等保2.0通用要求VS等保1.0(三級)技術部分要求詳細對比

等保2.0系列標準即將公布，網絡安全等級保護基本要求通用要求在信息安全等級保護基本要求技術部分基礎上進行了一些調整，湖南金盾就網絡安全等級保護基本要求通用要求在信息安全等級保護基本要求進行了詳細對比，下面以三級為例進行一個對比。網絡安全等級保護基本要求通用要求技術部分與信息安全等級保護基本要求技術部分結構由原來五個層面：物理安全、網絡安全、主機安全、應用安全、數據安全，調整為四個部分：物理和環(huán)境安全、網絡和通信安全、設備和計算安全、應用和數據安全；技術要求“從面到點”提出安全要求，“物理和環(huán)境安全”主要對機房設施提出要求，“網絡和通信安全”主要對網絡整體提出要求，“設備和計算安全”主要對組成節(jié)點（包含網絡設備、安全設備、操作系統(tǒng)、數據庫、中間件等）提出要求，“應用和數據安全”主要對業(yè)務應用和數據提出要求。（標粗內容為三級和二級改變，標紅部門為新標準主要改變）

物理與環(huán)境安全VS原來物理安全

控制點未發(fā)生改變，要求項數由原來32項調整為22項?？刂泣c要求項數修改情況以下列圖：

原控制點要求項數新控制點要求項數物理安全1

物理位置選擇2物理和環(huán)境安全1

物理位置選擇22

物理訪問控制42

物理訪問控制13

防偷竊和防破壞63

防偷竊和防破壞34

防雷擊34

防雷擊25

防火35

防火36

防水和防潮46

防水和防潮37

防靜電27

防靜電28

溫濕度控制18

溫濕度控制19

電力供給49

電力供給310

電磁防護310

電磁防護2

要求項改變以下：信息安全等級保護基本要求—物理安全（三級）網絡安全等級保護基本要求通用要求—物理和環(huán)境安全（三級）物理位置選擇a)

機房和辦公場地應選擇在具備防震、防風和防雨等能力建筑內；物理位置選擇a)

機房和辦公場地應選擇在具備防震、防風和防雨等能力建筑內；b)

機房場地應防止設在建筑物高層或地下室，以及用水設備下層或隔壁。b)

機房場地應防止設在建筑物頂層或地下室，不然應加強防水和防潮方法。物理訪問控制a)

機房出入口應安排專員值守，控制、判別和統(tǒng)計進入人員；物理訪問控制a)

機房出入口應配置電子門禁系統(tǒng)，控制、判別和統(tǒng)計進入人員。b)

需進入機房來訪人員應經過申請和審批流程，并限制和監(jiān)控其活動范圍；c)

應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設置物理隔離裝置，在主要區(qū)域前設置交付或安裝等過渡區(qū)域；d)

主要區(qū)域應配置電子門禁系統(tǒng)，控制、判別和統(tǒng)計進入人員。防偷竊和防破壞a)

應將主要設備放置在機房內；防偷竊和防破壞b)

應將設備或主要部件進行固定，并設置顯著不易除去標識；a)

應將設備或主要部件進行固定，并設置顯著不易除去標識；c)

應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；b)

應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；d)

應對介質分類標識，存放在介質庫或檔案室中；e)

應利用光、電等技術設置機房防盜報警系統(tǒng)；c)

應設置機房防盜報警系統(tǒng)或設置有專員值守視頻監(jiān)控系統(tǒng)。f)

應對機房設置監(jiān)控報警系統(tǒng)。防雷擊a)

機房建筑應設置避雷裝置；防雷擊a)

應將各類機柜、設施和設備等經過接地系統(tǒng)安全接地；b)

應設置防雷保安器，預防感應雷；b)

應采取方法預防感應雷，比如設置防雷保安器或過壓保護裝置等。c)

機房應設置交流電源地線。防火a)

機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；防火a)

機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；b)

機房及相關工作房間和輔助房應采取具備耐火等級建筑材料；b)

