等级保护2.0基本要求-二级三级对比表
等保2.0基本要求-各级对比
应保证跨越边界的访问和数据流 通过边界设备提供的受控接口进 行通信。
a) 应划分不同的网络区域,并按 照方便管理和控制的原则为各网 络区域分配地址;
a) 应保证网络设备的业务处理能力满 足业务高峰期需要; b) 应保证网络各个部分的带宽满足业 务高峰期需要;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访 问控制规则数量最小化;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访问 控制规则数量最小化;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访问 控制规则数量最小化;
c) 应对源地址、目的地址、源端 口、目的端口和协议等进行检 查,以允许/拒绝数据包进出。
7.1.1.10 电磁防护
8.1.1.10 电磁防护
d)应提供应急供电设施。 9.1.1.10 电磁防护
电源线和通信线缆应隔离铺设, 避免互相干扰。
a)电源线和通信线缆应隔离铺设,避 免互相干扰;
a)电源线和通信线缆应隔离铺设,避 免互相干扰;
b)应对关键设备实施电磁屏蔽。
b)应对关键设备或关键区实施电磁屏 蔽。
c)应划分不同的网络区域,并按照方 便管理和控制的原则为各网络区域分 配地址;
a) 应保证网络设备的业务处理能力满 足业务高峰期需要; b) 应保证网络各个部分的带宽满足业 务高峰期需要;
c)应划分不同的网络区域,并按照方 便管理和控制的原则为各网络区域分 配地址;
b) 应避免将重要网络区域部署在 边界处,重要网络区域与其他网 络区域之间应采取可靠的技术隔 离手段。
c) 应安装对水敏感的检测仪表或元 件,对机房进行防水检测和报警。
等保2.0测评详细指标及工控扩展指标
等保2.0测评详细指标(1-3级)PS:一级指标没有整理成表格,二三级整理成表格,看的会清晰一点。
一级测评要求指标一.技术安全大类1.安全的物理环境物理访问控制:机房出入口应安排专人值守或配置电子门禁系统,控制,鉴别和记录进入的人员。
防盗窃和破坏:应将设备或主要部件进行固定,并设置明显的不易除去的标识。
防雷击:应将各类机柜,设施和设备等通过基地系统安全接地。
防火:机房应该设置灭火设备。
防水和防潮:应采取措施防止雨水通过机房窗户,屋顶和墙壁渗透。
温湿度控制:应设置必要的温湿度调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
电力供应:应在机房供电线路上配置稳压器和过电压防护设备。
2.安全的通信网络通信传输:应采用检验技术保证通信过程中数据的完整性。
可信验证:可给予可信根对通信设备的系统引导程序,系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。
3.安全的计算环境身份鉴别:1.应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份辨别信息具有复杂度要求并定期更换。
2.应具有登陆失败处理功能,应配置并启用结束会话,限制非法登录次数和挡登录连接超时自动退出等相关措施。
访问控制:1.应对登录的用户分配账户和权限2.应重命名或删除默认账户,修改默认账户的默认口令。
3.应及时删除或停用多余的,过期的账户,避免共享账户的存在。
入侵防范:1.应遵循最小安装的原则,仅安装需要的组件和应用程序。
2.应关闭不需要的系统服务,默认共享和高危端口。
恶意代码防范:应安装放恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。
可信验证:可基于可信根对计算机设备的系统引导程序,系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。
数据完整性:应采用检验技术保证重要数据在传输过程中的完整性。
数据备份恢复:应提供重要数据的本地数据备份与恢复功能。
4.安全的区域边界边界防护:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
信息安全等级保护各级对比表
