安全等级保护级和级等保要求.docx
《安全等级保护级和级等保要求.docx》由会员分享,可在线阅读,更多相关《安全等级保护级和级等保要求.docx(82页珍藏版)》请在冰豆网上搜索。
安全等级保护级和级等保要求
二级、三级等级保护要求比较
一、
技术要求
技术要求项
二级等保
三级等保
物理
1)机房和办公场所应选择在
1)机房和办公场所应选择在拥有防震、防风
安全
拥有防震、防风和防雨等
和防雨等能力的建筑内;
物理
能力的建筑内。
2)机房场所应防范设在建筑物的高层或地下
地点
的选
室,以及用水设备的基层或近邻;
3)机房场所应该避开强电场、强磁场、强震
择
动源、强噪声源、重度环境污染、易发生
火灾、水灾、易遭到雷击的地区。
物理
1)机房进出口应有专人值
1)机房进出口应有专人值守,鉴别进入的人
接见
守,鉴别进入的人员身份
员身份并登记在案;
控制
并登记在案;
2)应同意进入机房的来访人员,限制和监控
2)应同意进入机房的来访人
其活动范围;
员,限制和监控其活动范
3)对付机房区分地区进行管理,地区和地区
围。
之间设置物理隔断装置,在重要地区前设
置交付或安装等过分地区;
4)对付重要地区配置电子门禁系统,鉴别和
记录进入的人员身份并监控其活动。
防盗
1)应将主要设备搁置在物理
1)应将主要设备搁置在物理受限的范围内;
窃和
受限的范围内;
2)对付设备或主要零件进行固定,并设置明
防破
2)对付设备或主要零件进行
显的没法除去的标志;
坏
固定,并设置显然的不易
3)应将通讯线缆铺设在隐蔽处,如铺设在地
除去的标志;
下或管道中等;
3)应将通讯线缆铺设在隐蔽
4)对付介质分类表记,储存在介质库或档案
处,如铺设在地下或管道
室中;
中等;
5)设备或储存介质携带出工作环境时,应受
4)对付介质分类表记,储存
到监控和内容加密;
在介质库或档案室中;
6)应利用光、电等技术设置机房的防盗报警
5)应安装必需的防盗报警设
系统,以防进入机房的盗窃和损坏行为;
施,以防进入机房的盗窃
7)对付机房设置监控报警系统。
和损坏行为。
技术要求项
防雷
击
防火
防水
和防
潮
防静
电
温湿
度控
制
电力
供应
电磁
防范
二级等保
三级等保
1)机房建筑应设置避雷装
1)机房建筑应设置避雷装置;
置;
2)应设置防雷保安器,防范感觉雷;
2)应设置沟通电源地线。
3)应设置沟通电源地线。
1)应设置灭火设备和火灾自
1)应设置火灾自动消防系统,自动检测火
动报警系统,并保持灭火
情、自动报警,并自动灭火;
设备和火灾自动报警系统
2)机房及相关的工作房间和协助房,其建筑
的优异状态。
资料应拥有耐火等级;
3)机房采纳地区隔断防火措施,将重要设备
与其余设备隔走开。
1)水管安装,不得穿过屋顶
1)水管安装,不得穿过屋顶和活动地板下;
和活动地板下;
2)对付穿过墙壁和楼板的水管增添必需的保
2)对付穿过墙壁和楼板的水
护措施,如设置套管;
管增添必需的保护措施,
3)应采纳措施防范雨水经过屋顶和墙壁渗
如设置套管;
透;
3)应采纳措施防范雨水经过
4)应采纳措施防范室内水蒸气结露和地下积
屋顶和墙壁浸透;
水的转移与浸透。
4)应采纳措施防范室内水蒸
气结露和地下积水的转移
与浸透。
1)应采纳必需的接地等防静
1)应采纳必需的接地等防静电措施;
电措施
2)应采纳防静电地板。
1)应设置温、湿度自动调理
1)应设置恒温恒湿系统,使机房温、湿度的
设备,使机房温、湿度的
变化在设备运转所同意的范围以内。
变化在设备运转所同意的
范围以内。
1)计算机系统供电应与其余
1)计算机系统供电应与其余供电分开;
供电分开;
2)应设置稳压器和过电压防范设备;
2)应设置稳压器和过电压防
3)应供应短期的备用电力供应(如
UPS设
护设备;
备);
3)应供应短期的备用电力供
4)应设置冗余或并行的电力电缆线路;
应(如UPS设备)。
5)应成立备用供电系统(如备用发电机),
