当前位置:文档之家 › 等保2.0测评项基本要求(物联网安全扩展要求二级 三级对比)

等保2.0测评项基本要求(物联网安全扩展要求二级 三级对比)

  • 格式:xlsx
  • 大小:12.76 KB
  • 文档页数:2

下载文档原格式

  / 2

合集下载

等保2.0测评详细指标及工控扩展指标

等保2.0测评详细指标及工控扩展指标

等保2.0测评详细指标(1-3级)PS:一级指标没有整理成表格,二三级整理成表格,看的会清晰一点。

一级测评要求指标一.技术安全大类1.安全的物理环境物理访问控制:机房出入口应安排专人值守或配置电子门禁系统,控制,鉴别和记录进入的人员。

防盗窃和破坏:应将设备或主要部件进行固定,并设置明显的不易除去的标识。

防雷击:应将各类机柜,设施和设备等通过基地系统安全接地。

防火:机房应该设置灭火设备。

防水和防潮:应采取措施防止雨水通过机房窗户,屋顶和墙壁渗透。

温湿度控制:应设置必要的温湿度调节设施,使机房温湿度的变化在设备运行所允许的范围之内。

电力供应:应在机房供电线路上配置稳压器和过电压防护设备。

2.安全的通信网络通信传输:应采用检验技术保证通信过程中数据的完整性。

可信验证:可给予可信根对通信设备的系统引导程序,系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。

3.安全的计算环境身份鉴别:1.应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份辨别信息具有复杂度要求并定期更换。

2.应具有登陆失败处理功能,应配置并启用结束会话,限制非法登录次数和挡登录连接超时自动退出等相关措施。

访问控制:1.应对登录的用户分配账户和权限2.应重命名或删除默认账户,修改默认账户的默认口令。

3.应及时删除或停用多余的,过期的账户,避免共享账户的存在。

入侵防范:1.应遵循最小安装的原则,仅安装需要的组件和应用程序。

2.应关闭不需要的系统服务,默认共享和高危端口。

恶意代码防范:应安装放恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。

可信验证:可基于可信根对计算机设备的系统引导程序,系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。

数据完整性:应采用检验技术保证重要数据在传输过程中的完整性。

数据备份恢复:应提供重要数据的本地数据备份与恢复功能。

4.安全的区域边界边界防护:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

等级保护2.0基本要求二级三级对比表(二)通用管理要求

等级保护2.0基本要求二级三级对比表(二)通用管理要求

ý
þ
6
网络和系统安全管理
a)应划分不同的管理员角色进行网络和系统
的运维管理,明确各个角色的责任和权限;
þ
þ
b)应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制;
þ
þ
c)应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定;
h)应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据;
i)应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道;
j)应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。
þ
þ
a)应成立指导和管理网络安全工作的委员会
或领导小组,其最高领导由单位主管领导担任或授权;
ý
þ
2
人员配备
应配备一定数量的系统管理员、审计管理员和安全管理员等。
þ
þ
b)应配备专职安全管理员,不可兼任。
ý
þ
3
授权和审批
a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;
þ
þ
b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;
þ
ý
b)应建立机房安全管理制度,对有关物理访问、物品带进出和环境安全等方面的管理作出规定;
ý
þ
c)应不在重要区域接待来访人员,不随意放
置含有敏感信息的纸档文件和移动介质等。
等保2.0测评项基本要求(安全通用要求二级 三级对比)

等保2.0测评项基本要求(安全通用要求二级 三级对比)


