当前位置:文档之家 › 等保2.0基本要求-各级对比

等保2.0基本要求-各级对比

  • 格式:xlsx
  • 大小:63.55 KB
  • 文档页数:35

下载文档原格式

  / 35

合集下载

等保2.0 VS 等保1.0(三级)对比

等保2.0 VS 等保1.0(三级)对比

等保2.0 VS 等保1.0(三级)对比网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分结构由原来的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全,调整为四个部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;技术要求“从面到点”提出安全要求,“物理和环境安全”主要对机房设施提出要求,“网络和通信安全”主要对网络整体提出要求,“设备和计算安全”主要对构成节点(包括网络设备、安全设备、操作系统、数据库、中间件等)提出要求,“应用和数据安全”主要对业务应用和数据提出要求。

(标粗内容为三级和二级的变化,标红部门为新标准主要变化)1.1、物理和环境安全VS原来物理安全控制点未发生变化,要求项数由原来的32项调整为22项。

控制点要求项数修改情况如下图:要求项的变化如下:1.2、网络和通信安全VS原来网络安全新标准减少了结构安全、边界完整性检查、网络设备防护三个控制点,增加了网络架构、通信传输、边界防护、集中管控四个控制点。

原结构安全中部分要求项纳入了网络架构控制点中,原应用安全中通信完整性和保密性的要求项纳入了通信传输控制点中,原边界完整性检查和访问控制中部分要求项内容纳入了边界防护控制点中,原网络设备防护控制点要求并到设备和计算安全要求中。

要求项总数原来为33项,调整为还是33项,但要求项内容有变化。

控制点和控制点要求项数修改情况如下图:具体要求项的变化如下表:1.3、设备和计算安全VS原来主机安全新标准减少了剩余信息保护一个控制点,在测评对象上,把网络设备、安全设备也纳入了此层面的测评范围。

要求项由原来的32项调整为26项。

控制点和各控制点要求项数修改情况如下图:具体要求项的变化如下表:1.4、应用和数据安全VS原来应用安全+数据安全及备份恢复新标准将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一个层面,减少了通信完整性、通信保密性和抗抵赖三个控制点,增加了个人信息保护控制点。

最新等保2.0二、三级对比解读

最新等保2.0二、三级对比解读

分类控制点(L3)L2L3应对措施a) 应保证网络设备的业务处理能力满足业务高峰期需要;a)依据业务需求进行网络设备选型,性能预留;b) 应保证网络各个部分的带宽满足业务高峰期需要;b)依据业务需求设计传输链路,带宽预留,关键业务链路质量保障;a) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;c)网络分区分域设计;b) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;d)按照业务重要程度及风险类型进行网络域划分,做好出口防护和边界隔离;e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。

e)网络系统链路及设备冗余架构设计;应采用校验技术保证通信过程中数据的完整性。

a) 应采用校验技术或密码技术保证通信过程中数据的完整性;a)数据传输通信链路采用MD5,SHA校验算法;b) 应采用密码技术保证通信过程中数据的保密性。

b)数据传输通信链路采用加密传输技术8.1.2.3可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

选择具备可信机制的网络设备组网,并实现可信系统与安全管理中心的联动;应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;a)区域边界隔离控制,默认拒绝所有通信且根据IP五元组开启必要通信,对于WEB网站进行应用级防护;b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;b)终端准入控制及资产识别;c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;c)网络访问控制;d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。

《信息系统安全等级保护基本要求》二级三级等级保护要求比较

《信息系统安全等级保护基本要求》二级三级等级保护要求比较

《信息系统安全等级保护基本要求》二级三级等级保护要求比较信息系统安全等级保护是指根据信息系统的安全风险等级,对信息系统进行分级管理,制定相应的安全保护要求和技术措施。

