等保20與等保10差異總結(jié)

1、等保2.0與等保1.0差異總結(jié)01、標準名稱的變化等保2.0將原來的標準信息安全技術信息系統(tǒng)安全等級保護基本要求 改為信息安全技術網(wǎng)絡安全等級保護基本要求，與中華人民共和國網(wǎng)絡 安全法中的相關法律條文保持一致。02、標準內(nèi)容的變化為了配合中華人民共和國網(wǎng)絡安全法的實施，同時適應移動互聯(lián)、云計 算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術、新應用情況下網(wǎng)絡安全等級保護工作 的開展，新標準針對共性安全保護需求提出安全通用要求，針對移動互聯(lián)、云計 算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術、新應用領域的個性安全保護需求提出 安全擴展要求，形成新的網(wǎng)絡安全等級保護基本要求標準。調(diào)整各個級別的安全 要求為安全通用要求

2、、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安 全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求。類似地，除基本要求(GB/T 22239)合并了以上5個部分，設計要求(GB/T 25070)和測評要求(GB/T 28448)也由各自原有的5個分冊分別整合成一冊。03、控制措施分類結(jié)構(gòu)的變化等保2.0由舊標準的10個分類調(diào)整為8個分類，分別為：技術部分：物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù) 據(jù)安全；管理部分：安全策略和管理制度、安全管理機構(gòu)和人員、安全建設管理、安 全運維管理。等保赤。物理安全網(wǎng)安全犧理和殂竟耘,和誦信安技術要求主機安設備和計安全技術霎求應用安全數(shù)據(jù)安全及蕾份慨豆

3、應用和數(shù)據(jù)安全安全管理制度安全策略和管理制亶管醇求安全理機構(gòu) 人員安全管理安全管哩機構(gòu)：fg管理要求系建設管理安全尊設管理,維管理安全運遂理04,標準控制點和要求項的變化等保2.0在控制點要求上并沒有明顯增加，通過合并整合后相對舊標準略有縮減。舊標準匿劇黃二版 三疆等保WG掉制斐|二吸=g.初罷唉_ _ _ _ _101J物理做嘛安掛1。1010網(wǎng)軍置主G7向室棲蜃伯安全6Br W3fc皿安全戳帽安全底斯視機L -抽求要求Si苗和廿#安金立用H1跳抵宏金葉十10吏今遂目些一安全婚理機曲.?_._安全炒理哄勝和人員譽理要求4贈艾級 5一史一.5管理要求999猝哦冒些一.911101010系驕再或

4、曾理12.13.U安全運墨E匹 141414合計./_.66.73.77合計&S11/7A飄差/ - r控制點變化對比表方面控制類二級三皴四級方面控制髡二級三綴四坡物理女室193233物理和外果安至152224_朝塔安全ia鴕河堵神信安全一、35泡術要求主機安全19技術要求沒待帶計獸窒至26二;府用安全1531應用數(shù)據(jù)安全瞬安金眩蕾份恢M上2234安全管珪宅度H安全賺整,某理制度安全皆頊尊湘&5 2020一=安全冒折用感構(gòu)人員管理要求上.16U管理要求1626292A454fl安全掛沒胃霆34瑚我茵理426270紫全游管厚49童計-/175290318合計/231W46級差/1152S；8，物

5、理與環(huán)境安全VS原來物理安全原控制點要求項數(shù)新控制點要求項數(shù)物理安全1物理位置的選擇2物理和環(huán)境安全1物理位置的選擇22物理訪問控制42物理訪問控制13防盜竊和防破壞63防盜竊和防破壞34防雷擊34防雷擊25防火35防火36防水和防潮46防水和防潮37防靜電27防靜電28溫濕度控制18溫濕度控制19電力供應49電力供應310電磁防護310電磁防護2信息安全等級保 護基本要求物 理安全（三級）網(wǎng)絡安全等級保護 基本要求通用要求 一物理和環(huán)境安全（三級）物理位置的選擇a）機房和辦公場地應選擇在具有防震、物理位置的選擇a）機房和辦公場地應選擇在具有防震、防風和防雨等能力 的建筑內(nèi)；防風和防雨等能力