機房及相關工作房間和輔助房應采取具備耐火等級建筑材料；c)

機房應采取區(qū)域隔離防火方法，將主要設備與其余設備隔離開。c)

應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設置隔離防火方法。

防水和防潮a)

水管安裝，不得穿過機房屋頂和活動地板下；防水和防潮b)

應采取方法預防雨水經過機房窗戶、屋頂和墻壁滲透；a)

應采取方法預防雨水經過機房窗戶、屋頂和墻壁滲透；c)

應采取方法預防機房內水蒸氣結露和地下積水轉移與滲透；b)

應采取方法預防機房內水蒸氣結露和地下積水轉移與滲透；d)

應安裝對水敏感檢測儀表或元件，對機房進行防水檢測和報警。c)

應安裝對水敏感檢測儀表或元件，對機房進行防水檢測和報警。防靜電a)

主要設備應采取必要接地防靜電方法；防靜電a)

應安裝防靜電地板并采取必要接地防靜電方法；b)

機房應采取防靜電地板。b)

應采取方法預防靜電產生，比如采取靜電消除器、佩戴防靜電手環(huán)等。(新增)溫濕度控制機房應設置溫、濕度自動調整設施，使機房溫、濕度改變在設備運行所允許范圍之內。溫濕度控制機房應設置溫、濕度自動調整設施，使機房溫、濕度改變在設備運行所允許范圍之內。電力供給a)

應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；電力供給a)

應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；b)

應提供短期備用電力供給，最少滿足主要設備在斷電情況下正常運行要求；b)

應提供短期備用電力供給，最少滿足設備在斷電情況下正常運行要求；c)

應設置冗余或并行電力電纜線路為計算機系統(tǒng)供電；c)

應設置冗余或并行電力電纜線路為計算機系統(tǒng)供電；d)

應建立備用供電系統(tǒng)。電磁防護a)

應采取接地方式預防外界電磁干擾和設備寄生耦合干擾；電磁防護b)

電源線和通信線纜應隔離鋪設，防止相互干擾；a

電源線和通信線纜應隔離鋪設，防止相互干擾；c)

應對關鍵設備和磁介質實施電磁屏蔽。b)

應對關鍵設備實施電磁屏蔽。

網絡和通信安全VS原來網絡安全

新標準降低了結構安全、邊界完整性檢驗、網絡設備防護三個控制點，增加了網絡架構、通信傳輸、邊界防護、集中管控四個控制點。

原結構安全中部分要求項納入了網絡架構控制點中，原應用安全中通信完整性和保密性要求項納入了通信傳輸控制點中，原邊界完整性檢驗和訪問控制中部分要求項內容納入了邊界防護控制點中，原網絡設備防護控制點要求并到設備和計算安全要求中。

要求項總數原來為33項，調整為還是33項，但要求項內容有改變。

控制點和控制點要求項數修改情況以下列圖：原控制點要求項數新控制點要求項數網絡安全1結構安全7網絡和通信安全1

網絡架構52訪問控制82通信傳輸23安全審計43邊界防護44邊界完整性檢驗24

訪問控制55入侵防范25

入侵防范46

惡意代碼防范26

惡意代碼防范27

網絡設備防護87

安全審計58

集中管控6

詳細要求項改變以下表：信息安全等級保護基本要求--網絡安全（三級）網絡安全等級保護基本要求通用要求—網絡和通信安全（三級）結構安全a)

應確保主要網絡設備業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；網絡架構a)

應確保網絡設備業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；b)

應確保網絡各個部分帶寬滿足業(yè)務高峰期需要；b)

應確保網絡各個部分帶寬滿足業(yè)務高峰期需要；c)

應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全訪問路徑；d)

應繪制與當前運行情況相符網絡拓撲結構圖；e)

應依照各部門工作職能、主要性和所包括信息主要程度等原因，劃分不一樣子網或網段，并按照方便管理和控制標準為各子網、網段分配地址段；c)