以备常用供电系统停电时启用。
1)应采纳接地方式防范外界
1)应采纳接地方式防范外界电磁搅乱和设备
电磁搅乱和设备寄生耦合
寄生耦合搅乱;
技术要求项
网络结构
安全安全
与网
段划
分
二级等保
搅乱;
2)电源线和通讯线缆应隔断,防范相互搅乱。
1)网络设备的业务办理能力应具备冗余空间,要求满足业务巅峰期需要;
2)应设计和绘制与当前运转状况吻合的网络拓扑结构图;
3)应依据机构业务的特色,在满足业务巅峰期需要的基础上,合理设计网络带宽;
4)应在业务终端与业务服务器之间进行路由控制,成立安全的接见路径;
5)应依据各部门的工作职能、重要性、所涉及信息的重要程度等要素,区分不一样的子网或网段,并依照方便管理和控制的原则为各子网、网段分配地点段;
6)重要网段应采纳网络层地点与数据链路层地点绑定措施,防范地点欺骗。
三级等保
2)电源线和通讯线缆应隔断,防范相互搅乱;
3)对重要设备和磁介质实行电磁障蔽。
1)网络设备的业务办理能力应具备冗余空
间,要求满足业务巅峰期需要;
2)应设计和绘制与当前运转状况吻合的网络
拓扑结构图;
3)应依据机构业务的特色,在满足业务巅峰
期需要的基础上,合理设计网络带宽;4)应在业务终端与业务服务器之间进行路由
控制成立安全的接见路径;
5)应依据各部门的工作职能、重要性、所涉及信息的重要程度等要素,区分不一样的子网或网段,并依照方便管理和控制的原则为各子网、网段分配地点段;
6)重要网段应采纳网络层地点与数据链路层地点绑定措施,防范地点欺骗;
7)应依照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥挤的时候优先保护重要业务数据主机。
网络
接见
控制
1)应能依据会话状态信息
1)应能依据会话状态信息(包含数据包的源
(包含数据包的源地点、
地点、目的地点、源端口号、目的端口
目的地点、源端口号、目
号、协议、进出的接口、会话序列号、发
的端口号、协议、进出的
出信息的主机名等信息,并应支持地点通
接口、会话序列号、发出
配符的使用),为数据流供应明确的同意
/
信息的主机名等信息,并
拒绝接见的能力;
应支持地点通配符的使
2)对付进出网络的信息内容进行过滤,实现
用),为数据流供应明确
对应用层HTTP、FTP、TELNET
、
技术要求项二级等保
的同意/拒绝接见的能
力。
拨号1)应在基于安全属性的同意
接见远程用户对系统接见的规
控制则的基础上,对系统全部
资源同意或拒绝用户进行
接见,控制粒度为单个用
户;
2)应限制拥有拨号接见权限
的用户数目。
网络1)对付网络系统中的网络设
安全备运转状况、网络流量、
审计用户行为等事件进行日记
记录;
2)对于每一个事件,其审计
记录应包含:
事件的日期
和时间、用户、事件类
型、事件能否成功,及其
他与审计相关的信息。
界限1)应可以检测内部网络中出
完好现的内部用户未经过允许
性检擅自联到外面网络的行为
查(即“非法外联”行为)。
三级等保
SMTP、POP3等协议命令级的控制;
3)应依照安全策略同意也许拒绝便携式和移
动式设备的网络接入;
4)应在会话处于非活跃一准时间或会话结束
后停止网络连接;
5)应限制网络最大流量数及网络连接数。
1)应在基于安全属性的同意远程用户对系
统接见的规则的基础上,对系统全部资
源同意或拒绝用户进行接见,控制粒度
为单个用户;
2)应限制拥有拨号接见权限的用户数目;
3)应按用户和系统之间的同意接见规则,决
定同意用户对受控系统进行资源接见。
1)对付网络系统中的网络设备运转状况、
网络流量、用户行为等进行全面的监测、
记录;
2)对于每一个事件,其审计记录应包含:
事件的日期和时间、用户、事件种类、
事件能否成功,及其余与审计相关的信
息;
3)安全审计应可以依据记录数据进行分
析,并生成审计报表;
4)安全审计应可以对特定事件,供应指定
方式的及时报警;
5)审计记录应遇到保护防范遇到未预期的删
除、更正或覆盖等。
