网络安全等级保护（第三级）（等保2.0）建设方案

网络安全等级保护（第三级）（等保2.0）

建

设

方

案

等保三级（等保2.0）建设综合解决方案2020年2月

目录

第一章项目概述........................................4

1.1项目概述........................................4

1.2项目建设背景....................................4

1.2.1法律要求..................................5

1.2.2政策要求..................................7

1.3项目建设目标及内容..............................7

1.3.1项目建设目标..............................7

1.3.2建设内容..................................8

第二章现状与差距分析..................................9

2.1现状概述........................................9

2.1.1信息系统现状..............................9

2.2现状与差距分析.................................11

2.2.1物理安全现状与差距分析...................11

2.2.2网络安全现状与差距分析...................19

2.2.3主机安全现状与差距分析...................32

2.2.4应用安全现状与差距分析...................44

2.2.5数据安全现状与差距分析...................56

2.2.6安全管理现状与差距分析...................59

2.3综合整改建议...................................65

2.3.1技术措施综合整改建议.....................65

2.3.2安全管理综合整改建议.....................81

等保三级（等保2.0）建设综合解决方案2020年2月

第三章安全建设目标...................................83

第四章安全整体规划...................................85

4.1建设指导.......................................85

4.1.1指导原则.................................85

4.1.2安全防护体系设计整体架构................86

4.2安全技术规划...................................88

4.2.1安全建设规划拓朴图......................88

4.2.2安全设备功能.............................89

4.3建设目标规划...................................95

第五章工程建设.......................................98

5.1工程一期建设...................................98

5.1.1区域划分.................................98

5.1.2网络环境改造.............................99

5.1.3网络边界安全加固.......................99

5.1.4网络及安全设备部署......................100

5.1.5安全管理体系建设服务....................135

5.1.6安全加固服务...........................153

5.1.7应急预案和应急演练.....................161

5.1.8安全等保认证协助服务....................161

5.2工程二期建设..................................162

5.2.1安全运维管理平台（soc）................162

5.2.2APT高级威胁分析平台....................166

等保三级（等保2.0）建设综合解决方案2020年2月

等保三级（等保2.0）建设综合解决方案2020年2月

第一章项目概述

1.1项目概述

某单位是人民政府的职能部门，贯彻执行国家有关机关事务

工作的方针政策，拟订省机关事务工作的政策、规划和规章制度

