计算机等级保护2.0标准,等级保护2.0基本要求-二级三级对比表

《等级保护2.0基本要求-二级三级对比表》由会员分享，可在线阅读，更多相关《等级保护2.0基本要求-二级三级对比表(22页珍藏版)》请在人人文库网上搜索。

1、1一般技术要求1.1安全的物理环境需要满足要求的，不需要满足要求的或空的序列号姓名具体要求二级三年级1物理位置的选择a)机房应位于具有防震、防风、防雨功能的建筑内；b)机房应避免在建筑物的顶层或地下室，否则应加强防水防潮措施。2物理访问控制计算机房的出入口应配备专门人员或配备电子门禁系统，以控制、识别和记录进入人员。计算机房的出入口应配备电子门禁系统，以控制、识别和记录进入人员。3防盗和防止故意破坏a)设备或主要部件应固定，并有明显的难以拆卸的标记；b)通信电缆应敷设在隐蔽、安全的地方。c)设置机房防盗报警系统或有专人值班的视频监控系统。4防雷法各种机柜、设施和设备应通过接地系统安全接地。b)。

2、应采取措施防止感应雷，如设置避雷装置或过电压保护装置。5防火a)机舱应配备自动灭火系统，能自动探测火灾、报警和自动灭火；b)机房及相关工作间和辅助用房应采用耐火等级的建筑材料。c)机房分区管理，分区之间设置隔离和防火措施。6防水防潮a)应采取措施防止雨水穿过机房的窗户、屋顶和墙壁；b)应采取措施防止机房内水汽凝结和地下水的转移和渗透。c)安装对水敏感的测试仪器或部件，对机房进行防水测试和报警。7抗静电的应采用防静电地板或地面，并采取必要的接地和防静电措施。b)应采取防静电措施，如静电消除器和防静电手环。8湿温度控制应设置自动温湿度调节设施，使机房内的温湿度变化在设备运行的允许范围内。9电源a)。

3、稳压器和过压保护设备应配置在机房的供电线路上；b)在停电时，应提供至少满足设备正常运行要求的短期备用电源。c)应提供冗余或平行的电力电缆线路，为计算机系统供电。10电磁保护a)电源线和通信电缆应分开敷设，以免相互干扰。b)对关键设备实施电磁屏蔽。1.2安全通信网络序列号姓名具体要求二级三年级1网络体系结构a)保证网络设备的业务处理能力，满足业务高峰期的需要；b)网络各部分的带宽应保证满足高峰营业时间的需要；c)应划分不同的网络区域，并根据方便管理和控制的原则为每个网络区域分配地址；d)应避免在边界部署重要网络区域，并在重要网络区域和其他网络区域之间采取可靠的技术隔离措施e)应提供通信线路、关键。

4、网络设备和关键计算设备的硬件冗余，以确保系统的可用性。2通信传输应采用验证技术来确保通信过程中的数据完整性(2级)a)通信过程中的数据完整性(三级)应采用验证技术或密码技术来保证；b)采用加密技术，确保通信过程中数据的保密性。3可信验证基于可信根可以对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序进行可信验证。在检测到其可信度被破坏后，将发出警报，并且验证结果将形成审核记录并被保存c)它应该能够检查或限制内部用户到外部网络的未授权连接；d)应限制无线网络的使用，以确保无线网络通过受控的边界设备接入内部网络。2访问控制a)应根据访问控制策略在网络边界或区域之间设置访问控制规则。默认。

5、情况下，除了允许通信之外，所有通信都被受控接口拒绝；b)删除冗余或无效的访问控制规则，优化访问控制列表，尽量减少访问控制规则的数量；c)检查源地址、目的地址、源端口、目的端口和协议等。以允许/拒绝数据包进入和退出；d)它应该能够根据会话状态信息为传入和传出数据流提供明确的访问许可/拒绝能力。e)进出网络的数据流应实施基于应用协议和应用内容的访问控制。3入侵防御应在关键网络节点监控网络攻击。a)从外部发起的网络攻击应该在关键网络节点被检测、阻止或限制；b)从内部发起的网络攻击应在关键网络节点被检测、阻止或限制；c)应采取技术措施分析网络行为，从而实现对网络攻击，尤其是新的网络攻击的分析；d)当检。

6、测到攻击时，记录攻击源的IP、攻击类型、攻击目标和攻击时间，并在发生严重入侵事件时发出警报。4恶意代码防范(第2级)恶意代码和垃圾邮件防护(第3级)a)在关键网络节点检测并清除恶意代码，维护恶意代码保护机制的升级和更新。b)应在关键网络节点检测和保护垃圾邮件，并升级和更新垃圾邮件保护机制。5安全审计a)安全审计应在网络边界和重要网络节点进行，覆盖每个用户，审计重要用户行为和重要安全事件；b)审核记录应包括事件的日期和时间、用户、事件类型、事件是否成功以及其他与审核相关的信息；c)审计记录应受到保护并定期备份，以避免意外删除、修改或覆盖。d)对远程访问和互联网访问的用户行为进行独立的行为审计和数。

7、据分析。6可信验证可信根可用于验证边界设备的系统引导程序、系统程序、重要配置参数和边界保护应用程序，并在检测到其可信度受损后发出警报，并将验证结果作为审核记录发送至安全管理中心。可信根可用于验证边界设备的系统启动程序、系统程序、重要配置参数和边界保护应用程序，并可在应用程序的关键执行环节进行动态可信验证，在检测到其可信度受损后发出警报，验证结果将形成审核记录并发送至安全管理中心。1.4安全计算环境序列号姓名具体要求二级三年级1身份认证a)应识别并验证登录用户。标识是唯一的，认证信息具有复杂性要求，应定期更换；b)应具有登录失败处理功能，并应通过结束会话、限制非法登录次数、登录连接超时自动退出等。

