安全等保二三级保护差异对比.docx
《安全等保二三级保护差异对比.docx》由会员分享,可在线阅读,更多相关《安全等保二三级保护差异对比.docx(36页珍藏版)》请在冰豆网上搜索。
安全等保二三级保护差异对比
安全等保二三级保护差异对比
一、技术细节比较
技术要求项二级等保三级等保
物理1)机房和办公场地应选择在具1)机房和办公场地应选择在具有防震、防风和防雨等能力
安全有防震、防风和防雨等能力的的建筑内;物理
建筑内。
2)机房场地应避免设在建筑物的高层或地下室,以及用水位置设备的下层或隔壁;
的选3)机房场地应当避开强电场、强磁场、强震动源、强噪声择
源、重度环境污染、易发生火灾、水灾、易遭受雷击的
地区。
物理1)机房出入口应有专人值守,鉴1)机房出入口应有专人值守,鉴别进入的人员身份并登记访问别进入的人员身份并登记在在案;
控制案;2)应批准进入机房的来访人员,限制和监控其活动范围;
2)应批准进入机房的来访人员,3)应对机房划分区域进行管理,区域和区域之间设置物理
限制和监控其活动范围。
隔离装置,在重要区域前设置交付或安装等过度区域;
4)应对重要区域配置电子门禁系统,鉴别和记录进入的人
员身份并监控其活动。
防盗1)应将主要设备放置在物理受1)应将主要设备放置在物理受限的范围内;窃和限的范围内;2)应对设备或主要部件进行固定,并设置明显的无法除去防破2)应对设备或主要部件进行固的标记;
坏定,并设置明显的不易除去的3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中
标记;等;
3)应将通信线缆铺设在隐蔽处,4)应对介质分类标识,存储在介质库或档案室中;
如铺设在地下或管道中等;5)设备或存储介质携带出工作环境时,应受到监控和内容
4)应对介质分类标识,存储在介加密;
质库或档案室中;6)应利用光、电等技术设置机房的防盗报警系统,以防进
5)应安装必要的防盗报警设施,入机房的盗窃和破坏行为;
以防进入机房的盗窃和破坏7)应对机房设置监控报警系统。
行为。
防雷1)机房建筑应设置避雷装置;1)机房建筑应设置避雷装置;
击2)应设置交流电源地线。
2)应设置防雷保安器,防止感应雷;
3)应设置交流电源地线。
防火1)应设置灭火设备和火灾自动1)应设置火灾自动消防系统,自动检测火情、自动报警,
报警系统,并保持灭火设备和并自动灭火;
火灾自动报警系统的良好状2)机房及相关的工作房间和辅助房,其建筑材料应具有耐
态。
火等级;
技术要求项二级等保三级等保
3)机房采取区域隔离防火措施,将重要设备与其他设备隔
离开。
防水1)水管安装,不得穿过屋顶和活1)水管安装,不得穿过屋顶和活动地板下;和防动地板下;2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设潮2)应对穿过墙壁和楼板的水管置套管;
增加必要的保护措施,如设置3)应采取措施防止雨水通过屋顶和墙壁渗透;
套管;4)应采取措施防止室内水蒸气结露和地下积水的转移与
3)应采取措施防止雨水通过屋渗透。
顶和墙壁渗透;
4)应采取措施防止室内水蒸气
结露和地下积水的转移与渗
透。
防静1)应采用必要的接地等防静电1)应采用必要的接地等防静电措施;电措施2)应采用防静电地板。
温湿1)应设置温、湿度自动调节设1)应设置恒温恒湿系统,使机房温、湿度的变化在设备运度控施,使机房温、湿度的变化在行所允许的范围之内。
制设备运行所允许的范围之内。
电力1)计算机系统供电应与其他供1)计算机系统供电应与其他供电分开;供应电分开;2)应设置稳压器和过电压防护设备;
