等保0VS等保0三級對比

1、實用文檔等保2.0VS等保1.0三級比照網(wǎng)絡平安等級保護根本要求通用要求技術局部與信息平安等級保護根本要求技術局部結(jié)構(gòu)由原來的五個層面：物理平安、網(wǎng)絡平安、主機平安、應用平安、數(shù)據(jù)平安,調(diào)整為四個局部：物理和環(huán)境平安、網(wǎng)絡和通信平安、設備和計算平安、應用和數(shù)據(jù)平安；技術要求“從面到點提出平安要求,“物理和環(huán)境平安主要對機房設施提出要求,“網(wǎng)絡和通信平安主要對網(wǎng)絡整體提出要求,“設備和計算平安主要對構(gòu)成節(jié)點包括網(wǎng)絡設備、平安設備、操作系統(tǒng)、數(shù)據(jù)庫、中間件等提出要求,“應用和數(shù)據(jù)平安主要對業(yè)務應用和數(shù)據(jù)提出要求.標粗內(nèi)容為三級和二級的變化,標紅部門為新標準主要變化1.1、物理和環(huán)境平安VS原來物理

2、平安限制點未發(fā)生變化,要求項數(shù)由原來的 32 項調(diào)整為 22 項.限制點要求項數(shù)修改情況如下列圖：原限制點要求項數(shù)新限制點要求項數(shù)物理平安1 物理位置的選擇2物理和環(huán)境安全1 物理位置的選擇22 物理訪問限制42 物理訪問限制13 防盜竊和防破壞63 防盜竊和防破壞34 防雷擊34 防雷擊25 防火35 防火36 防水和防潮46 防水和防潮37 防靜電27 防靜電28 溫濕度限制18 溫濕度限制19 電力供給49 電力供給310 電磁防護310 電磁防護2要求項的變化如下:信息平安等級保護根本要求一物理平安三級網(wǎng)絡平安等級保護根本要求通用要求一物理和環(huán)境平安 三級物a機房和辦公場地應選擇在具有

3、防震、防風和防物a機房和辦公場地應選擇在具有防震、防風和防理雨等水平的建筑內(nèi)；理雨等水平的建筑內(nèi)；位b機房場地應預防設在建筑物的高層或地下室,位b機房場地應預防設在建筑物的頂層或地下室,置以及用水設備的下層或隔壁.置否那么應增強防水和防潮舉措.的的選選擇擇物a機房出入口應安排專人值守,限制、鑒別和記物a機房出入口應配置電子門禁系統(tǒng),限制、鑒別理錄進入的人員；理和記錄進入的人員.訪b需進入機房的來訪人員應經(jīng)過申請和審批流訪問程,并限制和監(jiān)控其活動范圍；問控c應對機房劃分區(qū)域進行治理,區(qū)域和區(qū)域之間控制設置物理隔離裝置,在重要區(qū)域前設置交付或安制標準文案實用文檔裝等過渡區(qū)域；d重要區(qū)域應配置電子門

4、禁系統(tǒng),限制、鑒別和記錄進入的人員.防a應將主要設備放置在機房內(nèi)；防a應將設備或主要部件進行固定,并設置明顯的盜b應將設備或主要部件進行固定,并設置明顯的盜不易除去的標記；竊和不易除去的標記；竊和b應將通信線纜鋪設在隱蔽處,可鋪設在地卜或c應將通信線纜鋪設在隱蔽處,可鋪設在地卜或管道中；防管道中；防c應設置機房防盜報警系統(tǒng)或設置有專人值守破破的視頻監(jiān)控系統(tǒng).d應對介質(zhì)分類標識,存儲在介質(zhì)庫或檔案室中；壞壞e應利用光、電等技術設置機房防盜報警系統(tǒng)；f應對機房設置監(jiān)控報警系統(tǒng).防a機房建筑應設置避雷裝置；防a應將各類機柜、設施和設備等通過接地系統(tǒng)安雷雷全接地；擊b應設置防雷保安器,預防感應雷；擊b