6、的建筑內(nèi)；b)機房場地應避免設 在建筑物的高層或 地下室，以及用水 設備的下層或隔 壁。b)機房場地應避免設 在建筑物的頂層或 地下室，否則應加 強防水和防潮措 施。物理訪問控制a)機房出入口應安排 專人值守，控制、 鑒別和記錄進入的 人員；物理訪問控制a)機房出入口應配置 電子門禁系統(tǒng)，控 制、鑒別和記錄進 入的人員。b)需進入機房的來訪 人員應經(jīng)過申請和 審批流程，并限制 和監(jiān)控其活動范 圍；c)應對機房劃分區(qū)域 進行管理，區(qū)域和 區(qū)域之間設置物理 隔離裝置，在重要 區(qū)域前設置交付或 安裝等過渡區(qū)域；d)重要區(qū)域應配置電 子門禁系統(tǒng)，控制、 鑒別和記錄進入的 人員。防盜竊和防破壞a)應將主

7、要設備放置在機房內(nèi)；防盜竊和防破壞b)應將設備或主要部 件進行固定，并設 置明顯的不易除去 的標記；a)應將設備或主要部 件進行固定，并設 置明顯的不易除去 的標記；c)應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；b)應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；d)應對介質(zhì)分類標 識，存儲在介質(zhì)庫 或檔案室中；e)應利用光、電等技 術設置機房防盜報 警系統(tǒng)；c)應設置機房防盜報 警系統(tǒng)或設置有專 人值守的視頻監(jiān)控 系統(tǒng)。f)應對機房設置監(jiān)控 報警系統(tǒng)。防雷擊a)機房建筑應設置避雷裝置；防雷擊a)應將各類機柜、設 施和設備等通過接 地系統(tǒng)安全接地；b)應設置防雷保安 器，防止感應雷；b)

8、應采取措施防止感 應雷，例如設置防 雷保安器或過壓保 護裝置等。c)機房應設置交流電 源地線。防火a)機房應設置火災自 動消防系統(tǒng)，能夠 自動檢測火情、自 動報警，并自動滅 火；防火a)機房應設置火災自 動消防系統(tǒng)，能夠 自動檢測火情、自 動報警，并自動滅 火；b)機房及相關的工作 房間和輔助房應采 用具有耐火等級的 建筑材料；b)機房及相關的工作 房間和輔助房應采 用具有耐火等級的 建筑材料；c)機房應采取區(qū)域隔 離防火措施，將重 要設備與其他設備 隔離開。c)應對機房劃分區(qū)域 進行管理，區(qū)域和 區(qū)域之間設置隔離 防火措施。防水和防潮a)水管安裝，不得穿過機房屋頂和活動 地板下；防水和防潮b

9、)應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；a)應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；c)應采取措施防止機 房內(nèi)水蒸氣結(jié)露和 地下積水的轉(zhuǎn)移與 滲透；b)應采取措施防止機 房內(nèi)水蒸氣結(jié)露和 地下積水的轉(zhuǎn)移與 滲透；d)應安裝對水敏感的 檢測儀表或元件， 對機房進行防水檢 測和報警。c)應安裝對水敏感的 檢測儀表或元件， 對機房進行防水檢 測和報警。防靜電a)主要設備應采用必要的接地防靜電措施；防靜電a)應安裝防靜電地板 并采用必要的接地 防靜電措施；b)機房應采用防靜電 地板。b)應采取措施防止靜 電的產(chǎn)生，例如采 用靜電消除器、佩 戴防靜電手環(huán)等。(新增)溫濕度控制機房應設置

10、溫、濕 度自動調(diào)節(jié)設施， 使機房溫、濕度的 變化在設備運行所 允許的范圍之內(nèi)。溫濕度控制機房應設置溫、濕 度自動調(diào)節(jié)設施， 使機房溫、濕度的 變化在設備運行所 允許的范圍之內(nèi)。電力供應a)應在機房供電線路 上配置穩(wěn)壓器和過 電壓防護設備；電力供應a)應在機房供電線路 上配置穩(wěn)壓器和過 電壓防護設備；b)應提供短期的備用 電力供應，至少滿 足主要設備在斷電 情況下的正常運行 要求；b)應提供短期的備用 電力供應，至少滿 足設備在斷電情況 下的正常運行要 求；c)應設置冗余或并行c)應設置冗余或并行的電力電纜線路為 計算機系統(tǒng)供電；的電力電纜線路為 計算機系統(tǒng)供電；d)應建立備用供電系 統(tǒng)。電磁防

