安全等级保护2级以及3级等保要求蓝色为区别.docx
《安全等级保护2级以及3级等保要求蓝色为区别.docx》由会员分享,可在线阅读,更多相关《安全等级保护2级以及3级等保要求蓝色为区别.docx(73页珍藏版)》请在冰豆网上搜索。
安全等级保护2级以及3级等保要求蓝色为区别
二级、三级等级保护要求比较
一、技术要求
技术要求项
物理
安全
物理
地点
的选
择
物理
接见
控制
防盗
窃和
防破
坏
二级等保
三级等保
1)机房和办公场所应选择
1)机房和办公场所应选择在拥有防震、防
在拥有防震、防风和防雨
风和防雨等能力的建筑内;
等能力的建筑内。
2)机房场所应防止设在建筑物的高层或地
下室,以及用水设备的基层或近邻;
3)机房场所应该避开强电场、强磁场、强
震动源、强噪声源、重度环境污染、易
发生火灾、水灾、易遭到雷击的地域。
1)机房进出口应有专人值
1)机房进出口应有专人值守,鉴识进入的
守,鉴识进入的人员身份
人员身份并登记在案;
并登记在案;
2)应同意进入机房的来访人员,限制和监
2)应同意进入机房的来访
控其活动范围;
人员,限制和监控其活动
3)应付机房区分地区进行管理,地区和区
范围。
域之间设置物理隔绝装置,在重要地区
前设置交托或安装等过分地区;
4)应付重要地区配置电子门禁系统,鉴识
和记录进入的人员身份并监控其活动。
1)应将主要设备搁置在物
1)应将主要设备搁置在物理受限的范围
理受限的范围内;
内;
2)应付设备或主要零件进
2)应付设备或主要零件进行固定,并设置
行固定,并设置显然的不
显然的没法除掉的标志;
易除掉的标志;
3)应将通讯线缆铺设在隐蔽处,如铺设在
3)应将通讯线缆铺设在隐
地下或管道中等;
蔽处,如铺设在地下或管
4)应付介质分类表记,储存在介质库或档
道中等;
案室中;
4)应付介质分类表记,储存
5)设备或储存介质携带出工作环境时,应
在介质库或档案室中;
遇到监控和内容加密;
5)应安装必需的防盗报警
6)应利用光、电等技术设置机房的防盗报
设备,以防进入机房的盗
警系统,以防进入机房的偷窃和破坏行
窃和破坏行为。
为;
技术要求项二级等保
防雷1)机房建筑应设置避雷装
击置;
2)应设置交流电源地线。
防火1)应设置灭火设备和火灾
自动报警系统,并保持灭
火设备和火灾自动报警
系统的优秀状态。
防水1)水管安装,不得穿过屋顶
和防和活动地板下;
潮2)应付穿过墙壁和楼板的水管增添必需的保护举措,如设置套管;
3)应采纳举措防备雨水通
过屋顶和墙壁浸透;
4)应采纳举措防备室内水
蒸气结露和地下积水的
转移与浸透。
防静
1)应采纳必需的接地等防
电
静电举措
温湿
1)应设置温、湿度自动调理
度控
设备,使机房温、湿度的
制
变化在设备运转所同意
的范围以内。
电力
1)计算机系统供电应与其
供给
他供电分开;
2)应设置稳压器和过电压
防备设备;
3)应供给短期的备用电力
供给(如UPS设备)。
三级等保
7)应付机房设置监控报警系统。
1)机房建筑应设置避雷装置;
2)应设置防雷保安器,防备感觉雷;
3)应设置交流电源地线。
1)应设置火灾自动消防系统,自动检测火情、自动报警,并自动灭火;
2)机房及有关的工作房间和辅助房,其建
筑资料应拥有耐火等级;
3)机房采纳地区隔绝防火举措,将重要设备与其余设备隔走开。
1)水管安装,不得穿过屋顶和活动地板下;
2)应付穿过墙壁和楼板的水管增添必需的
保护举措,如设置套管;
3)应采纳举措防备雨水经过屋顶和墙壁渗
透;
4)应采纳举措防备室内水蒸气结露和地下积水的转移与浸透。
1)应采纳必需的接地等防静电举措;
2)应采纳防静电地板。
1)应设置恒温恒湿系统,使机房温、湿度的变化在设备运转所同意的范围以内。
1)计算机系统供电应与其余供电分开;
