等保基本要求二三级对比表

安全等级保护2级和3级等保要求-蓝色为区别

二级、三级等级保护要求比较
一、技术要求
技术要求项
二级等保
三级等保
物理安全
物理位置的选择
1）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；
2）机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；
3）机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。
1）应在基于安全属性的允许远程用户对系统访问的规则的基础上，对系统所有资源允许或拒绝用户进行访问，控制粒度为单个用户；
2）应限制具有拨号访问权限的用户数量；
3）应按用户和系统之间的允许访问规则，决定允许用户对受控系统进行资源访问。
网络安全审计
1）应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录；
5）应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；
6）重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗。
1）网络设备的业务处理能力应具备冗余空间，要求满足业务高峰期需要；
2）应设计和绘制与当前运行情况相符的网络拓扑结构图；
3）安全审计应可以根据记录数据进行分析，并生成审计报表；
4）安全审计应可以对特定事件，提供指定方式的实时报警；
5）审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
边界完整性检查
1）应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为（即“非法外联”行为）。
1）应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为（即“非法外联”行为）；

等保二级三级区别与详细对比

等保2.0二级、三级区别与测评项详细对比
目录
一、评定要求对比 (2)
二、测评周期对比 (2)
三、详细测评项对比 (2)
（一）技术部分 (3)
（二）管理部分 (13)
四、安全产品对与落地实施建议 (26)
（一）等级保护2.0差异变化 (26)
（二）关键指标与应对产品。

(27)
（三）等级保护2.0通用要求相关产品和措施（三级） (28)
基于等保2.0标准体系，详细对比等保二级、三级之前的区别，包含：评定要求对比、测评周期对比、详细测评项对比、安全产品对比与落地实施建议等内容。

一、评定要求对比
等保二级：等保对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全 ;
等保三级：等保对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害 ;
二、测评周期对比
等保二级：一般两年进行一次测评；
等保三级：每年至少进行一次等级测评；
三、详细测评项对比
通用部分等保二级测评和三级测评项数量如下：
标记注释：是否适用：No-不适用
注意：以下所有测评项全部适用于三级系统，最后一列仅标识哪些项二级不适用。

（一）技术部分
（二）管理部分
四、安全产品对与落地实施建议（一）等级保护2.0差异变化
（二）关键指标与应对产品。

（三）等级保护2.0通用要求相关产品和措施（三级）。

等级保护2.0基本要求二级三级对比表(二)通用管理要求

ý
þ
6
网络和系统安全管理
a)应划分不同的管理员角色进行网络和系统
的运维管理，明确各个角色的责任和权限；
þ
þ
b)应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制；
þ
þ
c)应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定；
h)应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据；
i)应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道，操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道；
j)应保证所有与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。
þ
þ
a)应成立指导和管理网络安全工作的委员会
或领导小组，其最高领导由单位主管领导担任或授权；
ý
þ
2
人员配备
应配备一定数量的系统管理员、审计管理员和安全管理员等。
þ
þ
b)应配备专职安全管理员，不可兼任。
ý
þ
3
授权和审批
a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等；
þ
þ
b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度；
þ
ý
b)应建立机房安全管理制度，对有关物理访问、物品带进出和环境安全等方面的管理作出规定；
ý
þ
c)应不在重要区域接待来访人员，不随意放
置含有敏感信息的纸档文件和移动介质等。