1)应可以检测内部网络中出现的内部用户
未经过允许擅自联到外面网络的行为
(即“非法外联”行为);
2)应可以对非受权设备擅自联到网络的行
技术要求项二级等保
网络1)应在网络界限处督查以下
入侵攻击行为:
端口扫描、强
防范力攻击、木马后门攻击、
拒绝服务攻击、缓冲区溢
出攻击、IP碎片攻击、网
络蠕虫攻击等入侵事件的
发生。
歹意1)应在网络界限及中心业务
代码网段处对歹意代码进行检
防范测和除去;
2)应保护歹意代码库的升级
和检测系统的更新;
3)应支持歹意代码防范的统
一管理。
网络1)对付登录网络设备的用户
设备进行身份鉴别;
防范2)对付网络设备的管理员登录地点进行限制;
3)网络设备用户的表记应唯
一;
4)身份鉴别信息应拥有不易
被冒用的特色,比方口令
长度、复杂性和按期的更
新等;
三级等保
为进行检查,并正确立出地点,对其进行有效阻断;
3)应可以对内部网络用户擅自联到外面网络的行为进行检测后正确立出地点,并对其进行有效阻断。
1)应在网络界限处应督查以下攻击行为:
端口扫描、强力攻击、木马后门攻击、
拒绝服务攻击、缓冲区溢出攻击、IP碎
片攻击、网络蠕虫攻击等入侵事件的发
生;
2)当检测到入侵事件时,应记录入侵的源
IP、攻击的种类、攻击的目的、攻击的时间,并在发生严重入侵事件时供应报警。
1)应在网络界限及中心业务网段处对歹意代码进行检测和除去;
2)应保护歹意代码库的升级和检测系统的
更新;
3)应支持歹意代码防范的一致管理。
1)对付登录网络设备的用户进行身份鉴
别;
2)对付网络上的同等实体进行身份鉴别;
3)对付网络设备的管理员登录地点进行限
制;
4)网络设备用户的表记应独一;
5)身份鉴别信息应拥有不易被冒用的特色,比方口令长度、复杂性和按期的更
新等;
技术要求项
主机身份
系统鉴别
安全
自主
接见
控制
二级等保
5)应拥有登录失败办理功能,如:
结束会话、限制非法登录次数,当网络登
录连接超时,自动退出。
1)操作系统和数据库管理系统用户的身份表记应拥有
独一性;
2)对付登录操作系统和数据库管理系统的用户进行身
份表记和鉴别;
3)操作系统和数据库管理系统身份鉴别信息应拥有不易被冒用的特色,比方口令长度、复杂性和按期的
更新等;
4)应拥有登录失败办理功能,如:
结束会话、限制
非法登录次数,当登录连接超时,自动退出。
1)应依照安全策略控制主体对客体的接见;
2)自主接见控制的覆盖范围应包含与信息安全直接相
关的主体、客体及它们之
间的操作;
3)自主接见控制的粒度应达
三级等保
6)对付同一用户选择两种或两种以上组合
的鉴别技术来进行身份鉴别;
7)应拥有登录失败办理功能,如:
结束会
话、限制非法登录次数,当网络登录连接超时,自动退出;
8)应实现设备特权用户的权限分别,比方将管理与审计的权限分配给不一样的网络设备用户。
1)操作系统和数据库管理系统用户的身份表记应拥有独一性;
2)对付登录操作系统和数据库管理系统的
用户进行身份表记和鉴别;
3)对付同一用户采纳两种或两种以上组合
的鉴别技术实现用户身份鉴别;
4)操作系统和数据库管理系统用户的身份鉴别信息应拥有不易被冒用的特色,比方口令长度、复杂性和按期的更新等;
5)应拥有登录失败办理功能,如:
结束会
话、限制非法登录次数,当登录连接超
时,自动退出;
6)应拥有鉴别警示功能;
7)重要的主机系统对付与之相连的服务器或
终端设备进行身份表记和鉴别。
1)应依照安全策略控制主体对客体的访
问;
2)自主接见控制的覆盖范围应包含与信息
安全直接相关的主体、客体及它们之间
的操作;
3)自主接见控制的粒度应达到主体为用户
技术要求项二级等保
到主体为用户级,客体为
文件、数据库表级;
4)应由受权主体设置对客体
接见和操作的权限;
5)应严格限制默认用户的访
问权限。
强迫无
接见
控制
安全1)安全审计应覆盖到服务器
审计上的每个操作系统用户和
数据库用户;
2)安全审计应记录系统内重