2)应设置稳压器和过电压防备设备;
3)应供给短期的备用电力供给(如UPS设
备);
4)应设置冗余或并行的电力电缆线路;
5)应成立备用供电系统(如备用发电机),以备常用供电系统停电时启用。
技术要求项
电磁
防备
网络构造
安全安全
与网
段划
分
二级等保
1)应采纳接地方式防备外界电磁扰乱和设备寄生耦合扰乱;
2)电源线和通讯线缆应隔绝,防止相互扰乱。
1)网络设备的业务办理能
力应具备冗余空间,要求
知足业务顶峰期需要;
2)应设计和绘制与目前运转状况符合的网络拓扑构造图;
3)应依据机构业务的特色,在知足业务顶峰期需要的基础上,合理设计网络带宽;
4)应在业务终端与业务服务器之间进行路由控制,成立安全的接见路径;
5)应依据各部门的工作职能、重要性、所波及信息的重要程度等要素,区分不一样的子网或网段,并依照方便管理和控制的原则为各子网、网段分派地址段;
6)重要网段应采纳网络层地址与数据链路层地址绑定举措,防备地址欺诈。
三级等保
1)应采纳接地方式防备外界电磁扰乱和设
备寄生耦合扰乱;
2)电源线和通讯线缆应隔绝,防止相互干
扰;
3)对重要设备和磁介质实行电磁障蔽。
1)网络设备的业务办理能力应具备冗余空
间,要求知足业务顶峰期需要;
2)应设计和绘制与目前运转状况符合的网
络拓扑构造图;
3)应依据机构业务的特色,在知足业务高
峰期需要的基础上,合理设计网络带宽;
4)应在业务终端与业务服务器之间进行路
由控制成立安全的接见路径;
5)应依据各部门的工作职能、重要性、所波及信息的重要程度等要素,区分不一样的子网或网段,并依照方便管理和控制的原则为各子网、网段分派地址段;
6)重要网段应采纳网络层地址与数据链路层地址绑定举措,防备地址欺诈;
7)应依照对业务服务的重要序次来指定带宽分派优先级别,保证在网络发生拥挤的时候优先保护重要业务数据主机。
网络
接见
控制
1)应能依据会话状态信息
1)应能依据会话状态信息(包含数据包的
(包含数据包的源地址、
源地址、目的地址、源端口号、目的端
目的地址、源端口号、目
口号、协议、进出的接口、会话序列号、
的端口号、协议、进出的
发出信息的主机名等信息,并应支持地
技术要求项二级等保
接口、会话序列号、发出
信息的主机名等信息,并
应支持地址通配符的使
用),为数据流供给明确
的同意/拒绝接见的能
力。
拨号1)应在鉴于安全属性的允
接见许远程用户对系统接见
控制的规则的基础上,对系统
全部资源同意或拒绝用
户进行接见,控制粒度为
单个用户;
2)应限制拥有拨号接见权
限的用户数目。
三级等保
址通配符的使用),为数据流供给明确的同意/拒绝接见的能力;
2)应付进出网络的信息内容进行过滤,实
现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
3)应依照安全策略同意或许拒绝便携式和
挪动式设备的网络接入;
4)应在会话处于非活跃一准时间或会话结
束后停止网络连结;
5)应限制网络最大流量数及网络连结数。
1)应在鉴于安全属性的同意远程用户对系统接见的规则的基础上,对系统全部资源同意或拒绝用户进行接见,控制粒度
为单个用户;
2)应限制拥有拨号接见权限的用户数目;
3)应按用户和系统之间的同意接见规则,决定同意用户对受控系统进行资源接见。
网络
1)应付网络系统中的网络
1)应付网络系统中的网络设备运转状况、
安全
设备运转状况、网络流
网络流量、用户行为等进行全面的监测、
审计
量、用户行为等事件进行
记录;
日记记录;
2)关于每一个事件,其审计记录应包含:
2)关于每一个事件,其审计
记录应包含:
事件的日期
事件的日期和时间、用户、事件种类、
和时间、用户、事件种类、
事件能否成功,及其余与审计有关的信
事件能否成功,及其余与
息;
审计有关的信息。
