等保2.0通用要求VS等保1.0(三级)技术部分要求详细对比

等保2.0系列标准即将公布，网络安全等级保护基本要求通用要求在信息安全等级保护基本要求技术部分基础上进行了一些调整，湖南金盾就网络安全等级保护基本要求通用要求在信息安全等级保护基本要求进行了详细对比，下面以三级为例进行一个对比。网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分结构由原来五个层面：物理安全、网络安全、主机安全、应用安全、数据安全，调整为四个部分：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；技术要求“从面到点”提出安全要求，“物理和环境安全”主要对机房设施提出要求，“网络和通信安全”主要对网络整体提出要求，“设备和计算安全”主要对组成节点（包含网络设备、安全设备、操作系统、数据库、中间件等）提出要求，“应用和数据安全”主要对业务应用和数据提出要求。（标粗内容为三级和二级改变，标红部门为新标准主要改变）

物理与环境安全VS原来物理安全

控制点未发生改变，要求项数由原来32项调整为22项。控制点要求项数修改情况以下列图：

原控制点要求项数新控制点要求项数物理安全1

物理位置选择2物理和环境安全1

物理位置选择22

物理访问控制42

物理访问控制13

防偷窃和防破坏63

防偷窃和防破坏34

防雷击34

防雷击25

防火35

防火36

防水和防潮46

防水和防潮37

防静电27

防静电28

温湿度控制18

温湿度控制19

电力供给49

电力供给310

电磁防护310

电磁防护2

要求项改变以下：信息安全等级保护基本要求—物理安全（三级）网络安全等级保护基本要求通用要求—物理和环境安全（三级）物理位置选择a)

机房和办公场地应选择在具备防震、防风和防雨等能力建筑内；物理位置选择a)

机房和办公场地应选择在具备防震、防风和防雨等能力建筑内；b)

机房场地应防止设在建筑物高层或地下室，以及用水设备下层或隔壁。b)

机房场地应防止设在建筑物顶层或地下室，不然应加强防水和防潮方法。物理访问控制a)

机房出入口应安排专员值守，控制、判别和统计进入人员；物理访问控制a)

机房出入口应配置电子门禁系统，控制、判别和统计进入人员。b)

需进入机房来访人员应经过申请和审批流程，并限制和监控其活动范围；c)

应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在主要区域前设置交付或安装等过渡区域；d)

主要区域应配置电子门禁系统，控制、判别和统计进入人员。防偷窃和防破坏a)

应将主要设备放置在机房内；防偷窃和防破坏b)

应将设备或主要部件进行固定，并设置显著不易除去标识；a)

应将设备或主要部件进行固定，并设置显著不易除去标识；c)

应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；b)

应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；d)

应对介质分类标识，存放在介质库或档案室中；e)

应利用光、电等技术设置机房防盗报警系统；c)

应设置机房防盗报警系统或设置有专员值守视频监控系统。f)

应对机房设置监控报警系统。防雷击a)

机房建筑应设置避雷装置；防雷击a)

应将各类机柜、设施和设备等经过接地系统安全接地；b)

应设置防雷保安器，预防感应雷；b)

应采取方法预防感应雷，比如设置防雷保安器或过压保护装置等。c)

机房应设置交流电源地线。防火a)

机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；防火a)

机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；b)

机房及相关工作房间和辅助房应采取具备耐火等级建筑材料；b)

机房及相关工作房间和辅助房应采取具备耐火等级建筑材料；c)

机房应采取区域隔离防火方法，将主要设备与其余设备隔离开。c)

应对机房划分区域进行管理，区域和区域之间设置隔离防火方法。

防水和防潮a)

水管安装，不得穿过机房屋顶和活动地板下；防水和防潮b)

应采取方法预防雨水经过机房窗户、屋顶和墙壁渗透；a)

应采取方法预防雨水经过机房窗户、屋顶和墙壁渗透；c)

应采取方法预防机房内水蒸气结露和地下积水转移与渗透；b)

应采取方法预防机房内水蒸气结露和地下积水转移与渗透；d)

