等级保护三级等保20与等保10对比.docx
- 文档编号:13827732
- 上传时间:2023-06-17
- 格式:DOCX
- 页数:29
- 大小:28.54KB
等级保护三级等保20与等保10对比.docx
《等级保护三级等保20与等保10对比.docx》由会员分享,可在线阅读,更多相关《等级保护三级等保20与等保10对比.docx(29页珍藏版)》请在冰点文库上搜索。
等级保护三级等保20与等保10对比
等保2.0VS等保1.0(三级)对比
网络安全级别保护基本规定通用规定技术某些和信息安全级别保护基本规定技术某些由本来本来基本规定中各级技术规定“物理安全”、“网络安全”、“主机安全”、“应用安全”和“数据安全和备份和恢复”修订为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”;原各级管理规定“安全管理制度”、“安全管理机构”、“人员安全管理”、“系统建设管理”和“系统运维管理”修订为“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”
(标粗内容为三级和二级变化,标红部门为新原则核心变化)
1.1、安全物理环境VS本来物理安全
控制点未发生变化,规定项数由本来32项调节为22项。
控制点规定项数修改状况如下图:
原控制点
规定项数
新控制点
规定项数
物理安全
1物理位置选取
2
安全物理环境
1物理位置选取
2
2物理访问控制
4
2物理访问控制
1
3防盗窃和防破坏
6
3防盗窃和防破坏
3
4防雷击
3
4防雷击
2
5防火
3
5防火
3
6防水和防潮
4
6防水和防潮
3
7防静电
2
7防静电
2
8温湿度控制
1
8温湿度控制
1
9电力供应
4
9电力供应
3
10电磁防护
3
10电磁防护
2
规定项变化如下:
信息安全级别保护基本规定—物理安全(三级)
网络安全级别保护基本规定通用规定—安全物理环境(三级)
物理位置选取
a)机房和办公场地应选取在具有防震、防风和防雨等能力建筑内;
物理位置选取
a)机房和办公场地应选取在具有防震、防风和防雨等能力建筑内;
b)机房场地应避免设在建筑物高层或地下室,和用水设备下层或隔壁。
b)机房场地应避免设在建筑物顶层或地下室,否则应加强防水和防潮办法。
物理访问控制
a)机房出入口应安排专人值守,控制、鉴别和记录进入人员;
物理访问控制
a)机房出入口应配备电子门禁系统,控制、鉴别和记录进入人员。
b)需进入机房来访人员应通过申请和审批环节,并限制和监控其活动范畴;
c)应对机房划分区域进行管理,区域和区域之间设立物理隔离装置,在核心区域前设立交付或安装等过渡区域;
d)核心区域应配备电子门禁系统,控制、鉴别和记录进入人员。
防盗窃和防破坏
a)应将核心设备放置在机房内;
防盗窃和防破坏
a)应将设备或核心部件进行固定,并设立明显不易除去标记;
b)应将设备或核心部件进行固定,并设立明显不易除去标记;
b)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
c)应设立机房防盗报警系统或设立有专人值守视频监控系统。
d)应对介质分类标记,存储在介质库或档案室中;
e)应运用光、电等技术设立机房防盗报警系统;
f)应对机房设立监控报警系统。
防雷击
a)机房建筑应设立避雷装置;
防雷击
a)应将各类机柜、设施和设备等通过接地系统安全接地;
b)应设立防雷保安器,防止感应雷;
b)应采用办法防止感应雷,例如设立防雷保安器或过压保护装置等。
c)机房应设立交流电源地线。
防火
a)机房应设立火灾自动消防系统,可以自动检测火情、自动报警,并自动灭火;
防火
a)机房应设立火灾自动消防系统,可以自动检测火情、自动报警,并自动灭火;
b)机房及有关工作房间和辅助房应采用具有耐火级别建筑材料;