二级和三级等保差异整理标准版.docx

恶意代码防范管
理（G3）
三级要求对恶意代码防范情况进行定期的审计和分析并形成书面的报告
二级仅要求指定专人对系统的恶意代码防范进行管理
密码管理（G3）
三级要求建立密码使用管理制度
二级仅要求使用符合国家密码管理规定的密码技术和
rt
变更管理（G3）
三级要求建立变更管理制度，并对变更过程进行控制、记录并审计
终端日常管理
访问控制（S3）
三级要求对重要信息资源的操作进行记录并审计
堡垒主机（运维网关、安全管理平台）类设备
二级仅要求对主机资源的访问进行控制，并权限分离（重要服务器）
终端日常管理
安全审计（G3）
三级要求对审计记录分析，生成审计报表，并防止审计进程的未预期中断
终端安全类产品
二级仅要求对主机用户的行为、系统资源使用、重要系统命令等记录进行审计，并避免审计记录的破坏
二级仅要求对机房设施管理、人员岀入、安全管理进行控制
资产管理（G3）
三级要求对资产的重要程度进行分类和表示，进行规范化管理
二级仅要求编制与信息系统相关的资产清单，并规定资产管理制度
系统运维管理
介质管理（G3）
三级要求对介质进行定期清点管理，并对重要数据介质进行备份
二级仅要求数据存储等介质进行分类，归档、查询、维修、销毁等进行记录，并保护其中的敏感数据
工程实施（G3）
三级要求制定工程实施方面的管理制度
二级仅要求在工程实施中制定详细的工程实施方案，控制工程实施过程
测试验收（G3）
三级要求指定专门部门负责系统测试验收的管理
二级仅要求制定系统的验收方案并形成验收报告
系统交付（G3）
三级要求指定专门部门负责系统交付的管理工作

