等保2.0二级要求
等保2.0基本要求-各级对比
应保证跨越边界的访问和数据流 通过边界设备提供的受控接口进 行通信。
a) 应划分不同的网络区域,并按 照方便管理和控制的原则为各网 络区域分配地址;
a) 应保证网络设备的业务处理能力满 足业务高峰期需要; b) 应保证网络各个部分的带宽满足业 务高峰期需要;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访 问控制规则数量最小化;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访问 控制规则数量最小化;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访问 控制规则数量最小化;
c) 应对源地址、目的地址、源端 口、目的端口和协议等进行检 查,以允许/拒绝数据包进出。
7.1.1.10 电磁防护
8.1.1.10 电磁防护
d)应提供应急供电设施。 9.1.1.10 电磁防护
电源线和通信线缆应隔离铺设, 避免互相干扰。
a)电源线和通信线缆应隔离铺设,避 免互相干扰;
a)电源线和通信线缆应隔离铺设,避 免互相干扰;
b)应对关键设备实施电磁屏蔽。
b)应对关键设备或关键区实施电磁屏 蔽。
c)应划分不同的网络区域,并按照方 便管理和控制的原则为各网络区域分 配地址;
a) 应保证网络设备的业务处理能力满 足业务高峰期需要; b) 应保证网络各个部分的带宽满足业 务高峰期需要;
c)应划分不同的网络区域,并按照方 便管理和控制的原则为各网络区域分 配地址;
b) 应避免将重要网络区域部署在 边界处,重要网络区域与其他网 络区域之间应采取可靠的技术隔 离手段。
c) 应安装对水敏感的检测仪表或元 件,对机房进行防水检测和报警。
(完整版)等保2.0二级通用测评要求
1安全物理环境1.1物理位置选择本项要求包括:a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
1.2物理访问控制机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。
1.3防盗窃和防破坏本项要求包括:a)应将设备或主要部件进行固定,并设置明显的不易除去的标识;b)应将通信线缆铺设在隐蔽安全处。
1.4防雷击应将各类机柜、设施和设备等通过接地系统安全接地。
1.5防火本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
1.6防水和防潮本项要求包括:a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
1.7防静电应采用防静电地板或地面并采用必要的接地防静电措施。
1.8温湿度控制应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范園之内。
1.9电力供应本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。
1.10电磁防护电源线和通信线缆应隔离铺设,避免互相干扰。
2安全通信网络2.1网络架构本项要求包括:a)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;b)应避免将重要络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
2.2通信传输应采用校验技术保证通信过程中数据的完整性。
2.3可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
3安全区域边界3.1边界防护应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
等保2.0的各级别的高风险项的归纳总结
判例场景(任意):
1)机房无短期备用电力供应设备,例如UPS、柴油发电机、应急供电车等;
2)机房现有备用电力供应无法满足定级对象短期正常运行。
5
应提供应急供电设施
机房应急供电措施缺失
高可用性的四级系统
判例场景(任意):
1)机房未配备应急供电设施,例如柴油发电机、应急供电车等;
2)应急供电措施不可用或无法满足定级对象正常运行需求。
二级及以上系统
判例场景(任意):
1)关键网络设备、关键安全设备、关键主机设备(包括操作系统、数据库等)的重要操作、安全事件日志可被非预期删除、修改或覆盖等;
2)关键网络设备、关键安全设备、关键主机设备(包括操作系统、数据库等)的重要操作、安全事件日志的留存时间不满足法律法规规定的要求(不少于六个月)
等保2.0的各级别的高风险项的归纳总结,以及对应满足条件说明
序号
层面
控制点
控制项
对应案例
适用范围
满足条件
1
安全物理环境
物理访问控制
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员
机房出入口访问控制措施缺失
二级及以上系统
机房出入口无任何访问控制措施,例如未安装电子或机械门锁(包括机房大门处于未上锁状态)、无专人值守等。
判例场景(所有):
1)应用系统存在SQL注入、跨站脚本、上传漏洞等可能导致敏感数据泄露、网页篡改、服务器被入侵等安全事件的发生,造成严重后果的高危漏洞;
2)未采取WEB应用防火墙、云盾等技术防护手段对高危漏洞进行防范。
判例场景(所有):
1)应用系统无任何日志审计功能,无法对重要的用户行为和重要安全事件进行审计;
2)未采取其他审计措施或其他审计措施存在漏记、旁路等缺陷,无法对应用系统重要的用户行为和重要安全事件进行溯源。
(完整版)等保2.0二级通用测评要求
