等保2.0基本要求-各级对比
等保2.0 VS 等保1.0(三级)对比
等保2.0 VS 等保1.0(三级)对比网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分结构由原来的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全,调整为四个部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;技术要求“从面到点”提出安全要求,“物理和环境安全”主要对机房设施提出要求,“网络和通信安全”主要对网络整体提出要求,“设备和计算安全”主要对构成节点(包括网络设备、安全设备、操作系统、数据库、中间件等)提出要求,“应用和数据安全”主要对业务应用和数据提出要求。
(标粗内容为三级和二级的变化,标红部门为新标准主要变化)1.1、物理和环境安全VS原来物理安全控制点未发生变化,要求项数由原来的32项调整为22项。
控制点要求项数修改情况如下图:要求项的变化如下:1.2、网络和通信安全VS原来网络安全新标准减少了结构安全、边界完整性检查、网络设备防护三个控制点,增加了网络架构、通信传输、边界防护、集中管控四个控制点。
原结构安全中部分要求项纳入了网络架构控制点中,原应用安全中通信完整性和保密性的要求项纳入了通信传输控制点中,原边界完整性检查和访问控制中部分要求项内容纳入了边界防护控制点中,原网络设备防护控制点要求并到设备和计算安全要求中。
要求项总数原来为33项,调整为还是33项,但要求项内容有变化。
控制点和控制点要求项数修改情况如下图:具体要求项的变化如下表:1.3、设备和计算安全VS原来主机安全新标准减少了剩余信息保护一个控制点,在测评对象上,把网络设备、安全设备也纳入了此层面的测评范围。
要求项由原来的32项调整为26项。
控制点和各控制点要求项数修改情况如下图:具体要求项的变化如下表:1.4、应用和数据安全VS原来应用安全+数据安全及备份恢复新标准将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一个层面,减少了通信完整性、通信保密性和抗抵赖三个控制点,增加了个人信息保护控制点。
最新等保2.0二、三级对比解读
分类控制点(L3)L2L3应对措施a) 应保证网络设备的业务处理能力满足业务高峰期需要;a)依据业务需求进行网络设备选型,性能预留;b) 应保证网络各个部分的带宽满足业务高峰期需要;b)依据业务需求设计传输链路,带宽预留,关键业务链路质量保障;a) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;c)网络分区分域设计;b) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;d)按照业务重要程度及风险类型进行网络域划分,做好出口防护和边界隔离;e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
e)网络系统链路及设备冗余架构设计;应采用校验技术保证通信过程中数据的完整性。
a) 应采用校验技术或密码技术保证通信过程中数据的完整性;a)数据传输通信链路采用MD5,SHA校验算法;b) 应采用密码技术保证通信过程中数据的保密性。
b)数据传输通信链路采用加密传输技术8.1.2.3可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
选择具备可信机制的网络设备组网,并实现可信系统与安全管理中心的联动;应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;a)区域边界隔离控制,默认拒绝所有通信且根据IP五元组开启必要通信,对于WEB网站进行应用级防护;b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;b)终端准入控制及资产识别;c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;c)网络访问控制;d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
《信息系统安全等级保护基本要求》二级三级等级保护要求比较
《信息系统安全等级保护基本要求》二级三级等级保护要求比较信息系统安全等级保护是指根据信息系统的安全风险等级,对信息系统进行分级管理,制定相应的安全保护要求和技术措施。
我将对二级和三级等级保护要求进行比较。
一、安全管理要求1.1二级等级保护要求:有完善的信息系统安全管理规章制度,明确的安全运维责任,健全的安全组织机构和安全管理人员。
实施定期的安全教育培训,对安全事件、漏洞、威胁进行分析和处理。
建立安全审计体系,对安全事件进行追踪和溯源。
1.2三级等级保护要求:在二级的基础上,要求建立风险管理体系,对信息系统的风险进行评估和控制。
建立信息安全委员会或安全管理领导小组,参与信息系统的安全决策和规划。
实施日志和审计记录的收集和分析,监测安全事件并及时响应。
二、物理安全要求2.1二级等级保护要求:要求建立信息系统的物理安全管理责任制,对关键设备和场所进行安全防护和监控。
