等保0VS等保0三級對比

1、實(shí)用文檔等保2.0VS等保1.0三級比照網(wǎng)絡(luò)平安等級保護(hù)根本要求通用要求技術(shù)局部與信息平安等級保護(hù)根本要求技術(shù)局部結(jié)構(gòu)由原來的五個層面：物理平安、網(wǎng)絡(luò)平安、主機(jī)平安、應(yīng)用平安、數(shù)據(jù)平安,調(diào)整為四個局部：物理和環(huán)境平安、網(wǎng)絡(luò)和通信平安、設(shè)備和計算平安、應(yīng)用和數(shù)據(jù)平安；技術(shù)要求“從面到點(diǎn)提出平安要求,“物理和環(huán)境平安主要對機(jī)房設(shè)施提出要求,“網(wǎng)絡(luò)和通信平安主要對網(wǎng)絡(luò)整體提出要求,“設(shè)備和計算平安主要對構(gòu)成節(jié)點(diǎn)包括網(wǎng)絡(luò)設(shè)備、平安設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件等提出要求,“應(yīng)用和數(shù)據(jù)平安主要對業(yè)務(wù)應(yīng)用和數(shù)據(jù)提出要求.標(biāo)粗內(nèi)容為三級和二級的變化,標(biāo)紅部門為新標(biāo)準(zhǔn)主要變化1.1、物理和環(huán)境平安VS原來物理

2、平安限制點(diǎn)未發(fā)生變化,要求項(xiàng)數(shù)由原來的 32 項(xiàng)調(diào)整為 22 項(xiàng).限制點(diǎn)要求項(xiàng)數(shù)修改情況如下列圖：原限制點(diǎn)要求項(xiàng)數(shù)新限制點(diǎn)要求項(xiàng)數(shù)物理平安1 物理位置的選擇2物理和環(huán)境安全1 物理位置的選擇22 物理訪問限制42 物理訪問限制13 防盜竊和防破壞63 防盜竊和防破壞34 防雷擊34 防雷擊25 防火35 防火36 防水和防潮46 防水和防潮37 防靜電27 防靜電28 溫濕度限制18 溫濕度限制19 電力供給49 電力供給310 電磁防護(hù)310 電磁防護(hù)2要求項(xiàng)的變化如下:信息平安等級保護(hù)根本要求一物理平安三級網(wǎng)絡(luò)平安等級保護(hù)根本要求通用要求一物理和環(huán)境平安 三級物a機(jī)房和辦公場地應(yīng)選擇在具有

3、防震、防風(fēng)和防物a機(jī)房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防理雨等水平的建筑內(nèi)；理雨等水平的建筑內(nèi)；位b機(jī)房場地應(yīng)預(yù)防設(shè)在建筑物的高層或地下室,位b機(jī)房場地應(yīng)預(yù)防設(shè)在建筑物的頂層或地下室,置以及用水設(shè)備的下層或隔壁.置否那么應(yīng)增強(qiáng)防水和防潮舉措.的的選選擇擇物a機(jī)房出入口應(yīng)安排專人值守,限制、鑒別和記物a機(jī)房出入口應(yīng)配置電子門禁系統(tǒng),限制、鑒別理錄進(jìn)入的人員；理和記錄進(jìn)入的人員.訪b需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請和審批流訪問程,并限制和監(jiān)控其活動范圍；問控c應(yīng)對機(jī)房劃分區(qū)域進(jìn)行治理,區(qū)域和區(qū)域之間控制設(shè)置物理隔離裝置,在重要區(qū)域前設(shè)置交付或安制標(biāo)準(zhǔn)文案實(shí)用文檔裝等過渡區(qū)域；d重要區(qū)域應(yīng)配置電子門

