等级保护三级等保0与等保0对比x_第1页
等级保护三级等保0与等保0对比x_第2页
等级保护三级等保0与等保0对比x_第3页
等级保护三级等保0与等保0对比x_第4页
等级保护三级等保0与等保0对比x_第5页
已阅读5页,还剩1页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、等保2.0 VS等保1.0 (三级)对比网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分由原来的原来基本要求中各级技术要求的“物理安全”、“网络安全”、“主机安全”、“应用安全”和“数据安全和 备份与恢复” 修订为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境” 和“安全管理中心”;原各级管理要求的“安全管理制度”、“安全管理机构”、“人员安全管理”、“系统建设管理” 和“系统运维管理” 修订为“安全管理制度”、“安全管理机构”、“安 全管理人员”、“安全建设管理” 和“安全运维管理”(标粗内容为三级和二级的变化,标红部门为新标准主要变化)安全物

2、理环境vs原来物理安全控制点未发生变化,要求项数由原来的32项调整为22项。控制点要求项数修改情况如下图:原控制点要求项数新控制点要求项数物理安全1物理位置的选择2安全物 理环境1物理位置的选择22物理访问控制42物理访问控制13防盗窃和防破坏63防盗窃和防破坏34防雷击34防雷击25防火35防火36防水和防潮46防水和防潮37防静电27防静电28温湿度控制18温湿度控制19电力供应49电力供应310电磁防护310电磁防护2信息安全等级保护基本要求一物理安全(三级)要求项的变化如下:信息安全等级保护基本要求一物理安全(三级)物 理 位 置 的 选 择a)机房和办公场地应选择在具有防震、防风和

3、防雨等能力的建筑内;物 理 位 置 的 选 择a)机房和办公场地应选择在具有防震、防风和 防雨等能力的建筑内;b)机房场地应避免设在建筑物的高层或地下 室,以及用水设备的下层或隔壁。b)机房场地应避免设在建筑物的顶层或地下 室,否则应加强防水和防潮措施。物 理 访 问a)机房出入口应安排专人值守,控制、鉴别和 记录进入的人员;物 理 访 问a)机房出入口应 配置电子门禁系统,控制、鉴 别和记录进入的人员。b)需进入机房的来访人员应经过申请和审批流 程,并限制和监控其活动范围;网络安全等级保护基本要求通用要求一安全物理环 境(三级)控c)应对机房划分区域进行管理,区域和区域之控制间设置物理隔离装

4、置,在重要区域前设置交付制或安装等过渡区域;d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。防a)应将主要设备放置在机房内;防a)应将设备或主要部件进行固定,并设置明显盗b)应将设备或主要部件进行固定,并设置明显盗的不易除去的标记;窃 和的不易除去的标记;窃 和b)应将通信线缆铺设在隐蔽处,可铺设在地卜c)应将通信线缆铺设在隐蔽处,可铺设在地卜或管道中;防 破或管道中;防 破c)应设置机房防盗报警系统或设置有专人值守 的视频监控系统。坏d)应对介质分类标识,存储在介质库或档案室 中;坏e)应利用光、电等技术设置机房防盗报警系 统;f)应对机房设置监控报警系统。防a)机房建筑应设置避

5、雷装置;防a)应将各类机柜、设施和设备等通过接地系统雷雷安全接地;击b)应设置防雷保安器,防止感应雷;击b)应采取措施防止感应雷,例如设置防雷保安c)机房应设置交流电源地线。器或过压保护装置等。防 火a)机房应设置火灾自动消防系统,能够自动检 测火情、自动报警,并自动灭火;防 火a)机房应设置火灾自动消防系统,能够自动检 测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;耐火等级的建筑材料;c)机房应米取区域隔离防火措施,将重要设备 与其他设备隔离开。c)应对机房划分区域进行管理,区域和区域之 间设置隔离防火措

6、施。防a)水管安装,不得穿过机房屋顶和活动地板防a)应采取措施防止雨水通过机房窗户、屋顶和水下;水墙壁渗透;和 防b)应采取措施防止雨水通过机房窗户、屋顶和 墙壁渗透;和 防b)应采取措施防止机房内水蒸气结露和地下积 水的转移与渗透;潮c)应采取措施防止机房内水蒸气结露和地下积潮c)应安装对水敏感的检测仪表或元件,对机房水的转移与渗透;进行防水检测和报警。d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。防a)主要设备 应采用必要的接地防静电措施;防a)应安装防静电地板并采用必要的接地防静电静b)机房应采用防静电地板。静措施;电电b)应采取措施防止静电的产生,例如采用静电消除器、佩