b)机房及有关工作房间和辅助房应采用具有耐火级别建筑材料;
c)机房应采用区域隔离防火办法,将核心设备和其他设备隔离开。
c)应对机房划分区域进行管理,区域和区域之间设立隔离防火办法。
防水和防潮
a)水管安装,不得穿过机房屋顶和活动地板下;
防水和防潮
a)应采用办法防止雨水通过机房窗户、屋顶和墙壁渗入;
b)应采用办法防止雨水通过机房窗户、屋顶和墙壁渗入;
b)应采用办法防止机房内水蒸气结露和地下积水转移和渗入;
c)应采用办法防止机房内水蒸气结露和地下积水转移和渗入;
c)应安装对水敏感检测仪表或元件,对机房进行防水检测和报警。
d)应安装对水敏感检测仪表或元件,对机房进行防水检测和报警。
防静电
a)核心设备应采用必须接地防静电办法;
防静电
a)应安装防静电地板并采用必须接地防静电办法;
b)机房应采用防静电地板。
b)应采用办法防止静电产生,例如采用静电消除器、佩戴防静电手环等。
(新增)
温湿度控制
机房应设立温、湿度自动调节设施,使机房温、湿度变化在设备运营所允许范畴之内。
温湿度控制
机房应设立温、湿度自动调节设施,使机房温、湿度变化在设备运营所允许范畴之内。
电力供应
a)应在机房供电线路上配备稳压器和过电压防护设备;
电力供应
a)应在机房供电线路上配备稳压器和过电压防护设备;
b)应提供短期备用电力供应,至少满足核心设备在断电状况下正常运营规定;
b)应提供短期备用电力供应,至少满足设备在断电状况下正常运营规定;
c)应设立冗余或并行电力电缆线路为计算机系统供电;
c)应设立冗余或并行电力电缆线路为计算机系统供电;
d)应建立备用供电系统。
电磁防护
a)应采用接地办法防止外界电磁干扰和设备寄生耦合干扰;
电磁防护
a电源线和通信线缆应隔离铺设,避免互相干扰;
b)电源线和通信线缆应隔离铺设,避免互相干扰;
b)应对核心设备实行电磁屏蔽。
c)应对核心设备和磁介质实行电磁屏蔽。
1.2、安全通信网络VS本来网络安全
新原则减少了构造安全、边界完整性检查、网络设备防护三个控制点,增长了网络架构、通信传播、边界防护、集中管控四个控制点。
原构造安全中某些规定项纳入了网络架构控制点中,原应用安全中通信完整性和保密性规定项纳入了通信传播控制点中,原边界完整性检查和访问控制中某些规定项内容纳入了边界防护控制点中,原网络设备防护控制点规定并到安全区域边界安全区域边界规定中。
规定项总数本来为33项,调节为还是33项,但规定项内容有变化。
控制点和控制点规定项数修改状况如下图:
原控制点
规定项数
新控制点
规定项数
网络安全
1构造安全
7
安全通信网络
1网络架构
5
2访问控制
8
2通信传播
2
3安全审计
4
3边界防护
4
4边界完整性检查
2
4访问控制
5
5入侵防范
2
5入侵防范
4
6恶意代码防范
2
6恶意代码防范
2
7网络设备防护
8
7安全审计
5
8集中管控
6
详细规定项变化如下表:
信息安全级别保护基本规定–网络安全(三级)
网络安全级别保护基本规定通用规定—安全通信网络(三级)
构造安全
a)应保证核心网络设备业务解决能力具有冗余空间,满足业务高峰期需要;
网络架构
a)应保证网络设备业务解决能力具有冗余空间,满足业务高峰期需要;
b)应保证网络各个某些带宽满足业务高峰期需要;
b)应保证网络各个某些带宽满足业务高峰期需要;
c)应在业务终端和业务服务器之间进行路由控制建立安全访问途径;
c)应划分不同样网络区域,并依照以便管理和控制原则为各网络区域分派地址;
d)应绘制和当前运营状况相符网络拓扑构造图;
d)应避免将核心网络区域布置在网络边界处且没有边界防护办法;
e)应根据各部门工作职能、核心性和所包括信息核心限度等因素,划分不同样子网或网段,并依照以便管理和控制原则为各子网、网段分派地址段;
e)应提供通信线路、核心网络设备硬件冗余,保证系统可用性。
