(完整版)等保2.0测评表-设备和计算安全-安全设备

合集下载

等保2.0测评手册之安全计算环境

控制点安全要求要求解读a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换一般来说，用户登录路由器的方式包话:利用控制台端口(Console)通过串口进行本地登录连接。

利用辅助端口(AUX)通过Modem进行远程拨号连接登录或者利用虚拟终端（VTY）通过TCP/IP网络进行TelnetT登录等。

无论是哪一种登录方式，都需要对用户身份进行鉴别，口令是路由器用来防止非受权访问的常用手段，是路由器本身安全的一部分，因此需要加强对路由器口令的管理,包括口令的设置和存储，最好的口令存储方法是保存在TACACS+或RADIUS认证服务器上。

管理员应当依据需要为路由器相应的端口加上身份签别最基本的安全控制。

路由器不允许配置用户名相同的用户，同时要防止多人共用一个账户，实行分账户管理，每名管理员设置一个单独的账户，避免出现问题后不能及时进行追查。

为避免身份鉴别信息被冒用，可以通过采用今牌、认证服务器等措施，加强身份鉴别信息的保护。

如果仅仅基于口令的身份鉴别，应当保证口令复杂度和定期更改的要求。

使用“service password-encryption"命令对存储在配置文件中的所有口令和类似数据进行加密，避免通过读取配置文件而获取口令的明文b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施可以通过配置结束会话、限制管理员的最大登录失败次数、网络连接超时自动退出等多种措施实现登录失败处理功能。

例如，可以利用“exec-timeout"命令.配置VTY的超时。

避免一个空闲的任务一直占用VTY，从而避免恶意的攻击或远端系统的意外崩溃导致的资源独占。

设置管理员最大登录失败次数，一旦该管理员的登录失败次数超过设定数值，系统将对其进行登录锁定，从而防止非法用户通过暴力破解的方式登录到路由器身份鉴别c)当进行远程管理时，应采取必要措施、防止鉴别信息在网络传输过程中被窃听当对网络设备进行远程管理时，为避免口令传输过程中别窃取，不应当使用明文传送的Telnet服务，而应当采用SSH、ITTPS等加密协议等方式进行交互式管理d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现采用双因子鉴别是防止欺骗的有效方法，双因子鉴别不仅要求访问者知道一些鉴别信息，还需要访问者拥有鉴别特征，例如采用令牌、智能卡等a)应对登录的用户分配账户和权限为了确保交换机的安全，需要对登录的用户分配账户，并合理配置账户权限。

等保2.0测评高危项自查表(等保三级系统)

器和网络设备进行管理，可判定为高风险
对可用性要求较高的系统，若网络链路为单链路，核心网络节点、核心网络设备或
关键计算设备无冗余设计，一旦出现故障，可能导致业务中断，可判定为高风险。
对数据传输完整性要求较高的系统，数据在网络层传输无完整性保护措施，一旦数
据遭到篡改，可能造成财产损失的，可判定为高风险。建议采用校验技术或密码技
21 计算环境部分 22 计算环境部分
23 计算环境部分
24 计算环境部分
25 计算环境部分
26 计算环境部分 27 计算环境部分
28 计算环境部分
29 计算环境部分 30 计算环境部分 31 计算环境部分 32 计算环境部分 33 计算环境部分 34 计算环境部分 35 计算环境部分 36 计算环境部分 37 计算环境部分 38 计算环境部分 39 计算环境部分
判定为高风险。（包括1如相关漏洞暴露在可控的网络环境，可酌情降低风险等级；2如某网络设备的WEB管理界面存在高风险漏洞，而该WEB管理界面只能通过
特定的IP或特定可控环境下才可访问，可酌情降低风险等级）通过验证测试或渗透测试能够确认并利用的，可对网络设备、安全设备、操作系统、数据库等造成重大安全隐患的漏洞（包括但不限于缓冲区溢出、提权漏洞、远程
置不当；2非授权接入无线网络将对内部核心网络带来较大安全隐患）
与互联网互连的系统，边界处如无专用的访问控制设备或配置了全通策略，可判定
为高风险。（包括1互联网出口无任何访问控制措施；2互联网出口访问控制措施配
置不当，存在较大安全隐患；互联网出口访问控制措施配置失效，启用透明模式，
无法起到相关控制功能）
的，可判定为高风险。判例内容：未建立任何与安全管理活动相关的管理制度或相关管理制度无法适用于

