最近后台被问:“2026年等保三级测评,到底哪些设备是必装的?”“少装一项会不会直接合规失败?”
只能说,2026年等保三级测评只会更严,不会放松。不同于往年“凑够设备就能蒙混过关”,今年测评机构会重点核查“设备落地效果+管理制度配套”,尤其是以下20项核心设备,缺一项都可能导致测评不通过,直接影响企业业务开展。
本文所有设备清单,均严格依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019,等保2.0核心标准),结合2026年最新测评细则(含金融、政务、医疗等重点行业专项要求)整理。
等保三级的核心是“纵深防御”,设备采购只是基础,配套的管理制度、人员培训、应急演练同样重要,千万别陷入“只买设备不做管理”的误区。
等保三级谁必须做?2026年测评有何新变化?
在列设备清单前,先帮大家理清两个关键问题,避免白花钱、走弯路:
- 1. 适用范围:根据GB/T 22240-2020《定级指南》,等保三级适用于“系统遭到破坏后,可能对社会秩序、公共利益造成严重损害,或对国家安全造成损害”的信息系统,典型场景包括:
- • 地市级以上党政机关门户网站、政务办公系统;
- • 三甲医院HIS、LIS、PACS等医疗核心系统;
- • 互联网金融、保险、证券等非银行金融机构核心业务系统;
- • 在线教育、物流、能源等跨省或全国联网平台;
- • 大型制造业、国企核心生产、运维系统。
- 2. 2026年测评新变化:结合近期各地测评细则(以上海、广东等地最新要求为例),今年测评有3个核心变化,直接影响设备选型和合规落地:
- • 国产化要求趋严:金融、政务等重点行业,核心安全设备需优先选用通过国家认证的国产化产品,外资设备需提供安全互认证明;
- • 供应链安全纳入必查项:外采软硬件、AI模型需提供供应链安全审查报告,未覆盖将直接扣分;
- • 实战化测评加强:不再只核查设备是否部署,更会测试设备实际防护效果(如漏洞扫描、攻击拦截、日志回溯能力)。
明确以上前提,再看下面的20项必装设备——每一项都对应等保三级73类测评项、近300条细则中的核心要求,缺一不可。
2026年等保三级必装设备清单(分5大类,附合规依据+实测要点)
按等保2.0技术要求的5大层面(物理安全、网络安全、主机安全、应用安全、数据安全)分类整理,每一项均标注“合规依据+核心用途+不装影响”,结合实测案例说明,拒绝空洞表述,企业可直接对照自查。
第一类:物理安全设备(8项,测评基础项,一票否决风险高)
物理安全是等保三级的“底线”,涵盖机房环境、设备防护等,所有设备均需部署在独立机房(无独立机房的企业,需租赁符合要求的专用机房),测评时会现场核查设备运行状态和日志,缺一项基本无法通过物理层面测评。
1. 电子门禁系统
合规依据:GB/T 22239-2019 5.1.1.1(物理访问控制);
核心用途:实现机房区域隔离,控制人员进出权限,需采用“刷卡+密码”或生物识别(指纹、人脸)双重认证,记录所有出入日志(含人员、时间、事由),日志保存周期不少于6个月;
不装影响:物理访问控制项直接判“不符合”,属于高风险项,测评机构会要求立即整改,否则终止测评;
实测要点:避免只装门禁不记录日志,或日志保存周期不足——去年某政务单位因门禁日志只保存3个月,被要求补充部署日志存储模块,延误测评周期1个月。
2. 视频监控系统
合规依据:GB/T 22239-2019 5.1.1.2(物理访问审计);
核心用途:覆盖机房全域(含出入口、设备区域、操作区),实现7×24小时实时监控,录像分辨率不低于1080P,存储周期不少于90天(重点行业需不少于180天),具备异常行为智能分析功能;
不装影响:物理审计项不达标,无法证明机房访问可追溯,直接影响物理层面测评结果;
实测要点:监控不能有盲区(尤其是设备机柜区域),避免采用普通家用监控——某医疗单位曾因机房角落无监控覆盖,被测评机构要求加装摄像头,额外增加整改成本。
3. 防盗报警装置
合规依据:GB/T 22239-2019 5.1.1.3(防盗窃和破坏);