目录1概述 (2)1.1 背景介绍 (2)1.2 主要作用及特点 (2)1.3 与其他标准的关系 (3)1.4 框架结构 (3)2描述模型 (4)2.1 总体描述 (4)2.2 保护对象 (5)2.3 安全保护能力 (5)2.4 安全要求 (7)3逐级增强的特点 (8)3.1 增强原则 (8)3.2 总体描述 (9)3.3 控制点增加 (10)3.4 要求项增加 (10)3.5 控制强度增强 (11)4各级安全要求 (12)4.1 技术要求 (12)4.1.1 物理安全 (12)4.1.2 网络安全 (18)4.1.3 主机安全 (23)4.1.4 应用安全 (28)4.1.5 数据安全及备份恢复 (34)4.2 管理要求 (37)4.2.1 安全管理制度 (37)4.2.2 安全管理机构 (39)4.2.3 人员安全管理 (42)4.2.4 系统建设管理 (46)4.2.5 系统运维管理 (51)本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。
1概述1.1背景介绍2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
”信息安全等级保护工作第一阶段为准备阶段,准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。
等级保护各级设计技术要求对比表
应记录系统的相关安全事件。审 计记录包括安全事件的主题、客 体、时间、类型和结果等内容。 应提供审计记录查询、分类、分 析和存储保护;能对特定安全事 件进行报警,终止违例进程 等;确保审计记录不被破坏或 非授权访问以及防止审计记录 丢失等。应为安全管理中心提 供接口;对不能由系统独立处理 的安全事件,提供由授权主体调 用的接口。 应采用密码等技术支持的完整 应采用密码等技术支持的完整性 性校验机制,检验存储和处理的 校验机制,检验存储和处理的用 用户数据的完整性,以发现其完 户数据的完整性,以发现其完整 整性是否被破坏,且在其受到破 性是否被破坏,且在其受到破坏 坏时能对重要数据进行恢复。 时能对重要数据进行恢复。 应采用密码等技术支持的保密性 保护机制,对在安全计算环境中 存储和处理的用户数据进行保密 性保护。 应采用具有安全客体复用功能的 系统软件或具有相应功能信息技 术产品,对用户使用的客体资 源,在这些客体资源重新分配 前,对其原使用者的信息进行清 除,以确保信息不被泄露。 应采用密码等技术支持的保密性 保护机制,对在安全计算环境中 存储和处理的用户数据进行保密 性保护。 应采用安全客体复用功能的系统 软件或具有相应功能信息技术产 品,对用户使用的客体资源,在 这些客体资源重新分配前,对其 原使用者的信息进行清除,以确 保信息不被泄露。
可根据区域边界安全控制策 略,通过检查数据包的源地址 、目的地址、传输层协议和请 求的服务等,确定是否允许该 数据包通过该区域边界。 应在安全区域边界设置审计机 制,并由安全管理中心统一管 理。 应在安全区域边界设置防恶意 代码网关,由安全管理中心管 理。 应在区域边界设置探测器,探 测非法外联等行为,并及时报 告安全管理中心。 应在安全通信网络设置审计机 制,由安全管理中心管理。 可采用由密码等技术支持的完 整性校验机制,以实现通信网 络数据传输完整性保护。 可采用由密码等技术支持的保 密性保护机制,以实现通信网 络数据传输保密性保护。
安全系统等级保护2级和3级等保要求
二级、三级等级保护要求比较一、技术要求技术要求项二级等保三级等保物理 1 )机房和办公场地应选择 1 )机房和办公场地应选择在具有防震、防安全在具有防震、防风和防雨风和防雨等能力的建筑内;物理等能力的建筑内。
2 )机房场地应避免设在建筑物的高层或地位置下室,以及用水设备的下层或隔壁;的选3 )机房场地应当避开强电场、强磁场、强择震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。
物理1)机房出入口应有专人值 1 )机房出入口应有专人值守,鉴别进入的访问守,鉴别进入的人员身份人员身份并登记在案;控制并登记在案; 2 )应批准进入机房的来访人员,限制和监2)应批准进入机房的来访控其活动范围;人员,限制和监控其活动 3 )应对机房划分区域进行管理,区域和区范围。
域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;4 )应对重要区域配置电子门禁系统,鉴别和记录进入的人员身份并监控其活动。
