等保2.0通用要求VS等保1.0(三級)技術(shù)部分要求詳細對比

等保2.0系列標準即將公布，網(wǎng)絡(luò)安全等級保護基本要求通用要求在信息安全等級保護基本要求技術(shù)部分基礎(chǔ)上進行了一些調(diào)整，湖南金盾就網(wǎng)絡(luò)安全等級保護基本要求通用要求在信息安全等級保護基本要求進行了詳細對比，下面以三級為例進行一個對比。網(wǎng)絡(luò)安全等級保護基本要求通用要求技術(shù)部分與信息安全等級保護基本要求技術(shù)部分結(jié)構(gòu)由原來五個層面：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全，調(diào)整為四個部分：物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全；技術(shù)要求“從面到點”提出安全要求，“物理和環(huán)境安全”主要對機房設(shè)施提出要求，“網(wǎng)絡(luò)和通信安全”主要對網(wǎng)絡(luò)整體提出要求，“設(shè)備和計算安全”主要對組成節(jié)點（包含網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件等）提出要求，“應(yīng)用和數(shù)據(jù)安全”主要對業(yè)務(wù)應(yīng)用和數(shù)據(jù)提出要求。（標粗內(nèi)容為三級和二級改變，標紅部門為新標準主要改變）

物理與環(huán)境安全VS原來物理安全

控制點未發(fā)生改變，要求項數(shù)由原來32項調(diào)整為22項?？刂泣c要求項數(shù)修改情況以下列圖：

原控制點要求項數(shù)新控制點要求項數(shù)物理安全1

物理位置選擇2物理和環(huán)境安全1

物理位置選擇22

物理訪問控制42

物理訪問控制13

防偷竊和防破壞63

防偷竊和防破壞34

防雷擊34

防雷擊25

防火35

防火36

防水和防潮46

防水和防潮37

防靜電27

防靜電28

溫濕度控制18

溫濕度控制19

電力供給49

電力供給310

電磁防護310

電磁防護2

要求項改變以下：信息安全等級保護基本要求—物理安全（三級）網(wǎng)絡(luò)安全等級保護基本要求通用要求—物理和環(huán)境安全（三級）物理位置選擇a)

機房和辦公場地應(yīng)選擇在具備防震、防風和防雨等能力建筑內(nèi)；物理位置選擇a)

機房和辦公場地應(yīng)選擇在具備防震、防風和防雨等能力建筑內(nèi)；b)

機房場地應(yīng)防止設(shè)在建筑物高層或地下室，以及用水設(shè)備下層或隔壁。b)

機房場地應(yīng)防止設(shè)在建筑物頂層或地下室，不然應(yīng)加強防水和防潮方法。物理訪問控制a)

機房出入口應(yīng)安排專員值守，控制、判別和統(tǒng)計進入人員；物理訪問控制a)

機房出入口應(yīng)配置電子門禁系統(tǒng)，控制、判別和統(tǒng)計進入人員。b)

需進入機房來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍；c)

應(yīng)對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在主要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；d)

主要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、判別和統(tǒng)計進入人員。防偷竊和防破壞a)

應(yīng)將主要設(shè)備放置在機房內(nèi)；防偷竊和防破壞b)

應(yīng)將設(shè)備或主要部件進行固定，并設(shè)置顯著不易除去標識；a)

應(yīng)將設(shè)備或主要部件進行固定，并設(shè)置顯著不易除去標識；c)

應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；b)

應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；d)

應(yīng)對介質(zhì)分類標識，存放在介質(zhì)庫或檔案室中；e)

應(yīng)利用光、電等技術(shù)設(shè)置機房防盜報警系統(tǒng)；c)

應(yīng)設(shè)置機房防盜報警系統(tǒng)或設(shè)置有專員值守視頻監(jiān)控系統(tǒng)。f)

應(yīng)對機房設(shè)置監(jiān)控報警系統(tǒng)。防雷擊a)

機房建筑應(yīng)設(shè)置避雷裝置；防雷擊a)

