2022等級(jí)保護(hù)2.0詳解

11等級(jí)保護(hù)V2.0詳解目錄/CONTENTS01 02 03 04

等級(jí)保護(hù)發(fā)展歷程與展望等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系等級(jí)保護(hù)2.0基本要求解析工業(yè)控制系統(tǒng)安全擴(kuò)展要求解析01等級(jí)保護(hù)發(fā)展歷程與展望01等級(jí)保護(hù)發(fā)展歷程與展望等級(jí)保護(hù)發(fā)展歷程與展望等級(jí)保護(hù)發(fā)展歷程與展望等級(jí)保護(hù)發(fā)展歷程與展望1994-2003政策環(huán)境營(yíng)造2004-2006工作開展準(zhǔn)備1994-2003政策環(huán)境營(yíng)造2004-2006工作開展準(zhǔn)備2007-2010工作正式啟動(dòng)2010-20162003）2004-2006年，公安部聯(lián)合四部委開展涉及65117家單位，共1153192007年62007年742010年12455662016年10月10重要標(biāo)志2.0系列制工作重要標(biāo)志2.0系列制工作2016年11月7以《GB17859GB/T22239-20081.0。2013準(zhǔn)的研究。2017年1月至22017年5月，《GA/T1389—2017GA/T1390.2—2017242018年6月，、、局）等級(jí)保護(hù)發(fā)展歷程與展望等級(jí)保護(hù)發(fā)展歷程與展望等級(jí)保護(hù)上升為法律 保護(hù)對(duì)象不斷拓展 工作內(nèi)容持續(xù)擴(kuò)展 保護(hù)體系重大升級(jí) 《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第21條規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，要求“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求，履行安全保護(hù)義務(wù)”?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》第21條規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，要求“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求，履行安全保護(hù)義務(wù)”。拓展。制度并加以實(shí)施。在現(xiàn)有體系基礎(chǔ)上，建立完善育訓(xùn)練體系等。等級(jí)保護(hù)2.0時(shí)代，將根據(jù)信息技術(shù)發(fā)展應(yīng)用和網(wǎng)絡(luò)安全態(tài)勢(shì)，不斷豐富制度內(nèi)涵、拓展保護(hù)范圍、完善監(jiān)管措施，逐步健全網(wǎng)絡(luò)安全等級(jí)保護(hù)制度政策、標(biāo)準(zhǔn)和支撐體系。02等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系029988等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》《《《《《《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)信息系統(tǒng)安全等級(jí)保護(hù)基本信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指要指要要指南求南求求南》》》》》》等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系正式更名為網(wǎng)絡(luò)安橫向擴(kuò)展了對(duì)云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制縱向擴(kuò)展了對(duì)等保測(cè)評(píng)機(jī)構(gòu)的規(guī)范管理。（注：基于2017年等級(jí)保護(hù)標(biāo)準(zhǔn)系列征求意見稿）《正式更名為網(wǎng)絡(luò)安橫向擴(kuò)展了對(duì)云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制縱向擴(kuò)展了對(duì)等保測(cè)評(píng)機(jī)構(gòu)的規(guī)范管理。（注：基于2017年等級(jí)保護(hù)標(biāo)準(zhǔn)系列征求意見稿）《網(wǎng)《網(wǎng)《網(wǎng)《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南》絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求》絡(luò)安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求和評(píng)估規(guī)范》第部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求第部分：物聯(lián)網(wǎng)安全擴(kuò)展要求第部分：移動(dòng)互聯(lián)安全擴(kuò)展要求第部分：云計(jì)算安全擴(kuò)展第部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求第部分：物聯(lián)網(wǎng)安全擴(kuò)展要求第部分：移動(dòng)互聯(lián)安全擴(kuò)展要求第部分：云計(jì)算安全擴(kuò)展要求第部分：安全通用要求《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第部分：安全通用要求第部分：云計(jì)算安全擴(kuò)展要求第部分：移動(dòng)互聯(lián)安全擴(kuò)展要求第部分：物聯(lián)網(wǎng)安全擴(kuò)展要求第部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求第部分：安全通用要求第部分：云計(jì)算安全擴(kuò)展要求第部分：移動(dòng)互聯(lián)安全擴(kuò)展要求第部分：物聯(lián)網(wǎng)安全擴(kuò)展要求第部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》《網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》543215432154321