要的安全相关事件,包含
重要用户行为和重要系统
命令的使用等;
3)安全相关事件的记录应包
括日期和时间、种类、主
体表记、客体表记、事件
的结果等;
4)审计记录应遇到保护防范
遇到未预期的删除、更正
或覆盖等。
三级等保
级,客体为文件、数据库表级;
4)应由受权主体设置对客体接见和操作的
权限;
5)权限分别应采纳最小受权原则,分别授
予不一样用户各自为完成自己肩负任务所需的最小权限,并在他们之间形成相互限制的关系;
6)应实现操作系统和数据库管理系统特权
用户的权限分别;
7)应严格限制默认用户的接见权限。
1)对付重要信息资源和接见重要信息资源
的全部主体设置敏感标志;
2)强迫接见控制的覆盖范围应包含与重要信息资源直接相关的全部主体、客体及它们之间的操作;
3)强迫接见控制的粒度应达到主体为用户
级,客体为文件、数据库表级。
1)安全审计应覆盖到服务器和客户端上的每个操作系统用户和数据库用户;
2)安全审计应记录系统内重要的安全相关
事件,包含重要用户行为、系统资源的
异常使用和重要系统命令的使用;
3)安全相关事件的记录应包含日期和时
间、种类、主体表记、客体表记、事件的结果等;
4)安全审计应可以依据记录数据进行分
析,并生成审计报表;
5)安全审计应可以对特定事件,供应指定
方式的及时报警;
技术要求项二级等保
系统1)系统应供应在管理保护状
保护态中运转的能力,管理保护状态只好被系统管理员使用。
节余1)应保证操作系统和数据库
信息管理系统用户的鉴别信息
保护所在的储存空间,被开释
或再分配给其余用户前得
到完好除去,无论这些信
息是存放在硬盘上还是在
内存中;
2)应保证系统内的文件、目
录和数据库记录等资源所
在的储存空间,被开释或
重新分配给其余用户前得
到完好除去。
入侵无
防范
三级等保
6)审计进度应遇到保护防范遇到未预期的
中断;
7)审计记录应遇到保护防范遇到未预期的
删除、更正或覆盖等。
1)系统因故障或其余原由中断后,应可以以
手动或自动方式恢复运转。
1)应保证操作系统和数据库管理系统用户的鉴别信息所在的储存空间,被开释或再分配给其余用户前获得完好除去,无
论这些信息是存放在硬盘上还是在内存
中;
2)应保证系统内的文件、目录和数据库记
录等资源所在的储存空间,被开释或重新分配给其余用户前获得完好除去。
1)应进行主机运转督查,包含督查主机的CPU、硬盘、内存、网络等资源的使用情
况;
2)应设定资源报警域值,以便在资源使用
超出规定数值时发出报警;
3)应进行特定进度监控,限制操作人员运
行非法进度;
4)应进行主机账户监控,限制对重要账户
的增添和改正;
5)应检测各种已知的入侵行为,记录入侵
的源IP、攻击的种类、攻击的目的、攻
技术要求项
歹意
代码
防范
资源
控制
二级等保
1)服务器和重要终端设备(包含挪动设备)应安装
及时检测和查杀歹意代码
的软件产品;
2)主机系统防歹意代码产品应拥有与网络防歹意代码
产品不一样的歹意代码库;
1)应限制单个用户的会话数目;
2)应经过设定终端接入方式、网络地点范围等条件
限制终端登录。
三级等保
击的时间,并在发生严重入侵事件时提
供报警;
6)应可以检测重要程序完好性遇到损坏,
并在检测到完好性错误时采纳必需的恢
复措施。
1)服务器和终端设备(包含挪动设备)均
应安装及时检测和查杀歹意代码的软件
产品;
2)主机系统防歹意代码产品应拥有与网络
防歹意代码产品不一样的歹意代码库;
3)应支持歹意代码防范的一致管理。
1)应限制单个用户的多重并发会话;
2)对付最大并发会话连接数进行限制;
3)对付一个时间段内可能的并发会话连接
数进行限制;
4)应经过设定终端接入方式、网络地点范
围等条件限制终端登录;
5)应依据安全策略设置登录终端的操作超时锁定和鉴别失败锁定,并规定解锁或停止方式;
6)应严禁同一用户账号在同一时间内并发
登录;
7)应限制单个用户对系统资源的最大或最
小使用限度;