防盗1)应将主要设备放置在物 1 )应将主要设备放置在物理受限的范围窃和理受限的范围内;内;防破2)应对设备或主要部件进 2 )应对设备或主要部件进行固定,并设置坏行固定,并设置明显的不明显的无法除去的标记;易除去的标记; 3 )应将通信线缆铺设在隐蔽处,如铺设在3)应将通信线缆铺设在隐地下或管道中等;蔽处,如铺设在地下或管 4 )应对介质分类标识,存储在介质库或档道中等;案室中;4)应对介质分类标识,存储 5 )设备或存储介质携带出工作环境时,应在介质库或档案室中;受到监控和内容加密;5)应安装必要的防盗报警 6 )应利用光、电等技术设置机房的防盗报设施,以防进入机房的盗警系统,以防进入机房的盗窃和破坏行7 )应对机房设置监控报警系统。
防雷1)机房建筑应设置避雷装 1 )机房建筑应设置避雷装置;击置; 2 )应设置防雷保安器,防止感应雷;2)应设置交流电源地线。
3 )应设置交流电源地线。
防火1)应设置灭火设备和火灾 1 )应设置火灾自动消防系统,自动检测火自动报警系统,并保持灭情、自动报警,并自动灭火;火设备和火灾自动报警 2 )机房及相关的工作房间和辅助房,其建系统的良好状态。
等保基本要求二三级对比表
技术部分
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
管理部分
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全。
二级和三级等保差异整理标准版.docx
理(G3)
三级要求对恶意代码防范情况进行定期的审计和分析 并形成书面的报告
二级仅要求指定专人对系统的恶意代码防范进行管理
密码管理(G3)
三级要求建立密码使用管理制度
二级仅要求使用符合国家密码管理规定的密码技术和
rt
变更管理(G3)
三级要求建立变更管理制度,并对变更过程进行控制 、记录并审计
终端日常管理
访问控制(S3)
三级要求对重要信息资源的操作进行记录并审计
堡垒主机(运维网关 、安全管理平台)类 设备
二级仅要求对主机资源的访问进行控制,并权限分离 (重要服务器)
终端日常管理
安全审计(G3)
三级要求对审计记录分析,生成审计报表,并防止审 计进程的未预期中断
终端安全类产品
二级仅要求对主机用户的行为、系统资源使用、重要 系统命令等记录进行审计,并避免审计记录的破坏
二级仅要求对机房设施管理、人员岀入、安全管理进 行控制
资产管理(G3)
三级要求对资产的重要程度进行分类和表示,进行规 范化管理
二级仅要求编制与信息系统相关的资产清单,并规定 资产管理制度
系统运维 管理
介质管理(G3)
三级要求对介质进行定期清点管理,并对重要数据介 质进行备份
二级仅要求数据存储等介质进行分类,归档、查询、 维修、销毁等进行记录,并保护其中的敏感数据
工程实施(G3)
三级要求制定工程实施方面的管理制度
二级仅要求在工程实施中制定详细的工程实施方案, 控制工程实施过程
测试验收(G3)
三级要求指定专门部门负责系统测试验收的管理
二级仅要求制定系统的验收方案并形成验收报告
系统交付(G3)
三级要求指定专门部门负责系统交付的管理工作
等保2.0通用要求VS等保1.0(三级)技术部分要求详细对比
等保 2.0系列原则即将发布,网络安全级别保护基本规定通用规定在信息安全级别保护基本规定技术部分的基本上进行了某些调节,湖南金盾就网络安全级别保护基本规定通用规定在信息安全级别保护基本规定进行了具体对比,下面以三级为例进行一种对比。
网络安全级别保护基本规定通用规定技术部分与信息安全级别保护基本规定技术部分构造由本来的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全,调节为四个部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;技术规定“从面到点”提出安全规定,“物理和环境安全”重要对机房设施提出规定,“网络和通信安全”重要对网络整体提出规定,“设备和计算安全”重要对构成节点(涉及网络设备、安全设备、操作系统、数据库、中间件等)提出规定,“应用和数据安全”重要对业务应用和数据提出规定。
(标粗内容为三级和二级的变化,标红部门为新原则重要变化)
•
物理与环境安全VS本来物理安全
•
控制点未发生变化,规定项数由本来的32项调节为22项。
控制点