并组织实施，负责省机关事务的管理、保障、服务工作。

在面对现在越来越严重的网络安全态势下，某单位积极响应

国家相关政策法规，积极开展信息安全等级保护建设。对自有网

络安全态势进行自我核查，补齐等保短板，履行安全保护义务。

项目目标：打造一个可信、可管、可控、可视的安全网络环

境，更好的为机关各部门及领导者和公务人员提供工作和生活条

件，更好的保障各项行政活动正常进行。

1.2项目建设背景

机关后勤管理工作因为其政府内部服务的特殊性，一直比较

少地为社会公众所关注或重视。机关后勤管理包括对物资、财

务、环境、生活以及各种服务项目在内的事务工作的管理，是行

政机关办公室管理的重要一环，为机关各部门以及领导者和公务

人员提供工作和生活条件，是保障各项行政活动正常进行的物质

基础。

随着这几年地区经济的高速发展和政府行政职能分配管理的

需要，使机关事务管理工作的管理范围和管理对象也相应的扩展

和增加，管理工作变得十分繁重。尤其是在新增的一些业务管理

4

等保三级（等保2.0）建设综合解决方案2020年2月

工作方面，如对政府机关单位固定资产的管理、房屋出租、分配

的管理等，同时，随着这几年国家对资产管理的重视，信息化建

设从原来注重财务管理信息化逐渐向国有资产管理信息化发展，

作为机关事务管理的机构，正承担着这样一种责任和使命。同时

在面对现在不容乐观的整体安全态势环境下，开展机关事务管理

的信息化建设与信息安全建设，是整个社会和国家发展的必然趋

势。

1.2.1法律要求

在2017年6月1日颁发的《中华人民共和国网络安全法》中

明确规定了法律层面的网络安全。具体如下：

“没有网络安全，就没有国家安全”，《网络安全法》第二

十一条明确规定“国家实行网络安全等级保护制度”。各网络运

营者应当按照要求，开展网络安全等级保护的定级备案、等级测

评、安全建设、安全检查等工作。除此之外，《网络安全法》中

还从网络运行安全、关键信息基础设施运行安全、网络信息安全

等对以下方面做了详细规定：

网络日志留存：第二十一条还规定，网络运营者应当制定内

部安全管理制度和操作规程，确定网络安全负责人，落实网络安

全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络

安全行为的技术措施;采取监测、记录网络运行状态、网络安全事

件的技术措施，留存不少于六个月的相关网络日志;采取数据分

类、重要数据备份和加密等措施。未履行上述网络安全保护义务

等保三级（等保2.0）建设综合解决方案2020年2月

的，会被依照此条款责令整改，拒不改正或者导致危害网络安全

等后果的，处一万元以上I万元以下罚款，对直接负责的主管人

员处五千元以上五万元以下罚款。

漏洞处置：第二十五条规定，网络运营者应当制定网络安全

事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网

络侵入等安全风险;在发生危害网络安全的事件时，立即启动应急

预案，采取相应的补救措施，并按照规定向有关主管部门报告。

没有网络安全事件应急预案的，没有及时处置高危漏洞、网络攻

击的;在发生网络安全事件时处置不恰当的，会被依照此条款责令

整改，拒不改正或者导致危害网络安全等后果的，处一万元以上

十万元以下罚款，对直接负责的主管人员处五千元以上五万元以

下罚款。

容灾备份：第三十四条第三项规定，关键信息基础设施单位

对重要系统和数据库进行容灾备份。没有对重要系统和数据库进

行容灾备份的会被依照此条款责令改正。

应急演练：第三十四条第四项规定，关键信息基础设施单位

应当制定网络安全事件应急预案，并定期进行演练Q没有网络安

全事件预案的，或者没有定期演练的，会被依照此条进行责令改

正。

安全检测评估：第三十八条规定，关键信息基础设施的运营

者应当自行或者委托网络安全服务机构对其网络的安全性和可能

存在的风险每年至少进行一次检测评估，并将检测评估情况和改

6

等保三级（等保2.0）建设综合解决方案2020年2月

进措施报送相关负责关键信息基础设施安全保护工作的部门。每

年没有进行安全检测评估的单位要被责令改正。

1.2・2政策要求

为切实加强门户网站安全管理和防护，保障网站安全稳定运

行，国家非常重视，陆续颁布以下文件：《关于加强党政机关网

站安全管理的通知》（中网办发文（2014）1号）、《关于做好党

政机关网站开办审核、资格复核和网站标识管理工作的通知》

（中央编办发（2014）69号），公安部、中央网信办、中编办、

工信部等四部门《关于印发〈党政机关、事业单位和国有企业互

联网网站安全专项整治行动方案〉的通知》（公信安（2015）

2562号）

1.3项目建设目标及内容

1.3.1项目建设目标

依据国家信息安全等级保护相关指导规范，对某单位信息系

统、基础设施和骨干网络按照等保三级进行安全建设规划，对安