4、禁系統(tǒng),限制、鑒別和記錄進(jìn)入的人員.防a應(yīng)將主要設(shè)備放置在機(jī)房內(nèi)；防a應(yīng)將設(shè)備或主要部件進(jìn)行固定,并設(shè)置明顯的盜b應(yīng)將設(shè)備或主要部件進(jìn)行固定,并設(shè)置明顯的盜不易除去的標(biāo)記；竊和不易除去的標(biāo)記；竊和b應(yīng)將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地卜或c應(yīng)將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地卜或管道中；防管道中；防c應(yīng)設(shè)置機(jī)房防盜報警系統(tǒng)或設(shè)置有專人值守破破的視頻監(jiān)控系統(tǒng).d應(yīng)對介質(zhì)分類標(biāo)識,存儲在介質(zhì)庫或檔案室中；壞壞e應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報警系統(tǒng)；f應(yīng)對機(jī)房設(shè)置監(jiān)控報警系統(tǒng).防a機(jī)房建筑應(yīng)設(shè)置避雷裝置；防a應(yīng)將各類機(jī)柜、設(shè)施和設(shè)備等通過接地系統(tǒng)安雷雷全接地；擊b應(yīng)設(shè)置防雷保安器,預(yù)防感應(yīng)雷；擊b

5、應(yīng)采取舉措預(yù)防感應(yīng)雷,例如設(shè)置防雷保安器c機(jī)房應(yīng)設(shè)置交流電源地線.或過壓保護(hù)裝置等.防a機(jī)房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng),能夠自動檢測防a機(jī)房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng),能夠自動檢測火火情、自動報警,并自動滅火；火火情、自動報警,并自動滅火；b機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有b機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材料；耐火等級的建筑材料；c機(jī)房應(yīng)米取區(qū)域隔離防火舉措,將重要設(shè)備與c應(yīng)對機(jī)房劃分區(qū)域進(jìn)行治理,區(qū)域和區(qū)域之間其他設(shè)備隔離開.設(shè)置隔離防火舉措.防a水管安裝,不得穿過機(jī)房屋頂和活動地板下；防a應(yīng)采取舉措預(yù)防雨水通過機(jī)房窗戶、屋頂和墻水水壁滲透；和b應(yīng)采取舉措預(yù)防雨水通過機(jī)房

6、窗戶、屋頂和墻和b應(yīng)采取舉措預(yù)防機(jī)房內(nèi)水蒸氣結(jié)露和地下積防壁滲透；防水的轉(zhuǎn)移與滲透；潮c應(yīng)采取舉措預(yù)防機(jī)房內(nèi)水蒸氣結(jié)露和地下積潮c應(yīng)安裝對水敏感的檢測儀表或元件,對機(jī)房進(jìn)水的轉(zhuǎn)移與滲透；行防水檢測和報警.d應(yīng)安裝對水敏感的檢測儀表或元件,對機(jī)房進(jìn)行防水檢測和報警.防a主要設(shè)備應(yīng)采用必要的接地防靜電舉措；防a應(yīng)安裝防靜電地板并采用必要的接地防靜電靜b機(jī)房應(yīng)采用防靜電地板.靜舉措；電電b應(yīng)采取舉措預(yù)防靜電的產(chǎn)生,例如采用靜電消除器、佩戴防靜電手環(huán)等.新增溫機(jī)房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施,使機(jī)房溫、溫機(jī)房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施,使機(jī)房溫、濕濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi).濕濕度的變化在設(shè)備

7、運(yùn)行所允許的范圍之內(nèi).度度控控制制電a應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防電a應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防力護(hù)設(shè)備；力護(hù)設(shè)備；供b應(yīng)提供短期的備用電力供給,至少滿足主要設(shè)供b應(yīng)提供短期的備用電力供給,至少滿足設(shè)備在應(yīng)備在斷電情況下的正常運(yùn)行要求；應(yīng)斷電情況下的正常運(yùn)行要求；標(biāo)準(zhǔn)文案實(shí)用文檔c應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機(jī)系統(tǒng)供電；c應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機(jī)系統(tǒng)供電；d應(yīng)建立備用供電系統(tǒng).電 磁防護(hù)a應(yīng)采用接地方式預(yù)防外界電磁干擾和設(shè)備寄生耦合干擾； 電磁防護(hù)a 電源線和通信線纜應(yīng)隔離鋪設(shè),預(yù)防互相干擾；b電源線和通信線纜應(yīng)隔離鋪設(shè),預(yù)防互相干擾；b應(yīng)對關(guān)鍵設(shè)備

