等级保护20基本要求二级三级对比表.docx

1、等级保护20基本要求二级三级对比表1通用技术规定1.1安全物理环境需要满足符合项，不需要满足符合项或空序号名称详细规定2级3级 1物理位置选取a) 机房场地应选取在具有防震、防风和防雨等能力建筑内；b) 机房场地应避免设在建筑物顶层或地下室，否则应加强防水和防潮办法。 3物理访问控制机房出入口应安排专人值守或配备电子门禁系统，控制、鉴别和记录进入人员。机房出入口应配备电子门禁系统，控制、鉴别和记录进入人员。 5防盗窃和防破坏a) 应将设备或核心部件进行固定，并设立明显不易除去标记；b) 应将通信线缆铺设在隐蔽安全处。c) 应设立机房防盗报警系统或设立有专人值守视频监控系统。 8防雷击应将各类机

2、柜、设施和设备等通过接地系统安全接地。b) 应采用办法防止感应雷，例如设立防雷保安器或过压保护装置等。 10防火a) 机房应设立火灾自动消防系统，可以自动检测火情、自动报警，并自动灭火；b) 机房及有关工作房间和辅助房应采用具有耐火级别建筑材料。c) 应对机房划分区域进行管理，区域和区域之间设立隔离防火办法。 13防水和防潮a) 应采用办法防止雨水通过机房窗户、屋顶和墙壁渗入；b) 应采用办法防止机房内水蒸气结露和地下积水转移和渗入。c) 应安装对水敏感检测仪表或元件，对机房进行防水检测和报警。 16防静电应采用防静电地板或地面并采用必须接地防静电办法。b) 应采用办法防止静电产生，例如采用静

3、电消除器、佩戴防静电手环等。 18湿温度控制应设立温湿度自动调节设施，使机房温湿度变化在设备运营所允许范畴之内。 19电力供应a) 应在机房供电线路上配备稳压器和过电压防护设备；b) 应提供短期备用电力供应，至少满足设备在断电状况下正常运营规定。c) 应设立冗余或并行电力电缆线路为计算机系统供电。 22电磁防护a)电源线和通信线缆应隔离铺设，避免互相干扰。b) 应对核心设备实行电磁屏蔽。 1.2安全通信网络序号名称详细规定2级3级 1网络架构a) 应保证网络设备业务解决能力满足业务高峰期需要； b) 应保证网络各个某些带宽满足业务高峰期需要； c) 应划分不同样网络区域，并依照以便管理和控制原

4、则为各网络区域分派地址；d) 应避免将核心网络区域布置在边界处，核心网络区域和其他网络区域之间应采用可靠技术隔离手段e) 应提供通信线路、核心网络设备和核心计算设备硬件冗余，保证系统可用性。 6通信传播应采用校验技术保证通信过程中数据完整性（2级）a) 应采用校验技术或密码技术保证通信过程中数据完整性（3级）；b) 应采用密码技术保证通信过程中数据保密性。 8可信验证可基于可信根对通信设备系统引导程序、系统程序、核心配备参数和通信应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证成果形成审计记录送至安全管理中心 可基于可信根对通信设备系统引导程序、系统程序、核心配备参数和通

5、信应用程序等进行可信验证，并在应用程序核心实行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证成果形成审计记录送至安全管理中心。 1.3安全区域边界序号名称详细规定2级3级 1边界防护应保证跨越边界访问和数据流通过边界设备提供受控接口进行通信b) 应可以对非授权设备擅自联到内部网络行为进行检查或限制； c) 应可以对内部顾客非授权联到外部网络行为进行检查或限制； d) 应限制无线网络使用，保证无线网络通过受控边界设备接入内部网络。 5访问控制a) 应在网络边界或区域之间根据访问控制方略设立访问控制规则，默认状况下除允许通信外受控接口回绝所有通信；b) 应删除多余或无效访问控制

