【等保2.0】测评指导书二级和三级对比
本文参考了《T/ISEAA 001-2020 网络安全等级保护测评高风险判定指引》,整理出了等保三级、二级所需产品和要求。研发或运维人员通过该表可直观了解自己的系统与等保要求存在的差距,并做出相应整改。
范围 |
检测项 |
三级要求 |
二级要求 |
安全 物理 环境 |
机房出入口访问控制措施 |
机房需有电子门禁和记录进出人员 |
机房需有电子门禁和记录进出人员 |
机房防盗措施 |
应配防盗报警系统或视频监控 |
不要求 |
|
机房防火措施 |
应配自动消防系统或视频监控+灭火器 |
应配自动消防系统或视频监控+灭火器 |
|
机房短期备用电力供应措施 |
应配UPS或柴油发电机 |
应配UPS或柴油发电机 |
|
云计算基础设施物理位置不当 |
所有机房设备应在中国境内 |
所有机房设备应在中国境内 |
|
安全 通信 网络 |
网络设备业务处理能力不足 |
设备、带宽处理能力不高于80%,且核心网络(路由器、防火墙)满足高可用 |
不要求 |
网络区域划分不当 |
生产和办公网络应该区域隔离 |
生产和办公网络应该区域隔离 |
|
网络边界访问控制设备不可控 |
服务器/数据库/设备应配置访问策略 |
服务器/数据库/设备应配置访问策略 |
|
重要网络区域边界访问控制措施缺失 |
网络区域划分,如ACL |
网络区域划分,如ACL |
|
关键线路和设备冗余措施缺失 |
线路/交换机需双机热备 |
||
云计算平台等级低于承载业务系统等级 |
云平台等保不低于业务系统等保 |
云平台等保不低于业务系统等保 |
|
重要数据传输完整性保护措施缺失 |
校验或密码保障数据传输完整 |
不要求 |
|
重要数据明文传输 |
数据加密传输 |
||
安全 区域 边界 |
无线网络管控措施缺失 |
例办公人员接入无线网络时需要使用802.x认证,Office和gest网络隔离 |
不要求 |
重要网络区域边界访问控制配置不当 |
区域之间需配置访问策略,如办公网任意终端可访问服务器 |
区域之间需配置访问策略,如办公网任意终端可访问服务器 |
|
外部网络攻击防御措施缺失 |
需部署IPS、WAF、态势感知或者DDOS防御 |
需部署IPS、WAF、态势感知或者DDOS防御 |
|
内部网络攻击防御措施缺失 |
防止内部服务器发起的网络攻击,需部署态势感知、IPS、HIDS |
不要求 |
|
恶意代码防范措施缺失 |
服务器和网络要部署恶意代码检测清除产品 |
服务器和网络要部署恶意代码检测清除产品 |
|
网络安全审计措施缺失 |
服务器、网络设备需记录用户行为和安全事件 |
服务器、网络设备需记录用户行为和安全事件 |
|
安全 计算 环境 1 |
设备/系统存在弱口令或相同口令 |
设备/主机/数据库不可存在弱口令 |
设备/主机/数据库不可存在弱口令 |
设备鉴别信息防窃听措施缺失 |
设备/主机登录信息需在传输中加密 |
设备/主机登录信息需在传输中加密 |
|
设备未采用多种身份鉴别技术 |
网络设备/关键主机需实现双因素认证 |
不要求 |
|
设备默认口令未更改 |
需删除默认账户和修改默认口令 |
需删除默认账户和修改默认口令 |
|
设备安全审计措施缺失 |
对重要用户行为和安全事件进行审计(日志记录) |
对重要用户行为和安全事件进行审计(日志记录) |
|
设备审计记录不满足保护要求 |
关键设备/主机审计日志保留不低于6个月 |
关键设备/主机审计日志保留不低于6个月 |
|
设备开启多余的服务、高危端口 |
业务使用之外的端口需关闭 |
业务使用之外的端口需关闭 |
|
设备终端限制措施缺失 |
终端需vpn登录或者使用ip白名单 |
终端需vpn登录或者使用ip白名单 |
|
互联网设备存在已知高危漏洞 |
需修复设备、服务器的高危漏洞 |
需修复设备、服务器的高危漏洞 |
|
内网设备存在可被利用的高危漏洞 |
内部设备不能存在提权、远程代码执行漏洞 |
内部设备不能存在提权、远程代码执行漏洞 |
|
恶意代码防范措施缺失 |
主机和网络需部署恶意代码检测清除产品 |
主机和网络需部署恶意代码检测清除产品 |
|
安全 计算 环境 2 |
应用系统口令策略缺失 |
需满足复杂性密码策略 |
需满足复杂性密码策略 |
应用系统存在弱口令 |
不允许出现弱口令 |
