等保2.0与1.0对比
5.14 等保1.0与等保2.0
5.14 等保1.0与等保2.0根据CNNIC 2月底发布的第43次《中国互联网络发展状况统计报告》显示,截至2018年12月,我国网民规模达8.29亿,普及率达59.6%,全年新增网民5653万。
我国手机网民规模达8.17亿,网民通过手机接入互联网的比例高达98.6%。
从上述数据可以看到,互联网越来越广的渗入人们的日常生活,从办公到生活,互联网几乎无处不在。
与互联网伴随而至的还有各种各样的网络安全问题,比如病毒木马、流氓软件、网络攻击、信息泄露等等。
对于各种网络安全问题,个人一般都是从自我做起,提高自身安全意识,合理使用APP。
那么,从国家角度来看,就需要一整套规范来应对网络安全——网络安全等级保护 2.0标准,全称《信息安全技术网络安全等级保护基本要求》,简称“等保2.0”。
等保1.0指的是2007年的《信息安全等级保护管理办法》和2008年的《信息安全等级保护基本要求》。
根据《网络安全法》的规定,等级保护是我国信息安全保障的基本制度。
等保是对网络安全法在产业层面、标准层面和执行层面的具体落实。
《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。
网络运营者应当按照网络安全等级保护制度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
其中,等级保护的内容:关键信息基础设施安全保护义务、敏感信息保护义务、每年风险监测评估等。
以关键信息基础设施为例,它可以分为网站类、平台类和业务生产类,详情看下图:等级保护范围内重要信息系列所涵盖的行业有能源、金融、交通、水利、医疗卫生、环境保护、工业制造、市政、电信与互联网、广播电视及政府部门。
据悉,等保2.0有5个运行步骤:定级、备案、建设和整改、等级测评、检查。
同时,也分5个等级,即信息系统按重要程度由低到高分为5个等级,并分别实施不同的保护策略。
一级系统简单,不需要备案,影响程度很小,因此不作为重点监管对象;二级系统大概50万个左右;三级系统大概5万个;四级系统量级较大,比如支付宝、银行总行系统、国家电网系统,有1000个左右;五级系统属国家级、国防类的系统,比如核电站、军用通信系统。
等保2.0新标准解读
等保2.0新标准解读5月13日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准正式发布,包括网络安全等级保护的基本要求、测评要求、安全设计技术要求三个部分,实施时间为2019年12月1日。
《网络安全法》出台后,等级保护进入2.0时代,这意味着2007年四部门建立的“信息安全等级保护体系”已全面升级到“网络安全等级保护2.0体系”。
网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。
开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的提现。
网络安全等级保护虽然依旧按照定级、备案、建设整改、等级测评、监督检查等五个阶段进行,同时,等级保护的“五个等级”及“主体职责”没有变化。
但是,等保2.0已经从法规条例“国务院147号令”上升到《网络安全法》的法律层面;《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。
总而言之,等保2.0实施后,不开展等级保护等于违反《网络安全法》,可以根据法律规定进行处罚。
传统等级保护(暂时叫等保1.0)主要强调物理安全、主机安全、网络安全、应用安全、数据安全及备份恢复等通用要求,而等保2.0标准在对等保1.0标准基本要求进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。
也就是说,使用新技术的信息系统需要同时满足“通用要求安全扩展”的要求。
并且,针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。
通用要求方面,等保2.0标准的核心是“优化”。
删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。
等保1.0和等保2.0有什么区别?