8、實(shí)施電磁屏蔽.c應(yīng)對關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽.1.2、網(wǎng)絡(luò)和通信平安VS原來網(wǎng)絡(luò)平安新標(biāo)準(zhǔn)減少了結(jié)構(gòu)平安、邊界完整性檢查、網(wǎng)絡(luò)設(shè)備防護(hù)三個限制點(diǎn),增加了網(wǎng)絡(luò)架構(gòu)、通信傳輸、邊界防護(hù)、集中管控四個限制點(diǎn).原結(jié)構(gòu)平安中局部要求項(xiàng)納入了網(wǎng)絡(luò)架構(gòu)限制點(diǎn)中,原應(yīng)用平安中通信完整性和保密性的要求項(xiàng)納入了通信傳輸限制點(diǎn)中,原邊界完整性檢查和訪問限制中局部要求項(xiàng)內(nèi)容納入了邊界防護(hù)限制點(diǎn)中,原網(wǎng)絡(luò)設(shè)備防護(hù)限制點(diǎn)要求并到設(shè)備和計算平安要求中.要求項(xiàng)總數(shù)原來為 33 項(xiàng),調(diào)整為還是 33 項(xiàng),但要求項(xiàng)內(nèi)容有變化限制點(diǎn)和限制點(diǎn)要求項(xiàng)數(shù)修改情況如下列圖：網(wǎng) 絡(luò)安全原限制點(diǎn)要求項(xiàng)數(shù)新限制點(diǎn)要求項(xiàng)數(shù)1 結(jié)構(gòu)平安7網(wǎng)絡(luò)和

9、通信安全1 網(wǎng)絡(luò)架構(gòu)52 訪問限制82 通信傳輸243 平安審計43 邊界防護(hù)4 邊界完整性檢查24 訪問限制55 入侵防范25 入侵防范426 惡意代碼防范26 惡意代碼防范7 網(wǎng)絡(luò)設(shè)備防護(hù)87 平安審計58 集中管控6具體要求項(xiàng)的變化如下表:信息結(jié)構(gòu)安全平安等級保護(hù)根本要求-網(wǎng)絡(luò)平安三級a應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理水平具備冗余空間,滿足業(yè)務(wù)頂峰期需要；b應(yīng)保證網(wǎng)絡(luò)各個局部的帶寬滿足業(yè)務(wù)頂峰期需要；c應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)效勞器之間進(jìn)行路由控制建立平安的訪問路徑；d應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；網(wǎng)經(jīng)安有網(wǎng)絡(luò)架構(gòu)平安等級保護(hù)根本要求通用要求一網(wǎng)絡(luò)和通信:三級a應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理

10、水平具備冗余空間,滿足業(yè)務(wù)頂峰期需要；b應(yīng)保證網(wǎng)絡(luò)各個局部的帶寬滿足業(yè)務(wù)頂峰期需要；c應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域,并根據(jù)方便治理和控制的原那么為各網(wǎng)絡(luò)區(qū)域分配地址；d應(yīng)預(yù)防將重要網(wǎng)絡(luò)區(qū)域部署在網(wǎng)絡(luò)邊界處且沒有邊界防護(hù)舉措；標(biāo)準(zhǔn)文案實(shí)用文檔e應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并根據(jù)方便治理和限制的原那么為各子網(wǎng)、網(wǎng)段分配地址段；e應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余,保證系統(tǒng)的可用性.f應(yīng)預(yù)防將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間米取可靠的技術(shù)隔離手段；g應(yīng)根據(jù)對業(yè)務(wù)效勞的重要次序來指定帶寬分配優(yōu)先級別,保證在網(wǎng)絡(luò)發(fā)生

11、擁堵的時候優(yōu)先保護(hù)重要主機(jī).邊a應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行通a應(yīng)采用校驗(yàn)碼技術(shù)或密碼技術(shù)保證通信過程界為進(jìn)行檢查,準(zhǔn)確定出位置,并對其進(jìn)行有效阻信中數(shù)據(jù)的完整性；完斷；傳b應(yīng)采用密碼技術(shù)保證通信過程中敏感信息字整性b應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的輸段或整個報文的保密性.行為進(jìn)行檢查,準(zhǔn)確定出位置,并對其進(jìn)行有效邊a應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界防檢阻斷.界護(hù)設(shè)備提供的受控接口進(jìn)行通信；查防護(hù)b 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；c應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；d應(yīng)限制無線網(wǎng)絡(luò)的使用,保證無線網(wǎng)絡(luò)通過受控的邊界防護(hù)設(shè)備接入