2)应设置稳压器和过电压防护3)应提供短期的备用电力供应(如UPS设备);
设备;4)应设置冗余或并行的电力电缆线路;
3)应提供短期的备用电力供应5)应建立备用供电系统(如备用发电机),以备常用供电
(如UPS设备)。
系统停电时启用。
1)应采用接地方式防止外界电1)应采用接地方式防止外界电磁干扰和设备寄生耦合干电磁磁干扰和设备寄生耦合干扰;扰;
防护2)电源线和通信线缆应隔离,避2)电源线和通信线缆应隔离,避免互相干扰;
免互相干扰。
3)对重要设备和磁介质实施电磁屏蔽。
网络结构1)网络设备的业务处理能力应1)网络设备的业务处理能力应具备冗余空间,要求满足业
安全安全具备冗余空间,要求满足业务务高峰期需要;
与网高峰期需要;2)应设计和绘制与当前运行情况相符的网络拓扑结构图;段划2)应设计和绘制与当前运行情3)应根据机构业务的特点,在满足业务高峰期需要的基础分况相符的网络拓扑结构图;上,合理设计网络带宽;
3)应根据机构业务的特点,在满4)应在业务终端与业务服务器之间进行路由控制建立安
足业务高峰期需要的基础上,全的访问路径;
合理设计网络带宽;(AC、5)应根据各部门的工作职能、重要性、所涉及信息的重要
技术要求项二级等保三级等保
WOC)程度等因素,划分不同的子网或网段,并按照方便管理
4)应在业务终端与业务服务器和控制的原则为各子网、网段分配地址段;
之间进行路由控制,建立安全6)重要网段应采取网络层地址与数据链路层地址绑定措
的访问路径;施,防止地址欺骗;
5)应根据各部门的工作职能、重7)应按照对业务服务的重要次序来指定带宽分配优先级
要性、所涉及信息的重要程度别,保证在网络发生拥堵的时候优先保护重要业务数据
等因素,划分不同的子网或网主机。
(AC、AD)
段,并按照方便管理和控制的
原则为各子网、网段分配地址
段;
6)重要网段应采取网络层地址
与数据链路层地址绑定措施,
防止地址欺骗。
网络1)应能根据会话状态信息(包括1)应能根据会话状态信息(包括数据包的源地址、目的地访问数据包的源地址、目的地址、址、源端口号、目的端口号、协议、出入的接口、会话控制源端口号、目的端口号、协议、序列号、发出信息的主机名等信息,并应支持地址通配
出入的接口、会话序列号、发符的使用),为数据流提供明确的允许/拒绝访问的能力;
出信息的主机名等信息,并应2)应对进出网络的信息内容进行过滤,实现对应用层
支持地址通配符的使用),为HTTP、FTP、TELNET、SMTP、POP3等协议命令级的
数据流提供明确的允许/拒绝控制;(AF)
访问的能力。
(AF)3)应依据安全策略允许或者拒绝便携式和移动式设备的
网络接入;(AC)
4)应在会话处于非活跃一定时间或会话结束后终止网络
连接;
5)应限制网络最大流量数及网络连接数。
(AC)拨号1)应在基于安全属性的允许远1)应在基于安全属性的允许远程用户对系统访问的规则访问程用户对系统访问的规则的的基础上,对系统所有资源允许或拒绝用户进行访问,控制基础上,对系统所有资源允许控制粒度为单个用户;
或拒绝用户进行访问,控制粒2)应限制具有拨号访问权限的用户数量;度为单个用户;(SSL)
3)应按用户和系统之间的允许访问规则,决定允许用户对2)应限制具有拨号访问权限的
受控系统进行资源访问。
(SSL)用户数量。
网络1)应对网络系统中的网络设备1)应对网络系统中的网络设备运行状况、网络流量、用户安全运行状况、网络流量、用户行行为等进行全面的监测、记录;
审计为等事件进行日志记录;
技术要求项二级等保三级等保
(APM、堡垒机)2)对于每一个事件,其审计记录应包括:
事件的日期和时
2)对于每一个事件,其审计记录间、用户、事件类型、事件是否成功,及其他与审计相
