一級現在基本沒人會去提及,所以我這裡主要說下等級保護二級和三級的詳細要求及差異分析,總共分為五大項:物理安全,網路安全,主機安全,應用安全,資料安全;管理制度這裡沒有說明,如有需要可以繼續做相關提問;
格式說明
(等保要求:等保二級解決方案;等保三級解決方案;差異分析)
例: 入侵防範:部署入侵檢測系統;部署入侵檢測系統配置入侵檢測系統的日誌模組;三級相對二級要求配置入侵檢測系統的日誌模組,記錄攻擊源IP、攻擊型別、攻擊目的、攻擊時間等相關資訊,並透過一定的方式進行告警
物理安全
物理位置的選擇:機房和辦公場地應選擇具有防震、防風和防雨等能力;應避免設在建築物的高層或地下室,以及用水裝置的下層或隔壁;三級要求進行樓層的選擇。
物理訪問控制:按照基本要求進行人員配備,制定管理制度;同時對機房進行區域管理,設定過度區域、安裝門禁;三級要求加強對區域的管理和重要區域控制力度。
防盜竊和防破壞:按照基本要求進行建設。制定防盜竊防破壞相關管理制度;按照基本要求進行建設配置光、電等防盜報警系統;三級根據要求進行光、電技術防盜報警系統的配備。
防雷擊:按照基本要求進行建設;設定防雷保安器;三級根據要求設定防雷保安器,防止感應雷
防火:設定滅火裝置和火災自動報警系統;消防、耐火、隔離等措施;三級根據要求進行消防、耐火、隔離等措施
防水和防潮:採取措施防止雨水滲透、機房內水蒸氣;安裝防水測試儀器;三級根據要求進行防水檢測儀表的安裝使用
防靜電:採用必要的接地防靜電;安裝防靜電地板;三級根據要求安裝防靜電地板
溫溼度控制:配備空調系統.
電力供應:配備穩壓器和過電壓防護裝置,配備UPS系統;配備穩壓器、UPS、冗餘供電系統;三級根據要求設定冗餘或並行的電力電纜線路,建立備用供電系統
電磁防護:電源線和通訊線纜隔離鋪設;接地、關鍵裝置和磁介質實施電磁遮蔽;三級根據要求進行接地,關鍵裝置和介質的電磁遮蔽
網路安全
結構安全:關鍵裝置選擇高階裝置,處理能力具備冗餘空間,合理組網,繪製詳細網路拓撲圖;在二級基礎上,合理規劃路由,避免將重要網段直接連線外部系統,在業務終端與業務伺服器之間建立安全路徑、頻寬優先順序管理;三級根據要求在以下方面進行加強設計:主要網路裝置的處理能力滿足高峰需求,業務終端與業務伺服器之間建立安全路徑、重要網段配置ACL策略頻寬優先順序
訪問控制:防火牆,制定相應的ACL策略;防火牆配置配置包括:埠級的控制粒度,常見應用層協議命令過濾,會話控制,流量控制,連線數控制,防地址欺騙等策略;三級在配置防火牆裝置的策略時提出了更高的要求
安全審計:部署網路安全審計系統;部署網路安全審計系統部署日誌伺服器進行審計記錄的儲存;三級對審計日誌儲存提出更高要求,需要採用日誌伺服器進行審計記錄的儲存
邊界完整性檢查:部署終端安全管理系統,啟用非法外聯監控以及安全准入功能;部署終端安全管理系統,在進行非法外聯和安全准入檢測的同時要進行有效阻斷;三級相對2級要求在檢測的同時要進行有效阻斷
入侵防範:部署入侵檢測系統;部署入侵檢測系統配置入侵檢測系統的日誌模組;三級相對2級要求配置入侵檢測系統的日誌模組,記錄攻擊源IP、攻擊型別、攻擊目的、攻擊時間等相關資訊,並透過一定的方式進行告警
惡意程式碼防範:無要求;部署UTM或AV、IPS;三級系統 要求具備閘道器處惡意程式碼的檢測與清除,並定期升級惡意程式碼庫
網路裝置防護:配置網路裝置自身的身份鑑別與許可權控制;對主要網路裝置實施雙因素認證手段進身份鑑別;三級對登陸網路裝置的身份認證提出了更高要求,需要實施雙因素認證,裝置的管理員等特權使用者進行不同許可權等級的配置