8、相关措施进行配置和启用；c)进行远程管理时，应采取必要的措施防止认证信息在网络传输过程中被窃听。d)应使用密码、密码技术和生物技术等两种或两种以上的认证技术对用户身份进行认证，其中至少一种认证技术应通过密码技术实现。2访问控制a)帐户和权限应分配给登录用户；b)应重命名或删除默认账户，并修改默认账户的默认密码；c)冗余和过期账户应及时删除或停用，以避免共享账户的存在；d)应授予管理用户所需的最低权限，并实现管理用户的权限分离。e)授权主体应配置访问控制g)重要的主题和对象应设置安全标志，并控制主题对带有安全标志的信息资源的访问。3安全审计a)应启用安全审计功能，覆盖每个用户，审计重要的用户行为。

9、和重要的安全事件；b)审核记录应包括事件的日期和时间、用户、事件类型、事件是否成功以及其他与审核相关的信息；c)审计记录应受到保护并定期备份，以避免意外删除、修改或覆盖。d)审计过程应受到保护，以防止未经授权的中断。4入侵防御a)应遵循最小安装的原则，仅安装所需的组件和应用程序；b)应关闭不需要的系统服务、默认共享和高风险端口；c)应通过设置终端接入模式或网络地址范围来限制通过网络管理的管理终端；d)应提供数据有效性检查功能，以确保通过人机界面或通信界面输入的内容满足系统设置要求；e)它应该能够发现可能的已知漏洞，并在充分测试和评估后及时修复它们。f)应能检测重要节点的入侵，并在发生严重入侵时。

10、发出警报。5恶意代码反恶意代码软件应安装或配置相应的功能，反恶意代码库应定期升级和更新。应采取防范恶意代码攻击的技术措施或主动免疫可信验证机制，及时识别入侵和病毒行为，并有效阻止它们。6可信验证可信根可用于验证计算设备的系统引导程序、系统程序、重要配置参数和应用程序，并在检测到其可信度受损后发出警报，并将验证结果作为审计记录发送给安全管理中心。可信根可用于验证计算设备的系统引导程序、系统程序、重要配置参数和应用程序，动态可信验证可在应用程序的关键执行环节进行。在检测到其可信度受损后，将发出警报，验证结果将形成审核记录并发送至安全管理中心。7数据完整性应采用验证技术，以确保传输过程中重要数据的完。

11、整性。a)应采用验证技术或密码技术确保传输过程中重要数据的完整性，包括但不限于认证数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。b)应采用验证技术或密码技术，确保存储过程中重要数据的完整性，包括但不限于认证数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。8数据保密性a)应采用加密技术确保传输过程中重要数据的机密性，包括但不限于认证数据、重要业务数据和重要个人信息；b)应采用加密技术确保存储过程中重要数据的机密性，包括但不限于认证数据、重要业务数据和重要个人信息。9数据备份恢复a)提供重要数据的本地数据备份和恢复功能；b)应提供远程数。

12、据备份功能，重要数据应利用通信网络定期分批传输至备用现场。b)提供远程实时备份功能，重要数据通过通信网络实时备份到备份站点；c)应提供重要数据处理系统的热冗余，以确保系统的高可用性。10剩余信息保护确保身份验证信息所在的存储空间在释放或重新分发之前已完全清空b)确保包含敏感数据的存储空间在被释放或重新分配之前被完全清除。11个人信息保护a)只应收集和保存业务所需的用户个人信息；b)禁止未经授权访问和非法使用用户的个人信息。1.5安全管理中心序列号姓名具体要求二级毕业生b)系统管理员应对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行异常处理、数据和设备。

13、的备份和恢复等。2审计管理a)审核管理员应经过认证，只允许通过特定的命令或操作界面进行安全审核操作，并对这些操作进行审核；b)审核记录由审核管理员进行分析，并根据分析结果进行处理，包括根据安全审核策略对审核记录进行存储、管理和查询等。3安全管理a)安全管理员应经过认证，仅允许通过特定的命令或操作界面执行安全管理操作，并对这些操作进行审核；b)系统中的安全策略应由安全管理员配置，包括安全参数的设置、主体和对象的统一安全标记、主体的授权以及可信验证策略的配置。4集中控制a)应划分特殊管理区域，以控制网络中分布的安全设备或安全组件；b)应能建立安全的信息传输路径，以管理网络中的安全设备或安全组件；c。

14、)对网络链路、安全设备、网络设备和服务器的运行状态进行集中监控；d)收集、汇总和分析分散在各种设备上的审计数据，确保审计记录的保留时间符合法律法规的要求；e)集中管理安全策略、恶意代码、补丁升级和其他安全相关事宜；f)能够识别、报警和分析网络中的各种安全事件。2一般管理2.1安全管理体系序列号姓名具体要求二级三年级1安全策略制定网络安全工作的总体政策和安全策略，明确组织安全工作的总体目标、范围、原则和安全框架。2管理系统a)针对安全管理活动中的主要管理内容，建立安全管理体系；b)应建立由经理或操作员执行的日常管理操作的操作程序。c)形成由安全方针、管理体系、操作程序和记录表组成的综合安全管理体系。3开发和发布a)指定或授权专门部门或人员负责安全管理体系的制定；b)安全管理体系应正式有效发布，并对其版本进行控制。4审查和修订安全管理体系的合理性和适用性应定期进行论证和检查，不足或需要改进的安全管理体系应进行修订。2.2安全管理组织序列号姓名具体要求二级三年级1架支柱a)设立网络安全管理职能部门，设置安全监督员和安全管理各方面负责人的岗位，明确各负责人的职责；b)设置系统管理员、审核管理员和安全管理员的岗位，并明确部门。