核心用途:与视频监控系统联动,部署在机房门窗、设备区域,非法入侵时触发声光报警,并能及时通知安保人员或运维人员;
不装影响:物理防护存在重大漏洞,测评时会判定为高风险项,需限期整改后复测;
实测要点:报警装置需定期测试(建议每月1次),避免出现“报警失灵”情况——实测中,不少企业因长期未测试,导致测评时报警装置无法正常工作,被扣分。
4. 气体灭火系统
合规依据:GB/T 22239-2019 5.1.2.1(防火);
核心用途:替代干粉灭火器(避免损坏电子设备),配备温感、烟感双重探测器,触发火灾警报后,能自动释放灭火气体(如七氟丙烷),且具备手动控制功能;
不装影响:防火项不达标,属于一票否决类高风险项,直接影响整体合规结果;
实测要点:灭火气体需定期检测压力(建议每季度1次),机房内禁止存放易燃易爆物品——某互联网企业曾因机房存放酒精,被测评机构要求立即清理,并补充气体灭火系统检测报告。
5. 水浸检测设备
合规依据:GB/T 22239-2019 5.1.2.2(防水);
核心用途:部署在机房地面、空调下方、水管附近,检测到漏水时及时触发报警,避免设备因进水损坏,保护数据安全;
不装影响:防水项不达标,测评时会判定为中高风险项,需补充部署后复测;
实测要点:水浸检测绳需全面覆盖可能漏水的区域,避免遗漏空调冷凝水管下方——某制造业企业曾因空调漏水未被检测到,导致服务器损坏,不仅影响业务,还未通过等保测评。
6. 精密空调
合规依据:GB/T 22239-2019 5.1.2.3(温湿度控制);
核心用途:维持机房温湿度稳定(温度控制在20-25℃,湿度40%-60%,误差±2℃),避免设备因温湿度异常过热、受潮损坏;
不装影响:温湿度控制项不达标,长期运行可能导致设备故障,测评时会要求补充部署;
实测要点:避免用普通家用空调替代,精密空调需具备24小时不间断运行能力,定期清洁滤网(建议每月1次),留存运行日志。
7. UPS不间断电源
合规依据:GB/T 22239-2019 5.1.3.1(供电);
核心用途:应对突发停电,保障机房核心设备(服务器、交换机、审计设备)持续运行,后备续航时间不少于4小时(重点行业需不少于8小时);
不装影响:供电项不达标,无法保障业务连续性,属于高风险项,直接影响测评结果;
实测要点:UPS需定期充放电测试(建议每季度1次),检查电池状态,避免停电时无法正常供电——某金融机构曾因UPS电池老化,停电后核心系统中断,被监管部门约谈,同时未通过等保复测。
8. 备用发电机
合规依据:GB/T 22239-2019 5.1.3.2(冗余供电);
核心用途:作为UPS的补充,应对长时间停电(超过UPS续航时间),保障机房设备持续运行,尤其适用于核心业务不能中断的企业(如金融、医疗);
不装影响:冗余供电项不达标,测评时会判定为中高风险项,非核心行业可限期整改,核心行业直接影响合规结果;
实测要点:备用发电机需定期启动测试(建议每月1次),储备足够的燃油,确保停电时能快速启动——某三甲医院曾因备用发电机无法启动,停电后医疗系统中断,被通报批评。
第二类:网络安全设备(6项,纵深防御核心,实测高频核查项)
网络安全是等保三级的“核心防线”,涵盖边界防护、访问控制、审计留痕等,所有设备需形成联动防护体系,测评时会重点核查设备策略配置、日志完整性和攻击拦截能力,缺一项会导致网络层面测评不通过。
9. 下一代防火墙(NGFW)
合规依据:GB/T 22239-2019 5.2.1.1(边界防护);
核心用途:部署在网络边界(内网与外网、内网不同区域之间),实现访问控制、流量检测、应用层协议识别、抗DDoS攻击、IPSEC VPN等功能,策略配置遵循“最小权限原则”;
不装影响:边界防护项直接判“不符合”,属于一票否决类高风险项,无法通过网络层面测评;
实测要点:避免用普通防火墙替代,下一代防火墙需支持应用层防护(如防SQL注入、XSS攻击),定期更新攻击特征库(建议每周1次),留存访问控制日志——某互联网企业曾因防火墙策略配置过宽,被测评机构要求整改,延误测评周期2周。主流设备可参考华为USG、深信服防火墙、绿盟FW等。