6、规则，优化访问控制列表，并保证访问控制规则数量最小化；c) 应对源地址、目的地址、源端口、目的端口和合同等进行检查，以允许/回绝数据包进出；d) 应能根据会话状态信息为进出数据流提供明确允许/回绝访问能力。e) 应对进出网络数据流实现基于应用合同和应用内容访问控制。 10入侵防范应在核心网络节点处监视网络袭击行为。 a) 应在核心网络节点处检测、防止或限制从外部建议网络袭击行为； b) 应在核心网络节点处检测、防止或限制从内部建议网络袭击行为； c) 应采用技术办法对网络行为进行分析，实现对网络袭击特别是新型网络袭击行为分析； d) 当检测到袭击行为时，记录袭击源IP、袭击类型、袭击目的、袭击

7、时间，在发生严重入侵事件时应提供报警。 15恶意代码防范(二级)恶意代码和垃圾邮件防范（三级）a) 应在核心网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制升级和更新。 b) 应在核心网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制升级和更新。 17安全审计a) 应在网络边界、核心网络节点进行安全审计，审计覆盖到每个顾客，对核心顾客行为和核心安全事件进行审计；b) 审计记录应包括事件日期和时间、顾客、事件类型、事件与否成功及其他和审计有关信息；c) 应对审计记录进行保护，定期备份，避免受到未预期删除、修改或覆盖等。d) 应能对远程访问顾客行为、访问互联网顾客行为等单独进行行

8、为审计和数据分析。 21可信验证可基于可信根对边界设备系统引导程序、系统程序、核心配备参数和边界防护应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证成果形成审计记录送至安全管理中心。 可基于可信根对边界设备系统引导程序、系统程序、核心配备参数和边界防护应用程序等进行可信验证，并在应用程序核心实行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证成果形成审计记录送至安全管理中心。 1.4安全计算环境序号名称详细规定2级3级 1身份鉴别a) 应对登录顾客进行身份标记和鉴别，身份标记具有唯一性，身份鉴别信息具有复杂度规定并定期更换；b) 应具有登录失败解决功能，

9、应配备并启用结束会话、限制非法登录次数和当登录连接超时自动退出等有关办法；c) 当进行远程管理时，应采用必须办法防止鉴别信息在网络传播过程中被窃听。d) 应采用口令、密码技术、生物技术等两种或两种以上组合鉴别技术对顾客进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 5访问控制a) 应对登录顾客分派账户和权限；b) 应重命名或删除默认账户，修改默认账户默认口令；c) 应及时删除或停用多余、过期账户，避免共享账户存在；d) 应授予管理顾客所需最小权限，实现管理顾客权限分离。e) 应由授权主体配备访问控制方略，访问控制方略规定主体对客体访问规则； f) 访问控制粒度应达到主体为顾客级或进

10、程级，客体为文献、数据库表级； g) 应对核心主体和客体设立安全标记，并控制主体对有安全标记信息资源访问。 12安全审计a) 应启用安全审计功能，审计覆盖到每个顾客，对核心顾客行为和核心安全事件进行审计；b) 审计记录应包括事件日期和时间、顾客、事件类型、事件与否成功及其他和审计有关信息；c) 应对审计记录进行保护，定期备份，避免受到未预期删除、修改或覆盖等。d) 应对审计进程进行保护，防止XX中断。 16入侵防范a) 应遵循最小安装原则，仅安装需要组件和应用程序；b) 应关闭不需要系统服务、默认共享和高危端口；c) 应通过设定终端接入办法或网络地址范畴对通过网络进行管理管理终端进行限制；d)

11、 应提供数据有效性检查功能，保证通过人机接口输入或通过通信接口输入内容符合系统设定规定；e) 应能发现也许存在已知漏洞，并在通过充分测试评估后，及时修补漏洞。f) 应可以检测到对核心节点进行入侵行为，并在发生严重入侵事件时提供报警。 22恶意代码应安装防恶意代码软件或配备具有相应功能软件，并定期进行升级和更新防恶意代码库。 应采用免受恶意代码袭击技术办法或积极免疫可信验证机制及时辨认入侵和病毒行为，并将其有效阻断。 24可信验证可基于可信根对计算设备系统引导程序、系统程序、核心配备参数和应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证成果形成审计记录送至安全管理中心。 可