11、護a)應采用接地方式防 止外界電磁干擾和 設備寄生耦合干 擾；電磁防護b)電源線和通信線纜 應隔離鋪設，避免 互相干擾；a電源線和通信線纜 應隔離鋪設，避免 互相干擾；c)應對關鍵設備和磁 介質(zhì)實施電磁屏 蔽。b)應對關鍵設備實施 電磁屏蔽。網(wǎng)絡和通信安全VS原來網(wǎng)絡安全原控制點要求項數(shù)新控制點要求項數(shù)網(wǎng)絡安全1結(jié)構(gòu)安全7網(wǎng)絡 和通 信安 全1網(wǎng)絡架構(gòu)52訪問控制82通信傳 輸23安全審計43邊界防 護44邊界完整性檢查24訪問控制55入侵防范25入侵防范46惡意代碼防范26惡意代碼 防范27網(wǎng)絡設備防護87安全審計58集中管控6具體要求項的變化如下表:信息安全等級保護基本 要求-網(wǎng)絡安 全(

12、三級)網(wǎng)絡安全等級 保護基本要求 通用要求一網(wǎng) 絡和通信安全(三級)結(jié)構(gòu)安全a)應保證主要網(wǎng) 絡設備的業(yè)務 處理能力具備 冗余空間，滿 足業(yè)務高峰期 需要；網(wǎng)絡架構(gòu)a)應保證網(wǎng)絡設 備的業(yè)務處理 能力具備冗余 空間，滿足業(yè) 務高峰期需 要；b)應保證網(wǎng)絡各 個部分的帶寬 滿足業(yè)務高峰 期需要；b)應保證網(wǎng)絡各 個部分的帶寬 滿足業(yè)務高峰 期需要；c)應在業(yè)務終端 與業(yè)務服務器 之間進行路由 控制建立安全 的訪問路徑；d)應繪制與當前運行情況相符的網(wǎng)絡拓撲結(jié) 構(gòu)圖；e)應根據(jù)各部門 的工作職能、 重要性和所涉 及信息的重要 程度等因素， 劃分不同的子 網(wǎng)或網(wǎng)段，并 按照方便管理 和控制的原則 為

13、各子網(wǎng)、網(wǎng) 段分配地址 段；c)應劃分不同的 網(wǎng)絡區(qū)域，并 按照方便管理 和控制的原則 為各網(wǎng)絡區(qū)域 分配地址；f)應避免將重要 網(wǎng)段部署在網(wǎng) 絡邊界處且直 接連接外部信 息系統(tǒng)，重要 網(wǎng)段與其他網(wǎng) 段之間采取可 靠的技術隔離 手段；d)應避免將重要 網(wǎng)絡區(qū)域部署 在網(wǎng)絡邊界處 且沒有邊界防 護措施；g)應按照對業(yè)務 服務的重要次 序來指定帶寬 分配優(yōu)先級 別，保證在網(wǎng) 絡發(fā)生擁堵的 時候優(yōu)先保護 重要主機。e)應提供通信 線路、關鍵網(wǎng) 絡設備的硬件 冗余，保證系 統(tǒng)的可用性。通信傳輸a)應采用校驗碼技術或密碼技術保證通信過程中數(shù)據(jù)的完 整性；b)應采用密碼技術保證通信過程中敏感信息 字段或整

14、個報 文的保密性。邊界防護a)應保證跨越邊 界的訪問和數(shù) 據(jù)流通過邊界 防護設備提供 的受控接口進 行通信；邊界完整性 檢查a)應能夠?qū)Ψ鞘?權設備私自聯(lián) 到內(nèi)部網(wǎng)絡的 行為進行檢 查，準確定出 位置，并對其 進行有效阻 斷；b)應能夠?qū)Ψ鞘?權設備私自聯(lián) 到內(nèi)部網(wǎng)絡的 行為進行限制 或檢查；b)應能夠?qū)?nèi)部 網(wǎng)絡用戶私自 聯(lián)到外部網(wǎng)絡 的行為進行檢 查，準確定出 位置，并對其 進行有效阻 斷。c)應能夠?qū)?nèi)部 用戶非授權聯(lián) 到外部網(wǎng)絡的 行為進行限制 或檢查；d)應限制無線網(wǎng) 絡的使用，確 保無線網(wǎng)絡通 過受控的邊界 防護設備接入 內(nèi)部網(wǎng)絡。訪問控制a)應在網(wǎng)絡邊界訪問控制a)應在網(wǎng)絡邊界部

