【正文】 精選資料二級(jí)、三級(jí)等級(jí)保護(hù)要求比較一、 技術(shù)要求技術(shù)要求項(xiàng)二級(jí)等保三級(jí)等保物理安全物理位置的選擇1） 機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。1） 機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；2） 機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁； 3） 機(jī)房場(chǎng)地應(yīng)當(dāng)避開強(qiáng)電場(chǎng)、強(qiáng)磁場(chǎng)、強(qiáng)震動(dòng)源、強(qiáng)噪聲源、重度環(huán)境污染、易發(fā)生火災(zāi)、水災(zāi)、易遭受雷擊的地區(qū)。物理訪問(wèn)控制1） 機(jī)房出入口應(yīng)有專人值守，鑒別進(jìn)入的人員身份并登記在案；2） 應(yīng)批準(zhǔn)進(jìn)入機(jī)房的來(lái)訪人員，限制和監(jiān)控其活動(dòng)范圍。1） 機(jī)房出入口應(yīng)有專人值守，鑒別進(jìn)入的人員身份并登記在案；2） 應(yīng)批準(zhǔn)進(jìn)入機(jī)房的來(lái)訪人員，限制和監(jiān)控其活動(dòng)范圍；3） 應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過(guò)度區(qū)域；4） 應(yīng)對(duì)重要區(qū)域配置電子門禁系統(tǒng)，鑒別和記錄進(jìn)入的人員身份并監(jiān)控其活動(dòng)。防盜竊和防破壞1） 應(yīng)將主要設(shè)備放置在物理受限的范圍內(nèi)；2） 應(yīng)對(duì)設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；3） 應(yīng)將通信線纜鋪設(shè)在隱蔽處，如鋪設(shè)在地下或管道中等；4） 應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中；5） 應(yīng)安裝必要的防盜報(bào)警設(shè)施，以防進(jìn)入機(jī)房的盜竊和破壞行為。1） 應(yīng)將主要設(shè)備放置在物理受限的范圍內(nèi)；2） 應(yīng)對(duì)設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的無(wú)法除去的標(biāo)記；3） 應(yīng)將通信線纜鋪設(shè)在隱蔽處，如鋪設(shè)在地下或管道中等；4） 應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中；5） 設(shè)備或存儲(chǔ)介質(zhì)攜帶出工作環(huán)境時(shí)，應(yīng)受到監(jiān)控和內(nèi)容加密；6） 應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房的防盜報(bào)警系統(tǒng)，以防進(jìn)入機(jī)房的盜竊和破壞行為；7） 應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。防雷擊1） 機(jī)房建筑應(yīng)設(shè)置避雷裝置；2） 應(yīng)設(shè)置交流電源地線。1） 機(jī)房建筑應(yīng)設(shè)置避雷裝置；2） 應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；3） 應(yīng)設(shè)置交流電源地線。防火1） 應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)，并保持滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)的良好狀態(tài)。1） 應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；2） 機(jī)房及相關(guān)的工作房間和輔助房，其建筑材料應(yīng)具有耐火等級(jí)；3） 機(jī)房采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。防水和防潮1） 水管安裝，不得穿過(guò)屋頂和活動(dòng)地板下；2） 應(yīng)對(duì)穿過(guò)墻壁和樓板的水管增加必要的保護(hù)措施，如設(shè)置套管；3） 應(yīng)采取措施防止雨水通過(guò)屋頂和墻壁滲透；4） 應(yīng)采取措施防止室內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。1） 水管安裝，不得穿過(guò)屋頂和活動(dòng)地板下；2） 應(yīng)對(duì)穿過(guò)墻壁和樓板的水管增加必要的保護(hù)措施，如設(shè)置套管；3） 應(yīng)采取措施防止雨水通過(guò)屋頂和墻壁滲透；4） 應(yīng)采取措施防止室內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。防靜電1） 應(yīng)采用必要的接地等防靜電措施1） 應(yīng)采用必要的接地等防靜電措施；2） 應(yīng)采用防靜電地板。溫濕度控制1） 應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。1） 應(yīng)設(shè)置恒溫恒濕系統(tǒng)，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。電力供應(yīng)1） 計(jì)算機(jī)系統(tǒng)供電應(yīng)與其他供電分開；2） 應(yīng)設(shè)置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；3） 應(yīng)提供短期的備用電力供應(yīng)（如UPS設(shè)備）。1） 計(jì)算機(jī)系統(tǒng)供電應(yīng)與其他供電分開；2） 應(yīng)設(shè)置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；3） 應(yīng)提供短期的備用電力供應(yīng)（如UPS設(shè)備）；4） 應(yīng)設(shè)置冗余或并行的電力電纜線路；5） 應(yīng)建立備用供電系統(tǒng)（如備用發(fā)電機(jī)），以備常用供電系統(tǒng)停電時(shí)啟用。電磁防護(hù)1） 應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；2） 電源線和通信線纜應(yīng)隔離，避免互相干擾。