應(yīng)將各類機柜、設(shè)施和設(shè)備等經(jīng)過接地系統(tǒng)安全接地；b)

應(yīng)設(shè)置防雷保安器，預防感應(yīng)雷；b)

應(yīng)采取方法預防感應(yīng)雷，比如設(shè)置防雷保安器或過壓保護裝置等。c)

機房應(yīng)設(shè)置交流電源地線。防火a)

機房應(yīng)設(shè)置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；防火a)

機房應(yīng)設(shè)置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；b)

機房及相關(guān)工作房間和輔助房應(yīng)采取具備耐火等級建筑材料；b)

機房及相關(guān)工作房間和輔助房應(yīng)采取具備耐火等級建筑材料；c)

機房應(yīng)采取區(qū)域隔離防火方法，將主要設(shè)備與其余設(shè)備隔離開。c)

應(yīng)對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設(shè)置隔離防火方法。

防水和防潮a)

水管安裝，不得穿過機房屋頂和活動地板下；防水和防潮b)

應(yīng)采取方法預防雨水經(jīng)過機房窗戶、屋頂和墻壁滲透；a)

應(yīng)采取方法預防雨水經(jīng)過機房窗戶、屋頂和墻壁滲透；c)

應(yīng)采取方法預防機房內(nèi)水蒸氣結(jié)露和地下積水轉(zhuǎn)移與滲透；b)

應(yīng)采取方法預防機房內(nèi)水蒸氣結(jié)露和地下積水轉(zhuǎn)移與滲透；d)

應(yīng)安裝對水敏感檢測儀表或元件，對機房進行防水檢測和報警。c)

應(yīng)安裝對水敏感檢測儀表或元件，對機房進行防水檢測和報警。防靜電a)

主要設(shè)備應(yīng)采取必要接地防靜電方法；防靜電a)

應(yīng)安裝防靜電地板并采取必要接地防靜電方法；b)

機房應(yīng)采取防靜電地板。b)

應(yīng)采取方法預防靜電產(chǎn)生，比如采取靜電消除器、佩戴防靜電手環(huán)等。(新增)溫濕度控制機房應(yīng)設(shè)置溫、濕度自動調(diào)整設(shè)施，使機房溫、濕度改變在設(shè)備運行所允許范圍之內(nèi)。溫濕度控制機房應(yīng)設(shè)置溫、濕度自動調(diào)整設(shè)施，使機房溫、濕度改變在設(shè)備運行所允許范圍之內(nèi)。電力供給a)

應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備；電力供給a)

應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備；b)

應(yīng)提供短期備用電力供給，最少滿足主要設(shè)備在斷電情況下正常運行要求；b)

應(yīng)提供短期備用電力供給，最少滿足設(shè)備在斷電情況下正常運行要求；c)

應(yīng)設(shè)置冗余或并行電力電纜線路為計算機系統(tǒng)供電；c)

應(yīng)設(shè)置冗余或并行電力電纜線路為計算機系統(tǒng)供電；d)

應(yīng)建立備用供電系統(tǒng)。電磁防護a)

應(yīng)采取接地方式預防外界電磁干擾和設(shè)備寄生耦合干擾；電磁防護b)

電源線和通信線纜應(yīng)隔離鋪設(shè)，防止相互干擾；a

電源線和通信線纜應(yīng)隔離鋪設(shè)，防止相互干擾；c)

應(yīng)對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。b)

應(yīng)對關(guān)鍵設(shè)備實施電磁屏蔽。

網(wǎng)絡(luò)和通信安全VS原來網(wǎng)絡(luò)安全

新標準降低了結(jié)構(gòu)安全、邊界完整性檢驗、網(wǎng)絡(luò)設(shè)備防護三個控制點，增加了網(wǎng)絡(luò)架構(gòu)、通信傳輸、邊界防護、集中管控四個控制點。

原結(jié)構(gòu)安全中部分要求項納入了網(wǎng)絡(luò)架構(gòu)控制點中，原應(yīng)用安全中通信完整性和保密性要求項納入了通信傳輸控制點中，原邊界完整性檢驗和訪問控制中部分要求項內(nèi)容納入了邊界防護控制點中，原網(wǎng)絡(luò)設(shè)備防護控制點要求并到設(shè)備和計算安全要求中。