或限制;
d) 应限制无线网络的使用,
保证无线网络通过受控的边界
设备接入内部网络。
a) 应在网络边界或区域之间 a) 应在网络边界或区域之间
根据访问控制策略设置访问控 根据访问控制策略设置访问控
制规则,默认情况下除允许通 制规则,默认情况下除允许通
信外受控接口拒绝所有通信; 信外受控接口拒绝所有通信;
防破 全处;
全处;Biblioteka 坏 c)应设置机房防盗报警系统或
设置有专人值守的视频监控系
a)应将各类机柜、设施和设 a)应将各类机柜、设施和设
防雷 击
备等通过接地系统安全接地; b)应采取措施防止感应雷, 例如设置防雷保安器或过压保
备等通过接地系统安全接地;
护装置等。
a)机房应设置火灾自动消防 a)机房应设置火灾自动消防
坏后进行报警,并将验证结果 成审计记录送至安全管理中心
形成审计记录送至安全管理中 。 a) 应采用校验技术或密码技
术保证重要数据在传输过程中
的完整性,包括但不限于鉴别 a) 应采用校验技术保证重要
数据、重要业务数据、重要审 数据在传输过程中的完整性。
数据 计数据、重要配置数据、重要
完整 性
视频数据和重要个人信息等; b) 应采用校验技术或密码技
防静 电
采用必要的接地防静电措施; b) 应采取措施防止静电的产 生,例如采用静电消除器、佩
采用必要的接地防静电措施;
戴防静电手环等。
温湿 a)应设置温湿度自动调节设 a)应设置温湿度自动调节设
度控 施,使机房温湿度的变化在设 施,使机房温湿度的变化在设
制 备运行所允许的范围之内。 备运行所允许的范围之内。
e) 应提供通信线路、关键网
等保2.0的等级保护指标

等保2.0的等级保护指标

等保2.0是指信息安全等级保护2.0的简称,是中国政府为了加强网络安全管理和保护国家关键信息系统而提出的一项标准。

根据等保2.0标准,不同级别的关键信息系统需要满足相应的等级保护指标。

等保2.0标准将关键信息系统分为五个等级,等级由高到低依次为:一级、二级、三级、四级和五级。

每个等级都有相应的保护要求和技术措施。

以下是等保2.0不同等级的保护指标的一些示例:
1. 一级保护:要求采取严格的安全技术措施,能够应对高级威胁和攻击。

包括防火墙、入侵检测和入侵防护系统、访问控制、安全审计等。

2. 二级保护:要求采用较高的安全技术措施,能够应对较高级别的威胁和攻击。

包括数据加密、网络隔离、安全监测与响应、灾备恢复等。

3. 三级保护:要求采用适当的安全技术措施,能够应对中级威胁和攻击。

包括访问控制、恶意代码防范、安全培训教育等。

4. 四级保护:要求基本的安全技术措施,能够应对一般威胁和攻击。

包括密码安全、基础设施保护、安全漏洞管理等。

5. 五级保护:要求最基本的安全措施,能够应对低级威胁和攻击。

包括安全策略制定、安全事件响应等。

需要注意的是,等保2.0的具体保护指标是根据具体的应用环境和信息系统的特点而确定的,上述只是一些示例,并不包括所有的保护要求。

对于具体的等级保护指标,建议参考相关的政府发布的相关文件以获取更准确和详细的信息。

等保2.0标准介绍

等保2.0标准介绍

等级评测 服务供应商
选择
安全运维 管理
环境管理
资产管理
介质管理
设备维护管理 漏洞和风险 管理 网络和系统 安全管理
恶意代码防范 管理
配置管理
密码管理
变更管理 备份与恢复
管理 安全事件处置 应急预案管理
外包运维管理
1 概述
目录
2 安全通用要求
3 云计算安全扩展要求
4 移动互联安全扩展要求
5 物联网安全扩展要求
新增领域标准
云计算安全
物联网安全
工业控制安全
大数据安全
移动互联安全
等保2.0标准更新
基 GB/T22239-2008 本 要 求求 修 订 测 G求B/T28448-2008 评 要 求 修 订
GB/T22239.1-XXXX 安全通用要求 GB/T22239.2-XXXX 云计算安全扩展要求 GB/T22239.3-XXXX 移动互联安全扩展要
1 概述
目录
2 安全通用要求
3 云计算安全扩展要求
4 移动互联安全扩展要求
5 物联网安全扩展要求
6 工业控制安全要求
GB/T 22239.4物联网安全扩展要求
安全物理 环境
感知节点设备 物理防护
技术要求
安全区域 边界
接入控制 入侵防范
安全计算 环境
感知节点设备 安全
网关节点设备 安全
抗数据重放
数据融合处理
目录
2 安全通用要求
3 云计算安全扩展要求
4 移动互联安全扩展要求
5 物联网安全扩展要求
6 工业控制安全要求
GB/T 22239.1等级保护安全通用要求
技术要求
访问控制 防盗窃和防
等保二级和三级测评项对比

