
- 无高风险项且总得分70分以上（100分以下）：基本符合。
- 得分低于70分：存在较大安全风险。
- 无高风险项时，得分70分以上可划分为中（70+）、良（80+）及优（90+）等级。

高风险判定指引

依据《网络安全等级保护测评高风险判定指引》（T/ISEAA 001-2020），高风险判定由以下几个要素构成：

标准要求
对应GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中具体要求（如第三级要求）。
适用范围
适用于二级及以上系统、云计算平台、三级及以上系统以及高可用性系统等。
判例场景
具体描述安全风险出现的场景及要素，标注“所有”或“任意”以确定风险程度。
补偿因素
通过综合其他安全控制措施，对部分风险进行补偿性降低，但有些风险（如电力供应无备用保障）则无法补偿。

高风险项整改举例

物理环境方面
- 虽然门禁系统和自动防火系统为高危项，但可通过24小时值班、视频监控等措施降低风险；但若电力供应完全没有备用保障（无UPS、备用线路或发电机），则此风险难以降低，必须立即整改。
网络安全隔离
- 要求通过划分VLAN或安全设备对不同网络区域进行隔离；防火墙、入侵检测/防御设备以及恶意代码防范设备的配置必须到位，否则将构成高风险。
计算环境及管理措施
- 针对“两高一弱”（高危端口、高危漏洞、弱口令）必须进行整改，尤其是高危漏洞的修复需要针对性处理。
- 管理测评项主要涉及安全制度、外部人员访问管理、系统变更管理、数据备份与恢复策略以及应急预案的制定与演练，均需要逐项整改完善。

在整改过程中，安全建设方或系统运营方应结合现场测评的具体情况，对照38项技术测评和8项管理测评内容，逐项落实整改措施，确保不存在无法降低的高风险项，从而为等保测评顺利通过提供坚实保障。