2022年二级等保标准

1、二级等级保护要求一、技术要求实现方式技术要求项二级等保物理物理位1） 机房和办公场地应挑选在具有防震、防风和防雨等才能的建筑内；机房建设安全置的选择物理访1） 机房出入口应有专人值守,鉴别进入的人员身份并登记在案；门禁治理系统问掌握2） 应批准进入机房的来访人员,限制和监控其活动范畴；机房建设防盗窃1） 应将主要设备放置在物理受限的范畴内；和防破2） 应对设备或主要部件进行固定,并设置明显的不易除去的标记；坏3） 应将通信线缆铺设在隐藏处,如铺设在地下或管道中等；4） 应对介质分类标识,储备在介质库或档案室中；5） 应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为；防雷击1） 机房建筑应

2、设置避雷装置；防雷系统2） 应设置沟通电源地线；防火1） 应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动消防系统报警系统的良好状态；防水和1） 水管安装,不得穿过屋顶和活动地板下；机房建设防潮2） 应对穿过墙壁和楼板的水管增加必要的爱护措施,如设置套管；3） 应实行措施防止雨水通过屋顶和墙壁渗透；4） 应实行措施防止室内水蒸气结露和地下积水的转移与渗透；网络防静电1） 应采纳必要的接地等防静电措施静电地板温湿度1） 应设置温、湿度自动调剂设施,使机房温、湿度的变化在设备运行机房动力环境监控系掌握所答应的范畴之内；统电力供1） 运算机系统供电应与其他供电分开；UPS应2） 应设置稳压

3、器和过电压防护设备；防电磁排插, 防电磁机3） 应供应短期的备用电力供应（如UPS设备）；电磁防1） 应采纳接地方式防止外界电磁干扰和设备寄生耦合干扰；护2） 电源线和通信线缆应隔离,防止相互干扰；柜结构安1） 网络设备的业务处理才能应具备冗余空间,要求满意业务高峰期需设备做好双机冗余技术要求项二级等保合理设实现方式安全全与网要；段划分2） 应设计和绘制与当前运行情形相符的网络拓扑结构图；3） 应依据机构业务的特点,在满意业务高峰期需要的基础上,计网络带宽；4） 应在业务终端与业务服务器之间进行路由掌握,径；建立安全的拜访路5） 应依据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分

4、不同的子网或网段,并依据便利治理和掌握的原就为各子网、网段安排地址段；6） 重要网段应实行网络层地址与数据链路层地址绑定措施,防止地址欺诈；网络访1） 应能依据会话状态信息（包括数据包的源地址、目的地址、 源端口防火墙问掌握号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用）答应 / 拒绝拜访的才能；,为数据流供应明确的拨号访1） 应在基于安全属性的答应远程用户对系统拜访的规章的基础上,对VPN问掌握系统全部资源答应或拒绝用户进行拜访,掌握粒度为单个用户；2） 应限制具有拨号拜访权限的用户数量；网络安1） 应对网络系统中的网络设备运行状况、网络流量、

5、 用户行为等大事上网行为治理设备全审计进行日志记录；2） 对于每一个大事,其审计记录应包括：大事的日期和时间、用户、大事类型、大事是否胜利,及其他与审计相关的信息；边界完1） 应能够检测内部网络中显现的内部用户未通过准许私自联到外部IDS入侵检测整性检网络的行为（即“ 非法外联” 行为）；查网络入1） 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后IPS入侵防备侵防范门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击、网络蠕虫攻击等入侵大事的发生；恶意代1） 应在网络边界及核心业务网段处对恶意代码进行检测和清除；防毒墙码防范2） 应爱护恶意代码库的升级和检测系统的更新；3） 应支

6、持恶意代码防范的统一治理；网络设1） 应对登录网络设备的用户进行身份鉴别；爱护堡垒机备防护2） 应对网络设备的治理员登录地址进行限制；技术要求项二级等保实现方式3） 网络设备用户的标识应唯独；4） 身份鉴别信息应具有不易被冒用的特点,定期的更新等；例如口令长度、 复杂性和5） 应具有登录失败处理功能,如：终止会话、限制非法登录次数,当网络登录连接超时,自动退出；主机身份鉴1） 操作系统和数据库治理系统用户的身份标识应具有唯独性；1、系统别2） 应对登录操作系统和数据库治理系统的用户进行身份标识和鉴别；2、安全3） 操作系统和数据库治理系统身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性

7、和定期的更新等；4） 应具有登录失败处理功能,如：终止会话、限制非法登录次数,当登录连接超时,自动退出；自主访1） 应依据安全策略掌握主体对客体的拜访；客体VPN防火墙问掌握2） 自主拜访掌握的掩盖范畴应包括与信息安全直接相关的主体、及它们之间的操作；3） 自主拜访掌握的粒度应达到主体为用户级,级；客体为文件、 数据库表4） 应由授权主体设置对客体拜访和操作的权限；5） 应严格限制默认用户的拜访权限；强制访无数据库审计系统问掌握安全审1） 安全审计应掩盖到服务器上的每个操作系统用户和数据库用户；数据库审计系统计2） 安全审计应记录系统内重要的安全相关大事,包括重要用户行为和重要系统命令的使用等