等保二级和三级测评项对比

等保二级和三级测评项对比等保二级和三级测评项对比,这话一说出来,很多人都会想:“这到底是个什么鬼?”别急,今天咱就慢慢聊聊。

等保啊,咱们简单来说,就是国家针对信息安全做的一个分级保护体系。

这就像你去餐馆吃饭,菜的分级从小炒到大菜一样,等保也是有高低之分的。

二级和三级,那可不是随便说说的,差别可大着呢!二级和三级,虽然都归在一个大框架下,但它们的侧重点可大不相同。

二级的要求,差不多就像是你家门口装个门锁,防个小偷,安心就行。

不是说防不住高级黑客,而是觉得对付一般的网络入侵者已经够用了。

你看,二级的测评项基本上就围绕着基础的安全防护展开,像是身份认证、数据加密、日志管理这种,这些就像你家门口的监控,时刻注意有没有可疑的人物接近,守好自己的“家门”。

说到这里,大家是不是有点懂了?但是等保三级就不一样了,它的要求可高了去了。

三级就像你家有了大金库,里面存着不少贵重物品,得用更高等级的保护措施来守护。

要不然,你说黑客们多聪明,偷个钱包、偷个数据,轻松得很。

等保三级更注重对数据的全方位保护,特别是对业务系统的防护,系统出现问题的损失可是无法估量的。

你要是看不懂这些高深的安全术语,没关系,简单来说,三级就比二级要更严密、更全面,它对安全的每个环节都会要求更加细致的措施。

比如说,二级和三级在网络安全的设置上就大有不同。

二级说实话,它的网络边界防护是比较宽松的,适合一些小型的、没有特别敏感信息的企业。

而三级呢,它就不允许有任何一个“漏洞”,因为一旦网络被攻击,可能影响的可不仅仅是你自己,还有更多的人。

所以它要求你的网络架构必须设计得更加安全,像什么防火墙、入侵检测、流量分析这些都得搞得很到位。

你要是不想把自己公司“门”搞得太脆弱,三级的这些要求必须到位。

接着说到数据加密,二级和三级对这块的要求也是天差地别。

二级对数据加密的要求并不那么严格,基本是满足常规的数据保护,像传输过程中加个密,避免数据泄露。

可到了三级,要求就高了,尤其是在重要数据的存储、备份这些方面,得做得滴水不漏。

等保2.0测评项基本要求(移动互联安全扩展要求二级 三级对比)

等保2.0测评项基本要求(移动互联安全扩展要求二级 三级对比)


个认证密钥;
个认证密钥;
f) 应能够阻断非授权无线
接入设备或非授权移动终端
a) 应保证移动终端安装、
注册并运行终端管理客户端
移动终端 管控
软件; b) 移动终端应接受移动终
端管理服务端的设备生命周
期管理、设备远程控制,
如:远程锁定、远程擦除等
a) 应具有选择应用软件安 a) 应具有选择应用软件安
装、运行的功能;
安全 物
理环
安全 区
域边 界
安全 计
算环 境
安全 建
设管 理
无线接入 点的物理
位置
三级要求 a) 应为无线接入设备的安 装选择合理位置,避免过度 覆盖和电磁干扰。
二级要求 a) 应为无线接入设备的安 装选择合理位置,避免过度 覆盖和电磁干扰。
a) 应保证有线网络与无线 a) 应保证有线网络与无线
边界防护 网络边界之间的访问和数据 网络边界之间的访问和数据
流通过无线接入网关设备。 流通过无线接入网关设备。
Байду номын сангаасa) 无线接入设备应开启接 a) 无线接入设备应开启接
访问控制
入认证功能,并支持采用认 证服务器认证或国家密码管
入认证功能,并且禁止使用 WEP方式进行认证,如使用
理机构批准的密码模块进行 口令,长度不小于8位字符
a) 应能够检测到非授权无 a) 应能够检测到非授权无
软件开发 b) 应保证开发移动业务应 b) 应保证开发移动业务应
用软件的签名证书合法性。 用软件的签名证书合法性。
a) 应建立合法无线接入设
配置管理
备和合法移动终端配置库, 用于对非法无线接入设备和
非法移动终端的识别。
等保2.0二级三级区别与测评项对比