(完整版)等保2.0测评表-设备和计算安全-网络设备

删除、修改或覆盖等；
15
d) 应确保审计记录的留存时间符合法律法规要求；
16
e) 应对审计进程进行保护，防止未经授权的中断。
a) 应采用免受恶意代码攻击
的技术措施或可信验证机制对
17
恶意代码防范
系统程序、应用程序和重要配置文件/参数进行可信执行验
证，并在检测到其完整性受到
破坏时采取恢
符合情况备注
网络设备
a) 应启用安全审计功能，审
12
安全审计
计覆盖到每个用户，对重要的用户行为和重要安全事件进行
审计； b) 审计记录应包括事件的日
13
期和时间、用户、事件类型、事件是否成功及其他与审计相
关的信息； c) 应对审计记录进行保护，
14
安全审计
定期备份，避免受到未预期的
a) 应限制单个用户或进程对系统资源的最大使用限度；
19
b) 应提供重要节点设备的硬件冗余，保证系统的可用性；
资源控制
c) 应对重要节点进行监视，
20
包括监视CPU、硬盘、内存等
资源的使用情况；
d) 应能够对重要节点的服务
21
水平降低到预先规定的最小值
进行检测和报警。
确认人: 确认时间:
序号 1
测评对象
测评指标
2 身份鉴别
3
4
5
访问控制
6
7
8 访问控制
9
10
11
网络设备
控制项
结果记录
a) 应对登录的用户进行身份
标识和鉴别，身份标识具有唯
一性，身份鉴别信息具有复杂
度要求并定期更换；
b) 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

等保2.0-二、三级系统所需安全设备

一、等级保护二级系统（一）物理和环境安全层面安全措施需求如下：1、防盗报警系统2、灭火设备和火灾自动报警系统3、水敏感检测仪及漏水检测报警系统4、精密空调5、备用发电机（二）网络和通信安全及设备和计算安全层面需要部署的安全产品如下：1、防火墙或者入侵防御系统2、上网行为管理系统3、网络准入系统4、审计平台或者统一监控平台（可满足主机、网络和应用层面的监控需求，在条件不允许的情况下，至少要使用数据库审计）5、防病毒软件（三）应用及数据安全层面需要部署的安全产品如下：1、VPN2、网页防篡改系统（针对网站系统）3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）。

二、等级保护三级系统（一）物理和环境安全层面安全措施需求如下：1、需要使用彩钢板、防火门等进行区域隔离2、视频监控系统3、防盗报警系统4、灭火设备和火灾自动报警系统5、水敏感检测仪及漏水检测报警系统6、精密空调7、除湿装置8、备用发电机9、电磁屏蔽柜（二）网络和通信安全及设备和计算安全层面需要部署的安全产品如下：1、入侵防御系统2、上网行为管理系统3、网络准入系统4、统一监控平台（可满足主机、网络和应用层面的监控需求）5、防病毒软件6、堡垒机7、防火墙8、审计平台（满足对操作系统、数据库、网络设备的审计，在条件不允许的情况下，至少要使用数据库审计）（三）应用及数据安全层面需要部署的安全产品如下：1、VPN2、网页防篡改系统（针对网站系统）3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）5、数据加密软件（满足加密存储，且加密算法需获得保密局认可）。

等保2.0自查表

3.定期检测主备切换的可用性，确保备机及备用线路可正常使用。
28
安全通信网络
通信传输
a)应采用校验技术或加解密技术保证通信过程中数据的完整性；
VPN、加密机、SSH、SSL、MD5、防篡改等
1.要求业务应用和运维管理的通信过程都采用非对称加密、哈希校验等密码技术，保障数据传输过程安全可靠。
2.检查所选设备是否具有国家相关部门加解密认证证书及其证书有效性，如国密算法、商密算法等。
3.测试设备是否满足业务高峰期需求。
4.按照业务系统服务的重要次序定义带宽分配的优先级，在网络拥堵时优先保障重要主机；
24
安全通信网络
网络架构
b)应保证网络各个部分的带宽满足业务高峰期需要；
关键网络节点双机冗余、网管软件、QoS监控、CDN网络加速
1.要求网络进出口和核心网络的流量满足高峰期需求；
2.尽量采用不同运营商网络通信线路，保障网络业务的连续性
防盗报警系统、视频监控系统、机房动力环境监控系统
要求部署防盗报警系统或视频监控系统，对于监控信息需保存6个月以上
机房专人值守，定期复查视频记录等，并进行记录告
7
安全物理环境
防雷击
a)应将各类机柜、设施和设备等通过接地系统安全接地；
建设接地网、机房动力环境监控系统
管理制度中规定范围内的设备必须接地
定期检查接地电阻，并进行记录
复合岩棉彩钢板、铯钾防火玻璃等
1.要求对机房中重要信息或者关键业务系统需要和常规信息系统和设备进行隔离；
2.要求隔断防火设备需采用复合岩棉彩钢板、铯钾防火玻璃等;
1.检查存储重要信息和关键信息系统是否有与普通信息系统进行隔离，隔离方式是否满足要求，并出具分析报告；

