安全等级保护2级和3级等保要求

两级和三级保护要求的比较一、技术要求技术要求二等保险三级保险人身安全物理位置的选择1)机房和办公空间应选择具有防震、防风和防雨能力的建筑。1)机房和办公空间应选择具有防震、防风和防雨能力的建筑。2)机房场地应避免位于建筑物的高层或地下室，以及水设备的下层或隔壁。3)机房场地应避开易产生强电场、强磁场、强振动源、强噪声源、严重环境污染、火灾、洪水和雷击的区域。物理访问控制1)机房出入口应有专人值班，对进入机房的人员进行识别和登记；2)进入机房的访客应被批准限制和监控其活动。1)机房出入口应有专人值班，对进入机房的人员进行识别和登记；2)进入机房的访客应被批准限制和监控其活动范围；3)对机房的分区进行管理。区域和区域之间应设置物理隔离装置。交付或安装等多余区域应安排在重要区域的前面。4)重要区域应配备电子门禁系统，以识别和记录进入人员的身份并监控其活动。防盗和防损坏1)主要设备应放置在物理限制范围内；2)设备或主要部件应固定，并有明显的不易移动的标记。3)通信电缆应敷设在地下或管道等隐蔽的地方。4)媒体应分类标识，并保存在媒体库或档案馆。5)安装必要的防盗报警设施，防止盗窃和破坏进入机房。1)主要设备应放置在物理限制范围内；2)设备或主要部件应固定，并有明显的不可移动的标记。3)通信电缆应敷设在地下或管道等隐蔽的地方。4)媒体应分类标识，并保存在媒体库或档案馆。5)当设备或存储介质被带出工作环境时，应对其进行监控和加密；6)利用光、电等技术在机房内设置防盗报警系统，防止盗窃和破坏进入机房；7)机房应设置监控和报警系统。防雷法1)机房建筑应安装防雷装置；2)应设置交流电源接地线。1)机房建筑应安装防雷装置；2)设置避雷装置，防止感应雷。3)应设置交流电源接地线。防火1)设置消防设备和火灾自动报警系统，并保持完好。1)应设置自动消防系统，自动探测火灾、报警和灭火。2)机房及相关工作间和辅助间的建筑材料应具有耐火等级；3)机房应采取区域隔离和防火措施，将重要设备与其他设备隔离。防水防潮1)水管不得穿过屋顶或活动地板下方安装。2)穿过墙壁和地板的水管应增加必要的保护措施，如设置套管；3)应采取措施防止雨水渗透屋顶和墙壁；4)应采取措施防止室内水蒸气凝结和地下积水的转移和渗透。1)水管不得穿过屋顶或活动地板下方安装。2)穿过墙壁和地板的水管应增加必要的保护措施，如设置套管；3)应采取措施防止雨水渗透屋顶和墙壁；4)应采取措施防止室内水蒸气凝结和地下积水的转移和渗透。抗静电的1)应采取接地等必要的防静电措施1)采取接地等必要的防静电措施；2)采用防静电地板。温度和湿度控制1)设置自动温湿度调节设施1)计算机系统的电源应与其他电源分开；2)设置稳压器和过压保护设备。3)应提供短期备用电源(如不间断电源设备)；4)设置冗余或平行的电力电缆线路；5)应建立备用电源系统(如备用发电机)，以便在停电时启用公共电源系统。电磁保护1)采用接地，防止外部电磁干扰和设备寄生耦合干扰；2)电源线和通信电缆应隔离，避免相互干扰。1)采用接地，防止外部电磁干扰和设备寄生耦合干扰；2)电源线和通信电缆应隔离，避免相互干扰；3)对重要设备和磁介质实施电磁屏蔽。网络安全性结构安全性和网段划分1)网络设备的业务处理能力应有冗余空间，以满足高峰服务时间的需求；2)设计并绘制符合当前运行的网络拓扑图；3)网络带宽应根据组织业务的特点，在满足业务高峰时段需求的基础上，合理设计。4)在服务终端和服务服务器之间进行路由控制，建立安全的接入路径；5)根据所涉及信息的工作功能、重要性和重要性，划分不同的子网或网段，并根据方便管理和控制的原则，为每个子网或网段分配地址段。6)重要网段应采取网络层地址和数据链路层地址绑定措施，防止地址欺骗。