15、署訪問控制 設備，啟用訪 問控制功能；或區(qū)域之間根 據(jù)訪問控制策 略設置訪問控 制規(guī)則，默認 情況下除允許 通信外受控接 口拒絕所有通信；b)應刪除多余或 無效的訪問控 制規(guī)則，優(yōu)化 訪問控制列 表，并保證訪 問控制規(guī)則數(shù) 量最小化；c)應對源地址、 目的地址、源 端口、目的端 口和協(xié)議等進 行檢查，以允 許/拒絕數(shù)據(jù) 包進出；b)應能根據(jù)會話 狀態(tài)信息為數(shù) 據(jù)流提供明確 的允許/拒絕 訪問的能力， 控制粒度為端 口級；d)應能根據(jù)會話 狀態(tài)信息為數(shù) 據(jù)流提供明確 的允許/拒絕 訪問的能力， 控制粒度為端 口級；c)應對進出網(wǎng)絡 的信息內(nèi)容進 行過濾，實現(xiàn) 對應用層HTTP、 FTP、 TEL

16、N ET、SMTP、P OP3等協(xié)議命 令級的控制；e)應在關鍵網(wǎng)絡 節(jié)點處對進出 網(wǎng)絡的信息內(nèi) 容進行過濾， 實現(xiàn)對內(nèi)容的 訪問控制。d)應在會話處于非活躍一定時 間或會話結(jié)束 后終止網(wǎng)絡連 接；e)應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)；f)重要網(wǎng)段應采 取技術手段防 止地址欺騙；g)應按用戶和系 統(tǒng)之間的允許 訪問規(guī)則，決 定允許或拒絕 用戶對受控系 統(tǒng)進行資源訪 問，控制粒度 為單個用戶；h)應限制具有撥 號訪問權限的 用戶數(shù)量。入侵防范a)應在網(wǎng)絡邊界 處監(jiān)視以下攻 擊行為：端口 掃描、強力攻 擊、木馬后門 攻擊、拒絕服 務攻擊、緩沖 區(qū)溢出攻擊、I P碎片攻擊和 網(wǎng)絡蠕蟲攻擊 等；入侵防

17、范a)應在關鍵網(wǎng)絡 節(jié)點處檢測、 防止或限制從 外部發(fā)起的網(wǎng) 絡攻擊行為；b)應在關鍵網(wǎng)絡 節(jié)點處檢測、 防止或限制從 內(nèi)部發(fā)起的網(wǎng) 絡攻擊行為； (新增)c)應采取技術措 施對網(wǎng)絡行為 進行分析，實 現(xiàn)對網(wǎng)絡攻擊 特別是新型網(wǎng) 絡攻擊行為的 分析； (新增)b)當檢測到攻擊 行為時，記錄 攻擊源IP、攻 擊類型、攻擊 目的、攻擊時 間，在發(fā)生嚴 重入侵事件時 應提供報警。b)當檢測到攻擊 行為時，記錄 攻擊源IP、攻 擊類型、攻擊 目的、攻擊時 間，在發(fā)生嚴 重入侵事件時 應提供報警。惡意代碼防 范a)應在網(wǎng)絡邊界 處對惡意代碼 進行檢測和清 除；惡意代碼防范a)應在關鍵網(wǎng)絡 節(jié)點處對惡意

18、代碼進行檢測 和清除，并維 護惡意代碼防 護機制的升級和更新；b)應維護惡意代碼庫的升級和檢測系統(tǒng)的更新。b)應在關鍵網(wǎng)絡 節(jié)點處對垃圾 郵件進行檢測 和防護，并維 護垃圾郵件防 護機制的升級 和更新。(新增)安全審計a)應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備安全審計a)應在網(wǎng)絡邊界、重要網(wǎng)絡運行狀況、網(wǎng) 絡流量、用戶 行為等進行日 志記錄；節(jié)點進行安全 審計，審計覆 蓋到每個用 戶，對重要的 用戶行為和重 要安全事件進 行審計；b)審計記錄應包 括：事件的日 期和時間、用 戶、事件類型、 事件是否成功 及其他與審計 相關的信息；b)審計記錄應包 括：事件的日 期和時間、用 戶、事件類型、 事件是否成功 及

