等保二级和三级差异整理

三级要求同二级
工程实施（G3） 三级要求制定工程实施方面的管理制度
测试验收（G3） 三级要求指定专门部门负责系统测试验收的管理
系统交付（G3） 三级要求指定专门部门负责系统交付的管理工作
系统备案（G3） 三级要求对信息系统的等级进行备案工作
等级测评（G3）
三级要求对信息系统进行等级测评工作，并由指定的 测评单位进行测评
三级要求对应用系统的剩余信息进行保护
通信完整性 应用安全 （S3）
三级要求同二级
通信保密性 （S3）
三级要求同二级
抗抵赖（G3） 二级要求能对应用系统的用户操作证据的功能
软件容错（A3）
资源控制（A3）
数据完整性 （S3） 数据安全 数据保密性 及备份恢 （S3） 复 备份和恢复 （A3）
三级要求应用系统提供自动保护功能，当故障发生时 自动保护当前所有状态，保证系统能够进行恢复 三级要求对应用系统的资源使用进行优先级分配系统 资源 三级要求测到重要数据传输过程、存储中完整性受到 破坏时能采取恢复措施
系统灾备
二级仅要求检测到重要数据传输过程中完整性受到破 坏
系统灾备
二级仅要求采用加密或其他保护措施实现鉴别信息的 存储保密性
核心网络设备、重要 二级仅要求对重要信息进备份恢复，并提供关键网络 业务网络、重要服务 设备、通信线路、数据处理系统的荣誉 器等灾备冗余
管理要求
应用程序开发考虑
应用程序开发考虑
二级仅要求对外部人员访问需审批，专人陪同并登记 二级仅要求对信息系统定级并进过相关部门的批准
安全方案设计 （G3）
三级要求定期进行等级测评和安全评估
产品采购和使用 （G3）
三级要求定期对产品进行选型测试
自行软件开发 （G3）
三级要求制定软件编写安全规范，并对程序资源库的 修改、更新、发布进行审批
系统建设 外包软件开发 管理 （G3）
电力供应（A3） 三级要求电路冗余及建立备用供电系统
电磁防护（S3） 三级要求对关键设备进行电磁屏蔽
自动灭火装置,机房建 设时考虑
二级仅要求设置灭火设备和火灾报警系统
漏水检测设施
二级仅要求防水设计
防静电地板
二级仅要求必要的接地防静电
同二级要求
二级要求温湿度检测并控制
主供电线路冗余、UPS 电源
二级仅要求供电稳定及保护
二级仅要求建立审批制度及审批流程
二级仅要求加强内部及兄弟单位、公安机关、电信公 司的合作与沟通 二级仅要求安全管理员进行定期的安全检查
二级仅要求对人员录用进行审查，并与关键岗位人员 签署保密协议
二级仅要求人员离岗后收回各种业务关联证件、工具 及设备 二级仅要求定期对岗位人员进行考核
二级仅要求定期对岗位人员进行培训
机房建设时考虑
二级仅要求电力线路和通信线路隔离铺设
机房建设时考虑
机房日常管理
机房日常管理 避雷针，电力线路接 地 灭火器 机房建设时考虑 机房日常管理 精密空调、温湿度检 测设施 UPS电源 机房建设时考虑
结构安全（G3）
三级要求采用可靠的技术手段隔离重要网段与外部信 息系统，并对带宽按优先级进行分配
三级要求对内部用户联接外部网络进行检查、定位， 并必要时进行有效阻断。对外部用户非法联接内部网 络进行检查、定位，并必要时进行有效阻断。
三级要求对网络边界处的攻击行为进行记录并报警
三级要求在网络边界处对恶意代码进行检测和清除。
防火墙规则设置
二级仅要求对网络边界进行访问控制
上网行为管理设备规 二级仅要求对网络设备运行状况、网络流量、用户行
二级仅要求在制度存在不足时进行修订
二级仅要求明确信息安全管理人员岗位、职责，并设 立设立系统管理员、网络管理员、安全管理员等岗位
人员配备（G3）
三级要求配备专职安全管理员，且关键事务岗位配备 多人共同管理
安全管理 机构 授权和审批 （G3）
三级要求对审批的过程记录并保存审批文档
沟通和合作 （G3）
三级要求采用加密或其他保护措施实现鉴别信息的传 输、存储保密性
三级要求提供异地数据备份功能，并采用冗余技术设 计网络拓扑结构
堡垒主机（运维网关
、安全管理平台）类 二级仅要求对用户访问进行控制
设备
数据库审计、综合审 二级仅要求对应用系统的重要安全事件进行审计，并
计类产品
保证审计记录不被破坏
应用程序开发考虑 二级未要求应用系统的剩余信息保护