3)安全审计应能够依据记录数据进行分
析,并生成审计报表;
4)安全审计应能够对特定事件,供给指定
方式的及时报警;
5)审计记录应遇到保护防止遇到未预期的
删除、改正或覆盖等。
技术要求项
二级等保
三级等保
界限
1)应能够检测内部网络中
1)应能够检测内部网络中出现的内部用户
完好
出现的内部用户未经过
未经过允许擅自联到外面网络的行为
性检
允许擅自联到外面网络
(即“非法外联”行为);
查
的行为(即“非法外联”行
2)应能够对非受权设备擅自联到网络的行
为)。
为进行检查,并正确立出地点,对其进
行有效阻断;
3)应能够对内部网络用户擅自联到外面网
络的行为进行检测后正确立出地点,并
对其进行有效阻断。
网络
入侵
防备
1)应在网络界限处监督以
下攻击行为:
端口扫描、
强力攻击、木马后门攻
击、拒绝服务攻击、缓冲
区溢出攻击、IP碎片攻
击、网络蠕虫攻击等入侵
事件的发生。
1)应在网络界限处应监督以下攻击行为:
端口扫描、强力攻击、木马后门攻击、
拒绝服务攻击、缓冲区溢出攻击、IP碎片
攻击、网络蠕虫攻击等入侵事件的发生;
2)当检测到入侵事件时,应记录入侵的源
IP、攻击的种类、攻击的目的、攻击的时
间,并在发生严重入侵事件时供给报警。
歹意
1)应在网络界限及核心业
1)应在网络界限及核心业务网段处对歹意
代码
务网段处对歹意代码进
代码进行检测和消除;
防备
行检测和消除;
2)应保护歹意代码库的升级和检测系统的
2)应保护歹意代码库的升
更新;
级和检测系统的更新;
3)应支持歹意代码防备的
3)应支持歹意代码防备的一致管理。
一致管理。
网络
1)应付登录网络设备的用
1)应付登录网络设备的用户进行身份鉴
设备
户进行身份鉴识;
别;
防备
2)应付网络设备的管理员
2)应付网络上的平等实体进行身份鉴识;
登录地址进行限制;
3)应付网络设备的管理员登录地址进行限
3)网络设备用户的表记应
独一;
制;
4)身份鉴识信息应拥有不
4)网络设备用户的表记应独一;
易被冒用的特色,比如口
技术要求项
二级等保
三级等保
令长度、复杂性和按期的
5)身份鉴识信息应拥有不易被冒用的特
更新等;
点,比如口令长度、复杂性和按期的更
5)应拥有登录失败办理功
新等;
能,如:
结束会话、限制
6)应付同一用户选择两种或两种以上组合
非法登录次数,当网络登
录连结超时,自动退出。
的鉴识技术来进行身份鉴识;
7)应拥有登录失败办理功能,如:
结束会
话、限制非法登录次数,当网络登录连
接超时,自动退出;
8)应实现设备特权用户的权限分别,比如
将管理与审计的权限分派给不一样的网络
设备用户。
主机身份
系统鉴识
安全
自主
接见
控制
1)操作系统和数据库管理
1)操作系统和数据库管理系统用户的身份
系统用户的身份表记应
表记应拥有独一性;
拥有独一性;
2)应付登录操作系统和数据库管理系统的
2)应付登录操作系统和数
用户进行身份表记和鉴识;
据库管理系统的用户进
行身份表记和鉴识;
3)应付同一用户采纳两种或两种以上组合
3)操作系统和数据库管理
的鉴识技术实现用户身份鉴识;
系统身份鉴识信息应具
4)操作系统和数据库管理系统用户的身份
有不易被冒用的特色,例
鉴识信息应拥有不易被冒用的特色,例
如口令长度、复杂性和定
如口令长度、复杂性和按期的更新等;
期的更新等;
5)应拥有登录失败办理功能,如:
结束会
4)应拥有登录失败办理功
能,如:
结束会话、限制
话、限制非法登录次数,当登录连结超
非法登录次数,当登录连
时,自动退出;
接超时,自动退出。
6)应拥有鉴识警告功能;
7)重要的主机系统应付与之相连的服务器
或终端设备进行身份表记和鉴识。
1)应依照安全策略控制主
1)应依照安全策略控制主体对客体的访
体对客体的接见;
问;
2)自主接见控制的覆盖范
