17.等保2.0通用部分标准结构

这里的内容在等保中级测评复习大纲里面有涉及，再次汇总一下。

二级等保标准结构

二级标准总共10类，68个控制点，135个安全标准项

技术要求控制点31

技术要求类	控制点	数量
安全物理环境	物理位置选择 、物理访问控制 、防盗窃和防破坏 、防雷击 、防火 、防水和防潮 、防静电 、温湿度控制 、电力供应、电磁防护	10
安全通信网络	网络架构、通信传输、可信验证	3
安全区域边界	边界防护 、访问控制 、入侵防范 、恶意代码和垃圾邮件防范 、安全审计 、可信验证	6
安全计算环境	身份鉴别、访问控制、安全审计、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护、恶意代码防范、入侵防范	10
安全管理中心	系统管理、审计管理	2

管理要求控制点37+1

管理要求类	控制点	数量
安全管理制度	安全策略、 管理制度、 制定和发布、 评审和修订	4
安全管理机构	岗位设置、人员配备、授权和审批、沟通和合作、审核和检查	5
安全管理人员	人员录用、安全意识教育和培训、人员离岗、外部人员访问和管理	4
安全建设管理	定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择	10
安全运维管理	环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理	14

二级等保建设清单

仅供参考，不同应用还要进行调整。

必须

防火墙：只能访问允许访问的资源
防病毒网关：保护网络层面的安全
IPS/IDS：对木马、漏洞攻击进行防御/检测，IPS比IDS要好，可以集成到防火墙里面
WAF应用防火墙：WEB应用防护
数据库审计：记录对数据库的操作
保垒机：外网管理必备，三级安全管理中心必备
上网行为管理：记录内网上网行为
数据备份：可手工进行，或者直接使用DBMS的脚本完成

推荐

安全准入系统：检查终端接入的合规性和安全性
杀毒软件：保护终端、服务器的数据不被破坏
日志审计：记录攻击、安全事件到服务器
链路负载：负载均衡，防止小型的DoS

非必须

网页防篡改：保护网站受到不明改动，防止挂马，防止不和谐信息出现在网页上
漏洞扫描：可用免费或请第三方进行
安全管理中心：对整网的安全设备进行管理监控，二级比三级要简单些

三级等保标准结构

二级标准总共10类，71个控制点，212个安全标准项

技术要求控制点31+3

黑体是增加的部分。

技术要求类	控制点	数量
安全物理环境	物理位置选择 、物理访问控制 、防盗窃和防破坏 、防雷击 、防火 、防水和防潮 、防静电 、温湿度控制 、电力供应、电磁防护	10
安全通信网络	网络架构、通信传输、可信验证	3
安全区域边界	边界防护 、访问控制 、入侵防范 、恶意代码和垃圾邮件防范 、安全审计 、可信验证	6
安全计算环境	身份鉴别、访问控制、安全审计、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护、恶意代码防范、入侵防范	11
安全管理中心	系统管理、审计管理、安全管理、集中管理	4

管理要求控制点37

和二级一样，无增加

管理要求类	控制点	数量
安全管理制度	安全策略、 管理制度、 制定和发布、 评审和修订	4
安全管理机构	岗位设置、人员配备、授权和审批、沟通和合作、审核和检查	5
安全管理人员	人员录用、安全意识教育和培训、人员离岗、外部人员访问和管理	4
安全建设管理	定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择	10
安全运维管理	环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理	14

三级等保建设清单

必须

在二级的基础上，增加
漏洞扫描：可用免费或请第三方进行
安全准入系统：检查终端接入的合规性和安全性
杀毒软件：保护终端、服务器的数据不被破坏
日志审计：记录攻击、安全事件到服务器

推荐

DLP：针对数据保密性
抗DDoS：防止分布式拒绝服务攻击
安全咨询服务、安全协维服务：
安全管理中心：
态势感知

非必须

沙箱：非工作环境的测试和模拟