《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》未變化 修訂內(nèi)容 新增11111010等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系(公安)公安部已于2017年5月率先發(fā)布《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)54GA/T1389—2017在國(guó)標(biāo)《信息安全等級(jí)保護(hù)定級(jí)指南》的基礎(chǔ)上細(xì)化優(yōu)化了對(duì)客體侵害事項(xiàng)、侵害程度的定義，確定了對(duì)基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、采用移動(dòng)互聯(lián)技術(shù)的信息系統(tǒng)、大數(shù)據(jù)等對(duì)象的定級(jí)原則，進(jìn)一步明確了定級(jí)過程中專家審查、主管部門審核、公安機(jī)關(guān)備案審查等節(jié)點(diǎn)的管理要求。GA/T1390.2—20172針對(duì)云計(jì)算架構(gòu)的特點(diǎn)，對(duì)云計(jì)算環(huán)境下的物理位置、虛擬化網(wǎng)絡(luò)、虛擬機(jī)、云服務(wù)方、云租戶、虛擬鏡像等技術(shù)保護(hù)要求，以及云服務(wù)商選擇、SLA協(xié)議、云安全審計(jì)等安全管理要求進(jìn)行了規(guī)定。GA/T1390.3—20173GA/T1390.5—20175//V2.0標(biāo)準(zhǔn)的整體變化V2.0標(biāo)準(zhǔn)的整體變化V2.0標(biāo)準(zhǔn)的整體變化V2.0標(biāo)準(zhǔn)的整體變化1 標(biāo)準(zhǔn)名稱變化1標(biāo)準(zhǔn)名稱變化2 標(biāo)準(zhǔn)內(nèi)容的變化2標(biāo)準(zhǔn)內(nèi)容的變化3 定級(jí)流程變化3定級(jí)流程變化4 控制措施分類結(jié)構(gòu)的變化4控制措施分類結(jié)構(gòu)的變化5 標(biāo)準(zhǔn)控制點(diǎn)和要求項(xiàng)的變化5標(biāo)準(zhǔn)控制點(diǎn)和要求項(xiàng)的變化PAGE13PAGE13PAGE12PAGE12標(biāo)準(zhǔn)名稱的變化標(biāo)準(zhǔn)名稱的變化等保2.0將原來的標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致。標(biāo)準(zhǔn)內(nèi)容的變化標(biāo)準(zhǔn)內(nèi)容的變化等保2.0調(diào)整各個(gè)級(jí)別的安全要求為安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求。V2.0標(biāo)準(zhǔn)的整體變化V2.0標(biāo)準(zhǔn)的整體變化V2.0標(biāo)準(zhǔn)的整體變化V2.0標(biāo)準(zhǔn)的整體變化安全保護(hù)等級(jí)定義的變化安全保護(hù)等級(jí)定義的變化安全保護(hù)等級(jí)第三級(jí)的定義修訂為：“等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害”。定級(jí)流程的完善依據(jù)國(guó)家等級(jí)保護(hù)制度監(jiān)管的十六字方針要求：“自主定級(jí)、專家評(píng)審、主管部門審批和公安機(jī)關(guān)監(jiān)督在云計(jì)算環(huán)境中，考慮到不同的安全建設(shè)和管理責(zé)任，應(yīng)將云服務(wù)方側(cè)的云計(jì)算平臺(tái)和云租戶方側(cè)的等級(jí)保護(hù)對(duì)象作為不同的定級(jí)對(duì)象分別定級(jí)。更進(jìn)一步分析，對(duì)于大型云計(jì)算平臺(tái)，應(yīng)將云計(jì)算基礎(chǔ)設(shè)施和相關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級(jí)對(duì)象；同一云計(jì)算平臺(tái)上的不同租戶的等級(jí)保護(hù)對(duì)象也應(yīng)劃分為不同的定級(jí)對(duì)象。工業(yè)控制系統(tǒng)中，其一般包含現(xiàn)場(chǎng)采集／執(zhí)行、現(xiàn)場(chǎng)控制、過程控制和生產(chǎn)管理等特征要素。其中，現(xiàn)場(chǎng)采集／執(zhí)行、現(xiàn)場(chǎng)控制、過程控制等要素應(yīng)作為一個(gè)整體對(duì)象定級(jí)，各層次要素不單獨(dú)定級(jí)；生產(chǎn)管理要素可單獨(dú)定級(jí)。控制措施分類結(jié)構(gòu)的變化控制措施分類結(jié)構(gòu)的變化等保2.0由舊標(biāo)準(zhǔn)的10個(gè)分類調(diào)整為8個(gè)分類，分別為：a)和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全。