下载文档原格式
等保二级升级到等保三级的说明一、等保二级和等保三级的概念和要求1. 等保二级:指的是根据国家对信息安全的分类保护要求,结合我国国情、信息系统的发展状况和实际操作能力制定的信息系统安全等级保护标准。
等保二级要求信息系统具备一定的安全防护能力,能够经受一定能力的数字攻击。
2. 等保三级:是在等保二级的基础上,要求信息系统在技术、管理和服务能力等方面进一步提升,必须具备更强的抗攻击能力和应对能力。
二、等保二级升级到等保三级的背景和意义1. 背景:随着我国信息技术的发展和信息系统的广泛应用,网络安全面临的威胁也在不断增加,网络攻击的手段和技术不断更新,对信息系统的安全性提出了更高的要求。
2. 意义:等保二级升级到等保三级,不仅是国家对信息安全的进一步提升,更是企业和组织对自身信息系统安全能力的提升。
只有具备更强的安全防护和应对能力,才能更好地保护重要信息资产和个人隐私数据的安全。
三、等保二级升级到等保三级的具体要求和举措1. 技术要求:等保三级要求信息系统具备更强的安全防护能力,包括加密技术、安全接入控制、安全审计和监控等方面的技术措施。
企业需要在系统架构、网络安全、数据加密等方面进行升级和改进,确保系统在面临各种攻击时能够有效防范。
2. 管理要求:等保三级对信息系统的安全管理提出了更严格的要求,要求企业建立健全的安全管理制度和流程,加强对安全事件的预警和应对能力。
企业需要加强对员工的安全意识教育和培训,确保每个人都能够成为信息安全的守护者。
3. 服务能力:在服务能力上,等保三级要求企业具备更强的应对能力和自愈能力,能够在发生安全事件时迅速做出响应和处置,最大限度地减少损失并恢复系统正常运行。
企业需要建立完善的安全应急响应机制,确保在面临安全威胁时能够以更快的速度做出反应。
四、等保二级升级到等保三级的挑战和应对策略1. 技术挑战:升级到等保三级需要投入更多的技术和人力资源,可能会面临技术难题和成本压力。
分类控制点(L3)L2L3应对措施a) 应保证网络设备的业务处理能力满足业务高峰期需要;a)依据业务需求进行网络设备选型,性能预留;b) 应保证网络各个部分的带宽满足业务高峰期需要;b)依据业务需求设计传输链路,带宽预留,关键业务链路质量保障;a) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;c)网络分区分域设计;b) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;d)按照业务重要程度及风险类型进行网络域划分,做好出口防护和边界隔离;e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
e)网络系统链路及设备冗余架构设计;应采用校验技术保证通信过程中数据的完整性。
a) 应采用校验技术或密码技术保证通信过程中数据的完整性;a)数据传输通信链路采用MD5,SHA校验算法;b) 应采用密码技术保证通信过程中数据的保密性。
b)数据传输通信链路采用加密传输技术8.1.2.3可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
选择具备可信机制的网络设备组网,并实现可信系统与安全管理中心的联动;应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;a)区域边界隔离控制,默认拒绝所有通信且根据IP五元组开启必要通信,对于WEB网站进行应用级防护;b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;b)终端准入控制及资产识别;c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;c)网络访问控制;d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
《信息系统安全等级保护基本要求》二级三级等级保护要求比较信息系统安全等级保护是指根据信息系统的安全风险等级,对信息系统进行分级管理,制定相应的安全保护要求和技术措施。
我将对二级和三级等级保护要求进行比较。
一、安全管理要求1.1二级等级保护要求:有完善的信息系统安全管理规章制度,明确的安全运维责任,健全的安全组织机构和安全管理人员。
实施定期的安全教育培训,对安全事件、漏洞、威胁进行分析和处理。
建立安全审计体系,对安全事件进行追踪和溯源。
1.2三级等级保护要求:在二级的基础上,要求建立风险管理体系,对信息系统的风险进行评估和控制。
建立信息安全委员会或安全管理领导小组,参与信息系统的安全决策和规划。
实施日志和审计记录的收集和分析,监测安全事件并及时响应。
二、物理安全要求2.1二级等级保护要求:要求建立信息系统的物理安全管理责任制,对关键设备和场所进行安全防护和监控。
设立访问控制措施,限制物理访问权限。
对物理环境进行监控和巡视,防止未经授权的人员进入设备和设施。
2.2三级等级保护要求:在二级的基础上,要求建立设备和设施的防护体系,确保信息系统的可靠性和连续性。
加强对场所、机房、环境等的安全控制,加强监控和预警能力,及时发现并应对风险事件。
三、网络安全要求3.1二级等级保护要求:要求建立网络安全管理机构和网络安全责任制,健全网络边界防护机制。
采取合理的网络隔离措施,确保内外网之间的安全通信。
建立访问控制机制,限制外部访问权限。
定期检查和维护网络设备和系统,防止网络攻击。
3.2三级等级保护要求:在二级的基础上,要求提高网络安全防护能力,完善网络入侵检测和防御系统。
建立网络安全事件管理和响应机制,加强对入侵和攻击的监测和处置。
加强对网络设备和系统的安全管理,规范网络配置和管理。
四、数据安全要求4.1二级等级保护要求:要求建立数据安全管理制度和数据分类管理机制,确保敏感数据的保护和隐私的保密。
采取加密和安全传输措施,保护数据的完整性和可用性。