1安全物理环境1.1 物理地点选择本项要求包含:a)机房场所应选择在拥有防震、防风和防雨等能力的建筑内;b)机房场所应防止设在建筑物的顶层或地下室,不然应增强防水和防潮措施。
1.2 物理接见控制机房进出口应安排专人值守或配置电子门禁系统,控制、鉴识和记录进入的人员。
1.3 防偷窃和防损坏本项要求包含:a)应将设备或主要零件进行不变,并设置明显的不易除掉的表记;b)应将通讯线缆铺设在隐蔽安全处。
1.4 防雷击应将各种机柜、设备和设备等经过接地系统安全接地。
1.5 防火本项要求包含:a)机房应设置火灾自动消防系统,可以自动检测火情、自动报警,并自动灭火; b)机房及有关的工作房间和协助房应采纳拥有耐火等级的建筑资料。
1.6 防水和防潮本项要求包含:a)应采纳举措防备雨水经过机房窗户、屋顶和墙壁浸透;b)应采纳举措防备机房内水蒸气结露和地下积水的转移与浸透。
1.7 防静电应采纳防静电地板或地面并采纳必需的接地防静电举措。
1.8 温湿度控制应设置温湿度自动调理设备,使机房温湿度的变化在设备运转所同意的范園以内。
1.9 电力供给本项要求包含:a)应在机房供电线路上配置稳压器和过电压防备设备;b)应供给短期的备用电力供给,起码知足设备在断电状况下的正常运转要求。
1.10 电磁防备电源线和通讯线缆应隔绝铺设,防止相互扰乱。
2安全通讯网络2.1 网络架构本项要求包含:a)应区分例外的网络地区,并依照方便管理和控制的原则为各网络地区分派地点; b)应防止将严重络地区部署在界限处,严重网络地区与其余网络地区之间应采纳靠谱的技术隔绝手段。
2.2 通讯传输应采纳校验技术保证通讯过程中数据的完好性。
2.3 可信考证可鉴于可信根对通讯设备的系统指引程序、系统程序、严重配置参数和通讯应用程序等进行可信考证,并在检测到其可信性遇到损坏后进行报警,并将考证结果形成审计记录送至安全管理中心。
3 安全地区界限3.1 界限防备应保证超越界限的接见和数据流经过界限设备供给的受控接口进行通讯。
等保2.0测评项基本要求(安全通用要求二级 三级对比)
或限制;
d) 应限制无线网络的使用,
保证无线网络通过受控的边界
设备接入内部网络。
a) 应在网络边界或区域之间 a) 应在网络边界或区域之间
根据访问控制策略设置访问控 根据访问控制策略设置访问控
制规则,默认情况下除允许通 制规则,默认情况下除允许通
信外受控接口拒绝所有通信; 信外受控接口拒绝所有通信;
防破 全处;
全处;Biblioteka 坏 c)应设置机房防盗报警系统或
设置有专人值守的视频监控系
a)应将各类机柜、设施和设 a)应将各类机柜、设施和设
防雷 击
备等通过接地系统安全接地; b)应采取措施防止感应雷, 例如设置防雷保安器或过压保
备等通过接地系统安全接地;
护装置等。
a)机房应设置火灾自动消防 a)机房应设置火灾自动消防
坏后进行报警,并将验证结果 成审计记录送至安全管理中心
形成审计记录送至安全管理中 。 a) 应采用校验技术或密码技
术保证重要数据在传输过程中
的完整性,包括但不限于鉴别 a) 应采用校验技术保证重要
数据、重要业务数据、重要审 数据在传输过程中的完整性。
数据 计数据、重要配置数据、重要
完整 性
视频数据和重要个人信息等; b) 应采用校验技术或密码技
防静 电
采用必要的接地防静电措施; b) 应采取措施防止静电的产 生,例如采用静电消除器、佩
采用必要的接地防静电措施;
戴防静电手环等。
温湿 a)应设置温湿度自动调节设 a)应设置温湿度自动调节设
度控 施,使机房温湿度的变化在设 施,使机房温湿度的变化在设
制 备运行所允许的范围之内。 备运行所允许的范围之内。
e) 应提供通信线路、关键网
等保2.0二级的通用控制点和要求项
等保2.0二级的通用控制点和要求项1.引言等保2.0是指中国信息安全等级保护标准第二版,为了进一步加强网络空间信息安全防护,提升我国网络安全等级保护能力,等保2.0发布并实施。
在等保2.0中,通用控制点和要求项是保护信息系统安全的基础,对于各类企事业单位具有重要的指导意义。
2.通用控制点概述通用控制点是等保2.0要求实施的安全控制要点,用于确保信息系统达到一定的安全性。
通用控制点包括以下几个方面:2.1物理安全控制物理安全控制是指对信息系统的物理环境进行保护,防止非授权人员进入或者破坏信息系统设备、介质等。
在等保2.0中,物理安全控制要求包括:-控制访问入口,设置门禁系统,并进行严格的身份验证;-对关键设备、机房进行监控,确保设备的安全;-对机房进行定期巡检,发现问题及时处理。
2.2人员管理控制人员管理控制是指对参与信息系统操作和维护的人员进行管理和监控,确保人员的行为符合安全要求。
在等保 2.0中,人员管理控制要求包括:-明确人员权限,并进行权限分级管理;-对人员进行安全管理培训,提高其安全意识;-制定人员操作规范和管理制度,监控人员行为。
2.3安全运维控制安全运维控制是指对信息系统的运维过程进行安全管理,确保系统处于安全的状态。
在等保2.0中,安全运维控制要求包括:-定期对系统进行漏洞扫描和安全风险评估;-及时修补系统漏洞,并记录修补过程;-制定系统运维手册,确保运维过程规范可控。
3.要求项解析要求项是等保2.0中对通用控制点实施的具体要求和细则,是实现通用控制点的关键。
以下是等保2.0二级的通用控制点和要求项的详细解析:3.1物理安全相关要求-要求项1:设置门禁系统,并记录人员进出门禁的情况。
-要求项2:对机房内的设备进行定期巡检,确保设备完好无损。
-要求项3:制定机房进出管理规定,确保非授权人员无法进入机房。
3.2人员管理相关要求-要求项1:制定人员权限管理制度,明确人员的权限范围。
-要求项2:对参与信息系统操作和维护的人员进行背景审查。
等保2.0测评项基本要求(移动互联安全扩展要求二级 三级对比)
个认证密钥;
个认证密钥;
f) 应能够阻断非授权无线
