等保20要求VS等保10技术部分要求详细对比

1、等保2.0通用要求VS等保1.0（三级）技术部分要求详细比较网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分结构由本来的五个层面：物理安全、网络安全、主机安全、应用安全、数据安全，调整为四个部分：物理和环境安全、网络和通讯安全、设施和计算安全、应用和数据安全；技术要求“从面到点”提出安全要求，“物理和环境安全”主要对机房设施提出要求，“网络和通讯安全”主要对网络整体提出要求，“设施和计算安全”主要对构成节点（包含网络设施、安全设施、操作系统、数据库、中间件等）提出要求，“应用和数据安全”主要对业务应用和数据提出要求。物理与环境安全VS本来物理安全控制点未发生变化，要求

2、项数由本来的32项调整为22项。控制点要求项数更正状况以以下图：原控制点要求项数新控制点要求项数1物理地址的选择21物理地址的选择22物理接见控制42物理接见控制13防盗窃和防破坏63防盗窃和防破坏34防雷击34防雷击25防火3物理和环5防火3物理安全境安全6防水和防潮46防水和防潮37防静电27防静电28温湿度控制18温湿度控制19电力供应49电力供应310电磁防范310电磁防范2要求项的变化以下：网络安全等级保护基本要求通用要求物理和环境信息安全等级保护基本要求物理安全（三级）安全（三级）物理a)机房和办公场所应选择在拥有防震、防风和地址防雨等能力的建筑内；的选b)机房场所应防范设在建筑物

3、的高层或地下择室，以及用水设施的基层或近邻。机房出入口应安排专人值守，控制、鉴别和记录进入的人员；需进入机房的来访人员应经过申请和审批流物理程，并限制和监控其活动范围；接见c)对付机房划分地域进行管理，地域和地域之控制间设置物理间隔装置，在重要地域前设置交付或安装等过渡地域；重要地域应配置电子门禁系统，控制、鉴别和记录进入的人员。应将主要设施搁置在机房内；应将设施或主要部件进行固定，并设置明显的不易除掉的标志；防盗c)应将通讯线缆铺设在隐蔽处，可铺设在地下窃和或管道中；防破d)对付介质分类表记，储存在介质库或档案室坏中；应利用光、电等技术设置机房防盗报警系统；对付机房设置监控报警系统。机房建筑

4、应设置避雷装置；防雷b)应设置防雷保安器，防范感觉雷；机房应设置交流电源地线。机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房应采纳拥有防火耐火等级的建筑资料；机房应采纳地域间隔防火措施，将重要设施与其余设施隔走开。水管安装，不得穿过机房屋顶和活动地板下；防水应采纳措施防范雨水经过机房窗户、屋顶和和防墙壁浸透；潮c)应采纳措施防范机房内水蒸气结露和地下积水的转移与浸透；物理a)机房和办公场所应选择在拥有防震、防风和地址防雨等能力的建筑内；的选b)机房场所应防范设在建筑物的顶层或地下择室，不然应增强防水和防潮措施。a)机房出入口应配置电子门禁系统，

5、控制、鉴别和记录进入的人员。物理接见控制a)应将设施或主要部件进行固定，并设置明显的不易除掉的标志；防盗b)应将通讯线缆铺设在隐蔽处，可铺设在地下窃和或管道中；防破坏应设置机房防盗报警系统或设置有专人值守的视频监控系统。a)应将各种机柜、设施和设施等经过接地系统安全接地；防雷b)应采纳措施防范感觉雷，比方设置防雷保安击器或过压保护装置等。a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房应采纳拥有防火耐火等级的建筑资料；对付机房划分地域进行管理，地域和地域之间设置间隔防火措施。防水a)应采纳措施防范雨水经过机房窗户、屋顶和和防墙壁浸透；潮应采纳