等保2.0是指信息安全等级保护2.0的简称,是中国政府为了加强网络安全管理和保护国家关键信息系统而提出的一项标准。
根据等保2.0标准,不同级别的关键信息系统需要满足相应的等级保护指标。
等保2.0标准将关键信息系统分为五个等级,等级由高到低依次为:一级、二级、三级、四级和五级。
每个等级都有相应的保护要求和技术措施。
以下是等保2.0不同等级的保护指标的一些示例:
1. 一级保护:要求采取严格的安全技术措施,能够应对高级威胁和攻击。
包括防火墙、入侵检测和入侵防护系统、访问控制、安全审计等。
2. 二级保护:要求采用较高的安全技术措施,能够应对较高级别的威胁和攻击。
包括数据加密、网络隔离、安全监测与响应、灾备恢复等。
3. 三级保护:要求采用适当的安全技术措施,能够应对中级威胁和攻击。
包括访问控制、恶意代码防范、安全培训教育等。
4. 四级保护:要求基本的安全技术措施,能够应对一般威胁和攻击。
包括密码安全、基础设施保护、安全漏洞管理等。
5. 五级保护:要求最基本的安全措施,能够应对低级威胁和攻击。
包括安全策略制定、安全事件响应等。
需要注意的是,等保2.0的具体保护指标是根据具体的应用环境和信息系统的特点而确定的,上述只是一些示例,并不包括所有的保护要求。
对于具体的等级保护指标,建议参考相关的政府发布的相关文件以获取更准确和详细的信息。
等保二级和三级测评项对比等保二级和三级测评项对比,这话一说出来,很多人都会想:“这到底是个什么鬼?”别急,今天咱就慢慢聊聊。
等保啊,咱们简单来说,就是国家针对信息安全做的一个分级保护体系。
这就像你去餐馆吃饭,菜的分级从小炒到大菜一样,等保也是有高低之分的。
二级和三级,那可不是随便说说的,差别可大着呢!二级和三级,虽然都归在一个大框架下,但它们的侧重点可大不相同。
二级的要求,差不多就像是你家门口装个门锁,防个小偷,安心就行。
不是说防不住高级黑客,而是觉得对付一般的网络入侵者已经够用了。
你看,二级的测评项基本上就围绕着基础的安全防护展开,像是身份认证、数据加密、日志管理这种,这些就像你家门口的监控,时刻注意有没有可疑的人物接近,守好自己的“家门”。
说到这里,大家是不是有点懂了?但是等保三级就不一样了,它的要求可高了去了。
三级就像你家有了大金库,里面存着不少贵重物品,得用更高等级的保护措施来守护。
要不然,你说黑客们多聪明,偷个钱包、偷个数据,轻松得很。
等保三级更注重对数据的全方位保护,特别是对业务系统的防护,系统出现问题的损失可是无法估量的。
你要是看不懂这些高深的安全术语,没关系,简单来说,三级就比二级要更严密、更全面,它对安全的每个环节都会要求更加细致的措施。
比如说,二级和三级在网络安全的设置上就大有不同。
二级说实话,它的网络边界防护是比较宽松的,适合一些小型的、没有特别敏感信息的企业。
而三级呢,它就不允许有任何一个“漏洞”,因为一旦网络被攻击,可能影响的可不仅仅是你自己,还有更多的人。
所以它要求你的网络架构必须设计得更加安全,像什么防火墙、入侵检测、流量分析这些都得搞得很到位。
你要是不想把自己公司“门”搞得太脆弱,三级的这些要求必须到位。
接着说到数据加密,二级和三级对这块的要求也是天差地别。
二级对数据加密的要求并不那么严格,基本是满足常规的数据保护,像传输过程中加个密,避免数据泄露。
可到了三级,要求就高了,尤其是在重要数据的存储、备份这些方面,得做得滴水不漏。
等保2.0二级、三级区别与测评项详细对比
基于等保2.0标准体系,详细对比等保二级、三级之前的区别,包含:评定要求对比、测评周期对比、详细测评项对比、安全产品对比与落地实施建议等内容。
一、评定要求对比
等保二级:等保对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全 ;
等保三级:等保对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害 ;
二、测评周期对比
等保二级:一般两年进行一次测评;
等保三级:每年至少进行一次等级测评;
三、详细测评项对比
通用部分等保二级测评和三级测评项数量如下:
标记注释:是否适用:No-不适用
注意:以下所有测评项全部适用于三级系统,最后一列仅标识哪些项二级不适用。
四、安全产品对与落地实施建议
等级保护2.0差异变化。
关键指标与应对产品。
等级保护2.0通用要求相关产品和措施(三级)。
等保 2.0系列原则即将发布,网络安全级别保护基本规定通用规定在信息安全级别保护基本规定技术部分的基本上进行了某些调节,湖南金盾就网络安全级别保护基本规定通用规定在信息安全级别保护基本规定进行了具体对比,下面以三级为例进行一种对比。
网络安全级别保护基本规定通用规定技术部分与信息安全级别保护基本规定技术部分构造由本来的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全,调节为四个部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;技术规定“从面到点”提出安全规定,“物理和环境安全”重要对机房设施提出规定,“网络和通信安全”重要对网络整体提出规定,“设备和计算安全”重要对构成节点(涉及网络设备、安全设备、操作系统、数据库、中间件等)提出规定,“应用和数据安全”重要对业务应用和数据提出规定。
(标粗内容为三级和二级的变化,标红部门为新原则重要变化)
•
物理与环境安全VS本来物理安全
•
控制点未发生变化,规定项数由本来的32项调节为22项。
控制点
•
网络和通信安全VS本来网络安全
•
新原则减少了构造安全、边界完整性检查、网络设备防护三个控制
•
设备和计算安全VS本来主机安全
•
新原则减少了剩余信息保护一种控制点,在测评对象上,把网络设
•
应用和数据安全VS本来应用安全+数据安全及备份恢复
•