等保1.0和等保2.0有什么区别?等保即信息安全等级保护,是我国网络安全领域的基本国策、基本制度。
那等级保护是什么?为什么要做等级保护?以下是详细的内容:为什么要做等级保护?1、安全标准:信息安全等级保护(简称等保)是目前检验一个系统安全性的重要标准,是对系统是否满足相应安全保护的评估方法。
2、法律要求:《网络安全法》和《信息安全等级保护管理办法》明确规定网络运营者应当履行安全保护义务,如果拒不履行,将会受到相应处罚。
3、自我检查:开展等保可对系统进行一次全面检测,全面发现系统内部的安全隐患与不足之处。
等级保护包含哪些内容?等保是一个全方位系统安全性标准,不仅仅是程序安全,包括:物理安全、应用安全、通信安全、边界安全、环境安全、管理安全等方面。
物理安全:机房物理访问控制、防火,防雷击,温湿度控制、电力供应,电磁防护。
应用安全:应用具备身份鉴别、访问控制、安全审计、剩余信息保护、软件容错、资源控制和代码安全。
通信安全:包括网络架构,通信传输,可信验证。
边界安全:包括边界防护,访问控制,入侵防范,恶意代码防护等。
环境安全:入侵防范,恶意代码防范,身份鉴别,访问控制,数据完整性、保密性,个人信息保护。
管理安全:系统管理,审计管理,安全管理,集中管控。
等保1.0和等保2.0有什么区别?等保1.0以1994年国务院颁布的147号令《计算机信息系统安全保护条例》为指导标准,以2008年发布的《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求》为指导的网络安全等级保护办法,业内简称等保,即目前的等保 1.0.等保2.0以《中华人民共和国网络安全法》为法律依据,以2019年5月发布的《GB/T22239-2019 信息安全技术网络安全等级保护基本要求》为指导标准的网络安全等级保护办法,业内简称等保2.0.两者的区别:等保2.0提出新的技术要求和管理要求,强调“一个中心,三重防护”,关键点包括可信技术、安全管理中心,以及云计算、物联网等新兴领域的安全扩展要求。
三级等保2.0标准
三级等保2.0标准
三级等保2.0标准是指我国信息安全管理制度中的一项重要标准,是对信息系统安全等级保护的升级和完善。
相比于之前的等保1.0标准,等保2.0标准更加注重信息系统的风险评估和管理、安全保障措施的科学性和有效性、安全管理的持续性和动态性等方面。
以下是三级等保2.0标准的一些主要内容:
1.安全保障目标:明确信息系统的安全保障目标,包括保密性、完整性和可用性等方面。
2.安全等级划分:对信息系统进行安全等级划分,根据安全等级制定相应的安全保障措施和管理要求。
3.安全保障措施:根据信息系统的安全等级,制定相应的安全保障措施,包括物理安全、网络安全、系统安全、数据安全等方面。
4.安全管理要求:制定信息系统的安全管理要求,包括安全管理制度、安全培训、安全检查等方面。
5.安全风险评估:对信息系统进行安全风险评估,制定相应的安全风险应对措施。
6.安全保障评估:对信息系统进行安全保障评估,评估安全保障措施的有效性。
7.安全管理绩效评估:对信息系统的安全管理绩效进行评估,评估安全管理的有效性和持续性。
8.安全管理改进:根据安全管理绩效评估结果,对信息系统的安全管理进行改进和优化。
以上是三级等保2.0标准的一些主要内容,具体的实施细节和要求可能会因不同行业和领域而有所不同。
等保2.0与1.0差异化对比
安全物理环境
9、电力供应
分类 物理安全
第一级:要求应设置稳压器和过电压防护设备 。 第二级:除第一级要求外,应提供短期的备用电力供应,如:UPS设备 。 第三级:除第二级要求外,应具备冗余或并行的电力电缆线路 。 第四级:除第三级要求外,要求提供应急供电设施。
安全控制点 电力供应
第三级安全要求(等保1.0) 1) 应在机房供电线路上配置稳压器和过电压防护设备;(保留) 2) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;(改写) 3) 应设置冗余或并行的电力电缆线路为计算机系统供电;(保留) 4) 应建立备用供电系统。(删除)
第三级安全要求(等保2.0) 1) 机房场地应选择在具有防震、防风和防雨等能力的建筑内;(改写) 2) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。(改写)
2、物理访问控制 第一级:要求专人值守或配置电子门禁系统,对机房进出进行控制鉴别、鉴别和记录。
第二级:与第一级要求相同。 第三级:要求配置电子门禁系统,对机房进出进行控制鉴别、鉴别和记录。 第四级:除第三级要求外,进一步强化了进出机房的控制,要求在重要区域配置第二道电子 门禁系统
分类 安全物理环境
安全控制点 防水和防潮
第三级安全要求(等保2.0) a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;(保留) b) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;(保留) c) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。(保留)
安全物理环境
7、防静电
10、电磁防护
第一级:无此方面要求。 第二级:要求电源线和通信线缆进行隔离铺设。 第三级:除第二级要求外,要求对关键设备实施电磁屏蔽。 第四级:在第三级要求的基础上,要求屏蔽范围扩展关键区域。
等保2.0解读
1
等级保护发展历程简介
1994年-国务院147号令
第九条: 计算机信息系统实行安全 等级保护。
2003年-中办发27号文
信息安全保障纲领性文件。 第二条: 实行信息安全等级保护。
1999年-GB 17859
强制性标准: 规定了我国计算机信息系统 安全保护能力的五个等级。
1390.5-2017
未发布 (国标)
信息安全技术 网络安全等级保护基本要求(送审稿)GB/T 22239-20XX 信息安全技术 网络安全等级保护安全设计技术要求(送审稿)GB/T 25070-20XX 信息安全技术 网络安全等级保护测评要求(送审稿)GB/T 28448-20XX 信息安全技术 网络安全等级保护实施指南(送审稿)GB/T 25058-20XX
业务处理类对象 信息系统、工业控制系统、物联网系统等
基础服务类对象 网络、云服务平台、大数据分析平台等
数据资源类对象
2021/3/11
16
《定级指南》修订
定级对象的扩展 定级方法的变化
17
定级方法的变化
已发布
• 信息安全技术 网络安全等级保护定级指南 GA/T 1389-2017 • 信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求 GA/T 1390.2-
2017
• 信息安全技术 网络安全等级保护基本要求 第3部分:移动互联安全扩展要求 GA/T 1390.3-
(公安行标) 2017 • 信息安全技术 网络安全等级保护基本要求 第5部分:工业控制系统安全扩展要求 GA/T
4.委托具备测评资质的测评机构对 信息系统进行等级测评,形成正式 的测评报告。