8)当系统的服务水平降低到早先规定的最小值时,应能检测和报警;
9)应依据安全策略设定主体的服务优先级,
依据优先级分配系统资源,保证优先级低
的主体办理能力不会影响到优先级高的主
技术要求项
应用身份
安全鉴别
接见
控制
二级等保
1)应用系统用户的身份表记应拥有独一性;
2)对付登录的用户进行身份表记和鉴别;
3)系统用户身份鉴别信息应拥有不易被冒用的特色,
比方口令长度、复杂性和
按期的更新等;
4)应拥有登录失败办理功能,如:
结束会话、限制
非法登录次数,当登录连
接超时,自动退出。
1)应依照安全策略控制用户对客体的接见;
2)自主接见控制的覆盖范围应包含与信息安全直接相关的主体、客体及它们之
间的操作;
3)自主接见控制的粒度应达到主体为用户级,客体为文件、数据库表级;
4)应由受权主体设置用户对系统功能操作和对数据访
问的权限;
5)应实现应用系统特权用户的权限分别,比方将管理与审计的权限分配给不一样
的应用系统用户;
6)权限分别应采纳最小受权原则,分别授与不一样用户
三级等保
体的办理能力。
1)系统用户的身份表记应拥有独一性;
2)对付登录的用户进行身份表记和鉴别;
3)系统用户的身份鉴别信息应拥有不易被
冒用的特色,比方口令长度、复杂性和
按期的更新等;
4)对付同一用户采纳两种或两种以上组合
的鉴别技术实现用户身份鉴别;
5)应拥有登录失败办理功能,如:
结束会
话、限制非法登录次数,当登录连接超
时,自动退出;
6)应拥有鉴别警示功能;
7)应用系统应及时除去储存空间中动向使用
的鉴别信息。
1)应依照安全策略控制用户对客体的访
问;
2)自主接见控制的覆盖范围应包含与信息
安全直接相关的主体、客体及它们之间
的操作;
3)自主接见控制的粒度应达到主体为用户
级,客体为文件、数据库表级;
4)应由受权主体设置用户对系统功能操作
和对数据接见的权限;
5)应实现应用系统特权用户的权限分别,
比方将管理与审计的权限分配给不一样的
应用系统用户;
6)权限分别应采纳最小受权原则,分别授
予不一样用户各自为完成自己肩负任务所
需的最小权限,并在它们之间形成相互
技术要求项二级等保
各自为完成自己肩负任务
所需的最小权限,并在它
们之间形成相互限制的关
系;
7)应严格限制默认用户的访
问权限。
安全1)安全审计应覆盖到应用系
审计统的每个用户;
2)安全审计应记录应用系统
重要的安全相关事件,包
括重要用户行为和重要系
统功能的履行等;
3)安全相关事件的记录应包
括日期和时间、种类、主
体表记、客体表记、事件
的结果等;
4)审计记录应遇到保护防范
遇到未预期的删除、更正
或覆盖等。
节余1)应保证用户的鉴别信息所
信息在的储存空间,被开释或
保护再分配给其余用户前获得
完好除去,无论这些信息
是存放在硬盘上还是在内
存中;
2)应保证系统内的文件、目
录和数据库记录等资源所
三级等保
限制的关系;
7)应严格限制默认用户的接见权限。
1)安全审计应覆盖到应用系统的每个用
户;
2)安全审计应记录应用系统重要的安全相
关事件,包含重要用户行为、系统资源
的异常使用和重要系统功能的履行等;
3)安全相关事件的记录应包含日期和时
间、种类、主体表记、客体表记、事件的结果等;
4)安全审计应可以依据记录数据进行分
析,并生成审计报表;
5)安全审计应可以对特定事件,供应指定
方式的及时报警;
6)审计进度应遇到保护防范遇到未预期的中断;
7)审计记录应遇到保护防范遇到未预期的删
除、更正或覆盖等。
1)应保证用户的鉴别信息所在的储存空
间,被开释或再分配给其余用户前获得
完好除去,无论这些信息是存放在硬盘
上还是在内存中;
2)应保证系统内的文件、目录和数据库记
录等资源所在的储存空间,被开释或重
新分配给其余用户前获得完好除去。
在的储存空间,被开释或
技术要求项
通讯
完好
性
二级等保三级等保
重新分配给其余用户前得
到完好除去。
1)通讯两方应商定单向的校1)通讯两方应商定密码算法,计算通讯数据
验码算法