19、其他與審計 相關的信息；c)應能夠根據(jù)記 錄數(shù)據(jù)進行分 析，并生成審 計報表；d)應對審計記錄 進行保護，避 免受到未預期 的刪除、修改 或覆蓋等。c)應對審計記錄 進行保護，定 期備份，避免 受到未預期的 刪除、修改或 覆蓋等；d)應確保審計記錄的留存時間 符合法律法規(guī) 要求；(新增)e)應能對遠程訪 問的用戶行 為、訪問互聯(lián) 網(wǎng)的用戶行為 等單獨進行行 為申計和數(shù)據(jù) 分析。(新增)集中管控a)應劃分出特定的管理區(qū)域，對分布在網(wǎng)絡 中的安全設備 或安全組件進 行管控；（新增）b）應能夠建立一 條安全的信息 傳輸路徑，對 網(wǎng)絡中的安全 設備或安全組 件進行管理；（新增）c）應對網(wǎng)絡鏈 路、安全

20、設備、 網(wǎng)絡設備和服 務器等的運行 狀況進行集中 監(jiān)測；（新增）d）應對分散在各 個設備上的審 計數(shù)據(jù)進行收 集匯總和集中 分析；（新增）e）應對安全策 略、惡意代碼、 補丁升級等安 全相關事項進 行集中管理；f）應能對網(wǎng)絡中發(fā)生的各類安全事件進行識 別、報警和分 析。(新增)網(wǎng)絡設備防 護a)應對登錄網(wǎng)絡設備的用戶進行身份鑒別；b)應對網(wǎng)絡設備 的管理員登錄 地址進行限 制；c)網(wǎng)絡設備用戶 的標識應唯一；d)主要網(wǎng)絡設備 應對同一用戶 選擇兩種或兩 種以上組合的鑒別技術來進 行身份鑒別；e)身份鑒別信息應具有不易被冒用的特點，口令應有復雜 度要求并定期 更換；f)應具有登錄失 敗處理功能，

21、 可米取結(jié)束會 話、限制非法 登錄次數(shù)和當 網(wǎng)絡登錄連接 超時自動退出 等措施；g)當對網(wǎng)絡設備進行遠程管理時，應采取必 要措施防止鑒 別信息在網(wǎng)絡 傳輸過程中被 竊聽；h)應實現(xiàn)設備特權用戶的權限分離。設備和計算安全VS原來主機安全原控制點要求項數(shù)新控制點要求項數(shù)1身份鑒別6設備和計 算安全1身份鑒別42訪問控制72訪問控制73安全審計63安全審計54剩余信息保護24入侵防范55入侵防范35惡意代碼防范16惡意代碼防范36資源控制47資源控制5信息安全等級保 護基本要求主 機安全(三級)網(wǎng)絡安全等級保護 基本要求通用要求 設備和計算安全(三級)身份鑒別a)應對登錄操作系統(tǒng) 和數(shù)據(jù)庫系統(tǒng)的用

22、戶進行身份標識和 鑒別；身份鑒別a)應對登錄的用戶進 行身份標識和鑒 別，身份標識具有 唯一性，身份鑒別 信息具有復雜度要 求并定期更換；b)操作系統(tǒng)和數(shù)據(jù)庫 系統(tǒng)管理用戶身份 標識應具有不易被 冒用的特點，口令 應有復雜度要求并 定期更換；c)應啟用登錄失敗處 理功能，可米取結(jié) 束會話、限制非法 登錄次數(shù)和自動退 出等措施；b)應具有登錄失敗處 理功能，應配置并 啟用結(jié)束會話、限 制非法登錄次數(shù)和 當?shù)卿涍B接超時自 動退出等相關措 施；d)當對服務器進行遠 程管理時，應采取 必要措施，防止鑒 別信息在網(wǎng)絡傳輸 過程中被竊聽；d)當進行遠程管理 時，應采取必要措 施，防止鑒別信息 在網(wǎng)絡傳輸過

23、程中 被竊聽；e)應為操作系統(tǒng)和數(shù) 據(jù)庫系統(tǒng)的不同用 戶分配不同的用戶 名，確保用戶名具 有唯一性。f)應米用物種或兩種 以上組合的鑒別技 術對管理用戶進行 身份鑒別。d)應米用兩種或兩種 以上組合的鑒別技 術對用戶進行身份 鑒別，且其中一種 鑒別技術至少應使用動態(tài)口令、密碼 技術或生物技術來 實現(xiàn)。訪問控制訪問控制a)應對登錄的用戶分 配賬戶和權限；a)應啟用訪問控制功 能，依據(jù)安全策略 控制用戶對資源的 訪問；e)應由授權主體配置 訪問控制策略，訪 問控制策略規(guī)定主 體對客體的訪問規(guī) 則；b)應根據(jù)管理用戶的 角色分配權限，實 現(xiàn)管理用戶的權限 分離，僅授予管理 用戶所需的最小權 限；d)