要求項總數(shù)原來為33項，調(diào)整為還是33項，但要求項內(nèi)容有改變。

控制點和控制點要求項數(shù)修改情況以下列圖：原控制點要求項數(shù)新控制點要求項數(shù)網(wǎng)絡(luò)安全1結(jié)構(gòu)安全7網(wǎng)絡(luò)和通信安全1

網(wǎng)絡(luò)架構(gòu)52訪問控制82通信傳輸23安全審計43邊界防護44邊界完整性檢驗24

訪問控制55入侵防范25

入侵防范46

惡意代碼防范26

惡意代碼防范27

網(wǎng)絡(luò)設(shè)備防護87

安全審計58

集中管控6

詳細要求項改變以下表：信息安全等級保護基本要求--網(wǎng)絡(luò)安全（三級）網(wǎng)絡(luò)安全等級保護基本要求通用要求—網(wǎng)絡(luò)和通信安全（三級）結(jié)構(gòu)安全a)

應(yīng)確保主要網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；網(wǎng)絡(luò)架構(gòu)a)

應(yīng)確保網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；b)

應(yīng)確保網(wǎng)絡(luò)各個部分帶寬滿足業(yè)務(wù)高峰期需要；b)

應(yīng)確保網(wǎng)絡(luò)各個部分帶寬滿足業(yè)務(wù)高峰期需要；c)

應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全訪問路徑；d)

應(yīng)繪制與當前運行情況相符網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；e)

應(yīng)依照各部門工作職能、主要性和所包括信息主要程度等原因，劃分不一樣子網(wǎng)或網(wǎng)段，并按照方便管理和控制標準為各子網(wǎng)、網(wǎng)段分配地址段；c)

應(yīng)劃分不一樣網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制標準為各網(wǎng)絡(luò)區(qū)域分配地址；f)

應(yīng)防止將主要網(wǎng)段布署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，主要網(wǎng)段與其余網(wǎng)段之間采取可靠技術(shù)隔離伎倆；d)

應(yīng)防止將主要網(wǎng)絡(luò)區(qū)域布署在網(wǎng)絡(luò)邊界處且沒有邊界防護方法；g)

應(yīng)按照對業(yè)務(wù)服務(wù)主要次序來指定帶寬分配優(yōu)先級別，確保在網(wǎng)絡(luò)發(fā)生擁堵時候優(yōu)先保護主要主機。e)應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備硬件冗余，確保系統(tǒng)可用性。

通信傳輸a)

應(yīng)采取校驗碼技術(shù)或密碼技術(shù)確保通信過程中數(shù)據(jù)完整性；b)

應(yīng)采取密碼技術(shù)確保通信過程中敏感信息字段或整個報文保密性。

邊界防護a)

應(yīng)確保跨越邊界訪問和數(shù)據(jù)流經(jīng)過邊界防護設(shè)備提供受控接口進行通信；邊界完整性檢驗a)

應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)行為進行檢驗，準確定出位置，并對其進行有效阻斷；b)

應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)行為進行限制或檢驗；

b)

應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)行為進行檢驗，準確定出位置，并對其進行有效阻斷。c)

應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)行為進行限制或檢驗；

d)

應(yīng)限制無線網(wǎng)絡(luò)使用，確保無線網(wǎng)絡(luò)經(jīng)過受控邊界防護設(shè)備接入內(nèi)部網(wǎng)絡(luò)。

訪問控制a)

應(yīng)在網(wǎng)絡(luò)邊界布署訪問控制設(shè)備，啟用訪問控制功效；訪問控制a)

應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間依照訪問控制策略設(shè)置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕全部通信；

b)

應(yīng)刪除多出或無效訪問控制規(guī)則，優(yōu)化訪問控制列表，并確保訪問控制規(guī)則數(shù)量最小化；c)