12、內(nèi)部網(wǎng)絡(luò).訪a應(yīng)在網(wǎng)絡(luò)邊界部署訪問限制設(shè)備,啟用訪問控訪a應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問限制策略問制功能；問設(shè)置訪問限制規(guī)那么,默認(rèn)情況下除允許通信外受控b應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的控控接口拒絕所有通信；制允許/拒絕訪問的水平,限制粒度為端口級；制b應(yīng)刪除多余或無效的訪問限制規(guī)那么,優(yōu)化訪問c應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾,實(shí)現(xiàn)對應(yīng)限制列表,并保證訪問限制規(guī)那么數(shù)量最小化；用層 HTTRFTP、TELNETSMTPPOP3 等協(xié)議命令級的限制；c應(yīng)對源地址、目的地址、源端口、目的端口和d應(yīng)在會話處于非活潑一定時間或會話結(jié)束后協(xié)議等進(jìn)行檢查,以允許/拒絕數(shù)據(jù)包進(jìn)出；終止網(wǎng)絡(luò)連接；e應(yīng)

13、限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；d應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的f重要網(wǎng)段應(yīng)米取技術(shù)手段預(yù)防地址欺騙；允許/拒絕訪問的水平,限制粒度為端口級；g應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)那么,決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問,限制粒e應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容度為單個用戶；進(jìn)行過濾,實(shí)現(xiàn)對內(nèi)容的訪問限制.h應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量.入a應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃入a應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、預(yù)防或限制從外部侵描、強(qiáng)力攻擊、木馬后門攻擊、拒絕效勞攻擊、侵發(fā)起的網(wǎng)絡(luò)攻擊行為；防緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊防b應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、預(yù)防或限制從內(nèi)部

14、范等；范發(fā)起的網(wǎng)絡(luò)攻擊行為；新增b當(dāng)檢測到攻擊行為時,記錄攻擊源 IP、攻擊類標(biāo)準(zhǔn)文案實(shí)用文檔型、攻擊目的、攻擊時間,在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警.c應(yīng)采取技術(shù)舉措對網(wǎng)絡(luò)行為進(jìn)行分析,實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析；新增b當(dāng)檢測到攻擊行為時,記錄攻擊源 IP、攻擊類型、 攻擊目的、 攻擊時間,在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警.惡a應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和去除；惡a應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對惡意代碼進(jìn)行檢測和意意去除,并維護(hù)惡意代碼防護(hù)機(jī)制的升級和更新；代b應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新.代碼碼b應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對垃圾郵件進(jìn)行檢測和防防防護(hù),并維護(hù)垃圾郵件防護(hù)機(jī)制的升級

15、和更新.范范新增安a應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流安a應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行平安審計,全量、用戶行為等進(jìn)行日志記錄；全審計覆蓋到每個用戶,對重要的用戶行為和重要審審平安事件進(jìn)行審計；計b審計記錄應(yīng)包括：事件的日期和時間、用戶、計b審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信事件類型、事件是否成功及其他與審計相關(guān)的信官；官；c應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計報c應(yīng)對審計記錄進(jìn)行保護(hù),定期備份,預(yù)防受到表；未預(yù)期的刪除、修改或覆蓋等；d應(yīng)對審計記錄進(jìn)行保護(hù),預(yù)防受到未預(yù)期的刪d應(yīng)保證審計記錄的留存時間符合法律法規(guī)要除、修改或覆蓋等.求；

16、新增e應(yīng)能對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計和數(shù)據(jù)分析.新增無無集a應(yīng)劃分出特定的治理區(qū)域,對分布在網(wǎng)絡(luò)中的中平安設(shè)備或平安組件進(jìn)行管控；新增管b應(yīng)能夠建立一條平安的信息傳輸路徑,對網(wǎng)絡(luò)控中的平安設(shè)備或平安組件進(jìn)行治理；新增c應(yīng)對網(wǎng)絡(luò)鏈路、平安設(shè)備、網(wǎng)絡(luò)設(shè)備和效勞器等的運(yùn)行狀況進(jìn)行集中監(jiān)測；新增d 應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總和集中分析；新增e應(yīng)對平安策略、惡意代碼、補(bǔ)丁升級等平安相關(guān)事項(xiàng)進(jìn)行集中治理；f 應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類平安事件進(jìn)行識別、 報警和分析.新增網(wǎng)a應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；無無絡(luò)b應(yīng)對網(wǎng)絡(luò)設(shè)備的治理員登錄地址進(jìn)行限制；設(shè)c網(wǎng)