应安装对水敏感检测仪表或元件，对机房进行防水检测和报警。c)

应安装对水敏感检测仪表或元件，对机房进行防水检测和报警。防静电a)

主要设备应采取必要接地防静电方法；防静电a)

应安装防静电地板并采取必要接地防静电方法；b)

机房应采取防静电地板。b)

应采取方法预防静电产生，比如采取静电消除器、佩戴防静电手环等。(新增)温湿度控制机房应设置温、湿度自动调整设施，使机房温、湿度改变在设备运行所允许范围之内。温湿度控制机房应设置温、湿度自动调整设施，使机房温、湿度改变在设备运行所允许范围之内。电力供给a)

应在机房供电线路上配置稳压器和过电压防护设备；电力供给a)

应在机房供电线路上配置稳压器和过电压防护设备；b)

应提供短期备用电力供给，最少满足主要设备在断电情况下正常运行要求；b)

应提供短期备用电力供给，最少满足设备在断电情况下正常运行要求；c)

应设置冗余或并行电力电缆线路为计算机系统供电；c)

应设置冗余或并行电力电缆线路为计算机系统供电；d)

应建立备用供电系统。电磁防护a)

应采取接地方式预防外界电磁干扰和设备寄生耦合干扰；电磁防护b)

电源线和通信线缆应隔离铺设，防止相互干扰；a

电源线和通信线缆应隔离铺设，防止相互干扰；c)

应对关键设备和磁介质实施电磁屏蔽。b)

应对关键设备实施电磁屏蔽。

网络和通信安全VS原来网络安全

新标准降低了结构安全、边界完整性检验、网络设备防护三个控制点，增加了网络架构、通信传输、边界防护、集中管控四个控制点。

原结构安全中部分要求项纳入了网络架构控制点中，原应用安全中通信完整性和保密性要求项纳入了通信传输控制点中，原边界完整性检验和访问控制中部分要求项内容纳入了边界防护控制点中，原网络设备防护控制点要求并到设备和计算安全要求中。

要求项总数原来为33项，调整为还是33项，但要求项内容有改变。

控制点和控制点要求项数修改情况以下列图：原控制点要求项数新控制点要求项数网络安全1结构安全7网络和通信安全1

网络架构52访问控制82通信传输23安全审计43边界防护44边界完整性检验24

访问控制55入侵防范25

入侵防范46

恶意代码防范26

恶意代码防范27

网络设备防护87

安全审计58

集中管控6

详细要求项改变以下表：信息安全等级保护基本要求--网络安全（三级）网络安全等级保护基本要求通用要求—网络和通信安全（三级）结构安全a)

应确保主要网络设备业务处理能力具备冗余空间，满足业务高峰期需要；网络架构a)

应确保网络设备业务处理能力具备冗余空间，满足业务高峰期需要；b)

应确保网络各个部分带宽满足业务高峰期需要；b)

应确保网络各个部分带宽满足业务高峰期需要；c)

应在业务终端与业务服务器之间进行路由控制建立安全访问路径；d)

应绘制与当前运行情况相符网络拓扑结构图；e)

应依照各部门工作职能、主要性和所包括信息主要程度等原因，划分不一样子网或网段，并按照方便管理和控制标准为各子网、网段分配地址段；c)

应划分不一样网络区域，并按照方便管理和控制标准为各网络区域分配地址；f)

应防止将主要网段布署在网络边界处且直接连接外部信息系统，主要网段与其余网段之间采取可靠技术隔离伎俩；d)

应防止将主要网络区域布署在网络边界处且没有边界防护方法；g)

应按照对业务服务主要次序来指定带宽分配优先级别，确保在网络发生拥堵时候优先保护主要主机。e)应提供通信线路、关键网络设备硬件冗余，确保系统可用性。

通信传输a)

应采取校验码技术或密码技术确保通信过程中数据完整性；b)

应采取密码技术确保通信过程中敏感信息字段或整个报文保密性。

边界防护a)