6、措施防范机房内水蒸气结露和地下积水的转移与浸透；应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。主要设施应采纳必需的接地防静电措施；防静b)机房应采纳防静电地板。电温湿机房应设置温、湿度自动调理设施，使机房度控温、湿度的变化在设施运转所同意的范围之制内。应在机房供电线路上配置稳压器和过电压防范设施；应供应短期的备用电力供应，最少满足主要电力设施在断电状况下的正常运转要求；供应应设置冗余或并行的电力电缆线路为计算机系统供电；应建立备用供电系统。应采纳接地方式防范外界电磁搅乱和设施寄生耦合搅乱；电磁b)电源线和通讯线缆应间隔铺设，防范相互干防范扰；对付要点设施和磁介质实行电磁障蔽。c)应

7、安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。a)应安装防静电地板并采纳必需的接地防静电措施；防静电应采纳措施防范静电的产生，比方采纳静电除掉器、佩戴防静电手环等。(新增)温湿机房应设置温、湿度自动调理设施，使机房度控温、湿度的变化在设施运转所同意的范围之制内。a)应在机房供电线路上配置稳压器和过电压防护设施；应供应短期的备用电力供应，最少满足设施电力在断电状况下的正常运转要求；供应应设置冗余或并行的电力电缆线路为计算机系统供电；电磁a电源线和通讯线缆应间隔铺设，防范相互干防范扰；对付要点设施实行电磁障蔽。网络和通讯安全VS本来网络安全新标准减少了结构安全、界限完好性检查、网络设施防

8、范三个控制点，增添了网络架构、通讯传输、界限防范、集中管控四个控制点。原结构安全中部分要求项纳入了网络架构控制点中，原应用安全中通讯完好性和保密性的要求项纳入了通讯传输控制点中，原界限完好性检查和接见控制中部分要求项内容纳入了界限防范控制点中，原网络设施防范控制点要求并到设施和计算安全要求中。要求项总数本来为33项，调整为还是33项，但要求项内容有变化。控制点和控制点要求项数更正状况以以下图：原控制点要求项数新控制点要求项数1结构安全71网络架构52接见控制8网2通讯传输2网3安全审计4络3界限防范4络界限完好性检查2和接见控制544安通全5入侵防范2信5入侵防范46歹意代码防范2安6歹意代码

9、防范27网络设施防范8全7安全审计58集中管控6详细要求项的变化以下表：信息安全等级保护基本要求网络安全（三级）应保证主要网络设施的业务办理能力具备冗余空间，满足业务巅峰期需要；应保证网络各个部分的带宽满足业务巅峰期需要；应在业务终端与业务服务器之间进行路由控制建立安全的接见路径；应绘制与当前运转状况符合的网络拓扑结构图；结e)应依据各部门的工作职能、重要性和所涉及信构息的重要程度等要素，划分不一样的子网或网段，安并依照方便管理和控制的原则为各子网、网段分全配地址段；应防范将重要网段部署在网络界限处且直接连接外面信息系统，重要网段与其余网段之间采纳靠谱的技术间隔手段；应依照对业务服务的重要次序

10、来指定带宽分配优先级别，保证在网络发生拥挤的时候优先保护重要主机。网络安全等级保护基本要求通用要求网络和通讯安全（三级）应保证网络设施的业务办理能力具备冗余空间，满足业务巅峰期需要；应保证网络各个部分的带宽满足业务巅峰期需要；网c)应划分不一样的网络地域，并依照方便管理和控架制的原则为各网络地域分配地址；构应防范将重要网络地域部署在网络界限处且没有界限防范措施；应供应通讯线路、要点网络设施的硬件冗余，保证系统的可用性。a)应采纳校验码技术或密码技术保证通讯过程中信数据的完好性；b)应采纳密码技术保证通讯过程中敏感信息字段输或整个报文的保密性。a)应保证超越界限的接见和数据流经过界限防范界设施供

11、应的受控接口进行通讯；a)应能够对非受权设施私自联到内部网络的行为界进行检查，正确立出地址，并对其进行有效阻完断；整应能够对内部网络用户私自联到外面网络的行性为进行检查，正确立出地址，并对其进行有效阻检断。查应在网络界限部署接见控制设施，启用接见控制功能；防b)应能够对非受权设施私自联到内部网络的行为护进行限制或检查；应能够对内部用户非受权联到外面网络的行为进行限制或检查；应限制无线网络的使用，保证无线网络经过受控的界限防范设施接入内部网络。应在网络界限或地域之间依据接见控制策略设置接见控制规则，默认状况下除同意通讯外受控接口拒绝全部通讯；应删除剩余或无效的接见控制规则，优化接见控制列表，并保