f)应避免将核心网段布置在网络边界处且直接连接外部信息系统,核心网段和其他网段之间采用可靠技术隔离手段;
g)应依照对业务服务核心顺序来指定带宽分派优先级别,保证在网络发生拥堵时候优先保护核心主机。
边界完整性检查
a)应可以对非授权设备擅自联到内部网络行为进行检查,正拟定出位置,并对其进行有效阻断;
通信传播
a)应采用校验码技术或密码技术保证通信过程中数据完整性;
b)应采用密码技术保证通信过程中敏感信息字段或整个报文保密性。
b)应可以对内部网络顾客擅自联到外部网络行为进行检查,正拟定出位置,并对其进行有效阻断。
边界防护
a)应保证跨越边界访问和数据流通过边界防护设备提供受控接口进行通信;
b)应可以对非授权设备擅自联到内部网络行为进行限制或检查;
c)应可以对内部顾客非授权联到外部网络行为进行限制或检查;
d)应限制无线网络使用,保证无线网络通过受控边界防护设备接入内部网络。
访问控制
a)应在网络边界布置访问控制设备,启用访问控制功能;
访问控制
a)应在网络边界或区域之间根据访问控制方略设立访问控制规则,默认状况下除允许通信外受控接口回绝所有通信;
b)应能根据会话状态信息为数据流提供明确允许/回绝访问能力,控制粒度为端口级;
b)应删除多余或无效访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c)应对进出网络信息内容进行过滤,实现相应用层HTTP、FTP、TELNET、SMTP、POP3等合同命令级控制;
c)应对源地址、目的地址、源端口、目的端口和合同等进行检查,以允许/回绝数据包进出;
d)应在会话处在非活跃一定期间或会话结束后终结网络连接;
e)应限制网络最大流量数及网络连接数;
d)应能根据会话状态信息为数据流提供明确允许/回绝访问能力,控制粒度为端口级;
f)核心网段应采用技术手段防止地址欺骗;
g)应按顾客和系统之间允许访问规则,决定允许或回绝顾客对受控系统进行资源访问,控制粒度为单个顾客;
e)应在核心网络节点处对进出网络信息内容进行过滤,实现对内容访问控制。
h)应限制具有拨号访问权限顾客数量。
入侵防范
a)应在网络边界处监视如下袭击行为:
端口扫描、强力袭击、木马后门袭击、回绝服务袭击、缓冲区溢出袭击、IP碎片袭击和网络蠕虫袭击等;
入侵防范
a)应在核心网络节点处检测、防止或限制从外部建议网络袭击行为;
b)应在核心网络节点处检测、防止或限制从内部建议网络袭击行为;(新增)
b)当检测到袭击行为时,记录袭击源IP、袭击类型、袭击目的、袭击时间,在发生严重入侵事件时应提供报警。
c)应采用技术办法对网络行为进行分析,实现对网络袭击特别是新型网络袭击行为分析;(新增)
b)当检测到袭击行为时,记录袭击源IP、袭击类型、袭击目的、袭击时间,在发生严重入侵事件时应提供报警。
恶意代码防范
a)应在网络边界处对恶意代码进行检测和清除;
恶意代码防范
a)应在核心网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制升级和更新;
b)应维护恶意代码库升级和检测系统更新。
b)应在核心网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制升级和更新。
(新增)
安全审计
a)应对网络系统中网络设备运营状况、网络流量、顾客行为等进行日记记录;
安全审计
a)应在网络边界、核心网络节点进行安全审计,审计覆盖到每个顾客,对核心顾客行为和核心安全事件进行审计;
b)审计记录应包括:
事件日期和时间、顾客、事件类型、事件与否成功及其他和审计有关信息;
b)审计记录应包括:
事件日期和时间、顾客、事件类型、事件与否成功及其他和审计有关信息;
c)应可以根据记录数据进行分析,并生成审计报表;
c)应对审计记录进行保护,定期备份,避免受到未预期删除、修改或覆盖等;