12、基于可信根对计算设备系统引导程序、系统程序、核心配备参数和应用程序等进行可信验证，并在应用程序核心实行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证成果形成审计记录送至安全管理中心。 26数据完整性应采用校验技术保证核心数据在传播过程中完整性。 a) 应采用校验技术或密码技术保证核心数据在传播过程中完整性，包括但不限于鉴别数据、核心业务数据、核心审计数据、核心配备数据、核心视频数据和核心个人信息等； b) 应采用校验技术或密码技术保证核心数据在存储过程中完整性，包括但不限于鉴别数据、核心业务数据、核心审计数据、核心配备数据、核心视频数据和核心个人信息等。 29数据保密性a)

13、 应采用密码技术保证核心数据在传播过程中保密性，包括但不限于鉴别数据、核心业务数据和核心个人信息等；b) 应采用密码技术保证核心数据在存储过程中保密性，包括但不限于鉴别数据、核心业务数据和核心个人信息等。 30数据备份恢复a) 应提供核心数据本地数据备份和恢复功能；b) 应提供异地数据备份功能，运用通信网络将核心数据定期批量传送至备用场地。 b) 应提供异地实时备份功能，运用通信网络将核心数据实时备份至备份场地；c) 应提供核心数据解决系统热冗余，保证系统高可用性。 33剩余信息保护应保证鉴别信息所在存储空间被释放或重新分派前得到完全清除b) 应保证留有敏感数据存储空间被释放或重新分派前得到完

14、全清除。 35个人信息保护a) 应仅采集和保存业务必须顾客个人信息；b) 应禁止未授权访问和非法使用顾客个人信息。1.5安全管理中心序号名称详细规定2级3级 1系统管理a) 应对系统管理员进行身份鉴别，只允许其通过特定命令或操作界面进行系统管理操作，并对这些操作进行审计；b) 应通过系统管理员对系统资源和运营进行配备、控制和管理，包括顾客身份、系统资源配备、系统加载和启动、系统运营异常解决、数据和设备备份和恢复等。 3审计管理a) 应对审计管理员进行身份鉴别，只允许其通过特定命令或操作界面进行安全审计操作，并对这些操作进行审计；b) 应通过审计管理员对审计记录进行分析，并根据分析成果进行解决，

15、包括根据安全审计方略对审计记录进行存储、管理和查询等。 5安全管理a) 应对安全管理员进行身份鉴别，只允许其通过特定命令或操作界面进行安全管理操作，并对这些操作进行审计；b) 应通过安全管理员对系统中安全方略进行配备，包括安全参数设立，主体、客体进行统一安全标记，对主体进行授权，配备可信验证方略等。 6集中管控a) 应划分出特定管理区域，对分布在网络中安全设备或安全组件进行管控；b) 应可以建立一条安全信息传播途径，对网络中安全设备或安全组件进行管理；c) 应对网络链路、安全设备、网络设备和服务器等运营状况进行集中监测；d) 应对分散在各个设备上审计数据进行收集汇总和集中分析，并保证审计记录留

16、存时间符合法律法规规定；e) 应对安全方略、恶意代码、补丁升级等安全有关事项进行集中管理；f) 应能对网络中发生各类安全事件进行辨认、报警和分析。 2通用管理2.1安全管理制度序号名称详细规定2级3级 1安全方略应制定网络安全工作总体方针和安全方略，阐明机构安全工作总体目的、范畴、原则和安全框架等。 2管理制度a) 应对安全管理活动中核心管理内容建立安全管理制度；b) 应对管理人员或操作人员实行寻常管理操作建立操作规程。c) 应形成由安全方略、管理制度、操作规程、登记表单等构成全面安全管理制度体系。 5制定和发布a) 应指定或授权专门部门或人员负责安全管理制度制定；b) 安全管理制度应通过正式