12、证接见控制规则数目最小化；对付源地址、目的地址、源端口、目的端口和协议等进行检查，以同意/拒绝数据包出入；b)应能依据会话状态信息为数据流供应明确的允许/拒绝接见的能力，控制粒度为端口级；c)对付出入网络的信息内容进行过滤，实现对应控用层HTTP、FTP、TELNET、SMTP、POP3制协议命令级的控制；应在会话处于非活跃一准时间或会话结束后停止网络连接；应限制网络最大流量数及网络连接数；重要网段应采纳技术手段防范地址欺骗；应按用户和系统之间的同意接见规则，决定同意或拒绝用户对受控系统进行资源接见，控制粒度为单个用户；应限制拥有拨号接见权限的用户数目。应在网络界限处督查以下攻击行为：端口扫描

13、、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；d)应能依据会话状态信息为数据流供应明确的允许/拒绝接见的能力，控制粒度为端口级；问应在要点网络节点处对出入网络的信息内容进等控行过滤，实现对内容的接见控制。制应在要点网络节点处检测、防范或限制从外面倡导的网络攻击行为；入入b)应在要点网络节点处检测、防范或限制从内部侵侵倡导的网络攻击行为；(新增)防防c)应采纳技术措施对网络行为进行分析，实现对范范网络攻击特别是新式网络攻击行为的分析；(新增)b)当检测到攻击行为时，记录攻击源IP、攻击类b)当检测到攻击行为时，记录攻击源IP、攻击型、攻击目的、攻击时间，在

14、发生严重入侵事件种类、攻击目的、攻击时间，在发生严重入侵事时应供应报警。件时应供应报警。a)应在网络界限处对歹意代码进行检测和除掉；意b)应保护歹意代码库的升级和检测系统的更新。码防范对付网络系统中的网络设施运转状况、网络流量、用户行为等进行日记记录；审计记录应包含：事件的日期和时间、用户、事件种类、事件能否成功及其余与审计相关的信安眠；c)应能够依据记录数据进行分析，并生成审计报审表；计d)对付审计记录进行保护，防范遇到未预期的删除、更正或覆盖等。a)对付登录网络设施的用户进行身份鉴别；b)对付网络设施的管理员登录地址进行限制；络网络设施用户的表记应独一；设备d)主要网络设施对付同一用户选择

15、两种或两种以上组合的鉴别技术来进行身份鉴别；防e)身份鉴别信息应拥有不易被冒用的特色，口令应有复杂度要求并按期更换；a)应在要点网络节点处对歹意代码进行检测和清意除，并保护歹意代码防范系统的升级和更新；代b)应在要点网络节点处对垃圾邮件进行检测和防防范，并保护垃圾邮件防范系统的升级和更新。范(新增)应在网络界限、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计记录应包含：事件的日期和时间、用户、事件种类、事件能否成功及其余与审计相关的信安眠；全审c)对付审计记录进行保护，按期备份，防范遇到未预期的删除、更正或覆盖等；应保证审计记录的保存时间符合法律法规

16、要求；(新增)应能对远程接见的用户行为、接见互联网的用户行为等单独进行行为审计和数据分析。(新增)应划分出特定的管理地域，对分布在网络中的安全设施或安全组件进行管控；(新增)应能够建立一条安全的信息传输路径，对网络中的安全设施或安全组件进行管理；(新增)c)对付网络链路、安全设施、网络设施和服务器中等的运转状况进行集中监测；(新增)d)对付分别在各个设施上的审计数据进行采集汇控总和集中分析；(新增)对付安全策略、歹意代码、补丁升级等安全相关事项进行集中管理；应能对网络中发生的各种安全事件进行鉴别、报警和分析。(新增)f)应拥有登录失败办理功能，可采纳结束会话、限制非法登录次数和当网络登录连接超