应包括:
事件的日期和时间、关的信息;
用户、事件类型、事件是否成3)安全审计应可以根据记录数据进行分析,并生成审计报功,及其他与审计相关的信
表;息。
(堡垒机)
4)安全审计应可以对特定事件,提供指定方式的实时报
警;
5)审计记录应受到保护避免受到未预期的删除、修改或覆
盖等。
边界1)应能够检测内部网络中出现1)应能够检测内部网络中出现的内部用户未通过准许私完整的内部用户未通过准许私自自联到外部网络的行为(即“非法外联”行为);性检联到外部网络的行为(即“非2)应能够对非授权设备私自联到网络的行为进行检查,并查法外联”行为)。
(AC)
准确定出位置,对其进行有效阻断;(AC)
3)应能够对内部网络用户私自联到外部网络的行为进行
检测后准确定出位置,并对其进行有效阻断。
(AC)网络1)应在网络边界处监视以下攻1)应在网络边界处应监视以下攻击行为:
端口扫描、强力入侵击行为:
端口扫描、强力攻击、攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、防范木马后门攻击、拒绝服务攻IP碎片攻击、网络蠕虫攻击等入侵事件的发生;
击、缓冲区溢出攻击、IP碎2)当检测到入侵事件时,应记录入侵的源IP、攻击的类型、
片攻击、网络蠕虫攻击等入侵
攻击的目的、攻击的时间,并在发生严重入侵事件时提事件的发生。
(AF)
供报警。
(AF)
恶意1)应在网络边界及核心业务网1)应在网络边界及核心业务网段处对恶意代码进行检测代码段处对恶意代码进行检测和和清除;
防范清除;(AF)2)应维护恶意代码库的升级和检测系统的更新;
2)应维护恶意代码库的升级和3)应支持恶意代码防范的统一管理。
检测系统的更新;(AF)
3)应支持恶意代码防范的统一
管理。
(AF)
网络1)应对登录网络设备的用户进1)应对登录网络设备的用户进行身份鉴别;设备行身份鉴别;(堡垒机)2)应对网络上的对等实体进行身份鉴别;防护2)应对网络设备的管理员登录3)应对网络设备的管理员登录地址进行限制;
地址进行限制;(堡垒机)
技术要求项二级等保三级等保
3)网络设备用户的标识应唯一;4)网络设备用户的标识应唯一;
4)身份鉴别信息应具有不易被5)身份鉴别信息应具有不易被冒用的特点,例如口令长
冒用的特点,例如口令长度、度、复杂性和定期的更新等;
复杂性和定期的更新等;6)应对同一用户选择两种或两种以上组合的鉴别技术来5)应具有登录失败处理功能,
进行身份鉴别;如:
结束会话、限制非法登录
7)应具有登录失败处理功能,如:
结束会话、限制非法登次数,当网络登录连接超时,
自动退出。
录次数,当网络登录连接超时,自动退出;
8)应实现设备特权用户的权限分离,例如将管理与审计的
权限分配给不同的网络设备用户。
主机身份1)操作系统和数据库管理系统1)操作系统和数据库管理系统用户的身份标识应具有唯
系统鉴别用户的身份标识应具有唯一一性;
安全性;2)应对登录操作系统和数据库管理系统的用户进行身份
2)应对登录操作系统和数据库
标识和鉴别;管理系统的用户进行身份标
3)应对同一用户采用两种或两种以上组合的鉴别技术实识和鉴别;
现用户身份鉴别;3)操作系统和数据库管理系统
身份鉴别信息应具有不易被4)操作系统和数据库管理系统用户的身份鉴别信息应具
冒用的特点,例如口令长度、有不易被冒用的特点,例如口令长度、复杂性和定期的
复杂性和定期的更新等;更新等;
4)应具有登录失败处理功能,
5)应具有登录失败处理功能,如:
结束会话、限制非法登如:
结束会话、限制非法登录
录次数,当登录连接超时,自动退出;次数,当登录连接超时,自动
6)应具有鉴别警示功能;退出。