二级仅要求建立信息安全管理制度
安全管理 制度 制定和发布 （G3）
三级要求将制定的信息安全制度通过正式的发布
评审和修订 （G3）
三级要求信息安全领导小组定期组织人员对制度体系 进行审定，并对不足之处进行修订
岗位设置（G3）
三级要求成立信息安全领导小组，并明确各成员岗位 职责
二级仅要求将制定的信息安全管理制度发布给相关人 员
资产管理（G3）
三级要求对资产的重要程度进行分类和表示，进行规 范化管理
介质管理（G3）
三级要求对介质进行定期清点管理，并对重要数据介 质进行备份
设备管理（G3） 三级要求制定专门的设备管理制度并执行
监控管理和安全 管理中心（G3）
三级要求对机房设备运行情况、用户行为等进行监控 管理并记录，同时定期对记录进行分析，并建立安全 管理中心，对安全相关事项进行集中管理
二级未对监控管理和安全管理中心作出要求
二级仅要求制定网络安全管理制度，指定人员管理、 定期维护网络，并对软硬件设备进行更新维护，定期 备份网络设备的配置文件
系统运维 管理
系统安全管理 （G3）
三级要求划分系统管理员，指定专人对系统进行管理
二级仅要求建立系统安全管理制度，对确定系统的访 问策略，并定期对系统的运行日志及审计数据进行分 析
三级要求安装监控报警系统
监控系统
二级仅要求设备固定、标识，及必要报警设施
防雷击（G3） 三级要求安装设备防止感应雷
防雷保安器
二级仅要求安装避雷装置及交流接地
物理安全 防火（G3）
防水和防潮 （G3） 防静电（G3）
温湿度控制 （G3）
Βιβλιοθήκη Baidu
三级要求建筑材料防火及区域防火隔离 三级要求对机房进行防水检测和报警 三级要求采用防静电地板 三级要求同二级
则设置
为等进行日志记录
上网行为管理设备规 则设置
二级仅要求内部用户联接外部网络进行检查
入侵防御设备（设备 非模块）
二级仅要求在网络边界处进行攻击行为监视
防病毒网关设备
二级未要求网络边界处进行恶意代码防范
防火墙设备
上网行为管理设备
上网行为管理设备 防火墙设备所带入侵 防御模块 未要求
网络设备防护 （G3）
安全服务商选择 （G3）
三级要求同二级
二级仅要求形成系统的安全方案，并对方案进行论证 、审批后正式实施
二级仅要求指定专门部门负责产品的采购
二级仅要求对自行软件开发的单位制定软件开发管理 制度，并提供相关文档由专人保管
二级要求外包单位提供设计文档并提供源代码，同时 在软件安装之前检测软件包中可能存在的恶意代码 二级仅要求在工程实施中制定详细的工程实施方案， 控制工程实施过程
终端日常管理
访问控制（S3） 三级要求对重要信息资源的操作进行记录并审计
堡垒主机（运维网关 、安全管理平台）类 设备
二级仅要求对主机资源的访问进行控制，并权限分离 （重要服务器）
终端日常管理
安全审计（G3）
三级要求对审计记录分析，生成审计报表，并防止审 计进程的未预期中断
终端安全类产品
二级仅要求对主机用户的行为、系统资源使用、重要 系统命令等记录进行审计，并避免审计记录的破坏
安全意识教育和 培训（G3）
三级要求对培训记录进行保存
外部人员访问管 三级要求对外部人员允许访问的区域、系统、设备、
理（G3）
信息等进行书面规定，并执行
系统定级（G3）
三级要求组织相关部门和有关安全技术专家对信息系 统定级结果的合理性和正确性进行论证和审定
二级仅要求安全管理员不得兼任网络管理员、系统管 理员、数据库管理员等
要求项
物理位置的选择 （G3）
第三级要求
三级要求避免在建筑的高层或地下室、以及靠近用水 设备
技术要求
避免机房设在高层或 地下室
二级仅要求防震、防风和防雨
第二级要求
物理访问控制 （G3）
三级要求区域划分及隔离，并要求配置电子门禁系统 电子门禁系统
二级仅要求对进出人员进行管理和记录
防盗窃和防破坏 （G3）
杀毒软件与防病毒网 关使用不同制造商产 品
二级仅要求主机安装恶意代码防范软件，并支持软件 的统一管理
企业版杀毒软件
资源控制（A3）
三级要求对重要服务器的资源使用进行监视，对系统 服务水平进行监控和报警
堡垒主机（运维网关 、安全管理平台）类 二级仅要求对主机的接入及资源消耗进行监测和管理 设备