17、絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；備d主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種防以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；護(hù)e身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換；標(biāo)準(zhǔn)文案實(shí)用文檔f應(yīng)具有登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等舉措；g當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程治理時,應(yīng)采取必要措施預(yù)防鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；h應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限別離.1.3、設(shè)備和計算平安VS原來主機(jī)平安新標(biāo)準(zhǔn)減少了剩余信息保護(hù)一個限制點(diǎn),在測評對象上,把網(wǎng)絡(luò)設(shè)備、平安設(shè)備也納入了此層面的測評范圍要求項(xiàng)由原來的 32 項(xiàng)調(diào)整為 26 項(xiàng).限制點(diǎn)和各限制點(diǎn)要求項(xiàng)數(shù)修改情況

18、如下列圖:原限制點(diǎn)要求項(xiàng)數(shù)新限制點(diǎn)要求項(xiàng)數(shù)主機(jī)平安1 身份鑒別6設(shè)備和計算安全1 身份鑒別42 訪問限制72 訪問限制73 平安審計63 平安審計54 剩余信息保護(hù)24 入侵防范55 入侵防范35 惡意代碼防范16 惡意代碼防范7 資源限制356 資源限制4具體要求項(xiàng)的變化如下表:信息平安等級保護(hù)根本要求一主機(jī)平安三級網(wǎng)絡(luò)平安等級保護(hù)根本要求通用要求一設(shè)備和計算安全三級身 a應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)身 a應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別,身份標(biāo)識份行身份標(biāo)識和鑒別；份具有唯一性,身份鑒別信息具有復(fù)雜度要求并定期鑒 b操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)治理用戶身份標(biāo)識鑒更換；別應(yīng)具有不易被冒用的特

19、點(diǎn),口令應(yīng)有復(fù)雜度要別 b應(yīng)具有登錄失敗處理功能,應(yīng)配置并啟用結(jié)束會求并定期更換；話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出c應(yīng)啟用登錄失敗處理功能,可采取結(jié)束會等相關(guān)舉措；話、限制非法登錄次數(shù)和自動退出等舉措；d當(dāng)進(jìn)行遠(yuǎn)程治理時,應(yīng)采取必要舉措,預(yù)防鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；d當(dāng)對效勞器進(jìn)行遠(yuǎn)程治理時,應(yīng)采取必要措d應(yīng)米用兩種或兩種以上組合的鑒別技術(shù)對用戶施,預(yù)防鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；進(jìn)行身份鑒別,且其中一種鑒別技術(shù)至少應(yīng)使用e應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分動態(tài)口令、密碼技術(shù)或生物技術(shù)來實(shí)現(xiàn).配不同的用戶名,保證用戶名具有唯一性.f應(yīng)米用兩種或兩種以上組合的鑒別技術(shù)對

20、治理用戶進(jìn)行身份鑒別.標(biāo)準(zhǔn)文案實(shí)用文檔訪 問控制a應(yīng)啟用訪問限制功能,依據(jù)平安策略限制用戶對資源的訪問；訪問控制a應(yīng)對登錄的用戶分配賬戶和權(quán)限；b應(yīng)由授權(quán)主體配置訪問限制策略,訪問限制策略規(guī)定主體對客體的訪問規(guī)那么；c應(yīng)進(jìn)行角色劃分,并授予治理用戶所需的最小權(quán)限,實(shí)現(xiàn)治理用戶的權(quán)限別離；b應(yīng)重命名或刪除默認(rèn)賬戶,修改默認(rèn)賬戶的默認(rèn)口令；e應(yīng)及時刪除或停用多余的、過期的賬戶,預(yù)防共享賬戶的存在；f訪問限制的粒度應(yīng)到達(dá)主體為用戶級或進(jìn)程級,客體為文件、數(shù)據(jù)庫表級；g應(yīng)對敏感信息資源設(shè)置平安標(biāo)記,并限制主體對有平安標(biāo)記信息資源的訪問.b應(yīng)根據(jù)治理用戶的角色分配權(quán)限,實(shí)現(xiàn)治理用戶的權(quán)限別離,僅授予治理