全建设进行统一规划和设备选型，实现方案合理、组网简单、扩

容灵活、标准统一、经济适用的建设目标。

依据信息安全等级保护三级标准，按照“统一规划、统一标

准、重点明确、合理建设”的基本原则，在物理安全、网络安

全、主机安全、应用安全、数据安全等几个方面进行安全规划与

建设，确保“网络建设合规、安全防护到位”。

7

等保三级（等保2.0）建设综合解决方案2020年2月

方案目标是让某单位的骨干网络、相关应用系统达到安全等

级保护第三级要求。经过建设后使整体网络形成一套完善的安全

防护体系，提升整体信息安全防护能力。

1.3.2建设内容

本项目以某单位骨干网络、信息系统等级保护建设为主线，

以让相关信息系统达到安全等级保护第三级要求。借助网络产

品、安全产品、安全服务、管理制度等手段，建立全网的安全防

控管理服务体系，从而全面提高某单位的工作效率，提升信息化

运用水平。

建设内容包括某单位内网骨干网络、基础设施和信息系统

等。

8

等保三级（等保2.0）建设综合解决方案2020年2月

第二章现状与差距分析

2.1现状概述

2.L1信息系统现状

本次项目中某单位外网项目中涉及的设备有：

1）服务器24台

2）网络设备若干路由器、交换机、ap

3）安全设备有：1台防火墙（过保）、WAF（过保）、2台

ips（dmz区前IPS已过保）、上网行为管理（过保）、

防病毒网关、绿盟安全审计系统、360天擎终端杀毒

（只具有杀毒模块）

4）存储设备：火星舱容灾备份

网络系统现状

某单位的网络系统整体构架采用三层层次化模型网络架构，

即由核心层、汇聚层和接入层组成。

网络现状：

核心层：核心层是网络的高速交换主干，对整个网络的连通

起到至关重要的作用。某单位内网核心，由1台DPX安全业务网

关组成。

汇聚层：汇聚层是网络接入层和核心层的“中介”，是在工

作站接入核心层前先做汇聚，以减轻核心层设备的负荷。某单位

等保三级（等保2.0）建设综合解决方案2020年2月

内网中，由迪普和H3C交换机作为内网的有线汇聚和内网的无线

汇聚交换机。

接入层：接入层向本地网段提供工作站接入。某单位内网网

络中，由各种品牌的交换机作为终端前端接入交换机，为各区域

提供接入。

在DPX核心交换机上划分VLAN和网关，整体网络中部署了防

病毒网关、IPS、UAG、DDK数据容灾备份系统。0A系统连接至无

线汇聚交换机。其他各系统旁路至核心交换机上。

安全现状：

在整体网络中部署有相应的安全设备做安全防护，但部分安

全设备过保，整体网络安全防护体系不够完善、区域划分不合

理，现状拓扑图如下：

图表1现状拓扑图

2.1.1.2主机系统现状

某单位的业务系统0A、文件交换箱等，部署于多台服务器

上。服务器为机架式服务器和塔式服务器，固定于标准机柜与固

定位置，并进行标识区分。服务器操作系统全都采用微软的

WindowsServer系列操作系统。

某单位办公终端约为300台，win7为主，XP系统占少数，主

机系统没有进行过定期更新补丁，安装有360天擎杀毒软件

等保三级（等保2.0）建设综合解决方案2020年2月

应用系统现状

某单位的应用系统主要为以下业务系统：0A、文件交换箱

等。也包含一些其他的办公软件。

2.2现状与差距分析

2.2・1物理安全现状与差距分析

某单位机房建设过程中参照B级机房标准参考进行统一规

划，存在的物理安全隐患较少。但仍需参照以下标准进行核查、

整改；根据信息安全等级保护（第三级）中对物理安全相关项

（防火、防雷、防水、防磁及电力供应等）存在些许差距。详见

下表差距分析。

图表2物理安全现状

是否

要求指标项现状分析备注

号符合

物理位置的选择（G3）

本项要求包括：

a）机房和办公

场地应选择在具有符合

满足

防震、防风和防雨要求

等能力的建筑内；

b）机房场地应符合

满足

避免设在建筑物的要求

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项现状分析备注

号符合

高层或地下室，以

及用水设备的下层

或隔壁。

物理访问控制（G3）

本项要求包括：

a）机房出入口

应安排专人值守，不符无相关

不满足

控制、鉴别和记录合要求记录

进入的人员；

b）需进入机房

有监

的来访人员应经过

不符控，但是没

申请和审批流程，不满足

合要求有申请和审

并限制和监控其活

批流程

动范围；

C）应对机房划依据业务系

分区域进行管理，统进行了机柜间在重要

区域和区域之间设基本的区域区分，但区域前设置

置物理隔离装置，符合要求未在重要区域前物理隔离装

在重要区域前设置设置物理隔离装置。

交付或安装等过渡置。

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项现状分析备注

号符合

区域；

d）重要区域

应配置电子门禁系