d)应对审计记录进行保护,避免受到未预期删除、修改或覆盖等。
d)应保证审计记录留存时间符合法律法规规定;(新增)
e)应能对远程访问顾客行为、访问互联网顾客行为等单独进行行为审计和数据分析。
(新增)
无
无
集中管控
a)应划分出特定管理区域,对分布在网络中安全设备或安全组件进行管控;(新增)
b)应可以建立一条安全信息传播途径,对网络中安全设备或安全组件进行管理;(新增)
c)应对网络链路、安全设备、网络设备和服务器等运营状况进行集中监测;(新增)
d)应对分散在各个设备上审计数据进行收集汇总和集中分析;(新增)
e)应对安全方略、恶意代码、补丁升级等安全有关事项进行集中管理;
f)应能对网络中发生各类安全事件进行辨认、报警和分析。
(新增)
网络设备防护
a)应对登录网络设备顾客进行身份鉴别;
无
无
b)应对网络设备管理员登录地址进行限制;
c)网络设备顾客标记应唯一;
d)核心网络设备应对同一顾客选取两种或两种以上组合鉴别技术来进行身份鉴别;
e)身份鉴别信息应具有不易被冒用特点,口令应有复杂度规定并定期更换;
f)应具有登录失败解决功能,可采用结束会话、限制非法登录次数和当网络登录连接超时自动退出等办法;
g)当对网络设备进行远程管理时,应采用必须办法防止鉴别信息在网络传播过程中被窃听;
h)应实现设备特权顾客权限分离。
1.3、安全区域边界VS本来主机安全
新原则减少了剩余信息保护一种控制点,在测评对象上,把网络设备、安全设备也纳入了此层面测评范畴。
规定项由本来32项调节为26项。
控制点和各控制点规定项数修改状况如下图:
原控制点
规定项数
新控制点
规定项数
主机安全
1身份鉴别
6
安全区域边界安全区域边界
1身份鉴别
4
2访问控制
7
2访问控制
7
3安全审计
6
3安全审计
5
4剩余信息保护
2
4入侵防范
5
5入侵防范
3
5恶意代码防范
1
6恶意代码防范
3
6资源控制
4
7资源控制
5
详细规定项变化如下表:
信息安全级别保护基本规定—主机安全(三级)
网络安全级别保护基本规定通用规定—安全区域边界安全区域边界(三级)
身份鉴别
a)应对登录操作系统和数据库系统顾客进行身份标记和鉴别;
身份鉴别
a)应对登录顾客进行身份标记和鉴别,身份标记具有唯一性,身份鉴别信息具有复杂度规定并定期更换;
b)操作系统和数据库系统管理顾客身份标记应具有不易被冒用特点,口令应有复杂度规定并定期更换;
b)应具有登录失败解决功能,应配备并启用结束会话、限制非法登录次数和当登录连接超时自动退出等有关办法;
d)当进行远程管理时,应采用必须办法,防止鉴别信息在网络传播过程中被窃听;
d)应采用两种或两种以上组合鉴别技术对顾客进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。
c)应启用登录失败解决功能,可采用结束会话、限制非法登录次数和自动退出等办法;
d)当对服务器进行远程管理时,应采用必须办法,防止鉴别信息在网络传播过程中被窃听;
e)应为操作系统和数据库系统不同样顾客分派不同样顾客名,保证顾客名具有唯一性。
f)应采用两种或两种以上组合鉴别技术对管理顾客进行身份鉴别。
访问控制
a)应启用访问控制功能,根据安全方略控制顾客对资源访问;
访问控制
a)应对登录顾客分派账户和权限;
b)应由授权主体配备访问控制方略,访问控制方略规定主体对客体访问规则;
c)应进行角色划分,并授予管理顾客所需最小权限,实现管理顾客权限分离;
b)应重命名或删除默认账户,修改默认账户默认口令;
e)应及时删除或停用多余、过期账户,避免共享账户存在;
f)访问控制粒度应达到主体为顾客级或进程级,客体为文献、数据库表级;
g)应对敏感信息资源设立安全标记,并控制主体对有安全标记信息资源访问。