17、时自动退出等措施；当对网络设施进行远程管理时，应采纳必需措施防范鉴别信息在网络传输过程中被窃听；应实现设施特权用户的权限分别。设施和计算安全VS本来主机安全新标准减少了节余信息保护一个控制点，在测评对象上，把网络设施、安全设施也纳入了此层面的测评范围。要求项由本来的32项调整为26项。控制点和各控制点要求项数更正状况以以下图：原控制点要求项数新控制点要求项数1身份鉴别61身份鉴别42接见控制72接见控制73安全审计63安全审计5设施和计算安全主机安全4节余信息保护24入侵防范55入侵防范35歹意代码防范16歹意代码防范36资源控制47资源控制5详细要求项的变化以下表：网络安全等级保护基本要求通

18、用要求设施和计算安信息安全等级保护基本要求主机安全（三级）全（三级）a)对付登录的用户进行身份表记和鉴别，身份标a)对付登录操作系统和数据库系统的用户进识拥有独一性，身份鉴别信息拥有复杂度要求并行身份表记和鉴别；按期更换；身份b)操作系统和数据库系统管理用户身份表记身份鉴别应拥有不易被冒用的特色，口令应有复杂度鉴别要求并按期更换；b)应拥有登录失败办理功能，应配置并启用结束c)应启用登录失败办理功能，可采纳结束会会话、限制非法登录次数和当登录连接超时自动话、限制非法登录次数和自动退出等措施；退出等相关措施；当对服务器进行远程管理时，应采纳必需d)当进行远程管理时，应采纳必需措施，防范鉴措施，防

19、范鉴别信息在网络传输过程中被窃别信息在网络传输过程中被窃听；听；应为操作系统和数据库系统的不一样用户分配不一样的用户名，保证用户名拥有独一性。d)应采纳两种或两种以上组合的鉴别技术对用应采纳两种或两种以上组合的鉴别技术对户进行身份鉴别，且此中一种鉴别技术最少应使管理用户进行身份鉴别。用动向口令、密码技术或生物技术来实现。a)对付登录的用户分配账户和权限；a)应启用接见控制功能，依照安全策略控制e)应由受权主体配置接见控制策略，接见控制策用户对资源的接见；略规定主体对客体的接见规则；b)应依据管理用户的角色分配权限，实现管d)应进行角色划分，并授与管理用户所需的最小理用户的权限分别，仅授与管理用

20、户所需的权限，实现管理用户的权限分别；最小权限；c)应实现操作系统和数据库系统特权用户的权限分别；接见d)应严格限制默认帐户的接见权限，重命名接见b)应重命名或删除默认账户，更正默认账户的默控制系统默认帐户，更正这些帐户的默认口令；控制认口令；e)应及时删除剩余的、过期的帐户，防范共c)应及时删除或停用剩余的、过期的账户，防范享帐户的存在。共享账户的存在；f)接见控制的粒度应达到主体为用户级或进度级，客体为文件、数据库表级；f)对付重要信息资源设置敏感标志；g)对付敏感信息资源设置安全标志，并控制主体对有安全标志信息资源的接见。g)应依照安全策略严格控制用户对有敏感标记重要信息资源的操作；a)

21、审计范围应覆盖到服务器和重要客户端上a应启用安全审计功能，审计覆盖到每个用户，的每个操作系统用户和数据库用户；对重要的用户行为和重要安全事件进行审计；b)审计内容应包含重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；c)审计记录应包含事件的日期、时间、类b)审计记录应包含事件的日期和时间、用户、事安全件种类、事件能否成功及其余与审计相关的信安全型、主体表记、客体表记和结果等；审计息；审计d)应能够依据记录数据进行分析，并生成审计报表；e)应保护审计进度，防范遇到未预期的中e)对付审计进度进行保护，防范未经受权的中断；断。f)应保护审计记录，防范遇到未预期的删c)