8、；3） 安全相关大事的记录应包括日期和时间、类型、主体标识、客体标识、大事的结果等；4） 审计记录应受到爱护防止受到未预期的删除、修改或掩盖等；系统保1） 系统应供应在治理爱护状态中运行的才能,治理爱护状态只能被系数据储备备份,护统治理员使用；VPN 剩余信1） 应保证操作系统和数据库治理系统用户的鉴别信息所在的储备空息爱护间,被释放或再安排给其他用户前得到完全清除,无论这些信息是存放在硬盘上仍是在内存中；2） 应确保系统内的文件、目录和数据库记录等资源所在的储备空间,被释放或重新安排给其他用户前得到完全清除；技术要求项无二级等保实现方式入侵防网管系统, IPS入侵防范1） 服务器和重要终端设

9、备（包括移动设备） 应安装实时检测和查杀恶御系统恶意代防毒墙,杀毒软件码防范意代码的软件产品；2） 主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；应用资源控1） 应限制单个用户的会话数量；VPN制2） 应通过设定终端接入方式、网络地址范畴等条件限制终端登录；1、权限明确身份鉴1） 应用系统用户的身份标识应具有唯独性；安全别2） 应对登录的用户进行身份标识和鉴别；2、建 议 统 一 身 份 认3） 系统用户身份鉴别信息应具有不易被冒用的特点,例如口令长度、证、 VPN、短信登录等复杂性和定期的更新等；方式4） 应具有登录失败处理功能,如：终止会话、限制非法登录次数,当3、6

10、位以上字母、数登录连接超时,自动退出；字、字符混合搭配 4、SESSION时效明确,超时自动退出拜访控1） 应依据安全策略掌握用户对客体的拜访；客体防火墙制2） 自主拜访掌握的掩盖范畴应包括与信息安全直接相关的主体、及它们之间的操作；3） 自主拜访掌握的粒度应达到主体为用户级,级；客体为文件、 数据库表4） 应由授权主体设置用户对系统功能操作和对数据拜访的权限；5） 应实现应用系统特权用户的权限分别,配给不同的应用系统用户；例如将治理与审计的权限分6） 权限分别应采纳最小授权原就,分别授予不同用户各自为完成自己承担任务所需的最小权限,并在它们之间形成相互制约的关系；7） 应严格限制默认用户的拜

11、访权限；安全审1） 安全审计应掩盖到应用系统的每个用户；包括重要用户行为日志审计系统计2） 安全审计应记录应用系统重要的安全相关大事,操作日志和重要系统功能的执行等；3） 安全相关大事的记录应包括日期和时间、类型、主体标识、客体标识、大事的结果等；4） 审计记录应受到爱护防止受到未预期的删除、修改或掩盖等；技术要求项二级等保VPN 实现方式剩余信1） 应保证用户的鉴别信息所在的储备空间,被释放或再安排给其他用息爱护户前得到完全清除,无论这些信息是存放在硬盘上仍是在内存中；2） 应确保系统内的文件、目录和数据库记录等资源所在的储备空间,被释放或重新安排给其他用户前得到完全清除；通信完1） 通信双

12、方应商定单向的校验码算法,运算通信数据报文的校验码,VPN加密整性在进行通信时,双方依据校验码判定对方报文的有效性；VPN 抗抵赖无通信保1） 当通信双方中的一方在一段时间内未作任何响应,另一方应能够自VPN 密性动终止会话；2） 在通信双方建立连接之前,利用密码技术进行会话初始化验证；3） 在通信过程中,应对敏锐信息字段进行加密；软件容1） 应对通过人机接口输入或通过通信接口输入的数据进行有效性检VPN错验；2） 应对通过人机接口方式进行的操作供应“ 回退” 功能,即答应依据操作的序列进行回退；3） 在故障发生时, 应连续供应一部分功能,确保能够实施必要的措施；资源控1） 应限制单个用户的多重并发会话；VPN制2） 应对应用系统的最大并发会话连接数进行限制；3） 应对一个时间段内可能的并发会话连接数进行限制；数据代码安1） 应对应用程序代码进行恶意代码扫描；防火墙全2） 应对应用程序代码进行安全脆弱性分析；防火墙数据完1） 应能够检测到系统治理数据、鉴别信息和用户数据在传输过程中完安全整性整性受到破坏；2） 应能够检测到系统治理数据、整性受到破坏；鉴别信息和用户数据在储备过程中完数据保1） 网络设备、操作系统、数据库治理系统和应用系统的鉴别信息、敏堡垒机密性感的系统治理数据和敏锐的用户数据应采纳加密或其他有效措施实现传