5、應采取舉措預防感應雷,例如設置防雷保安器c機房應設置交流電源地線.或過壓保護裝置等.防a機房應設置火災自動消防系統(tǒng),能夠自動檢測防a機房應設置火災自動消防系統(tǒng),能夠自動檢測火火情、自動報警,并自動滅火；火火情、自動報警,并自動滅火；b機房及相關的工作房間和輔助房應采用具有b機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料；耐火等級的建筑材料；c機房應米取區(qū)域隔離防火舉措,將重要設備與c應對機房劃分區(qū)域進行治理,區(qū)域和區(qū)域之間其他設備隔離開.設置隔離防火舉措.防a水管安裝,不得穿過機房屋頂和活動地板下；防a應采取舉措預防雨水通過機房窗戶、屋頂和墻水水壁滲透；和b應采取舉措預防雨水通過機房

6、窗戶、屋頂和墻和b應采取舉措預防機房內(nèi)水蒸氣結(jié)露和地下積防壁滲透；防水的轉(zhuǎn)移與滲透；潮c應采取舉措預防機房內(nèi)水蒸氣結(jié)露和地下積潮c應安裝對水敏感的檢測儀表或元件,對機房進水的轉(zhuǎn)移與滲透；行防水檢測和報警.d應安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警.防a主要設備應采用必要的接地防靜電舉措；防a應安裝防靜電地板并采用必要的接地防靜電靜b機房應采用防靜電地板.靜舉措；電電b應采取舉措預防靜電的產(chǎn)生,例如采用靜電消除器、佩戴防靜電手環(huán)等.新增溫機房應設置溫、濕度自動調(diào)節(jié)設施,使機房溫、溫機房應設置溫、濕度自動調(diào)節(jié)設施,使機房溫、濕濕度的變化在設備運行所允許的范圍之內(nèi).濕濕度的變化在設備

7、運行所允許的范圍之內(nèi).度度控控制制電a應在機房供電線路上配置穩(wěn)壓器和過電壓防電a應在機房供電線路上配置穩(wěn)壓器和過電壓防力護設備；力護設備；供b應提供短期的備用電力供給,至少滿足主要設供b應提供短期的備用電力供給,至少滿足設備在應備在斷電情況下的正常運行要求；應斷電情況下的正常運行要求；標準文案實用文檔c應設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；c應設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；d應建立備用供電系統(tǒng).電 磁防護a應采用接地方式預防外界電磁干擾和設備寄生耦合干擾； 電磁防護a 電源線和通信線纜應隔離鋪設,預防互相干擾；b電源線和通信線纜應隔離鋪設,預防互相干擾；b應對關鍵設備

8、實施電磁屏蔽.c應對關鍵設備和磁介質(zhì)實施電磁屏蔽.1.2、網(wǎng)絡和通信平安VS原來網(wǎng)絡平安新標準減少了結(jié)構(gòu)平安、邊界完整性檢查、網(wǎng)絡設備防護三個限制點,增加了網(wǎng)絡架構(gòu)、通信傳輸、邊界防護、集中管控四個限制點.原結(jié)構(gòu)平安中局部要求項納入了網(wǎng)絡架構(gòu)限制點中,原應用平安中通信完整性和保密性的要求項納入了通信傳輸限制點中,原邊界完整性檢查和訪問限制中局部要求項內(nèi)容納入了邊界防護限制點中,原網(wǎng)絡設備防護限制點要求并到設備和計算平安要求中.要求項總數(shù)原來為 33 項,調(diào)整為還是 33 項,但要求項內(nèi)容有變化限制點和限制點要求項數(shù)修改情況如下列圖：網(wǎng) 絡安全原限制點要求項數(shù)新限制點要求項數(shù)1 結(jié)構(gòu)平安7網(wǎng)絡和

9、通信安全1 網(wǎng)絡架構(gòu)52 訪問限制82 通信傳輸243 平安審計43 邊界防護4 邊界完整性檢查24 訪問限制55 入侵防范25 入侵防范426 惡意代碼防范26 惡意代碼防范7 網(wǎng)絡設備防護87 平安審計58 集中管控6具體要求項的變化如下表:信息結(jié)構(gòu)安全平安等級保護根本要求-網(wǎng)絡平安三級a應保證主要網(wǎng)絡設備的業(yè)務處理水平具備冗余空間,滿足業(yè)務頂峰期需要；b應保證網(wǎng)絡各個局部的帶寬滿足業(yè)務頂峰期需要；c應在業(yè)務終端與業(yè)務效勞器之間進行路由控制建立平安的訪問路徑；d應繪制與當前運行情況相符的網(wǎng)絡拓撲結(jié)構(gòu)圖；網(wǎng)經(jīng)安有網(wǎng)絡架構(gòu)平安等級保護根本要求通用要求一網(wǎng)絡和通信:三級a應保證網(wǎng)絡設備的業(yè)務處理