24、應進行角色劃分， 并授予管理用戶所 需的最小權限，實 現(xiàn)管理用戶的權限 分離；c)應實現(xiàn)操作系統(tǒng)和 數(shù)據(jù)庫系統(tǒng)特權用 戶的權限分離；d)應嚴格限制默認帳 戶的訪問權限，重 命名系統(tǒng)默認帳 戶，修改這些帳戶 的默認口令；b)應重命名或刪除默 認賬戶，修改默認 賬戶的默認口令；e)應及時刪除多余 的、過期的帳戶， 避免共享帳戶的存 在。c)應及時刪除或停用 多余的、過期的賬 戶，避免共享賬戶 的存在；f)訪問控制的粒度應 達到主體為用戶級 或進程級，客體為 文件、數(shù)據(jù)庫表級；f)g)應對重要信息資源 設置敏感標記；應對敏感信息資源 設置安全標記，并 控制主體對有安全 標記信息資源的訪 問。g)應依

25、據(jù)安全策略嚴 格控制用戶對有敏 感標記重要信息資 源的操作；安全審計a)審計范圍應覆蓋到 服務器和重要客戶 端上的每個操作系 統(tǒng)用戶和數(shù)據(jù)庫用 戶；安全審計a應啟用安全審計功 能，審計覆蓋到每 個用戶，對重要的 用戶行為和重要安 全事件進行審計；b)審計內(nèi)容應包括重 要用戶行為、系統(tǒng) 資源的異常使用和 重要系統(tǒng)命令的使 用等系統(tǒng)內(nèi)重要的 安全相關事件；c)審計記錄應包括事 件的日期、時間、 類型、主體標識、 客體標識和結(jié)果 等；b)審計記錄應包括 事件的日期和時 間、用戶、事件類 型、事件是否成功 及其他與審計相關 的信息；d)應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；e)應保護審計進程，

26、避免受到未預期的 中斷；e)應對審計進程進行保護，防止未經(jīng)授權的中斷。f)應保護審計記錄， 避免受到未預期的 刪除、修改或覆蓋 等。c)應對審計記錄進行 保護，定期備份， 避免受到未預期的 刪除、修改或覆蓋 等；d)應確保審計記錄的 留存時間符合法律 法規(guī)要求；(新增)剩余信息保護a)應保證操作系統(tǒng)和 數(shù)據(jù)庫系統(tǒng)用戶的 鑒別信息所在的存 儲空間，被釋放或 再分配給其他用戶 前得到完全清除， 無論這些信息是存 放在硬盤上還是在 內(nèi)存中；b)應確保系統(tǒng)內(nèi)的文 件、目錄和數(shù)據(jù)庫 記錄等資源所在的 存儲空間，被釋放 或重新分配給其他 用戶前得到完全清 除。入侵防范a)應能夠檢測到對重 要服務器進行入侵

27、 的行為，能夠記錄 入侵的源IP、攻擊 的類型、攻擊的目 的、攻擊的時間， 并在發(fā)生嚴重入侵 事件時提供報警；入侵防范e)應能夠檢測到對重 要節(jié)點進行入侵的 行為，并在發(fā)生嚴 重入侵事件時提供 報警。b)應能夠?qū)χ匾绦?的完整性進行檢 測h并在檢測到完 整性受到破壞后具 有恢復的措施；c)操作系統(tǒng)應遵循最 小安裝的原則，僅 安裝需要的組件和 應用程序，并通過 設置升級服務器等 方式保持系統(tǒng)補丁a)應遵循最小安裝的 原則，僅安裝需要 的組件和應用程 序。及時得到更新。b)應關閉不需要的系 統(tǒng)服務、默認共享 和高危端口；c)應通過設定終端接 入方式或網(wǎng)絡地址 范圍對通過網(wǎng)絡進 行管理的管理終端