山石网科等保通用2.0
等保2.0通用要求解读及产品运维实践1、环境现状:勒索、泄密、破坏2、等保意义:降低风险法律法规主管要求规避责任3、2.0与1.0不同:1.0单产品单设备单点,2.0多产品多维度4、等保2.0边界防护法规要求:保证跨边界的访问和数据流通过边界设备提供的受控接口进行通讯;对非授权设备私自连到内网的行为进行检查或限制;对内部用户非授权连到外网行为进行检查或限制;保证无线网通过受控的边界设备接入内部网络。
(解决:防火墙支持IP 端口协议文件大小类型名称URL 设置访问规则,对受控接口的管理;防火墙支持802.1x实现非法内联;支持WEB_AUTH实现非法外联、无线网络认证的验证和管理)5、访问控制法规要求:在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;删除多余或无效访问控制规则,优化访问控制列表,保证规则最小化;对源、目的地址、源端口、协议进行检查,以允许或拒绝数据包进出;根据会话状态信息为进出数据流提供明确的允许或拒绝访问控制;对进出网络数据流基于应用协议和应用内容访问控制(解决:支持基于IP、端口、应用协议、文件大小名称类型等设置访问规则,仅受控接口可以通信;支持规则匹配分析,对策略五元组进行匹配检查)6、入侵防范法规要求:在关键网络节点处检测、防止或限制从外部或从内部发起的网络攻击行为;采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;当检测到攻击行为,记录源IP、攻击类型、目标、时间,在发生严重入侵时间时提供报警(解决:IPS及IDS单品或模块、WAF支持双向攻击行为检测和阻断;基于云沙箱技术的产品可实现未知威胁检测和控制)7、恶意代码和垃圾邮件防范法规要求:在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;在关键网络节点对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新(解决:IPS、IDS、AV模块支持对病毒进行检测、阻断、抓包和留存)8、安全审计法规要求:在网络边界、重要节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要的安全事件进行审计;审计记录包括时间的时间、日期、用户、时间类型、时间是否成功及其他审计相关信息;对审计记录进行保护,定期备份,避免未到预期的删除、修改或覆盖等;对远程用户访问行为单独进行行为审计和数据分析。
等保2.0 VS 等保1.0(三级)对比
等保2.0 VS 等保1.0(三级)对比网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分结构由原来的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全,调整为四个部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;技术要求“从面到点”提出安全要求,“物理和环境安全”主要对机房设施提出要求,“网络和通信安全”主要对网络整体提出要求,“设备和计算安全”主要对构成节点(包括网络设备、安全设备、操作系统、数据库、中间件等)提出要求,“应用和数据安全”主要对业务应用和数据提出要求。
(标粗内容为三级和二级的变化,标红部门为新标准主要变化)1.1、物理和环境安全VS原来物理安全控制点未发生变化,要求项数由原来的32项调整为22项。
控制点要求项数修改情况如下图:要求项的变化如下:1.2、网络和通信安全VS原来网络安全新标准减少了结构安全、边界完整性检查、网络设备防护三个控制点,增加了网络架构、通信传输、边界防护、集中管控四个控制点。
原结构安全中部分要求项纳入了网络架构控制点中,原应用安全中通信完整性和保密性的要求项纳入了通信传输控制点中,原边界完整性检查和访问控制中部分要求项内容纳入了边界防护控制点中,原网络设备防护控制点要求并到设备和计算安全要求中。
要求项总数原来为33项,调整为还是33项,但要求项内容有变化。
控制点和控制点要求项数修改情况如下图:具体要求项的变化如下表:1.3、设备和计算安全VS原来主机安全新标准减少了剩余信息保护一个控制点,在测评对象上,把网络设备、安全设备也纳入了此层面的测评范围。
要求项由原来的32项调整为26项。
控制点和各控制点要求项数修改情况如下图:具体要求项的变化如下表:1.4、应用和数据安全VS原来应用安全+数据安全及备份恢复新标准将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一个层面,减少了通信完整性、通信保密性和抗抵赖三个控制点,增加了个人信息保护控制点。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
访问控制
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
物理与环境安全VS原来物理安全
控制点未发生变化,要求项数由原来的32项调整为22项。控制点要求项数修改情况如下图:
原控制点
要求项数
新控制点
要求项数
物理安全
1物理位置的选择
2
物理和环境安全
1物理位置的选择
2
2物理访问控制
4
2物理访问控制
1
3防盗窃和防破坏
6
3防盗窃和防破坏
3
4防雷击
3
4防雷击
2
5防火
3
a) 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
b) 应能够对非授权设备私自联到内部网络的行为进行限制或检查;
b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
c) 应能够对内部用户非授权联到外部网络的行为进行限制或检查;
d) 应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络。
访问控制
2
7 网络设备防护
8
7安全审计
5
8集中管控
6
具体要求项的变化如下表:
信息安全等级保护基本要求--网络安全(三级)
网络安全等级保护基本要求通用要求—网络和通信安全(三ห้องสมุดไป่ตู้)
结构安全
a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
网络架构
a) 应保证网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
新增a应保证操作系统和数据库系统用户的鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除无论这些信息是存放在硬盘上还是在内存b应确保系统内的文件目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清a应能够检测到对重要服务器进行入侵的行为能够记录入侵的源ip攻击的类型攻击的目的攻击的时间并在发生严重入侵事件时提供报警