應(yīng)對源地址、目標地址、源端口、目標端口和協(xié)議等進行檢驗，以允許/拒絕數(shù)據(jù)包進出；b)

應(yīng)能依照會話狀態(tài)信息為數(shù)據(jù)流提供明確允許/拒絕訪問能力，控制粒度為端口級；d)

應(yīng)能依照會話狀態(tài)信息為數(shù)據(jù)流提供明確允許/拒絕訪問能力，控制粒度為端口級；c)

應(yīng)對進出網(wǎng)絡(luò)信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級控制；e)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對進出網(wǎng)絡(luò)信息內(nèi)容進行過濾，實現(xiàn)對內(nèi)容訪問控制。

d)

應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；e)

應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；f)

主要網(wǎng)段應(yīng)采取技術(shù)伎倆預防地址坑騙；g)

應(yīng)按用戶和系統(tǒng)之間允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；h)

應(yīng)限制具備撥號訪問權(quán)限用戶數(shù)量。入侵防范a)

應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；入侵防范a)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、預防或限制從外部發(fā)起網(wǎng)絡(luò)攻擊行為；b)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、預防或限制從內(nèi)部發(fā)起網(wǎng)絡(luò)攻擊行為；(新增)c)

應(yīng)采取技術(shù)方法對網(wǎng)絡(luò)行為進行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊尤其是新型網(wǎng)絡(luò)攻擊行為分析；(新增)b)

當檢測到攻擊行為時，統(tǒng)計攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報警。b)

當檢測到攻擊行為時，統(tǒng)計攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報警。惡意代碼防范a)

應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和去除；惡意代碼防范a)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進行檢測和去除，并維護惡意代碼防護機制升級和更新；b)

應(yīng)維護惡意代碼庫升級和檢測系統(tǒng)更新。b)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制升級和更新。

(新增)安全審計a)

應(yīng)對網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備運行情況、網(wǎng)絡(luò)流量、用戶行為等進行日志統(tǒng)計；安全審計a)

應(yīng)在網(wǎng)絡(luò)邊界、主要網(wǎng)絡(luò)節(jié)點進行安全審計，審計覆蓋到每個用戶，對主要用戶行為和主要安全事件進行審計；

b)

審計統(tǒng)計應(yīng)包含：事件日期和時間、用戶、事件類型、事件是否成功及其余與審計相關(guān)信息；b)

審計統(tǒng)計應(yīng)包含：事件日期和時間、用戶、事件類型、事件是否成功及其余與審計相關(guān)信息；c)

應(yīng)能夠依照統(tǒng)計數(shù)據(jù)進行分析，并生成審計報表；d)

應(yīng)對審計統(tǒng)計進行保護，防止受到未預期刪除、修改或覆蓋等。c)

應(yīng)對審計統(tǒng)計進行保護，定時備份，防止受到未預期刪除、修改或覆蓋等；d)

應(yīng)確保審計統(tǒng)計留存時間符正當律法規(guī)要求；(新增)e)

應(yīng)能對遠程訪問用戶行為、訪問互聯(lián)網(wǎng)用戶行為等單獨進行行為審計和數(shù)據(jù)分析。

(新增)集中管控a)

應(yīng)劃分出特定管理區(qū)域，對分布在網(wǎng)絡(luò)中安全設(shè)備或安全組件進行管控；

(新增)b)

應(yīng)能夠建立一條安全信息傳輸路徑，對網(wǎng)絡(luò)中安全設(shè)備或安全組件進行管理；

(新增)c)

應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等運行情況進行集中監(jiān)測；

(新增)d)

應(yīng)對分散在各個設(shè)備上審計數(shù)據(jù)進行搜集匯總和集中分析；(新增)e)

應(yīng)對安全策略、惡意代碼、補丁升級等安全相關(guān)事項進行集中管理；

f)

應(yīng)能對網(wǎng)絡(luò)中發(fā)生各類安全事件進行識別、報警和分析。

(新增)網(wǎng)絡(luò)設(shè)備防護a)

應(yīng)對登錄網(wǎng)絡(luò)設(shè)備用戶進行身份判別；b)

