二级、三级等级保护要求比较
一、 技术要求
技术要求
二级等保
我方措施
三级等保
项
物
理
安
全
物
理
位
置
的
选
择
物
理
访
问
控
制
防
盗
窃
和
防
破
坏
1) 机房和办公场
1) 机房和办公场地应选择在具有防震、
地应选择在具
有防震、防风
和防雨等能力
的建筑内。
防风和防雨等能力的建筑内;
2) 机房场地应避免设在建筑物的高层或
地下室,以及用水设备的下层或隔壁;
3) 机房场地应当避开强电场、强磁场、
强震动源、强噪声源、重度环境污染、
易发生火灾、水灾、易遭受雷击的地
区。
1) 机房出入口应
1) 机房出入口应有专人值守,鉴别进入
有专人值守,
鉴别进入的人
员身份并登记
在案;
2) 应批准进入机
房 的 来 访 人
员,限制和监
控 其 活 动 范
围。
的人员身份并登记在案;
2) 应批准进入机房的来访人员,限制和
监控其活动范围;
3) 应对机房划分区域进行管理,区域和
区域之间设置物理隔离装置,在重要
区域前设置交付或安装等过度区域;
4) 应对重要区域配置电子门禁系统,鉴
别和记录进入的人员身份并监控其活
动。
1) 应将主要设备
1) 应将主要设备放置在物理受限的范围
放置在物理受
限的范围内;
2) 应对设备或主
要部件进行固
定,并设置明
显的不易除去
的标记;
3) 应将通信线缆
铺 设 在 隐 蔽
内;
2) 应对设备或主要部件进行固定,并设
置明显的无法除去的标记;
3) 应将通信线缆铺设在隐蔽处,如铺设
在地下或管道中等;
4) 应对介质分类标识,存储在介质库或
档案室中;
5) 设备或存储介质携带出工作环境时,
应受到监控和内容加密;
技术要求
二级等保
我方措施
三级等保
项
处,如铺设在
地下或管道中
等;
6) 应利用光、电等技术设置机房的防盗
报警系统,以防进入机房的盗窃和破
坏行为;
4) 应对介质分类
7) 应对机房设置监控报警系统。
标识,存储在
介质库或档案
室中;
5) 应安装必要的
防 盗 报 警 设
施,以防进入
机房的盗窃和
破坏行为。
1) 机房建筑应设
置避雷装置;
2) 应设置交流电
源地线。
1) 应设置灭火设
备和火灾自动
报警系统,并
保持灭火设备
和火灾自动报
警系统的良好
状态。
1) 机房建筑应设置避雷装置;
2) 应设置防雷保安器,防止感应雷;
3) 应设置交流电源地线。
1) 应设置火灾自动消防系统,自动检测
火情、自动报警,并自动灭火;
2) 机房及相关的工作房间和辅助房,其
建筑材料应具有耐火等级;
3) 机房采取区域隔离防火措施,将重要
设备与其他设备隔离开。
1) 水管安装,不
1) 水管安装,不得穿过屋顶和活动地板
得穿过屋顶和
活动地板下;
2) 应对穿过墙壁
和楼板的水管
增加必要的保
护措施,如设
置套管;
3) 应采取措施防
下;
2) 应对穿过墙壁和楼板的水管增加必要
的保护措施,如设置套管;
3) 应采取措施防止雨水通过屋顶和墙壁
渗透;
4) 应采取措施防止室内水蒸气结露和地
下积水的转移与渗透。
防
雷
击
防
火
防
水
和
防
潮
技术要求
二级等保
我方措施
三级等保
项
止雨水通过屋
顶 和 墙 壁 渗
透;
4) 应采取措施防
止室内水蒸气
结露和地下积
水的转移与渗
透。
1) 应采用必要的
接地等防静电
措施
1) 应采用必要的接地等防静电措施;
2) 应采用防静电地板。
1) 应设置温、湿
1) 应设置恒温恒湿系统,使机房温、湿
度的变化在设备运行所允许的范围之
内。
1) 计算机系统供电应与其他供电分开;
2) 应设置稳压器和过电压防护设备;
3) 应提供短期的备用电力供应(如 UPS
设备);
4) 应设置冗余或并行的电力电缆线路;
5) 应建立备用供电系统(如备用发电
机),以备常用供电系统停电时启用。
度自动调节设
施,使机房温、
湿度的变化在
设备运行所允
许 的 范 围 之
内。
1) 计算机系统供
电应与其他供
电分开;
2) 应设置稳压器
和过电压防护
设备;
3) 应提供短期的
备用电力供应
( 如 UPS 设
备)。
1) 应采用接地方
1) 应采用接地方式防止外界电磁干扰和
