声明:文章系本平台原创,未经授权请勿转载或其他非法使用,包括恶意投诉等;否则我们将保留采取法律措施的权利。
本文参考了《T/ISEAA 001-2020 网络安全等级保护测评高风险判定指引》,整理出了等保三级、二级所需产品和要求。研发或运维人员通过该表可直观了解自己的系统与等保要求存在的差距,并做出相应整改。
等保技术交流群加入
范围检测项三级要求二级要求
安全物理环境机房出入口访问控制措施机房需有电子门禁和记录进出人员机房需有电子门禁和记录进出人员
机房防盗措施应配防盗报警系统或视频监控 不要求
机房防火措施应配自动消防系统或视频监控+灭火器应配自动消防系统或视频监控+灭火器
机房短期备用电力供应措施应配UPS或柴油发电机应配UPS或柴油发电机
云计算基础设施物理位置不当所有机房设备应在中国境内所有机房设备应在中国境内
安全通信网络网络设备业务处理能力不足设备、带宽处理能力不高于80%,且核心网络(路由器、防火墙)满足高可用 不要求
网络区域划分不当生产和办公网络应该区域隔离生产和办公网络应该区域隔离
网络边界访问控制设备不可控服务器/数据库/设备应配置访问策略服务器/数据库/设备应配置访问策略
重要网络区域边界访问控制措施缺失网络区域划分,如ACL网络区域划分,如ACL
关键线路和设备冗余措施缺失线路/交换机需双机热备
云计算平台等级低于承载业务系统等级云平台等保不低于业务系统等保云平台等保不低于业务系统等保
重要数据传输完整性保护措施缺失校验或密码保障数据传输完整 不要求
重要数据明文传输数据加密传输
安全区域边界无线网络管控措施缺失例办公人员接入无线网络时需要使用802.x认证,Office和gest网络隔离 不要求
重要网络区域边界访问控制配置不当区域之间需配置访问策略,如办公网任意终端可访问服务器区域之间需配置访问策略,如办公网任意终端可访问服务器
外部网络攻击防御措施缺失需部署IPS、WAF、态势感知或者DDOS防御需部署IPS、WAF、态势感知或者DDOS防御
内部网络攻击防御措施缺失防止内部服务器发起的网络攻击,需部署态势感知、IPS、HIDS 不要求
恶意代码防范措施缺失服务器和网络要部署恶意代码检测清除产品服务器和网络要部署恶意代码检测清除产品
网络安全审计措施缺失服务器、网络设备需记录用户行为和安全事件服务器、网络设备需记录用户行为和安全事件
安全计算环境1设备/系统存在弱口令或相同口令设备/主机/数据库不可存在弱口令设备/主机/数据库不可存在弱口令
设备鉴别信息防窃听措施缺失设备/主机登录信息需在传输中加密设备/主机登录信息需在传输中加密
设备未采用多种身份鉴别技术网络设备/关键主机需实现双因素认证 不要求
设备默认口令未更改需删除默认账户和修改默认口令需删除默认账户和修改默认口令
设备安全审计措施缺失对重要用户行为和安全事件进行审计(日志记录)对重要用户行为和安全事件进行审计(日志记录)
设备审计记录不满足保护要求关键设备/主机审计日志保留不低于6个月关键设备/主机审计日志保留不低于6个月
设备开启多余的服务、高危端口业务使用之外的端口需关闭业务使用之外的端口需关闭
设备终端限制措施缺失终端需vpn登录或者使用ip白名单终端需vpn登录或者使用ip白名单
互联网设备存在已知高危漏洞需修复设备、服务器的高危漏洞需修复设备、服务器的高危漏洞
内网设备存在可被利用的高危漏洞内部设备不能存在提权、远程代码执行漏洞内部设备不能存在提权、远程代码执行漏洞
恶意代码防范措施缺失主机和网络需部署恶意代码检测清除产品主机和网络需部署恶意代码检测清除产品
安全计算环境2应用系统口令策略缺失需满足复杂性密码策略需满足复杂性密码策略
应用系统存在弱口令不允许出现弱口令不允许出现弱口令
应用系统口令暴力破解防范机制缺失需有图形验证码或者访问频率限制功能需有图形验证码或者访问频率限制功能
应用系统鉴别信息明文传输登录信息传输过程需加密登录信息传输过程需加密
应用系统未采用多种身份鉴别技术需具备口令、密码、生物技术等两种身份鉴别登录(双因素认证) 不要求
应用系统默认口令未更改重命名或删除默认账户,修改默认口令重命名或删除默认账户,修改默认口令
应用系统访问控制机制存在缺陷避免未授权、越权访问系统避免未授权、越权访问系统
应用系统安全审计措施缺失可审计到每个用户的操作行为可审计到每个用户的操作行为
应用系统审计记录不满足保护要求业务操作、安全类日志不低于6个月留存业务操作、安全类日志不低于6个月留存
应用系统数据有效性检验功能缺失应使用WEB防火墙防止SQL注入、跨站漏洞应使用WEB防火墙防止SQL注入、跨站漏洞
应用系统存在可被利用的高危漏洞不能存在已知高危漏洞不能存在已知高危漏洞
数据安全重要数据传输完整性保护措施缺失应用采用密码或校验技术保证数据通信完整应用采用密码或校验技术保证数据通信完整
重要数据明文传输数据加密传输数据加密传输
重要数据存储保密性保护措施缺失数据存储时加密 不要求
缺少数据备份措施需定期本地数据备份和恢复需定期本地数据备份和恢复
缺少异地数据备份措施需异地实时数据备份
数据处理系统冗余措施缺失服务器/数据库需满足双机热备 不要求
鉴别信息释放措施失效确保已删除的用户不存在未授权访问数据确保已删除的用户不存在未授权访问数据
敏感数据释放措施失效确保敏感数据删除有效,防止数据泄露 不要求
违规采集和存储个人信息禁止在未授权情况下违规采集存储个人信息禁止在未授权情况下违规采集存储个人信息
违规访问和使用个人信息禁止未授权访问和非法使用个人信息禁止未授权访问和非法使用个人信息
云服务客户数据和用户个人信息违规出境数据需存储中国境内数据需存储中国境内
安全管理中心运行监控措施缺失需对设备/链路/服务器/业务进行状态监控 不要求
审计记录存储时间不满足要求审计日志集中存储且不低于6个月 不要求
安全事件发现处置措施缺失确保网络攻击、恶意代码入侵做到自动安全监控报警 不要求
安全管理制度和机构管理制度缺失需建立各类安全管理制度需建立各类安全管理制度
未建立网络安全领导小组需成立网络安全小组不要求
安全管理人员未开展安全意识和安全技能培训需定期开展安全教育和培训需定期开展安全教育和培训
外部人员接入网络管理措施缺失外部人员接入受控网络需书面申请外部人员接入受控网络需书面申请
安全建设管理违规采购和使用网络安全产品采购安全产品需符合国家规定 不要求
外包开发代码审计措施缺失需做代码安全审查 不要求
上线前未开展安全测试上线前需做渗透测试 不要求
安全运维管理
完整版下载请加文章首部微信
等保咨询、pdf版本下载联系微信