等保2.0二级三级区别与测评项对比

等保2.0二级、三级区别与测评项详细对比
基于等保2.0标准体系,详细对比等保二级、三级之前的区别,包含:评定要求对比、测评周期对比、详细测评项对比、安全产品对比与落地实施建议等内容。

一、评定要求对比
等保二级:等保对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全 ;
等保三级:等保对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害 ;
二、测评周期对比
等保二级:一般两年进行一次测评;
等保三级:每年至少进行一次等级测评;
三、详细测评项对比
通用部分等保二级测评和三级测评项数量如下:
标记注释:是否适用:No-不适用
注意:以下所有测评项全部适用于三级系统,最后一列仅标识哪些项二级不适用。

四、安全产品对与落地实施建议
等级保护2.0差异变化。

关键指标与应对产品。

等级保护2.0通用要求相关产品和措施(三级)。

安全等级保护2级和3级等保要求-蓝色为区别

安全等级保护2级和3级等保要求-蓝色为区别

安全等级保护2级和3级等保要求-蓝色为区别概述近年来,随着信息技术的发展,各行各业的信息技术应用越来越广泛。

为保证信息系统安全性,国家发布了《信息安全等级保护管理办法》和《关于印发信息安全等级保护制度的通知》,规定了信息系统等级保护的要求和级别。

其中,2级和3级等保要求是较为重要的等级保护,本文将围绕这两个等级保护要求进行介绍,并深入分析它们的区别。

2级等保要求2级等保要求是对涉密信息系统的安全等级保护要求,主要包括以下几方面:安全审计要求涉密信息系统应当开展安全审计,对系统的合法性、有效性、安全性进行检测和评估。

认证和授权要求采用单点登录、多重认证、身份鉴别和访问控制等技术手段,确保系统内部人员的身份信息准确、权限合理、访问受控。

加密保护要求在系统设计和实现过程中,采用加密技术保护系统的数据传输、数据存储等安全需求。

恶意攻击检测要求系统应当在实现过程中采用攻击检测和防御技术,随时对恶意攻击进行识别并进行有效的应对。

灾难恢复要求对涉密信息系统进行灾难恢复规划,确保在系统出现灾难性故障时能够正常快速恢复。

3级等保要求3级等保要求是对国家重点信息基础设施的安全等级保护要求,主要包括以下几方面:全网监测要求采用网络监测设备和技术手段,全方位实时监测网络和信息安全事件。

多重防御要求系统应当在实现过程中采用多层次防御和多重安全检测机制,确保系统受到攻击时能够起到有效的防御作用。

安全管控要求建立完善的安全管理流程,对系统的操作和访问进行精细化管控。

协同应对要求组建应对恶意攻击和紧急事件的应急响应组,对系统安全事件进行最快速的应对和处置。

联合演练要求定期进行联合演练,对应急响应能力进行检测和提升。

蓝色为区别2级等保要求和3级等保要求的区别在于安全保障范围的不同。

2级等保要求主要是对信息系统层面的保护,对于涉密信息的保护需求进行细致化的管理和保障,而3级等保要求则是在2级等保要求的基础之上更进一步,主要是对国家重点信息基础设施进行保护。

等级保护测评项目测评方案-2级和3级标准

等级保护测评项目测评方案-2级和3级标准

等级保护测评项目测评方案-2级和3级标准信息安全等级保护测评项目测评方案广州华南信息安全测评中心二〇一六年目录第一章概述 (3)第二章测评基本原则 (4)一、客观性和公正性原则 (4)二、经济性和可重用性原则 (4)三、可重复性和可再现性原则 (4)四、结果完善性原则 (4)第三章测评安全目标(2级) (5)一、技术目标 (5)二、管理目标 (6)第四章测评内容 (9)一、资料审查 (10)二、核查测试 (10)三、综合评估 (10)第五章项目实施 (12)一、实施流程 (12)二、测评工具 (13)2.1 调查问卷 (13)2.2 系统安全性技术检查工具 (13)2.3 测评工具使用原则 (13)三、测评方法 (14)第六章项目管理 (15)一、项目组织计划 (15)二、项目成员组成与职责划分 (15)三、项目沟通 (16)3.1 日常沟通,记录和备忘录 (16)3.2 报告 (16)3.3 正式会议 (16)第七章附录:等级保护评测准则 (19)一、信息系统安全等级保护 2 级测评准则 (19)1.1 基本要求 (19)1.2 评估测评准则 (31)二、信息系统安全等级保护 3 级测评准则 (88)基本要求 (88)评估测评准则 (108)第一章概述2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)以及2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。