•
网络和通信安全VS本来网络安全
•
新原则减少了构造安全、边界完整性检查、网络设备防护三个控制
•
设备和计算安全VS本来主机安全
•
新原则减少了剩余信息保护一种控制点,在测评对象上,把网络设
•
应用和数据安全VS本来应用安全+数据安全及备份恢复
•
新原则将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一种层面,减少了通信完整性、通信保密性和抗抵赖三个控制点,增长了个人信息保护控制点。
通信完整性和通信保密性的规定纳入了网络。
等保2.0测评项基本要求(二级 三级对比概述)
人员配备
2
授权和审批
3
沟通和合作
3
审核和检查
3
二级
测评项数 2 1 2 1 2 2 1 1 2
1
2 1 1 1 4 1 1 1 3
3
4
3
1 5 1 1 0 2 1 2 2 2 0
0
1
2
2 1 2 1 2 3 1
人员录用
3
2
人员离岗
2
1
安全管理人员
安全意识教育和 培训
3
1
外部人员访问管 理
4
3
定级和备案
2
1
密码管理
2
2
并更管理
3
1
备份与恢复管理
3
3
安全事件处置
4
3
应急预案管理
4
2
外包运维管理
4
2
总计
211
135
云计算安全扩展 要求
安全技术要求
安全管理要求
分类 安全物理环境 安全通信网络 安全区域边界
安全计算环境
安全管理中心 安全建设管理 安全运维管理
三级
安全控制点 基础设施位置
网络架构 访问控制 入侵防范 安全审计 身份鉴别 访问控制 入侵防范 镜像和快照保护 数据完整性和保
安全技术要求
安全管理要求
分类 安全物理环境 安全区域边界
安全计算环境 安全运维管理
三级
安全控制点 感知节点设备物
理防护 接入控制 入侵防范 感知节点设备安 网关节点设备安 抗数据重放 数据融合处理 感知节点管理
测评项数
4
1 2 3 4 2 1 3
二级
测评项数
等级保护2.0基本要求二级三级对比表格
1通用技术要求安全物理环境需要知足切合项的,不需要知足切合项的或许空序号名称详细要求2级3级1物理地点的a) 机房场所应选择在拥有防震、防风和防雨等能选择力的建筑内;b) 机房场所应防止设在建筑物的顶层或地下室,2物理接见控制不然应增强防水和防潮举措。
机房进出口应安排专人值守或配置电子门禁系统,控制、鉴识和记录进入的人员。
机房进出口应配置电子门禁系统,控制、鉴识和记录进入的人员。
3防偷窃和防a) 应将设备或主要零件进行固定,并设置显然的损坏不易除掉的表记;b)应将通讯线缆铺设在隐蔽安全处。
c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。
4防雷击应将各种机柜、设备和设备等经过接地系统安全接地。
b)应采纳举措防备感觉雷,比如设置防雷保安器或过压保护装置等。
5防火a)机房应设置火灾自动消防系统,可以自动检测火情、自动报警,并自动灭火;b)机房及有关的工作房间和协助房应采纳拥有耐火等级的建筑资料。
c)应付机房区分地区进行管理,地区和地区之间设置隔绝防火举措。
6防水和防潮a) 应采纳举措防备雨水经过机房窗户、屋顶和墙壁浸透;b) 应采纳举措防备机房内水蒸气结露和地下积水的转移与浸透。
c)应安装对水敏感的检测仪表或元件,对机房进7防静电行防水检测和报警。
应采纳防静电地板或地面并采纳必需的接地防静电举措。
b)应采纳举措防备静电的产生,比如采纳静电消除器、佩带防静电手环等。
8湿温度控制应设置温湿度自动调理设备,使机房温湿度的变化在设备运转所同意的范围以内。
9电力供给a) 应在机房供电线路上配置稳压器和过电压防备设备;b)应供给短期的备用电力供给,起码知足设备在断电状况下的正常运转要求。
c)应设置冗余或并行的电力电缆线路为计算机系统供电。
10电磁防备a) 电源线和通讯线缆应隔绝铺设,防止相互扰乱。
b)应付重点设备实行电磁障蔽。
安全通讯网络序号名称详细要求2级3级a)应保证网络设备的业务办理能力知足业务顶峰期需要;b)应保证网络各个部分的带宽知足业务顶峰期需要;c)应区分不一样的网络地区,并依照方便管理和控制的原则为各网络地区分派地址;1网络架构d)应防止将重要网络地区部署在界限处,重要网络地区与其余网络地区之间应采纳靠谱的技术隔绝手段e)应供给通讯线路、重点网络设备和重点计算设备的硬件冗余,保证系统的可用性。
安全等级保护2级和3级等保要求-蓝色为区别.