主機安全
身份鑑別:對作業系統和資料庫系統配置高強度使用者名稱/口令啟用登陸失敗處理、傳輸加密等措施;對主機管理員登入時進行雙因素身份鑑別(USBkey+密碼);三級要求採用兩種或兩種以上組合的鑑別技術對管理使用者進行身份鑑別
訪問控制:根據基本要求進行主機訪問控制的配置;管理員進行分級許可權控制,重要設定訪問控制策略進行訪問控制;三級根據要求對管理員進行分級許可權控制,對重要資訊(檔案、資料庫等)進行標記
安全審計:部署主機審計系統;部署主機審計系統審計範圍擴大到重要客戶端;同時能夠生成審計報表;三級要求能將審計範圍擴大到重要客戶端;同時能夠生成審計報表
剩餘資訊保護:無要求;透過對作業系統及資料庫系統進行安全加固配置,及時清除剩餘資訊的儲存空間;三級要求對剩餘資訊進行保護,透過安全服務方式進行
入侵防範:部署網路入侵檢測系統部署終端安全管理系統;部署網路入侵檢測系統部署主機入侵檢測系統部署終端安全管理系統進行補丁及時分發;三級要求對重要伺服器進行入侵的行為,對重要程式進行程式碼審查,去除漏洞,配置主機入侵檢測以及終端管理軟體進行完整性檢測
惡意程式碼防範:部署終端防惡意程式碼軟體;部署終端防惡意程式碼軟體;三級要求終端防惡意程式碼軟體與邊界處的閘道器裝置進行異構部署
資源控制:部署應用安全管理系統進行資源監控;部署應用安全管理系統進行資源監控、檢測報警;三級要求透過安全加固,對重要伺服器進行監視,包括監視伺服器的CPU、硬碟、記憶體、網路等資源的使用情況,對系統服務相關閾值進行檢測告警
應用安全
身份鑑別:根據基本要求配置高強度使用者名稱/口令;進行雙因素認證或採用CA系統進行身份鑑別;三級根據要求進行雙因素認證或採用CA系統進行身份鑑別
訪問控制:根據基本要求提供訪問控制功能;透過安全加固措施制定嚴格使用者許可權策略,保證賬號、口令等符合安全策略;三級根據要求根據系統重要資源的標記以及定義的安全策略進行嚴格的訪問控制
安全審計:應用系統開發應用審計功能部署資料庫審計系統;應用系統開發應用審計功能部署資料庫審計系統;三級要求不僅生成審計記錄,還要對審計記錄資料進行統計、查詢、分析及生成審計報表
剩餘資訊保護:無要求;透過對作業系統及資料庫系統進行安全加固配置,及時清除剩餘資訊的儲存空間;二級無要求
通訊完整性:採用校驗碼技術保證通訊過程中資料的完整性;採用PKI體系中的完整性校驗功能進行完整性檢查,保障通訊完整性;三級要求密碼技術
通訊保密性:應用系統自身開發資料加密功能,採用VPN或PKI體系的加密功能;應用系統自身開發資料加密功能,採用VPN或PKI體系的加密功能保障通訊保密性;三級要求對整個報文或會話過程進行加密
抗抵賴:無要求;PKI系統;2級無要求
軟體容錯:程式碼稽核;程式碼稽核;三級根據要求系統具備自動保護功能設計,故障後可以恢復
資源控制:部署應用安全管理系統;部署應用安全管理系統;三級要求細化加固措施,對併發連線、資源配額、系統服務相關閾值、系統服務優先順序等進行限制和管理
資料安全
資料完整性:資料校驗傳輸採用VPN ;配置儲存系統傳輸採用VPN ;三級要求在傳輸過程增加對系統管理資料的檢測與恢復,配置儲存系統
資料保密性:應用系統針對鑑別資訊的儲存開發加密功能;應用系統針對儲存開發加密功能,利用VPN實現傳輸保密性;三級要求實現管理資料、鑑別資訊和重要業務資料傳輸過程的保密性
備份與恢復:重要資訊進行定期備份關鍵裝置線路冗餘;本地備份與異地備份關鍵裝置線路冗餘設計;三級要求進行每天資料備份且要求實現異地備份
希望對您有幫助。