b)標(biāo)準(zhǔn)控制點(diǎn)和要求項(xiàng)的變化標(biāo)準(zhǔn)控制點(diǎn)和要求項(xiàng)的變化等保2.0在控制點(diǎn)要求上并沒有明顯增加，通過合并整合后相對(duì)舊標(biāo)準(zhǔn)略有縮減。V2.0標(biāo)準(zhǔn)控制結(jié)構(gòu)變化V2.0標(biāo)準(zhǔn)控制結(jié)構(gòu)變化PAGE15PAGE151616等級(jí)保護(hù)1.0技術(shù)要求物理安全等級(jí)保護(hù)1.0技術(shù)要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)管理要求安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理等級(jí)保護(hù)2.0物理和環(huán)境安全技術(shù)要求網(wǎng)絡(luò)和通信安全設(shè)備和計(jì)算安全應(yīng)用和數(shù)據(jù)安全安全策略和管理制度管理要求安全管理機(jī)構(gòu)和人員安全建設(shè)管理安全運(yùn)維管理V2.0標(biāo)準(zhǔn)控制點(diǎn)變化V2.0標(biāo)準(zhǔn)要求項(xiàng)變化V2.0標(biāo)準(zhǔn)要求項(xiàng)變化171703等級(jí)保護(hù)2.0基本要求解析0319192020等級(jí)保護(hù)2.0通用要求解析-物理和環(huán)境安全1.0要求b)機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。1.0要求b)機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。a)機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員；b)需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍；c)應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；d)重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。d)應(yīng)建立備用供電系統(tǒng)。a)應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；f)應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；g)應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。2.0要求防盜竊防破壞c)應(yīng)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)。物理位置選擇b)機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強(qiáng)防水和防潮措施。物理訪問控制a)機(jī)房出入口應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。降低物理位置選擇要求，機(jī)房可設(shè)置在建筑樓頂或地下室，但需要加強(qiáng)相應(yīng)防水防潮措施。解 降低了物理訪問控制要求，不再要求人員值守出入口，不再要求機(jī)房?jī)?nèi)部分區(qū)，不再對(duì)機(jī)房人員出入進(jìn)行具體要求。降低了電力供應(yīng)的要求，不再要求必須配備后備發(fā)電機(jī)。讀 降低了電磁防護(hù)的要求，不再要求必須接地。降低了防盜和防破壞要求，可部署防盜系統(tǒng)或視頻監(jiān)控系統(tǒng)。等級(jí)保護(hù)2.0通用要求解析-網(wǎng)絡(luò)和通訊安全等級(jí)保護(hù)2.0通用要求解析-網(wǎng)絡(luò)和通訊安全1.0要 求

2.0訪問控制a)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信；e)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)內(nèi)容的訪問控制訪問控制a)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信；e)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)內(nèi)容的訪問控制。cg)應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；h)應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。邊界防護(hù)應(yīng)能夠?qū)吔绶雷o(hù)應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查強(qiáng)化了對(duì)設(shè)備和通信鏈路的硬件冗余要求。解 強(qiáng)化了網(wǎng)絡(luò)訪問策略的控制要求，包括默認(rèn)拒絕策略、控制規(guī)則最小化策略和源目的檢查要。讀降低了帶寬控制的要求，不再要求必須進(jìn)行QOS控制。讀21212222等級(jí)保護(hù)2.0通用要求解析-網(wǎng)絡(luò)和通訊安全1.0要 求