21、用戶所需的最小權(quán)限；c應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限別離；d應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限,重命名系統(tǒng)默認(rèn)帳戶,修改這些帳戶的默認(rèn)口令；e應(yīng)及時刪除多余的、過期的帳戶,預(yù)防共享帳戶的存在.f應(yīng)對重要信息資源設(shè)置敏感標(biāo)記；g應(yīng)依據(jù)平安策略嚴(yán)格限制用戶對有敏感標(biāo)記重要信息資源的操作；安 全審計a審計范圍應(yīng)覆蓋到效勞器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；安全審計a 應(yīng)啟用平安審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要平安事件進(jìn)行審計；b審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；e應(yīng)對審計進(jìn)程進(jìn)行保護(hù),預(yù)防未經(jīng)授權(quán)的中斷.c應(yīng)對審計

22、記錄進(jìn)行保護(hù),定期備份,預(yù)防受到未預(yù)期的刪除、修改或覆蓋等；d應(yīng)保證審計記錄的留存時間符合法律法規(guī)要求；新增b審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的平安相關(guān)事件；c審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；d應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計報表；e應(yīng)保護(hù)審計進(jìn)程,預(yù)防受到未預(yù)期的中斷；f 應(yīng)保護(hù)審計記錄,預(yù)防受到未預(yù)期的刪除、 修改或覆蓋等.剩 余信官保護(hù)a應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間,被釋放或再分配給其他用戶前得到完全去除,無論這些信息是存放在硬盤上還是在內(nèi)存中；b應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)

23、庫記錄等資源所在的存儲空間,被釋放或重新分配給其他用戶前得到完全去除.入 侵防范 a應(yīng)能夠檢測到對重要效勞器進(jìn)行入侵的行為,能夠記錄入侵的源 IP、攻擊的類型、攻擊的目的、攻擊的時間,并在發(fā)生嚴(yán)重入侵事件時提供報警；入侵防范e應(yīng)能夠檢測到對重要節(jié)點(diǎn)進(jìn)行入侵的行為,并在發(fā)生嚴(yán)重入侵事件時提供報警.a應(yīng)遵循最小安裝的原那么,僅安裝需要的組件和應(yīng)用程序.b應(yīng)關(guān)閉不需要的系統(tǒng)效勞、默認(rèn)共享和高危端口；b應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測,并在檢測到完整性受到破壞后具有恢復(fù)的舉措；標(biāo)準(zhǔn)文案實(shí)用文檔c操作系統(tǒng)應(yīng)遵循最小安裝的原那么,僅安裝需要的組件和應(yīng)用程序,并通過設(shè)置升級效勞器等方式保持系統(tǒng)補(bǔ)丁及時得到更

24、新.c應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行治理的治理終端進(jìn)行限制；d應(yīng)能發(fā)現(xiàn)可能存在的漏洞,并在經(jīng)過充分測試評估后,及時修補(bǔ)漏洞；惡a應(yīng)安裝防惡意代碼軟件,并及時更新防惡意惡應(yīng)采用免受惡意代碼攻擊的技術(shù)舉措或可信驗(yàn)證意代碼軟件版本和惡意代碼庫；意機(jī)制對系統(tǒng)程序、應(yīng)用程序和重要配置文件/參數(shù)代b主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代進(jìn)行可信執(zhí)行驗(yàn)證,并在檢測到其完整性受到破碼代碼產(chǎn)品不同的惡意代碼庫；碼壞時采取恢復(fù)舉措.防c應(yīng)支持防惡意代碼的統(tǒng)一治理.防范范資a應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等資c應(yīng)對重要節(jié)點(diǎn)進(jìn)行監(jiān)視,包括監(jiān)視 CPU 硬盤、源條件限制終端登錄；源內(nèi)存等資源的

