一、云上安全等级保护必备产品（三级）

序号	安全产品	合规对应要求
1	安全组	**一般情况下为云服务商免费提供；**用于满足等保要求中的网络架构、边界防护和访问控制等方面基本的端口阻断和ACL安全策略实现。
2	VPC专有网络	**一般情况下为云服务商免费提供；**用于实现虚拟网络架构搭建，如Vlan划分等，满足等保基本的网络架构划分要求。
3	SSL证书	**必备；**在云上签发各品牌数字证书，实现WEB应用HTTPS化，使网站可信，防劫持、防篡改、防监听、安全加密。统一生命周期管理，简化证书部署，一键分发到CDN、负载均衡、OSS等其它云上产品；也可以自行建立SSL（省钱）。
4	云防火墙	**必备；**云防火墙可以基于业务可视化、实现业务分区／分组，管理员将可以清晰的甄别合法访问和非法访问，从而执行安全隔离和访问控制策略。用于满足等保要求中的边界防护和访问控制等要求（防火墙采购什么版本应按照自身业务的大小、流量的大小进行综合考虑，且每个云服务商提供的版本名称不太一样，建议在采购之前咨询专业机构）。
5	WAF	**必备；**主要用于应用层的安全防护，如：官方网站。
6	云安全中心	**必备；**在有的云服务商提供的产品中又名主机安全，用于实时监控整体安全，对漏洞，入侵，攻击进行实时可视化展示，可配置短信，邮件告警；云上服务器全端口扫描，应用漏洞扫描，0day漏洞扫描，CMS漏洞扫描等；主要用于满足等保中定期漏扫的要求。
7	云堡垒机	**根据需求采购；**用于实现云上服务器的操作运维审计和账号权限管理（根据自身的业务需求考虑，一般服务器超过10台为必备采购；也可以单独划分一台服务器，用于自行搭建开源堡垒机，如：jumpserver等）。
8	日志审计SLS	**必备；**云上控制台账号的操作审计功能打开后，仅可保留近3个月的日志，因此需要采购SLS服务，此服务类似于日志存储服务器，采购之后配置好策略，控制台日志会自动传输至SLS中，保证满足6个月日志安全法要求；此服务一般为按量计费。
9	OSS存储	**必备；**OSS存储用于实现等保要求中业务数据的定期备份以及异地备份（在OSS中建立不同的存储桶，选择不同地域，进而实现异地备份）。
10	RDS数据库	**可选；**RDS数据库为云服务商提供的一种统一、便捷的数据库管理平台；根据等保要求，可在服务器上自行部署数据库，并非必须的采购项
11	数据库日志审计	**可选；**数据库审计主要针对于数据库的审计日志进行收集分析，实现审计功能；也可以在数据库中自行开启审计功能、自行分析，用于实现等保要求中实现审计功能和审计日志满足180天的要求。

二、云上安全等级保护必备产品（二级）

序号	安全产品	合规对应要求
1	安全组	**一般情况下为云服务商免费提供；**用于满足等保要求中的网络架构、边界防护和访问控制等方面基本的端口阻断和ACL安全策略实现。
2	VPC专有网络	**一般情况下为云服务商免费提供；**用于实现虚拟网络架构搭建，如Vlan划分等，满足等保基本的网络架构划分要求。
3	SSL证书	**必备；**在云上签发各品牌数字证书，实现WEB应用HTTPS化，使网站可信，防劫持、防篡改、防监听、安全加密。统一生命周期管理，简化证书部署，一键分发到CDN、负载均衡、OSS等其它云上产品；也可以自行建立SSL（省钱）。
4	云防火墙	**必备；**云防火墙可以基于业务可视化、实现业务分区／分组，管理员将可以清晰的甄别合法访问和非法访问，从而执行安全隔离和访问控制策略。用于满足等保要求中的边界防护和访问控制等要求（防火墙采购什么版本应按照自身业务的大小、流量的大小进行综合考虑，且每个云服务商提供的版本名称不太一样，建议在采购之前咨询专业机构）。
5	WAF	**WEB业务必备、非WEB业务不必采购；**主要用于应用层的安全防护，如：官方网站。
6	云安全中心	**必备；**在有的云服务商提供的产品中又名主机安全，用于实时监控整体安全，对漏洞，入侵，攻击进行实时可视化展示，可配置短信，邮件告警；云上服务器全端口扫描，应用漏洞扫描，0day漏洞扫描，CMS漏洞扫描等；主要用于满足等保中定期漏扫的要求。
7	云堡垒机	**根据需求采购；**用于实现云上服务器的操作运维审计和账号权限管理（根据自身的业务需求考虑，一般服务器超过10台为必备采购；也可以单独划分一台服务器，用于自行搭建开源堡垒机，如：jumpserver等）。
8	日志审计SLS	**必备；**云上控制台账号的操作审计功能打开后，仅可保留近3个月的日志，因此需要采购SLS服务，此服务类似于日志存储服务器，采购之后配置好策略，控制台日志会自动传输至SLS中，保证满足6个月日志安全法要求；此服务一般为按量计费。
9	OSS存储	**必备；**OSS存储用于实现等保要求中业务数据的定期备份以及异地备份（在OSS中建立不同的存储桶，选择不同地域，进而实现异地备份）。