10、水平具備冗余空間,滿足業(yè)務頂峰期需要；b應保證網(wǎng)絡各個局部的帶寬滿足業(yè)務頂峰期需要；c應劃分不同的網(wǎng)絡區(qū)域,并根據(jù)方便治理和控制的原那么為各網(wǎng)絡區(qū)域分配地址；d應預防將重要網(wǎng)絡區(qū)域部署在網(wǎng)絡邊界處且沒有邊界防護舉措；標準文案實用文檔e應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并根據(jù)方便治理和限制的原那么為各子網(wǎng)、網(wǎng)段分配地址段；e應提供通信線路、關鍵網(wǎng)絡設備的硬件冗余,保證系統(tǒng)的可用性.f應預防將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間米取可靠的技術隔離手段；g應根據(jù)對業(yè)務效勞的重要次序來指定帶寬分配優(yōu)先級別,保證在網(wǎng)絡發(fā)生

11、擁堵的時候優(yōu)先保護重要主機.邊a應能夠?qū)Ψ鞘跈嘣O備私自聯(lián)到內(nèi)部網(wǎng)絡的行通a應采用校驗碼技術或密碼技術保證通信過程界為進行檢查,準確定出位置,并對其進行有效阻信中數(shù)據(jù)的完整性；完斷；傳b應采用密碼技術保證通信過程中敏感信息字整性b應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的輸段或整個報文的保密性.行為進行檢查,準確定出位置,并對其進行有效邊a應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界防檢阻斷.界護設備提供的受控接口進行通信；查防護b 應能夠?qū)Ψ鞘跈嘣O備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行限制或檢查；c應能夠?qū)?nèi)部用戶非授權聯(lián)到外部網(wǎng)絡的行為進行限制或檢查；d應限制無線網(wǎng)絡的使用,保證無線網(wǎng)絡通過受控的邊界防護設備接入

12、內(nèi)部網(wǎng)絡.訪a應在網(wǎng)絡邊界部署訪問限制設備,啟用訪問控訪a應在網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問限制策略問制功能；問設置訪問限制規(guī)那么,默認情況下除允許通信外受控b應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的控控接口拒絕所有通信；制允許/拒絕訪問的水平,限制粒度為端口級；制b應刪除多余或無效的訪問限制規(guī)那么,優(yōu)化訪問c應對進出網(wǎng)絡的信息內(nèi)容進行過濾,實現(xiàn)對應限制列表,并保證訪問限制規(guī)那么數(shù)量最小化；用層 HTTRFTP、TELNETSMTPPOP3 等協(xié)議命令級的限制；c應對源地址、目的地址、源端口、目的端口和d應在會話處于非活潑一定時間或會話結(jié)束后協(xié)議等進行檢查,以允許/拒絕數(shù)據(jù)包進出；終止網(wǎng)絡連接；e應

13、限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)；d應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的f重要網(wǎng)段應米取技術手段預防地址欺騙；允許/拒絕訪問的水平,限制粒度為端口級；g應按用戶和系統(tǒng)之間的允許訪問規(guī)那么,決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問,限制粒e應在關鍵網(wǎng)絡節(jié)點處對進出網(wǎng)絡的信息內(nèi)容度為單個用戶；進行過濾,實現(xiàn)對內(nèi)容的訪問限制.h應限制具有撥號訪問權限的用戶數(shù)量.入a應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃入a應在關鍵網(wǎng)絡節(jié)點處檢測、預防或限制從外部侵描、強力攻擊、木馬后門攻擊、拒絕效勞攻擊、侵發(fā)起的網(wǎng)絡攻擊行為；防緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡蠕蟲攻擊防b應在關鍵網(wǎng)絡節(jié)點處檢測、預防或限制從內(nèi)部