接入设备或非授权移动终端
a) 应保证移动终端安装、
注册并运行终端管理客户端
移动终端 管控
软件; b) 移动终端应接受移动终
端管理服务端的设备生命周
期管理、设备远程控制,
如:远程锁定、远程擦除等
a) 应具有选择应用软件安 a) 应具有选择应用软件安
装、运行的功能;
安全 物
理环
安全 区
域边 界
安全 计
算环 境
安全 建
设管 理
无线接入 点的物理
位置
三级要求 a) 应为无线接入设备的安 装选择合理位置,避免过度 覆盖和电磁干扰。
二级要求 a) 应为无线接入设备的安 装选择合理位置,避免过度 覆盖和电磁干扰。
a) 应保证有线网络与无线 a) 应保证有线网络与无线
边界防护 网络边界之间的访问和数据 网络边界之间的访问和数据
流通过无线接入网关设备。 流通过无线接入网关设备。
Байду номын сангаасa) 无线接入设备应开启接 a) 无线接入设备应开启接
访问控制
入认证功能,并支持采用认 证服务器认证或国家密码管
入认证功能,并且禁止使用 WEP方式进行认证,如使用
理机构批准的密码模块进行 口令,长度不小于8位字符
a) 应能够检测到非授权无 a) 应能够检测到非授权无
软件开发 b) 应保证开发移动业务应 b) 应保证开发移动业务应
用软件的签名证书合法性。 用软件的签名证书合法性。
a) 应建立合法无线接入设
配置管理
备和合法移动终端配置库, 用于对非法无线接入设备和
非法移动终端的识别。
等保2.0测评项基本要求(物联网安全扩展要求二级 三级对比)
通信的目标地址,以避免对 通信的目标地址,以避免对
陌生地址的攻击行为。
陌生地址的攻击行为。
a) 应保证只有授权的用户
可以对感知节点设备上的软
件应用进行配置或变更;
感知节点 设备安全
b) 应具有对其连接的网关 节点设备(包括读卡器)进 行身份标识和鉴别的能力;
c) 应具有对其连接的其他
感知节点设备(包括路由节
感知节点 署、携带、维修、丢失和报 署、携带、维修、丢失和报
管理 废等过程作出明确规定,并 废等过程作出明确规定,并
进行全程管理;
进行全程管理;
c) 应加强对感知节点设备
、网关节点设备部署环境的
保密性管理,包括负责检查
和维护的人员调离工作岗位
应立即交还相关检查工具和
检查维护记录等。
20
7
知节点设备、网关节点设备 知节点设备、网关节点设备
的部署环境,对可能影响感 的部署环境,对可能影响感
知节点设备、网关节点设备 知节点设备、网关节点设备
正常工作的环境异常进行记 正常工作的环境异常进行记
b) 应对感知节点设备、网 b) 应对感知节点设备、网
关节点设备入库、存储、部 关节点设备入库、存储、部
安全 物理 环境
安全 区域 边界
安全 计算 环境
三级要求
二级要求
a) 感知节点设备所处的物 a) 感知节点设备所处的物
理环境应不对感知节点设备 理环境应不对感知节点设备
造成物理破坏,如挤压、强 造成物理破坏,如挤压、强
b) 感知节点设备在工物理环境应能正确反 态所处物理环境应能正确反
a) 应能够鉴别数据的新鲜
抗数据重 性,避免历史数据的重放攻
放
等保2.0测评项基本要求(二级 三级对比概述)
人员配备
2
授权和审批
3
沟通和合作
3
审核和检查
3
二级
测评项数 2 1 2 1 2 2 1 1 2
1
2 1 1 1 4 1 1 1 3
3
4
3
1 5 1 1 0 2 1 2 2 2 0
0
1
2
2 1 2 1 2 3 1
人员录用
3
2
人员离岗
2
1
安全管理人员
安全意识教育和 培训
3
1
外部人员访问管 理
4
3
定级和备案
2
1
密码管理
2
2
并更管理
3
1
备份与恢复管理
3
3
安全事件处置
4
3
应急预案管理
4
2
外包运维管理
4
2
总计
211
135
云计算安全扩展 要求
安全技术要求
安全管理要求
分类 安全物理环境 安全通信网络 安全区域边界
安全计算环境
安全管理中心 安全建设管理 安全运维管理
三级
安全控制点 基础设施位置
网络架构 访问控制 入侵防范 安全审计 身份鉴别 访问控制 入侵防范 镜像和快照保护 数据完整性和保
安全技术要求
安全管理要求
分类 安全物理环境 安全区域边界
安全计算环境 安全运维管理
三级
安全控制点 感知节点设备物
理防护 接入控制 入侵防范 感知节点设备安 网关节点设备安 抗数据重放 数据融合处理 感知节点管理
测评项数
4
1 2 3 4 2 1 3
二级
测评项数
等保2.0测评项基本要求(云计算安全扩展要求二级 三级对比)
可能存在的敏感资源被非法访
a) 应确保云服务客户数据、用 a) 应确保云服务客户数据、
户个人信息等存储于中国境 用户个人信息等存储于中国
内,如需出境应遵循国家相关 境内,如需出境应遵循国家
安全
规定;
相关规定;
计算
b) 应确保只有在云服务客户授 b) 应确保只有在云服务客户
环境
权下,云服务商或第三方才具 授权下,云服务商或第三方
固的操作系统镜像或操作系统 加固的操作系统镜像或操作
安全加固服务;
系统安全加固服务;
镜像和 b) 应提供虚拟机镜像、快照完 b) 应提供虚拟机镜像、快照
快照保 整性校验功能,防止虚拟机镜 完整性校验功能,防止虚拟
护 像被恶意篡改;
机镜像被恶意篡改;
c) 应采取密码技术或其他技术
手段防止虚拟机镜像、快照中
数据完 有云服务客户数据的管理权 才具有云服务客户数据的管
整性和 限;
理权限;
保密性 c) 应使用校验码或密码技术确 c) 应确保虚拟机迁移过程中
保虚拟机迁移过程中重要数据 重要数据的完整性,并在检
的完整性,并在检测到完整性 测到完整性受到破坏时采取
受到破坏时采取必要的恢复措 必要的恢复措施。
d) 应支持云服务客户部署密钥
网络之间的隔离;
拟网络之间的隔离;
c) 应具有根据云服务客户业务 c) 应具有根据云服务客户业