4)安全审计应可以对特定事件,提供指定方式的实时报警;
5)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
边界完整性检查
1)应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为(即“非法外联”行为)。
1)应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为(即“非法外联”行为);
2)应能够对非授权设备私自联到网络的行为进行检查,并准确定出位置,对其进行有效阻断;
3)应能够对内部网络用户私自联到外部网络的行为进行检测后准确定出位置,并对其进行有效阻断。
网络入侵防范
1)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生。
安全审计
1)安全审计应覆盖到服务器上的每个操作系统用户和数据库用户;
2)安全审计应记录系统内重要的安全相关事件,包括重要用户行为和重要系统命令的使用等;
3)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
4)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
1)安全审计应覆盖到服务器和客户端上的每个操作系统用户和数据库用户;
2)机房及相关的工作房间和辅助房,其建筑材料应具有耐火等级;
3)机房采取区域隔离防火措施,将重要设备与其他设备隔离开。
防水和防潮
1)水管安装,不得穿过屋顶和活动地板下;
2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;
3)应采取措施防止雨水通过屋顶和墙壁渗透;
4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
等级保护2.0基本要求-二级三级对比表
制定和发布
a)应指止或授权专门的部门或人贝负责女全
管理制度的制定;
b)安全管理制度应通过正式、有效的方式发
布,并进行版本控制。
4
评审和修订
应定期对安全管理制度的合理性和适用性进
行论证和审定,对存在不足或需要改进的安全
管理制度进行修订。
2.2
厅P
名称
具体要求
2级
3级
1
岗位设置
a)应设立网络安全管理工作的职能部门,设
5
恶意代码
应安装防恶意代码软件或配置具有相应功能 的软件,并定期进行升级和更新防恶意代码 库。
应采用免受恶意代码攻击的技术措施或主动
免疫可信验证机制及时识别入侵和^<行为,
并将其肩效阻断。
6
可信验证
可基于口」彳百根对计算设备的系统引导程序、系统程
序、重要配置参数和应用程序等进行可信验证,并在
检测到具可信性受到破坏后进行报警,并将验证结果
的转移与渗透。
c)应安装对水敏感的检测仪表或元件,对机房进
行防水检测和报警。
7
防静电
应采用防静电地板或地面并采用必要的接地防静
电措施。
b)应采取措施防止静电的产生,例如采用静电消
除器、佩戴防静电手环等。
8
湿温度控制
应设置温湿度自动调节设施,使机房温湿度的变化
在设备运行所允许的范围之内。
9
电力供应
a)应在机房供电线路上配置稳压器和过电压防护
1
1.1
需要满足符合项的,不需要满足符合项的或者空
厅P
名称
具体要求
2级
3级
1
物理位置的
选择
a)机房场地应选择在具有防震、防风和防雨等能
《信息系统安全等级保护基本要求》二级、三级等级保护要求比较概述.
