結構安全（G3）

b)應保證網絡各個部分的寬帶滿足業務高峰期需要；

g)應按照對業務服務的需要次序來指定寬帶分配優先級別，保證在網絡發生擁堵的時候優先保護重要主機

訪問控制（G3）

a)應在網絡邊界部署訪問控制設備，啟用訪問控制功能

b)應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級

c)應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制

入侵防范（G3）

a)應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等

b)當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵時應提供報警。

惡心代碼防范（G3）

a)應在網絡邊界處對惡意代碼進行檢測和清楚

b)應維護惡意代碼庫的升級和檢測系統的更新

安全審計（G3）

a)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；

b)審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；

c)應能夠根據記錄數據進行分析，并生成審計報表；

d)應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等

安全審計（G3）

a)審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶

b)審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令額使用等系統內重要的安全相關事件

c)審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；

d)應能夠根據記錄數據進行分析，并生成審計報表；

e)應保護審計進程，避免受到未預期的中端；

f)應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等

日志審計系統

數據庫審計系統

日志服務器

惡心代碼防范（G3）

a)應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；

b)主機防惡意代碼產品應具有與網絡惡意代碼產品不同的惡意代碼庫；

c)應支持防惡意代碼的統一管理

資源管理（A3）

c)應對重要服務器進行監視，包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況；

d)應限制單個用戶對系統資源的最大或最小使用限度；

e)應能夠對系統的服務水平降低到預先規定的最小值進行檢測和 報警。

訪問控制（G2）

a)應在網絡邊界部署訪問控制設備，啟用訪問控制功能；

b)應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為網段級

c)應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶

防火墻

（網站系統，需部署web應用防火墻、防篡改系統）

入侵防范（G3）

應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等

安全審計（G3）

a)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；

安全審計（G3）

a)審計范圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶

d)應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等

日志審計系統

日志服務器

惡心代碼防范（G3）

a)應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；

b)應支持防惡意代碼的統一管理