一級現在基本沒人會去提及,所以我這裡主要說下等級保護二級和三級的詳細要求及差異分析,總共分為五大項:物理安全,網路安全,主機安全,應用安全,資料安全;管理制度這裡沒有說明,如有需要可以繼續做相關提問;
格式說明
(等保要求:等保二級解決方案;等保三級解決方案;差異分析)
例: 入侵防範:部署入侵檢測系統;部署入侵檢測系統配置入侵檢測系統的日誌模組;三級相對二級要求配置入侵檢測系統的日誌模組,記錄攻擊源IP、攻擊型別、攻擊目的、攻擊時間等相關資訊,並透過一定的方式進行告警
物理安全
物理位置的選擇:機房和辦公場地應選擇具有防震、防風和防雨等能力;應避免設在建築物的高層或地下室,以及用水裝置的下層或隔壁;三級要求進行樓層的選擇。
物理訪問控制:按照基本要求進行人員配備,制定管理制度;同時對機房進行區域管理,設定過度區域、安裝門禁;三級要求加強對區域的管理和重要區域控制力度。
防盜竊和防破壞:按照基本要求進行建設。制定防盜竊防破壞相關管理制度;按照基本要求進行建設配置光、電等防盜報警系統;三級根據要求進行光、電技術防盜報警系統的配備。
防雷擊:按照基本要求進行建設;設定防雷保安器;三級根據要求設定防雷保安器,防止感應雷
防火:設定滅火裝置和火災自動報警系統;消防、耐火、隔離等措施;三級根據要求進行消防、耐火、隔離等措施
防水和防潮:採取措施防止雨水滲透、機房內水蒸氣;安裝防水測試儀器;三級根據要求進行防水檢測儀表的安裝使用
防靜電:採用必要的接地防靜電;安裝防靜電地板;三級根據要求安裝防靜電地板
溫溼度控制:配備空調系統.
電力供應:配備穩壓器和過電壓防護裝置,配備UPS系統;配備穩壓器、UPS、冗餘供電系統;三級根據要求設定冗餘或並行的電力電纜線路,建立備用供電系統
電磁防護:電源線和通訊線纜隔離鋪設;接地、關鍵裝置和磁介質實施電磁遮蔽;三級根據要求進行接地,關鍵裝置和介質的電磁遮蔽
網路安全
結構安全:關鍵裝置選擇高階裝置,處理能力具備冗餘空間,合理組網,繪製詳細網路拓撲圖;在二級基礎上,合理規劃路由,避免將重要網段直接連線外部系統,在業務終端與業務伺服器之間建立安全路徑、頻寬優先順序管理;三級根據要求在以下方面進行加強設計:主要網路裝置的處理能力滿足高峰需求,業務終端與業務伺服器之間建立安全路徑、重要網段配置ACL策略頻寬優先順序
訪問控制:防火牆,制定相應的ACL策略;防火牆配置配置包括:埠級的控制粒度,常見應用層協議命令過濾,會話控制,流量控制,連線數控制,防地址欺騙等策略;三級在配置防火牆裝置的策略時提出了更高的要求
安全審計:部署網路安全審計系統;部署網路安全審計系統部署日誌伺服器進行審計記錄的儲存;三級對審計日誌儲存提出更高要求,需要採用日誌伺服器進行審計記錄的儲存
邊界完整性檢查:部署終端安全管理系統,啟用非法外聯監控以及安全准入功能;部署終端安全管理系統,在進行非法外聯和安全准入檢測的同時要進行有效阻斷;三級相對2級要求在檢測的同時要進行有效阻斷
入侵防範:部署入侵檢測系統;部署入侵檢測系統配置入侵檢測系統的日誌模組;三級相對2級要求配置入侵檢測系統的日誌模組,記錄攻擊源IP、攻擊型別、攻擊目的、攻擊時間等相關資訊,並透過一定的方式進行告警
惡意程式碼防範:無要求;部署UTM或AV、IPS;三級系統 要求具備閘道器處惡意程式碼的檢測與清除,並定期升級惡意程式碼庫
網路裝置防護:配置網路裝置自身的身份鑑別與許可權控制;對主要網路裝置實施雙因素認證手段進身份鑑別;三級對登陸網路裝置的身份認證提出了更高要求,需要實施雙因素認證,裝置的管理員等特權使用者進行不同許可權等級的配置