设立访问控制措施,限制物理访问权限。
对物理环境进行监控和巡视,防止未经授权的人员进入设备和设施。
2.2三级等级保护要求:在二级的基础上,要求建立设备和设施的防护体系,确保信息系统的可靠性和连续性。
加强对场所、机房、环境等的安全控制,加强监控和预警能力,及时发现并应对风险事件。
三、网络安全要求3.1二级等级保护要求:要求建立网络安全管理机构和网络安全责任制,健全网络边界防护机制。
采取合理的网络隔离措施,确保内外网之间的安全通信。
建立访问控制机制,限制外部访问权限。
定期检查和维护网络设备和系统,防止网络攻击。
3.2三级等级保护要求:在二级的基础上,要求提高网络安全防护能力,完善网络入侵检测和防御系统。
建立网络安全事件管理和响应机制,加强对入侵和攻击的监测和处置。
加强对网络设备和系统的安全管理,规范网络配置和管理。
四、数据安全要求4.1二级等级保护要求:要求建立数据安全管理制度和数据分类管理机制,确保敏感数据的保护和隐私的保密。
采取加密和安全传输措施,保护数据的完整性和可用性。
等保2.0测评项基本要求(安全通用要求二级 三级对比)
或限制;
d) 应限制无线网络的使用,
保证无线网络通过受控的边界
设备接入内部网络。
a) 应在网络边界或区域之间 a) 应在网络边界或区域之间
根据访问控制策略设置访问控 根据访问控制策略设置访问控
制规则,默认情况下除允许通 制规则,默认情况下除允许通
信外受控接口拒绝所有通信; 信外受控接口拒绝所有通信;
防破 全处;
全处;Biblioteka 坏 c)应设置机房防盗报警系统或
设置有专人值守的视频监控系
a)应将各类机柜、设施和设 a)应将各类机柜、设施和设
防雷 击
备等通过接地系统安全接地; b)应采取措施防止感应雷, 例如设置防雷保安器或过压保
备等通过接地系统安全接地;
护装置等。
a)机房应设置火灾自动消防 a)机房应设置火灾自动消防
坏后进行报警,并将验证结果 成审计记录送至安全管理中心
形成审计记录送至安全管理中 。 a) 应采用校验技术或密码技
术保证重要数据在传输过程中
的完整性,包括但不限于鉴别 a) 应采用校验技术保证重要
数据、重要业务数据、重要审 数据在传输过程中的完整性。
数据 计数据、重要配置数据、重要
完整 性
视频数据和重要个人信息等; b) 应采用校验技术或密码技
防静 电
采用必要的接地防静电措施; b) 应采取措施防止静电的产 生,例如采用静电消除器、佩
采用必要的接地防静电措施;
戴防静电手环等。
温湿 a)应设置温湿度自动调节设 a)应设置温湿度自动调节设
度控 施,使机房温湿度的变化在设 施,使机房温湿度的变化在设
制 备运行所允许的范围之内。 备运行所允许的范围之内。
e) 应提供通信线路、关键网
等保2.0的等级保护指标
等保2.0是指信息安全等级保护2.0的简称,是中国政府为了加强网络安全管理和保护国家关键信息系统而提出的一项标准。
根据等保2.0标准,不同级别的关键信息系统需要满足相应的等级保护指标。
等保2.0标准将关键信息系统分为五个等级,等级由高到低依次为:一级、二级、三级、四级和五级。
每个等级都有相应的保护要求和技术措施。
以下是等保2.0不同等级的保护指标的一些示例:
1. 一级保护:要求采取严格的安全技术措施,能够应对高级威胁和攻击。
包括防火墙、入侵检测和入侵防护系统、访问控制、安全审计等。
2. 二级保护:要求采用较高的安全技术措施,能够应对较高级别的威胁和攻击。
包括数据加密、网络隔离、安全监测与响应、灾备恢复等。
3. 三级保护:要求采用适当的安全技术措施,能够应对中级威胁和攻击。
包括访问控制、恶意代码防范、安全培训教育等。
4. 四级保护:要求基本的安全技术措施,能够应对一般威胁和攻击。
包括密码安全、基础设施保护、安全漏洞管理等。
5. 五级保护:要求最基本的安全措施,能够应对低级威胁和攻击。
包括安全策略制定、安全事件响应等。
需要注意的是,等保2.0的具体保护指标是根据具体的应用环境和信息系统的特点而确定的,上述只是一些示例,并不包括所有的保护要求。
对于具体的等级保护指标,建议参考相关的政府发布的相关文件以获取更准确和详细的信息。
等级保护2.0基本要求-二级三级对比表
1.5
序号
名称
具体要求
2级
3级
1
系统管理
a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
1
1.1
需要满足符合项的,不需要满足符合项的或者空
序号
名称
具体要求
2级
3级
1
物理位置的选择
a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内;
b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
3
物理访问控制
机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。
24
可信验证
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
5
防盗窃和防破坏
a) 应将设备或主要部件进行固定,并设置明显的不易除去的标识;
b) 应将通信线缆铺设在隐蔽安全处。