需求提供通信传输、边界防护 务需求提供通信传输、边界
安全 通信 网络
网络架 构
、入侵防范等安全机制的能
力; d) 应具有根据云服务客户业务
防护、入侵防范等安全机制 的能力;
需求自主设置安全策略的能
力,包括定义访间路径、选择
等保二级和三级的认定标准
等保二级和三级的认定标准# 等保二级和三级的认定标准## 一、前言嘿,朋友!你有没有听说过等保呀?等保呢,就是信息安全等级保护的简称。
随着咱们现在网络越来越发达,各种各样的信息系统那是多得数都数不过来。
这些信息系统里可都是有很多重要的数据呢,比如说企业的财务数据、政府部门的政务信息、还有咱们老百姓的一些个人隐私信息之类的。
为了保护这些信息的安全,等保就应运而生啦。
它就像是一个信息安全的守门员,按照不同的标准来给信息系统的安全程度定个等级,这样就能有针对性地保护好这些信息啦。
今天呢,咱们就来好好唠唠等保二级和三级的认定标准,这可对很多单位和组织都非常重要哦。
## 二、适用范围(一)等保二级适用范围等保二级适用的范围还是挺广的。
一般来说呢,像一些小型的企业、或者是普通的商业网站,只要涉及到一定量的用户信息或者是商业数据的,就可能适用等保二级。
比如说,一个小型的电商网站,虽然它可能规模不是特别大,但是它有用户注册登录的功能,存储了用户的姓名、地址、联系方式这些基本信息,还涉及到商品的库存、订单这些商业数据。
这种情况下,这个电商网站就应该按照等保二级的标准来进行安全保护。
说白了,就是只要你的信息系统有点重要的数据,但是规模和影响力又不是超级大的那种,等保二级就比较适合你。
(二)等保三级适用范围等保三级的适用范围可就更上一层楼啦。
像一些中型规模的企业,特别是涉及到金融、医疗、教育等重要行业的信息系统,往往需要达到等保三级的标准。
比如说银行的网上银行系统,这里面可是涉及到大量用户的资金信息啊,像账户余额、交易记录这些,那可都是非常敏感的数据。
还有医院的信息系统,里面有病人的病历、诊断结果、用药信息等隐私信息。
学校的教育管理系统,包含学生的成绩、学籍信息等重要数据。
这些系统一旦出了安全问题,那影响可就大了去了。
所以它们就得按照等保三级的标准来建设和保护自己的信息系统。
## 三、术语定义(一)信息系统这个就很好理解啦,简单说就是由计算机硬件、软件、网络设备、数据等组成的一个有机整体,这个整体是用来处理信息的。
(完整版)等保2.0二级通用测评要求
1安全物理环境1.1物理位置选择本项要求包括:a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
1.2物理访问控制机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。
1.3防盗窃和防破坏本项要求包括:a)应将设备或主要部件进行固定,并设置明显的不易除去的标识;b)应将通信线缆铺设在隐蔽安全处。
1.4防雷击应将各类机柜、设施和设备等通过接地系统安全接地。
1.5防火本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
1.6防水和防潮本项要求包括:a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
1.7防静电应采用防静电地板或地面并采用必要的接地防静电措施。
1.8温湿度控制应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范園之内。
1.9电力供应本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。
1.10电磁防护电源线和通信线缆应隔离铺设,避免互相干扰。
2安全通信网络2.1网络架构本项要求包括:a)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;b)应避免将重要络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
2.2通信传输应采用校验技术保证通信过程中数据的完整性。
2.3可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
3安全区域边界3.1边界防护应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
等保2.0二级安全要求
等保2.0二级安全要求概述等保2.0是指我国信息安全等级保护标准第二版,它是我国对网络安全领域实施的一项重要规范,也是保护国家信息和网络安全的重要措施之一。
其中,等级二是最高的安全等级,要求控制的安全性最为高级,包括技术和管理两个方面。
本文将着重介绍等保2.0二级安全的技术要求,涵盖了网络与安全设备、远程访问控制、应用系统安全、密码加密、数据备份恢复等方面的内容。
网络与安全设备1.安全设备要求配置严格规范,禁用不必要的服务。
2.根据等级保护要求,管理或审计设备的日志。
3.检查配置文件的安全性,及时升级安全设备的的软件和固件。
远程访问控制1.采用实名认证、强密码、会话过期等措施来管理远程访问且禁用默认密码登录。
2.远程访问设备采用加密通信,并使用合理的安全通信协议。
3.限制暴力破解访问密码的尝试次数并保证安全设备访问日志的记录。
应用系统安全1.特别注意对数据库的保护,提高数据访问的控制。
2.处理输入的数据,对输入进行过滤及防XSS,防SQL注入等必要的攻击。
3.减轻服务器的安全风险,对敏感信息进行加密(如HTTPS),并限制软件的安装。
密码加密1.系统用户的口令要求具备一定的强度和复杂度,如长度要求、大小写字母加数字等组合方式。
2.采用加密技术存储口令,确保用户的口令不被其他人窃取或破解。