2.0c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；a)應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；b)應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。入侵檢測(cè)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；；應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)和限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；a)應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；b)應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。入侵檢測(cè)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；；應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)和限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測(cè)和分析；求 強(qiáng)化了安全審計(jì)的統(tǒng)一時(shí)鐘源要求。解 強(qiáng)化了對(duì)網(wǎng)絡(luò)行為審計(jì)的要求。強(qiáng)化了網(wǎng)絡(luò)邊界的安全控制，特別是無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的邊界控制。讀 強(qiáng)化了對(duì)網(wǎng)絡(luò)攻擊特別是“未知攻擊”的檢測(cè)分析要求。強(qiáng)化了對(duì)惡意代碼和垃圾郵件的防范要求，強(qiáng)調(diào)在“關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)”。降低了對(duì)審計(jì)分析的要求，不再要求必須生成審計(jì)報(bào)表。等級(jí)保護(hù)2.0通用要求解析-網(wǎng)絡(luò)和通訊安全等級(jí)保護(hù)2.0通用要求解析-網(wǎng)絡(luò)和通訊安全解 特別增加了安全集中管控的要求，建設(shè)集中安全管理系統(tǒng)成為必要讀 將原有屬于網(wǎng)絡(luò)設(shè)備防護(hù)的內(nèi)容移到了“設(shè)備和計(jì)算安全”部分。2.0a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；2.0a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；合的鑒別技術(shù)來進(jìn)行身份鑒別；雜度要求并定期更換；非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。進(jìn)行集中監(jiān)測(cè)；；中管理；要 要 求 求 等級(jí)保護(hù)2.0通用要求解析-設(shè)備和計(jì)算安全d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；求要2.0身份鑒別求要2.0身份鑒別d)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用動(dòng)態(tài)口令、密碼技術(shù)或生物技術(shù)來實(shí)現(xiàn)。訪問控制f)訪問控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)；安全審計(jì)e)應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷。入侵檢測(cè)e)應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警惡意代碼防范a和重要配置文件/參數(shù)進(jìn)行可信執(zhí)行驗(yàn)證，并在檢測(cè)到其完整性受到破壞時(shí)采取恢復(fù)措施。b代碼庫(kù)；要求 c)應(yīng)支持防惡意代碼的統(tǒng)一管理。c)應(yīng)支持防惡意代碼的統(tǒng)一管理。強(qiáng)化了訪問控制的要求，細(xì)化了主體和客體的訪問控制粒度要求。解 強(qiáng)化了安全審計(jì)的統(tǒng)一時(shí)鐘源要求。強(qiáng)化了入侵防范的控制要求，包括終端的準(zhǔn)入要求、漏洞測(cè)試與修復(fù)。讀 降低了對(duì)審計(jì)分析的要求，不再要求必須生成審計(jì)報(bào)表。23降低了對(duì)惡意代碼防范的統(tǒng)一管理要求和強(qiáng)制性的代碼庫(kù)異構(gòu)要求。23提出了采用可信驗(yàn)證機(jī)制防范惡意代碼的控制要求。PAGE24PAGE24等級(jí)保護(hù)2.0通用要求解析-設(shè)備和計(jì)算安全解 讀強(qiáng)化了將網(wǎng)絡(luò)設(shè)備本身安全看作整體設(shè)備和計(jì)算安全的一部分，突出了“重要節(jié)點(diǎn)”的概念。c)應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPUc)應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU存、網(wǎng)絡(luò)等資源的使用情況；e報(bào)警。e報(bào)警。求

2.0要 d)應(yīng)能夠?qū)χ匾?jié)點(diǎn)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。求 d)應(yīng)能夠?qū)χ匾?jié)點(diǎn)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。