b)应根据管理顾客角色分派权限,实现管理顾客权限分离,仅授予管理顾客所需最小权限;
c)应实现操作系统和数据库系统特权顾客权限分离;
d)应严格限制默认帐户访问权限,重命名系统默认帐户,修改这些帐户默认口令;
e)应及时删除多余、过期帐户,避免共享帐户存在。
f)应对核心信息资源设立敏感标记;
g)应根据安全方略严格控制顾客对有敏感标记核心信息资源操作;
安全审计
a)审计范畴应覆盖到服务器和核心顾客端上每个操作系统顾客和数据库顾客;
安全审计
a应启用安全审计功能,审计覆盖到每个顾客,对核心顾客行为和核心安全事件进行审计;
b)审计记录应包括事件日期和时间、顾客、事件类型、事件与否成功及其他和审计有关信息;
e)应对审计进程进行保护,防止XX中断。
c)应对审计记录进行保护,定期备份,避免受到未预期删除、修改或覆盖等;
d)应保证审计记录留存时间符合法律法规规定;(新增)
b)审计内容应包括核心顾客行为、系统资源异常使用和核心系统命令使用等系统内核心安全有关事件;
c)审计记录应包括事件日期、时间、类型、主体标记、客体标记和成果等;
d)应可以根据记录数据进行分析,并生成审计报表;
e)应保护审计进程,避免受到未预期中断;
f)应保护审计记录,避免受到未预期删除、修改或覆盖等。
剩余信息保护
a)应保证操作系统和数据库系统顾客鉴别信息所在存储空间,被释放或再分派给其他顾客前得到完全清除,不论这些信息是存储在硬盘上还是在内存中;
b)应保证系统内文献、目录和数据库记录等资源所在存储空间,被释放或重新分派给其他顾客前得到完全清除。
入侵防范
a)应可以检测到对核心服务器进行入侵行为,可以记录入侵源IP、袭击类型、袭击目的、袭击时间,并在发生严重入侵事件时提供报警;
入侵防范
e)应可以检测到对核心节点进行入侵行为,并在发生严重入侵事件时提供报警。
a)应遵循最小安装原则,仅安装需要组件和应用程序。
b)应关闭不需要系统服务、默认共享和高危端口;
c)应通过设定终端接入办法或网络地址范畴对通过网络进行管理管理终端进行限制;
d)应能发现也许存在漏洞,并在通过充分测试评估后,及时修补漏洞;
b)应可以对核心程序完整性进行检测,并在检测到完整性受到破坏后具有恢复办法;
c)操作系统应遵循最小安装原则,仅安装需要组件和应用程序,并通过设立升级服务器等办法保持系统补丁及时得到更新。
恶意代码防范
a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
恶意代码防范
应采用免受恶意代码袭击技术办法或可信验证机制对系统程序、应用程序和核心配备文献/参数进行可信实行验证,并在检测到其完整性受到破坏时采用恢复办法。
b)主机防恶意代码产品应具有和网络防恶意代码产品不同样恶意代码库;
c)应支持防恶意代码统一管理。
资源控制
a)应通过设定终端接入办法、网络地址范畴等条件限制终端登录;
资源控制
c)应对核心节点进行监视,包括监视CPU、硬盘、内存等资源使用状况;
a)应限制单个顾客或进程对系统资源最大使用限度;
e)应可以对核心节点服务水平减少到预先规定最小值进行检测和报警。
b)应提供核心节点设备硬件冗余,保证系统可用性;
b)应根据安全方略设立登录终端操作超时锁定;
c)应对核心服务器进行监视,包括监视服务器CPU、硬盘、内存、网络等资源使用状况;
d)应限制单个顾客对系统资源最大或最小使用限度;
e)应可以对系统服务水平减少到预先规定最小值进行检测和报警。
1.4、安全计算环境VS本来应用安全+数据安全及备份恢复
新原则将应用安全、数据安全及备份恢复两个层面合并成了安全计算环境一种层面,减少了通信完整性、通信保密性和抗抵赖三个控制点,增长了个人信息保护控制点。
通信完整性和通信保密性规定纳入了安全通信网络层面通信传播控制点。
规定项由本来39项调节为33项。
控制点和控制点规定项数修改状况如下图:
原控制点