3.禁止用户直接查看系统口令,并限制口令的生命周期。
数据备份恢复1.采用定期备份数据,进行多重存储和备份,确保数据可靠性和完整性。
2.出现数据所遭受的损失或者意外阻断时,尽快采取相应备份恢复方法,并对数据在恢复过程中的完整性进行验证。
结论本文介绍了等保2.0二级安全的技术要求,这些要求基本涵盖了网络与安全设备、远程访问控制、应用系统安全、密码加密、数据备份恢复等方面的内容。
虽然这些要求的实施难度较高,但只有在这些措施的基础上,才能为我们的网络安全提供有效的保障。
等保二级制度要求标准
等保二级制度要求标准
等保二级制度要求标准主要包括以下几个方面:
1. 物理安全:包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护等。
2. 网络安全:包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。
3. 主机安全:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等。
4. 应用安全:包括身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。
5. 数据安全:包括数据完整性和保密性、数据的备份和恢复。
6. 基本管理要求:通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象。
此外,二级等保测评标准是信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
如需更多详细信息,可以查看国家信息安全等级保护网发布的相关文件。
等保2.0二级三级要求对比
SYSTEM INTEGRATION物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护本项要求包括:a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。
本项要求包括:a)应将设备或主要部件进行固定,并设置明显的不易除去的标识;b)应将通信线缆铺设在隐蔽安全处a)应将各类机柜、设施和设备等通过接地系统安全接地。
本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
本项要求包括:a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
a)应采用防静电地板或地面并采用必要的接地防静电措施。
应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。
电源线和通信线缆应隔离铺设,避免互相干扰。
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。
b)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。
c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
b)应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。
c)应设置冗余或并行的电力电缆线路为计算机系统供电。
b)应对关键设备实施电磁屏蔽。
网络架构通信传输可信验证二级本项要求包括:a)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;b)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
GBT22239-2019信息安全技术网络安全等级保护二级等保2.0各要求控制点解读及测评方法及预期证据
机房所有材料为耐火材料,如使用墙体、防火玻璃等,但使用金属栅栏的不能算符合
c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施
机房内需要进行区域划分并设置隔离防火措施,防止水灾发生后火势蔓延
1)核查是否进行了区域划分
2)核查各区域间是否采取了防火隔离措施
c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警
机房内需要布设对水敏感的检测装置,对渗水、漏水情况进行检测和报警
1)核查是否安装了对水敏感的检测装置
2)核查防水检测和报警装置是否开启并正常运行
1)机房内部署了漏水检测装置,如漏水检测绳等
2)检测和报警工作正常
防静电
a)应采用防静电地板或地面并采用必要的接地防静电措施
在机房内对机柜、各类设施和设备采取接地措施,防止雷击对电子设备产生
损害
核查机房内机柜、设施和设备等是否进行接地处理,通常黄绿色相间的电线为接地用线
机房内所有机柜、设施和设备等均已采取了接地的控制措施
b)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等
在机房内安装防雷保安器或过压保护等装置,防止感应雷对电子设备产生损害
1)机房进行了区域划分,如过渡区、主机房
2)区域间部署了防火隔离装置
防水和防潮
a)应采取措施防止雨水通过机房窗户、 屋顶和墙壁渗透
机房内需要采取防渗漏措施,防止窗户、屋顶和墙壁存在水渗透情况
核查窗户、屋顶和墙壁是否采取了防渗漏的措施
机房采取了防雨水渗透的措施,如封锁了窗户并采取了防水、屋顶和墙壁均采取了防雨水渗透的措施
1)核查机房内是否设置火灾自动消防系统
2)核查火灾自动消防系统是否可以自动检测火情、自动报警并自动灭火
等保2.0测评项基本要求(工业控制系统安全扩展要求二级 三级对比)
用户(人员、软件进程或者设 用户(人员、软件进程或者