10. 入侵检测/防御系统(IDS/IPS)
合规依据:GB/T 22239-2019 5.2.1.2(入侵防范);
核心用途:IDS负责实时监控网络流量,识别潜在安全威胁(如端口扫描、恶意攻击)并生成告警;IPS在IDS基础上,能自动拦截检测到的攻击行为,建议采用旁路镜像部署;
不装影响:入侵防范项不达标,无法及时发现和拦截网络攻击,属于高风险项,直接影响网络层面测评结果;
实测要点:IDS/IPS需与防火墙联动,定期更新攻击特征库(建议每周1次),留存告警日志和拦截记录——实测中,不少企业因未开启IPS拦截功能,被测评机构判定为“防护无效”,需整改后复测。主流设备可参考启明星辰IDS/IPS、绿盟NISG等。
11. 负载均衡设备
合规依据:GB/T 22239-2019 5.2.3.1(网络冗余);
核心用途:部署在核心网络节点,实现流量分发,避免单一设备过载,保障网络链路和核心服务的连续性,支持双机热备或集群部署;
不装影响:网络冗余项不达标,核心服务存在单点故障风险,测评时会判定为中高风险项;
实测要点:负载均衡设备需配置冗余策略,定期测试故障切换功能(建议每月1次),确保单一设备故障时,流量能快速切换至备用设备——某电商平台曾因负载均衡设备故障,导致高峰期服务中断,同时未通过等保测评。
12. VPN设备(国密算法)
合规依据:GB/T 22239-2019 5.2.2.1(远程访问安全);
核心用途:供远程运维人员、分支机构访问内网核心系统,需采用国密算法(如SM4)加密传输,实现身份鉴别、权限控制,记录远程访问日志;
不装影响:远程访问安全项不达标,远程访问存在数据泄露、非法入侵风险,测评时会要求补充部署;
实测要点:VPN设备需开启双因子认证(如口令+U-Key),禁止使用弱密码,定期清理无效访问账号——某物流企业曾因VPN弱密码被破解,导致内网数据泄露,不仅被处罚,还未通过等保测评。
13. 堡垒机(运维审计系统)
合规依据:GB/T 22239-2019 5.2.4.1(运维审计);
核心用途:集中管理内网设备(服务器、交换机、路由器)的运维操作,实现身份鉴别、权限分级、操作录像、日志回溯,所有运维操作均需留痕,日志保存周期不少于6个月;
不装影响:运维审计项不达标,无法追溯运维操作,属于高风险项,直接影响网络层面测评结果;
实测要点:禁止运维人员直接访问核心设备,所有运维操作必须通过堡垒机进行,定期审计运维日志,清理闲置运维账号——某国企曾因运维人员直接登录服务器操作,且无审计记录,被测评机构要求全面整改,整改周期长达1个月。
14. 日志审计系统
合规依据:GB/T 22239-2019 5.2.4.2(日志集中管理);
核心用途:集中归集内网所有设备(防火墙、IDS/IPS、堡垒机、服务器)的日志,实现日志分类、分析、检索、备份,日志保存周期不少于6个月(重点行业需不少于12个月);
不装影响:日志集中管理项不达标,无法实现安全事件追溯,属于高风险项,直接影响网络层面测评结果;
实测要点:避免日志分散存储,日志审计系统需支持异常日志告警功能,定期备份日志(建议每日备份)——某制造企业曾因未规划日志存储容量,导致审计数据丢失,被测评机构要求采用分布式存储架构整改。主流设备可参考安恒日志审计、乾坤云一体机日志模块等。
第三类:主机安全设备(2项,终端防护核心,易被忽视但必查)
主机安全涵盖服务器、终端设备的防护,虽然设备数量少,但均为必查项,实测中不少企业因忽视主机安全,导致整体测评扣分,甚至不通过。
15. 数据库审计系统
合规依据:GB/T 22239-2019 5.3.4.1(数据库安全审计);
核心用途:监控数据库的所有操作(如查询、修改、删除),实现操作留痕、异常行为告警、权限控制,支持三权分立管理,日志保存周期不少于6个月;
不装影响:数据库安全项不达标,无法追溯数据库操作,存在数据泄露、篡改风险,属于高风险项;