式防止外界电
磁干扰和设备
寄 生 耦 合 干
设备寄生耦合干扰;
2) 电源线和通信线缆应隔离,避免互相
干扰;
防
静
电
温
湿
度
控
制
电
力
供
应
电
磁
防
护
技术要求
二级等保
我方措施
三级等保
项
网
络
安
全
结
构
安
全
与
网
段
划
分
3) 对重要设备和磁介质实施电磁屏蔽。
扰;
2) 电源线和通信
线缆应隔离,
避 免 互 相 干
扰。
1) 网络设备的业
1) 网络设备的业务处理能力应具备冗余
务处理能力应
具 备 冗 余 空
间,要求满足
业务高峰期需
要;
空间,要求满足业务高峰期需要;
2) 应设计和绘制与当前运行情况相符的
网络拓扑结构图;
3) 应根据机构业务的特点,在满足业务
高峰期需要的基础上,合理设计网络
2) 应设计和绘制
带宽;
与当前运行情
况相符的网络
拓扑结构图;
3) 应根据机构业
务的特点,在
满足业务高峰
期需要的基础
上,合理设计
网络带宽;
4) 应在业务终端与业务服务器之间进行
路由控制建立安全的访问路径;
5) 应根据各部门的工作职能、重要性、
所涉及信息的重要程度等因素,划分
不同的子网或网段,并按照方便管理
和控制的原则为各子网、网段分配地
址段;
6) 重要网段应采取网络层地址与数据链
路层地址绑定措施,防止地址欺骗;
4) 应在业务终端
7) 应按照对业务服务的重要次序来指定
带宽分配优先级别,保证在网络发生
拥堵的时候优先保护重要业务数据主
机。
与业务服务器
之间进行路由
控制,建立安
全 的 访 问 路
径;
5) 应根据各部门
的工作职能、
重要性、所涉
及信息的重要
程度等因素,
技术要求
二级等保
我方措施
三级等保
项
划分不同的子
网或网段,并
按照方便管理
和控制的原则
为各子网、网
段 分 配 地 址
段;
6) 重要网段应采
取网络层地址
与数据链路层
地 址 绑 定 措
施,防止地址
欺骗。
网
络
访
问
控
制
1) 应能根据会话
防 火 墙
1) 应能根据会话状态信息(包括数据包
状态信息(包
软 件 结
的源地址、目的地址、源端口号、目
括数据包的源
合 主 机
的端口号、协议、出入的接口、会话
地址、目的地
软 件 防
序列号、发出信息的主机名等信息,
址、源端口号、
火墙,对
并应支持地址通配符的使用),为数据
目的端口号、
网 络 访
协议、出入的
问 进 行
接口、会话序
限制。
列号、发出信
息的主机名等
信息,并应支
持地址通配符
的使用),为数
据流提供明确
的 允 许 / 拒 绝
访问的能力。
流提供明确的允许/拒绝访问的能力;
2) 应对进出网络的信息内容进行过滤,
实现对应用层 HTTP、FTP、TELNET、
SMTP、POP3 等协议命令级的控制;
3) 应依据安全策略允许或者拒绝便携式
和移动式设备的网络接入;
4) 应在会话处于非活跃一定时间或会话
结束后终止网络连接;
5) 应限制网络最大流量数及网络连接
数。
拨
号
访
1) 应在基于安全
属性的允许远
程用户对系统
配 置 操
1) 应在基于安全属性的允许远程用户对
作 系 统
系统访问的规则的基础上,对系统所
资 源 访
有资源允许或拒绝用户进行访问,控
技术要求
二级等保
我方措施
三级等保
项
问
控
制
网
络
安
全
审
计
边
界
完
整
性
检
查
访问的规则的
问控制
制粒度为单个用户;
基础上,对系
统所有资源允
许或拒绝用户
进行访问,控
制粒度为单个
用户;
2) 应限制具有拨
号访问权限的
用户数量。
1) 应对网络系统
中的网络设备
运行状况、网
络流量、用户
行为等事件进
行日志记录;
2) 应限制具有拨号访问权限的用户数
量;
3) 应按用户和系统之间的允许访问规
则,决定允许用户对受控系统进行资
源访问。
依 赖 操
1) 应对网络系统中的网络设备运行状
作 系 统
况、网络流量、用户行为等进行全面
本 身 的
的监测、记录;
事 件 记
2) 对于每一个事件,其审计记录应包括:
录机制,
事件的日期和时间、用户、事件类型、
2) 对于每一个事
确 保 启
事件是否成功,及其他与审计相关的
件,其审计记
用 此 功
信息;