备)提供唯一性标识和鉴别; 设备)提供唯一性标识和鉴
无线使 用控制
安全区 域边界
b) 应对所有参与无线通信的 b) 应对所有参与无线通信的
用户(人员、软件进程或者设 用户(人员、软件进程或者
备)进行授权以及执行使用进 设备)进行授权以及执行使
无线使 用控制
d) 应使用专用设备和专用软
件对控制设备进行更新;
e) 应保证控制设备在上线前
经过安全性检测,避免控制设
备固件中存在恶意代码程序。
产品采 a) 工业控制系统重要设备应 a) 工业控制系统重要设备应
购和使 通过专业机构的安全性检测后 通过专业机构的安全性检测
用 方可采购使用。
后方可采购使用。
安全建
a) 应在外包开发合同中规定 a) 应在外包开发合同中规定
体或装置具有透风、散热、 防盗、防雨和防火能力等; b) 室外控制设备放置应远离 强电磁干扰、强热源等环
如无法避免应及时做好应急处 境,如无法避免应及时做好
置及检修,保证设备正常运行 应急处置及检修,保证设备
a) 工业控制系统与企业其他 a) 工业控制系统与企业其他
系统之间应划分为两个区域, 系统之间应划分为两个区
设管理
外包软 件开发
针对开发单位、供应商的约束 条款,包括设备及系统在生命 周期内有关保密、禁止关键技
针对开发单位、供应商的约 束条款,包括设备及系统在 生命周期内有关保密、禁止
术扩散和设备行业专用等方面 关键技术扩散和设备行业专
21
15
域网进行控制指令或相关数 据交换的应采用加密认证技 术手段实现身份认证、访问
数据加密传输。
等保2.0二级要求
7第二级安全要求7、1安全通用要求7、1、1安全物理环境7、1、1、1物理位置选择本项要求包括:a)机房场地应选择在具有防震、防风与防雨等能力得建筑内;ﻫb)机房场地应避免设在建筑物得顶层或地下室,否则应加强防水与防潮措施。
7、1、1、2物理访问控制机房出入口应安排专人值守或配置电子门禁系统。
控制、鉴别与记录进人得人员。
ﻫ7、1、1、3防盗窃与防破坏本项要求包括:a)应将设备或主要部件进行固定,并设置明显得不易擦除得标识;b)应将通信线缆铺设在隐藏安全处。
7、1、1、4防雷击应将各类机柜、设施与设备等通过接地系统安全接地。
7、1、1、5防火本项要求包括:ﻫa)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关得工作房间与辅助房应采用具有耐火等级得建筑材料。
7、1、1、6防水与防潮本项要求包括:ﻫa)应采取措施防止雨水通过机房窗户、屋顶与墙壁渗透;b)应采取措施防止机房水蒸气结露与地下积水得转移与渗透。
ﻫ7、1、1、7防静电应采用防静电地板或地面并采用必要得接地防静电措施。
7、1、1、8温湿度控制应设置温湿度自动调节设施,使机房温湿度得变化在设备运行所允许得范围之内。
7、1、1、9电力供应本项要求包括:a)应在机房供电线路上配置稳压器与过电压防护设备;b)应提供短期得备用电力供应。
至少满足设备在断电情况下得正常运行要求。
7、1、1、10电磁防护电源线与通信线缆应隔离铺设,避免互相干扰。
7、1、2安全通信网络7、1、2、1网络架构本项要求包括:a)应划分不同得网络区域,并按照方便管理与控制得原则为各网络区域分配地址;ﻫﻫb)应避免将重要网络区域部署在边界处,重要网络区域与其她网络区域之间应采取可靠得技术隔离手段。
7、1、2、2 通信传输应采用校验技术保证通信过程中数据得完整性。
7、1、2、3可信验证可基于可信根对通信设备得系统引导程序、系统程序、重要配置参数与通信应用程序等进行可信验证。
等保二级学生数据要求
等保二级学生数据要求等保二级对学生数据的要求呢,就像是给学生数据穿上了一套有一定防护能力的盔甲。
一、数据完整性方面。
1. 数据存储完整性。
学生的基本信息,像姓名、学号、年龄啥的,可不能被随便改得乱七八糟的。
比如说,不能本来叫张三,突然系统里变成李四了。
这就要求在存储这些数据的时候,要有一定的机制保证数据的完整,像有数据校验的功能。
如果数据在存储过程中被损坏了,要有办法发现并且恢复。
对于学生的成绩数据也一样,每一次考试的成绩录入后,要保证它完整地待在数据库里。
不能出现某一科成绩莫名其妙地少了个数字或者多了个乱码。
2. 数据传输完整性。
当学生数据在不同系统之间传输的时候,比如说从学校的教务系统传到后勤系统(可能是为了安排宿舍之类的依据学生信息),得保证数据在传输过程中不会被篡改。
就好像送快递一样,不能在半路上包裹被人拆了然后塞点假东西进去。
要采用加密技术或者校验技术,确保数据从A点到B点还是原汁原味的。
二、数据保密性方面。
1. 访问控制。
不是谁都能随便看学生的数据的。
学校的老师可能根据自己的权限能查看自己班上学生的成绩和基本信息,但不能去看其他班的学生隐私数据。
这就需要有严格的访问控制,就像给不同的人发不同的钥匙,只有特定的钥匙才能打开特定的门(数据资源)。
系统要能够识别用户的身份,并且根据身份分配相应的权限。
像学校的行政人员可能有权限查看全校学生的一些基本统计数据,但涉及到学生的敏感信息,如家庭经济情况等特殊隐私信息,就只有特定的资助部门人员在合法授权的情况下才能查看。
2. 数据加密。
对于一些特别敏感的学生数据,比如学生的身份证号、家庭住址等,在存储和传输的时候最好加密。
这就好比把这些重要的数据放在一个带密码锁的保险箱里。
即使数据不小心被泄露了,如果没有解密的方法,那些拿到数据的人也只能看到一堆乱码,保护了学生的隐私。
三、数据可用性方面。
1. 备份与恢复。
学校得有个备份学生数据的好习惯。