c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。
8
防雷击
等保2.0测评项基本要求(移动互联安全扩展要求二级 三级对比)
个认证密钥;
个认证密钥;
f) 应能够阻断非授权无线
接入设备或非授权移动终端
a) 应保证移动终端安装、
注册并运行终端管理客户端
移动终端 管控
软件; b) 移动终端应接受移动终
端管理服务端的设备生命周
期管理、设备远程控制,
如:远程锁定、远程擦除等
a) 应具有选择应用软件安 a) 应具有选择应用软件安
装、运行的功能;
安全 物
理环
安全 区
域边 界
安全 计
算环 境
安全 建
设管 理
无线接入 点的物理
位置
三级要求 a) 应为无线接入设备的安 装选择合理位置,避免过度 覆盖和电磁干扰。
二级要求 a) 应为无线接入设备的安 装选择合理位置,避免过度 覆盖和电磁干扰。
a) 应保证有线网络与无线 a) 应保证有线网络与无线
边界防护 网络边界之间的访问和数据 网络边界之间的访问和数据
流通过无线接入网关设备。 流通过无线接入网关设备。
Байду номын сангаасa) 无线接入设备应开启接 a) 无线接入设备应开启接
访问控制
入认证功能,并支持采用认 证服务器认证或国家密码管
入认证功能,并且禁止使用 WEP方式进行认证,如使用
理机构批准的密码模块进行 口令,长度不小于8位字符
a) 应能够检测到非授权无 a) 应能够检测到非授权无
软件开发 b) 应保证开发移动业务应 b) 应保证开发移动业务应
用软件的签名证书合法性。 用软件的签名证书合法性。
a) 应建立合法无线接入设
配置管理
备和合法移动终端配置库, 用于对非法无线接入设备和
非法移动终端的识别。
等保2.0通用要求VS等保1.0(三级)技术部分要求详细对比
等保 2.0系列原则即将发布,网络安全级别保护基本规定通用规定在信息安全级别保护基本规定技术部分的基本上进行了某些调节,湖南金盾就网络安全级别保护基本规定通用规定在信息安全级别保护基本规定进行了具体对比,下面以三级为例进行一种对比。
网络安全级别保护基本规定通用规定技术部分与信息安全级别保护基本规定技术部分构造由本来的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全,调节为四个部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;技术规定“从面到点”提出安全规定,“物理和环境安全”重要对机房设施提出规定,“网络和通信安全”重要对网络整体提出规定,“设备和计算安全”重要对构成节点(涉及网络设备、安全设备、操作系统、数据库、中间件等)提出规定,“应用和数据安全”重要对业务应用和数据提出规定。
(标粗内容为三级和二级的变化,标红部门为新原则重要变化)
•
物理与环境安全VS本来物理安全
•
控制点未发生变化,规定项数由本来的32项调节为22项。
控制点
•
网络和通信安全VS本来网络安全
•
新原则减少了构造安全、边界完整性检查、网络设备防护三个控制
•
设备和计算安全VS本来主机安全
•
新原则减少了剩余信息保护一种控制点,在测评对象上,把网络设
•
应用和数据安全VS本来应用安全+数据安全及备份恢复
•
新原则将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一种层面,减少了通信完整性、通信保密性和抗抵赖三个控制点,增长了个人信息保护控制点。
通信完整性和通信保密性的规定纳入了网络。
等保2.0测评项基本要求(物联网安全扩展要求二级 三级对比)
通信的目标地址,以避免对 通信的目标地址,以避免对
陌生地址的攻击行为。
陌生地址的攻击行为。
a) 应保证只有授权的用户
可以对感知节点设备上的软
件应用进行配置或变更;
感知节点 设备安全
b) 应具有对其连接的网关 节点设备(包括读卡器)进 行身份标识和鉴别的能力;
c) 应具有对其连接的其他
感知节点设备(包括路由节
感知节点 署、携带、维修、丢失和报 署、携带、维修、丢失和报
管理 废等过程作出明确规定,并 废等过程作出明确规定,并
进行全程管理;
进行全程管理;
c) 应加强对感知节点设备
、网关节点设备部署环境的
保密性管理,包括负责检查
和维护的人员调离工作岗位
应立即交还相关检查工具和
检查维护记录等。
20
7
知节点设备、网关节点设备 知节点设备、网关节点设备
的部署环境,对可能影响感 的部署环境,对可能影响感
知节点设备、网关节点设备 知节点设备、网关节点设备
正常工作的环境异常进行记 正常工作的环境异常进行记
b) 应对感知节点设备、网 b) 应对感知节点设备、网
关节点设备入库、存储、部 关节点设备入库、存储、部
安全 物理 环境
安全 区域 边界
安全 计算 环境
三级要求
二级要求
a) 感知节点设备所处的物 a) 感知节点设备所处的物
理环境应不对感知节点设备 理环境应不对感知节点设备
造成物理破坏,如挤压、强 造成物理破坏,如挤压、强
b) 感知节点设备在工物理环境应能正确反 态所处物理环境应能正确反
a) 应能够鉴别数据的新鲜
抗数据重 性,避免历史数据的重放攻
放
等保2.0安全管理中心四级对比
9.1.