规定项数
新控制点
规定项数
应用安全
1身份鉴别
5
安全计算环境
1身份鉴别
5
2访问控制
6
2访问控制
7
3安全审计
4
3安全审计
5
4剩余信息保护
2
4软件容错
3
5通信完整性
1
5资源控制
2
6通信保密性
2
6数据完整性
2
7抗抵赖
2
7数据保密性
2
8软件容错
2
8数据备份和恢复
3
9资源控制
7
9剩余信息保护
2
数据安全及备份恢复
9数据完整性
2
10个人信息保护
2
10数据保密性
2
11备份和恢复
4
详细规定项变化如下表:
信息安全级别保护基本规定—主机安全(三级)
网络安全级别保护基本规定通用规定—安全区域边界安全区域边界(三级)
身份鉴别
a)应提供专用登录控制模块对登录顾客进行身份标记和鉴别;
身份鉴别
a)应对登录顾客进行身份标记和鉴别,身份标记具有唯一性,鉴别信息具有复杂度规定并定期更换;
b)应对同一顾客采用两种或两种以上组合鉴别技术实现顾客身份鉴别;
e)应采用两种或两种以上组合鉴别技术对顾客进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。
c)应提供顾客身份标记唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复顾客身份标记,身份鉴别信息不易被冒用;
b)应提供并启用登录失败解决功能,多次登录失败后应采用必须保护办法;
d)应提供登录失败解决功能,可采用结束会话、限制非法登录次数和自动退出等办法;
e)应启用身份鉴别、顾客身份标记唯一性检查、顾客身份鉴别信息复杂度检查和登录失败解决功能,并根据安全方略配备有关参数。
e)应启用身份鉴别、顾客身份标记唯一性检查、顾客身份鉴别信息复杂度检查和登录失败解决功能,并根据安全方略配备有关参数。
c)应强制顾客初次登录时修改初始口令;(新增)
d)顾客身份鉴别信息丢失或失效时,应采用技术办法保证鉴别信息重置过程安全;(新增)
访问控制
a)应提供访问控制功能,根据安全方略控制顾客对文献、数据库表等客体访问;
访问控制
a)应提供访问控制功能,对登录顾客分派账户和权限;
b)应重命名或删除默认账户,修改默认账户默认口令;
c)应及时删除或停用多余、过期账户,避免共享账户存在;
b)访问控制覆盖范畴应包括和资源访问有关主体、客体及它们之间操作;
c)应由授权主体配备访问控制方略,并严格限制默认帐户访问权限;
e)应由授权主体配备访问控制方略,访问控制方略规定主体对客体访问规则;
d)应授予不同样帐户为完毕各自承担任务所需最小权限,并在它们之间形成互相制约关系。
d)应授予不同样帐户为完毕各自承担任务所需最小权限,并在它们之间形成互相制约关系。
f)访问控制粒度应达到主体为顾客级,客体为文献、数据库表级、记录或字段级;
e)应具有对核心信息资源设立敏感标记功能;
g)应对敏感信息资源设立安全标记,并控制主体对有安全标记信息资源访问。
f)应根据安全方略严格控制顾客对有敏感标记核心信息资源操作;
安全审计
a)应提供覆盖到每个顾客安全审计功能,相应用系统核心安全事件进行审计;
安全审计
a)应提供安全审计功能,审计覆盖到每个顾客,对核心顾客行为和核心安全事件进行审计;
b)应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;
e)应对审计进程进行保护,防止XX中断。
d)应保证审计记录留存时间符合法律法规规定;(新增)
c)应对审计记录进行保护,定期备份,避免受到未预期删除、修改或覆盖等;
c)审计记录内容至少应包括事件日期、时间、建议者信息、类型、描述和成果等;
b)审计记录应包括事件日期和时间、顾
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 等级 保护 三级 20 10 对比