我将对二级和三级等级保护要求进行比较。

一、安全管理要求1.1二级等级保护要求:有完善的信息系统安全管理规章制度,明确的安全运维责任,健全的安全组织机构和安全管理人员。

实施定期的安全教育培训,对安全事件、漏洞、威胁进行分析和处理。

建立安全审计体系,对安全事件进行追踪和溯源。

1.2三级等级保护要求:在二级的基础上,要求建立风险管理体系,对信息系统的风险进行评估和控制。

建立信息安全委员会或安全管理领导小组,参与信息系统的安全决策和规划。

实施日志和审计记录的收集和分析,监测安全事件并及时响应。

二、物理安全要求2.1二级等级保护要求:要求建立信息系统的物理安全管理责任制,对关键设备和场所进行安全防护和监控。

设立访问控制措施,限制物理访问权限。

对物理环境进行监控和巡视,防止未经授权的人员进入设备和设施。

2.2三级等级保护要求:在二级的基础上,要求建立设备和设施的防护体系,确保信息系统的可靠性和连续性。

加强对场所、机房、环境等的安全控制,加强监控和预警能力,及时发现并应对风险事件。

三、网络安全要求3.1二级等级保护要求:要求建立网络安全管理机构和网络安全责任制,健全网络边界防护机制。

采取合理的网络隔离措施,确保内外网之间的安全通信。

建立访问控制机制,限制外部访问权限。

定期检查和维护网络设备和系统,防止网络攻击。

3.2三级等级保护要求:在二级的基础上,要求提高网络安全防护能力,完善网络入侵检测和防御系统。

建立网络安全事件管理和响应机制,加强对入侵和攻击的监测和处置。

加强对网络设备和系统的安全管理,规范网络配置和管理。

四、数据安全要求4.1二级等级保护要求:要求建立数据安全管理制度和数据分类管理机制,确保敏感数据的保护和隐私的保密。

采取加密和安全传输措施,保护数据的完整性和可用性。

等保2.0测评项基本要求(安全通用要求二级 三级对比)

等保2.0测评项基本要求(安全通用要求二级 三级对比)

或限制;
d) 应限制无线网络的使用,
保证无线网络通过受控的边界
设备接入内部网络。
a) 应在网络边界或区域之间 a) 应在网络边界或区域之间
根据访问控制策略设置访问控 根据访问控制策略设置访问控
制规则,默认情况下除允许通 制规则,默认情况下除允许通
信外受控接口拒绝所有通信; 信外受控接口拒绝所有通信;
防破 全处;
全处;Biblioteka 坏 c)应设置机房防盗报警系统或
设置有专人值守的视频监控系
a)应将各类机柜、设施和设 a)应将各类机柜、设施和设
防雷 击
备等通过接地系统安全接地; b)应采取措施防止感应雷, 例如设置防雷保安器或过压保
备等通过接地系统安全接地;
护装置等。
a)机房应设置火灾自动消防 a)机房应设置火灾自动消防
坏后进行报警,并将验证结果 成审计记录送至安全管理中心
形成审计记录送至安全管理中 。 a) 应采用校验技术或密码技
术保证重要数据在传输过程中
的完整性,包括但不限于鉴别 a) 应采用校验技术保证重要
数据、重要业务数据、重要审 数据在传输过程中的完整性。
数据 计数据、重要配置数据、重要
完整 性
视频数据和重要个人信息等; b) 应采用校验技术或密码技
防静 电
采用必要的接地防静电措施; b) 应采取措施防止静电的产 生,例如采用静电消除器、佩
采用必要的接地防静电措施;
戴防静电手环等。
温湿 a)应设置温湿度自动调节设 a)应设置温湿度自动调节设
度控 施,使机房温湿度的变化在设 施,使机房温湿度的变化在设
制 备运行所允许的范围之内。 备运行所允许的范围之内。
e) 应提供通信线路、关键网