实测要点:数据库审计系统需覆盖所有核心数据库(如MySQL、Oracle),重点监控敏感数据(如身份证、银行卡号)的操作,定期审计异常操作日志——某金融机构曾因数据库审计缺失,导致敏感客户数据被篡改,被监管部门处罚,等保测评直接不通过。主流设备可参考乾坤云一体机数据库模块等。
16. 网络版恶意代码防护设备(含EDR)
合规依据:GB/T 22239-2019 5.3.2.1(恶意代码防范);
核心用途:部署在所有服务器、终端设备上,实现恶意代码(病毒、木马、勒索病毒)的查杀、隔离、预警,支持统一管理、病毒库同步更新(更新间隔不超过24小时),终端检测与响应系统(EDR)需具备实时监控、应急处置能力;
不装影响:恶意代码防范项不达标,终端设备易被入侵,属于高风险项,直接影响主机层面测评结果;
实测要点:避免使用个人版杀毒软件,网络版恶意代码防护设备需实现全网覆盖,定期进行全盘扫描(建议每周1次),留存查杀日志——某医疗单位曾因终端未安装网络版杀毒软件,导致勒索病毒入侵,医疗数据被加密,无法正常开展业务,等保测评也未通过。主流终端安全产品可参考360企业安全、江民杀毒等。
第四类:应用安全设备(1项,应用层防护,重点行业必装)
应用安全主要针对网站、核心应用系统,虽然只有1项必装设备,但对于有对外服务、核心应用系统的企业,属于一票否决类项目,缺一不可。
17. 网页防篡改系统(针对网站/应用系统)
合规依据:GB/T 22239-2019 5.4.2.1(应用层防护);
核心用途:保护企业官网、对外服务平台等应用系统,防止网页被篡改、挂马,实现实时监控、篡改恢复、告警通知,记录篡改日志;
不装影响:应用层防护项不达标,对外应用系统存在安全风险,有对外网站、应用的企业,直接影响应用层面测评结果;
实测要点:网页防篡改系统需与应用系统联动,定期备份网页文件(建议每日备份),开启实时监控功能——某政务单位曾因官网被篡改,发布不良信息,被通报批评,等保测评直接不通过,后续花费大量时间整改。
第五类:数据安全设备(3项,2026年重点核查项,合规核心)
数据安全是2026年等保三级测评的重点,涵盖数据备份、加密、防护,所有设备均需满足数据分类分级、隐私保护要求,缺一项会导致数据层面测评不通过,甚至被监管部门处罚。
18. 数据备份设备
合规依据:GB/T 22239-2019 5.5.3.1(数据备份与恢复);
核心用途:实现核心数据(业务数据、客户数据、系统数据)的备份,需采用“本地热备+同城冷备+异地灾备”三级备份机制,本地备份每日全量,异地备份每周全量,备份数据保存周期不少于1年,RPO≤24h,RTO≤4h;
不装影响:数据备份项不达标,无法应对数据丢失、损坏风险,属于一票否决类高风险项,直接影响整体合规结果;
实测要点:定期测试备份数据的恢复能力(建议每月1次),确保备份数据可正常恢复,避免备份设备闲置——某互联网企业曾因备份数据无法恢复,服务器故障后数据丢失,业务中断3天,被处罚,等保测评也未通过。
19. 数据加密设备
合规依据:GB/T 22239-2019 5.5.2.1(数据加密保护);
核心用途:对敏感数据(如身份证、银行卡号、医疗记录)进行加密存储(采用AES-256或国密SM4算法)、加密传输(采用TLS1.2+或国密SSL协议),实现密钥分级管理;
不装影响:数据加密项不达标,敏感数据存在泄露风险,属于高风险项,重点行业(金融、医疗、政务)直接不通过测评;
实测要点:加密算法需获得国家密码管理局认可,定期更换加密密钥(建议每季度1次),留存加密、解密日志——某医疗单位曾因敏感医疗数据未加密存储,数据泄露,被监管部门处罚50万元,等保测评直接不通过。
20. 网络准入控制系统
合规依据:GB/T 22239-2019 5.5.1.1(数据访问控制);
核心用途:控制终端设备接入内网,实现身份鉴别、设备合规检查(如是否安装杀毒软件、是否打齐补丁),禁止非法设备接入内网,保护内网数据安全;
不装影响:数据访问控制项不达标,内网数据存在泄露、非法访问风险,属于高风险项,直接影响数据层面测评结果;
实测要点:网络准入控制系统需与终端安全设备联动,定期清理非法接入设备记录,留存接入日志——某企业曾因非法设备接入内网,导致核心数据泄露,等保测评未通过,后续全面部署准入控制系统整改。