14、范等；范發(fā)起的網(wǎng)絡攻擊行為；新增b當檢測到攻擊行為時,記錄攻擊源 IP、攻擊類標準文案實用文檔型、攻擊目的、攻擊時間,在發(fā)生嚴重入侵事件時應提供報警.c應采取技術舉措對網(wǎng)絡行為進行分析,實現(xiàn)對網(wǎng)絡攻擊特別是新型網(wǎng)絡攻擊行為的分析；新增b當檢測到攻擊行為時,記錄攻擊源 IP、攻擊類型、 攻擊目的、 攻擊時間,在發(fā)生嚴重入侵事件時應提供報警.惡a應在網(wǎng)絡邊界處對惡意代碼進行檢測和去除；惡a應在關鍵網(wǎng)絡節(jié)點處對惡意代碼進行檢測和意意去除,并維護惡意代碼防護機制的升級和更新；代b應維護惡意代碼庫的升級和檢測系統(tǒng)的更新.代碼碼b應在關鍵網(wǎng)絡節(jié)點處對垃圾郵件進行檢測和防防防護,并維護垃圾郵件防護機制的升級

15、和更新.范范新增安a應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流安a應在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點進行平安審計,全量、用戶行為等進行日志記錄；全審計覆蓋到每個用戶,對重要的用戶行為和重要審審平安事件進行審計；計b審計記錄應包括：事件的日期和時間、用戶、計b審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信事件類型、事件是否成功及其他與審計相關的信官；官；c應能夠根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報c應對審計記錄進行保護,定期備份,預防受到表；未預期的刪除、修改或覆蓋等；d應對審計記錄進行保護,預防受到未預期的刪d應保證審計記錄的留存時間符合法律法規(guī)要除、修改或覆蓋等.求；

16、新增e應能對遠程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進行行為審計和數(shù)據(jù)分析.新增無無集a應劃分出特定的治理區(qū)域,對分布在網(wǎng)絡中的中平安設備或平安組件進行管控；新增管b應能夠建立一條平安的信息傳輸路徑,對網(wǎng)絡控中的平安設備或平安組件進行治理；新增c應對網(wǎng)絡鏈路、平安設備、網(wǎng)絡設備和效勞器等的運行狀況進行集中監(jiān)測；新增d 應對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析；新增e應對平安策略、惡意代碼、補丁升級等平安相關事項進行集中治理；f 應能對網(wǎng)絡中發(fā)生的各類平安事件進行識別、 報警和分析.新增網(wǎng)a應對登錄網(wǎng)絡設備的用戶進行身份鑒別；無無絡b應對網(wǎng)絡設備的治理員登錄地址進行限制；設c網(wǎng)

17、絡設備用戶的標識應唯一；備d主要網(wǎng)絡設備應對同一用戶選擇兩種或兩種防以上組合的鑒別技術來進行身份鑒別；護e身份鑒別信息應具有不易被冒用的特點,口令應有復雜度要求并定期更換；標準文案實用文檔f應具有登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等舉措；g當對網(wǎng)絡設備進行遠程治理時,應采取必要措施預防鑒別信息在網(wǎng)絡傳輸過程中被竊聽；h應實現(xiàn)設備特權用戶的權限別離.1.3、設備和計算平安VS原來主機平安新標準減少了剩余信息保護一個限制點,在測評對象上,把網(wǎng)絡設備、平安設備也納入了此層面的測評范圍要求項由原來的 32 項調(diào)整為 26 項.限制點和各限制點要求項數(shù)修改情況

18、如下列圖:原限制點要求項數(shù)新限制點要求項數(shù)主機平安1 身份鑒別6設備和計算安全1 身份鑒別42 訪問限制72 訪問限制73 平安審計63 平安審計54 剩余信息保護24 入侵防范55 入侵防范35 惡意代碼防范16 惡意代碼防范7 資源限制356 資源限制4具體要求項的變化如下表:信息平安等級保護根本要求一主機平安三級網(wǎng)絡平安等級保護根本要求通用要求一設備和計算安全三級身 a應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進身 a應對登錄的用戶進行身份標識和鑒別,身份標識份行身份標識和鑒別；份具有唯一性,身份鑒別信息具有復雜度要求并定期鑒 b操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)治理用戶身份標識鑒更換；別應具有不易被冒用的特

