等级保护2.0基本要求-二级三级对比表

等保2.0测评详细指标（1-3级）PS：一级指标没有整理成表格，二三级整理成表格，看的会清晰一点。

一级测评要求指标一．技术安全大类1.安全的物理环境物理访问控制：机房出入口应安排专人值守或配置电子门禁系统，控制，鉴别和记录进入的人员。

防盗窃和破坏：应将设备或主要部件进行固定，并设置明显的不易除去的标识。

防雷击：应将各类机柜，设施和设备等通过基地系统安全接地。

防火：机房应该设置灭火设备。

防水和防潮：应采取措施防止雨水通过机房窗户，屋顶和墙壁渗透。

温湿度控制：应设置必要的温湿度调节设施，使机房温湿度的变化在设备运行所允许的范围之内。

电力供应：应在机房供电线路上配置稳压器和过电压防护设备。

2.安全的通信网络通信传输：应采用检验技术保证通信过程中数据的完整性。

可信验证：可给予可信根对通信设备的系统引导程序，系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。

3.安全的计算环境身份鉴别：1.应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份辨别信息具有复杂度要求并定期更换。

2.应具有登陆失败处理功能，应配置并启用结束会话，限制非法登录次数和挡登录连接超时自动退出等相关措施。

访问控制：1.应对登录的用户分配账户和权限2.应重命名或删除默认账户，修改默认账户的默认口令。

3.应及时删除或停用多余的，过期的账户，避免共享账户的存在。

入侵防范：1.应遵循最小安装的原则，仅安装需要的组件和应用程序。

2.应关闭不需要的系统服务，默认共享和高危端口。

恶意代码防范：应安装放恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。

可信验证：可基于可信根对计算机设备的系统引导程序，系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。

数据完整性：应采用检验技术保证重要数据在传输过程中的完整性。

数据备份恢复：应提供重要数据的本地数据备份与恢复功能。

4.安全的区域边界边界防护：应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

目录1概述 (2)1.1 背景介绍 (2)1.2 主要作用及特点 (2)1.3 与其他标准的关系 (3)1.4 框架结构 (3)2描述模型 (4)2.1 总体描述 (4)2.2 保护对象 (5)2.3 安全保护能力 (5)2.4 安全要求 (7)3逐级增强的特点 (8)3.1 增强原则 (8)3.2 总体描述 (9)3.3 控制点增加 (10)3.4 要求项增加 (10)3.5 控制强度增强 (11)4各级安全要求 (12)4.1 技术要求 (12)4.1.1 物理安全 (12)4.1.2 网络安全 (18)4.1.3 主机安全 (23)4.1.4 应用安全 (28)4.1.5 数据安全及备份恢复 (34)4.2 管理要求 (37)4.2.1 安全管理制度 (37)4.2.2 安全管理机构 (39)4.2.3 人员安全管理 (42)4.2.4 系统建设管理 (46)4.2.5 系统运维管理 (51)本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件，围绕信息安全等级工作，介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》（以下简称《基本要求》），描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。

通过培训，使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容，以便正确选择合适的安全要求进行信息系统保护。

1概述1.1背景介绍2004年，66号文件中指出“信息安全等级保护工作是个庞大的系统工程，关系到国家信息化建设的方方面面，这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施，信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。

”信息安全等级保护工作第一阶段为准备阶段，准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。

二级、三级等级保护要求比较一、技术要求技术要求项二级等保三级等保物理 1 ）机房和办公场地应选择 1 ）机房和办公场地应选择在具有防震、防安全在具有防震、防风和防雨风和防雨等能力的建筑内；物理等能力的建筑内。

2 ）机房场地应避免设在建筑物的高层或地位置下室，以及用水设备的下层或隔壁；的选3 ）机房场地应当避开强电场、强磁场、强择震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。

物理1）机房出入口应有专人值 1 ）机房出入口应有专人值守，鉴别进入的访问守，鉴别进入的人员身份人员身份并登记在案；控制并登记在案； 2 ）应批准进入机房的来访人员，限制和监2）应批准进入机房的来访控其活动范围；人员，限制和监控其活动 3 ）应对机房划分区域进行管理，区域和区范围。

域之间设置物理隔离装置，在重要区域前设置交付或安装等过度区域；4 ）应对重要区域配置电子门禁系统，鉴别和记录进入的人员身份并监控其活动。

防盗1）应将主要设备放置在物 1 ）应将主要设备放置在物理受限的范围窃和理受限的范围内；内；防破2）应对设备或主要部件进 2 ）应对设备或主要部件进行固定，并设置坏行固定，并设置明显的不明显的无法除去的标记；易除去的标记； 3 ）应将通信线缆铺设在隐蔽处，如铺设在3）应将通信线缆铺设在隐地下或管道中等；蔽处，如铺设在地下或管 4 ）应对介质分类标识，存储在介质库或档道中等；案室中；4）应对介质分类标识，存储 5 ）设备或存储介质携带出工作环境时，应在介质库或档案室中；受到监控和内容加密；5）应安装必要的防盗报警 6 ）应利用光、电等技术设置机房的防盗报设施，以防进入机房的盗警系统，以防进入机房的盗窃和破坏行7 ）应对机房设置监控报警系统。

防雷1）机房建筑应设置避雷装 1 ）机房建筑应设置避雷装置；击置； 2 ）应设置防雷保安器，防止感应雷；2）应设置交流电源地线。

3 ）应设置交流电源地线。

防火1）应设置灭火设备和火灾 1 ）应设置火灾自动消防系统，自动检测火自动报警系统，并保持灭情、自动报警，并自动灭火；火设备和火灾自动报警 2 ）机房及相关的工作房间和辅助房，其建系统的良好状态。

技术部分
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
管理部分
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全
文案大全。

等保 2.0系列原则即将发布，网络安全级别保护基本规定通用规定在信息安全级别保护基本规定技术部分的基本上进行了某些调节，湖南金盾就网络安全级别保护基本规定通用规定在信息安全级别保护基本规定进行了具体对比，下面以三级为例进行一种对比。

网络安全级别保护基本规定通用规定技术部分与信息安全级别保护基本规定技术部分构造由本来的五个层面：物理安全、网络安全、主机安全、应用安全、数据安全，调节为四个部分：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；技术规定“从面到点”提出安全规定，“物理和环境安全”重要对机房设施提出规定，“网络和通信安全”重要对网络整体提出规定，“设备和计算安全”重要对构成节点（涉及网络设备、安全设备、操作系统、数据库、中间件等）提出规定，“应用和数据安全”重要对业务应用和数据提出规定。

（标粗内容为三级和二级的变化，标红部门为新原则重要变化）
•
物理与环境安全VS本来物理安全
•
控制点未发生变化，规定项数由本来的32项调节为22项。

控制点
•
网络和通信安全VS本来网络安全
•
新原则减少了构造安全、边界完整性检查、网络设备防护三个控制
•
设备和计算安全VS本来主机安全
•
新原则减少了剩余信息保护一种控制点，在测评对象上，把网络设
•
应用和数据安全VS本来应用安全+数据安全及备份恢复
•
新原则将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一种层面，减少了通信完整性、通信保密性和抗抵赖三个控制点，增长了个人信息保护控制点。

通信完整性和通信保密性的规定纳入了网络。