操作进行审计: 审计:
计:
5.1
系
b)应通过系统管 b)应通过系统管理 )应通过系统管理
统
理员对系统的资 员对系统的资源和 员对系统的资源和
管
源和运行进行配 运行进行配置、控 运行进行配置、控
理
置、控制和管理, 制和管理,包括用 制和管理,包括用户
包括用户身份.系 户身份、系统资源 身份、系统资源配
一级
二级
三级
四级
a)应对系统管理 a)应对系统管理员 a)应对系统管理员
员进行身份鉴别, 进行身份鉴别,只 进行身份鉴别,只
只允许其通过特 允许其通过特定的 允许其通过特定的
定的命令或操作 命令或操作界面进 命令或操作界而进
界面进行系统管 行系统管理操作, 行系统管理操作,并
理操作,并对这些 并对这些操作进行 对这些操作进行审
f) 应能对网络中发 f) 应能对网络中发
生的各类安全事件 生的各类安全事件
进行识别、报警Leabharlann 进行识别报警和分分析。析;
g) 应保证系统范围 内的时间由唯一确 定的时钟产生,以 保证各种数据的管 理和分析在时间上 的一致性。
a) 应对安全管理员 进行身份鉴别,只 允许其通过特定的 命令或操作界面进 行安全管理操作, 并对这些操作进行 审计;
a)应对安全管理员 进行身份鉴别,只允 许其通过特定的命 令或操作界面进行 安全管理操作,并对 这些操作进行审计;
安
全
管
理
9.1.
5.3
安 全 管 理
b) 应通过安全管 理员对系统中的安 全策略进行配置, 包括安全参数的设 置,主体、客体进 行统- -安全标记, 对主体进行授权, 配置可信验证策略 等。
等保2.0测评项基本要求(二级 三级对比概述)
人员配备
2
授权和审批
3
沟通和合作
3
审核和检查
3
二级
测评项数 2 1 2 1 2 2 1 1 2
1
2 1 1 1 4 1 1 1 3
3
4
3
1 5 1 1 0 2 1 2 2 2 0
0
1
2
2 1 2 1 2 3 1
人员录用
3
2
人员离岗
2
1
安全管理人员
安全意识教育和 培训
3
1
外部人员访问管 理
4
3
定级和备案
2
1
密码管理
2
2
并更管理
3
1
备份与恢复管理
3
3
安全事件处置
4
3
应急预案管理
4
2
外包运维管理
4
2
总计
211
135
云计算安全扩展 要求
安全技术要求
安全管理要求
分类 安全物理环境 安全通信网络 安全区域边界
安全计算环境
安全管理中心 安全建设管理 安全运维管理
三级
安全控制点 基础设施位置
网络架构 访问控制 入侵防范 安全审计 身份鉴别 访问控制 入侵防范 镜像和快照保护 数据完整性和保
安全技术要求
安全管理要求
分类 安全物理环境 安全区域边界
安全计算环境 安全运维管理
三级
安全控制点 感知节点设备物
理防护 接入控制 入侵防范 感知节点设备安 网关节点设备安 抗数据重放 数据融合处理 感知节点管理
测评项数
4
1 2 3 4 2 1 3
二级
测评项数
等保2.0测评项基本要求(云计算安全扩展要求二级 三级对比)
可能存在的敏感资源被非法访
a) 应确保云服务客户数据、用 a) 应确保云服务客户数据、
户个人信息等存储于中国境 用户个人信息等存储于中国
内,如需出境应遵循国家相关 境内,如需出境应遵循国家
安全
规定;
相关规定;
计算
b) 应确保只有在云服务客户授 b) 应确保只有在云服务客户
环境
权下,云服务商或第三方才具 授权下,云服务商或第三方
固的操作系统镜像或操作系统 加固的操作系统镜像或操作
安全加固服务;
系统安全加固服务;
镜像和 b) 应提供虚拟机镜像、快照完 b) 应提供虚拟机镜像、快照
快照保 整性校验功能,防止虚拟机镜 完整性校验功能,防止虚拟
护 像被恶意篡改;
机镜像被恶意篡改;
c) 应采取密码技术或其他技术
手段防止虚拟机镜像、快照中
数据完 有云服务客户数据的管理权 才具有云服务客户数据的管
整性和 限;
理权限;
保密性 c) 应使用校验码或密码技术确 c) 应确保虚拟机迁移过程中
保虚拟机迁移过程中重要数据 重要数据的完整性,并在检
的完整性,并在检测到完整性 测到完整性受到破坏时采取
受到破坏时采取必要的恢复措 必要的恢复措施。
d) 应支持云服务客户部署密钥
网络之间的隔离;
拟网络之间的隔离;
c) 应具有根据云服务客户业务 c) 应具有根据云服务客户业
需求提供通信传输、边界防护 务需求提供通信传输、边界
安全 通信 网络
网络架 构
、入侵防范等安全机制的能
力; d) 应具有根据云服务客户业务
防护、入侵防范等安全机制 的能力;
需求自主设置安全策略的能
力,包括定义访间路径、选择
等级保护2.0基本要求二级三级对比表(二)通用管理要求
f)应对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制;
g)应保证开发人员为专职人员,开发人员的开发活动受到控制、监视和审查。
ý
þ
5
外包软件开发
a)应在软件交付前检测其中可能存在的恶意
代码;
þ