1)安全审计应覆盖到服务器上的每个操作系统用户和数据库用户;
2)安全审计应记录系统内重要的安全相关事件,包括重要用户行为和重要系统命令的使用等;
3)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
4)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
1)安全审计应覆盖到服务器和客户端上的每个操作系统用户和数据库用户;
5)设备或存储介质携带出工作环境时,应受到监控和内容加密;
6)应利用光、电等技术设置机房的防盗报警系统,以防进入机房的盗窃和破坏行为;
7)应对机房设置监控报警系统。
防雷击
1)机房建筑应设置避雷装置;
2)应设置交流电源地线。
1)机房建筑应设置避雷装置;
2)应设置防雷保安器,防止感应雷;
3)应设置交流电源地线。
1)应在网络边界处应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生;
2)当检测到入侵事件时,应记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。
恶意代码防范
1)应在网络边界及核心业务网段处对恶意代码进行检测和清除;
应加强与供应商业界专家专业的安全公司安全组织的合作与沟通获取信息安全的最新发展动态当发生紧急事件的时候能够及时得到支持和帮聘请信息安全专家作为常年的安全顾问指导信息安全建设参与安全规划和安全评审应由安全管理人员定期检查内容进行安全检查系统包括用户账号情况漏洞情况系统审计情况应由安全管理人员定期进行安全检查检查内容包括用户账号情况系统漏洞情况系统审计情况等
6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
等级保护2
备份与 11 恢复管理
b) 应规定备份信息的备份方式、备份频度、 存储介质、保存期等;
c) 应根据数据的重要性和数据对系统运行的影响,制定数据 的备份策略和恢复策略、备份程序和恢复程序等。
a) 应及时向安全管理部门报告所发现的安全 弱点和可疑事件;
b) 应制定安全事件报告和处置管理制度,明确不同安全事件
h) 应严格控制运维工具的使用,经过审批后才可接入进行 操作,操作过程中应保留不可更改的审计日志,操作结束后应 删除工具中的敏感数据;
i) 应严格控制远程运维的开通,经过审批后才可开通远程 运维接口或通道,操作过程中应保留不可更改的审计日志,操 作结束后立即关闭接口或通道;
j) 应保证所有与外部的连接均得到授权和批准,应定期检 查违反规定无线上网及其他违反网络安全策略的行为。
等级保护 2.0 基本要求二级三级对比表(二)通用管理要求
1 安全管理制度
序号
名称
1
安全策略
具体要求
应 制 定 网 络 安 全 工 作 的 总 体 方 针 和 安 全 策 略,阐明机构安 全工作的总体目标、范围、原则和安全框架等。
a) 应对安全管理活动中的主要管理内容建立安全管理制 度;
b) 应对管理人员或操作人员执行的日常管理操作建立操
线路等指定专门的部门或人员定期进行维护管理;
b) 应对配套设施、软硬件维护管理做出规定,包括明确 维护人员的责任、维修和服务的审批、维修过程的监督控制等。
c) 信息处理设备必须经过审批才能带离机房或办公地点,
设 备 维 护 管 含有存储介质的设备带出工作环境时其中重要数据必须加密;
4理
d) 含有存储介质的设备在报废或重用前,应进行完全清 除或被安全覆盖,保证该设备上的敏感数据和授权软件无法被
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 通用技术要求
1.1 安全物理环境 需要满足符合项的,不需要满足符合项的或者空
序号 名称
具体要求 2级 3级 1 物理位置的
选择 a) 机房场地应选择在具有防震、防风和防雨等能力的建筑;
b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
2 物理访问控
制 机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
3 防盗窃和防
破坏 a) 应将设备或主要部件进行固定,并设置明显的不易除去的标识;
b) 应将通信线缆铺设在隐蔽安全处。
c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。
4 防雷击 应将各类机柜、设施和设备等通过接地系统安全接
地。
b) 应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。
1.2安全通信网络
1.3安全区域边界
用户、
1.4安全计算环境
用户、
1.5安全管理中心
2通用管理
2.1安全管理制度
应形成由安全策略、管理制度、操作规程、2.2安全管理机构
各类供应商、
2.3安全管理人员
2.4安全建设管理
2.5安全运维管理
软硬件维护管理做出规定,
删除账户等进行控制;参数的设置和修改等容。
审批后方可实施。
3云计算安全扩展要求3.1 安全物理环境
3.2安全通信网络
3.3 安全区域边界
3.4安全计算环境
3.1安全管理中心
3.2安全建设管理
3.3安全运维管理
4移动互联安全扩展。