等保一级二级三级四级测评项对比

等保一级二级三级四级测评项对比今天咱们聊聊“等保”四个等级的事儿，啥叫等保呢？就是“等级保护”，全称叫做《信息安全技术网络安全等级保护基本要求》。

简单来说就是根据你单位、你网站、你系统的“重要程度”来划分的安全等级。

简单点说，就是你的网站有多重要，相关部门对你要求的安全防护就有多高。

等保的等级从一级到四级，四级就等于是“顶级防护”，一级呢，就是最基础的保护。

你看哈，就像是咱家的门锁一样，一星级门锁只能防止小偷偷东西，四星级门锁嘛，就算是黑客来也得瑟瑟发抖。

所以今天咱就来看看这四个等级有啥不一样，各自的测评项有哪些区别。

咱先从等保一级说起，基本上属于“随便打个防护墙也就够了”的级别，主要适用于一些没有啥敏感数据、对安全要求不高的小系统。

你想啊，像咱家的WiFi密码，可能也就不过是一个简单的“123456”，那啥，基本上是不会有黑客来攻破你家防线的。

这个级别的测评项主要是看你有没有做一些基本的安全措施，比如设置了防火墙没有、默认密码改了没、是不是有一些简单的入侵检测。

低调，简单，只要能防住一般的小问题就行了。

再说等保二级吧，哎呦，这就好像是换了个更结实的门锁，防盗网也加上了，不单单是防止普通的黑客攻击了，还得防止一些有点儿“水平”的攻击者。

这个级别的测评就多了，比如会看看你的系统有没有定期做漏洞扫描，系统的日志有没有记录，权限控制是不是合理。

这个就像你家门锁不光得结实，还得有个监控摄像头，看见有可疑的人就能报警。

简单说吧，二级安全还是比较基础的，差不多能防住那些不太专业的攻击了。

然后咱说说三级，这就厉害了，三级差不多就相当于家里换了带密码的智能锁，防盗网也升级为全自动的那种。

三级的测评项可就多了，不光得看防护能力，还得看管理、运维、数据保护等各方面。

比如有没有定期的安全巡检？系统的漏洞有没有及时打补丁？数据的备份是不是做好了？这个时候，系统的安全防护已经不只是看“有没有密码”，而是更侧重于“如何保护”了。

《信息系统安全等级保护基本要求》二级、三级等级保护要求比较

5）应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；
6）重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗;
7）应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要业务数据主机。
6）应具有鉴别警示功能；
7）重要的主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别。
自主访问控制
1）应依据安全策略控制主体对客体的访问;
2）自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作；
3）自主访问控制的粒度应达到主体为用户级，客体为文件、数据库表级;
4）应由授权主体设置对客体访问和操作的权限;
主机系统安全
身份鉴别
1）操作系统和数据库管理系统用户的身份标识应具有唯一性;
2）应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别；
3）操作系统和数据库管理系统身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等；
4）应具有登录失败处理功能,如：结束会话、限制非法登录次数,当登录连接超时，自动退出。
电力供应
1）计算机系统供电应与其他供电分开；
2）应设置稳压器和过电压防护设备；
3）应提供短期的备用电力供应（如UPS设备）.
1）计算机系统供电应与其他供电分开;
2）应设置稳压器和过电压防护设备；
3）应提供短期的备用电力供应（如UPS设备）；
4）应设置冗余或并行的电力电缆线路；
5）应建立备用供电系统（如备用发电机)，以备常用供电系统停电时启用。
6）重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。

信息系统安全等级保护2级和3级标准差异对比

管理大概80，外网大概40，服务器数外网网络边界进行访问控制，基本的终端数量：内网大概80，外网大概40，服务器数量：11网络现况：电信宽带30MB（互联网），电信专网4MB（一门诊）、10MB（城北门诊）,医保电信ADSL，电子远程药品监空系统移动光缆（带宽不详）现有应用系统：HIS、LIS、PACS 、EMR、物资资产财务、CA认证、医保数据备份：没有现有网络安全产品：防火墙1台（网神）在互联网出口处；服务器及内网终端安装Mcafee杀毒软件终端安全管理产品：没有分支机构远程连接：有2个分门诊，使用Radmin 、飞秋、远程桌面等局域网内部远程工具终端使用操作系统：WinXP、win8、win sever 2003、win sever 2008操作系统补丁更新：服务器与内网终端没有更新过终端杀毒软件：服务器、内网终端安装华军软件及功能：1)外网防火墙(对外网网络边界进行访问控制，基本的入侵防护的，可考虑原有网神防火墙利旧，需确认原有网神防火墙是否满足需求)2)内网防火墙(对内部网络边界进行访问控制，基本的入侵防护等)3)终端企业版杀毒软件(服务器及终端主机的防病毒统一管理、可进行终端个体的漏洞扫描及补丁更新)4)终端安全产品(对终端的信息安全进行防护，后期可根据需求增加和调整功能模块) 5)上网行为管理设备(对外网终端的上网行为进行监测，必要时进行管控)后期三级等保可考虑增加设备：1)入侵防御设备(IPS)：网络边界处2)防病毒网关(多功能安全网关)：网络边界处3)入侵检测设备(IDS)：内网核心交换机处4)堡垒主机(运维网关、安全管理平台)：核心交换机处5)网闸(信息交换与隔离系统)：内外网边界处6)数据库审计(综合审计类产品)：新：服务器与内网终端没有更新处5)网闸(信息交换系统运维管理。

等级保护2.0基本要求二级三级对比表格

1通用技术要求安全物理环境需要知足切合项的，不需要知足切合项的或许空序号名称详细要求2级3级1物理地点的a) 机房场所应选择在拥有防震、防风和防雨等能选择力的建筑内；b) 机房场所应防止设在建筑物的顶层或地下室，2物理接见控制不然应增强防水和防潮举措。