7)重要的主机系统应对与之相连的服务器或终端设备进
行身份标识和鉴别。
自主1)应依据安全策略控制主体对1)应依据安全策略控制主体对客体的访问;访问客体的访问;2)自主访问控制的覆盖范围应包括与信息安全直接相关控制2)自主访问控制的覆盖范围应的主体、客体及它们之间的操作;
包括与信息安全直接相关的
3)自主访问控制的粒度应达到主体为用户级,客体为文主体、客体及它们之间的操
件、数据库表级;作;
4)应由授权主体设置对客体访问和操作的权限;3)自主访问控制的粒度应达到
主体为用户级,客体为文件、5)权限分离应采用最小授权原则,分别授予不同用户各自
技术要求项二级等保三级等保
数据库表级;为完成自己承担任务所需的最小权限,并在他们之间形
4)应由授权主体设置对客体访成相互制约的关系;
问和操作的权限;6)应实现操作系统和数据库管理系统特权用户的权限分
5)应严格限制默认用户的访问离;权限。
7)应严格限制默认用户的访问权限。
强制无1)应对重要信息资源和访问重要信息资源的所有主体设访问置敏感标记;
控制2)强制访问控制的覆盖范围应包括与重要信息资源直接
相关的所有主体、客体及它们之间的操作;
3)强制访问控制的粒度应达到主体为用户级,客体为文
件、数据库表级。
安全1)安全审计应覆盖到服务器上1)安全审计应覆盖到服务器和客户端上的每个操作系统审计的每个操作系统用户和数据用户和数据库用户;
库用户;(堡垒机)2)安全审计应记录系统内重要的安全相关事件,包括重要
2)安全审计应记录系统内重要
用户行为、系统资源的异常使用和重要系统命令的使的安全相关事件,包括重要用
用;户行为和重要系统命令的使
3)安全相关事件的记录应包括日期和时间、类型、主体标用等;(堡垒机)
3)安全相关事件的记录应包括识、客体标识、事件的结果等;
日期和时间、类型、主体标识、4)安全审计应可以根据记录数据进行分析,并生成审计报
客体标识、事件的结果等;(堡表;
垒机)
5)安全审计应可以对特定事件,提供指定方式的实时报4)审计记录应受到保护避免受
警;到未预期的删除、修改或覆盖
6)审计进程应受到保护避免受到未预期的中断;(堡垒机)等。
7)审计记录应受到保护避免受到未预期的删除、修改或覆
盖等。
系统1)系统应提供在管理维护状态1)系统因故障或其他原因中断后,应能够以手动或自动方保护中运行的能力,管理维护状态式恢复运行。
(备份)
只能被系统管理员使用。
剩余1)应保证操作系统和数据库管1)应保证操作系统和数据库管理系统用户的鉴别信息所信息理系统用户的鉴别信息所在在的存储空间,被释放或再分配给其他用户前得到完全保护的存储空间,被释放或再分配
技术要求项二级等保三级等保
给其他用户前得到完全清除,清除,无论这些信息是存放在硬盘上还是在内存中;
无论这些信息是存放在硬盘2)应确保系统内的文件、目录和数据库记录等资源所在的
上还是在内存中;存储空间,被释放或重新分配给其他用户前得到完全清
2)应确保系统内的文件、目录和除。
数据库记录等资源所在的存
储空间,被释放或重新分配给
其他用户前得到完全清除。
入侵无1)应进行主机运行监视,包括监视主机的CPU、硬盘、内防范存、网络等资源的使用情况;(APM)
2)应设定资源报警域值,以便在资源使用超过规定数值时
发出报警;
3)应进行特定进程监控,限制操作人员运行非法进程;
4)应进行主机账户监控,限制对重要账户的添加和更改;
5)应检测各种已知的入侵行为,记录入侵的源IP、攻击的
类型、攻击的目的、攻击的时间,并在发生严重入侵事
件时提供报警;(AF)
6)应能够检测重要程序完整性受到破坏,并在检测到完整
性错误时采取必要的恢复措施。