應劃分不一樣網絡區(qū)域，并按照方便管理和控制標準為各網絡區(qū)域分配地址；f)

應防止將主要網段布署在網絡邊界處且直接連接外部信息系統(tǒng)，主要網段與其余網段之間采取可靠技術隔離伎倆；d)

應防止將主要網絡區(qū)域布署在網絡邊界處且沒有邊界防護方法；g)

應按照對業(yè)務服務主要次序來指定帶寬分配優(yōu)先級別，確保在網絡發(fā)生擁堵時候優(yōu)先保護主要主機。e)應提供通信線路、關鍵網絡設備硬件冗余，確保系統(tǒng)可用性。

通信傳輸a)

應采取校驗碼技術或密碼技術確保通信過程中數據完整性；b)

應采取密碼技術確保通信過程中敏感信息字段或整個報文保密性。

邊界防護a)

應確?？缭竭吔缭L問和數據流經過邊界防護設備提供受控接口進行通信；邊界完整性檢驗a)

應能夠對非授權設備私自聯(lián)到內部網絡行為進行檢驗，準確定出位置，并對其進行有效阻斷；b)

應能夠對非授權設備私自聯(lián)到內部網絡行為進行限制或檢驗；

b)

應能夠對內部網絡用戶私自聯(lián)到外部網絡行為進行檢驗，準確定出位置，并對其進行有效阻斷。c)

應能夠對內部用戶非授權聯(lián)到外部網絡行為進行限制或檢驗；

d)

應限制無線網絡使用，確保無線網絡經過受控邊界防護設備接入內部網絡。

訪問控制a)

應在網絡邊界布署訪問控制設備，啟用訪問控制功效；訪問控制a)

應在網絡邊界或區(qū)域之間依照訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕全部通信；

b)

應刪除多出或無效訪問控制規(guī)則，優(yōu)化訪問控制列表，并確保訪問控制規(guī)則數量最小化；c)

應對源地址、目標地址、源端口、目標端口和協(xié)議等進行檢驗，以允許/拒絕數據包進出；b)

應能依照會話狀態(tài)信息為數據流提供明確允許/拒絕訪問能力，控制粒度為端口級；d)

應能依照會話狀態(tài)信息為數據流提供明確允許/拒絕訪問能力，控制粒度為端口級；c)

應對進出網絡信息內容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級控制；e)

應在關鍵網絡節(jié)點處對進出網絡信息內容進行過濾，實現(xiàn)對內容訪問控制。

d)

應在會話處于非活躍一定時間或會話結束后終止網絡連接；e)

應限制網絡最大流量數及網絡連接數；f)

主要網段應采取技術伎倆預防地址坑騙；g)

應按用戶和系統(tǒng)之間允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；h)

應限制具備撥號訪問權限用戶數量。入侵防范a)

應在網絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等；入侵防范a)

應在關鍵網絡節(jié)點處檢測、預防或限制從外部發(fā)起網絡攻擊行為；b)

應在關鍵網絡節(jié)點處檢測、預防或限制從內部發(fā)起網絡攻擊行為；(新增)c)

應采取技術方法對網絡行為進行分析，實現(xiàn)對網絡攻擊尤其是新型網絡攻擊行為分析；(新增)b)

當檢測到攻擊行為時，統(tǒng)計攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。b)

當檢測到攻擊行為時，統(tǒng)計攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。惡意代碼防范a)

應在網絡邊界處對惡意代碼進行檢測和去除；惡意代碼防范a)

應在關鍵網絡節(jié)點處對惡意代碼進行檢測和去除，并維護惡意代碼防護機制升級和更新；b)

應維護惡意代碼庫升級和檢測系統(tǒng)更新。b)

應在關鍵網絡節(jié)點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制升級和更新。

(新增)安全審計a)

應對網絡系統(tǒng)中網絡設備運行情況、網絡流量、用戶行為等進行日志統(tǒng)計；安全審計a)

應在網絡邊界、主要網絡節(jié)點進行安全審計，審計覆蓋到每個用戶，對主要用戶行為和主要安全事件進行審計；

b)