”2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。

等保2.0测评项基本要求(二级 三级对比概述)

等保2.0测评项基本要求(二级 三级对比概述)


人员配备
2
授权和审批
3
沟通和合作
3
审核和检查
3
二级
测评项数 2 1 2 1 2 2 1 1 2
1
2 1 1 1 4 1 1 1 3
3
4
3
1 5 1 1 0 2 1 2 2 2 0
0
1
2
2 1 2 1 2 3 1
人员录用
3
2
人员离岗
2
1
安全管理人员
安全意识教育和 培训
3
1
外部人员访问管 理
4
3
定级和备案
2
1
密码管理
2
2
并更管理
3
1
备份与恢复管理
3
3
安全事件处置
4
3
应急预案管理
4
2
外包运维管理
4
2
总计
211
135
云计算安全扩展 要求
安全技术要求
安全管理要求
分类 安全物理环境 安全通信网络 安全区域边界
安全计算环境
安全管理中心 安全建设管理 安全运维管理
三级
安全控制点 基础设施位置
网络架构 访问控制 入侵防范 安全审计 身份鉴别 访问控制 入侵防范 镜像和快照保护 数据完整性和保
安全技术要求
安全管理要求
分类 安全物理环境 安全区域边界
安全计算环境 安全运维管理
三级
安全控制点 感知节点设备物
理防护 接入控制 入侵防范 感知节点设备安 网关节点设备安 抗数据重放 数据融合处理 感知节点管理
测评项数
4
1 2 3 4 2 1 3
二级
测评项数

等保2.0测评项基本要求(云计算安全扩展要求二级 三级对比)


可能存在的敏感资源被非法访
a) 应确保云服务客户数据、用 a) 应确保云服务客户数据、
户个人信息等存储于中国境 用户个人信息等存储于中国
内,如需出境应遵循国家相关 境内,如需出境应遵循国家
安全
规定;
相关规定;
计算
b) 应确保只有在云服务客户授 b) 应确保只有在云服务客户
环境
权下,云服务商或第三方才具 授权下,云服务商或第三方
固的操作系统镜像或操作系统 加固的操作系统镜像或操作
安全加固服务;
系统安全加固服务;
镜像和 b) 应提供虚拟机镜像、快照完 b) 应提供虚拟机镜像、快照
快照保 整性校验功能,防止虚拟机镜 完整性校验功能,防止虚拟
护 像被恶意篡改;
机镜像被恶意篡改;
c) 应采取密码技术或其他技术
手段防止虚拟机镜像、快照中
数据完 有云服务客户数据的管理权 才具有云服务客户数据的管
整性和 限;
理权限;
保密性 c) 应使用校验码或密码技术确 c) 应确保虚拟机迁移过程中
保虚拟机迁移过程中重要数据 重要数据的完整性,并在检
的完整性,并在检测到完整性 测到完整性受到破坏时采取
受到破坏时采取必要的恢复措 必要的恢复措施。
d) 应支持云服务客户部署密钥
网络之间的隔离;
拟网络之间的隔离;
c) 应具有根据云服务客户业务 c) 应具有根据云服务客户业
需求提供通信传输、边界防护 务需求提供通信传输、边界
安全 通信 网络
网络架 构
、入侵防范等安全机制的能
力; d) 应具有根据云服务客户业务
防护、入侵防范等安全机制 的能力;
需求自主设置安全策略的能
力,包括定义访间路径、选择

等保2.0网络安全等级保护三级—基本要求


控制点要求项安全物理环境1022安全通信网络38安全区域边界620安全计算环境1134安全管理中心
4
12
安全管理制度47安全管理机构514安全管理人员412安全建设管理1034安全运维管理
1448(总计)71211安全物理环境21安全通信网络15安全区域边界38安全计算环境719安全管理中心14安全建设管理28安全运维管理
11(总计)1746安全物理环境11安全区域边界38安全计算环境25安全建设管理24安全运维管理
11(总计)919安全物理环境14安全区域边界23安全计算环境410安全运维管理
13(总计)820安全物理环境12安全通信网络24安全区域边界38安全计算环境15安全建设管理
22(总计)
9
21
工业控制系统安全扩
展要求
说明:
此文档为网络安全等级保护三级基本要求绿色部分为比二级增加的要求项版本:
v0.1 完成基本要求的填充v0.1.1 添加与二级要求的对比
安全通用要求
云计算安全扩展要求
移动互联安全扩展要

