网络安全等级保护2.0-通用要求-表格版

网络安全等级保护2 0一通用网络安全等级保护2.0通用一、引言随着互联网的快速发展，网络安全问题日益突出，各类网络攻击频繁出现，给个人和组织带来了巨大的威胁。

为了保护网络安全，并促进网络安全的全面发展，我国提出了网络安全等级保护2.0通用标准，旨在提高网络安全等级保护的整体水平，确保网络空间的稳定和安全。

二、网络安全等级保护2.0通用标准概述网络安全等级保护2.0通用标准是由我国国家互联网应急中心制定的，旨在规范网络安全等级保护的各项工作。

该标准结合了国内外网络安全发展的最新成果，面向各类网络用户，并根据不同网络用户的实际需求，提供了一系列的网络安全保护要求和措施，以确保网络安全的全面防护。

三、网络安全等级保护2.0通用标准的主要内容1. 安全等级划分与评估网络安全等级保护2.0通用标准明确了网络安全的四个等级：一级等级最低，四级等级最高。

用户可以根据自身网络规模和安全需求，选择适合的等级，并进行相应的评估和认证。

2. 安全保护要求网络安全等级保护2.0通用标准规定了不同等级网络的安全保护要求，包括技术要求和管理要求。

技术要求方面，标准明确了网络安全设备的配置要求、网络拓扑结构的设计要求、访问控制的要求等。

管理要求方面，标准强调了网络安全管理责任的划分、安全培训和意识提升的要求等。

3. 安全防护措施网络安全等级保护2.0通用标准提供了一系列的安全防护措施，包括入口防御、出口防御、内部防御、应急处置等。

标准明确了各种防护技术的原理和应用，帮助用户建立完善的网络安全防护体系，提高对网络攻击的抵抗能力。

四、网络安全等级保护2.0通用标准的意义和作用1. 推动网络安全建设网络安全等级保护2.0通用标准为网络安全建设提供了一套统一的标准和规范，可以有效推动我国网络安全的整体水平提升。

2. 提供技术指导网络安全等级保护2.0通用标准提供了丰富的技术指导，帮助用户了解和掌握网络安全的相关知识和技术，提高网络安全的保护能力。

等级保护2.0安全通用要求等级保护2.0安全通用要求是指根据我国网络信息安全等级保护制度和相关法律法规，对信息系统等级保护管理的安全要求进行规定和明确。

它是我国网络信息安全等级保护制度的重要组成部分，旨在确保信息系统的安全性和可靠性，提升信息系统的防护能力，保护国家安全和社会公共利益。

一、等级保护2.0安全通用要求的背景随着互联网的快速发展和信息技术的广泛应用，信息系统的安全问题日益突出。

网络攻击、网络病毒、黑客入侵等安全威胁不断增加，给国家、企事业单位和个人带来了巨大的经济损失和社会危害。

为了有效应对这些安全威胁，我国推出了等级保护制度，并不断完善和提升。

二、等级保护2.0安全通用要求的内容等级保护2.0安全通用要求主要包括以下几个方面：1. 系统安全要求：对信息系统的设计、建设和运维过程中的安全问题进行规范和要求，包括安全策略和策略管理、访问控制、身份认证与授权、加密与解密、安全审计、安全风险评估等。

2. 数据安全要求：对信息系统中的数据进行保护和管理，包括数据的安全存储、传输和处理，数据的备份与恢复，数据的归档与销毁等。

3. 通信安全要求：对信息系统之间的通信进行安全管理，包括网络设备的安全配置、通信的加密与解密、通信的认证与授权、通信的防护与监控等。

4. 应用安全要求：对信息系统中的应用进行安全管理，包括应用的开发、部署、运行和维护过程中的安全问题，应用的访问控制、应用的安全配置与参数、应用的漏洞管理与修复等。

5. 物理安全要求：对信息系统的物理环境进行安全管理，包括信息系统机房的安全保护、设备的防盗与防损、设备的防尘与防水、机房的供电与电气安全等。

6. 人员安全要求：对信息系统人员进行安全管理，包括人员的背景调查、招聘与培训、权限分配与访问控制、人员的离职处理等。

三、等级保护2.0安全通用要求的意义等级保护2.0安全通用要求的推出，将进一步提升我国信息系统的安全保护能力，对构建网络强国和实现信息强国具有重要意义。

1通用技术要求安全物理环境需要知足切合项的，不需要知足切合项的或许空序号名称详细要求2级3级1物理地点的a) 机房场所应选择在拥有防震、防风和防雨等能选择力的建筑内；b) 机房场所应防止设在建筑物的顶层或地下室，2物理接见控制不然应增强防水和防潮举措。