審計統(tǒng)計應包含：事件日期和時間、用戶、事件類型、事件是否成功及其余與審計相關信息；b)

審計統(tǒng)計應包含：事件日期和時間、用戶、事件類型、事件是否成功及其余與審計相關信息；c)

應能夠依照統(tǒng)計數據進行分析，并生成審計報表；d)

應對審計統(tǒng)計進行保護，防止受到未預期刪除、修改或覆蓋等。c)

應對審計統(tǒng)計進行保護，定時備份，防止受到未預期刪除、修改或覆蓋等；d)

應確保審計統(tǒng)計留存時間符正當律法規(guī)要求；(新增)e)

應能對遠程訪問用戶行為、訪問互聯(lián)網用戶行為等單獨進行行為審計和數據分析。

(新增)集中管控a)

應劃分出特定管理區(qū)域，對分布在網絡中安全設備或安全組件進行管控；

(新增)b)

應能夠建立一條安全信息傳輸路徑，對網絡中安全設備或安全組件進行管理；

(新增)c)

應對網絡鏈路、安全設備、網絡設備和服務器等運行情況進行集中監(jiān)測；

(新增)d)

應對分散在各個設備上審計數據進行搜集匯總和集中分析；(新增)e)

應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理；

f)

應能對網絡中發(fā)生各類安全事件進行識別、報警和分析。

(新增)網絡設備防護a)

應對登錄網絡設備用戶進行身份判別；b)

應對網絡設備管理員登錄地址進行限制；c)

網絡設備用戶標識應唯一；d)

主要網絡設備應對同一用戶選擇兩種或兩種以上組合判別技術來進行身份判別；e)

身份判別信息應具備不易被冒用特點，口令應有復雜度要求并定時更換；f)

應具備登錄失敗處理功效，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等方法；g)

當對網絡設備進行遠程管理時，應采取必要方法預防判別信息在網絡傳輸過程中被竊聽；h)

應實現(xiàn)設備特權用戶權限分離。

設備和計算安全VS原來主機安全

新標準降低了剩下信息保護一個控制點，在測評對象上，把網絡設備、安全設備也納入了此層面測評范圍。

要求項由原來32項調整為26項。

控制點和各控制點要求項數修改情況以下列圖：

原控制點要求項數新控制點要求項數主機安全1

身份判別6設備和計算安全1

身份判別42

訪問控制72

訪問控制73

安全審計63

安全審計54

剩下信息保護24

入侵防范55

入侵防范35

惡意代碼防范16

惡意代碼防范36

資源控制47

資源控制5

詳細要求項改變以下表：信息安全等級保護基本要求—主機安全（三級）網絡安全等級保護基本要求通用要求—設備和計算安全（三級）身份判別a)

應對登錄操作系統(tǒng)和數據庫系統(tǒng)用戶進行身份標識和判別；身份判別a)

應對登錄用戶進行身份標識和判別，身份標識具備唯一性，身份判別信息具備復雜度要求并定時更換；b)

操作系統(tǒng)和數據庫系統(tǒng)管理用戶身份標識應具備不易被冒用特點，口令應有復雜度要求并定時更換；c)

應啟用登錄失敗處理功效，可采取結束會話、限制非法登錄次數和自動退出等方法；b)

應具備登錄失敗處理功效，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關方法；d)

當對服務器進行遠程管理時，應采取必要方法，預防判別信息在網絡傳輸過程中被竊聽；d)

當進行遠程管理時，應采取必要方法，預防判別信息在網絡傳輸過程中被竊聽；e)

應為操作系統(tǒng)和數據庫系統(tǒng)不一樣用戶分配不一樣用戶名，確保用戶名具備唯一性。f)

應采取兩種或兩種以上組合判別技術對管理用戶進行身份判別。d)

應采取兩種或兩種以上組合判別技術對用戶進行身份判別，且其中一個判別技術最少應使用動態(tài)口令、密碼技術或生物技術來實現(xiàn)。

訪問控制訪問控制a)