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析;(新增)
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
b) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
c) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
防静电
a)主要设备应采用必要的接地防静电措施;
防静电
等保2.0通用要求VS等保1.0(三级)技术部分要求详细对比
等保2.0系列标准发布,网络安全等级保护基本要求通用要求在信息安全等级保护基本要求技术部分的基础上进行了一些调整,湖南金盾就网络安全等级保护基本要求通用要求在信息安全等级保护基本要求进行了详细对比,下面以三级为例进行一个对比。
网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分结构由原来的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全,调整为四个部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;技术要求“从面到点”提出安全要求,“物理和环境安全”主要对机房设施提出要求,“网络和通信安全”主要对网络整体提出要求,“设备和计算安全”主要对构成节点(包括网络设备、安全设备、操作系统、数据库、中间件等)提出要求,“应用和数据安全”主要对业务应用和数据提出要求。(标粗内容为三级和二级的变化,标红部门为新标准主要变化)
入侵防范
a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为; (新增)
c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析; (新增)
b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
c) 机房应设置交流电源地线。
防火
a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
防火
a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。 (新增)
安全审计
a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
安全审计
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
防盗窃和防破坏
a) 应将主要设备放置在机房内;
防盗窃和防破坏
b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;
a) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;
c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
b) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
d) 应对介质分类标识,存储在介质库或档案室中;
d) 应在会话处于非活跃一定时间或会话结束后终止网络连接;
e) 应限制网络最大流量数及网络连接数;
f) 重要网段应采取技术手段防止地址欺骗;
g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
h) 应限制具有拨号访问权限的用户数量。
入侵防范
a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
d) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
e) 应在关键网络节点处对进出网络的信息内容进行过滤,实现对内容的访问控制。
电力供应
a) 应在机房供电线路上配置稳压器和过电压防护设备;
电力供应
a) 应在机房供电线路上配置稳压器和过电压防护设备;
b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;
b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;
c) 应设置冗余或并行的电力电缆线路为计算机系统供电;
b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
恶意代码防范
a) 应在网络边界处对恶意代码进行检测和清除;
恶意代码防范
a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
b) 应维护恶意代码库的升级和检测系统的更新。
要求项总数原来为33项,调整为还是33项,但要求项内容有变化。
控制点和控制点要求项数修改情况如下图:
原控制点
要求项数
新控制点
要求项数
网络安全
1结构安全
7
网络和通信安全
1网络架构
5
2访问控制
8
2通信传输
2
3安全审计
4
3边界防护
4
4边界完整性检查
2
4访问控制
5
5入侵防范
2
5入侵防范
4
6恶意代码防范
2
6恶意代码防范
c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
c) 应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。
防水和防潮
a) 水管安装,不得穿过机房屋顶和活动地板下;
防水和防潮
b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
b) 应保证网络各个部分的带宽满足业务高峰期需要;
b) 应保证网络各个部分的带宽满足业务高峰期需要;
c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
d) 应绘制与当前运行情况相符的网络拓扑结构图;
e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
e) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 (新增)
集中管控
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控; (新增)
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理; (新增)
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; (新增)
b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应能够根据记录数据进行分析,并生成审计报表;