等保2.0(3级)安全计算环境评测项与详细评测步骤

和应用程序；
动终端、移动终端管理系统、应用程序。
移动终端管理客户端、感知节
点设备、网关节点设备、控制
16
设备等；
b)应关闭不需要的系统
服务、默认共享和高危同上
17
端口；
1、应核查是否关闭了非必要的系统服务和默认共享； 2、应核查是否不存在非必要的高危端口。
c)应通过设定终端接入
方式或网络地址范围对通过网络进行管理的管
15
断。
应测试验证通过非审计管理员的其他账户来中断审计进程，验证审计进程是否受到保护。
终端和服务器等设备中的操作
系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚
a)应遵循最小安装的原拟机网络设备）、安全设备 1、应核查是否遵循最小安装原则；
则，仅安装需要的组件（包括虚拟机安全设备）、移 2、应核查是否未安装非必要的组件和
拟机网络设备）、安全设备（包括虚拟机安全设备）、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制
1、应核查是否为用户分配了账户和权限及相关设置情况； 2、应核查是否已禁用或限制匿名、默认账户的访问权限
设备、业务应用系统、数据库
管理系统、中间件和系统管理
5
软件及系统设计文档等；
1
求并定期更换；
软件及系统设计文档等；
1、应核查是否配置并启用了登录失败
b)应具有登录失败处理
处理功能；
身份鉴功能，应配置并启用结别束会话、限制非法登录次数和当登录连接超时自动退出等相
2、应核查是否配置并启用了限制非法登录功能，非法登录达到一定次数后采取特定动作，如账号锁定等； 3、应核查是否配置并启用了登录连续

等保2.0管理测评文档清单(三级)

记录介质的存储、归档、查询和使用等情况
包括备份和冗余设备
明确维护人员的责任、维修和服务的审批、维修过程的监督控制管理等
设备带离机房或办公地点的申报材料或审批记录
描述存在的漏洞、严重级别、原因分析和改进意见等方面
具有安全整改应对措施文档
明确要求对网络和系统管理员用户进行分类，并定义各个角色的责任和权限（比如：划分不同的管理角色，系统管理权限与安全审计权限分离等）
需主管领导的批准签字
此处可举一个重要系统变更的案例
规定变更失败后的恢复流程
具有定期备份的重要业务信息、系统数据、软件系统的列表或清单
备份方式、备份频度、存储介质和保存期等方面内容
覆盖数据的存放场所、文件命名规则、介质替换频率、数据离站传输方法等方面系统已发生的和需要防止发生的安全事件类型，明确安全事件的现场处理、事件报告和后期恢复的管理职责记录引发安全事件的系统弱点、不同安全事件发生的原因、处置过程、经验教训总结、补救措施等内容；根据不同安全事件制定不同的处理和报告程序，明确具体报告方式、报告内容、报告人等方面内容覆盖启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等方面根据应急预案框架制定重要事件的应急预案（如针对机房、系统、网络等各个层面）
11
外联单位联系列表
12
日常安全检查记录
审核和检查
13
审核和检查全面安全检查记录
14
安全检查时的安全检查表、安全检查记录和结果通告记录
15
人员安全管理文档
16
人员录用审查记录
17
人员录用
人员录用时的技能考核文档或记录
18
保密协议
19
岗位安全协议