22、对付审计记录进行保护，按期备份，防范遇到除、更正或覆盖等。未预期的删除、更正或覆盖等；d)应保证审计记录的保存时间符合法律法规要求；（新增）a)应保证操作系统和数据库系统用户的鉴别信息所在的储存空间，被开释或再分配给其节余他用户前获取完好除掉，无论这些信息是存信息放在硬盘上还是在内存中；保护b)应保证系统内的文件、目录和数据库记录等资源所在的储存空间，被开释或重新分配给其余用户前获取完好除掉。a)应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的种类、攻e)应能够检测到对重要节点进行入侵的行为，并击的目的、攻击的时间，并在发生严重入侵在发生严重入侵事件时供应报警。事件时供应报

23、警；b)应能够对重要程序的完好性进行检测，并在检测到完好性遇到破坏后拥有恢复的措施；入侵c)操作系统应依照最小安装的原则，仅安装入侵a)应依照最小安装的原则，仅安装需要的组件和防范需要的组件和应用程序，并经过设置升级服防范应用程序。务器等方式保持系统补丁及时获取更新。b)应关闭不需要的系统服务、默认共享和高危端口；c)应经过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；d)应能发现可能存在的漏洞，并在经过充分测试评估后，及时维修漏洞；应采纳免受歹意代码攻击的技术措施或可信考据a)应安装防歹意代码软件，并及时更新防恶系统对系统程序、应用程序和重要配置文件/参歹意意代码软件版

24、本和歹意代码库；歹意数进行可信执行考据，并在检测到其完好性遇到代码代码破坏时采纳恢复措施。防范b)主机防歹意代码产品应拥有与网络防歹意防范代码产品不一样的歹意代码库；c)应支持防歹意代码的一致管理。a)应经过设定终端接入方式、网络地址范围等条件限制终端登录；b)应依据安全策略设置登录终端的操作超时锁定；资源资源c)对付重要服务器进行督查，包含督查服务控制c)对付重要节点进行督查，包含督查CPU、硬控制器的CPU、硬盘、内存、网络等资源的使用盘、内存等资源的使用状况；状况；d)应限制单个用户对系统资源的最大或最小a)应限制单个用户或进度对系统资源的最大使用使用限度；限度；e)应能够对系统的服务水

25、平降低到早先规定e)应能够对重要节点的服务水平降低到早先规定的最小值进行检测和报警。的最小值进行检测和报警。b)应供应重要节点设施的硬件冗余，保证系统的可用性；应用和数据安全VS本来应用安全+数据安全及备份恢复新标准将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一个层面，减少了通讯完好性、通讯保密性和抗狡辩三个控制点，增添了个人信息保护控制点。通讯完好性和通讯保密性的要求纳入了网络和通讯安全层面的通讯传输控制点。要求项由本来的39项调整为33项。控制点和控制点要求项数更正状况以以下图：原控制点要求项数新控制点要求项数1身份鉴别51身份鉴别52接见控制62接见控制73安全审计43安

26、全审计54节余信息保护24软件容错3应用安全5通讯完好性15资源控制26通讯保密性2应用和数据6数据完好性27抗狡辩2安全7数据保密性28软件容错28数据备份和恢复39资源控制79节余信息保护29数据完好性210个人信息保护2数据安全及备份10数据保密性2恢复11备份和恢复4详细要求项的变化以下表：信息安全等级保护基本要求主机安全（三网络安全等级保护基本要求通用要求设施和计算安全级）（三级）a)应供应专用的登录控制模块对登录a)对付登录的用户进行身份表记和鉴别，身份表记具用户进行身份表记和鉴别；有独一性，鉴别信息拥有复杂度要求并按期更换；身份身份鉴别b)对付同一用户采纳两种或两种以上e)应采纳

27、两种或两种以上组合的鉴别技术对用户进行鉴别组合的鉴别技术实现用户身份鉴别；身份鉴别，且此中一种鉴别技术最少应使用动向口令、密码技术或生物技术来实现。c)应供应用户身份表记独一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份表记，身份鉴别信息不易被冒用；d)应供应登录失败办理功能，可采纳b)应供应并启用登录失败办理功能，多次登录失败后结束会话、限制非法登录次数和自动应采纳必需的保护措施；退出等措施；e)应启用身份鉴别、用户身份表记唯e)应启用身份鉴别、用户身份表记独一性检查、用户一性检查、用户身份鉴别信息复杂度身份鉴别信息复杂度检查以及登录失败办理功能，并检查以及登录失败办理功能，并依