19、點,口令應有復雜度要別 b應具有登錄失敗處理功能,應配置并啟用結(jié)束會求并定期更換；話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出c應啟用登錄失敗處理功能,可采取結(jié)束會等相關舉措；話、限制非法登錄次數(shù)和自動退出等舉措；d當進行遠程治理時,應采取必要舉措,預防鑒別信息在網(wǎng)絡傳輸過程中被竊聽；d當對效勞器進行遠程治理時,應采取必要措d應米用兩種或兩種以上組合的鑒別技術對用戶施,預防鑒別信息在網(wǎng)絡傳輸過程中被竊聽；進行身份鑒別,且其中一種鑒別技術至少應使用e應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分動態(tài)口令、密碼技術或生物技術來實現(xiàn).配不同的用戶名,保證用戶名具有唯一性.f應米用兩種或兩種以上組合的鑒別技術對

20、治理用戶進行身份鑒別.標準文案實用文檔訪 問控制a應啟用訪問限制功能,依據(jù)平安策略限制用戶對資源的訪問；訪問控制a應對登錄的用戶分配賬戶和權限；b應由授權主體配置訪問限制策略,訪問限制策略規(guī)定主體對客體的訪問規(guī)那么；c應進行角色劃分,并授予治理用戶所需的最小權限,實現(xiàn)治理用戶的權限別離；b應重命名或刪除默認賬戶,修改默認賬戶的默認口令；e應及時刪除或停用多余的、過期的賬戶,預防共享賬戶的存在；f訪問限制的粒度應到達主體為用戶級或進程級,客體為文件、數(shù)據(jù)庫表級；g應對敏感信息資源設置平安標記,并限制主體對有平安標記信息資源的訪問.b應根據(jù)治理用戶的角色分配權限,實現(xiàn)治理用戶的權限別離,僅授予治理

21、用戶所需的最小權限；c應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限別離；d應嚴格限制默認帳戶的訪問權限,重命名系統(tǒng)默認帳戶,修改這些帳戶的默認口令；e應及時刪除多余的、過期的帳戶,預防共享帳戶的存在.f應對重要信息資源設置敏感標記；g應依據(jù)平安策略嚴格限制用戶對有敏感標記重要信息資源的操作；安 全審計a審計范圍應覆蓋到效勞器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；安全審計a 應啟用平安審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要平安事件進行審計；b審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；e應對審計進程進行保護,預防未經(jīng)授權的中斷.c應對審計

22、記錄進行保護,定期備份,預防受到未預期的刪除、修改或覆蓋等；d應保證審計記錄的留存時間符合法律法規(guī)要求；新增b審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的平安相關事件；c審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；d應能夠根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報表；e應保護審計進程,預防受到未預期的中斷；f 應保護審計記錄,預防受到未預期的刪除、 修改或覆蓋等.剩 余信官保護a應保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間,被釋放或再分配給其他用戶前得到完全去除,無論這些信息是存放在硬盤上還是在內(nèi)存中；b應保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)

23、庫記錄等資源所在的存儲空間,被釋放或重新分配給其他用戶前得到完全去除.入 侵防范 a應能夠檢測到對重要效勞器進行入侵的行為,能夠記錄入侵的源 IP、攻擊的類型、攻擊的目的、攻擊的時間,并在發(fā)生嚴重入侵事件時提供報警；入侵防范e應能夠檢測到對重要節(jié)點進行入侵的行為,并在發(fā)生嚴重入侵事件時提供報警.a應遵循最小安裝的原那么,僅安裝需要的組件和應用程序.b應關閉不需要的系統(tǒng)效勞、默認共享和高危端口；b應能夠?qū)χ匾绦虻耐暾赃M行檢測,并在檢測到完整性受到破壞后具有恢復的舉措；標準文案實用文檔c操作系統(tǒng)應遵循最小安裝的原那么,僅安裝需要的組件和應用程序,并通過設置升級效勞器等方式保持系統(tǒng)補丁及時得到更

24、新.c應通過設定終端接入方式或網(wǎng)絡地址范圍對通過網(wǎng)絡進行治理的治理終端進行限制；d應能發(fā)現(xiàn)可能存在的漏洞,并在經(jīng)過充分測試評估后,及時修補漏洞；惡a應安裝防惡意代碼軟件,并及時更新防惡意惡應采用免受惡意代碼攻擊的技術舉措或可信驗證意代碼軟件版本和惡意代碼庫；意機制對系統(tǒng)程序、應用程序和重要配置文件/參數(shù)代b主機防惡意代碼產(chǎn)品應具有與網(wǎng)絡防惡意代進行可信執(zhí)行驗證,并在檢測到其完整性受到破碼代碼產(chǎn)品不同的惡意代碼庫；碼壞時采取恢復舉措.防c應支持防惡意代碼的統(tǒng)一治理.防范范資a應通過設定終端接入方式、網(wǎng)絡地址范圍等資c應對重要節(jié)點進行監(jiān)視,包括監(jiān)視 CPU 硬盤、源條件限制終端登錄；源內(nèi)存等資源的