主機安全
身份鑑別:對作業系統和資料庫系統配置高強度使用者名稱/口令啟用登陸失敗處理、傳輸加密等措施;對主機管理員登入時進行雙因素身份鑑別(USBkey+密碼);三級要求採用兩種或兩種以上組合的鑑別技術對管理使用者進行身份鑑別
訪問控制:根據基本要求進行主機訪問控制的配置;管理員進行分級許可權控制,重要設定訪問控制策略進行訪問控制;三級根據要求對管理員進行分級許可權控制,對重要資訊(檔案、資料庫等)進行標記
安全審計:部署主機審計系統;部署主機審計系統審計範圍擴大到重要客戶端;同時能夠生成審計報表;三級要求能將審計範圍擴大到重要客戶端;同時能夠生成審計報表
剩餘資訊保護:無要求;透過對作業系統及資料庫系統進行安全加固配置,及時清除剩餘資訊的儲存空間;三級要求對剩餘資訊進行保護,透過安全服務方式進行
入侵防範:部署網路入侵檢測系統部署終端安全管理系統;部署網路入侵檢測系統部署主機入侵檢測系統部署終端安全管理系統進行補丁及時分發;三級要求對重要伺服器進行入侵的行為,對重要程式進行程式碼審查,去除漏洞,配置主機入侵檢測以及終端管理軟體進行完整性檢測
惡意程式碼防範:部署終端防惡意程式碼軟體;部署終端防惡意程式碼軟體;三級要求終端防惡意程式碼軟體與邊界處的閘道器裝置進行異構部署
資源控制:部署應用安全管理系統進行資源監控;部署應用安全管理系統進行資源監控、檢測報警;三級要求透過安全加固,對重要伺服器進行監視,包括監視伺服器的CPU、硬碟、記憶體、網路等資源的使用情況,對系統服務相關閾值進行檢測告警
應用安全
身份鑑別:根據基本要求配置高強度使用者名稱/口令;進行雙因素認證或採用CA系統進行身份鑑別;三級根據要求進行雙因素認證或採用CA系統進行身份鑑別
訪問控制:根據基本要求提供訪問控制功能;透過安全加固措施制定嚴格使用者許可權策略,保證賬號、口令等符合安全策略;三級根據要求根據系統重要資源的標記以及定義的安全策略進行嚴格的訪問控制
安全審計:應用系統開發應用審計功能部署資料庫審計系統;應用系統開發應用審計功能部署資料庫審計系統;三級要求不僅生成審計記錄,還要對審計記錄資料進行統計、查詢、分析及生成審計報表
剩餘資訊保護:無要求;透過對作業系統及資料庫系統進行安全加固配置,及時清除剩餘資訊的儲存空間;二級無要求
通訊完整性:採用校驗碼技術保證通訊過程中資料的完整性;採用PKI體系中的完整性校驗功能進行完整性檢查,保障通訊完整性;三級要求密碼技術
通訊保密性:應用系統自身開發資料加密功能,採用VPN或PKI體系的加密功能;應用系統自身開發資料加密功能,採用VPN或PKI體系的加密功能保障通訊保密性;三級要求對整個報文或會話過程進行加密
抗抵賴:無要求;PKI系統;2級無要求
軟體容錯:程式碼稽核;程式碼稽核;三級根據要求系統具備自動保護功能設計,故障後可以恢復
資源控制:部署應用安全管理系統;部署應用安全管理系統;三級要求細化加固措施,對併發連線、資源配額、系統服務相關閾值、系統服務優先順序等進行限制和管理
資料安全
資料完整性:資料校驗傳輸採用VPN ;配置儲存系統傳輸採用VPN ;三級要求在傳輸過程增加對系統管理資料的檢測與恢復,配置儲存系統
資料保密性:應用系統針對鑑別資訊的儲存開發加密功能;應用系統針對儲存開發加密功能,利用VPN實現傳輸保密性;三級要求實現管理資料、鑑別資訊和重要業務資料傳輸過程的保密性
備份與恢復:重要資訊進行定期備份關鍵裝置線路冗餘;本地備份與異地備份關鍵裝置線路冗餘設計;三級要求進行每天資料備份且要求實現異地備份
希望對您有幫助。