等保2.0的等级保护指标

等保2.0的等级保护指标

等保2.0是指信息安全等级保护2.0的简称,是中国政府为了加强网络安全管理和保护国家关键信息系统而提出的一项标准。

根据等保2.0标准,不同级别的关键信息系统需要满足相应的等级保护指标。

等保2.0标准将关键信息系统分为五个等级,等级由高到低依次为:一级、二级、三级、四级和五级。

每个等级都有相应的保护要求和技术措施。

以下是等保2.0不同等级的保护指标的一些示例:
1. 一级保护:要求采取严格的安全技术措施,能够应对高级威胁和攻击。

包括防火墙、入侵检测和入侵防护系统、访问控制、安全审计等。

2. 二级保护:要求采用较高的安全技术措施,能够应对较高级别的威胁和攻击。

包括数据加密、网络隔离、安全监测与响应、灾备恢复等。

3. 三级保护:要求采用适当的安全技术措施,能够应对中级威胁和攻击。

包括访问控制、恶意代码防范、安全培训教育等。

4. 四级保护:要求基本的安全技术措施,能够应对一般威胁和攻击。

包括密码安全、基础设施保护、安全漏洞管理等。

5. 五级保护:要求最基本的安全措施,能够应对低级威胁和攻击。

包括安全策略制定、安全事件响应等。

需要注意的是,等保2.0的具体保护指标是根据具体的应用环境和信息系统的特点而确定的,上述只是一些示例,并不包括所有的保护要求。

对于具体的等级保护指标,建议参考相关的政府发布的相关文件以获取更准确和详细的信息。

等级保护2.0基本要求-二级三级对比表

等级保护2.0基本要求-二级三级对比表
b) 应禁止未授权访问和非法使用用户个人信息。
1.5
序号
名称
具体要求
2级
3级
1
系统管理
a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
1
1.1
需要满足符合项的,不需要满足符合项的或者空
序号
名称
具体要求
2级
3级
1
物理位置的选择
a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内;
b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
3
物理访问控制
机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。
24
可信验证
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
5
防盗窃和防破坏
a) 应将设备或主要部件进行固定,并设置明显的不易除去的标识;
b) 应将通信线缆铺设在隐蔽安全处。
c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。
8
防雷击

等保2.0测评项基本要求(移动互联安全扩展要求二级 三级对比)


个认证密钥;
个认证密钥;
f) 应能够阻断非授权无线
接入设备或非授权移动终端
a) 应保证移动终端安装、
注册并运行终端管理客户端
移动终端 管控
软件; b) 移动终端应接受移动终
端管理服务端的设备生命周
期管理、设备远程控制,
如:远程锁定、远程擦除等
a) 应具有选择应用软件安 a) 应具有选择应用软件安
装、运行的功能;
安全 物
理环
安全 区
域边 界
安全 计
算环 境
安全 建
设管 理
无线接入 点的物理
位置
三级要求 a) 应为无线接入设备的安 装选择合理位置,避免过度 覆盖和电磁干扰。
二级要求 a) 应为无线接入设备的安 装选择合理位置,避免过度 覆盖和电磁干扰。
a) 应保证有线网络与无线 a) 应保证有线网络与无线
边界防护 网络边界之间的访问和数据 网络边界之间的访问和数据
流通过无线接入网关设备。 流通过无线接入网关设备。
Байду номын сангаасa) 无线接入设备应开启接 a) 无线接入设备应开启接
访问控制
入认证功能,并支持采用认 证服务器认证或国家密码管
入认证功能,并且禁止使用 WEP方式进行认证,如使用
理机构批准的密码模块进行 口令,长度不小于8位字符
a) 应能够检测到非授权无 a) 应能够检测到非授权无
软件开发 b) 应保证开发移动业务应 b) 应保证开发移动业务应
用软件的签名证书合法性。 用软件的签名证书合法性。
a) 应建立合法无线接入设
配置管理
备和合法移动终端配置库, 用于对非法无线接入设备和
非法移动终端的识别。

等保2.0通用要求VS等保1.0(三级)技术部分要求详细对比

等保 2.0系列原则即将发布,网络安全级别保护基本规定通用规定在信息安全级别保护基本规定技术部分的基本上进行了某些调节,湖南金盾就网络安全级别保护基本规定通用规定在信息安全级别保护基本规定进行了具体对比,下面以三级为例进行一种对比。

网络安全级别保护基本规定通用规定技术部分与信息安全级别保护基本规定技术部分构造由本来的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全,调节为四个部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;技术规定“从面到点”提出安全规定,“物理和环境安全”重要对机房设施提出规定,“网络和通信安全”重要对网络整体提出规定,“设备和计算安全”重要对构成节点(涉及网络设备、安全设备、操作系统、数据库、中间件等)提出规定,“应用和数据安全”重要对业务应用和数据提出规定。

(标粗内容为三级和二级的变化,标红部门为新原则重要变化)

物理与环境安全VS本来物理安全

控制点未发生变化,规定项数由本来的32项调节为22项。

控制点

网络和通信安全VS本来网络安全

新原则减少了构造安全、边界完整性检查、网络设备防护三个控制

设备和计算安全VS本来主机安全

新原则减少了剩余信息保护一种控制点,在测评对象上,把网络设

应用和数据安全VS本来应用安全+数据安全及备份恢复

新原则将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一种层面,减少了通信完整性、通信保密性和抗抵赖三个控制点,增长了个人信息保护控制点。

通信完整性和通信保密性的规定纳入了网络。

等保2.0测评项基本要求(物联网安全扩展要求二级 三级对比)