三、传统网络等级保护安全必备产品（三级）

序号	安全产品	合规对应要求
1	边界防火墙	**必备；**应在网络边界部署访问控制设备，启用访问控制功能。（根据业务采购多台）
2	区域防火墙	**必备；**各网络区域应该采取可靠的技术隔离手段。（根据业务采购多台）
3	IPS	**必备；**在网络边界处监视攻击行为并告警。
4	WAF	**必备；**主要用于应用层的安全防护，如：官方网站。
5	堡垒机	**必备；**堡垒机可实现双因素认证，并且可实现所有设备的统一管理。
6	终端准入系统	**必备；**对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断。
7	SSL证书	**必备；**实现应用HTTPS化，使网站可信，防劫持、防篡改、防监听、安全加密。也可以自行建立SSL（省钱）。
8	日志审计系统	**必备；**用于实现整体网络中所有设备的日志收集、分析。
9	漏洞扫描设备	**可选；**用于实现整体网络中所有设备的定期漏洞扫描，分析。也可采用开源漏扫工具替代。
10	防毒墙/防病毒网关	可选；在网络层对恶意代码进行检测和清除。（实现不了可在主机层安装杀毒实现对恶意代码的检测清除）。
11	上网行为管理	可选；对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。（根据业务系统的不同，选择是否配备，OA系统必备）
12	企业版杀毒	**可选；**用于实现主机层杀毒统一管理，统一升级等；可以使用免费个人版代替，如：火绒杀毒、360杀毒、瑞星杀毒、江民杀毒等，虽无法实现统一管理，但核心杀毒可以做到。
13	数据库审计系统	**可选；**用于实现数据库的日志收集、分析；根据等保高风险判定，只要数据库均开启审计功能，且日志满足180天即可。
14	网络监控系统	**可选；**用于整个网络中设备的运行状态监控；可自行部署开源监控替代，如：zabbix。
15	态势感知	**可选；**用于整个网络中设备的流量监控、新型网络攻击行为发现、分析；

三、传统网络等级保护安全必备产品（二级）

序号	安全产品	合规对应要求
1	边界防火墙	**必备；**应在网络边界部署访问控制设备，启用访问控制功能。（根据业务采购多台）
2	区域防火墙	**必备；**各网络区域应该采取可靠的技术隔离手段。（根据业务采购多台）
3	IPS	**必备；**在网络边界处监视攻击行为并告警。
4	WAF	**必备；**主要用于应用层的安全防护，如：官方网站。
5	堡垒机	**必备；**堡垒机可实现双因素认证，并且可实现所有设备的统一管理。
6	终端准入系统	**必备；**对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断。
7	SSL证书	**必备；**实现应用HTTPS化，使网站可信，防劫持、防篡改、防监听、安全加密。也可以自行建立SSL（省钱）。
8	日志审计系统	**必备；**用于实现整体网络中所有设备的日志收集、分析。
9	漏洞扫描设备	**可选；**用于实现整体网络中所有设备的定期漏洞扫描，分析。也可采用开源漏扫工具替代
10	上网行为管理	可选；对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。（根据业务系统的不同，选择是否配备，OA系统必备）
11	企业版杀毒	**可选；**用于实现主机层杀毒统一管理，统一升级等；可以使用免费个人版代替，如：火绒杀毒、360杀毒、瑞星杀毒、江民杀毒等，虽无法实现统一管理，但核心杀毒可以做到。
12	数据库审计系统	**可选；**用于实现数据库的日志收集、分析；根据等保高风险判定，只要数据库均开启审计功能，且日志满足180天即可。
13	网络监控系统	**可选；**用于整个网络中设备的运行状态监控；可自行部署开源监控替代，如：zabbix。
14	态势感知	**可选；**用于整个网络中设备的流量监控、新型网络攻击行为发现、分析；