7、戴防静电手环等。(新增)温机房应设置温、湿度自动调节设施,使机房温机房应设置温、湿度自动调节设施,使机房湿温、湿度的变化在设备运行所允许的范围之湿温、湿度的变化在设备运行所允许的范围之度内。度内。控控制制电 力 供 应a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;电 力 供 应a)应在机房供电线路上配置稳压器和过电压防 护设备;b)应提供短期的备用电力供应,至少满足设备 在断电情况下的正常运行要求;c)应设置冗余或并行的电力电缆线路为计算机 系统供电;c)应设置冗余或并行的电力电缆线路为计算机 系统供电;d)应建立备

8、用供电系统。电 磁 防 护a)应采用接地方式防止外界电磁干扰和设备寄 生耦合干扰;电 磁 防 护a电源线和通信线缆应隔离铺设,避免互相干 扰;b)电源线和通信线缆应隔离铺设,避免互相干 扰;b)应对关键设备实施电磁屏蔽。c)应对关键设备和磁介质实施电磁屏蔽。安全通信网络VS原来网络安全新标准减少了 结构安全、边界完整性检查、网络设备防护三个控制点,增加了 网络架构、通信传输、边界防护、集中管控四个控制点。原结构安全中部分要求项纳入了网络架构控制点中,原应用安全中通信完整性和保密性的要求项纳入了通信传 输控制点中,原边界完整性检查和访问控制中部分要求项内容纳入了边界防护控制点中,原网络设备防护控

9、制 点要求并到安全区域边界安全区域边界要求中。要求项总数原来为 33项,调整为还是 33项,但要求项内容有变化。控制点和控制点要求项数修改情况如下图:原控制点要求项数新控制点要求项数网 络 安 全1结构安全7安 全 通 信 网 络1网络架构52访问控制82通信传输23安全审计43边界防护44边界完整性检查24访问控制55入侵防范25入侵防范46恶意代码防范26恶意代码防范27网络设备防护87安全审计58集中管控6具体要求项的变化如下表:信息安全等级保护基本要求-网络安全(三级)网络安全等级保护基本要求通用要求一安全通信网 络(三级)结 a)应保证主要网络设备的业务处理能力具备冗 构 余空间,满

10、足业务高峰期需要;网 a)应保证网络设备的业务处理能力具备冗余空 络 间,满足业务高峰期需要;安b)应保证网络各个部分的带宽满足业务高峰期架b)应保证网络各个部分的带宽满足业务高峰期全需要;构需要;c)应在业务终端与业务服务器之间进行路由控c)应划分不同的网络区域,并按照方便管理和制建立安全的访问路径;控制的原则为各网络区域分配地址;d)应绘制与当前运行情况相符的网络拓扑结构 图;d)应避免将重要网络区域部署在网络边界处且 没有边界防护措施;e)应根据各部门的工作职能、重要性和所涉及e)应提供通信线路、关键网络设备的硬件冗信息的重要程度等因素,划分不同的子网或网余,保证系统的可用性。段,并按照

11、方便管理和控制的原则为各子网、网段分配地址段;f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。边【a)应能够对非授权设备私自联到内部网络的行通a)应采用校验码技术或密码技术保证通信过程界为进行检查,准确定出位置,并对其进行有效信中数据的完整性;完阻断;传b)应采用密码技术保证通信过程中敏感信息字整 性 检b)应能够对内部网络用户私自联到外部网络的 行为进行检查,准确定出位置,并对其进行有 效阻断。输段或整个报文的保密性。边 界a)应保证跨越边

12、界的访问和数据流通过边界防 护设备提供的受控接口进行通信;查防护b)应能够对非授权设备私自联到内部网络的行 为进行限制或检查;c)应能够对内部用户非授权联到外部网络的行为进行限制或检查;d)应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络。访a)应在网络边界部署访问控制设备,启用访问访a)应在网络边界或区域之间根据访问控制策略问控制功能;问设置访问控制规则,默认情况下除允许通信外控b)应能根据会话状态信息为数据流提供明确的控受控接口拒绝所有通信;制允许/拒绝访问的能力, 控制粒度为端口级;制b)应删除多余或无效的访问控制规则,优化访c)应对进出网络的信息内容进行过滤,实现对