28、進行限制；d)應能發(fā)現(xiàn)可能存在 的漏洞，并在經(jīng)過 充分測試評估后， 及時修補漏洞；惡意代碼防范a)應安裝防惡意代碼 軟件，并及時更新 防惡意代碼軟件版 本和惡意代碼庫；惡意代碼防范應采用免受惡意代 碼攻擊的技術措施 或可信驗證機制對 系統(tǒng)程序、應用程 序和重要配置文件 /參數(shù)進行可信執(zhí) 行驗證，并在檢測 到其完整性受到破 壞時米取恢復措 施。b)主機防惡意代碼產(chǎn) 品應具有與網(wǎng)絡防 惡意代碼產(chǎn)品不同 的惡意代碼庫；c)應支持防惡意代碼 的統(tǒng)一管理。資源控制a)應通過設定終端接 入方式、網(wǎng)絡地址 范圍等條件限制終 端登錄；資源控制b)應根據(jù)安全策略設置登錄終端的操作超時鎖定；c)c)應對重要服務器

29、進 行監(jiān)視，包括監(jiān)視 服務器的CPU、硬 盤、內(nèi)存、網(wǎng)絡等 資源的使用情況；應對重要節(jié)點進行 監(jiān)視，包括監(jiān)視C PU、硬盤、內(nèi)存等 資源的使用情況；d)應限制單個用戶對 系統(tǒng)資源的最大或 最小使用限度；a)應限制單個用戶或進程對系統(tǒng)資源的最大使用限度；e)應能夠?qū)ο到y(tǒng)的服 務水平降低到預先 規(guī)定的最小值進行 檢測和報警。e)應能夠?qū)χ匾?jié)點 的服務水平降低到 預先規(guī)定的最小值 進行檢測和報警。b)應提供重要節(jié)點設 備的硬件冗余，保 證系統(tǒng)的可用性；應用和數(shù)據(jù)安全VS原來應用安全+數(shù)據(jù)安全 及備份恢復原控制點要求項數(shù)新控制點要求項數(shù)應用安全1身份鑒別5應用 和數(shù) 據(jù)安 全1身份鑒別52訪問控制6

30、2訪問控制73安全審計43安全審計54剩余信息保護24軟件容錯35通信完整性15資源控制26通信保密性26數(shù)據(jù)完整 性27抗抵賴27數(shù)據(jù)保密 性28軟件容錯28數(shù)據(jù)備份 和恢復39資源控制79剩余信息 保護2數(shù)據(jù)安全及備份恢復9數(shù)據(jù)完整性210個人信息 保護210數(shù)據(jù)保密性211備份和恢復4信息安全等級保 護基本要求主 機安全(三級)網(wǎng)絡安全等級保 護基本要求通用 要求一設備和計 算安全(三級)身份鑒別a)應提供專用的登 錄控制模塊對登 錄用戶進行身份 標識和鑒別；身份鑒別a)應對登錄的用戶 進行身份標識和 鑒別，身份標識具 有唯一性，鑒別信 息具有復雜度要 求并定期更換；b)應對同一用戶采

31、用兩種或兩種以 上組合的鑒別技e)應米用兩種或兩 種以上組合的鑒 別技術對用戶進術實現(xiàn)用戶身份 鑒別；行身份鑒別，且其 中一種鑒別技術 至少應使用動態(tài) 口令、密碼技術或 生物技術來實現(xiàn)。c)應提供用戶身份 標識唯一和鑒別 信息復雜度檢查 功能，保證應用系 統(tǒng)中不存在重復 用戶身份標識，身 份鑒別信息不易被冒用；d)應提供登錄失敗 處理功能，可米取 結(jié)束會話、限制非 法登錄次數(shù)和自 動退出等措施；b)應提供并啟用登 錄失敗處理功能， 多次登錄失敗后 應采取必要的保 護措施；e)應啟用身份鑒別、 用戶身份標識唯 一性檢查、用戶身 份鑒別信息復雜 度檢查以及登錄 失敗處理功能，并 根據(jù)安全策略配 置

32、相關參數(shù)。e)應啟用身份鑒別、 用戶身份標識唯 一性檢查、用戶身 份鑒別信息復雜 度檢查以及登錄 失敗處理功能，并 根據(jù)安全策略配 置相關參數(shù)。c)應強制用戶首次 登錄時修改初始 口令；(新增)d)用戶身份鑒別信 息丟失或失效時， 應采用技術措施 確保鑒別信息重 置過程的安全；(新增)訪問控制a)應提供訪問控制 功能，依據(jù)安全策 略控制用戶對文訪問控制a)應提供訪問控制 功能，對登錄的用 戶分配賬戶和權件、數(shù)據(jù)庫表等客 體的訪問；限；b)應重命名或刪除 默認賬戶，修改默 認賬戶的默認口 令；c)應及時刪除或停 用多余的、過期的 賬戶，避免共享賬 戶的存在；b)訪問控制的覆蓋 范圍應包括與資 源