物联网安全扩展要求。

等保测评标准2.0

等保测评标准2.0
等保测评标准2.0是网络安全领域中的一项重要标准,旨在评估信息系统安全等级保护的级别和安全性。

该标准由国家相关部门联合制定,是信息安全保护工作的基础。

相较于之前的等保测评标准,等保测评标准2.0更加注重信息系统的整体安全性和隐私保护。

在评估过程中,该标准不仅考虑了信息系统的技术层面,还涵盖了安全管理、安全审计、安全控制等多个方面。

此外,等保测评标准2.0还增加了一些新的安全要求和指标,例如对数据传输、数据存储、数据备份等方面的要求。

在等保测评标准2.0中,信息系统安全等级保护的级别被划分为五个等级,分别是:一级(基本安全)、二级(较为安全)、三级(安全)、四级(高级安全)和五级(最安全)。

每个等级都有相应的安全要求和指标,以确保信息系统的安全性和稳定性。

在评估过程中,等保测评标准2.0采用了多种方法和工具,包括漏洞扫描、渗透测试、安全审计等。

评估结果将被记录在测评报告中,该报告将详细说明信息系统的安全等级和需要改进的方面。

总之,等保测评标准2.0是信息安全保护工作的重要标准之一,有助于提高信息系统的安全性和稳定性。

对于企业和组织来说,开展等保测评工作是非常必要的,有助于及时发现和解决潜在的安全风险。

等保2.0二级三级要求对比

SYSTEM INTEGRATION物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护本项要求包括:a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。

机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。

本项要求包括:a)应将设备或主要部件进行固定,并设置明显的不易除去的标识;b)应将通信线缆铺设在隐蔽安全处a)应将各类机柜、设施和设备等通过接地系统安全接地。

本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。

本项要求包括:a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。

a)应采用防静电地板或地面并采用必要的接地防静电措施。

应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。

电源线和通信线缆应隔离铺设,避免互相干扰。

机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。

c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。

b)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。

c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。

b)应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。

c)应设置冗余或并行的电力电缆线路为计算机系统供电。

b)应对关键设备实施电磁屏蔽。

网络架构通信传输可信验证二级本项要求包括:a)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;b)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

【精品】安全等级保护2级和3级等保要求

主机系统安全
身份鉴别
1)操作系统和数据库管理系统用户的身份标识应具有唯一性;
2)应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别;
3)操作系统和数据库管理系统身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
4)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出。
1)应在网络边界处应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生;
2)当检测到入侵事件时,应记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。
恶意代码防范
1)应在网络边界及核心业务网段处对恶意代码进行检测和清除;
3)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;
4)应对重要区域配置电子门禁系统,鉴别和记录进入的人员身份并监控其活动。
防盗窃和防破坏
1)应将主要设备放置在物理受限的范围内;
2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;
3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;
1)操作系统和数据库管理系统用户的身份标识应具有唯一性;
2)应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别;
3)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
4)操作系统和数据库管理系统用户的身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
5)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出;
6)应实现操作系统和数据库管理系统特权用户的权限分离;

等保2.0测评项基本要求(工业控制系统安全扩展要求二级 三级对比)