机房进出口应安排专人值守或配置电子门禁系统，控制、鉴识和记录进入的人员。

机房进出口应配置电子门禁系统，控制、鉴识和记录进入的人员。

3防偷窃和防a) 应将设备或主要零件进行固定，并设置显然的损坏不易除掉的表记；b)应将通讯线缆铺设在隐蔽安全处。

c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。

4防雷击应将各种机柜、设备和设备等经过接地系统安全接地。

b)应采纳举措防备感觉雷，比如设置防雷保安器或过压保护装置等。

5防火a)机房应设置火灾自动消防系统，可以自动检测火情、自动报警，并自动灭火；b)机房及有关的工作房间和协助房应采纳拥有耐火等级的建筑资料。

c)应付机房区分地区进行管理，地区和地区之间设置隔绝防火举措。

6防水和防潮a) 应采纳举措防备雨水经过机房窗户、屋顶和墙壁浸透；b) 应采纳举措防备机房内水蒸气结露和地下积水的转移与浸透。

c)应安装对水敏感的检测仪表或元件，对机房进7防静电行防水检测和报警。

应采纳防静电地板或地面并采纳必需的接地防静电举措。

b)应采纳举措防备静电的产生，比如采纳静电消除器、佩带防静电手环等。

8湿温度控制应设置温湿度自动调理设备，使机房温湿度的变化在设备运转所同意的范围以内。

9电力供给a) 应在机房供电线路上配置稳压器和过电压防备设备；b)应供给短期的备用电力供给，起码知足设备在断电状况下的正常运转要求。

c)应设置冗余或并行的电力电缆线路为计算机系统供电。

10电磁防备a) 电源线和通讯线缆应隔绝铺设，防止相互扰乱。

b)应付重点设备实行电磁障蔽。

安全通讯网络序号名称详细要求2级3级a)应保证网络设备的业务办理能力知足业务顶峰期需要；b)应保证网络各个部分的带宽知足业务顶峰期需要；c)应区分不一样的网络地区，并依照方便管理和控制的原则为各网络地区分派地址；1网络架构d)应防止将重要网络地区部署在界限处，重要网络地区与其余网络地区之间应采纳靠谱的技术隔绝手段e)应供给通讯线路、重点网络设备和重点计算设备的硬件冗余，保证系统的可用性。

等级保护2.0基本要求-二级三级对比表

3
制定和发布
a）应指止或授权专门的部门或人贝负责女全
管理制度的制定；
b）安全管理制度应通过正式、有效的方式发
布，并进行版本控制。
4
评审和修订
应定期对安全管理制度的合理性和适用性进
行论证和审定，对存在不足或需要改进的安全
管理制度进行修订。
2.2
厅P
名称
具体要求
2级
3级
1
岗位设置
a）应设立网络安全管理工作的职能部门，设
5
恶意代码
应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。
应采用免受恶意代码攻击的技术措施或主动
免疫可信验证机制及时识别入侵和^＜行为，
并将其肩效阻断。
6
可信验证
可基于口」彳百根对计算设备的系统引导程序、系统程
序、重要配置参数和应用程序等进行可信验证，并在
检测到具可信性受到破坏后进行报警，并将验证结果
的转移与渗透。
c）应安装对水敏感的检测仪表或元件，对机房进
行防水检测和报警。
7
防静电
应采用防静电地板或地面并采用必要的接地防静
电措施。
b）应采取措施防止静电的产生，例如采用静电消
除器、佩戴防静电手环等。
8
湿温度控制
应设置温湿度自动调节设施，使机房温湿度的变化
在设备运行所允许的范围之内。
9
电力供应
a）应在机房供电线路上配置稳压器和过电压防护
1
1.1
需要满足符合项的，不需要满足符合项的或者空
厅P
名称
具体要求
2级
3级
1
物理位置的
选择
a）机房场地应选择在具有防震、防风和防雨等能

安全等级保护2级以及3级等保要求蓝色为区别

二级、三级等级保护要求比较一、技术要求技术要求项物理安全物理地点的选择物理接见控制防盗窃和防破坏二级等保三级等保1）机房和办公场所应选择1）机房和办公场所应选择在拥有防震、防在拥有防震、防风和防雨风和防雨等能力的建筑内；等能力的建筑内。

2）机房场所应防止设在建筑物的高层或地下室，以及用水设备的基层或近邻；3）机房场所应该避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭到雷击的地域。

1）机房进出口应有专人值1）机房进出口应有专人值守，鉴识进入的守，鉴识进入的人员身份人员身份并登记在案；并登记在案；2）应同意进入机房的来访人员，限制和监2）应同意进入机房的来访控其活动范围；人员，限制和监控其活动3）应付机房区分地区进行管理，地区和区范围。

