等保2.0基本要求

等保2.0基本要求

安全架构

技术层面以“一个中心，三重防护”，管理层面以“三个要素，两项活动”为依据进行划分。
一个中心：安全管理中心
三重防护：安全通信网络，安全区域边界，安全计算环境
三个要素：安全管理机构，安全管理制度，安全管理人员
两项活动：安全建设管理，安全运维管理

安全通用要求

安全物理环境

• 物理位置的选择
• 物理访问控制
• 防盗窃和防破坏
• 防雷击
• 防火
• 防水和防潮
• 防静电
• 温湿度控制
• 电力供应
• 电磁防护

安全通信网络

• 网络架构
• 通信传输
• 可信验证

安全区域边界

• 边界防护
• 访问控制
• 入侵防护
• 恶意代码防范
• 安全审计
• 可信验证

安全计算环境

• 身份鉴别
• 访问控制
• 安全审计
• 入侵防范
• 恶意代码防范
• 可信验证
• 数据完整性
• 数据保密性
• 数据备份恢复
• 剩余信息保护
• 个人信息安全

安全管理中心

• 系统管理
• 审计管理
• 安全管理
• 集中管理

安全管理制度

• 安全策略
• 管理制度
• 制定和发布
• 评审和修订

安全管理机构

• 岗位设置
• 人员配备
• 授权和审批
• 沟通和审批
• 沟通和合作
• 审核和检查

安全管理人员

• 人员录用
• 人员离岗
• 安全意识教育和培训
• 外部人员访问管理

安全建设管理

• 系统定级和备案
• 安全方案设计
• 产品采购和使用
• 自行软件开发
• 外包软件开发
• 工程实施
• 测试验收
• 系统交付
• 等级测评
• 服务供应商选择

附录

安全运维管理

• 环境管理
• 资产管理
• 介质管理
• 设备维护管理
• 漏洞和风险管理
• 网络和系统安全管理
• 恶意代码防范管理
• 配置管理
• 密码管理
• 变更管理
• 备份与恢复管理
• 安全事件处置
• 应急预案处置
• 外包运维管理

云计算安全扩展要求

• 基础设施位置
• 网络架构
• 访问控制（通信环境）
• 入侵防范
• 安全审计
• 访问控制（计算环境）
• 镜像和快照保护
• 数据安全性
• 数据备份恢复
• 剩余信息保护
• 云服务商选择
• 供应商管理
• 云计算环境管理

移动互联安全扩展要求

• 无线接入点的物理位置
• 边界防护
• 访问控制
• 入侵防护
• 移动终端管理控制
• 移动应用管理控制
• 移动应用数据采购
• 移动应用软件开发

物联网安全扩展要求

• 无线接入点的物理位置
• 入侵防范
• 接入控制
• 感知节点设备安全
• 网关节点设备安全
• 抗数据重放
• 数据融合处理
• 感知节点管理

工控系统安全扩展要求

• 意外控制设备防护
• 网络架构
• 通信传输
• 访问控制
• 拨号使用控制
• 无线使用控制
• 控制设备安全
• 产品采购和使用
• 外包软件开发
• 安全事件处置

等保实施的产品或技术

安全通信网络

• 网络架构 ：安全域划分、双机双链路、负载均衡、QoS
• 通信传输 ： IPsec VPN、SSL VPN

安全计算环境

• 访问控制和边界防护：防火墙、网闸、网络接入控制系统
• 入侵防范：入侵检测系统、入侵防御系统、抗DDOS系统、APT检测系统
• 恶意代码防范：放病毒网关、放垃圾邮件网关
• 可信验证：多因素认证、审计溯源、资质合规、TPM芯片
• 安全审计：网络安全审计系统、互联网行为管控系统

安全计算环境

• 身份鉴别：服务器安全加固系统、身份认证网关、堡垒机
• 访问控制：服务器安全加固系统、身份认证与访问控制系统、堡垒机
• 安全审计：终端安全管理系统、上网行为管理系统、数据库审计系统
• 入侵防范：Web应用安全网关、漏洞扫描系统、终端安全管理系统、配置检查工具
• 恶意代码防范：防病毒系统
• 数据完整性与保密性：DLP、SSL VPN、应用系统安全功能
• 数据备份恢复：数据备份与恢复系统

安全管理中心

• 系统管理：堡垒机、TSOC
• 审计管理：堡垒机、TSOC
• 安全管理：堡垒机、TSOC、日志审计系统
• 集中管理：堡垒机、TSOC、防火墙集中管理系统