终端日常管理
未要求 应用程序通信保障， 外部网络用户连接应 用系统的考虑使用VPN 加密通道技术 应用程序通信保障， 外部网络用户连接应 用系统的考虑使用VPN 加密通道技术
未要求
应用程序开发考虑
应用程序开发考虑
系统建设时考虑
系统建设时考虑
重要数据库等定期备 份
管理制度（G3） 三级要求建立信息安全管理制度体系
身份鉴别（S3） 三级要求使用至少两种技术来鉴别用户身份
堡垒主机（运维网关 、安全管理平台）类 设备
二级仅要求对主机登录用户的身份表示和鉴别，并对 鉴别出的非法用户进行管控
应用程序开发考虑
访问控制（S3） 三级要求对重要信息资源的操作进行记录
安全审计（G3）
剩余信息保护 （S3）
三级要求对审计记录分析，生成审计报表，并防止审 计进程的未预期中断
同二级要求
二级要求技术保证通信过程中数据的完整性
同二级要求
二级要求技术保证通信过程中数据的保密性
堡垒主机（运维网关
、安全管理平台）类 二级未要求应用系统的抗抵赖性
设备
设备、系统灾备冗余
二级仅要求应用系统提供数据有效性检验功能，并在 故障发生时，应用系统应能够继续提供一部分功能，
服务器虚拟化技术等 二级仅要求应用系统的会话和资源使用进行控制
网络安全管理 （G3）
三级要求对非法接入设备及内部人员非法外联网络进 行管控
系统运维
二级仅要求对机房设施管理、人员出入、安全管理进 行控制
二级仅要求编制与信息系统相关的资产清单，并规定 资产管理制度
二级仅要求数据存储等介质进行分类，归档、查询、 维修、销毁等进行记录，并保护其中的敏感数据
二级仅要求对设备的维护、采购、领用、操作等进行 规范化管理
二级仅要求制定系统的验收方案并形成验收报告
二级仅要求系统交付时要制定系统交付清单并清点， 要对技术人员培训并提供系统相关文档 二级未对系统备案做强制要求 二级未对信息系统的等级测评工作做强制要求
二级要求选定安全服务商，并与服务商签订服务协议
环境管理（G3）
三级要求由专门部门负责机房安全并对机房设施管理 、人员出入、安全管理进行控制
终端安全类产品
主机安全 剩余信息保护 （S3）
三级要求对主机硬盘及内存上的剩余信息进行保护
终端安全类产品
二级未要求主机剩余信息保护
未要求
入侵防范（G3） 三级要求对入侵行为进行记录并报警
终端安全类产品
二级仅要求对主机操作系统的漏洞进行补丁更新
终端安全类产品、漏 洞扫描设备
恶意代码防范 （G3）
三级要求主机恶意代码防范软件与边界恶意代码防范 产品使用不同的恶意代码库（差异互补的原则）
三级要求对主要网络设备用户使用至少两种技术进行 身份鉴别，并对特权用户权限分离。
堡垒主机（运维网关 、安全管理平台）类 设备
二级仅要求对网络设备的用户进行身份鉴别，并对网 络设备的登录及管理进行控制。
网络日常管理
身份鉴别（S3） 三级要求对不同主机用户进行区分识别
终端安全类产品
二级仅要求对主机的用户进行身份鉴别，并对主机的 登录及管理进行控制。
网闸（信息交换与隔 二级仅要求关键网络设备、带宽具备冗余，并绘制网
离系统）
络拓扑结构图，划分网段
网络日常管理
访问控制（G3）
安全审计（G3）
边界完整性检查 （S3）
网络安全 入侵防范（G3） 恶意代码防范 （G3）
三级要求加强访问控制，并对网络信息内容进行过 滤，同时对重要网段防止地址欺骗
三级要求对日志记录进行审计，并对审计记录进行保 护
恶意代码防范管 三级要求对恶意代码防范情况进行定期的审计和分析
理（G3）
并形成书面的报告
密码管理（G3） 三级要求建立密码使用管理制度
变更管理（G3）
三级要求建立变更管理制度，并对变更过程进行控制 、记录并审计
备份与恢复管理 三级要求对数据备份和恢复过程进行记录并保存，并
审核和检查 （G3）
三级要求加强专业人员、单位及外联单位的合作与沟 通、并聘请专职的安全顾问
三级要求组织定期进行安全检查并形成安全报告
人员录用（G3） 三级要求关键岗位人员应从内部人员选拔
人员离岗（G3） 三级要求关键岗位人员离岗前要承诺保密义务
人员安全 管理 人员考核（G3） 三级要求对考核记录进行保存