應(yīng)對網(wǎng)絡(luò)設(shè)備管理員登錄地址進行限制；c)

網(wǎng)絡(luò)設(shè)備用戶標識應(yīng)唯一；d)

主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合判別技術(shù)來進行身份判別；e)

身份判別信息應(yīng)具備不易被冒用特點，口令應(yīng)有復雜度要求并定時更換；f)

應(yīng)具備登錄失敗處理功效，可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡(luò)登錄連接超時自動退出等方法；g)

當對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要方法預防判別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；h)

應(yīng)實現(xiàn)設(shè)備特權(quán)用戶權(quán)限分離。

設(shè)備和計算安全VS原來主機安全

新標準降低了剩下信息保護一個控制點，在測評對象上，把網(wǎng)絡(luò)設(shè)備、安全設(shè)備也納入了此層面測評范圍。

要求項由原來32項調(diào)整為26項。

控制點和各控制點要求項數(shù)修改情況以下列圖：

原控制點要求項數(shù)新控制點要求項數(shù)主機安全1

身份判別6設(shè)備和計算安全1

身份判別42

訪問控制72

訪問控制73

安全審計63

安全審計54

剩下信息保護24

入侵防范55

入侵防范35

惡意代碼防范16

惡意代碼防范36

資源控制47

資源控制5

詳細要求項改變以下表：信息安全等級保護基本要求—主機安全（三級）網(wǎng)絡(luò)安全等級保護基本要求通用要求—設(shè)備和計算安全（三級）身份判別a)

應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶進行身份標識和判別；身份判別a)

應(yīng)對登錄用戶進行身份標識和判別，身份標識具備唯一性，身份判別信息具備復雜度要求并定時更換；b)

操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應(yīng)具備不易被冒用特點，口令應(yīng)有復雜度要求并定時更換；c)

應(yīng)啟用登錄失敗處理功效，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等方法；b)

應(yīng)具備登錄失敗處理功效，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關(guān)方法；d)

當對服務(wù)器進行遠程管理時，應(yīng)采取必要方法，預防判別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；d)

當進行遠程管理時，應(yīng)采取必要方法，預防判別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；e)

應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)不一樣用戶分配不一樣用戶名，確保用戶名具備唯一性。f)

應(yīng)采取兩種或兩種以上組合判別技術(shù)對管理用戶進行身份判別。d)

應(yīng)采取兩種或兩種以上組合判別技術(shù)對用戶進行身份判別，且其中一個判別技術(shù)最少應(yīng)使用動態(tài)口令、密碼技術(shù)或生物技術(shù)來實現(xiàn)。

訪問控制訪問控制a)

應(yīng)對登錄用戶分配賬戶和權(quán)限；

a)

應(yīng)啟用訪問控制功效，依據(jù)安全策略控制用戶對資源訪問；e)

應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略要求主體對客體訪問規(guī)則；

b)

應(yīng)依照管理用戶角色分配權(quán)限，實現(xiàn)管理用戶權(quán)限分離，僅授予管理用戶所需最小權(quán)限；d)

應(yīng)進行角色劃分，并授予管理用戶所需最小權(quán)限，實現(xiàn)管理用戶權(quán)限分離；c)

應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶權(quán)限分離；d)

應(yīng)嚴格限制默認帳戶訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改這些帳戶默認口令；b)

應(yīng)重命名或刪除默認賬戶，修改默認賬戶默認口令；e)

應(yīng)及時刪除多出、過期帳戶，防止共享帳戶存在。c)

應(yīng)及時刪除或停用多出、過期賬戶，防止共享賬戶存在；f)

訪問控制粒度應(yīng)達成主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表級；

f)

應(yīng)對主要信息資源設(shè)置敏感標識；g)

應(yīng)對敏感信息資源設(shè)置安全標識，并控制主體對有安全標識信息資源訪問。

g)

應(yīng)依據(jù)安全策略嚴格控制用戶對有敏感標識主要信息資源操作；安全審計a)

審計范圍應(yīng)覆蓋到服務(wù)器和主要客戶端上每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；安全審計a