1） 應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；2） 電源線和通信線纜應(yīng)隔離，避免互相干擾；3） 對(duì)重要設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。網(wǎng)絡(luò)安全結(jié)構(gòu)安全與網(wǎng)段劃分1） 網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力應(yīng)具備冗余空間，要求滿足業(yè)務(wù)高峰期需要；2） 應(yīng)設(shè)計(jì)和繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖； 3） 應(yīng)根據(jù)機(jī)構(gòu)業(yè)務(wù)的特點(diǎn)，在滿足業(yè)務(wù)高峰期需要的基礎(chǔ)上，合理設(shè)計(jì)網(wǎng)絡(luò)帶寬；4） 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制，建立安全的訪問(wèn)路徑；5） 應(yīng)根據(jù)各部門的工作職能、重要性、所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；6） 重要網(wǎng)段應(yīng)采取網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址綁定措施，防止地址欺騙。1） 網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力應(yīng)具備冗余空間，要求滿足業(yè)務(wù)高峰期需要；2） 應(yīng)設(shè)計(jì)和繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；3） 應(yīng)根據(jù)機(jī)構(gòu)業(yè)務(wù)的特點(diǎn)，在滿足業(yè)務(wù)高峰期需要的基礎(chǔ)上，合理設(shè)計(jì)網(wǎng)絡(luò)帶寬；4） 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑；5） 應(yīng)根據(jù)各部門的工作職能、重要性、所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；6） 重要網(wǎng)段應(yīng)采取網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址綁定措施，防止地址欺騙；7） 應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要業(yè)務(wù)數(shù)據(jù)主機(jī)。網(wǎng)絡(luò)訪問(wèn)控制1） 應(yīng)能根據(jù)會(huì)話狀態(tài)信息（包括數(shù)據(jù)包的源地址、目的地址、源端口號(hào)、目的端口號(hào)、協(xié)議、出入的接口、會(huì)話序列號(hào)、發(fā)出信息的主機(jī)名等信息，并應(yīng)支持地址通配符的使用），為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力。1） 應(yīng)能根據(jù)會(huì)話狀態(tài)信息（包括數(shù)據(jù)包的源地址、目的地址、源端口號(hào)、目的端口號(hào)、協(xié)議、出入的接口、會(huì)話序列號(hào)、發(fā)出信息的主機(jī)名等信息，并應(yīng)支持地址通配符的使用），為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力；2） 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；3） 應(yīng)依據(jù)安全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入；4） 應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；5） 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。撥號(hào)訪問(wèn)控制1） 應(yīng)在基于安全屬性的允許遠(yuǎn)程用戶對(duì)系統(tǒng)訪問(wèn)的規(guī)則的基礎(chǔ)上，對(duì)系統(tǒng)所有資源允許或拒絕用戶進(jìn)行訪問(wèn)，控制粒度為單個(gè)用戶；2） 應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。1） 應(yīng)在基于安全屬性的允許遠(yuǎn)程用戶對(duì)系統(tǒng)訪問(wèn)的規(guī)則的基礎(chǔ)上，對(duì)系統(tǒng)所有資源允許或拒絕用戶進(jìn)行訪問(wèn)，控制粒度為單個(gè)用戶；2） 應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量；3） 應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)。網(wǎng)絡(luò)安全審計(jì)1） 應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等事件進(jìn)行日志記錄；2） 對(duì)于每一個(gè)事件，其審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功，及其他與審計(jì)相關(guān)的信息。1） 應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行全面的監(jiān)測(cè)、記錄；2） 對(duì)于每一個(gè)事件，其審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功，及其他與審計(jì)相關(guān)的信息；3） 安全審計(jì)應(yīng)可以根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；4） 安全審計(jì)應(yīng)可以對(duì)特定事件，提供指定方式的實(shí)時(shí)報(bào)警；5） 審計(jì)記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等。邊界完整性檢查1） 應(yīng)能夠檢測(cè)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為（即“非法外聯(lián)”行為）。