用户(人员、软件进程或者设 用户(人员、软件进程或者
备)提供唯一性标识和鉴别; 设备)提供唯一性标识和鉴
无线使 用控制
安全区 域边界
b) 应对所有参与无线通信的 b) 应对所有参与无线通信的
用户(人员、软件进程或者设 用户(人员、软件进程或者
备)进行授权以及执行使用进 设备)进行授权以及执行使
无线使 用控制
d) 应使用专用设备和专用软
件对控制设备进行更新;
e) 应保证控制设备在上线前
经过安全性检测,避免控制设
备固件中存在恶意代码程序。
产品采 a) 工业控制系统重要设备应 a) 工业控制系统重要设备应
购和使 通过专业机构的安全性检测后 通过专业机构的安全性检测
用 方可采购使用。
后方可采购使用。
安全建
a) 应在外包开发合同中规定 a) 应在外包开发合同中规定
体或装置具有透风、散热、 防盗、防雨和防火能力等; b) 室外控制设备放置应远离 强电磁干扰、强热源等环
如无法避免应及时做好应急处 境,如无法避免应及时做好
置及检修,保证设备正常运行 应急处置及检修,保证设备
a) 工业控制系统与企业其他 a) 工业控制系统与企业其他
系统之间应划分为两个区域, 系统之间应划分为两个区
设管理
外包软 件开发
针对开发单位、供应商的约束 条款,包括设备及系统在生命 周期内有关保密、禁止关键技
针对开发单位、供应商的约 束条款,包括设备及系统在 生命周期内有关保密、禁止
术扩散和设备行业专用等方面 关键技术扩散和设备行业专
21
15
域网进行控制指令或相关数 据交换的应采用加密认证技 术手段实现身份认证、访问
数据加密传输。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

通信的目标地址,以避免对 通信的目标地址,以避免对
陌生地址的攻击行为。
陌生地址的攻击行为。
a) 应保证只有授权的用户
可以对感知节点设备上的软
件应用进行配置或变更;
感知节点 设备安全
b) 应具有对其连接的网关 节点设备(包括读卡器)进 行身份标识和鉴别的能力;
c) 应具有对其连接的其他
感知节点设备(包括路由节
感知节点 署、携带、维修、丢失和报 署、携带、维修、丢失和报
管理 废等过程作出明确规定,并 废等过程作出明确规定,并
进行全程管理;
进行全程管理;
c) 应加强对感知节点设备
、网关节点设备部署环境的
保密性管理,包括负责检查
和维护的人员调离工作岗位
应立即交还相关检查工具和
检查维护记录等。
20
7
知节点设备、网关节点设备 知节点设备、网关节点设备
的部署环境,对可能影响感 的部署环境,对可能影响感
知节点设备、网关节点设备 知节点设备、网关节点设备
正常工作的环境异常进行记 正常工作的环境异常进行记
b) 应对感知节点设备、网 b) 应对感知节点设备、网
关节点设备入库、存储、部 关节点设备入库、存储、部
安全 物理 环境
安全 区域 边界
安全 计算 环境
三级要求
二级要求
a) 感知节点设备所处的物 a) 感知节点设备所处的物
理环境应不对感知节点设备 理环境应不对感知节点设备
造成物理破坏,如挤压、强 造成物理破坏,如挤压、强
b) 感知节点设备在工物理环境应能正确反 态所处物理环境应能正确反
a) 应能够鉴别数据的新鲜
抗数据重 性,避免历史数据的重放攻

安全 运维 管理
抗数据重 放
b) 应能够鉴别历史数据的 非法修改,避免数据的修改
重放攻击。
a) 应对来自传感网的数据
数据融合 进行数据融合处理,使不同
处理 种类的数据可以在同一个平
台被使用。 a) 应指定人员定期巡视感 a) 应指定人员定期巡视感
点)进行身份标识和鉴别的
a) 应具备对合法连接设备
(包括终端节点、路由节点
、数据处理中心)进行标识
和鉴别的能力;
b) 应具备过滤非法节点和
网关节点 伪造节点所发送的数据的能
设备安全 c) 授权用户应能够在设备
使用过程中对关键密钥进行
在线更新;
d) 授权用户应能够在设备
使用过程中对关键配置参数
进行在线更新。
感知节点 设备物理
防护
映环境状态(如温湿度传感 器不能安装在阳光直射区 c) 感知节点设备在工作状 态所处物理环境应不对感知
映环境状态(如温湿度传感 器不能安装在阳光直射区
节点设备的正常工作造成影
响,如强干扰、阻挡屏蔽
d) 关键感知节点设备应具
有可供长时间工作的电力供
应(关键网关节点设备应具
有持久稳定的电力供应能
接入控制
a) 应保证只有授权的感知 节点可以接入。
a) 应保证只有授权的感知 节点可以接入。
a) 应能够限制与感知节点 a) 应能够限制与感知节点
通信的目标地址,以避免对 通信的目标地址,以避免对
入侵防范
陌生地址的攻击行为; b) 应能够限制与网关节点
陌生地址的攻击行为; b) 应能够限制与网关节点