重点提醒:2026年等保三级实测常见误区
结合近期实测案例,很多企业装齐20项设备后,仍未通过测评,核心原因是陷入了以下误区,尤其是第3、4点,几乎是所有企业的“重灾区”,务必避开。
误区1:只买设备,不做配套管理制度
等保三级测评,“技术+管理”缺一不可,设备只是基础,配套的管理制度同样是必查项。很多企业以为装齐设备就万事大吉,却未制定安全管理制度、应急预案、人员培训计划,导致管理项0分,直接判“不符合”。
正确做法:至少制定12份核心制度文件(含安全策略、运维管理、应急处置、审计管理、人员安全等),每年评审更新,留存人员培训、应急演练记录(至少每半年1次)。
误区2:用一体机替代所有独立设备,忽视测评验证
近年来,乾坤云一体机等集成设备因集成防火墙、审计、认证等多种功能,能降低维护成本,受到很多企业青睐。但不少企业误以为一体机可以替代所有独立设备,且未向测评机构说明设备功能覆盖情况,导致测评时被判定为“防护功能不达标”。
正确做法:一体机可用于简化部署,但需确保覆盖等保三级所有核心防护要点,测评时需向机构提供功能验证报告,证明每一项防护功能均可正常使用。
误区3:设备部署后,不开启核心功能、不更新策略
实测中,很多企业部署了IDS/IPS、防火墙等设备,但未开启攻击拦截、异常告警等核心功能,或长期不更新攻击特征库、设备策略,导致设备沦为“摆设”,测评时被判定为“防护无效”。
正确做法:设备部署后,立即开启所有核心防护功能,定期更新攻击特征库、病毒库(建议每周1次),每季度检查设备策略,及时调整优化,留存更新、调整日志。
误区4:云平台已过三级,租户系统无需再整改
很多企业租用公有云平台,误以为云平台已通过等保三级测评,自己的租户系统就无需再整改。实际上,云平台的三级合规,仅覆盖平台自身,租户系统的操作系统、应用、数据,仍需企业自行整改,否则无法通过测评。
正确做法:云平台租户需对自身系统进行独立整改,部署必要的安全设备,建立管理制度,测评时需提供租户系统的合规证明材料。
误区5:忽视年度复测和重大变更重测
等保三级备案证明有效期为3年,但并非通过一次测评就一劳永逸。很多企业通过测评后,忽视年度复测,或系统发生重大变更(如新增核心设备、业务调整)后,未及时开展重测,导致合规失效。
正确做法:每年至少开展1次年度复测,系统发生重大变更后,1个月内开展重测,留存复测报告,确保持续合规。
2026年等保三级自查与整改建议(实操性极强)
对于还未开展等保三级整改的企业,结合2026年最新测评要求,给出以下实操建议,帮助大家高效合规,避免踩坑:
1. 自查阶段(1-2周)
对照本文20项设备清单,逐一核查自身设备部署情况,重点记录“未部署设备、设备功能未开启、日志不完整”的项,同时核查配套管理制度、人员培训、应急演练记录是否齐全,形成自查报告,明确整改重点和优先级。
2. 整改阶段(3-6周)
优先部署高风险项设备(如防火墙、IDS/IPS、数据备份设备、气体灭火系统),再补充其他设备;同步完善配套管理制度,开启设备核心防护功能,更新攻击特征库、病毒库,开展人员安全培训和应急演练,留存所有整改记录。
小贴士:中小型企业可优先选择通过国家认证的国产化设备,重点行业(金融、政务)需提前落实国产化要求,避免后期整改返工;预算有限的企业,可优先采用一体机简化部署,但需确保功能覆盖齐全。
3. 测评阶段(1个月)
选择具备CCRC资质的测评机构(从全国测评机构推荐目录中选取),提前准备好自查报告、设备运行日志、管理制度、应急演练记录等材料,配合机构开展现场测评,针对测评中提出的问题,及时整改,确保复测通过。
4. 运维阶段(持续)
建立常态化安全运维机制,定期检查设备运行状态,更新设备策略和特征库,审计安全日志,开展安全培训和应急演练,每年开展年度复测,确保系统持续符合等保三级要求。
总结
2026年,等保三级测评已进入“实战化、精细化”阶段,不再是“装齐设备就能过关”,而是更注重设备实际防护效果、管理制度落地和数据安全保护。
文章来源:HACK之道
暂无评论内容