应确保跨越边界访问和数据流经过边界防护设备提供受控接口进行通信；边界完整性检验a)

应能够对非授权设备私自联到内部网络行为进行检验，准确定出位置，并对其进行有效阻断；b)

应能够对非授权设备私自联到内部网络行为进行限制或检验；

b)

应能够对内部网络用户私自联到外部网络行为进行检验，准确定出位置，并对其进行有效阻断。c)

应能够对内部用户非授权联到外部网络行为进行限制或检验；

d)

应限制无线网络使用，确保无线网络经过受控边界防护设备接入内部网络。

访问控制a)

应在网络边界布署访问控制设备，启用访问控制功效；访问控制a)

应在网络边界或区域之间依照访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝全部通信；

b)

应删除多出或无效访问控制规则，优化访问控制列表，并确保访问控制规则数量最小化；c)

应对源地址、目标地址、源端口、目标端口和协议等进行检验，以允许/拒绝数据包进出；b)

应能依照会话状态信息为数据流提供明确允许/拒绝访问能力，控制粒度为端口级；d)

应能依照会话状态信息为数据流提供明确允许/拒绝访问能力，控制粒度为端口级；c)

应对进出网络信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级控制；e)

应在关键网络节点处对进出网络信息内容进行过滤，实现对内容访问控制。

d)

应在会话处于非活跃一定时间或会话结束后终止网络连接；e)

应限制网络最大流量数及网络连接数；f)

主要网段应采取技术伎俩预防地址坑骗；g)

应按用户和系统之间允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；h)

应限制具备拨号访问权限用户数量。入侵防范a)

应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；入侵防范a)

应在关键网络节点处检测、预防或限制从外部发起网络攻击行为；b)

应在关键网络节点处检测、预防或限制从内部发起网络攻击行为；(新增)c)

应采取技术方法对网络行为进行分析，实现对网络攻击尤其是新型网络攻击行为分析；(新增)b)

当检测到攻击行为时，统计攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。b)

当检测到攻击行为时，统计攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。恶意代码防范a)

应在网络边界处对恶意代码进行检测和去除；恶意代码防范a)

应在关键网络节点处对恶意代码进行检测和去除，并维护恶意代码防护机制升级和更新；b)

应维护恶意代码库升级和检测系统更新。b)

应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制升级和更新。

(新增)安全审计a)

应对网络系统中网络设备运行情况、网络流量、用户行为等进行日志统计；安全审计a)

应在网络边界、主要网络节点进行安全审计，审计覆盖到每个用户，对主要用户行为和主要安全事件进行审计；

b)

审计统计应包含：事件日期和时间、用户、事件类型、事件是否成功及其余与审计相关信息；b)

审计统计应包含：事件日期和时间、用户、事件类型、事件是否成功及其余与审计相关信息；c)

应能够依照统计数据进行分析，并生成审计报表；d)

应对审计统计进行保护，防止受到未预期删除、修改或覆盖等。c)

应对审计统计进行保护，定时备份，防止受到未预期删除、修改或覆盖等；d)

应确保审计统计留存时间符正当律法规要求；(新增)e)

应能对远程访问用户行为、访问互联网用户行为等单独进行行为审计和数据分析。

(新增)集中管控a)

应划分出特定管理区域，对分布在网络中安全设备或安全组件进行管控；

(新增)b)

应能够建立一条安全信息传输路径，对网络中安全设备或安全组件进行管理；

(新增)c)

应对网络链路、安全设备、网络设备和服务器等运行情况进行集中监测；

(新增)d)

应对分散在各个设备上审计数据进行搜集汇总和集中分析；(新增)e)

应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；

f)

应能对网络中发生各类安全事件进行识别、报警和分析。

(新增)网络设备防护a)

应对登录网络设备用户进行身份判别；b)

应对网络设备管理员登录地址进行限制；c)

网络设备用户标识应唯一；d)

主要网络设备应对同一用户选择两种或两种以上组合判别技术来进行身份判别；e)

身份判别信息应具备不易被冒用特点，口令应有复杂度要求并定时更换；f)