25、使用情況；控b應(yīng)根據(jù)平安策略設(shè)置登錄終端的操作超時控a應(yīng)限制單個用戶或進(jìn)程對系統(tǒng)資源的最大使用制鎖定；制限度；c應(yīng)對重要效勞器進(jìn)行監(jiān)視,包括監(jiān)視效勞器e應(yīng)能夠?qū)χ匾?jié)點(diǎn)的效勞水平降低到預(yù)先規(guī)定的 CPU 硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；的最小值進(jìn)行檢測和報警.d應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小b應(yīng)提供重要節(jié)點(diǎn)設(shè)備的硬件冗余,保證系統(tǒng)的使用限度；可用性；e應(yīng)能夠?qū)ο到y(tǒng)的效勞水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警.1.4、應(yīng)用和數(shù)據(jù)平安VS原來應(yīng)用平安+數(shù)據(jù)平安及備份恢復(fù)新標(biāo)準(zhǔn)將應(yīng)用平安、數(shù)據(jù)平安及備份恢復(fù)兩個層面合并成了應(yīng)用和數(shù)據(jù)平安一個層面,減少了通信完整性、通信保密性和抗抵賴三個限制

26、點(diǎn),增加了個人信息保護(hù)限制點(diǎn).通信完整性和通信保密性的要求納入了網(wǎng)絡(luò)和通信平安層面的通信傳輸限制點(diǎn).要求項(xiàng)由原來的 39 項(xiàng)調(diào)整為 33 項(xiàng).限制點(diǎn)和限制點(diǎn)要求項(xiàng)數(shù)修改情況如下列圖:原限制點(diǎn)要求項(xiàng)數(shù)新限制點(diǎn)要求項(xiàng)數(shù)應(yīng)用平安1 身份鑒別5應(yīng)用和數(shù)據(jù)平安1 身份鑒別52 訪問限制62 訪問限制73 平安審計43 平安審計54 剩余信息保護(hù)24 軟件容錯35 通信完整性15 資源限制26 通信保密性26 數(shù)據(jù)完整性27 抗抵賴27 數(shù)據(jù)保密性28 軟件容錯28 數(shù)據(jù)備份和恢復(fù)39 資源限制79 剩余信息保護(hù)2數(shù)據(jù)平安及備份恢復(fù)9 數(shù)據(jù)完整性210 個人信息保護(hù)210 數(shù)據(jù)保密性2標(biāo)準(zhǔn)文案實(shí)用文檔11

27、 備份和恢復(fù)4具體要求項(xiàng)的變化如下表:信息平安等級保護(hù)根本要求一主機(jī)平安三級網(wǎng)絡(luò)平安等級保護(hù)根本要求通用要求一設(shè)備和計算平安三級身份鑒別a應(yīng)提供專用的登錄限制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別；身 份鑒別a 應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別,身份標(biāo)識具有唯一性,鑒別信息具有復(fù)雜度要求并定期更換；b應(yīng)對同用戶來用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；e應(yīng)米用兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別,且其中一種鑒別技術(shù)至少應(yīng)使用動態(tài)口令、密碼技術(shù)或生物技術(shù)來實(shí)現(xiàn).c應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識,身份鑒別信息不易被冒用；b應(yīng)提供并啟

28、用登錄失敗處理功能,屢次登錄失敗后應(yīng)采取必要的保護(hù)舉措；d應(yīng)提供登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等舉措；e應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù)平安策略配置相關(guān)參數(shù).e應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù)平安策略配置相關(guān)參數(shù).c應(yīng)強(qiáng)制用戶首次登錄時修改初始口令；新增d用戶身份鑒別信息喪失或失效時,應(yīng)采用技術(shù)舉措確保鑒別信息重置過程的平安；新增訪問控制a應(yīng)提供訪問限制功能,依據(jù)平安策略限制用戶對文件、數(shù)據(jù)庫表等客體的訪問；訪 問控制a應(yīng)提供訪問限制功能,對

29、登錄的用戶分配賬戶和權(quán)限；b應(yīng)重命名或刪除默認(rèn)賬戶,修改默認(rèn)賬戶的默認(rèn)口令；c應(yīng)及時刪除或停用多余的、過期的賬戶,預(yù)防共享賬戶的存在；b訪問限制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；c應(yīng)由授權(quán)主體配置訪問限制策略,并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；e應(yīng)由授權(quán)主體配置訪問限制策略,訪問限制策略規(guī)定主體對客體的訪問規(guī)那么；d應(yīng)授予不同帳戶為完成各自承當(dāng)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系.d應(yīng)授予不同帳戶為完成各自承當(dāng)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系.f訪問限制的粒度應(yīng)到達(dá)主體為用戶級,客體為文件、數(shù)據(jù)庫表級、記錄或字段級；e應(yīng)具有對重要信息資源設(shè)