域之间设置物理隔绝装置，在重要地区前设置交托或安装等过分地区；4）应付重要地区配置电子门禁系统，鉴识和记录进入的人员身份并监控其活动。

1）应将主要设备搁置在物1）应将主要设备搁置在物理受限的范围理受限的范围内；内；2）应付设备或主要零件进2）应付设备或主要零件进行固定，并设置行固定，并设置显然的不显然的没法除掉的标志；易除掉的标志；3）应将通讯线缆铺设在隐蔽处，如铺设在3）应将通讯线缆铺设在隐地下或管道中等；蔽处，如铺设在地下或管4）应付介质分类表记，储存在介质库或档道中等；案室中；4）应付介质分类表记，储存5）设备或储存介质携带出工作环境时，应在介质库或档案室中；遇到监控和内容加密；5）应安装必需的防盗报警6）应利用光、电等技术设置机房的防盗报设备，以防进入机房的盗警系统，以防进入机房的偷窃和破坏行窃和破坏行为。

为；技术要求项二级等保防雷1）机房建筑应设置避雷装击置；2）应设置交流电源地线。

防火1）应设置灭火设备和火灾自动报警系统，并保持灭火设备和火灾自动报警系统的优秀状态。

防水1）水管安装，不得穿过屋顶和防和活动地板下；潮2）应付穿过墙壁和楼板的水管增添必需的保护举措，如设置套管；3）应采纳举措防备雨水通过屋顶和墙壁浸透；4）应采纳举措防备室内水蒸气结露和地下积水的转移与浸透。

《信息系统安全等级保护基本要求》二级、三级等级保护要求比较

3）机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。
物理访问控制
1）机房出入口应有专人值守，鉴别进入的人员身份并登记在案；
2）应批准进入机房的来访人员，限制和监控其活动范围。
1）机房出入口应有专人值守，鉴别进入的人员身份并登记在案；
2）应批准进入机房的来访人员，限制和监控其活动范围；
2）应设计和绘制与当前运行情况相符的网络拓扑结构图；
3）应根据机构业务的特点，在满足业务高峰期需要的基础上，合理设计网络带宽；
4）应在业务终端与业务服务器之间进行路由控制，建立安全的访问路径；
5）应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；
2）应对进出网络的信息内容进行过滤，实现对应用层、、、、等协议命令级的控制；
3）应依据安全策略允许或者拒绝便携式和移动式设备的网络接入；
4）应在会话处于非活跃一定时间或会话结束后终止网络连接；
5）应限制网络最大流量数及网络连接数。
拨号访问控制
1）应在基于安全属性的允许远程用户对系统访问的规则的基础上，对系统所有资源允许或拒绝用户进行访问，控制粒度为单个用户；
6）应实现操作系统和数据库管理系统特权用户的权限分离；
7）应严格限制默认用户的访问权限。
强制访问控制
无
1）应对重要信息资源和访问重要信息资源的所有主体设置敏感标记；
2）强制访问控制的覆盖范围应包括与重要信息资源直接相关的所有主体、客体及它们之间的操作；
3）强制访问控制的粒度应达到主体为用户级，客体为文件、数据库表级。
2）安全审计应记录系统内重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用；

信息系统安全等级保护第二、三级基本要求-excel版(供参考)

d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； e) 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 a) 应启用访问控制功能，依据安全策略控制用户对资源的访问； b) 应实现操作系统和数据库系统特权用户的权限分离； c) 应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令； d) 应及时删除多余的、过期的帐户，避免共享帐户的存在。 a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户； b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件； c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； d) 应保护审计记录，避免受到未预期的删除、修改或覆盖等。操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。 a) 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库； b) 应支持防恶意代码软件的统一管理。 a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录； b) 应根据安全策略设置登录终端的操作超时锁定； c) 应限制单个用户对系统资源的最大或最小使用限度。 a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别； b) 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用； c) 应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； d) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。 a) 应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问； b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作； c) 应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限； d) 应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。 a) 应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计； b) 应保证无法删除、修改或覆盖审计记录； c) 审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。应采用校验码技术保证通信过程中数据的完整性。 a) 在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证； b) 应对通信过程中的敏感信息字段进行加密。 a) 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求； b) 在故障发生时，应用系统应能够继续提供一部分功能，确保能够实施必要的措施。 a) 当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话； b) 应能够对应用系统的最大并发会话连接数进行限制； c) 应能够对单个帐户的多重并发会话进行限制。应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。应采用加密或其他保护措施实现鉴别信息的存储保密性。 a) 应能够对重要信息进行备份和恢复； b) 应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。 a) 应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等； b) 应对安全管理活动中重要的管理内容建立安全管理制度； c) 应对安全管理人员或操作人员执行的重要管理操作建立操作规程。 a) 应指定或授权专门的部门或人员负责安全管理制度的制定； b) 应组织相关人员对制定的安全管理制度进行论证和审定；