1） 應(yīng)能夠檢測(cè)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為（即“非法外聯(lián)”行為）；2） 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到網(wǎng)絡(luò)的行為進(jìn)行檢查，并準(zhǔn)確定出位置，對(duì)其進(jìn)行有效阻斷；3） 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢測(cè)后準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。網(wǎng)絡(luò)入侵防范1） 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等入侵事件的發(fā)生。1） 應(yīng)在網(wǎng)絡(luò)邊界處應(yīng)監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等入侵事件的發(fā)生；2） 當(dāng)檢測(cè)到入侵事件時(shí)，應(yīng)記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。惡意代碼防范1） 應(yīng)在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；2） 應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新；3） 應(yīng)支持惡意代碼防范的統(tǒng)一管理。1） 應(yīng)在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；2） 應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新；3） 應(yīng)支持惡意代碼防范的統(tǒng)一管理。網(wǎng)絡(luò)設(shè)備防護(hù)1） 應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；2） 應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；3） 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；4） 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，例如口令長(zhǎng)度、復(fù)雜性和定期的更新等；5） 應(yīng)具有登錄失敗處理功能，如：結(jié)束會(huì)話、限制非法登錄次數(shù)，當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)，自動(dòng)退出。1） 應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；2） 應(yīng)對(duì)網(wǎng)絡(luò)上的對(duì)等實(shí)體進(jìn)行身份鑒別；3） 應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；4） 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；5） 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，例如口令長(zhǎng)度、復(fù)雜性和定期的更新等；6） 應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；7） 應(yīng)具有登錄失敗處理功能，如：結(jié)束會(huì)話、限制非法登錄次數(shù)，當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)，自動(dòng)退出；8） 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離，例如將管理與審計(jì)的權(quán)限分配給不同的網(wǎng)絡(luò)設(shè)備用戶。主機(jī)系統(tǒng)安全身份鑒別1） 操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)用戶的身份標(biāo)識(shí)應(yīng)具有唯一性；2） 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；3） 操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，例如口令長(zhǎng)度、復(fù)雜性和定期的更新等；4） 應(yīng)具有登錄失敗處理功能，如：結(jié)束會(huì)話、限制非法登錄次數(shù)，當(dāng)?shù)卿涍B接超時(shí)，自動(dòng)退出。1） 操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)用戶的身份標(biāo)識(shí)應(yīng)具有唯一性；2） 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；3） 應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；4） 操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)用戶的身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，例如口令長(zhǎng)度、復(fù)雜性和定期的更新等；5） 應(yīng)具有登錄失敗處理功能，如：結(jié)束會(huì)話、限制非法登錄次數(shù)，當(dāng)?shù)卿涍B接超時(shí)，自動(dòng)退出；6） 應(yīng)具有鑒別警示功能；7） 重要的主機(jī)系統(tǒng)應(yīng)對(duì)與之相連的服務(wù)器或終端設(shè)備進(jìn)行身份標(biāo)識(shí)和鑒別。自主訪問(wèn)控制1） 應(yīng)依據(jù)安全策略控制主體對(duì)客體的訪問(wèn)；2） 自主訪問(wèn)控制的覆蓋范圍應(yīng)包括與信息安全直接相關(guān)的主體、客體及它們之間的操作；3） 自主訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)；4） 應(yīng)由授權(quán)主體設(shè)置對(duì)客體訪問(wèn)和操作的權(quán)限；5） 應(yīng)嚴(yán)格限制默認(rèn)用戶的訪問(wèn)權(quán)限。1） 應(yīng)