應(yīng)啟用安全審計功效，審計覆蓋到每個用戶，對主要用戶行為和主要安全事件進行審計；b)

審計內(nèi)容應(yīng)包含主要用戶行為、系統(tǒng)資源異常使用和主要系統(tǒng)命令使用等系統(tǒng)內(nèi)主要安全相關(guān)事件；c)

審計統(tǒng)計應(yīng)包含事件日期、時間、類型、主體標識、客體標識和結(jié)果等；b)審計統(tǒng)計應(yīng)包含事件日期和時間、用戶、事件類型、事件是否成功及其余與審計相關(guān)信息；d)

應(yīng)能夠依照統(tǒng)計數(shù)據(jù)進行分析，并生成審計報表；e)

應(yīng)保護審計進程，防止受到未預期中止；e)

應(yīng)對審計進程進行保護，預防未經(jīng)授權(quán)中止。f)

應(yīng)保護審計統(tǒng)計，防止受到未預期刪除、修改或覆蓋等。c)

應(yīng)對審計統(tǒng)計進行保護，定時備份，防止受到未預期刪除、修改或覆蓋等；d)

應(yīng)確保審計統(tǒng)計留存時間符正當律法規(guī)要求；（新增）剩下信息保護a)

應(yīng)確保操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶判別信息所在存放空間，被釋放或再分配給其余用戶前得到完全去除，不論這些信息是存放在硬盤上還是在內(nèi)存中；b)

應(yīng)確保系統(tǒng)內(nèi)文件、目錄和數(shù)據(jù)庫統(tǒng)計等資源所在存放空間，被釋放或重新分配給其余用戶前得到完全去除。入侵防范a)

應(yīng)能夠檢測到對主要服務(wù)器進行入侵行為，能夠統(tǒng)計入侵源IP、攻擊類型、攻擊目標、攻擊時間，并在發(fā)生嚴重入侵事件時提供報警；入侵防范e)

應(yīng)能夠檢測到對主要節(jié)點進行入侵行為，并在發(fā)生嚴重入侵事件時提供報警。

b)

應(yīng)能夠?qū)χ饕绦蛲暾赃M行檢測，并在檢測到完整性受到破壞后具備恢復方法；c)

操作系統(tǒng)應(yīng)遵照最小安裝標準，僅安裝需要組件和應(yīng)用程序，并經(jīng)過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。a)

應(yīng)遵照最小安裝標準，僅安裝需要組件和應(yīng)用程序。b)

應(yīng)關(guān)閉不需要系統(tǒng)服務(wù)、默認共享和高危端口；c)

應(yīng)經(jīng)過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對經(jīng)過網(wǎng)絡(luò)進行管理管理終端進行限制；d)

應(yīng)能發(fā)覺可能存在漏洞，并在經(jīng)過充分測試評定后，及時修補漏洞；惡意代碼防范a)

應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；惡意代碼防范應(yīng)采取免受惡意代碼攻擊技術(shù)方法或可信驗證機制對系統(tǒng)程序、應(yīng)用程序和主要配置文件/參數(shù)進行可信執(zhí)行驗證，并在檢測到其完整性受到破壞時采取恢復方法。b)

主機防惡意代碼產(chǎn)品應(yīng)具備與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不一樣惡意代碼庫；c)

應(yīng)支持防惡意代碼統(tǒng)一管理。資源控制a)

應(yīng)經(jīng)過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；資源控制b)

應(yīng)依照安全策略設(shè)置登錄終端操作超時鎖定；c)

應(yīng)對主要服務(wù)器進行監(jiān)視，包含監(jiān)視服務(wù)器CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源使用情況；c)

應(yīng)對主要節(jié)點進行監(jiān)視，包含監(jiān)視CPU、硬盤、內(nèi)存等資源使用情況；

d)

應(yīng)限制單個用戶對系統(tǒng)資源最大或最小使用程度；a)

應(yīng)限制單個用戶或進程對系統(tǒng)資源最大使用程度；

e)

應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預先要求最小值進行檢測和報警。e)