应具备登录失败处理功效，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等方法；g)

当对网络设备进行远程管理时，应采取必要方法预防判别信息在网络传输过程中被窃听；h)

应实现设备特权用户权限分离。

设备和计算安全VS原来主机安全

新标准降低了剩下信息保护一个控制点，在测评对象上，把网络设备、安全设备也纳入了此层面测评范围。

要求项由原来32项调整为26项。

控制点和各控制点要求项数修改情况以下列图：

原控制点要求项数新控制点要求项数主机安全1

身份判别6设备和计算安全1

身份判别42

访问控制72

访问控制73

安全审计63

安全审计54

剩下信息保护24

入侵防范55

入侵防范35

恶意代码防范16

恶意代码防范36

资源控制47

资源控制5

详细要求项改变以下表：信息安全等级保护基本要求—主机安全（三级）网络安全等级保护基本要求通用要求—设备和计算安全（三级）身份判别a)

应对登录操作系统和数据库系统用户进行身份标识和判别；身份判别a)

应对登录用户进行身份标识和判别，身份标识具备唯一性，身份判别信息具备复杂度要求并定时更换；b)

操作系统和数据库系统管理用户身份标识应具备不易被冒用特点，口令应有复杂度要求并定时更换；c)

应启用登录失败处理功效，可采取结束会话、限制非法登录次数和自动退出等方法；b)

应具备登录失败处理功效，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关方法；d)

当对服务器进行远程管理时，应采取必要方法，预防判别信息在网络传输过程中被窃听；d)

当进行远程管理时，应采取必要方法，预防判别信息在网络传输过程中被窃听；e)

应为操作系统和数据库系统不一样用户分配不一样用户名，确保用户名具备唯一性。f)

应采取两种或两种以上组合判别技术对管理用户进行身份判别。d)

应采取两种或两种以上组合判别技术对用户进行身份判别，且其中一个判别技术最少应使用动态口令、密码技术或生物技术来实现。

访问控制访问控制a)

应对登录用户分配账户和权限；

a)

应启用访问控制功效，依据安全策略控制用户对资源访问；e)

应由授权主体配置访问控制策略，访问控制策略要求主体对客体访问规则；

b)

应依照管理用户角色分配权限，实现管理用户权限分离，仅授予管理用户所需最小权限；d)

应进行角色划分，并授予管理用户所需最小权限，实现管理用户权限分离；c)

应实现操作系统和数据库系统特权用户权限分离；d)

应严格限制默认帐户访问权限，重命名系统默认帐户，修改这些帐户默认口令；b)

应重命名或删除默认账户，修改默认账户默认口令；e)

应及时删除多出、过期帐户，防止共享帐户存在。c)

应及时删除或停用多出、过期账户，防止共享账户存在；f)

访问控制粒度应达成主体为用户级或进程级，客体为文件、数据库表级；

f)

应对主要信息资源设置敏感标识；g)

应对敏感信息资源设置安全标识，并控制主体对有安全标识信息资源访问。

g)

应依据安全策略严格控制用户对有敏感标识主要信息资源操作；安全审计a)

审计范围应覆盖到服务器和主要客户端上每个操作系统用户和数据库用户；安全审计a

应启用安全审计功效，审计覆盖到每个用户，对主要用户行为和主要安全事件进行审计；b)

审计内容应包含主要用户行为、系统资源异常使用和主要系统命令使用等系统内主要安全相关事件；c)

审计统计应包含事件日期、时间、类型、主体标识、客体标识和结果等；b)审计统计应包含事件日期和时间、用户、事件类型、事件是否成功及其余与审计相关信息；d)

应能够依照统计数据进行分析，并生成审计报表；e)

应保护审计进程，防止受到未预期中止；e)

应对审计进程进行保护，预防未经授权中止。f)

应保护审计统计，防止受到未预期删除、修改或覆盖等。c)

应对审计统计进行保护，定时备份，防止受到未预期删除、修改或覆盖等；d)

应确保审计统计留存时间符正当律法规要求；（新增）剩下信息保护a)