通信的目标地址,以避免对 通信的目标地址,以避免对
陌生地址的攻击行为。
陌生地址的攻击行为。
a) 应保证只有授权的用户
可以对感知节点设备上的软
件应用进行配置或变更;
感知节点 设备安全
b) 应具有对其连接的网关 节点设备(包括读卡器)进 行身份标识和鉴别的能力;
c) 应具有对其连接的其他
感知节点设备(包括路由节
感知节点 署、携带、维修、丢失和报 署、携带、维修、丢失和报
管理 废等过程作出明确规定,并 废等过程作出明确规定,并
进行全程管理;
进行全程管理;
c) 应加强对感知节点设备
、网关节点设备部署环境的
保密性管理,包括负责检查
和维护的人员调离工作岗位
应立即交还相关检查工具和
检查维护记录等。
20
7
知节点设备、网关节点设备 知节点设备、网关节点设备
的部署环境,对可能影响感 的部署环境,对可能影响感
知节点设备、网关节点设备 知节点设备、网关节点设备
正常工作的环境异常进行记 正常工作的环境异常进行记
b) 应对感知节点设备、网 b) 应对感知节点设备、网
关节点设备入库、存储、部 关节点设备入库、存储、部
安全 物理 环境
安全 区域 边界
安全 计算 环境
三级要求
二级要求
a) 感知节点设备所处的物 a) 感知节点设备所处的物
理环境应不对感知节点设备 理环境应不对感知节点设备
造成物理破坏,如挤压、强 造成物理破坏,如挤压、强
b) 感知节点设备在工物理环境应能正确反 态所处物理环境应能正确反
a) 应能够鉴别数据的新鲜
抗数据重 性,避免历史数据的重放攻

等保2.0安全管理中心四级对比


9.1.
操作进行审计: 审计:
计:
5.1

b)应通过系统管 b)应通过系统管理 )应通过系统管理

理员对系统的资 员对系统的资源和 员对系统的资源和

源和运行进行配 运行进行配置、控 运行进行配置、控

置、控制和管理, 制和管理,包括用 制和管理,包括用户
包括用户身份.系 户身份、系统资源 身份、系统资源配
一级
二级
三级
四级
a)应对系统管理 a)应对系统管理员 a)应对系统管理员
员进行身份鉴别, 进行身份鉴别,只 进行身份鉴别,只
只允许其通过特 允许其通过特定的 允许其通过特定的
定的命令或操作 命令或操作界面进 命令或操作界而进
界面进行系统管 行系统管理操作, 行系统管理操作,并
理操作,并对这些 并对这些操作进行 对这些操作进行审
f) 应能对网络中发 f) 应能对网络中发
生的各类安全事件 生的各类安全事件
进行识别、报警Leabharlann 进行识别报警和分分析。析;
g) 应保证系统范围 内的时间由唯一确 定的时钟产生,以 保证各种数据的管 理和分析在时间上 的一致性。
a) 应对安全管理员 进行身份鉴别,只 允许其通过特定的 命令或操作界面进 行安全管理操作, 并对这些操作进行 审计;
a)应对安全管理员 进行身份鉴别,只允 许其通过特定的命 令或操作界面进行 安全管理操作,并对 这些操作进行审计;