þ
b)应保证开发单位提供软件设计文档和使用
c)应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管
理。
ý
þ
3
介质管理
a)应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管
理,并根据存档介质的目录清单定期盘点;
þ
þ
b)应对介质在物理传输过程中的人员选择、
打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。
þ
þ
d)应制定重要设备的配置和操作手册,依据
手册对设备进行安全配置和优化配置等;
þ
þ
e)应详细记录运维操作日志,包括日常巡检
工作、运行维护记录、参数的设置和修改等内容。
þ
þ
f)应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为;
g)应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库;
案实施测试验收,形成测试验收报告;
þ
þ
b)应进行上线前的安全性测试,并出具安全测试报告。安全测试报告应包含密码应用安全性测试相关内容。
þ
þ
8
系统交付
a)应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
等保2.0 VS 等保1.0(三级)对比
等保2.0 VS 等保1.0(三级)对比网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分结构由原来的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全,调整为四个部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;技术要求“从面到点”提出安全要求,“物理和环境安全”主要对机房设施提出要求,“网络和通信安全”主要对网络整体提出要求,“设备和计算安全”主要对构成节点(包括网络设备、安全设备、操作系统、数据库、中间件等)提出要求,“应用和数据安全”主要对业务应用和数据提出要求。
(标粗内容为三级和二级的变化,标红部门为新标准主要变化)1.1、物理和环境安全VS原来物理安全控制点未发生变化,要求项数由原来的32项调整为22项。
控制点要求项数修改情况如下图:要求项的变化如下:1.2、网络和通信安全VS原来网络安全新标准减少了结构安全、边界完整性检查、网络设备防护三个控制点,增加了网络架构、通信传输、边界防护、集中管控四个控制点。
原结构安全中部分要求项纳入了网络架构控制点中,原应用安全中通信完整性和保密性的要求项纳入了通信传输控制点中,原边界完整性检查和访问控制中部分要求项内容纳入了边界防护控制点中,原网络设备防护控制点要求并到设备和计算安全要求中。
要求项总数原来为33项,调整为还是33项,但要求项内容有变化。
控制点和控制点要求项数修改情况如下图:具体要求项的变化如下表:1.3、设备和计算安全VS原来主机安全新标准减少了剩余信息保护一个控制点,在测评对象上,把网络设备、安全设备也纳入了此层面的测评范围。
要求项由原来的32项调整为26项。
控制点和各控制点要求项数修改情况如下图:具体要求项的变化如下表:1.4、应用和数据安全VS原来应用安全+数据安全及备份恢复新标准将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一个层面,减少了通信完整性、通信保密性和抗抵赖三个控制点,增加了个人信息保护控制点。
等级保护2.0基本要求-二级三级对比表
制定和发布
a)应指止或授权专门的部门或人贝负责女全
管理制度的制定;
b)安全管理制度应通过正式、有效的方式发
布,并进行版本控制。
4
评审和修订
应定期对安全管理制度的合理性和适用性进
行论证和审定,对存在不足或需要改进的安全
管理制度进行修订。
2.2
厅P
名称
具体要求
2级
3级
1
岗位设置
a)应设立网络安全管理工作的职能部门,设
5
恶意代码
应安装防恶意代码软件或配置具有相应功能 的软件,并定期进行升级和更新防恶意代码 库。
应采用免受恶意代码攻击的技术措施或主动
免疫可信验证机制及时识别入侵和^<行为,
并将其肩效阻断。
6
可信验证
可基于口」彳百根对计算设备的系统引导程序、系统程
序、重要配置参数和应用程序等进行可信验证,并在
检测到具可信性受到破坏后进行报警,并将验证结果
的转移与渗透。
c)应安装对水敏感的检测仪表或元件,对机房进
行防水检测和报警。
7
防静电
应采用防静电地板或地面并采用必要的接地防静
电措施。
b)应采取措施防止静电的产生,例如采用静电消
除器、佩戴防静电手环等。
8
湿温度控制
应设置温湿度自动调节设施,使机房温湿度的变化
在设备运行所允许的范围之内。
9
电力供应
a)应在机房供电线路上配置稳压器和过电压防护
1
1.1