13、问控制列表,并保证访问控制规则数量最小应用层 HTTR FTP、TELNET SMTP POP3等协化;议命令级的控制;c)应对源地址、目的地址、源端口、目的端口d)应在会话处于非活跃一定时间或会话结束后和协议等进行检查,以允许 /拒绝数据包进出;终止网络连接;e)应限制网络最大流量数及网络连接数;d)应能根据会话状态信息为数据流提供明确的f)重要网段应米取技术手段防止地址欺骗;允许/拒绝访问的能力, 控制粒度为端口级;g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;h)应限制具有拨号访问权限的用户数量。e)应在关键网络节点处对进出网络的信息

14、内容 进行过滤,实现对内容的访问控制。入 侵a)应在网络边界处监视以下攻击行为:端口扫 描、强力攻击、木马后门攻击、拒绝服务攻入 侵a)应在关键网络节点处检测、防止或限制从外 部发起的网络攻击行为;防 范击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫 攻击等;防 范b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;(新增)b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵 事件时应提供报警。c)应采取技术措施对网络行为进行分析,实现 对网络攻击特别是新型网络攻击行为的分析; (新增)b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间

15、,在发生严重入侵 事件时应提供报警。恶 意 代a)应在网络边界处对恶意代码进行检测和清 除;恶 意 代a)应在关键网络节点处对恶意代码进行检测和 清除,并维护恶意代码防护机制的升级和更 新;码 防 范b)应维护恶意代码库的升级和检测系统的更 新。码 防 范b)应在关键网络节点处对垃圾邮件进行检测和 防护,并维护垃圾邮件防护机制的升级和更 新。(新增)安 全 审a)应对网络系统中的网络设备运行状况、网络 流量、用户行为等进行日志记录;安 全 审a)应在网络边界、重要网络节点进行安全审 计,审计覆盖到每个用户,对重要的用户行为 和重要安全事件进行审计;计b)审计记录应包括:事件的日期和时间、用 户

16、、事件类型、事件是否成功及其他与审计相 关的信息;计b)审计记录应包括:事件的日期和时间、用 户、事件类型、事件是否成功及其他与审计相 关的信息;c)应能够根据记录数据进行分析,并生成审计 报表;c)应对审计记录进行保护,定期备份,避免受 到未预期的删除、修改或覆盖等;d)应对审计记录进行保护,避免受到未预期的 删除、修改或覆盖等。d)应确保审计记录的留存时间符合法律法规要 求;(新增)e)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。(新增)无无集 中a)应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;(新增)管 控b)应能够建立一条安全的信

17、息传输路径,对网络中的安全设备或安全组件进行管理;(新增)c)应对网络链路、安全设备、网络设备和服务 器等的运行状况进行集中监测;(新增)d)应对分散在各个设备上的审计数据进行收集 汇总和集中分析;(新增)e)应对安全策略、恶意代码、补丁升级等安全 相关事项进行集中管理;f)应能对网络中发生的各类安全事件进行识 别、报警和分析。(新增)网a)应对登录网络设备的用户进行身份鉴别;无无络b)应对网络设备的管理员登录地址进行限制;设c)网络设备用户的标识应唯一;备d)主要网络设备应对同一用户选择两种或两种防以上组合的鉴别技术来进行身份鉴别;护e)身份鉴别信息应具有不易被冒用的特点,口 令应有复杂度要

18、求并定期更换;f)应具有登录失败处理功能,可采取结束会 话、限制非法登录次数和当网络登录连接超时 自动退出等措施;g)当对网络设备进行远程管理时,应采取必要 措施防止鉴别信息在网络传输过程中被窃听;h)应实现设备特权用户的权限分离。安全区域边界VS原来主机安全新标准减少了剩余信息保护一个控制点,在测评对象上,把网络设备、安全设备也纳入了此层面的测评范围要求项由原来的 32项调整为26项。控制点和各控制点要求项数修改情况如下图:原控制点要求项数新控制点要求项数主机安全1身份鉴别6安全区域边界 安全区域边界1身份鉴别42访问控制72访问控制73安全审计63安全审计54剩余信息保护24入侵防范55入侵防范35恶意代码防范16恶意代码防范36资源控制47资源控制5具体要求项的变化如下表:信息安全等级保护基本要求一主机安全(三级)网络安全等级保

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论