17、、有效办法发布，并进行版本控制。 7评审和修订应定期对安全管理制度合理性和合用性进行论证和审定，对存在局限性或需要改进安全管理制度进行修订。2.2安全管理机构序号名称详细规定2级3级 1岗位设立a) 应设立网络安全管理工作职能部门，设立安全主管、安全管理各个方面负责人岗位，并定义各负责人职责；b) 应设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位职责。a) 应成立指引和管理网络安全工作委员会或领导小组，其最高领导由单位主管领导担任或授权； 4人员配备应配备一定数量系统管理员、审计管理员和安全管理员等。b) 应配备专职安全管理员，不可兼任。 6授权和审批a) 应根据各个部

18、门和岗位职责明确授权审批事项、审批部门和批准人等；b) 应针对系统变更、核心操作、物理访问和系统接入等事项实行审批过程。b) 应针对系统变更、核心操作、物理访问和系统接入等事项建立审批程序，依照审批程序实行审批过程，对核心活动建立逐级审批制度；c) 应定期审查审批事项，及时更新需授权和审批项目、审批部门和审批人等信息。 9沟通和合伙a) 应加强各类管理人员、组织内部机构和网络安全管理部门之间合伙和沟通，定期召开协调会议，共同协作解决网络安全问题；b) 应加强和网络安全职能部门、各类供应商、业界专家及安全组织合伙和沟通；c) 应建立外联单位联系列表，包括外联单位名称、合伙内容、联系人和联系办法等

19、信息。 12审核和检查应定期进行常规安全检查，检查内容包括系统寻常运营、系统漏洞和数据备份等状况。b) 应定期进行全面安全检查，检查内容包括既有安全技术办法有效性、安全配备和安全方略一致性、安全管理制度实行状况等；c) 应制定安全检查表格实行安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查成果进行通报。2.3安全管理人员序号名称详细规定2级3级 1人员录取a) 应指定或授权专门部门或人员负责人员录取；b) 应对被录取人员身份、安全背景、专业资格或资质等进行审查。，对其所具有技术技能进行考核；c) 应和被录取人员订立保密合同，和核心岗位人员订立岗位责任合同。 4人员离岗应及时终结离岗人

20、员所有访问权限，取回各种身份证件、钥匙、徽章等和机构提供软硬件设备。b) 应办理严格调离手续，并承诺调离后保密义务后方可离开。 6安全意识教诲和培训应对各类人员进行安全意识教诲和岗位技能培训，并告知有关安全责任和惩戒办法。b) 应针对不同样岗位制定不同样培训筹划，对安全基本知识、岗位操作规程等进行培训；c) 应定期对不同样岗位人员进行技能考核。 8外部人员访问管理a) 应在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪伴，并登记备案；b) 应在外部人员接入受控网络访问系统前先提出书面申请，批准后由专人开设账户、分派权限，并登记备案；c) 外部人员离场后应及时清除其所有访问权限。d

21、) 获得系统访问授权外部人员应订立保密合同，不得进行非授权操作，不得复制和泄露任何敏感信息。2.4安全建设管理序号名称详细规定2级3级 1定级和备案a) 应以书面形式阐明保护对象安全保护级别及拟定级别办法和理由；b) 应组织有关部门和有关安全技术专家对定级成果合理性和对的性进行论证和审定；c) 应保证定级成果通过有关部门批准；d) 应将备案材料报主管部门和相应公安机关备案。 5安全方案设计a) 应根据安全保护级别选取基本安全办法，根据风险分析成果补充和调节安全办法；b) 应根据保护对象安全保护级别进行安全方案设计；c) 应组织有关部门和有关安全专家对安全方案合理性和对的性进行论证和审定，通过批

22、准后才干正式实行。b) 应根据保护对象安全保护级别及和其他级别保护对象关系进行安全整体筹划和安全方案设计，设计内容应包括密码技术有关内容，并形成配套文献；c) 应组织有关部门和有关安全专家对安全整体筹划及其配套文献合理性和对的性进行论证和审定，通过批准后才干正式实行。 9产品采购和使用a) 应保证网络安全产品采购和使用符合国家有关规定；b) 应保证密码产品和服务采购和使用符合国家密码管理主管部门规定。c) 应预先对产品进行选型测试，拟定产品候选范畴，并定期审定和更新候选产品名单。 12自行软件开发a) 应将开发环境和实际运营环境物理分开，测试数据和测试成果受到控制；b) 应在软件开发过程中对安