1)网络设备的业务处理能力应有冗余空间，以满足高峰服务时间的需求；2)设计并绘制符合当前运行的网络拓扑图；3)网络带宽应根据组织业务的特点，在满足业务高峰时段需求的基础上，合理设计。4)在服务终端和服务服务器之间进行路由控制，建立安全的接入路径；5)根据所涉及信息的工作功能、重要性和重要性，划分不同的子网或网段，并根据方便管理和控制的原则，为每个子网或网段分配地址段。6)重要网段应采取网络层地址和数据链路层地址绑定措施，防止地址欺骗；7)带宽分配的优先级应根据重要业务的先后顺序来确定，以保证重要业务数据主机在网络拥塞时的优先保护。网络访问控制1)根据会话状态信息(包括源地址、目的地址、源端口号、目的端口号、协议、传入和传出接口、会话序列号、传出信息的主机名等信息，并支持使用地址通配符)，数据流应具有明确的允许/拒绝访问的能力。1)根据会话状态信息(包括源地址、目的地址、源端口号、目的端口号、协议、传入和传出接口、会话序列号、传出信息的主机名等信息，并应支持使用地址通配符)，为数据流提供明确的允许/拒绝访问的能力；2)对进出网络的信息内容进行过滤，实现对应用层协议的命令级控制，如HTTP、FTP、TELNET、SMTP、POP3等。3)根据安全政策，允许或拒绝便携式和移动设备的网络访问；4)网络连接应在会话处于非活动状态一段时间后或会话结束后终止；5)应限制最大网络流量和网络连接数。拨号访问控制1)根据允许远程用户基于安全属性访问系统的规则，允许或拒绝用户访问系统的所有资源，控制粒度为单个用户；2)应该限制具有拨号访问权限的用户数量。1)根据允许远程用户访问系统的所有资源的规则，应该允许或拒绝用户访问系统的所有资源2)对于每个事件，其审核记录应包括事件的日期和时间、用户、事件类型、事件是否成功以及其他审核相关信息。1)对网络系统中网络设备的运行状态、网络流量和用户行为进行全面的监控和记录；2)对于每个事件，其审核记录应包括：事件的日期和时间、用户、事件类型、事件是否成功以及其他审核相关信息；3)安全审核应能够根据记录的数据进行分析并生成审核报告；4)安全审计应该能够为特定事件提供特定方式的实时报警；5)审核记录应受到保护，以防意外删除、修改或覆盖。边界完整性检查1)它应该能够检测内部网络中发生的内部用户未经许可连接到外部网络的行为(即“非法外联”行为)。1)它应该能够检测内部网络中未经许可连接到外部网络的内部用户的行为(即“非法外联”)；2)应该能够检查未经许可的设备与网络的连接，并确定有效阻止它的位置；3)它应该能够准确地确定位置并有效地阻止内部网络用户未经许可连接到外部网络的行为。网络入侵防御1)应在网络边界监控以下攻击：端口扫描、强力攻击、特洛伊木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击和其他入侵事件。1)应在网络边界监控以下攻击：端口扫描、强力攻击、特洛伊木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击和其他入侵事件。2)当检测到入侵事件时，应记录入侵的源IP、攻击类型、攻击目的和攻击时间，并在发生严重入侵事件时发出警报。恶意代码防范1)应在网络边界和核心业务部门检测并删除恶意代码；2)维护恶意代码库的升级和检测系统的更新。3)支持恶意代码防范的统一管理。1)应在网络边界和核心业务部门检测并删除恶意代码；2)维护恶意代码库的升级和检测系统的更新。3)支持恶意代码防范的统一管理。网络设备保护1)对登录网络设备的用户进行身份认证；2)应限制网络设备的管理员登录地址；3)网络设备用户的标识应该是唯一的；4)身份认证信息应具有不易被欺诈性使用的特征，如密码长度、复杂性和定期更新。