25、使用情況；控b應根據(jù)平安策略設置登錄終端的操作超時控a應限制單個用戶或進程對系統(tǒng)資源的最大使用制鎖定；制限度；c應對重要效勞器進行監(jiān)視,包括監(jiān)視效勞器e應能夠?qū)χ匾?jié)點的效勞水平降低到預先規(guī)定的 CPU 硬盤、內(nèi)存、網(wǎng)絡等資源的使用情況；的最小值進行檢測和報警.d應限制單個用戶對系統(tǒng)資源的最大或最小b應提供重要節(jié)點設備的硬件冗余,保證系統(tǒng)的使用限度；可用性；e應能夠?qū)ο到y(tǒng)的效勞水平降低到預先規(guī)定的最小值進行檢測和報警.1.4、應用和數(shù)據(jù)平安VS原來應用平安+數(shù)據(jù)平安及備份恢復新標準將應用平安、數(shù)據(jù)平安及備份恢復兩個層面合并成了應用和數(shù)據(jù)平安一個層面,減少了通信完整性、通信保密性和抗抵賴三個限制

26、點,增加了個人信息保護限制點.通信完整性和通信保密性的要求納入了網(wǎng)絡和通信平安層面的通信傳輸限制點.要求項由原來的 39 項調(diào)整為 33 項.限制點和限制點要求項數(shù)修改情況如下列圖:原限制點要求項數(shù)新限制點要求項數(shù)應用平安1 身份鑒別5應用和數(shù)據(jù)平安1 身份鑒別52 訪問限制62 訪問限制73 平安審計43 平安審計54 剩余信息保護24 軟件容錯35 通信完整性15 資源限制26 通信保密性26 數(shù)據(jù)完整性27 抗抵賴27 數(shù)據(jù)保密性28 軟件容錯28 數(shù)據(jù)備份和恢復39 資源限制79 剩余信息保護2數(shù)據(jù)平安及備份恢復9 數(shù)據(jù)完整性210 個人信息保護210 數(shù)據(jù)保密性2標準文案實用文檔11

27、 備份和恢復4具體要求項的變化如下表:信息平安等級保護根本要求一主機平安三級網(wǎng)絡平安等級保護根本要求通用要求一設備和計算平安三級身份鑒別a應提供專用的登錄限制模塊對登錄用戶進行身份標識和鑒別；身 份鑒別a 應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,鑒別信息具有復雜度要求并定期更換；b應對同用戶來用兩種或兩種以上組合的鑒別技術實現(xiàn)用戶身份鑒別；e應米用兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用動態(tài)口令、密碼技術或生物技術來實現(xiàn).c應提供用戶身份標識唯一和鑒別信息復雜度檢查功能,保證應用系統(tǒng)中不存在重復用戶身份標識,身份鑒別信息不易被冒用；b應提供并啟

28、用登錄失敗處理功能,屢次登錄失敗后應采取必要的保護舉措；d應提供登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等舉措；e應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能,并根據(jù)平安策略配置相關參數(shù).e應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能,并根據(jù)平安策略配置相關參數(shù).c應強制用戶首次登錄時修改初始口令；新增d用戶身份鑒別信息喪失或失效時,應采用技術舉措確保鑒別信息重置過程的平安；新增訪問控制a應提供訪問限制功能,依據(jù)平安策略限制用戶對文件、數(shù)據(jù)庫表等客體的訪問；訪 問控制a應提供訪問限制功能,對