符合

统，控制、鉴别和基本满足

要求

记录进入的人员。

防盗窃和防破坏（G3）

本项要求包括：

a）应将主要设符合

满足

备放置在机房内；要求

b）应将设备或

主要部件进行固符合

满足

定，并设置明显的要求

不易除去的标记；

C）应将通信线

有部分

缆铺设在隐蔽处，不符

不满足线缆架设在

可铺设在地下或管合要求

半空中

道中；

d）应对介质分符合

满足

类标识，存储在介要求

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项现状分析备注

号符合

质库或档案室中；

e）应利用光、

符合

电等技术设置机房满足

要求

防盗报警系统；

f）应对机房设符合

满足

置监控报警系统。要求

防雷击（G3）

本项要求包括：

a）机房建筑应符合

满足

设置避雷装置；要求

b）应设置防雷

符合

保安器，防止感应满足

要求

雷；

C）机房应设置符合

满足

交流电源地线。要求

防火（G3）

本项要求包括：

a）机房应设置

基本安装有气体

火灾自动消防系

符合要求灭火装置

统，能够自动检测

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项现状分析备注

号符合

火情、自动报警，

并自动灭火；

b）机房及相关

的工作房间和辅助符合

满足

房应采用具有耐火要求

等级的建筑材料；

C）机房应采取

区域隔离防火措不符

不满足

施，将重要设备与合要求

其他设备隔离开。

防水和防潮（G3）

本项要求包括：

a）水管安装，

符合

不得穿过机房屋顶满足

要求

和活动地板下；

b）应采取措施

防止雨水通过机房符合

满足

窗户、屋顶和墙壁要求

渗透；

c）应采取措施符合满足

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项现状分析备注

号符合

防止机房内水蒸气要求

结露和地下积水的

转移与渗透；

d）应安装对水

敏感的检测仪表或符合

满足

组件，对机房进行要求

防水检测和报警。

防静电（G3）

本项要求包括：

a）主要设备应

符合

采用必要的接地防满足

要求

静电措施；

b）机房应采用符合

满足

防静电地板。要求

温湿度控制（G3）

本项要求包括：

机房应设置安装有动力

温、湿度自动调节符合环境监控系统，

设施，使机房温、要求建议机房日常温

湿度的变化在设备度控制在10〜

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项现状分析备注

号符合

运行所允许的范围28℃,湿度30〜

之内。70%o

电力供应（A3）

本项要求包括：

a）应在机房供

电线路上配置稳压基本

满足

器和过电压防护设符合要求

备；

设置UPS电

b）应提供短期

池供电，并至少

的备用电力供应，

符合保证断电时主要

至少满足主要设备

要求设备在满负荷情

在断电情况下的

况下4小时的正

正常运行要求；

常运行。

c）应设置冗余

只有一条出增加线

或并行的电力电缆不符

口线，极容易出缆，做到冗

线路为计算机系统合要求

现单点故障余

供电；

d）应建立备用符合

满足

供电系统。要求

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项现状分析备注

号符合

电磁防护（S3）

本项要求包括：

a）应采用接地

方式防止外界电磁符合

满足

干扰和设备寄生耦要求

介干扰；

b）电源线和通

0

信线缆应隔离铺符合

满足

设，避免互相干要求

扰；

C）应对关键设

符合

备和磁介质实施电满足

要求

磁屏蔽。

等保三级（等保2.0）建设综合解决方案2020年2月

2.2.2网络安全现状与差距分析

由于某单位前期口经行相关安全建设，仍有相关安全防护建

设不到位，主要表现出以下问题点：

1.网络结构基本清晰，但细节规划不合理；

2.新增移动接入链路，

3.面对日益突增的网络安全事件缺乏有效防御手段及应急机

制；

4.骨干网络架构规划不合理，核心交换区无冗余，安全防护

区域划分不明晰，不能对不同区域间防护措施、技术手段

进行统一规划，不同区域对恶意攻击的防范能力不一。

详见下表差距分析：

图表3网络安全现状

是否

要求指标项差距分析备注

号符合

结构安全（G3）

本项要求包括：

a）应保证主域网核心

要网络设备的业交换设备均采域网核心设

不符

务处理能力具备用单链路、单备至少有二台，

合要求

冗余空间，满足设备，无冗余采用多链路

业务高峰期需空间，一旦出

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项差距分析备注