需要满足符合项的,不需要满足符合项的或者空
厅P
名称
具体要求
2级
3级
1
物理位置的
选择
a)机房场地应选择在具有防震、防风和防雨等能
等保2.0测评项基本要求(工业控制系统安全扩展要求二级 三级对比)
用户(人员、软件进程或者设 用户(人员、软件进程或者
备)提供唯一性标识和鉴别; 设备)提供唯一性标识和鉴
无线使 用控制
安全区 域边界
b) 应对所有参与无线通信的 b) 应对所有参与无线通信的
用户(人员、软件进程或者设 用户(人员、软件进程或者
备)进行授权以及执行使用进 设备)进行授权以及执行使
无线使 用控制
d) 应使用专用设备和专用软
件对控制设备进行更新;
e) 应保证控制设备在上线前
经过安全性检测,避免控制设
备固件中存在恶意代码程序。
产品采 a) 工业控制系统重要设备应 a) 工业控制系统重要设备应
购和使 通过专业机构的安全性检测后 通过专业机构的安全性检测
用 方可采购使用。
后方可采购使用。
安全建
a) 应在外包开发合同中规定 a) 应在外包开发合同中规定
体或装置具有透风、散热、 防盗、防雨和防火能力等; b) 室外控制设备放置应远离 强电磁干扰、强热源等环
如无法避免应及时做好应急处 境,如无法避免应及时做好
置及检修,保证设备正常运行 应急处置及检修,保证设备
a) 工业控制系统与企业其他 a) 工业控制系统与企业其他
系统之间应划分为两个区域, 系统之间应划分为两个区
设管理
外包软 件开发
针对开发单位、供应商的约束 条款,包括设备及系统在生命 周期内有关保密、禁止关键技
针对开发单位、供应商的约 束条款,包括设备及系统在 生命周期内有关保密、禁止
术扩散和设备行业专用等方面 关键技术扩散和设备行业专
21
15
域网进行控制指令或相关数 据交换的应采用加密认证技 术手段实现身份认证、访问
数据加密传输。
等保2.0安全管理机构四级对比
审批部门和审批人 部门和审批人等信息
等信息。
。
9.1. 7.4
u)应加强各类管理 人员、组织内部机 构和网络安全管理 部门之间的合作与 沟通,定期召开协 调会议,共同协作 处理网络安全问 题;
a)应加强各 类管理 人员、组织内部机 构和网络安金管理 部门之间的合作与 沟通,定期召开协调 会议,共同协作处理 网络安全问题;
b)应加强与网络安全 职能部门、各类供应 商、业界专家及安全 组织的合作与沟通;
沟 通 和 合 作
c) 应建立外联单位 c) 应建立外联单位 c) 应建立外联单位联
联系列表,包括外 联累列表,包括外联 系列表,包括外联单
联单位名称、合作 单位名称、合作内 位名称、合作内容.
内容、联系人和联 容、联系人和联系 联系人和联系方式等
7.2 的系统管理员。 管理员和安全管理 计管理员和安全管 理员和安全管理员
人
员等。
理员等;
等;
员
b) 应配备专职安全 b) 应配备专职安全
配
管理员,不可兼任。 管理员,不可兼任;
备
c) 关键事务岗位应配
备多人共同管理
应根据各个部门 和岗位的职责明 确授权审批事项. 审批部门和批准 人等。
u)应根据各个部门 和岗位的职责明确 授权审批事项.审 批部门和批准人 等;
系方式等信息。 方式等信息。.
信息。
应定期进行常规安 u)应定期进行常规 a)应定期进行常规安
全检查,检查内容 安全检查,检查内容 全检查,检查内容包
包括系统日常运行 包括系统H常运行. 括系统日常运行、系
、系统漏洞和数据 累统漏洞和数据备 统漏洞和数据备份等
备份等情况。 份等情况;
(完整版)等保2.0通用要求VS等保1.0(三级)技术部分要求详细对比
(完整版)等保2.0通⽤要求VS等保1.0(三级)技术部分要求详细对⽐等保2.0通⽤要求VS等保1.0(三级)技术部分要求详细对⽐⽹络安全等级保护基本要求通⽤要求技术部分与信息安全等级保护基本要求技术部分结构由原来的五个层⾯:物理安全、⽹络安全、主机安全、应⽤安全、数据安全,调整为四个部分:物理和环境安全、⽹络和通信安全、设备和计算安全、应⽤和数据安全;技术要求“从⾯到点”提出安全要求,“物理和环境安全”主要对机房设施提出要求,“⽹络和通信安全”主要对⽹络整体提出要求,“设备和计算安全”主要对构成节点(包括⽹络设备、安全设备、操作系统、数据库、中间件等)提出要求,“应⽤和数据安全”主要对业务应⽤和数据提出要求。
物理与环境安全VS原来物理安全控制点未发⽣变化,要求项数由原来的32项调整为22项。
控制点要求项数修改情况如下图:要求项的变化如下:⽹络和通信安全VS原来⽹络安全新标准减少了结构安全、边界完整性检查、⽹络设备防护三个控制点,增加了⽹络架构、通信传输、边界防护、集中管控四个控制点。
原结构安全中部分要求项纳⼊了⽹络架构控制点中,原应⽤安全中通信完整性和保密性的要求项纳⼊了通信传输控制点中,原边界完整性检查和访问控制中部分要求项内容纳⼊了边界防护控制点中,原⽹络设备防护控制点要求并到设备和计算安全要求中。
要求项总数原来为33项,调整为还是33项,但要求项内容有变化。