應(yīng)能夠?qū)χ饕?jié)點服務(wù)水平降低到預先要求最小值進行檢測和報警。b)

應(yīng)提供主要節(jié)點設(shè)備硬件冗余，確保系統(tǒng)可用性；

應(yīng)用和數(shù)據(jù)安全VS原來應(yīng)用安全+數(shù)據(jù)安全及備份恢復

新標準將應(yīng)用安全、數(shù)據(jù)安全及備份恢復兩個層面合并成了應(yīng)用和數(shù)據(jù)安全一個層面，降低了通信完整性、通信保密性和抗抵賴三個控制點，增加了個人信息保護控制點。通信完整性和通信保密性要求納入了網(wǎng)絡(luò)和通信安全層面通信傳輸控制點。

要求項由原來39項調(diào)整為33項。

控制點和控制點要求項數(shù)修改情況以下列圖：

原控制點要求項數(shù)新控制點要求項數(shù)應(yīng)用安全1

身份判別5應(yīng)用和數(shù)據(jù)安全1

身份判別52

訪問控制62

訪問控制73

安全審計43

安全審計54

剩下信息保護24

軟件容錯35

通信完整性15

資源控制26

通信保密性26

數(shù)據(jù)完整性27

抗抵賴27

數(shù)據(jù)保密性28

軟件容錯28

數(shù)據(jù)備份和恢復39

資源控制79

剩下信息保護2數(shù)據(jù)安全及備份恢復9

數(shù)據(jù)完整性210

個人信息保護210

數(shù)據(jù)保密性211

備份和恢復4

詳細要求項改變以下表：

信息安全等級保護基本要求—主機安全（三級）網(wǎng)絡(luò)安全等級保護基本要求通用要求—設(shè)備和計算安全（三級）身份判別a)

應(yīng)提供專用登錄控制模塊對登錄用戶進行身份標識和判別；身份判別a)

應(yīng)對登錄用戶進行身份標識和判別，身份標識具備唯一性，判別信息具備復雜度要求并定時更換；b)

應(yīng)對同一用戶采取兩種或兩種以上組合判別技術(shù)實現(xiàn)用戶身份判別；e)

應(yīng)采取兩種或兩種以上組合判別技術(shù)對用戶進行身份判別，且其中一個判別技術(shù)最少應(yīng)使用動態(tài)口令、密碼技術(shù)或生物技術(shù)來實現(xiàn)。

c)

應(yīng)提供用戶身份標識唯一和判別信息復雜度檢驗功效，確保應(yīng)用系統(tǒng)中不存在重復用戶身份標識，身份判別信息不易被冒用；d)

應(yīng)提供登錄失敗處理功效，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等方法；b)

應(yīng)提供并啟用登錄失敗處理功效，數(shù)次登錄失敗后應(yīng)采取必要保護方法；e)

應(yīng)啟用身份判別、用戶身份標識唯一性檢驗、用戶身份判別信息復雜度檢驗以及登錄失敗處理功效，并依照安全策略配置相關(guān)參數(shù)。e)

應(yīng)啟用身份判別、用戶身份標識唯一性檢驗、用戶身份判別信息復雜度檢驗以及登錄失敗處理功效，并依照安全策略配置相關(guān)參數(shù)。c)

應(yīng)強制用戶首次登錄時修改初始口令；（新增）d)

用戶身份判別信息丟失或失效時，應(yīng)采取技術(shù)方法確保判別信息重置過程安全；（新增）訪問控制a)

應(yīng)提供訪問控制功效，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體訪問；訪問控制a)

應(yīng)提供訪問控制功效，對登錄用戶分配賬戶和權(quán)限；b)

應(yīng)重命名或刪除默認賬戶，修改默認賬戶默認口令；c)

應(yīng)及時刪除或停用多出、過期賬戶，防止共享賬戶存在；b)

訪問控制覆蓋范圍應(yīng)包含與資源訪問相關(guān)主體、客體及它們之間操作；c)

應(yīng)由授權(quán)主體配置訪問控制策略，并嚴格限制默認帳戶訪問權(quán)限；e)