万一系统出了故障,比如说服务器被雷劈了(虽然有点极端哈)或者被黑客攻击了,能够从备份里把学生数据找回来。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7第二级安全要求7.1安全通用要求7.1.1安全物理环境7.1.1.1物理位置选择本项要求包括:a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
7.1.1.2物理访问控制机房出入口应安排专人值守或配置电子门禁系统。
控制、鉴别和记录进人的人员。
7.1.1.3防盗窃和防破坏本项要求包括:a)应将设备或主要部件进行固定,并设置明显的不易擦除的标识;b)应将通信线缆铺设在隐藏安全处。
7.1.1.4防雷击应将各类机柜、设施和设备等通过接地系统安全接地。
7.1.1.5防火本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
7.1.1.6防水和防潮本项要求包括:a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;b)应采取措施防止机房水蒸气结露和地下积水的转移与渗透。
7.1.1.7防静电应采用防静电地板或地面并采用必要的接地防静电措施。
7.1.1.8温湿度控制应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
7.1.1.9电力供应本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应。
至少满足设备在断电情况下的正常运行要求。
7.1.1.10电磁防护电源线和通信线缆应隔离铺设,避免互相干扰。
7.1.2安全通信网络7.1.2.1网络架构本项要求包括:a)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;b)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
7.1.2.2 通信传输应采用校验技术保证通信过程中数据的完整性。
7.1.2.3可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。
并在检测到其可信性受到破坏后进行报警。
并将验证结果形成审计记录送至安全管理中心。
7.1.3安全区域边界7.1.3.1边界防护应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
7.1.3.2访问控制本项要求包括:a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;b)应删除多余或无效的访问控制规则优化访问控制列表,并保证访问控制规则数量最小化;c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。
7.1.3.3入侵防御应在关键网络节点处监视网络攻行为。
7.3.4恶意代码防范应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
7.1.3.5安全审计本项要求包括:a)应在网络边界,重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
7.1.3.6可信验证可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证.并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
7.1.4安全计算环境7.1.4.1身份鉴别本项要求包括:a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性。
身份鉴别信息具有复杂度要求并定期更换;b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
7.1.4.2访问控制a)应对登录的用户分配账户和权限;b)应重命名或删除默认账户,修改默认账户的默认口令;c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;d)应授予管理用户所需的最小权限。
实现管理用户的权限分离。
7.1.4.3安全审计本项要求包括:a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b)审计记录应包括事件的日期和时间、用户、事件类型,事件是否成功及其他与审计相关的信息;c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
7.1.4.4入侵防范本项要求包括:a)应遵循最小安装的原则,仅安装需要的组件和应用程序;b)应关闭不需要的系统服务、默认共享和高危端口;c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;e)应能发现可能存在的已知漏洞。
并在经过充分测试评估后,及时修补漏洞。
7.1.4.5恶意代码防范应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。
7.1.4.6可信验证可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记最送至安全管理中心。
7.1.4.7数据完整性应采用校验技术保证重要数据在传输过程中的完整性。
7.1.4.8数据备份恢复本项要求包括:a)应提供重要数据的本地数据备份与恢复功能;b)应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地。
7.1.4.9剩余信息保护应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