5)应该具有登录失败处理功能，如结束会话、限制非法登录的次数，以及当网络登录连接超时时自动退出。1)对登录网络设备的用户进行身份认证；2)对网络上的对等实体进行身份认证；3)应限制网络设备的管理员登录地址；4)网络设备用户的标识应该是唯一的；5)身份认证信息应具有不易被欺诈性使用的特征，如密码长度、复杂性和定期更新。6)同一用户应选择两种或两种以上的组合认证技术进行身份认证；7)应有登录失败处理功能，如结束会话、限制非法登录次数、网络登录连接超时自动退出；8)分离设备特权用户的权限，例如，将管理和审计的权限分配给网络设备的不同用户。主机系统安全性识别1)操作系统和数据库管理系统的用户身份应该是唯一的；2)登录操作系统和数据库管理系统的用户应被识别和认证；3)操作系统和数据库管理系统的身份认证信息应具有不易被欺诈使用的特征，如密码长度、复杂性和定期更新等。4)应该具有登录失败处理功能，如结束会话、限制登录次数1)操作系统和数据库管理系统的用户身份应该是唯一的；2)登录操作系统和数据库管理系统的用户应被识别和认证；3)同一用户应采用两种或两种以上的组合认证技术来实现用户身份认证；4)操作系统和数据库管理系统中用户的身份认证信息应具有不易被欺诈使用的特征，如密码长度、复杂性和定期更新等。5)应有登录失败处理功能，如结束会话、限制非法登录次数、登录连接超时自动退出；6)应具有识别和报警功能；7)重要的主机系统应识别和认证与其连接的服务器或终端设备。自主访问控制1)应根据安全策略控制主体对对象的访问；2)自主访问控制的覆盖范围应包括与信息安全直接相关的主体、对象及其操作；3)自主访问控制的粒度应该达到以用户为主体，以文件和数据库表为对象的层次。4)授权主体应设定对对象的访问和操作权限；5)应严格限制默认用户的访问权限。1)应根据安全策略控制主体对对象的访问；2)自主访问控制的覆盖范围应包括与信息安全直接相关的主体、对象及其操作；3)自主访问控制的粒度应该达到以用户为主体，以文件和数据库表为对象的层次。4)授权主体应设定对对象的访问和操作权限；5)权限分离采用最小授权原则，不同用户分别被授予完成各自任务所需的最小权限，并形成相互制约的关系。6)操作系统和数据库管理系统的特权用户的权限应该分开。7)应严格限制默认用户的访问权限。强制访问控制不1)重要信息资源和所有访问重要信息资源的主体应设置敏感标志；2)强制访问控制的覆盖范围应包括与重要信息资源直接相关的所有主体、对象及其操作；3)强制访问控制的粒度应该达到以用户为主体，以文件和数据库表为对象的层次。安全审计1)安全审计应覆盖服务器上的每个操作系统用户和数据库用户；2)安全审核应记录系统中重要的安全相关事件，包括重要的用户行为和重要系统命令的使用等。3)安全相关事件的记录应包括日期和时间、类型、主体识别、客体识别、事件结果等。4)审核记录应受到保护，以防意外删除、修改或覆盖。1)安全审计应覆盖服务器和客户端上的每个操作系统用户和数据库用户；2)安全审核应记录系统中重要的安全相关事件，包括重要的用户行为、系统资源的异常使用和重要系统命令的使用；3)安全相关事件的记录应包括日期和时间、类型、主体识别、客体识别、事件结果等。4)安全审核应能够根据记录的数据进行分析并生成审核报告；5)安全审计应该能够为特定事件提供特定方式的实时报警；6)审核过程应避免意外中断；7)审核记录应受到保护，以防意外删除、修改或覆盖。系统保护1)系统应提供在管理和维护状态下运行的能力，该能力只能由系统管理员使用。1)系统因故障或其他原因中断后，应能手动或自动恢复运行。剩余信息保护1)确保操作系统和数据库管理系统的用户的认证信息所在的存储空间在被释放或重新分配给其他用户之前被完全清除，而不管该信息是存储在硬盘上还是存储在存储器中；2)确