9.1.
5.3
安 全 管 理
b) 应通过安全管 理员对系统中的安 全策略进行配置, 包括安全参数的设 置,主体、客体进 行统- -安全标记, 对主体进行授权, 配置可信验证策略 等。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6.1.3 安全区域边界 6.1.3.1 边界防护
应保证跨越边界的访问和数据流 通过边界设备提供的受控接口进 行通信。
a) 应划分不同的网络区域,并按 照方便管理和控制的原则为各网 络区域分配地址;
a) 应保证网络设备的业务处理能力满 足业务高峰期需要; b) 应保证网络各个部分的带宽满足业 务高峰期需要;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访 问控制规则数量最小化;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访问 控制规则数量最小化;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访问 控制规则数量最小化;
c) 应对源地址、目的地址、源端 口、目的端口和协议等进行检 查,以允许/拒绝数据包进出。
7.1.1.10 电磁防护
8.1.1.10 电磁防护
d)应提供应急供电设施。 9.1.1.10 电磁防护
电源线和通信线缆应隔离铺设, 避免互相干扰。
a)电源线和通信线缆应隔离铺设,避 免互相干扰;
a)电源线和通信线缆应隔离铺设,避 免互相干扰;
b)应对关键设备实施电磁屏蔽。
b)应对关键设备或关键区实施电磁屏 蔽。
c)应划分不同的网络区域,并按照方 便管理和控制的原则为各网络区域分 配地址;
a) 应保证网络设备的业务处理能力满 足业务高峰期需要; b) 应保证网络各个部分的带宽满足业 务高峰期需要;
c)应划分不同的网络区域,并按照方 便管理和控制的原则为各网络区域分 配地址;
b) 应避免将重要网络区域部署在 边界处,重要网络区域与其他网 络区域之间应采取可靠的技术隔 离手段。
c) 应安装对水敏感的检测仪表或元 件,对机房进行防水检测和报警。
c) 应安装对水敏感的检测仪表或元 件,对机房进行防水检测和报警。
7.1.1.7 防静电
8.1.1.7 防静电
9.1.1.7 防静电
应采用防静电地板或地面并采用 必要的接地防静电措施。
7.1.1.8 温湿度控制
8.1.1.8
a)应采用防静电地板或地面并采用必 要的接地防静电措施; b) 应采取措施防止静电的产生,例如 采用静电消除器、佩戴防静电手环等 。 温湿度控制
6.1.1.4 防火 机房应设置灭火设备。
b)重要区域应配置第二道电子门禁系 统,控制、鉴别和记录进入人员。
7.1.1.3 防盗窃和防破坏
8.1.1.3 防盗窃和防破坏
9.1.1.3 防盗窃和防破坏
a)应将设备或主要部件进行固定, 并设置明显的不易除去的标识。
a)应将设备或主要部件进行固定,并 设置明显的不易除去的标识;
机房出入口应安排专人值守或配 置电子门禁系统,控制、鉴别和 记录进入的人员。
机房出入口应配置电子门禁系统,控 制、鉴别和记录进入的人员。
a)机房出入口应配置电子门禁系统, 控制、鉴别和记录进入的人员。
6.1.1.2 防盗窃和防破坏 应将设备或主要部件进行固定, 并设置明显的不易除去的标识。
6.1.1.3 防雷击 应将各类机柜、设施和设备等通 过接地系统安全接地。
防水和防潮
8.1.1.6
a)应采取措施防止雨水通过机房窗 户、屋顶和墙壁渗透;
b)机房及相关的工作房间和辅助房应 采用具有耐火等级的建筑材料。
c)应对机房划分区域进行管理,区域 和区域之间设置隔离防火措施。 防水和防潮 a)应采取措施防止雨水通过机房窗户 、屋顶和墙壁渗透;
9.1.1.6
b)机房及相关的工作房间和辅助房应 采用具有耐火等级的建筑材料。
f) 应采用可信验证机制对接入到网络 中的设备进行可信验证,保证接入网 络的设备真实可信。
6.1.3.2 访问控制
a) 应在网络边界根据访问控制策 略设置访问控制规则,默认情况 下除允许通信外受控接口拒绝所 有通信;
7.1.3.2 访问控制
a) 应在网络边界或区域之间根据 访问控制策略设置访问控制规 则,默认情况下除允许通信外受 控接口拒绝所有通信;
6.1.1.5 防水和防潮 应采取措施防止雨水通过机房窗 户、屋顶和墙壁渗透。
6.1.1.6 温湿度控制 应设置必要的温湿度调节设施, 使机房温湿度的变化在设备运行 所允许的范围之内。
6.1.1.7 电力供应 应在机房供电线路上配置稳压器 和过电压防护设备。
7.1.1.6
b)机房及相关的工作房间和辅助 房应采用具有耐火等级的建筑材 料。
d)应避免将重要网络区域部署在边界 处,重要网络区域与其他网络区域之 间应采取可靠的技术隔离手段;