23、全性进行测试，在软件安装前对也许存在恶意代码进行检测。b) 应制定软件开发管理制度，明确阐明开发过程控制办法和人员行为准则；c) 应制定代码编写安全规范，规定开发人员参照规范编写代码；d) 应具有软件设计有关文档和使用指南，并对文档使用进行控制；f) 应对程序资源库修改、更新、发布进行授权和批准，并严格进行版本控制；g) 应保证开发人员为专职人员，开发人员开发活动受到控制、监视和审查。 15外包软件开发a) 应在软件交付前检测其中也许存在恶意代码；b) 应保证开发单位提供软件设计文档和使用指南。c) 应保证开发单位提供软件源代码，并审查软件中也许存在后门和隐蔽信道。 18工程实行a) 应指定或

24、授权专门部门或人员负责工程实行过程管理；b) 应制定安全工程实行方案控制工程实行过程。c) 应通过第三方工程监理控制项目的实行过程。 21测实验收a) 应制定测实验收方案，并根据测实验收方案实行测实验收，形成测实验收报告；b) 应进行上线前安全性测试，并出具安全测试报告。安全测试报告应包括密码应用安全性测试有关内容。 23系统交付a) 应制定交付清单，并根据交付清单对所交接设备、软件和文档等进行清点；b) 应对负责运营维护技术人员进行相应技能培训；c) 应提供建设过程文档和运营维护文档。 26级别测评a) 应定期进行级别测评，发现不符合相应级别保护原则规定及时整治；b) 应在发生重大变更或级别

25、发生变化时进行级别测评；c) 应保证测评机构选取符合国家有关规定。 29服务供应商选取a) 应保证服务供应商选取符合国家有关规定；b) 应和选定服务供应商订立有关合同，明确整个服务供应链各方需履行网络安全有关义务。c) 应定期监督、评审和审核服务供应商提供服务，并对其变更服务内容加以控制。2.5安全运维管理序号名称详细规定2级3级 1环境管理a) 应指定专门部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理；b) 应对机房安全管理做出规定，包括物理访问、物品进出和环境安全等；b) 应建立机房安全管理制度，对有关物理访问、物品带进出和环境安全等

26、方面管理作出规定；c) 应不在核心区域接待来访人员，不随意放置具有敏感信息纸档文献和移动介质等。 5资产管理应编制并保存和保护对象有关资产清单，包括资产责任部门、核心限度和所处位置等内容。b) 应根据资产核心限度对资产进行标记管理，根据资产价值选取相应管理办法；c) 应对信息分类和标记办法作出规定，并对信息使用、传播和存储等进行规范化管理。 7介质管理a) 应将介质存储在安全环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质目录清单定期盘点；b) 应对介质在物理传播过程中人员选取、打包、交付等状况进行控制，并对介质归档和查询等进行登记记录。 9设备维护管理a) 应对各种设备

27、（包括备份和冗余设备）、线路等指定专门部门或人员定期进行维护管理；b) 应对配套设施、软硬件维护管理做出规定，包括明确维护人员责任、维修和服务审批、维修过程监督控制等。c) 信息解决设备必须通过审批才干带离机房或办公地点，具有存储介质设备带出工作环境时其中核心数据必须加密；d) 具有存储介质设备在报废或重用前，应进行完全清除或被安全覆盖，保证该设备上敏感数据和授权软件无法被恢复重用。 12漏洞和风险管理应采用必须办法辨认安全漏洞和隐患，对发现安全漏洞和隐患及时进行修补或评估也许影响后进行修补。b) 应定期开展安全测评，形成安全测评报告，采用办法应对发现安全问题。 14网络和系统安全管理a) 应划分不同样管理员角色进行网络和系统运维管理，明确