录应包括:事
件的日期和时
间、用户、事
件类型、事件
是否成功,及
其他与审计相
关的信息。
能
3) 安全审计应可以根据记录数据进行分
析,并生成审计报表;
4) 安全审计应可以对特定事件,提供指
定方式的实时报警;
5) 审计记录应受到保护避免受到未预期
的删除、修改或覆盖等。
1) 应能够检测内
只 对 内
1) 应能够检测内部网络中出现的内部用
部网络中出现
的内部用户未
通过准许私自
联到外部网络
的行为(即“非
法 外 联 ” 行
网 特 定
户未通过准许私自联到外部网络的行
IP 端 口
为(即“非法外联”行为);
的应用,
2) 应能够对非授权设备私自联到网络的
且 其 有
行为进行检查,并准确定出位置,对
对 外 网
其进行有效阻断;
技术要求
二级等保
我方措施
三级等保
项
为)。
络 访 问
3) 应能够对内部网络用户私自联到外部
权限的,
网络的行为进行检测后准确定出位
才放行
置,并对其进行有效阻断。
1) 应在网络边界
防 火 墙
1) 应在网络边界处应监视以下攻击行
处监视以下攻
击行为:端口
扫描、强力攻
击、木马后门
攻击、拒绝服
务攻击、缓冲
区溢出攻击、
IP 碎片攻击、
网络蠕虫攻击
等入侵事件的
发生。
配 合 入
为:端口扫描、强力攻击、木马后门
侵 检 测
攻击、拒绝服务攻击、缓冲区溢出攻
软件
击、IP碎片攻击、网络蠕虫攻击等入
侵事件的发生;
2) 当检测到入侵事件时,应记录入侵的
源IP、攻击的类型、攻击的目的、攻
击的时间,并在发生严重入侵事件时
提供报警。
1) 应在网络边界
运 行 入
1) 应在网络边界及核心业务网段处对恶
及核心业务网
段处对恶意代
码进行检测和
清除;
2) 应维护恶意代
侵 检 测
意代码进行检测和清除;
软 件 实
2) 应维护恶意代码库的升级和检测系统
时 拦 截
的更新;
并阻止,
3) 应支持恶意代码防范的统一管理。
码库的升级和
要 求 各
检测系统的更
应 用 系
新;
3) 应支持恶意代
码防范的统一
管理。
1) 应对登录网络
设备的用户进
行身份鉴别;
2) 应对网络设备
的管理员登录
统 进 行
漏 洞 修
复。
操 作 系
1) 应对登录网络设备的用户进行身份鉴
统 配 置
别;
密 码 复
2) 应对网络上的对等实体进行身份鉴
杂度、用
别;
网
络
入
侵
防
范
恶
意
代
码
防
范
网
络
设
备
防
技术要求
二级等保
我方措施
三级等保
项
护
地 址 进 行 限
户 权 限
3) 应对网络设备的管理员登录地址进行
等 以 实
限制;
现要求。
4) 网络设备用户的标识应唯一;
5) 身份鉴别信息应具有不易被冒用的特
点,例如口令长度、复杂性和定期的
更新等;
6) 应对同一用户选择两种或两种以上组
合的鉴别技术来进行身份鉴别;
7) 应具有登录失败处理功能,如:结束
会话、限制非法登录次数,当网络登
录连接超时,自动退出;
8) 应实现设备特权用户的权限分离,例
如将管理与审计的权限分配给不同的
网络设备用户。
制;
3) 网络设备用户
的 标 识 应 唯
一;
4) 身份鉴别信息
应具有不易被
冒用的特点,
例 如 口 令 长
度、复杂性和
定 期 的 更 新
等;
5) 应具有登录失
败处理功能,
如:结束会话、
限制非法登录
次数,当网络
登 录 连 接 超
时,自动退出。
身
份
鉴
别
主
机
系
统
安
全
1) 操作系统和数
操 作 系
1) 操作系统和数据库管理系统用户的身
据库管理系统
用户的身份标
识应具有唯一
性;
2) 应对登录操作
系统和数据库
统 及 数
份标识应具有唯一性;
据 库 进
2) 应对登录操作系统和数据库管理系统
行 配 置
的用户进行身份标识和鉴别;
即 可 满
3) 应对同一用户采用两种或两种以上组
足 安 全
合的鉴别技术实现用户身份鉴别;
管理系统的用
要求。
4) 操作系统和数据库管理系统用户的身
户进行身份标
识和鉴别;
3) 操作系统和数
据库管理系统
身份鉴别信息
份鉴别信息应具有不易被冒用的特
点,例如口令长度、复杂性和定期的
更新等;
5) 应具有登录失败处理功能,如:结束