安全等级保护2级和3级等保要求

级、三级等级保护要求比较技术要求

唯一；制;

4) 身份鉴别信息应具有不4) 网络设备用户的标识应唯一；

易被冒用的特点，例如口

5) 身份鉴别信息应具有不易被冒用的特

令长度、复杂性和定期的

更新等；

点，例如口令长度、复杂性和定期的更

5) 应具有登录失败处理功

新等；

能，如：结束会话、限制6) 应对冋一用户选择两种或两种以上组合

非法登录次数，当网络登的鉴别技术来进行身份鉴别；

录连接超时，自动退出。7) 应具有登录失败处理功能，如：结束会

话、限制非法登录次数，当网络登录连

接超时，自动退出；

8) 应实现设备特权用户的权限分离，例如

将管理与审计的权限分配给不冋的网络

设备用户。

主机身份1) 操作系统和数据库管理1) 操作系统和数据库管理系统用户的身份系统鉴别系统用户的身份标识应标识应具有唯一性；

安全具有唯一性；

2) 应对登录操作系统和数据库管理系统的

2) 应对登录操作系统和数

据库管理系统的用户进

用户进行身份标识和鉴别；

行身份标识和鉴别；

3) 应对冋一用户米用两种或两种以上组合

3) 操作系统和数据库管理的鉴别技术实现用户身份鉴别；

系统身份鉴别信息应具4) 操作系统和数据库管理系统用户的身份

有不易被冒用的特点，例鉴别信息应具有不易被冒用的特点，例

如口令长度、复杂性和定

如口令长度、复杂性和定期的更新等；

4) 期的更新等；

应具有登录失败处理功

5) 应具有登录失败处理功能，如：结束会能，女口：结束会话、限制

话、限制非法登录次数，当登录连接超非法登录次数，当登录连时，自动退出；

接超时，自动退出。6) 应具有鉴别警示功能；

7) 重要的主机系统应对与之相连的服务器

或终端设备进行身份标识和鉴别。

自主1) 应依据安全策略控制主1) 应依据安全策略控制主体对客体的访

7) 应限制单个用户对系统资源的最大或最

小使用限度；

8) 当系统的服务水平降低到预先规定的最

小值时，应能检测和报警；

9) 应根据安全策略设定主体的服务优先

级，根据优先级分配系统资源，保证优

先级低的主体处理能力不会影响到优先

级高的主体的处理能力。

应用身份1) 应用系统用户的身份标1) 系统用户的身份标识应具有唯一性；安全鉴别识应具有唯一性；2) 应对登录的用户进行身份标识和鉴别；

2) 应对登录的用户进行身

份标识和鉴别；

3) 系统用户的身份鉴别信息应具有不易被

冒用的特点，例如口令长度、复杂性和

3)

系统用户身份鉴别信息应具

有不易被冒用的特

定期的更新等；

点，例如口令长度、复杂4) 应对冋一用户米用两种或两种以上组合

性和定期的更新等；的鉴别技术实现用户身份鉴别；

4) 应具有登录失败处理功5) 应具有登录失败处理功能，如：结束会

能，如：结束会话、限制

话、限制非法登录次数，当登录连接超非法登录次数，当登录连

时，自动退出；

接超时，自动退出。

6) 应具有鉴别警示功能；

7) 应用系统应及时清除存储空间中动态使

用的鉴别信息。

访问1) 应依据安全策略控制用1) 应依据安全策略控制用户对客体的访

控制

2) 户对客体的访问；

自主访问控制的覆盖范围应

包括与信息安全直接相关的

主体、客体及它们之间的操

作；

2)

问；

自主访问控制的覆盖范围应包括与信息安全

直接相关的主体、客体及它们之间的操作；

3) 自主访问控制的粒度应3) 自主访问控制的粒度应达到主体为用户

达到主体为用户级，客体级，客体为文件、数据库表级；

为文件、数据库表级；4) 应由授权主体设置用户对系统功能操作4) 应由授权主体设置用户

对系统功能操作和对数和对数据访问的权限；

据访问的权限；5) 应实现应用系统特权用户的权限分离，

5) 应实现应用系统特权用例如将管理与审计的权限分配给不冋的

户的权限分离，例如将管理

与审计的权限分配给

应用系统用户；

不同的应用系统用户；

6) 权限分离应采用最小授权原则，分别授

6) 权限分离应采用最小授予不同用户各自为完成自己承担任务所

权原则，分别授予不同用需的最小权限，并在它们之间形成相互

户各自为完成自己承担制约的关系；

任务所需的最小权限，并

7) 应严格限制默认用户的访问权限。

在它们之间形成相互制

约的关系；

7) 应严格限制默认用户的

访问权限。

安全1) 安全审计应覆盖到应用1) 安全审计应覆盖到应用系统的每个用审计系统的每个用户；户；

2) 安全审计应记录应用系

2) 安全审计应记录应用系统重要的安全相

统重要的安全相关事件,

包括重要用户行为和重

关事件，包括重要用户行为、系统资源要系统功能的执行等；

的异常使用和重要系统功能的执行等；

3) 安全相关事件的记录应3) 安全相关事件的记录应包括日期和时

包括日期和时间、类型、间、类型、主体标识、客体标识、事件

主体标识、客体标识、事的结果等；

件的结果等；

4) 安全审计应可以根据记录数据进行分

4)

审计记录应受到保护避

免受到未预期的删除、修

析，并生成审计报表；

改或覆盖等。

5) 安全审计应可以对特疋事件，提供指疋

方式的实时报警；

6) 审计进程应受到保护避免受到未预期的

中断；

7) 审计记录应受到保护避免受到未预期的

删除、修改或覆盖等。

剩余1) 应保证用户的鉴别信息1) 应保证用户的鉴别信息所在的存储空