机房进出口应安排专人值守或配置电子门禁系统，控制、鉴识和记录进入的人员。

机房进出口应配置电子门禁系统，控制、鉴识和记录进入的人员。

3防偷窃和防a) 应将设备或主要零件进行固定，并设置显然的损坏不易除掉的表记；b)应将通讯线缆铺设在隐蔽安全处。

c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。

4防雷击应将各种机柜、设备和设备等经过接地系统安全接地。

b)应采纳举措防备感觉雷，比如设置防雷保安器或过压保护装置等。

5防火a)机房应设置火灾自动消防系统，可以自动检测火情、自动报警，并自动灭火；b)机房及有关的工作房间和协助房应采纳拥有耐火等级的建筑资料。

c)应付机房区分地区进行管理，地区和地区之间设置隔绝防火举措。

6防水和防潮a) 应采纳举措防备雨水经过机房窗户、屋顶和墙壁浸透；b) 应采纳举措防备机房内水蒸气结露和地下积水的转移与浸透。

c)应安装对水敏感的检测仪表或元件，对机房进7防静电行防水检测和报警。

应采纳防静电地板或地面并采纳必需的接地防静电举措。

b)应采纳举措防备静电的产生，比如采纳静电消除器、佩带防静电手环等。

8湿温度控制应设置温湿度自动调理设备，使机房温湿度的变化在设备运转所同意的范围以内。

9电力供给a) 应在机房供电线路上配置稳压器和过电压防备设备；b)应供给短期的备用电力供给，起码知足设备在断电状况下的正常运转要求。

c)应设置冗余或并行的电力电缆线路为计算机系统供电。

10电磁防备a) 电源线和通讯线缆应隔绝铺设，防止相互扰乱。

b)应付重点设备实行电磁障蔽。

安全通讯网络序号名称详细要求2级3级a)应保证网络设备的业务办理能力知足业务顶峰期需要；b)应保证网络各个部分的带宽知足业务顶峰期需要；c)应区分不一样的网络地区，并依照方便管理和控制的原则为各网络地区分派地址；1网络架构d)应防止将重要网络地区部署在界限处，重要网络地区与其余网络地区之间应采纳靠谱的技术隔绝手段e)应供给通讯线路、重点网络设备和重点计算设备的硬件冗余，保证系统的可用性。

网络安全等级保护基本要求第1部分：安全通用要求一、技术要求:基本要求第一级第二级第三级第四级物理和环境安全物理位置的选择/a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内；b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施a) ;b) ;a) ;b) ;物理访问控制a) 机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员a) a) 机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员a) ;b) 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员防盗窃和防破坏a) 应将机房设备或主要部件进行固定，并设置明显的不易除去的标记a) ；b) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。

a) ；b) ；c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统a) ;b) ;c) ;防雷击a) 应将各类机柜、设施和设备等通过接地系统安全接地a) a) ；b) 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等a) ;b) ;防火a) 机房应设置灭火设备a) 机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料a) ；b) ；c) 应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。

a) ;b) ;c) ;防水和防潮a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透a) ；b) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透a) ；b) ；c) 应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

a) ;b) ;c) ;防静电/ a)应安装防静电地板并采用必要的接地防静电措施a) ；b) 应采用措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等。

a) ;b) ;温湿度控制a) 机房应设置必要的温、湿度控制设施，使机房温、湿度的变化在设备运行所允许的范围之内a) 机房应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内a) ; a) ;电力供应a) 应在机房供电线路上配置稳压器和过电压防护设备a) ；b) 应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求a) ；b) ；c) 应设置冗余或并行的电力电缆线路为计算机系统供电。

1 通用技术要求1.1 安全物理环境需要满足符合项的，不需要满足符合项的或者空序号名称具体要求 2 级 3 级1 物理位置的a) 机房场地应选择在具有防震、防风和防雨等能选择力的建筑内；b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。

2 物理访问控机房出入口应安排专人值守或配置电子门禁系制统，控制、鉴别和记录进入的人员。

机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

3 防盗窃和防a) 应将设备或主要部件进行固定，并设置明显的破坏不易除去的标识；b) 应将通信线缆铺设在隐蔽安全处。

c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。

4 防雷击应将各类机柜、设施和设备等通过接地系统安全接地。

b) 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。

5 防火a) 机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。

c) 应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。

6 防水和防潮a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；1 通用技术要求1.1 安全物理环境需要满足符合项的，不需要满足符合项的或者空序号名称具体要求 2 级 3 级1 物理位置的a) 机房场地应选择在具有防震、防风和防雨等能选择力的建筑内；b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。

2 物理访问控机房出入口应安排专人值守或配置电子门禁系制统，控制、鉴别和记录进入的人员。

机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

3 防盗窃和防a) 应将设备或主要部件进行固定，并设置明显的破坏不易除去的标识；b) 应将通信线缆铺设在隐蔽安全处。

c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。

4 防雷击应将各类机柜、设施和设备等通过接地系统安全接地。

b) 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。

网络安全等级保护2.0介绍网络安全建设需求分析政策驱动：ü《网络安全法》——第21条、第31条明确规定了网络运营者和关键信息基础设施运营者都应该按等级保护要求对系统进行安全保护；违者将面临暂停业务、停业整顿、吊销相关业务许可证或者吊销营业执照等处罚，最高处罚金额可达人民币100万元。