應對登錄用戶分配賬戶和權限；

a)

應啟用訪問控制功效，依據安全策略控制用戶對資源訪問；e)

應由授權主體配置訪問控制策略，訪問控制策略要求主體對客體訪問規(guī)則；

b)

應依照管理用戶角色分配權限，實現(xiàn)管理用戶權限分離，僅授予管理用戶所需最小權限；d)

應進行角色劃分，并授予管理用戶所需最小權限，實現(xiàn)管理用戶權限分離；c)

應實現(xiàn)操作系統(tǒng)和數據庫系統(tǒng)特權用戶權限分離；d)

應嚴格限制默認帳戶訪問權限，重命名系統(tǒng)默認帳戶，修改這些帳戶默認口令；b)

應重命名或刪除默認賬戶，修改默認賬戶默認口令；e)

應及時刪除多出、過期帳戶，防止共享帳戶存在。c)

應及時刪除或停用多出、過期賬戶，防止共享賬戶存在；f)

訪問控制粒度應達成主體為用戶級或進程級，客體為文件、數據庫表級；

f)

應對主要信息資源設置敏感標識；g)

應對敏感信息資源設置安全標識，并控制主體對有安全標識信息資源訪問。

g)

應依據安全策略嚴格控制用戶對有敏感標識主要信息資源操作；安全審計a)

審計范圍應覆蓋到服務器和主要客戶端上每個操作系統(tǒng)用戶和數據庫用戶；安全審計a

應啟用安全審計功效，審計覆蓋到每個用戶，對主要用戶行為和主要安全事件進行審計；b)

審計內容應包含主要用戶行為、系統(tǒng)資源異常使用和主要系統(tǒng)命令使用等系統(tǒng)內主要安全相關事件；c)

審計統(tǒng)計應包含事件日期、時間、類型、主體標識、客體標識和結果等；b)審計統(tǒng)計應包含事件日期和時間、用戶、事件類型、事件是否成功及其余與審計相關信息；d)

應能夠依照統(tǒng)計數據進行分析，并生成審計報表；e)

應保護審計進程，防止受到未預期中止；e)

應對審計進程進行保護，預防未經授權中止。f)

應保護審計統(tǒng)計，防止受到未預期刪除、修改或覆蓋等。c)

應對審計統(tǒng)計進行保護，定時備份，防止受到未預期刪除、修改或覆蓋等；d)

應確保審計統(tǒng)計留存時間符正當律法規(guī)要求；（新增）剩下信息保護a)

應確保操作系統(tǒng)和數據庫系統(tǒng)用戶判別信息所在存放空間，被釋放或再分配給其余用戶前得到完全去除，不論這些信息是存放在硬盤上還是在內存中；b)

應確保系統(tǒng)內文件、目錄和數據庫統(tǒng)計等資源所在存放空間，被釋放或重新分配給其余用戶前得到完全去除。入侵防范a)

應能夠檢測到對主要服務器進行入侵行為，能夠統(tǒng)計入侵源IP、攻擊類型、攻擊目標、攻擊時間，并在發(fā)生嚴重入侵事件時提供報警；入侵防范e)

應能夠檢測到對主要節(jié)點進行入侵行為，并在發(fā)生嚴重入侵事件時提供報警。

b)

應能夠對主要程序完整性進行檢測，并在檢測到完整性受到破壞后具備恢復方法；c)

操作系統(tǒng)應遵照最小安裝標準，僅安裝需要組件和應用程序，并經過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。a)

應遵照最小安裝標準，僅安裝需要組件和應用程序。b)

應關閉不需要系統(tǒng)服務、默認共享和高危端口；c)

應經過設定終端接入方式或網絡地址范圍對經過網絡進行管理管理終端進行限制；d)

應能發(fā)覺可能存在漏洞，并在經過充分測試評定后，及時修補漏洞；惡意代碼防范a)