不允许出现弱口令 |
|
应用系统口令暴力破解防范机制缺失 |
需有图形验证码或者访问频率限制功能 |
需有图形验证码或者访问频率限制功能 |
|
应用系统鉴别信息明文传输 |
登录信息传输过程需加密 |
登录信息传输过程需加密 |
|
应用系统未采用多种身份鉴别技术 |
需具备口令、密码、生物技术等两种身份鉴别登录(双因素认证) |
不要求 |
|
应用系统默认口令未更改 |
重命名或删除默认账户,修改默认口令 |
重命名或删除默认账户,修改默认口令 |
|
应用系统访问控制机制存在缺陷 |
避免未授权、越权访问系统 |
避免未授权、越权访问系统 |
|
应用系统安全审计措施缺失 |
可审计到每个用户的操作行为 |
可审计到每个用户的操作行为 |
|
应用系统审计记录不满足保护要求 |
业务操作、安全类日志不低于6个月留存 |
业务操作、安全类日志不低于6个月留存 |
|
应用系统数据有效性检验功能缺失 |
应使用WEB防火墙防止SQL注入、跨站漏洞 |
应使用WEB防火墙防止SQL注入、跨站漏洞 |
|
应用系统存在可被利用的高危漏洞 |
不能存在已知高危漏洞 |
不能存在已知高危漏洞 |
|
数据 安全 |
重要数据传输完整性保护措施缺失 |
应用采用密码或校验技术保证数据通信完整 |
应用采用密码或校验技术保证数据通信完整 |
重要数据明文传输 |
数据加密传输 |
数据加密传输 |
|
重要数据存储保密性保护措施缺失 |
数据存储时加密 |
不要求 |
|
缺少数据备份措施 |
需定期本地数据备份和恢复 |
需定期本地数据备份和恢复 |
|
缺少异地数据备份措施 |
需异地实时数据备份 |
||
数据处理系统冗余措施缺失 |
服务器/数据库需满足双机热备 |
不要求 |
|
鉴别信息释放措施失效 |
确保已删除的用户不存在未授权访问数据 |
确保已删除的用户不存在未授权访问数据 |
|
敏感数据释放措施失效 |
确保敏感数据删除有效,防止数据泄露 |
不要求 |
|
违规采集和存储个人信息 |
禁止在未授权情况下违规采集存储个人信息 |
禁止在未授权情况下违规采集存储个人信息 |
|
违规访问和使用个人信息 |
禁止未授权访问和非法使用个人信息 |
禁止未授权访问和非法使用个人信息 |
|
云服务客户数据和用户个人信息违规出境 |
数据需存储中国境内 |
数据需存储中国境内 |
|
安全 管理 中心 |
运行监控措施缺失 |
需对设备/链路/服务器/业务进行状态监控 |
不要求 |
审计记录存储时间不满足要求 |
审计日志集中存储且不低于6个月 |
不要求 |
|
安全事件发现处置措施缺失 |
确保网络攻击、恶意代码入侵做到自动安全监控报警 |
不要求 |
|
安全 管理 制度 和 机构 |
管理制度缺失 |
需建立各类安全管理制度 |
需建立各类安全管理制度 |
未建立网络安全领导小组 |
需成立网络安全小组 |
不要求 |
|
安全 管理 人员 |
未开展安全意识和安全技能培训 |
需定期开展安全教育和培训 |
需定期开展安全教育和培训 |
外部人员接入网络管理措施缺失 |
外部人员接入受控网络需书面申请 |
外部人员接入受控网络需书面申请 |
|
安全 建设 管理 |
违规采购和使用网络安全产品 |
采购安全产品需符合国家规定 |
不要求 |
外包开发代码审计措施缺失 |
需做代码安全审查 |
不要求 |
|
上线前未开展安全测试 |
上线前需做渗透测试 |
不要求 |
|
安全 运维 管理 |
运维工具管控措施缺失 |
需要对运维工具进行病毒、漏洞扫描 |
不要求 |
设备外联管控措施缺失 |
定期检查违反无线上网及网络安全策略的行为 |
不要求 |
|
外来接入设备恶意代码检查措施缺失 |
外来接入设备/存储需做安全扫描 |
外来接入设备/存储需做安全扫描 |
|
变更管理制度缺失 |
需明确方案流程、分析、论证 |
需明确方案流程、分析、论证 |
|
数据备份策略缺失 |
需有备份和恢复管理制度 |
需有备份和恢复管理制度 |
|
重要事件应急预案缺失 |
需有重要事件应急预案 |
需有重要事件应急预案 |
|
未对应急预案进行培训演练 |
定期安全事件演练,每年不低于1次 |
不要求 |
|
云计算平台运维方式不当 |
运维地点在中国境内 |
运维地点在中国境内 |
本文转载自网络,如有侵权,请联系删除!