应确保操作系统和数据库系统用户判别信息所在存放空间，被释放或再分配给其余用户前得到完全去除，不论这些信息是存放在硬盘上还是在内存中；b)

应确保系统内文件、目录和数据库统计等资源所在存放空间，被释放或重新分配给其余用户前得到完全去除。入侵防范a)

应能够检测到对主要服务器进行入侵行为，能够统计入侵源IP、攻击类型、攻击目标、攻击时间，并在发生严重入侵事件时提供报警；入侵防范e)

应能够检测到对主要节点进行入侵行为，并在发生严重入侵事件时提供报警。

b)

应能够对主要程序完整性进行检测，并在检测到完整性受到破坏后具备恢复方法；c)

操作系统应遵照最小安装标准，仅安装需要组件和应用程序，并经过设置升级服务器等方式保持系统补丁及时得到更新。a)

应遵照最小安装标准，仅安装需要组件和应用程序。b)

应关闭不需要系统服务、默认共享和高危端口；c)

应经过设定终端接入方式或网络地址范围对经过网络进行管理管理终端进行限制；d)

应能发觉可能存在漏洞，并在经过充分测试评定后，及时修补漏洞；恶意代码防范a)

应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；恶意代码防范应采取免受恶意代码攻击技术方法或可信验证机制对系统程序、应用程序和主要配置文件/参数进行可信执行验证，并在检测到其完整性受到破坏时采取恢复方法。b)

主机防恶意代码产品应具备与网络防恶意代码产品不一样恶意代码库；c)

应支持防恶意代码统一管理。资源控制a)

应经过设定终端接入方式、网络地址范围等条件限制终端登录；资源控制b)

应依照安全策略设置登录终端操作超时锁定；c)

应对主要服务器进行监视，包含监视服务器CPU、硬盘、内存、网络等资源使用情况；c)

应对主要节点进行监视，包含监视CPU、硬盘、内存等资源使用情况；

d)

应限制单个用户对系统资源最大或最小使用程度；a)

应限制单个用户或进程对系统资源最大使用程度；

e)

应能够对系统服务水平降低到预先要求最小值进行检测和报警。e)

应能够对主要节点服务水平降低到预先要求最小值进行检测和报警。b)

应提供主要节点设备硬件冗余，确保系统可用性；

应用和数据安全VS原来应用安全+数据安全及备份恢复

新标准将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一个层面，降低了通信完整性、通信保密性和抗抵赖三个控制点，增加了个人信息保护控制点。通信完整性和通信保密性要求纳入了网络和通信安全层面通信传输控制点。

要求项由原来39项调整为33项。

控制点和控制点要求项数修改情况以下列图：

原控制点要求项数新控制点要求项数应用安全1

身份判别5应用和数据安全1

身份判别52

访问控制62

访问控制73

安全审计43

安全审计54

剩下信息保护24

软件容错35

通信完整性15

资源控制26

通信保密性26

数据完整性27

抗抵赖27

数据保密性28

软件容错28

数据备份和恢复39

资源控制79

剩下信息保护2数据安全及备份恢复9

数据完整性210

个人信息保护210

数据保密性211

备份和恢复4

详细要求项改变以下表：

信息安全等级保护基本要求—主机安全（三级）网络安全等级保护基本要求通用要求—设备和计算安全（三级）身份判别a)

应提供专用登录控制模块对登录用户进行身份标识和判别；身份判别a)

应对登录用户进行身份标识和判别，身份标识具备唯一性，判别信息具备复杂度要求并定时更换；b)

应对同一用户采取两种或两种以上组合判别技术实现用户身份判别；e)

应采取两种或两种以上组合判别技术对用户进行身份判别，且其中一个判别技术最少应使用动态口令、密码技术或生物技术来实现。

c)

应提供用户身份标识唯一和判别信息复杂度检验功效，确保应用系统中不存在重复用户身份标识，身份判别信息不易被冒用；d)

应提供登录失败处理功效，可采取结束会话、限制非法登录次数和自动退出等方法；b)