應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；惡意代碼防范應采取免受惡意代碼攻擊技術方法或可信驗證機制對系統(tǒng)程序、應用程序和主要配置文件/參數進行可信執(zhí)行驗證，并在檢測到其完整性受到破壞時采取恢復方法。b)

主機防惡意代碼產品應具備與網絡防惡意代碼產品不一樣惡意代碼庫；c)

應支持防惡意代碼統(tǒng)一管理。資源控制a)

應經過設定終端接入方式、網絡地址范圍等條件限制終端登錄；資源控制b)

應依照安全策略設置登錄終端操作超時鎖定；c)

應對主要服務器進行監(jiān)視，包含監(jiān)視服務器CPU、硬盤、內存、網絡等資源使用情況；c)

應對主要節(jié)點進行監(jiān)視，包含監(jiān)視CPU、硬盤、內存等資源使用情況；

d)

應限制單個用戶對系統(tǒng)資源最大或最小使用程度；a)

應限制單個用戶或進程對系統(tǒng)資源最大使用程度；

e)

應能夠對系統(tǒng)服務水平降低到預先要求最小值進行檢測和報警。e)

應能夠對主要節(jié)點服務水平降低到預先要求最小值進行檢測和報警。b)

應提供主要節(jié)點設備硬件冗余，確保系統(tǒng)可用性；

應用和數據安全VS原來應用安全+數據安全及備份恢復

新標準將應用安全、數據安全及備份恢復兩個層面合并成了應用和數據安全一個層面，降低了通信完整性、通信保密性和抗抵賴三個控制點，增加了個人信息保護控制點。通信完整性和通信保密性要求納入了網絡和通信安全層面通信傳輸控制點。

要求項由原來39項調整為33項。

控制點和控制點要求項數修改情況以下列圖：

原控制點要求項數新控制點要求項數應用安全1

身份判別5應用和數據安全1

身份判別52

訪問控制62

訪問控制73

安全審計43

安全審計54

剩下信息保護24

軟件容錯35

通信完整性15

資源控制26

通信保密性26

數據完整性27

抗抵賴27

數據保密性28

軟件容錯28

數據備份和恢復39

資源控制79

剩下信息保護2數據安全及備份恢復9

數據完整性210

個人信息保護210

數據保密性211

備份和恢復4

詳細要求項改變以下表：

信息安全等級保護基本要求—主機安全（三級）網絡安全等級保護基本要求通用要求—設備和計算安全（三級）身份判別a)

應提供專用登錄控制模塊對登錄用戶進行身份標識和判別；身份判別a)

應對登錄用戶進行身份標識和判別，身份標識具備唯一性，判別信息具備復雜度要求并定時更換；b)

應對同一用戶采取兩種或兩種以上組合判別技術實現(xiàn)用戶身份判別；e)

應采取兩種或兩種以上組合判別技術對用戶進行身份判別，且其中一個判別技術最少應使用動態(tài)口令、密碼技術或生物技術來實現(xiàn)。

c)

應提供用戶身份標識唯一和判別信息復雜度檢驗功效，確保應用系統(tǒng)中不存在重復用戶身份標識，身份判別信息不易被冒用；d)

應提供登錄失敗處理功效，可采取結束會話、限制非法登錄次數和自動退出等方法；b)

應提供并啟用登錄失敗處理功效，數次登錄失敗后應采取必要保護方法；e)

應啟用身份判別、用戶身份標識唯一性檢驗、用戶身份判別信息復雜度檢驗以及登錄失敗處理功效，并依照安全策略配置相關參數。e)

應啟用身份判別、用戶身份標識唯一性檢驗、用戶身份判別信息復雜度檢驗以及登錄失敗處理功效，并依照安全策略配置相關參數。c)

應強制用戶首次登錄時修改初始口令；（新增）d)

用戶身份判別信息丟失或失效時，應采取技術方法確保判別信息重置過程安全；（新增）訪問控制a)

應提供訪問控制功效，依據安全策略控制用戶對文件、數據庫表等客體訪問；訪問控制a)