30、置敏感標(biāo)記的功能；g應(yīng)對敏感信息資源設(shè)置平安標(biāo)記,并限制主體對有安全標(biāo)記信息資源的訪問.f應(yīng)依據(jù)平安策略嚴(yán)格限制用戶對有敏感標(biāo)記重要信息資源的操作；安全a應(yīng)提供覆蓋到每個用戶的平安審計功能,對應(yīng)用系統(tǒng)重要平安事件進(jìn)行審安全a 應(yīng)提供平安審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要平安事件進(jìn)行審計；標(biāo)準(zhǔn)文案實(shí)用文檔審計；審計b應(yīng)保證無法單獨(dú)中斷審計進(jìn)程,無法計e應(yīng)對審計進(jìn)程進(jìn)行保護(hù),預(yù)防未經(jīng)授權(quán)的中斷.刪除、修改或覆蓋審計記錄；d應(yīng)保證審計記錄的留存時間符合法律法規(guī)要求；新增c應(yīng)對審計記錄進(jìn)行保護(hù),定期備份,預(yù)防受到未預(yù)期的刪除、修改或覆蓋等；c審計記錄的內(nèi)容至少應(yīng)包括事件的b審計記錄應(yīng)

31、包括事件的日期和時間、用戶、事件類型、日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；事件是否成功及其他與審計相關(guān)的信息；d應(yīng)提供對審計記錄數(shù)據(jù)進(jìn)行統(tǒng)計、查詢、分析及生成審計報表的功能.軟二a應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能,保證通軟a應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能,保證通過人機(jī)接口輸入件過人機(jī)接口輸入或通過通信接口輸入件或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求；容的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；容錯b應(yīng)提供自動保護(hù)功能,當(dāng)故障發(fā)生時錯b在故障發(fā)生時,應(yīng)能夠繼續(xù)提供一局部功能,保證能自動保護(hù)當(dāng)前所有狀態(tài),保證系統(tǒng)能夠夠?qū)嵤┍匾呐e措；進(jìn)行恢復(fù).c 在故障發(fā)生時,應(yīng)自動保存易失性數(shù)據(jù)和所有狀態(tài),保證系統(tǒng)能夠進(jìn)行

32、恢復(fù).新增資a當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在資a當(dāng)通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng),另源一段時間內(nèi)未作任何響應(yīng),另一方應(yīng)能源一方應(yīng)能夠自動結(jié)束會話；控夠自動結(jié)束會話；控制b應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制；制b應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制；c應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會話進(jìn)行限制；c應(yīng)能夠?qū)蝹€賬戶的多重并發(fā)會話進(jìn)行限制.d 應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行限制；e 應(yīng)能夠?qū)σ粋€訪問帳戶或一個請求進(jìn)程占用的資源分配最大限額和最小限額；f 應(yīng)能夠?qū)ο到y(tǒng)效勞水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警；g應(yīng)提供效勞優(yōu)先級設(shè)定功能,并在安裝后根據(jù)平安策略設(shè)定訪問帳

33、戶或請求進(jìn)程的優(yōu)先級,根據(jù)優(yōu)先級分配系統(tǒng)資源.剩a應(yīng)保證用戶鑒別信息所在的存儲空剩a應(yīng)保證鑒別信息所在的存儲空間被釋放或重新分配余間被釋放或再分配給其他用戶前得到余前得到完全去除；信完全去除,無論這些信息是存放在硬盤信官上還是在內(nèi)存中；官保b應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫保b應(yīng)保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配護(hù)記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全去除.護(hù)前得到完全去除.通應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)標(biāo)準(zhǔn)文案實(shí)用文檔信完整性的完整性.通a在通信雙方建立連接之前,應(yīng)用系統(tǒng)信應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證；保b應(yīng)對通信過程中的整個報文或會話密性過程進(jìn)行加密.抗a應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)抵者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；賴b應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能.數(shù)a應(yīng)能夠檢測到系統(tǒng)治理數(shù)據(jù)、鑒別信數(shù)a應(yīng)米用校驗(yàn)碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸據(jù)息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整據(jù)過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)完性受到破壞,并在檢測到完整性錯誤時完據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重整采取必要的恢復(fù)舉措；整要個人信息等；性b應(yīng)能夠檢測到系