33、訪問相關的主 體、客體及它們之 間的操作；c)應由授權主體配 置訪問控制策略， 并嚴格限制默認 帳戶的訪問權限；e)應由授權主體配 置訪問控制策略， 訪問控制策略規(guī) 定主體對客體的 訪問規(guī)則；d)應授予不同帳戶 為完成各自承擔 任務所需的最小 權限，并在它們之 間形成相互制約 的關系。d)應授予不同帳戶 為完成各自承擔 任務所需的最小 權限，并在它們之 間形成相互制約 的關系。f)訪問控制的粒度 應達到主體為用 戶級，客體為文 件、數(shù)據(jù)庫表級、 記錄或字段級；e)應具有對重要信 息資源設置敏感 標記的功能；g)應對敏感信息資 源設置安全標記， 并控制主體對有 安全標記信息資源的訪問。f)應依據(jù)

34、安全策略 嚴格控制用戶對 有敏感標記重要 信息資源的操作；安全審計a)應提供覆蓋到每個用戶的安全審 計功能，對應用系 統(tǒng)重要安全事件 進行審計；安全審計a)應提供安全審計 功能，審計覆蓋到 每個用戶，對重要 的用戶行為和重 要安全事件進行 審計；b)應保證無法單獨 中斷審計進程，無 法刪除、修改或覆 蓋審計記錄；e)應對審計進程進 行保護，防止未經(jīng) 授權的中斷。d)應確保審計記錄 的留存時間符合 法律法規(guī)要求；(新增)c)應對審計記錄進 行保護，定期備 份，避免受到未預 期的刪除、修改或 覆蓋等；c)審計記錄的內(nèi)容 至少應包括事件 的日期、時間、發(fā) 起者信息、類型、 描述和結(jié)果等；b)審計記錄

35、應包括 事件的日期和時 間、用戶、事件類 型、事件是否成功 及其他與審計相 關的信息；d)應提供對審計記 錄數(shù)據(jù)進行統(tǒng)計、 查詢、分析及生成 審計報表的功能。軟件容錯a)應提供數(shù)據(jù)有效軟件容錯a)應提供數(shù)據(jù)有效性檢驗功能，保證 通過人機接口輸 入或通過通信接 口輸入的數(shù)據(jù)格 式或長度符合系 統(tǒng)設定要求；性檢驗功能，保證 通過人機接口輸 入或通過通信接 口輸入的內(nèi)容符 合系統(tǒng)設定要求；b)應提供自動保護 功能，當故障發(fā)生 時自動保護當前 所有狀態(tài)，保證系 統(tǒng)能夠進行恢復。b)在故障發(fā)生時，應 能夠繼續(xù)提供一 部分功能，確保能 夠?qū)嵤┍匾拇?施；c)在故障發(fā)生時，應 自動保存易失性 數(shù)據(jù)和所有狀

36、態(tài)， 保證系統(tǒng)能夠進 行恢復。(新增)資源控制a)當應用系統(tǒng)的通 信雙方中的一方 在一段時間內(nèi)未 作任何響應，另一 方應能夠自動結(jié) 束會話；資源控制a)當通信雙方中的 一方在一段時間 內(nèi)未作任何響應， 另一方應能夠自 動結(jié)束會話；b)應能夠?qū)ο到y(tǒng)的 最大并發(fā)會話連 接數(shù)進行限制；b)應能夠?qū)ο到y(tǒng)的 最大并發(fā)會話連 接數(shù)進行限制；c)應能夠?qū)蝹€帳 戶的多重并發(fā)會 話進行限制；c)應能夠?qū)蝹€賬 戶的多重并發(fā)會 話進行限制。d)應能夠?qū)σ粋€時 間段內(nèi)可能的并 發(fā)會話連接數(shù)進 行限制；e)應能夠?qū)σ粋€訪 問帳戶或一個請 求進程占用的資 源分配最大限額和最小限額；f)應能夠?qū)ο到y(tǒng)服 務水平降低到預 先規(guī)定的最小值 進行檢測和報警；g)應提供服務優(yōu)先 級設定功能，并在 安裝后根據(jù)安全 策略設定訪問帳 戶或請求進程的 優(yōu)先級，根據(jù)優(yōu)先 級分配系統(tǒng)資源。剩余信息保護a)應保證用戶鑒別 信息所在的存儲 空間被釋放或再 分配給其