恶意1)服务器和重要终端设备(包括1)服务器和终端设备(包括移动设备)均应安装实时检测代码移动设备)应安装实时检测和和查杀恶意代码的软件产品;
防范查杀恶意代码的软件产品;2)主机系统防恶意代码产品应具有与网络防恶意代码产
(卡巴斯基)品不同的恶意代码库;2)主机系统防恶意代码产品应
3)应支持恶意代码防范的统一管理。
(AF)具有与网络防恶意代码产品
不同的恶意代码库;
资源1)应限制单个用户的会话数量;1)应限制单个用户的多重并发会话;控制2)应通过设定终端接入方式、网2)应对最大并发会话连接数进行限制;(AC)
络地址范围等条件限制终端3)应对一个时间段内可能的并发会话连接数进行限制;
登录。
(AC)
4)应通过设定终端接入方式、网络地址范围等条件限制终
端登录;
5)应根据安全策略设置登录终端的操作超时锁定和鉴别
技术要求项二级等保三级等保
失败锁定,并规定解锁或终止方式;(AC)
6)应禁止同一用户账号在同一时间内并发登录;(AC)
7)应限制单个用户对系统资源的最大或最小使用限度;
(AC)
8)当系统的服务水平降低到预先规定的最小值时,应能检
测和报警;
9)应根据安全策略设定主体的服务优先级,根据优先级分
配系统资源,保证优先级低的主体处理能力不会影响到
优先级高的主体的处理能力。
应用身份1)应用系统用户的身份标识应1)系统用户的身份标识应具有唯一性;
安全鉴别具有唯一性;2)应对登录的用户进行身份标识和鉴别;2)应对登录的用户进行身份标3)系统用户的身份鉴别信息应具有不易被冒用的特点,例
识和鉴别;
如口令长度、复杂性和定期的更新等;3)系统用户身份鉴别信息应具
4)应对同一用户采用两种或两种以上组合的鉴别技术实有不易被冒用的特点,例如口
现用户身份鉴别;令长度、复杂性和定期的更新
等;5)应具有登录失败处理功能,如:
结束会话、限制非法登4)应具有登录失败处理功能,录次数,当登录连接超时,自动退出;
如:
结束会话、限制非法登录6)应具有鉴别警示功能;
次数,当登录连接超时,自动
7)应用系统应及时清除存储空间中动态使用的鉴别信息。
退出。
访问1)应依据安全策略控制用户对1)应依据安全策略控制用户对客体的访问;
控制客体的访问;2)自主访问控制的覆盖范围应包括与信息安全直接相关2)自主访问控制的覆盖范围应的主体、客体及它们之间的操作;
包括与信息安全直接相关的
3)自主访问控制的粒度应达到主体为用户级,客体为文主体、客体及它们之间的操
件、数据库表级;作;
4)应由授权主体设置用户对系统功能操作和对数据访问3)自主访问控制的粒度应达到
主体为用户级,客体为文件、的权限;
数据库表级;5)应实现应用系统特权用户的权限分离,例如将管理与审4)应由授权主体设置用户对系计的权限分配给不同的应用系统用户;
统功能操作和对数据访问的
6)权限分离应采用最小授权原则,分别授予不同用户各自权限;
为完成自己承担任务所需的最小权限,并在它们之间形5)应实现应用系统特权用户的
技术要求项二级等保三级等保
权限分离,例如将管理与审计成相互制约的关系;
的权限分配给不同的应用系7)应严格限制默认用户的访问权限。
统用户;
6)权限分离应采用最小授权原
则,分别授予不同用户各自为
完成自己承担任务所需的最
小权限,并在它们之间形成相
互制约的关系;
7)应严格限制默认用户的访问
权限。
安全1)安全审计应覆盖到应用系统1)安全审计应覆盖到应用系统的每个用户;审计的每个用户;2)安全审计应记录应用系统重要的安全相关事件,包括重
2)安全审计应记录应用系统重要用户行为、系统资源的异常使用和重要系统功能的执
要的安全相关事件,包括重要
行等;用户行为和重要系统功能的