28、据依据安全策略配置相关参数。安全策略配置相关参数。c)应强迫用户初次登录时更正初始口令；（新增）d)用户身份鉴别信息抛弃或无效时，应采纳技术措施保证鉴别信息重置过程的安全；（新增）a)应供应接见控制功能，依照安全策a)应供应接见控制功能，对登录的用户分配账户和权略控制用户对文件、数据库表等客体限；的接见；b)应重命名或删除默认账户，更正默认账户的默认口令；c)应及时删除或停用剩余的、过期的账户，防范共享账户的存在；b)接见控制的覆盖范围应包含与资源接见相关的主体、客体及它们之间的操作；接见接见c)应由受权主体配置接见控制策略，e)应由受权主体配置接见控制策略，接见控制策略规控制控制并严格限制默

29、认帐户的接见权限；定主体对客体的接见规则；d)应授与不一样帐户为完成各自担当当d)应授与不一样帐户为完成各自担当当务所需的最小权务所需的最小权限，并在它们之间形限，并在它们之间形成相互限制的关系。成相互限制的关系。f)接见控制的粒度应达到主体为用户级，客体为文件、数据库表级、记录或字段级；e)应拥有对重要信息资源设置敏感标g)对付敏感信息资源设置安全标志，并控制主体对有记的功能；安全标志信息资源的接见。f)应依照安全策略严格控制用户对有敏感标志重要信息资源的操作；a)应供应覆盖到每个用户的安全审计a)应供应安全审计功能，审计覆盖到每个用户，对重功能，对应用系统重要安全事件进行安全要的用户行为和

30、重要安全事件进行审计；安全审计；审计审计b)应保证没法单独中断审计进度，无法删除、更正或覆盖审计记录；e)对付审计进度进行保护，防范未经受权的中断。d)应保证审计记录的保存时间符合法律法规要求；（新增）c)对付审计记录进行保护，按期备份，防范遇到未预期的删除、更正或覆盖等；c)审计记录的内容最少应包含事件的b)审计记录应包含事件的日期和时间、用户、事件类日期、时间、倡导者信息、种类、描型、事件能否成功及其余与审计相关的信息；述和结果等；d)应供应对审计记录数据进行统计、盘问、分析及生成审计报表的功能。a)应供应数占有效性检验功能，保证经过人机接口输入或经过通讯接口输a)应供应数占有效性检验功能

31、，保证经过人机接口输入的数据格式或长度符合系统设定要入或经过通讯接口输入的内容符合系统设定要求；求；软件软件b)应供应自动保护功能，当故障发生容错b)在故障发生时，应能够连续供应一部分功能，保证容错时自动保护当前全部状态，保证系统能够实行必需的措施；能够进行恢复。c)在故障发生时，应自动保存易失性数据和全部状态，保证系统能够进行恢复。（新增）a)当应用系统的通讯两方中的一方在a)当通讯两方中的一方在一段时间内未作任何响应，一段时间内未作任何响应，另一方应另一方应能够自动结束会话；能够自动结束会话；b)应能够对系统的最大并发会话连接b)应能够对系统的最大并发会话连接数进行限制；数进行限制；c)应能够对单个帐户的多重并发会话c)应能够对单个账户的多重并发会话进行限制。进行限制；d)应能够对一个时间段内可能的并发资源会话连接数进行限制；资源控制e)应能够对一个接见帐户或一个央求控制进度占用的资源分配最大限额和最小限额；f)应能够对系统服务水平降低到早先规定的最小值进行检测和报警；g)应供应服务优先级设定功能，并在安装后依据安全策略设定接见帐户或央求进度的优先级，依据优先级分配系统资源。a)应保证用户鉴别信息所在的储存空间被开释或再分配给其余用户前获取a)应保证