b)應(yīng)提供重要節(jié)點(diǎn)備硬件余保系的用； c)應(yīng)對(duì)重要節(jié)點(diǎn)進(jìn)行監(jiān)視，包括監(jiān)視CPU、硬盤、內(nèi)存等資源的使用情況；c)應(yīng)對(duì)重要節(jié)點(diǎn)進(jìn)行監(jiān)視，包括監(jiān)視CPU、硬盤、內(nèi)存等資源的使用情況；04工業(yè)控制系統(tǒng)安全擴(kuò)展要求解析04PAGE27PAGE27工業(yè)控制系統(tǒng)工業(yè)控制系統(tǒng)PAGE26PAGE26工業(yè)控制系統(tǒng)工業(yè)控制系統(tǒng)對(duì)于大型工業(yè)控制系統(tǒng)，可以根據(jù)系統(tǒng)功能、責(zé)任主體、控制對(duì)象和生產(chǎn)廠商等因素劃分為多個(gè)定級(jí)對(duì)象。現(xiàn)場(chǎng)采集/執(zhí)行、現(xiàn)場(chǎng)控制和過程控制等要素應(yīng)作為一個(gè)整體對(duì)象定級(jí)，各要素不單獨(dú)定級(jí)；生產(chǎn)管理要素可單獨(dú)定級(jí)。工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)傳感／執(zhí)行、現(xiàn)場(chǎng)控制和過程控制等層次要素應(yīng)作為一個(gè)整體對(duì)象定級(jí)，各層次要素不單獨(dú)定級(jí)；生產(chǎn)管理要素可單獨(dú)定級(jí)。

。PAGE29PAGE29工業(yè)控制系統(tǒng)安全定級(jí)工業(yè)控制系統(tǒng)安全定級(jí)PAGE28PAGE28初步確定等級(jí)初步確定等級(jí)對(duì)于基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)，應(yīng)根據(jù)其承載或?qū)⒁休d的等級(jí)保護(hù)對(duì)象的重要程度確定其安全保護(hù)等級(jí)，原則上應(yīng)不低于其承載的等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)。確定對(duì)客體的侵害程度；確定安全保護(hù)等級(jí)。等級(jí)保護(hù)2.0工業(yè)控制擴(kuò)展要求解析基本要求大類2.0控制類數(shù)量控制項(xiàng)數(shù)量技術(shù)要求物理和環(huán)境安全12基本要求大類2.0控制類數(shù)量控制項(xiàng)數(shù)量技術(shù)要求物理和環(huán)境安全12網(wǎng)絡(luò)和通信安全512設(shè)備和計(jì)算安全15安全建設(shè)管理22安全運(yùn)維管理35合計(jì)/1226PAGE31PAGE31等級(jí)保護(hù)2.0工業(yè)控制擴(kuò)展要求解讀等級(jí)保護(hù)2.0工業(yè)控制擴(kuò)展要求解讀PAGE30PAGE30工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域，區(qū)域間應(yīng)采用單向的技術(shù)隔離手段；工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域，區(qū)域間應(yīng)采用單向的技術(shù)隔離手段；工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域，安全域之間應(yīng)采用技術(shù)隔離手段；確需使用撥號(hào)訪問服務(wù)的，應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量；并采取用戶身份鑒別和訪問控制等措施；撥號(hào)服務(wù)器和客戶端均應(yīng)使問控制等措施。提出了對(duì)物理和環(huán)境以及網(wǎng)絡(luò)架構(gòu)的安全要求。提出了對(duì)工控行業(yè)中的拔號(hào)設(shè)備使用的安全要求。等級(jí)保護(hù)2.0工業(yè)控制擴(kuò)展要求解讀控制設(shè)備自身應(yīng)實(shí)現(xiàn)相應(yīng)級(jí)別安全通用要求提出的身份鑒別、訪問控制和安全審計(jì)等設(shè)備和計(jì)算方面的安全要求，如受條件限制控制設(shè)備無(wú)法實(shí)現(xiàn)上述要求，應(yīng)由其上位控制或管理設(shè)備實(shí)現(xiàn)同等功能或通過管理手段控制；控制設(shè)備自身應(yīng)實(shí)現(xiàn)相應(yīng)級(jí)別安全通用要求提出的身份鑒別、訪問控制和安全審計(jì)等設(shè)備和計(jì)算方面的安全要求，如受條件限制控制設(shè)備無(wú)法實(shí)現(xiàn)上述要求，應(yīng)由其上位控制或管理設(shè)備實(shí)現(xiàn)同等功能或通過管理手段控制；制設(shè)備進(jìn)行補(bǔ)丁更新、固件更新等工作；USB接口、串行口等，確需保留的必須通過相關(guān)的技術(shù)措施實(shí)施嚴(yán)格的監(jiān)控管理；應(yīng)使用專用設(shè)備和專用軟件對(duì)控制設(shè)備進(jìn)行更新；在惡意代碼程序。應(yīng)對(duì)輸加密的安全措施，實(shí)現(xiàn)傳輸報(bào)文的機(jī)密性保護(hù)；進(jìn)行控制的工業(yè)控制系統(tǒng)，應(yīng)能識(shí)別其物理環(huán)境中發(fā)射的未經(jīng)授權(quán)的無(wú)線設(shè)備，報(bào)告未經(jīng)授權(quán)試圖接入或干擾控制系統(tǒng)行為應(yīng)對(duì)所有參與線通信的用戶（人員、軟件進(jìn)程或者設(shè)備）提供唯一性標(biāo)識(shí)和鑒別；線通信的用戶（人員、軟件進(jìn)程或者設(shè)備）進(jìn)行授權(quán)以及執(zhí)行使用進(jìn)行限制；