控制点和控制点要求项数修改情况如下图:具体要求项的变化如下表:具体要求项的变化如下表:新标准将应⽤安全、数据安全及备份恢复两个层⾯合并成了应⽤和数据安全⼀个层⾯,减少了通信完整性、通信保密性和抗抵赖三个控制点,增加了个⼈信息保护控制点。
通信完整性和通信保密性的要求纳⼊了⽹络和通信安全层⾯的通信传输控制点。
要求项由原来的39项调整为33项。
控制点和控制点要求项数修改情况如下图:具体要求项的变化如下表:。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
应保证跨越边界的访问和数据流 通过边界设备提供的受控接口进 行通信。
a) 应划分不同的网络区域,并按 照方便管理和控制的原则为各网 络区域分配地址;
a) 应保证网络设备的业务处理能力满 足业务高峰期需要; b) 应保证网络各个部分的带宽满足业 务高峰期需要;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访 问控制规则数量最小化;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访问 控制规则数量最小化;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访问 控制规则数量最小化;
c) 应对源地址、目的地址、源端 口、目的端口和协议等进行检 查,以允许/拒绝数据包进出。
7.1.1.10 电磁防护
8.1.1.10 电磁防护
d)应提供应急供电设施。 9.1.1.10 电磁防护
电源线和通信线缆应隔离铺设, 避免互相干扰。
a)电源线和通信线缆应隔离铺设,避 免互相干扰;
a)电源线和通信线缆应隔离铺设,避 免互相干扰;
b)应对关键设备实施电磁屏蔽。
b)应对关键设备或关键区实施电磁屏 蔽。
c)应划分不同的网络区域,并按照方 便管理和控制的原则为各网络区域分 配地址;
a) 应保证网络设备的业务处理能力满 足业务高峰期需要; b) 应保证网络各个部分的带宽满足业 务高峰期需要;
c)应划分不同的网络区域,并按照方 便管理和控制的原则为各网络区域分 配地址;
b) 应避免将重要网络区域部署在 边界处,重要网络区域与其他网 络区域之间应采取可靠的技术隔 离手段。
c) 应安装对水敏感的检测仪表或元 件,对机房进行防水检测和报警。
c) 应安装对水敏感的检测仪表或元 件,对机房进行防水检测和报警。
7.1.1.7 防静电
8.1.1.7 防静电
9.1.1.7 防静电
应采用防静电地板或地面并采用 必要的接地防静电措施。
7.1.1.8 温湿度控制
8.1.1.8
a)应采用防静电地板或地面并采用必 要的接地防静电措施; b) 应采取措施防止静电的产生,例如 采用静电消除器、佩戴防静电手环等 。 温湿度控制
6.1.1.4 防火 机房应设置灭火设备。
b)重要区域应配置第二道电子门禁系 统,控制、鉴别和记录进入人员。
7.1.1.3 防盗窃和防破坏
8.1.1.3 防盗窃和防破坏
9.1.1.3 防盗窃和防破坏
a)应将设备或主要部件进行固定, 并设置明显的不易除去的标识。
a)应将设备或主要部件进行固定,并 设置明显的不易除去的标识;
机房出入口应安排专人值守或配 置电子门禁系统,控制、鉴别和 记录进入的人员。
机房出入口应配置电子门禁系统,控 制、鉴别和记录进入的人员。
a)机房出入口应配置电子门禁系统, 控制、鉴别和记录进入的人员。
6.1.1.2 防盗窃和防破坏 应将设备或主要部件进行固定, 并设置明显的不易除去的标识。
6.1.1.3 防雷击 应将各类机柜、设施和设备等通 过接地系统安全接地。
防水和防潮
8.1.1.6
a)应采取措施防止雨水通过机房窗 户、屋顶和墙壁渗透;
b)机房及相关的工作房间和辅助房应 采用具有耐火等级的建筑材料。
c)应对机房划分区域进行管理,区域 和区域之间设置隔离防火措施。 防水和防潮 a)应采取措施防止雨水通过机房窗户 、屋顶和墙壁渗透;
9.1.1.6
b)机房及相关的工作房间和辅助房应 采用具有耐火等级的建筑材料。
f) 应采用可信验证机制对接入到网络 中的设备进行可信验证,保证接入网 络的设备真实可信。
6.1.3.2 访问控制
a) 应在网络边界根据访问控制策 略设置访问控制规则,默认情况 下除允许通信外受控接口拒绝所 有通信;
7.1.3.2 访问控制
a) 应在网络边界或区域之间根据 访问控制策略设置访问控制规 则,默认情况下除允许通信外受 控接口拒绝所有通信;
6.1.1.5 防水和防潮 应采取措施防止雨水通过机房窗 户、屋顶和墙壁渗透。
6.1.1.6 温湿度控制 应设置必要的温湿度调节设施, 使机房温湿度的变化在设备运行 所允许的范围之内。
6.1.1.7 电力供应 应在机房供电线路上配置稳压器 和过电压防护设备。
7.1.1.6
b)机房及相关的工作房间和辅助 房应采用具有耐火等级的建筑材 料。