29、登錄的用戶分配賬戶和權限；b應重命名或刪除默認賬戶,修改默認賬戶的默認口令；c應及時刪除或停用多余的、過期的賬戶,預防共享賬戶的存在；b訪問限制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；c應由授權主體配置訪問限制策略,并嚴格限制默認帳戶的訪問權限；e應由授權主體配置訪問限制策略,訪問限制策略規(guī)定主體對客體的訪問規(guī)那么；d應授予不同帳戶為完成各自承當任務所需的最小權限,并在它們之間形成相互制約的關系.d應授予不同帳戶為完成各自承當任務所需的最小權限,并在它們之間形成相互制約的關系.f訪問限制的粒度應到達主體為用戶級,客體為文件、數(shù)據(jù)庫表級、記錄或字段級；e應具有對重要信息資源設

30、置敏感標記的功能；g應對敏感信息資源設置平安標記,并限制主體對有安全標記信息資源的訪問.f應依據(jù)平安策略嚴格限制用戶對有敏感標記重要信息資源的操作；安全a應提供覆蓋到每個用戶的平安審計功能,對應用系統(tǒng)重要平安事件進行審安全a 應提供平安審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要平安事件進行審計；標準文案實用文檔審計；審計b應保證無法單獨中斷審計進程,無法計e應對審計進程進行保護,預防未經(jīng)授權的中斷.刪除、修改或覆蓋審計記錄；d應保證審計記錄的留存時間符合法律法規(guī)要求；新增c應對審計記錄進行保護,定期備份,預防受到未預期的刪除、修改或覆蓋等；c審計記錄的內(nèi)容至少應包括事件的b審計記錄應

31、包括事件的日期和時間、用戶、事件類型、日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；事件是否成功及其他與審計相關的信息；d應提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能.軟二a應提供數(shù)據(jù)有效性檢驗功能,保證通軟a應提供數(shù)據(jù)有效性檢驗功能,保證通過人機接口輸入件過人機接口輸入或通過通信接口輸入件或通過通信接口輸入的內(nèi)容符合系統(tǒng)設定要求；容的數(shù)據(jù)格式或長度符合系統(tǒng)設定要求；容錯b應提供自動保護功能,當故障發(fā)生時錯b在故障發(fā)生時,應能夠繼續(xù)提供一局部功能,保證能自動保護當前所有狀態(tài),保證系統(tǒng)能夠夠?qū)嵤┍匾呐e措；進行恢復.c 在故障發(fā)生時,應自動保存易失性數(shù)據(jù)和所有狀態(tài),保證系統(tǒng)能夠進行

32、恢復.新增資a當應用系統(tǒng)的通信雙方中的一方在資a當通信雙方中的一方在一段時間內(nèi)未作任何響應,另源一段時間內(nèi)未作任何響應,另一方應能源一方應能夠自動結(jié)束會話；控夠自動結(jié)束會話；控制b應能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制；制b應能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制；c應能夠?qū)蝹€帳戶的多重并發(fā)會話進行限制；c應能夠?qū)蝹€賬戶的多重并發(fā)會話進行限制.d 應能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制；e 應能夠?qū)σ粋€訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；f 應能夠?qū)ο到y(tǒng)效勞水平降低到預先規(guī)定的最小值進行檢測和報警；g應提供效勞優(yōu)先級設定功能,并在安裝后根據(jù)平安策略設定訪問帳

33、戶或請求進程的優(yōu)先級,根據(jù)優(yōu)先級分配系統(tǒng)資源.剩a應保證用戶鑒別信息所在的存儲空剩a應保證鑒別信息所在的存儲空間被釋放或重新分配余間被釋放或再分配給其他用戶前得到余前得到完全去除；信完全去除,無論這些信息是存放在硬盤信官上還是在內(nèi)存中；官保b應保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫保b應保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配護記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全去除.護前得到完全去除.通應采用密碼技術保證通信過程中數(shù)據(jù)標準文案實用文檔信完整性的完整性.通a在通信雙方建立連接之前,應用系統(tǒng)信應利用密碼技術進行會話初始化驗證；保b應對通信過程中的整個報文或會話密性過程進行加密.抗a應具有在請求的情況下為數(shù)據(jù)原發(fā)抵者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；賴b應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能.數(shù)a應能夠檢測到系統(tǒng)治理數(shù)據(jù)、鑒別信數(shù)a應米用校驗碼技術或密碼技術保證重要數(shù)據(jù)在傳輸據(jù)息和重要業(yè)務數(shù)據(jù)在傳輸過程中完整據(jù)過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)完性受到破壞,并在檢測到完整性錯誤時完據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重整采取必要的恢復舉措；整要個人信息等；性b應能夠檢測到系