應提供訪問控制功效，對登錄用戶分配賬戶和權限；b)

應重命名或刪除默認賬戶，修改默認賬戶默認口令；c)

應及時刪除或停用多出、過期賬戶，防止共享賬戶存在；b)

訪問控制覆蓋范圍應包含與資源訪問相關主體、客體及它們之間操作；c)

應由授權主體配置訪問控制策略，并嚴格限制默認帳戶訪問權限；e)

應由授權主體配置訪問控制策略，訪問控制策略要求主體對客體訪問規(guī)則；d)

應授予不一樣帳戶為完成各自負擔任務所需最小權限，并在它們之間形成相互制約關系。d)

應授予不一樣帳戶為完成各自負擔任務所需最小權限，并在它們之間形成相互制約關系。f)

訪問控制粒度應達成主體為用戶級，客體為文件、數據庫表級、統(tǒng)計或字段級；

e)

應具備對主要信息資源設置敏感標識功效；g)

應對敏感信息資源設置安全標識，并控制主體對有安全標識信息資源訪問。

f)

應依據安全策略嚴格控制用戶對有敏感標識主要信息資源操作；安全審計a)

應提供覆蓋到每個用戶安全審計功效，對應用系統(tǒng)主要安全事件進行審計；安全審計a)

應提供安全審計功效，審計覆蓋到每個用戶，對主要用戶行為和主要安全事件進行審計；b)

應確保無法單獨中止審計進程，無法刪除、修改或覆蓋審計統(tǒng)計；e)

應對審計進程進行保護，預防未經授權中止。d)

應確保審計統(tǒng)計留存時間符正當律法規(guī)要求；（新增）c)

應對審計統(tǒng)計進行保護，定時備份，防止受到未預期刪除、修改或覆蓋等；c)

審計統(tǒng)計內容最少應包含事件日期、時間、發(fā)起者信息、類型、描述和結果等；b)

審計統(tǒng)計應包含事件日期和時間、用戶、事件類型、事件是否成功及其余與審計相關信息；d)

應提供對審計統(tǒng)計數據進行統(tǒng)計、查詢、分析及生成審計報表功效。軟件容錯a)

應提供數據有效性檢驗功效，確保經過人機接口輸入或經過通信接口輸入數據格式或長度符合系統(tǒng)設定要求；軟件容錯a)

應提供數據有效性檢驗功效，確保經過人機接口輸入或經過通信接口輸入內容符合系統(tǒng)設定要求；b)

應提供自動保護功效，當故障發(fā)生時自動保護當前全部狀態(tài)，確保系統(tǒng)能夠進行恢復。b)

在故障發(fā)生時，應能夠繼續(xù)提供一部分功效，確保能夠實施必要方法；c)

在故障發(fā)生時，應自動保留易失性數據和全部狀態(tài)，確保系統(tǒng)能夠進行恢復。（新增）

資源控制a)

當應用系統(tǒng)通信雙方中一方在一段時間內未作任何響應，另一方應能夠自動結束會話；資源控制a)

當通信雙方中一方在一段時間內未作任何響應，另一方應能夠自動結束會話；b)

應能夠對系統(tǒng)最大并發(fā)會話連接數進行限制；b)

應能夠對系統(tǒng)最大并發(fā)會話連接數進行限制；c)

應能夠對單個帳戶多重并發(fā)會話進行限制；c)

應能夠對單個賬戶多重并發(fā)會話進行限制。d)

應能夠對一個時間段內可能并發(fā)會話連接數進行限制；e)

應能夠對一個訪問帳戶或一個請求進程占用資源分配最大限額和最小限額；f)

應能夠對系統(tǒng)服務水平降低到預先要求最小值進行檢測和報警；g)

應提供服務優(yōu)先級設定功效，并在安裝后依照安全策略設定訪問帳戶或請求進程優(yōu)先級，依照優(yōu)先級分配系統(tǒng)資源。剩下信息保護a)

應確保用戶判別信息所在存放空間被釋放或再