安全等保二三级保护差异对比

1）应在网络边界处应监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生；
2）当检测到入侵事件时，应记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。（AF）
恶意代码防范
1）应在网络边界及核心业务网段处对恶意代码进行检测和清除；（AF）
3）网络设备用户的标识应唯一；
4）身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等；
5）应具有登录失败处理功能，如：结束会话、限制非法登录次数，当网络登录连接超时，自动退出。
1）应对登录网络设备的用户进行身份鉴别；
2）应对网络上的对等实体进行身份鉴别；
3）应对网络设备的管理员登录地址进行限制；
2）对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息。（堡垒机）
1）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行全面的监测、记录；
2）对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息；
安全审计
1）安全审计应覆盖到服务器上的每个操作系统用户和数据库用户；（堡垒机）
2）安全审计应记录系统内重要的安全相关事件，包括重要用户行为和重要系统命令的使用等；（堡垒机）
3）安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等；（堡垒机）
4）审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
4）应在业务终端与业务服务器之间进行路由控制，建立安全的访问路径；
5）应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；

（完整版）等保2.0通用要求VS等保1.0（三级）技术部分要求详细对比

（完整版）等保2.0通⽤要求VS等保1.0（三级）技术部分要求详细对⽐等保2.0通⽤要求VS等保1.0（三级）技术部分要求详细对⽐⽹络安全等级保护基本要求通⽤要求技术部分与信息安全等级保护基本要求技术部分结构由原来的五个层⾯：物理安全、⽹络安全、主机安全、应⽤安全、数据安全，调整为四个部分：物理和环境安全、⽹络和通信安全、设备和计算安全、应⽤和数据安全；技术要求“从⾯到点”提出安全要求，“物理和环境安全”主要对机房设施提出要求，“⽹络和通信安全”主要对⽹络整体提出要求，“设备和计算安全”主要对构成节点（包括⽹络设备、安全设备、操作系统、数据库、中间件等）提出要求，“应⽤和数据安全”主要对业务应⽤和数据提出要求。

物理与环境安全VS原来物理安全控制点未发⽣变化，要求项数由原来的32项调整为22项。

控制点要求项数修改情况如下图：要求项的变化如下：⽹络和通信安全VS原来⽹络安全新标准减少了结构安全、边界完整性检查、⽹络设备防护三个控制点，增加了⽹络架构、通信传输、边界防护、集中管控四个控制点。

原结构安全中部分要求项纳⼊了⽹络架构控制点中，原应⽤安全中通信完整性和保密性的要求项纳⼊了通信传输控制点中，原边界完整性检查和访问控制中部分要求项内容纳⼊了边界防护控制点中，原⽹络设备防护控制点要求并到设备和计算安全要求中。

要求项总数原来为33项，调整为还是33项，但要求项内容有变化。

控制点和控制点要求项数修改情况如下图：具体要求项的变化如下表：具体要求项的变化如下表：新标准将应⽤安全、数据安全及备份恢复两个层⾯合并成了应⽤和数据安全⼀个层⾯，减少了通信完整性、通信保密性和抗抵赖三个控制点，增加了个⼈信息保护控制点。

通信完整性和通信保密性的要求纳⼊了⽹络和通信安全层⾯的通信传输控制点。

要求项由原来的39项调整为33项。

控制点和控制点要求项数修改情况如下图：具体要求项的变化如下表：。