新原则将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一种层面,减少了通信完整性、通信保密性和抗抵赖三个控制点,增长了个人信息保护控制点。
通信完整性和通信保密性的规定纳入了网络。
安全等级保护2级和3级等保要求-蓝色为区别概述近年来,随着信息技术的发展,各行各业的信息技术应用越来越广泛。
为保证信息系统安全性,国家发布了《信息安全等级保护管理办法》和《关于印发信息安全等级保护制度的通知》,规定了信息系统等级保护的要求和级别。
其中,2级和3级等保要求是较为重要的等级保护,本文将围绕这两个等级保护要求进行介绍,并深入分析它们的区别。
2级等保要求2级等保要求是对涉密信息系统的安全等级保护要求,主要包括以下几方面:安全审计要求涉密信息系统应当开展安全审计,对系统的合法性、有效性、安全性进行检测和评估。
认证和授权要求采用单点登录、多重认证、身份鉴别和访问控制等技术手段,确保系统内部人员的身份信息准确、权限合理、访问受控。
加密保护要求在系统设计和实现过程中,采用加密技术保护系统的数据传输、数据存储等安全需求。
恶意攻击检测要求系统应当在实现过程中采用攻击检测和防御技术,随时对恶意攻击进行识别并进行有效的应对。
灾难恢复要求对涉密信息系统进行灾难恢复规划,确保在系统出现灾难性故障时能够正常快速恢复。
3级等保要求3级等保要求是对国家重点信息基础设施的安全等级保护要求,主要包括以下几方面:全网监测要求采用网络监测设备和技术手段,全方位实时监测网络和信息安全事件。
多重防御要求系统应当在实现过程中采用多层次防御和多重安全检测机制,确保系统受到攻击时能够起到有效的防御作用。
安全管控要求建立完善的安全管理流程,对系统的操作和访问进行精细化管控。
协同应对要求组建应对恶意攻击和紧急事件的应急响应组,对系统安全事件进行最快速的应对和处置。
联合演练要求定期进行联合演练,对应急响应能力进行检测和提升。
蓝色为区别2级等保要求和3级等保要求的区别在于安全保障范围的不同。
2级等保要求主要是对信息系统层面的保护,对于涉密信息的保护需求进行细致化的管理和保障,而3级等保要求则是在2级等保要求的基础之上更进一步,主要是对国家重点信息基础设施进行保护。
分类控制点(L3)L2L3应对措施a) 应保证网络设备的业务处理能力满足业务高峰期需要;a)依据业务需求进行网络设备选型,性能预留;b) 应保证网络各个部分的带宽满足业务高峰期需要;b)依据业务需求设计传输链路,带宽预留,关键业务链路质量保障;a) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;c)网络分区分域设计;b) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;d)按照业务重要程度及风险类型进行网络域划分,做好出口防护和边界隔离;e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
e)网络系统链路及设备冗余架构设计;应采用校验技术保证通信过程中数据的完整性。
a) 应采用校验技术或密码技术保证通信过程中数据的完整性;a)数据传输通信链路采用MD5,SHA校验算法;b) 应采用密码技术保证通信过程中数据的保密性。
b)数据传输通信链路采用加密传输技术8.1.2.3可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
选择具备可信机制的网络设备组网,并实现可信系统与安全管理中心的联动;应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;a)区域边界隔离控制,默认拒绝所有通信且根据IP五元组开启必要通信,对于WEB网站进行应用级防护;b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;b)终端准入控制及资产识别;c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;c)网络访问控制;d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
d)对无线网络进行统一管控,控制其对关键业务系统的访问,无线网络接入边界(汇聚与核心之间)部署必要的隔离控制手段;a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;a)区域边界隔离控制,默认拒绝所有通信且根据IP五元组开启必要通信;b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;b)防火墙策略策略优化(避免配置无效、冗余策略,优化匹配顺序);c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;c)配置基于IP五元组的防火墙策略,遵循最小化、精细化原则;d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。
d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;d)配置防火墙会话状态检查,遵循最小化、精细化原则;e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
e)通过应用识别、内容识别功能实现进出流量访问控制;应在关键网络节点处监视网络攻击行为。
a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;a)互联网出口或其他局点接入平台防护,具备检测防护能力;b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;b)区域边界隔离防护,具备检测防护能力;c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;c)部署结合情报系统的网络行为分析或者深层次建设设备;d) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