7.1.4.10个人信息保护.本项要求包括:a)应仅采集和保存业务必需的用户个人信息;b)应禁止未授权访问和非法使用用户个人信息。
7.1.5安全管理中心7.1.5.1系统管理a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;b)应通过系统管理员对系统的资源和运行进行配置控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
7.1.5.2审计管理本项要求包括:a)应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计:b)应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
7.1.6安全管理制度7.1.6.1安全策略应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标.范围、原则和安全框架等。
7.1.6.2管理制度本项要求包括:a)应对安全管理活动中的主要管理内容建立安全管理制度;b)应对管理人员或操作人员执行的日常管理操作建立操作规程。
7.1.6.3制定和发布本项要求包括:a)应指定或授权专门的部门或人员负责安全管理制度的制定;b)安全管理制度应通过正式、有效的方式发布,并进行版本控制。
7.1.6.4评审和修订应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。
7.1.7安全管理机构7.1.7.1岗位设置本项要求包括:a)应设立网络安全管理工作的职能部门。
设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;b)应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。
7.1.7.2.人员配备应配备一定数量的系统管理员、审计管理员和安全管理员等。
7.1.3授权和审批a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;b)应针对系统变更、重要操作、物理访问和系统接入等事项执行审批过程。
7.1.7.4沟通和合作本项要求包括:a)应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题;b)应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通;c) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。
7.1.7.5审核和检查应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
7.1.8安全管理人员7.1.8.1人员录用本项要求包括:a)应指定或授权专门的部门或人员负责人员录用;b)应对被录用人员的身份,安全背景、专业资格或资质等进行审查。
7.1.8.2人员离岗应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
7.1.8.3安全意识教育和培训应对各类人员进行安全意识教育和岗位技能培训.并告知相关的安全责任和惩戒措施。
7.1.8.4外部人员访问管理;本项要求包括:a)应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案;b)应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限并登记备案;c)外部人员离场后应及时清除其所有的访问权限。
7.1.9安全建设管理7.1.9.1定级和备案本项要求包括:a)应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由;b)应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定;c)应保证定级结果经过相关都门的批准:d)应将备案材料报主管部门和相应公安机关备案。
7.1.9.2安全方案设计a)应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;b)应根据保护对象的安全保护等级进行安全方案设计;c)应组织相关部门和有关安全专家对安全方案的合理性和正确性进行论证和审定,经过批准后才能正式实施。
7.1.9.3产品采购和使用本项要求包括:a)应确保网络安全产品采购和使用符合国家的有关规定;b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。
7.1.9.4自行软件开发本项要求包话:a)应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制:b)应在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测。
7.1.9.5外包软件开发本项要求包括:a)应在软件交付前检测其中可能存在的恶意代码;b)应保证开发单位提供软件设计文档和使用指南。
7.1.9.6工程实施本项要求包括:a)应指定授权专门的部门或人员负责工程实施过程的管理;b)应制定安全工程实施方案控制工程实施过程。
7.1.9.7测试验收本项要求包括:a)应制订测试验收方案、并依据测试验收方案实施测试验收,形成测试验收报告;b)应进行上线前的安全性测试,并出具安全测试报告。
7.1.9.8系统交付本项要求包括:a应制定交付清单,并根据交付清单对所交接的设备、软件和文档进行清点;b)应对负责运行维护的技术人员进行相应的技能培训;c)应提供建设过程文档和运行维护文档。