等保 二 三级对比解读

a) 应保证网络设备的业务处理能力满足业务高峰期需要；a）依据业务需求进行网络设备选型,性能预留；

b) 应保证网络各个部分的带宽满足业务高峰期需要；b）依据业务需求设计传输链路，带宽预留，关键业务链路质量保障；

a) 应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；c) 应划分不同的网络区域，并按照方

便管理和控制的原则为各网络区域分配

地址；

c）网络分区分域设计；

b) 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。d) 应避免将重要网络区域部署在边界

处，重要网络区域与其他网络区域之间

应采取可靠的技术隔离手段；

d）按照业务重要程度及风险类

型进行网络域划分，做好出口防

护和边界隔离；

e) 应提供通信线路、关键网络设备和

关键计算设备的硬件冗余，保证系统

的可用性。

e）网络系统链路及设备冗余架

构设计；

应采用校验技术保证通信过程中数据的完整性。a) 应采用校验技术或密码技术保证通

信过程中数据的完整性；

a）数据传输通信链路采用MD5，

SHA校验算法；

b) 应采用密码技术保证通信过程中数

据的保密性。

b）数据传输通信链路采用加密

传输技术

8.1.2.3可信验证可基于可信根对通信设备的系统引导

程序、系统程序、重要配置参数和通

信应用程序等进行可信验证，并在检

测到其可信性受到破坏后进行报警，

并将验证结果形成审计记录送至安全

管理中心。

可基于可信根对通信设备的系统引导程

序、系统程序、重要配置参数和通信应

用程序等进行可信验证，并在应用程序

的关键执行环节进行动态可信验证，在

检测到其可信性受到破坏后进行报警，

并将验证结果形成审计记录送至安全管

理中心。

选择具备可信机制的网络设备组

网，并实现可信系统与安全管理

中心的联动；

应保证跨越边界的访问和数据流通过

边界设备提供的受控接口进行通信。

a) 应保证跨越边界的访问和数据流通

过边界设备提供的受控接口进行通信；

a）区域边界隔离控制，默认拒

绝所有通信且根据IP五元组开启

必要通信，对于WEB网站进行应

用级防护；

b) 应能够对非授权设备私自联到内部

网络的行为进行检查或限制；

b）终端准入控制及资产识别；

c) 应能够对内部用户非授权联到外部

网络的行为进行检查或限制；

c）网络访问控制；

d) 应限制无线网络的使用，保证无线

网络通过受控的边界设备接入内部网

络。

d）对无线网络进行统一管控，

控制其对关键业务系统的访问，

无线网络接入边界（汇聚与核心

之间）部署必要的隔离控制手

段；

a) 应在网络边界或区域之间根据访问

控制策略设置访问控制规则，默认情

况下除允许通信外受控接口拒绝所有

通信；

a) 应在网络边界或区域之间根据访问

控制策略设置访问控制规则，默认情况

下除允许通信外受控接口拒绝所有通

信；

a）区域边界隔离控制，默认拒

绝所有通信且根据IP五元组开启

必要通信；

b) 应删除多余或无效的访问控制规

则，优化访问控制列表，并保证访问

控制规则数量最小化；

b) 应删除多余或无效的访问控制规

则，优化访问控制列表，并保证访问控

制规则数量最小化；

b）防火墙策略策略优化（避免

配置无效、冗余策略，优化匹配

顺序）；

c) 应对源地址、目的地址、源端口、

目的端口和协议等进行检查，以允许/

拒绝数据包进出；

c) 应对源地址、目的地址、源端口、

目的端口和协议等进行检查，以允许/

拒绝数据包进出；

c）配置基于IP五元组的防火墙

策略，遵循最小化、精细化原

则；

d) 应能根据会话状态信息为进出数

据流提供明确的允许/拒绝访问的能

力。

d) 应能根据会话状态信息为进出数据

流提供明确的允许/拒绝访问的能力；

d）配置防火墙会话状态检查，

遵循最小化、精细化原则；

e) 应对进出网络的数据流实现基于应

用协议和应用内容的访问控制。

e）通过应用识别、内容识别功

能实现进出流量访问控制；

应在关键网络节点处监视网络攻击行

为。

a) 应在关键网络节点处检测、防止或

限制从外部发起的网络攻击行为；

a）互联网出口或其他局点接入

平台防护，具备检测防护能力；

b) 应在关键网络节点处检测、防止或

限制从内部发起的网络攻击行为；

b）区域边界隔离防护，具备检

测防护能力；

c) 应采取技术措施对网络行为进行分

析，实现对网络攻击特别是新型网络

攻击行为的分析；

c）部署结合情报系统的网络行

为分析或者深层次建设设备；

d) 当检测到攻击行为时，记录攻击源

IP、攻击类型、攻击目标、攻击时

间，在发生严重入侵事件时应提供报

警。

d）入侵防范设备选型是考量日

志分析及预警能力，或者借助专

业分析预警设备进行统一的分析

展示；

8.1.2安全通信网络8.1.3安全区域边界8.1.2.1网络架构8.1.2.2通信传输

8.1.3.1边界防护8.1.3.2访问控制

8.1.3.3入侵防范