信息安全等级保护2.0测评大全

控制点安全要求要求解读a)应指定专门的部门或人是负责机房安全、对机房的出入进行管理，定期对机房供配电、空调、温湿度控制，消防等设施进行维护管理机房是存放等级保护对象基础设施的重要场所,要落实机房环境的管理责任人，因此要确保机房的运行环境良好、安全，应对机房环境进行严格管理和控制b)应建立机房安全管理制度，对有关物理访问、物品进出和环境安全等方面的管理作出规定为保证系统有个良好安会的运行环境，应针对机房建立管理规定或要求c)应不在重要区域接待来访人员，不随意放置含有敏感信息的纸质文件和移动介质等加强内部办公环境的管理是控制网络安全风险的措施之一，为保证内部办公环境的独立性、敏感性，应降低外部人员无意或有意访问内部区域的可能性，同时杜绝都员工因无意行为而泄露敏感文档而导致网络安全事件的发生a)应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容等级保护对象资产种类较多，如保护对象的资产管理比较混乱，容易导致等级保护对象发生安全问题或不利于发生安全问题时有效应急b)根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施信息资产的重要程度不同，在系统中所起的作用也不尽相同，应综合考虑资产的价值、在系统件的地位，作用等因素，按照重要程度高低对资产进行分类、分级管理，分类的原则应在相关文档中选行明确，且需明确重要资产和非重要资产在资产管理环节(如入库、维修、出c）应对信息分类与标识方法作出规定，并对信息的使用，传输和存储等进行规范化管理信息作为资产的一种，可根据其所属的类别不同，重要程度不同进行信息的整理分类(一般可分为:敏感、内部公开、对外公开等不同类别），不同类别的信息在使用、传输和存储等方面管理要求也应不同a)应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储介质专人管理，并根据存档介质的目录清单定期查点介质类型可包括纸介质、磁介质、光介质等，由于存储介质是用来存放系统相关数据的，因此，介质管理工作非常重要，如果管理不善，可能会造成数据的丢失或损坏，应为存储介质提供安全的存放环境并进行妥善的管控b)应对介质的物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归等进行登记记录需系统存在离线的存储备份介质应对其进行管控，如对介质进行两地传输时，应遵循一定的管理要求，应选择可靠的传送人员，并对打包交付过程签字确认等a)应对各种设备(包括备份和冗余设备)、线路等指定专门的部门成人员定期进行维护管理对设备进行有效的维护管理，在一定程度上可降低系统发生安全问题的概率，应明确设备管理的责任部门或人员环境管理资产管理介质管理b)应建立配套设施、软硬件维护方面的管理制度。

等保2.0测评项基本要求(二级三级对比概述)

人员配备
2
授权和审批
3
沟通和合作
3
审核和检查
3
二级
测评项数 2 1 2 1 2 2 1 1 2
1
2 1 1 1 4 1 1 1 3
3
4
3
1 5 1 1 0 2 1 2 2 2 0
0
1
2
2 1 2 1 2 3 1
人员录用
3
2
人员离岗
2
1
安全管理人员
安全意识教育和培训
3
1
外部人员访问管理
4
3
定级和备案
2
1
密码管理
2
2
并更管理
3
1
备份与恢复管理
3
3
安全事件处置
4
3
应急预案管理
4
2
外包运维管理
4
2
总计
211
135
云计算安全扩展要求
安全技术要求
安全管理要求
分类安全物理环境安全通信网络安全区域边界
安全计算环境
安全管理中心安全建设管理安全运维管理
三级
安全控制点基础设施位置
网络架构访问控制入侵防范安全审计身份鉴别访问控制入侵防范镜像和快照保护数据完整性和保
安全技术要求
安全管理要求
分类安全物理环境安全区域边界
安全计算环境安全运维管理
三级
安全控制点感知节点设备物
理防护接入控制入侵防范感知节点设备安网关节点设备安抗数据重放数据融合处理感知节点管理
测评项数
4
1 2 3 4 2 1 3
二级
测评项数

