等保2.0基本要求
安全架构
技术层面以“一个中心,三重防护”,管理层面以“三个要素,两项活动”为依据进行划分。
一个中心:安全管理中心
三重防护:安全通信网络,安全区域边界,安全计算环境
三个要素:安全管理机构,安全管理制度,安全管理人员
两项活动:安全建设管理,安全运维管理
安全通用要求
安全物理环境
- 物理位置的选择
- 物理访问控制
- 防盗窃和防破坏
- 防雷击
- 防火
- 防水和防潮
- 防静电
- 温湿度控制
- 电力供应
- 电磁防护
安全通信网络
- 网络架构
- 通信传输
- 可信验证
安全区域边界
- 边界防护
- 访问控制
- 入侵防护
- 恶意代码防范
- 安全审计
- 可信验证
安全计算环境
- 身份鉴别
- 访问控制
- 安全审计
- 入侵防范
- 恶意代码防范
- 可信验证
- 数据完整性
- 数据保密性
- 数据备份恢复
- 剩余信息保护
- 个人信息安全
安全管理中心
- 系统管理
- 审计管理
- 安全管理
- 集中管理
安全管理制度
- 安全策略
- 管理制度
- 制定和发布
- 评审和修订
安全管理机构
- 岗位设置
- 人员配备
- 授权和审批
- 沟通和审批
- 沟通和合作
- 审核和检查
安全管理人员
- 人员录用
- 人员离岗
- 安全意识教育和培训
- 外部人员访问管理
安全建设管理
- 系统定级和备案
- 安全方案设计
- 产品采购和使用
- 自行软件开发
- 外包软件开发
- 工程实施
- 测试验收
- 系统交付
- 等级测评
- 服务供应商选择
附录
安全运维管理
- 环境管理
- 资产管理
- 介质管理
- 设备维护管理
- 漏洞和风险管理
- 网络和系统安全管理
- 恶意代码防范管理
- 配置管理
- 密码管理
- 变更管理
- 备份与恢复管理
- 安全事件处置
- 应急预案处置
- 外包运维管理
云计算安全扩展要求
- 基础设施位置
- 网络架构
- 访问控制(通信环境)
- 入侵防范
- 安全审计
- 访问控制(计算环境)
- 镜像和快照保护
- 数据安全性
- 数据备份恢复
- 剩余信息保护
- 云服务商选择
- 供应商管理
- 云计算环境管理
移动互联安全扩展要求
- 无线接入点的物理位置
- 边界防护
- 访问控制
- 入侵防护
- 移动终端管理控制
- 移动应用管理控制
- 移动应用数据采购
- 移动应用软件开发
物联网安全扩展要求
- 无线接入点的物理位置
- 入侵防范
- 接入控制
- 感知节点设备安全
- 网关节点设备安全
- 抗数据重放
- 数据融合处理
- 感知节点管理
工控系统安全扩展要求
- 意外控制设备防护
- 网络架构
- 通信传输
- 访问控制
- 拨号使用控制
- 无线使用控制
- 控制设备安全
- 产品采购和使用
- 外包软件开发
- 安全事件处置
等保实施的产品或技术
安全通信网络
- 网络架构 :安全域划分、双机双链路、负载均衡、QoS
- 通信传输 : IPsec VPN、SSL VPN
安全计算环境
- 访问控制和边界防护:防火墙、网闸、网络接入控制系统
- 入侵防范:入侵检测系统、入侵防御系统、抗DDOS系统、APT检测系统
- 恶意代码防范:放病毒网关、放垃圾邮件网关
- 可信验证:多因素认证、审计溯源、资质合规、TPM芯片
- 安全审计:网络安全审计系统、互联网行为管控系统
安全计算环境
- 身份鉴别:服务器安全加固系统、身份认证网关、堡垒机
- 访问控制:服务器安全加固系统、身份认证与访问控制系统、堡垒机
- 安全审计:终端安全管理系统、上网行为管理系统、数据库审计系统
- 入侵防范:Web应用安全网关、漏洞扫描系统、终端安全管理系统、配置检查工具
- 恶意代码防范:防病毒系统
- 数据完整性与保密性:DLP、SSL VPN、应用系统安全功能
- 数据备份恢复:数据备份与恢复系统
安全管理中心
- 系统管理:堡垒机、TSOC
- 审计管理:堡垒机、TSOC
- 安全管理:堡垒机、TSOC、日志审计系统
- 集中管理:堡垒机、TSOC、防火墙集中管理系统