2)自主接见控制的覆盖范围应包含与信息
技术要求项二级等保
围应包含与信息安全直
接有关的主体、客体及它
们之间的操作;
3)自主接见控制的粒度应
达到主体为用户级,客体
为文件、数据库表级;
4)应由受权主体设置对客
体接见和操作的权限;
5)应严格限制默认用户的
接见权限。
强迫无
接见
控制
三级等保
安全直接有关的主体、客体及它们之间
的操作;
3)自主接见控制的粒度应达到主体为用户
级,客体为文件、数据库表级;
4)应由受权主体设置对客体接见和操作的
权限;
5)权限分别应采纳最小受权原则,分别授
予不一样用户各自为达成自己肩负任务所需的最小权限,并在他们之间形成相互限制的关系;
6)应实现操作系统和数据库管理系统特权
用户的权限分别;
7)应严格限制默认用户的接见权限。
1)应付重要信息资源和接见重要信息资源
的全部主体设置敏感标志;
2)强迫接见控制的覆盖范围应包含与重要信息资源直接有关的全部主体、客体及它们之间的操作;
3)强迫接见控制的粒度应达到主体为用户级,客体为文件、数据库表级。
安全
1)安全审计应覆盖到服务
1)安全审计应覆盖到服务器和客户端上的
审计
器上的每个操作系统用
每个操作系统用户和数据库用户;
户和数据库用户;
2)安全审计应记录系统内重要的安全有关
2)安全审计应记录系统内
事件,包含重要用户行为、系统资源的
重要的安全有关事件,包
括重要用户行为和重要
异样使用和重要系统命令的使用;
系统命令的使用等;
3)安全有关事件的记录应包含日期和时
3)安全有关事件的记录应
间、种类、主体表记、客体表记、事件
包含日期和时间、种类、
的结果等;
主体表记、客体表记、事
技术要求项
二级等保
三级等保
件的结果等;
4)安全审计应能够依据记录数据进行分
4)审计记录应遇到保护避
析,并生成审计报表;
免遇到未预期的删除、修
5)安全审计应能够对特定事件,供给指定
改或覆盖等。
方式的及时报警;
6)审计进度应遇到保护防止遇到未预期的
中断;
7)审计记录应遇到保护防止遇到未预期的
删除、改正或覆盖等。
系统
保护
节余
信息
保护
入侵
防备
1)系统应供给在管理保护
1)系统因故障或其余原由中断后,应能够
状态中运转的能力,管理
以手动或自动方式恢复运转。
保护状态只好被系统管
理员使用。
1)应保证操作系统和数据
1)应保证操作系统和数据库管理系统用户
库管理系统用户的鉴识
的鉴识信息所在的储存空间,被开释或
信息所在的储存空间,被
再分派给其余用户前获得完好消除,无
开释或再分派给其余用
论这些信息是寄存在硬盘上仍是在内存
户前获得完好消除,不论
这些信息是寄存在硬盘
中;
上仍是在内存中;
2)应保证系统内的文件、目录和数据库记
2)应保证系统内的文件、目
录等资源所在的储存空间,被开释或重
录和数据库记录等资源
新分派给其余用户前获得完好消除。
所在的储存空间,被开释
或从头分派给其余用户
前获得完好消除。
无
1)应进行主机运转监督,包含监督主机的
CPU、硬盘、内存、网络等资源的使用情
况;
2)应设定资源报警域值,以便在资源使用
超出规定数值时发出报警;
3)应进行特定进度监控,限制操作人员运
行非法进度;
技术要求项二级等保三级等保
4)应进行主机账户监控,限制对重要账户
的增添和改正;
5)应检测各样已知的入侵行为,记录入侵
的源IP、攻击的种类、攻击的目的、攻击
的时间,并在发生严重入侵事件时供给
报警;
6)应能够检测重要程序完好性遇到破坏,
并在检测到完好性错误时采纳必需的恢
复举措。
歹意
代码
防备
资源
控制
1)服务器和重要终端设备
1)服务器和终端设备(包含挪动设备)均
(包含挪动设备)应安装
应安装及时检测和查杀歹意代码的软件
及时检测和查杀歹意代
产品;
码的软件产品;
2)主机系统防歹意代码产品应拥有与网络