ü 2019年5月13日网络安全等级保护技术2.0版本正式公开发布，2019年12月底正式实施。

《等保2.0》的正式出台，减少了等保二、三级控制项，进一步完善优化等保建设标准体系；业务现状：ü各行各业都面临着勒索病毒、挖矿病毒泛滥的问题，医疗行业更是重灾区，有29%勒索软件的攻击目标是各类医疗相关机构，数据重要性强，his、pcas、LIS等重要数据，命中勒索病毒后，付费赎买几率较大；ü医疗行业也是黑客攻击主要目标，公民基础身份信息附加价值大，电信诈骗等黑产，对病患医疗信息重视，可以花比较大的价钱购买，刺激数据盗窃行为；ü安全问题处理效率低下，业务系统出现问题不能及时定位，事故处理效率低，影响正常业务进展，甚至造成医疗事故；核心诉求：Ø符合《网络安全法》和《等保2.0》相关法律标准要求Ø有效抵御外界安全攻击，避免医院和病患经济损失Ø提升业务系统安全问题处理效率，保障医院正常业务不中断等保2.0基本要求结构信息系统物理安全技术要求变化管理要求变化基本要求网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理物理和环境安全网络和通信安全设备和计算安全应用和数据安全安全策略和管理制度安全管理机构和人员安全建设管理安全运维管理安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理等保1.0等保2.0试行稿等保2.0最新稿一个中心三重防御围绕“一个中心三重防护”的等保方案设计防病毒防病毒防病毒防病毒互联网出口区NGFW电信出口路由器移动联通APT检测行为管理核心交换机运维审计身份认证流量探针大数据安全IT运维漏洞扫描VPNNGFW业务系统1业务系统2业务系统3WG入侵防御业务系统4动态防御NGFWNGFW动态防御动态防御防篡改防篡改防篡改防篡改数据库审计安全服务防病毒防病毒防病毒防病毒安全等保2.0典型拓扑大数据安全(流量+日志)IT运维管理堡垒机漏洞扫描下一代防火墙VPN 路由器交换机下一代防火墙(防病毒+垃圾邮件)入侵检测/防御上网行为管理安全沙箱动态防御系统身份认证管理流量探针WEB应用防护入侵检测/防御数据库审计网页防篡改漏洞风险评估(渗透+漏扫服务)动态防御系统杀毒软件等保建设咨询服务•对安全进行统一管理与把控•集中分析与审计•定期识别漏洞与隐患•构建安全的网络通信架构•保障信息传输安全•强化安全边界防护及入侵防护•优化访问控制策略•强调系统及应用安全•加强身份鉴别机制与入侵防范双因素认证等保2.0配置推荐表序号等保所需产品与服务必备/可选(等保二级)必备/可选(等保三级)1防火墙必备必备2入侵防御【IPS】必备必备3日志审计【BDS】必备必备4渗透测试服务可选可选5漏洞扫描服务必备必备6堡垒机【OAS】必备必备7上网行为管理【UAC】必备必备8WAF应用防火墙可选必备9终端准入系统可选必备10双因素认证可选可选11数据库审计【DBS】可选必备12等级保护建设咨询可选可选13安全事件处置服务可选可选14网站防篡改可选必备15机房运维管理软件可选可选16新型攻击防御可选可选17网络版杀毒软件必备必备18数据存储备份必备必备序号等保产品名称功能作用1防火墙网络安全的第一道防线，用于监控和控制进出网络的数据包，根据预设的安全规则允许或阻止网络流量。

序号类别控制点要求项权重赋值1机房场地应选择在具有防震、防风和防雨等能力的建筑内；0.22机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。

0.53物理访问控制机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

14应将设备或主要部件进行固定，并设置明显的不易除去的标记；0.25应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；0.56应设置机房防盗报警系统或设置有专人值守的视频监控系统。

17应将各类机柜、设施和设备等通过接地系统安全接地；0.58应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。

0.79机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；110机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；0.211应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。

0.712应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；0.5物理和环境安全物理位置选择防盗窃和防破坏防雷击防火等保2.0 第三级 安全通用要求 权重赋值表13应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；0.514应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

0.515应安装防静电地板并采用必要的接地防静电措施；0.216应采用措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等。

0.217温湿度控制应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

118应在机房供电线路上配置稳压器和过电压防护设备；0.519应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求；120应设置冗余或并行的电力电缆线路为计算机系统供电。

121电源线和通信线缆应隔离铺设，避免互相干扰；0.222应对关键设备实施电磁屏蔽。

123应保证网络设备的业务处理能力满足业务高峰期需要；124应保证网络各个部分的带宽满足业务高峰期需要；125应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；126应避免将重要网络区域部署在网络边界处且没有边界防护措施；127应提供通信线路、关键网络设备的硬件冗余，保证系统的可用性。