3)安全相关事件的记录应包括日期和时间、类型、主体标执行等;
识、客体标识、事件的结果等;3)安全相关事件的记录应包括
日期和时间、类型、主体标识、4)安全审计应可以根据记录数据进行分析,并生成审计报
客体标识、事件的结果等;表;
4)审计记录应受到保护避免受5)安全审计应可以对特定事件,提供指定方式的实时报
到未预期的删除、修改或覆盖
警;等。
6)审计进程应受到保护避免受到未预期的中断;(堡垒机)
7)审计记录应受到保护避免受到未预期的删除、修改或覆
盖等。
剩余1)应保证用户的鉴别信息所在1)应保证用户的鉴别信息所在的存储空间,被释放或再分信息的存储空间,被释放或再分配配给其他用户前得到完全清除,无论这些信息是存放在保护给其他用户前得到完全清除,硬盘上还是在内存中;
无论这些信息是存放在硬盘
2)应确保系统内的文件、目录和数据库记录等资源所在的上还是在内存中;
存储空间,被释放或重新分配给其他用户前得到完全清2)应确保系统内的文件、目录和
除。
数据库记录等资源所在的存
储空间,被释放或重新分配给
其他用户前得到完全清除。
通信1)通信双方应约定单向的校验1)通信双方应约定密码算法,计算通信数据报文的报文验
技术要求项二级等保三级等保
完整码算法,计算通信数据报文的证码,在进行通信时,双方根据校验码判断对方报文的性校验码,在进行通信时,双方有效性。
根据校验码判断对方报文的
有效性。
抗抵无1)应具有在请求的情况下为数据原发者或接收者提供数赖据原发证据的功能;
2)应具有在请求的情况下为数据原发者或接收者提供数
据接收证据的功能。
通信1)当通信双方中的一方在一段1)当通信双方中的一方在一段时间内未作任何响应,另一保密时间内未作任何响应,另一方方应能够自动结束会话;
性应能够自动结束会话;2)在通信双方建立连接之前,利用密码技术进行会话初始
2)在通信双方建立连接之前,利
化验证;用密码技术进行会话初始化
3)在通信过程中,应对整个报文或会话过程进行加密;验证;
4)应选用符合国家有关部门要求的密码算法。
3)在通信过程中,应对敏感信息
字段进行加密。
软件1)应对通过人机接口输入或通1)应对通过人机接口输入或通过通信接口输入的数据进容错过通信接口输入的数据进行行有效性检验;
有效性检验;2)应对通过人机接口方式进行的操作提供“回退”功能,
2)应对通过人机接口方式进行
即允许按照操作的序列进行回退;的操作提供“回退”功能,即允
3)应有状态监测能力,当故障发生时,能实时检测到故障许按照操作的序列进行回退;
状态并报警;3)在故障发生时,应继续提供一
部分功能,确保能够实施必要4)应有自动保护能力,当故障发生时,自动保护当前所有
的措施。
状态。
资源1)应限制单个用户的多重并发1)应限制单个用户的多重并发会话;控制会话;2)应对应用系统的最大并发会话连接数进行限制;
2)应对应用系统的最大并发会3)应对一个时间段内可能的并发会话连接数进行限制;
话连接数进行限制;4)应根据安全策略设置登录终端的操作超时锁定和鉴别3)应对一个时间段内可能的并
失败锁定,并规定解锁或终止方式;发会话连接数进行限制。
5)应禁止同一用户账号在同一时间内并发登录;
6)应对一个访问用户或一个请求进程占用的资源分配最
大限额和最小限额;
技术要求项二级等保三级等保
7)应根据安全属性(用户身份、访问地址、时间范围等)
允许或拒绝用户建立会话连接;
8)当系统的服务水平降低到预先规定的最小值时,应能检
测和报警;
9)应根据安全策略设定主体的服务优先级,根据优先级分
配系统资源,保证优先级低的主体处理能力不会影响到
优先级高的主体的处理能力。
代码1)应对应用程序代码进行
升级会员 