(完整版)等保2.0三级需要的设备

三级系统安全保护环境基本要求与对应产品
使用范围
基本要求
产品类型Байду номын сангаас例
安全计算环境
身份鉴别
堡垒机、VPN、主机配置项
访问控制（权限分离）
主机配置项+下一代防火墙、VPN、运维堡垒机
安全审计
下一代防火墙、日志审计系统
入侵防范
主机配置项+IPS、安全感知平台、EDR、主机入侵检测产品（HIDS）
恶意代码防范
通讯传输
VPN设备、SSL
可信验证
重要应用程序的动态可信验证
安全管理中心
系统管理
运维堡垒主机、安全管理平台
审计管理（网络、主机、应用）
安全审计系统、运维堡垒主机、数据库审计、日志审计
安全管理
运维堡垒主机、APM
集中管理
运维堡垒主机、主机安全管理平台、态势感知
主机安全组件（EDR）、网络版防病毒软件
可信验证
重要应用程序的动态可信验证
数据完整性
VPN、CA、系统使用HTTPS,SSL
数据保密性
VPN、数据加密软件
数据备份恢复
数据备份软件+容灾备份系统、HCIXYClouds、热备
剩余信息保护
终端综合管理系统
个人信息保护
行为审计
安全区域边界
边界防护
下一代防火墙、安全感知平台
访问控制
下一代防火墙、上网行为管理
入侵防范
IPS、安全感知平台、IDS
恶意代码和垃圾邮件防范
下一代防火墙+AV模块、邮件安全网关、防病毒网关、沙箱
安全审计
日志审计系统、上网行为管理、下一代防火墙、SSL VPN
可信验证

(完整版)等保2.0二级通用测评要求

1安全物理环境1.1物理位置选择本项要求包括：a）机房场地应选择在具有防震、防风和防雨等能力的建筑内；b）机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。

1.2物理访问控制机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员。

1.3防盗窃和防破坏本项要求包括：a）应将设备或主要部件进行固定，并设置明显的不易除去的标识；b）应将通信线缆铺设在隐蔽安全处。

1.4防雷击应将各类机柜、设施和设备等通过接地系统安全接地。

1.5防火本项要求包括：a）机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；b）机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。

1.6防水和防潮本项要求包括：a）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；b）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。

1.7防静电应采用防静电地板或地面并采用必要的接地防静电措施。

1.8温湿度控制应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范園之内。

1.9电力供应本项要求包括：a）应在机房供电线路上配置稳压器和过电压防护设备；b）应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求。

1.10电磁防护电源线和通信线缆应隔离铺设，避免互相干扰。

2安全通信网络2.1网络架构本项要求包括：a）应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；b）应避免将重要络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

2.2通信传输应采用校验技术保证通信过程中数据的完整性。

2.3可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

3安全区域边界3.1边界防护应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

等保2.0测评高风险判定指引-安全计算环境

3、使用截获的 5、可根据被测对输过程中被
帐号可远程登录象的作用以及重要窃听
1、如设备通过
本地登录方式
（非网络方式）
维护，本地物理
环境可控，可酌
情降低风险等级
。
2、采用两重用
户名/口令认证
措施（两重口令
不同），例如身
份认证服务器、
堡垒机等手段，
可酌情降低风险
1、3级及以上系等级。
统；
3、如设备所在
网络设备、安全设备、操作系统、数据库等存在空口令或弱口令帐户，并可通过该弱口令帐户登录，可判定为高风险
所有系统
登录失败处理
应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
可通过互联网登录的应用系统未提供任何登录失败处理措施，攻击者可进行口令猜测，可判定为高风险
所有系统 3级及以上系统所有系统。
测试发现漏洞修补
应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞
通过验证测试或渗透测试能够确认并利用的，可对网络设备、安全设备、操作系统、数据库等造成重大安全隐患的漏洞（包括但不限于缓冲区溢出、提权漏洞、远程代码执行、严重逻辑缺陷、
入侵防范
数据有效性检验功能
已知重大漏洞修补
测试发现漏洞修补
应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求
应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞
应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞

等保2.0二级三级网络安全产品等保对标表

序号 1 2 3 4 5 6 7
8
9 10 11 12 13 16 17 14 15
部署意见必须必须必须必须建议建议建议
建议建议建议ຫໍສະໝຸດ 建议建议建议建议建议建议建议
安全产品防火墙/UTM/下一代防火墙/网闸网络审计系统/ 堡垒主机日志审计系统网络版杀毒软件（推荐安装） IDS/IPS/ 抗APT攻击系统防病毒网关/UTM和下一代防火墙（开通AV 功能）（若无防病毒软件则必须）数据审计系统流量回溯系统网络漏扫系统/数据库漏扫系统/web漏扫主机免疫系统数据备份一体机 VPN（若有远程管理业务）抗DDOS系统数据防泄漏系统数据脱敏系统