d)入侵防范设备选型是考量日志分析及预警能力,或者借助专业分析预警设备进行统一的分析展示;8.1.2安全通信网络8.1.3安全区域边界8.1.2.1网络架构8.1.2.2通信传输8.1.3.1边界防护8.1.3.2访问控制8.1.3.3入侵防范应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;a)根据关键节点部位选在部署专用网络防病毒系统(设备),配置自动更新策略或者手动高频定期更新;b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
b)邮件服务器配置反垃圾机制并定期升级更新垃圾地址库或者在邮件服务器前端部署DLP进行内容识别检测,通关关键字定义匹配反垃圾邮件;a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;a)通过日志归集分析或者专业的采集分析设备实现对单ip、单用户的流量分析审计,且能够实现流量标记及细粒度时间分析;b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;b)审计设备或者边界防护设备选型时考量日志细粒度分析能力;c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;c)边界防护设备选型时考量日志存储及转存能力,专业审计设备的存储空间需要满足日志归集存储的需求同时应具备转存能力;d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
d)通过用户群组定义对用户行为进行独立审计分析;8.1.3.6可信验证可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
选择具备可信机制的安全设备组网,并实现可信系统与安全管理中心的联动;a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;a)禁止设备无密登录,配置账户及密码策略;b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;b)配置设备登录失败或者登录超时处理机制;c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;c)禁用Telnet、RDP远程登录协议或者借助堡垒机进行主机管理;d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
d)设备身份鉴别采用多因素认证a) 应对登录的用户分配账户和权限;a) 应对登录的用户分配账户和权限;a)用户身份认证,禁止无密登录b) 应重命名或删除默认账户,修改默认账户的默认口令;b) 应重命名或删除默认账户,修改默认账户的默认口令;b)禁用默认账号c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;c)账号定期清理优化d) 应授予管理用户所需的最小权限,实现管理用户的权限分离。
d) 应授予管理用户所需的最小权限,实现管理用户的权限分离;d)“三权分立”,遵循最小化权限分配原则e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;e)通过独立防火墙或者系统防火墙实现基于IP五元组的访问控制;f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;f)配置基于应用(数据库、文件系统等)的访问控制策略;g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
g)通过强制身份标记实现所有访问的控制(凝思);a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;a)对服务器日志及告警信息等进行归集、分析并根据用户及事件等级等维度进行展示;b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;b)审计设备选型时考量日志细粒度分析能力;8.1.3.4恶意代码和垃圾邮件防范8.1.3.5安全审计8.1.4.1身份鉴别8.1.4.2访问控制8.1.4.3安全审计c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;c)审计设备的存储空间需要满足日志归集存储的需求同时应具备转存能力;d) 应对审计进程进行保护,防止未经授权的中断。
d)采用专业审计设备进行审计数据处理;a) 应遵循最小安装的原则,仅安装需要的组件和应用程序;a) 应遵循最小安装的原则,仅安装需要的组件和应用程序;a)不要安装非必要软件,用进程监控模块或者资产梳理模块进行管理;b) 应关闭不需要的系统服务、默认共享和高危端口;b) 应关闭不需要的系统服务、默认共享和高危端口;b)关闭不需要的系统服务、默认共享和高危端口,用进程监控模块或者资产梳理模块进行管理;c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;c)做好准入控制和资产管理(IP、设备),配置必要的防护策略,比如IP-MAC绑定等;d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;d)业务系统开发设置相应的机制,主机及系统维护通过堡垒机做好审计;e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