應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略要求主體對客體訪問規(guī)則；d)

應(yīng)授予不一樣帳戶為完成各自負擔任務(wù)所需最小權(quán)限，并在它們之間形成相互制約關(guān)系。d)

應(yīng)授予不一樣帳戶為完成各自負擔任務(wù)所需最小權(quán)限，并在它們之間形成相互制約關(guān)系。f)

訪問控制粒度應(yīng)達成主體為用戶級，客體為文件、數(shù)據(jù)庫表級、統(tǒng)計或字段級；

e)

應(yīng)具備對主要信息資源設(shè)置敏感標識功效；g)

應(yīng)對敏感信息資源設(shè)置安全標識，并控制主體對有安全標識信息資源訪問。

f)

應(yīng)依據(jù)安全策略嚴格控制用戶對有敏感標識主要信息資源操作；安全審計a)

應(yīng)提供覆蓋到每個用戶安全審計功效，對應(yīng)用系統(tǒng)主要安全事件進行審計；安全審計a)

應(yīng)提供安全審計功效，審計覆蓋到每個用戶，對主要用戶行為和主要安全事件進行審計；b)

應(yīng)確保無法單獨中止審計進程，無法刪除、修改或覆蓋審計統(tǒng)計；e)

應(yīng)對審計進程進行保護，預防未經(jīng)授權(quán)中止。d)

應(yīng)確保審計統(tǒng)計留存時間符正當律法規(guī)要求；（新增）c)

應(yīng)對審計統(tǒng)計進行保護，定時備份，防止受到未預期刪除、修改或覆蓋等；c)

審計統(tǒng)計內(nèi)容最少應(yīng)包含事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；b)

審計統(tǒng)計應(yīng)包含事件日期和時間、用戶、事件類型、事件是否成功及其余與審計相關(guān)信息；d)

應(yīng)提供對審計統(tǒng)計數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表功效。軟件容錯a)

應(yīng)提供數(shù)據(jù)有效性檢驗功效，確保經(jīng)過人機接口輸入或經(jīng)過通信接口輸入數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；軟件容錯a)

應(yīng)提供數(shù)據(jù)有效性檢驗功效，確保經(jīng)過人機接口輸入或經(jīng)過通信接口輸入內(nèi)容符合系統(tǒng)設(shè)定要求；b)

應(yīng)提供自動保護功效，當故障發(fā)生時自動保護當前全部狀態(tài)，確保系統(tǒng)能夠進行恢復。b)

在故障發(fā)生時，應(yīng)能夠繼續(xù)提供一部分功效，確保能夠?qū)嵤┍匾椒ǎ籧)

在故障發(fā)生時，應(yīng)自動保留易失性數(shù)據(jù)和全部狀態(tài)，確保系統(tǒng)能夠進行恢復。（新增）

資源控制a)

當應(yīng)用系統(tǒng)通信雙方中一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；資源控制a)

當通信雙方中一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；b)

應(yīng)能夠?qū)ο到y(tǒng)最大并發(fā)會話連接數(shù)進行限制；b)

應(yīng)能夠?qū)ο到y(tǒng)最大并發(fā)會話連接數(shù)進行限制；c)

應(yīng)能夠?qū)蝹€帳戶多重并發(fā)會話進行限制；c)

應(yīng)能夠?qū)蝹€賬戶多重并發(fā)會話進行限制。d)

應(yīng)能夠?qū)σ粋€時間段內(nèi)可能并發(fā)會話連接數(shù)進行限制；e)

應(yīng)能夠?qū)σ粋€訪問帳戶或一個請求進程占用資源分配最大限額和最小限額；f)

應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預先要求最小值進行檢測和報警；g)

應(yīng)提供服務(wù)優(yōu)先級設(shè)定功效，并在安裝后依照安全策略設(shè)定訪問帳戶或請求進程優(yōu)先級，依照優(yōu)先級分配系統(tǒng)資源。剩下信息保護a)

應(yīng)確保用戶判別信息所在存放空間被釋放或再