号符合

要；现设备故障则

会出现单点故

障，无法有效

保障对外开放

的业务安全稳

定的运行。

b）应保证网

络各个部分的带符合

满足

宽满足业务高峰要求

期需要；

C）应在业务

终端与业务服务

符合

器之间进行路由满足

要求

控制建立安全的

访问路径；

d）应绘制与

我们会在工

当前运行情况相不符暂无拓扑

程结束后重新绘

符的网络拓扑结合要求图

制网络拓扑图。

构图；

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项差距分析备注

号符合

e）应根据各

部门的工作职

整体网络结

能、重要性和所

构中已按照需求

涉及信息的重要

进行子网划分。

程度等因素，划

基本但使用中存在混

分不同的子网或

符合要求舌L,没有按规定

网段，并按照方

使用。待本次项

便管理和控制的

目建设进行梳

原则为各子网、

理、严格限制

网段分配地址

段；

f）应避免将

重要网段部署在

网络边界处且直

接连接外部信息基本

满足

系统，重要网段符合要求

与其他网段之间

采取可靠的技术

隔离手段；

访问控制（G3）

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项差距分析备注

号符合

本项要求包括：

仅在dmz

建议在互联

a）应在网络区部署防火墙

网出口与服务器

边界部署访问控不符且防火墙已过

区前部署防火墙

制设备，启用访合要求保，其他区域

进边界隔离与访

问控制功能；未部署访问控

问控制

制设备

b）应能根据

会话状态信息为

数据流提供明确符合

满足

的允许/拒绝访问要求

的能力，控制粒

度为端口级；

c）应对进出

网络的信息内容

进行过滤，实现

符合

对应用层HTTP、满足

要求

FTP、TELNET、

SMTP、POP3等协

议命令级的控

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项差距分析备注

号符合

制；

d）应在会话

处于非活跃一定

符合

时间或会话结束满足

要求

后终止网络连

接；

未部署流

量控制设备，

无法根据所承

载的业务和带

e）应限制网

不符宽的实际情况部署上网行

络最大流量数及

合要求确定网络最大为管理及流控

网络连接数；

流量数和网络

连接数并进行

管理。

未部署访实现重要网

f）重要网段

不符问控制设备的段地址进行有效

应采取技术手段

合要求区域无法采用保护防止地址欺

防止地址欺骗；

包过滤或传输骗。

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项差距分析备注

号符合

控制协议，进

行边界访问控

制,防止地址

欺骗，应对网

络中的广播、

组播进行必要

的控制。

没有在服

g）应按用户

务器区前和网

和系统之间的允

络出口设置防

许访问规则，决新增2台防

火墙、认证网

定允许或拒绝用不符火墙实现不同安

关或授权管理

户对受控系统进合要求全域之间的访问

系统，可对单

行资源访问，控控制

个用户的访问

制粒度为单个用

进行策略控

户；

制。

h）应限制具

不符

有拨号访问权限不涉及

合要求

的用户数量。

安全审计（G3）

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项差距分析备注

号符合

本项要求包括：

有上网行

为管理设备

（过保），但

是并没有办法

对网络设备运部署综合日

行状况日志记志审计系统可对

录，而部署综来自不同厂商的

a）应对网络

合安全日志审安全设备、网络

系统中的网络设

计系统可对来设备、主机、操

备运行状况、网不符

自不同厂商的作系统、数据库

络流量、用户行合要求

安全设备、网系统、用户业务

为等进行日志记

络设备、主系统的日志、警

录；

机、操作系报等信息汇集到

统、数据库系审计中心,实现

统、用户业务综合安全审计。

系统的日志、

警报等信息汇

集到审计中

心，实现综合

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项差距分析备注

号符合

安全审计。

b）审计记录

应包括：事件的

日期和时间、用

符合

户、事件类型、满足

要求

事件是否成功及

其他与审计相关

的信息；

c）应能够根

据记录数据进行不符部署日志审

不满足

分析，并生成审合要求计系统

计报表；

d）应对审计

记录进行保护，安全审计口

符合

避免受到未预期满足志记录要求保存

要求

的删除、修改或至少半年以上。

覆盖等。

边界完整性检查（S3）

本项要求包括:

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项差距分析备注

号符合

a）应能够对

非授权设备私自

可通终端

联到内部网络的可采用终端

不符管理系统或ARP

行为进行检查，管理系统等手段

合要求绑定技术手段

准确定出位置，进行管理控制

实现

并对其进行有效

阻断；

b）应能够对

内部网络用户私

自联到外部网络

可采用终端

的行为进行检不符

管理系统等手段

查，准确定出位合要求

进行管理控制

置，并对其进行

有效阻断。

入侵防范（G3）

本项要求包括：

a）应在网络出口处部

基本

边界处监视以下署有IPS入侵

符合要求

攻击行为：端口防御

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项差距分析备注

号符合

扫描、强力攻

击、木马后门攻

击、拒绝服务攻

击、缓冲区溢出

攻击、IP碎片攻

击和网络蠕虫攻

击等；

b）当检测到

攻击行为时，记

录攻击源IP、攻

落实安全

击类型、攻击目基本

审计系统报警

的、攻击时间，符合要求

功能。

在发生严重入侵

事件时应提供报

警

恶意代码防范（G3）

本项要求包括：

a）应在网络

符合

边界处对恶意代满足

要求

码进行检测和清

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项差距分析备注

号符合

除；

b）应维护恶

意代码库的升级符合

和检测系统的更要求

新。

网络试洛防护（G3）

本项要求包括：

没有指定可以指定专

专人进行维人维护网络设

a）应对登录护。通过密码备，并通过用户

不符

网络设备的用户和用户名进行名和密码进行

合要求

进行身份鉴别；身份鉴别，同身份鉴别，同时

时也没有部署也可以部署堡垒

堡垒主机。主机

b）应对网络增添堡垒机

对管理员

设备的管理员登不符设备，这样可以

登陆地址没有

录地址进行限合要求有效对远程用户

限制。

制；进行管理。

c）网络设备不符网络设备重新对设备

用户的标识应唯合要求没有唯一的标进行标示。

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项差距分析备注

号符合

—*■

主要网络

d）主要网络

设备未对同一

设备应对同一用

用户选择两种

户选择两种或两不符

或两种以上组增设堡垒机

种以上组合的鉴合要求

合的鉴别技术

别技术来进行身

来进行身份鉴

份鉴别；

别；

e）身份鉴别

用户口令应

信息应具有不易

密码没有12位以上，数字

被冒用的特点，不符

定期更换，复和字母组成，至

口令应有复杂度合要求

杂度不够少3个月更换一

要求并定期更

次。

换；

f）应具有登

当一次登

录失败处理功

录密码错误次

能，可采取结束符合

数超过6次，

会话、限制非法要求

应能自动关闭

登录次数和当网

并告警。

络登录连接超时

等保三级（等保2.0）建设综合解决方案2020年2月

是否

要求指标项差距分析备注

号符合

自动退出等措

施；

g）当对网络

设备进行远程管传输中进

理时，应采取必不符行加密，可以

要措施防止鉴别合要求使用IPsecVPN

信息在网络传输技术

过程中被窃听；

网络管理

员、系统管理

员和安全审计

h）应实现设

不符员分开，并按部署堡垒机

备特权用户的权

合要求职责分工限制控制用户权限

限分离。

各自权限，但

无技术手段控

制。

等保三级（等保2.0）建设综合解决方案2020年2月

2.2.3主机安全现状与差距分析

某单位内网主机终端已部署终端杀毒软件。

终端主机安全现状差距分析，如下：

图表4主机安全现状

是否

要求指标项差距分析备注

号符合

身份鉴别（S3）

本项要求包括：

没有严格

通过账号密

a）应对登录

码限制操作

操作系统和数据

基本符系统和数据

库系统的用户进

合要求库系统的用

行身份标识和鉴

户登陆，进

别；

行身份标识

和鉴别；

b）操作系统系统管理员

和数据库系统管的登录身份标识

不符合

理用户身份标识不满足唯一，口令12

要求

应具有不易被冒位以上，且数字

用的特点，口令和字母大小写组

等保三级（等保2.0）建设综合解决方案2020年2月