d)应避免将重要网络区域部署在边界 处,重要网络区域与其他网络区域之 间应采取可靠的技术隔离手段;
7.1.2.2 通信传输
8.1.2.2
e) 应提供通信线路、关键网络设备和 关键计算设备的硬件冗余,保证系统 的可用性。
8.1.3.2 访问控制
9.1.3.2 访问控制
a) 应在网络边界或区域之间根据访问 控制策略设置访问控制规则,默认情 况下除允许通信外受控接口拒绝所有 通信;
a) 应在网络边界或区域之间根据访问 控制策略设置访问控制规则,默认情 况下除允许通信外受控接口拒绝所有 通信;
b) 应删除多余或无效的访问控制 规则,优化访问控制列表,并保 证访问控制规则数量最小化;
7.1.3 安全区域边界 7.1.3.1 边界防护
8.1.2.3
8.1.3 8.1.3.1
可信验证
可基于可信根对通信设备的系统引导 程序、系统程序、重要配置参数和通 信应用程序等进行可信验证,并在应 用程序的关键执行环节进行动态可信 验证,在检测到其可信性受到破坏后 进行报警,并将验证结果形成审计记 录送至安全管理中心。
c) 应对源地址、目的地址、源端口 、目的端口和协议等进行检查,以 允许/拒绝数据包进出;
d) 应能根据会话状态信息为进出数 据流提供明确的允许/拒绝访间的 能力。
b)应采用密码技术保证通信过程中数 据的保密性。
b)应采用密码技术保证通信过程中数 据的保密性;
c) 应在通信前基千密码技术对通信的 双方进行验证或认证;
7.1.2.3 可信验证
可基于可信根对通信设备的系统 引导程序、系统程序、重要配置 参数和通信应用程序等进行可信 验证,并在检测到其可信性受到 破坏后进行报警,并将验证结果 形成审计记录送至安全管理中心 。
8.1.1 安全物理环境
8.1.1.1 物理位置选择
a)机房场地应选择在具有防震、防风 和防雨等能力的建筑内;
9
第四级安全要求
9.1
安全通用要求
9.1.1 安全物理环境
9.1.1.1 物理位置选择
a)机房场地应选择在具有防震、防风 和防雨等能力的建筑内;
6.1.1.1 物理访问控制
机房出入口应安排专人值守或配 置电子门禁系统,控制、鉴别和 记录进入的人员。
c)应对机房划分区域进行管理,区域 和区域之间设置隔离防火措施。 防水和防潮 a)应采取措施防止雨水通过机房窗户 、屋顶和墙壁渗透;
b)应采取措施防止机房内水蒸气 结露和地下积水的转移与渗透。
b)应采取措施防止机房内水蒸气结露 和地下积水的转移与渗透;
b)应采取措施防止机房内水蒸气结露 和地下积水的转移与渗透;
b)机房场地应避免设在建筑物的顶层 或地下室,否则应加强防水和防潮措 施。
b)机房场地应避免设在建筑物的顶层或地 下室,否则应加强防水和防潮措施。
b)机房场地应避免设在建筑物的顶层或地 下室,否则应加强防水和防潮措施。
7.1.1.2 物理访问控制
8.1.1.2 物理访问控制
9.1.1.2 物理访问控制
信息安全技术 网络安全等级保护基本要求
GB/T 22239一2019
6 6.1 6.1.1
第一级安全要求 安全通用要求 安全物理环境
7
第二级安全要求
7.1
安全通用要求
7.1.1 安全物理环境
7.1.1.1 物理位置选择
a)机房场地应选择在具有防震、 防风和防雨等能力的建筑内;
8
第三级安全要求
8.1
安全通用要求
通信传输
9.1.2.2
e) 应提供通信线路、关键网络设备和 关键计算设备的硬件冗余,保证系统 的可用性; f) 应按照业务服务的重要程度分配带 宽,优先保障重要业务。 通信传输
应采用校验技术保证通信过程中 数据的完整性。
a)应采用校验技术保证通信过程中数 据的完整性;
a)应采用校验技术保证通信过程中数 据的完整性;
6.1.2 安全通信网络
7.1.2 安全通信网络
8.1.2 安全通信网络
9.1.2 安全通信网络
7.1.2.1 网络架构
8.1.2.1 网络架构
9.1.2.1 网络架构
6.1.2.1 通信传输 应采用校验技术保证通信过程中 数据的完整性。
6.1.2.2 可信验证
可基于可信根对通信设备的系统 引导程序、系统程序等进行可信 验证,并在检测到其可信性受到 破坏后进行报警。
应将各类机柜、设施和设备等通 过接地系统安全接地。
7.1.1.5
防火 a)机房应设置火灾自动消防系 统,能够自动检测火情、自动报 警,并自动灭火;
8.1.1.4 8.1.1.5
防雷击
a)应将各类机柜、设施和设备等通过 接地系统安全接地;
b)应采取措施防止感应雷,例如设置 防雷保安器或过压保护装置等。
防火 a)机房应设置火灾自动消防系统,能 够自动检测火情、自动报警,并自动 灭火;
9.1.1.4 9.1.1.5
防雷击
a)应将各类机柜、设施和设备等通过 接地系统安全接地;
b)应采取措施防止感应雷,例如设置 防雷保安器或过压保护装置等。
防火 a)机房应设置火灾自动消防系统,能 够自动检测火情、自动报警,并自动 灭火;