2)主机系统防歹意代码产
品应拥有与网络防歹意
防歹意代码产品不一样的歹意代码库;
代码产品不一样的歹意代
3)应支持歹意代码防备的一致管理。
码库;
1)应限制单个用户的会话
1)应限制单个用户的多重并发会话;
数目;
2)应付最大并发会话连结数进行限制;
2)应经过设定终端接入方
3)应付一个时间段内可能的并发会话连结
式、网络地址范围等条件
数进行限制;
限制终端登录。
4)应经过设定终端接入方式、网络地址范
围等条件限制终端登录;
5)应依据安全策略设置登录终端的操作超
时锁定和鉴识失败锁定,并规定解锁或
停止方式;
6)应严禁同一用户账号在同一时间内并发
登录;
7)应限制单个用户对系统资源的最大或最
小使用限度;
技术要求项
二级等保三级等保
8)当系统的服务水平降低到早先规定的最
小值时,应能检测和报警;
9)应依据安全策略设定主体的服务优先
级,依据优先级分派系统资源,保证优
先级低的主体办理能力不会影响到优先
级高的主体的办理能力。
应用身份
安全鉴识
接见
控制
1)应用系统用户的身份表记应拥有独一性;
2)应付登录的用户进行身
份表记和鉴识;
3)系统用户身份鉴识信息
应拥有不易被冒用的特
点,比如口令长度、复杂
性和按期的更新等;
4)应拥有登录失败办理功能,如:
结束会话、限制非法登录次数,当登录连结超时,自动退出。
1)应依照安全策略控制用户对客体的接见;
2)自主接见控制的覆盖范
围应包含与信息安全直
接有关的主体、客体及它
们之间的操作;
3)自主接见控制的粒度应
达到主体为用户级,客体
为文件、数据库表级;
4)应由受权主体设置用户对系统功能操作和对数据接见的权限;
1)系统用户的身份表记应拥有独一性;
2)应付登录的用户进行身份表记和鉴识;
3)系统用户的身份鉴识信息应拥有不易被
冒用的特色,比如口令长度、复杂性和
按期的更新等;
4)应付同一用户采纳两种或两种以上组合
的鉴识技术实现用户身份鉴识;
5)应拥有登录失败办理功能,如:
结束会
话、限制非法登录次数,当登录连结超
时,自动退出;
6)应拥有鉴识警告功能;
7)应用系统应及时消除储存空间中动向使
用的鉴识信息。
1)应依照安全策略控制用户对客体的访
问;
2)自主接见控制的覆盖范围应包含与信息
安全直接有关的主体、客体及它们之间
的操作;
3)自主接见控制的粒度应达到主体为用户
级,客体为文件、数据库表级;
4)应由受权主体设置用户对系统功能操作
和对数据接见的权限;
5)应实现应用系统特权用户的权限分别,
技术要求项
二级等保
5)应实现应用系统特权用
户的权限分别,比如将管
理与审计的权限分派给
不一样的应用系统用户;
6)权限分别应采纳最小受权原则,分别授与不一样用
户各自为达成自己肩负
任务所需的最小权限,并在它们之间形成相互限制的关系;
7)应严格限制默认用户的接见权限。
三级等保
比如将管理与审计的权限分派给不一样的
应用系统用户;
6)权限分别应采纳最小受权原则,分别授
予不一样用户各自为达成自己肩负任务所
需的最小权限,并在它们之间形成相互
限制的关系;
7)应严格限制默认用户的接见权限。
安全
审计
1)安全审计应覆盖到应用系统的每个用户;
2)安全审计应记录应用系统重要的安全有关事件,包含重要用户行为和重要系统功能的履行等;
3)安全有关事件的记录应包含日期和时间、种类、主体表记、客体表记、事件的结果等;
4)审计记录应遇到保护避
免遇到未预期的删除、修
改或覆盖等。
1)安全审计应覆盖到应用系统的每个用
户;
2)安全审计应记录应用系统重要的安全相
关事件,包含重要用户行为、系统资源
的异样使用和重要系统功能的履行等;
3)安全有关事件的记录应包含日期和时间、种类、主体表记、客体表记、事件的结果等;
4)安全审计应能够依据记录数据进行
升级会员 