d)应避免将重要网络区域部署在边界 处,重要网络区域与其他网络区域之 间应采取可靠的技术隔离手段;
d)应避免将重要网络区域部署在边界 处,重要网络区域与其他网络区域之 间应采取可靠的技术隔离手段;
7.1.2.2 通信传输
8.1.2.2
e) 应提供通信线路、关键网络设备和 关键计算设备的硬件冗余,保证系统 的可用性。
8.1.3.2 访问控制
9.1.3.2 访问控制
a) 应在网络边界或区域之间根据访问 控制策略设置访问控制规则,默认情 况下除允许通信外受控接口拒绝所有 通信;
a) 应在网络边界或区域之间根据访问 控制策略设置访问控制规则,默认情 况下除允许通信外受控接口拒绝所有 通信;
b) 应删除多余或无效的访问控制 规则,优化访问控制列表,并保 证访问控制规则数量最小化;
7.1.3 安全区域边界 7.1.3.1 边界防护
8.1.2.3
8.1.3 8.1.3.1
可信验证
可基于可信根对通信设备的系统引导 程序、系统程序、重要配置参数和通 信应用程序等进行可信验证,并在应 用程序的关键执行环节进行动态可信 验证,在检测到其可信性受到破坏后 进行报警,并将验证结果形成审计记 录送至安全管理中心。
c) 应对源地址、目的地址、源端口 、目的端口和协议等进行检查,以 允许/拒绝数据包进出;
d) 应能根据会话状态信息为进出数 据流提供明确的允许/拒绝访间的 能力。
b)应采用密码技术保证通信过程中数 据的保密性。
b)应采用密码技术保证通信过程中数 据的保密性;
c) 应在通信前基千密码技术对通信的 双方进行验证或认证;
7.1.2.3 可信验证
可基于可信根对通信设备的系统 引导程序、系统程序、重要配置 参数和通信应用程序等进行可信 验证,并在检测到其可信性受到 破坏后进行报警,并将验证结果 形成审计记录送至安全管理中心 。
8.1.1 安全物理环境
8.1.1.1 物理位置选择
a)机房场地应选择在具有防震、防风 和防雨等能力的建筑内;
9
第四级安全要求
9.1
安全通用要求
9.1.1 安全物理环境
9.1.1.1 物理位置选择
a)机房场地应选择在具有防震、防风 和防雨等能力的建筑内;
6.1.1.1 物理访问控制
机房出入口应安排专人值守或配 置电子门禁系统,控制、鉴别和 记录进入的人员。
c)应对机房划分区域进行管理,区域 和区域之间设置隔离防火措施。 防水和防潮 a)应采取措施防止雨水通过机房窗户 、屋顶和墙壁渗透;
b)应采取措施防止机房内水蒸气 结露和地下积水的转移与渗透。
b)应采取措施防止机房内水蒸气结露 和地下积水的转移与渗透;
b)应采取措施防止机房内水蒸气结露 和地下积水的转移与渗透;
b)机房场地应避免设在建筑物的顶层 或地下室,否则应加强防水和防潮措 施。
b)机房场地应避免设在建筑物的顶层或地 下室,否则应加强防水和防潮措施。
b)机房场地应避免设在建筑物的顶层或地 下室,否则应加强防水和防潮措施。
7.1.1.2 物理访问控制
8.1.1.2 物理访问控制
9.1.1.2 物理访问控制
信息安全技术 网络安全等级保护基本要求
GB/T 22239一2019
6 6.1 6.1.1
第一级安全要求 安全通用要求 安全物理环境
7
第二级安全要求
7.1
安全通用要求
7.1.1 安全物理环境
7.1.1.1 物理位置选择
a)机房场地应选择在具有防震、 防风和防雨等能力的建筑内;
8
第三级安全要求
8.1
安全通用要求
通信传输
9.1.2.2
e) 应提供通信线路、关键网络设备和 关键计算设备的硬件冗余,保证系统 的可用性; f) 应按照业务服务的重要程度分配带 宽,优先保障重要业务。 通信传输
应采用校验技术保证通信过程中 数据的完整性。
a)应采用校验技术保证通信过程中数 据的完整性;
a)应采用校验技术保证通信过程中数 据的完整性;
6.1.2 安全通信网络
7.1.2 安全通信网络
8.1.2 安全通信网络
9.1.2 安全通信网络
7.1.2.1 网络架构
8.1.2.1 网络架构
9.1.2.1 网络架构
6.1.2.1 通信传输 应采用校验技术保证通信过程中 数据的完整性。
6.1.2.2 可信验证
可基于可信根对通信设备的系统 引导程序、系统程序等进行可信 验证,并在检测到其可信性受到 破坏后进行报警。
应将各类机柜、设施和设备等通 过接地系统安全接地。
7.1.1.5
防火 a)机房应设置火灾自动消防系 统,能够自动检测火情、自动报 警,并自动灭火;
8.1.1.4 8.1.1.5
防雷击
a)应将各类机柜、设施和设备等通过 接地系统安全接地;
b)应采取措施防止感应雷,例如设置 防雷保安器或过压保护装置等。
防火 a)机房应设置火灾自动消防系统,能 够自动检测火情、自动报警,并自动 灭火;
9.1.1.4 9.1.1.5
防雷击
a)应将各类机柜、设施和设备等通过 接地系统安全接地;
b)应采取措施防止感应雷,例如设置 防雷保安器或过压保护装置等。
防火 a)机房应设置火灾自动消防系统,能 够自动检测火情、自动报警,并自动 灭火;