应提供并启用登录失败处理功效，数次登录失败后应采取必要保护方法；e)

应启用身份判别、用户身份标识唯一性检验、用户身份判别信息复杂度检验以及登录失败处理功效，并依照安全策略配置相关参数。e)

应启用身份判别、用户身份标识唯一性检验、用户身份判别信息复杂度检验以及登录失败处理功效，并依照安全策略配置相关参数。c)

应强制用户首次登录时修改初始口令；（新增）d)

用户身份判别信息丢失或失效时，应采取技术方法确保判别信息重置过程安全；（新增）访问控制a)

应提供访问控制功效，依据安全策略控制用户对文件、数据库表等客体访问；访问控制a)

应提供访问控制功效，对登录用户分配账户和权限；b)

应重命名或删除默认账户，修改默认账户默认口令；c)

应及时删除或停用多出、过期账户，防止共享账户存在；b)

访问控制覆盖范围应包含与资源访问相关主体、客体及它们之间操作；c)

应由授权主体配置访问控制策略，并严格限制默认帐户访问权限；e)

应由授权主体配置访问控制策略，访问控制策略要求主体对客体访问规则；d)

应授予不一样帐户为完成各自负担任务所需最小权限，并在它们之间形成相互制约关系。d)

应授予不一样帐户为完成各自负担任务所需最小权限，并在它们之间形成相互制约关系。f)

访问控制粒度应达成主体为用户级，客体为文件、数据库表级、统计或字段级；

e)

应具备对主要信息资源设置敏感标识功效；g)

应对敏感信息资源设置安全标识，并控制主体对有安全标识信息资源访问。

f)

应依据安全策略严格控制用户对有敏感标识主要信息资源操作；安全审计a)

应提供覆盖到每个用户安全审计功效，对应用系统主要安全事件进行审计；安全审计a)

应提供安全审计功效，审计覆盖到每个用户，对主要用户行为和主要安全事件进行审计；b)

应确保无法单独中止审计进程，无法删除、修改或覆盖审计统计；e)

应对审计进程进行保护，预防未经授权中止。d)

应确保审计统计留存时间符正当律法规要求；（新增）c)

应对审计统计进行保护，定时备份，防止受到未预期删除、修改或覆盖等；c)

审计统计内容最少应包含事件日期、时间、发起者信息、类型、描述和结果等；b)

审计统计应包含事件日期和时间、用户、事件类型、事件是否成功及其余与审计相关信息；d)

应提供对审计统计数据进行统计、查询、分析及生成审计报表功效。软件容错a)

应提供数据有效性检验功效，确保经过人机接口输入或经过通信接口输入数据格式或长度符合系统设定要求；软件容错a)

应提供数据有效性检验功效，确保经过人机接口输入或经过通信接口输入内容符合系统设定要求；b)

应提供自动保护功效，当故障发生时自动保护当前全部状态，确保系统能够进行恢复。b)

在故障发生时，应能够继续提供一部分功效，确保能够实施必要方法；c)

在故障发生时，应自动保留易失性数据和全部状态，确保系统能够进行恢复。（新增）

资源控制a)

当应用系统通信双方中一方在一段时间内未作任何响应，另一方应能够自动结束会话；资源控制a)

当通信双方中一方在一段时间内未作任何响应，另一方应能够自动结束会话；b)

应能够对系统最大并发会话连接数进行限制；b)

应能够对系统最大并发会话连接数进行限制；c)

应能够对单个帐户多重并发会话进行限制；c)

应能够对单个账户多重并发会话进行限制。d)

应能够对一个时间段内可能并发会话连接数进行限制；e)

应能够对一个访问帐户或一个请求进程占用资源分配最大限额和最小限额；f)

应能够对系统服务水平降低到预先要求最小值进行检测和报警；g)

应提供服务优先级设定功效，并在安装后依照安全策略设定访问帐户或请求进程优先级，依照优先级分配系统资源。剩下信息保护a)

应确保用户判别信息所在存放空间被释放或再