等保2.0 测评项目清单内容 228项清单

等保2.0 是指信息系统安全等级保护2.0的缩写，是我国信息安全领域的重要标准之一。

为了评估一个信息系统是否符合等保2.0的标准，就需要进行等保2.0的测评。

而在进行等保2.0的测评时，就需要使用到228项的测评项目清单。

下面就来详细介绍一下等保2.0测评项目清单的内容。

一、网络安全1. 网络安全管理制度是否健全2. 网络安全保护技术是否到位3. 网络边界安全防护能力是否强化4. 网络安全监测和预警系统是否完善5. 网络安全事件应急响应能力是否有保障二、数据安全1. 数据安全管理制度是否健全2. 数据备份与恢复是否得当3. 数据加密技术是否应用到位4. 数据安全监测和预警系统是否完善5. 数据泄露风险防范能力是否符合要求三、应用安全1. 应用系统安全管理制度是否健全2. 应用系统权限控制是否有效3. 应用系统漏洞管理是否及时4. 应用系统安全防护技术是否到位5. 应用系统安全审计与监测能力是否完善四、系统安全1. 操作系统安全配置是否合规2. 系统基线配置是否达标3. 系统安全防护能力是否强化4. 系统漏洞管理是否及时5. 系统安全审计和监测系统是否完善五、物理安全1. 机房和设备的物理安全控制是否符合要求2. 机房和设备的入侵检测与防范能力是否到位3. 机房和设备的监控与报警系统是否完善4. 机房和设备的灾备和可用性控制是否有效5. 机房和设备的维护管理制度是否健全六、人员安全1. 信息安全人员的保密意识与责任制度是否健全2. 信息安全人员的权限控制管理是否有效3. 信息安全人员的培训与考核是否得当4. 信息安全事件处置与报告流程是否符合要求5. 信息安全人员的岗位责任是否明确七、管理安全1. 信息安全管理制度是否健全2. 信息安全政策与规范是否完善3. 信息安全管理控制是否有效4. 信息安全内部审核与评估是否及时5. 信息安全管理体系是否符合等保2.0标准要求总结：等保2.0 测评项目清单内容共包括228项清单，涵盖了网络安全、数据安全、应用安全、系统安全、物理安全、人员安全和管理安全等多个方面。

等保测评2

等保测评2.0标准
等保测评2.0标准是中国国家信息安全等级保护制度的最新版本，于2017年5月发布，旨在评估和管理中国各类信息系统
的安全等级。

该标准主要包括以下七个方面的内容：
1. 安全政策与制度：要求企业建立健全的安全制度和流程，保证安全政策的有效执行。

2. 安全组织架构与管理：要求企业建立明确的安全职责、权限分工和内部监督机制，保持组织架构的合理性。

3. 人员安全管理：要求企业对内部人员的安全管理、培训和考核等工作进行规范和加强。

4. 信息资产管理：要求企业对信息资产的分类和定级、安全保护措施、使用、备份和恢复等方面进行规划和实施。

5. 系统运行管理：要求企业对系统的配置、安装、维护和更新等方面进行规划和管理，保证系统的稳定性和安全性。

6. 控制与防护措施：要求企业采取适当的技术和管理控制措施，保障业务安全和系统防护。

7. 应急响应与恢复：要求企业制定健全的应急响应和恢复预案，及时应对安全事件。

以上七个方面是等保测评2.0标准的核心内容，企业需根据自
身特点和需求，制定相应的安全管理体系和措施，提高信息系统安全等级和保障水平。

网络安全等级保护V2.0测评指标

b）应能够建立一条安全的信息传输路径，对网络中的安全设备或组件进行管理；
c）应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；
d）应对分散在各个设备上的审计数据进行收集汇总和集中分析；
e）应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；
f）应对网络中发生的各类安全事件进行识别、报警和分析。
6、安全管理机构和人员
7、安全建设管理
8、安全运维管理
网络安全等级保护（等保V2.0）
测评类
测评项
测评指标
物理和环境安全
物理位置选择
a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内；
b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。
物理访问控制
a）机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。
边界防护
a）应保证跨越边界的访问和数据流通过边界防护设备提供的受控接地进行通信
b）应能够对非授权设备私自联到内部网络的行为进行限制或检查；
c）应能够对内部用户非授权联到外部网络的行为进行限制或检查；
d）应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部往来；
访问控制
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；
c) 应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；
d) 应避免将重要网络区域部署在网络边界处且没有边界防护措施；
e) 应提供通信线路、关键网络设备的硬件冗余，保证系统的可用性。
通信传输
a) 应采用校验码技术或加解密技术保证通信过程中数据的完整性；
b) 应采用加解密技术保证通信过程中敏感信息字段或整个报文的保密性。