声明：文章系本平台原创，未经授权请勿转载或其他非法使用，包括恶意投诉等；否则我们将保留采取法律措施的权利。本文参考了《T/ISEAA 001-2020 网络安全等级保护测评高风险判定指引》，整理出了等保三级、二级所需产品和要求。研发或运维人员通过该表可直观了解自己的系统与等保要求存在的差距，并做出相应整改。等保技术交流群加入范围检测项三级要求二级要求安全物理环境机房出入口访问控制措施机房需有电子门禁和记录进出人员机房需有电子门禁和记录进出人员机房防盗措施应配防盗报警系统或视频监控　不要求机房防火措施应配自动消防系统或视频监控+灭火器应配自动消防系统或视频监控+灭火器机房短期备用电力供应措施应配UPS或柴油发电机应配UPS或柴油发电机云计算基础设施物理位置不当所有机房设备应在中国境内所有机房设备应在中国境内安全通信网络网络设备业务处理能力不足设备、带宽处理能力不高于80%，且核心网络（路由器、防火墙）满足高可用　不要求网络区域划分不当生产和办公网络应该区域隔离生产和办公网络应该区域隔离网络边界访问控制设备不可控服务器/数据库/设备应配置访问策略服务器/数据库/设备应配置访问策略重要网络区域边界访问控制措施缺失网络区域划分，如ACL网络区域划分，如ACL关键线路和设备冗余措施缺失线路/交换机需双机热备云计算平台等级低于承载业务系统等级云平台等保不低于业务系统等保云平台等保不低于业务系统等保重要数据传输完整性保护措施缺失校验或密码保障数据传输完整　不要求重要数据明文传输数据加密传输安全区域边界无线网络管控措施缺失例办公人员接入无线网络时需要使用802.x认证，Office和gest网络隔离　不要求重要网络区域边界访问控制配置不当区域之间需配置访问策略，如办公网任意终端可访问服务器区域之间需配置访问策略，如办公网任意终端可访问服务器外部网络攻击防御措施缺失需部署IPS、WAF、态势感知或者DDOS防御需部署IPS、WAF、态势感知或者DDOS防御内部网络攻击防御措施缺失防止内部服务器发起的网络攻击，需部署态势感知、IPS、HIDS　不要求恶意代码防范措施缺失服务器和网络要部署恶意代码检测清除产品服务器和网络要部署恶意代码检测清除产品网络安全审计措施缺失服务器、网络设备需记录用户行为和安全事件服务器、网络设备需记录用户行为和安全事件安全计算环境1设备/系统存在弱口令或相同口令设备/主机/数据库不可存在弱口令设备/主机/数据库不可存在弱口令设备鉴别信息防窃听措施缺失设备/主机登录信息需在传输中加密设备/主机登录信息需在传输中加密设备未采用多种身份鉴别技术网络设备/关键主机需实现双因素认证　不要求设备默认口令未更改需删除默认账户和修改默认口令需删除默认账户和修改默认口令设备安全审计措施缺失对重要用户行为和安全事件进行审计（日志记录）对重要用户行为和安全事件进行审计（日志记录）设备审计记录不满足保护要求关键设备/主机审计日志保留不低于6个月关键设备/主机审计日志保留不低于6个月设备开启多余的服务、高危端口业务使用之外的端口需关闭业务使用之外的端口需关闭设备终端限制措施缺失终端需vpn登录或者使用ip白名单终端需vpn登录或者使用ip白名单互联网设备存在已知高危漏洞需修复设备、服务器的高危漏洞需修复设备、服务器的高危漏洞内网设备存在可被利用的高危漏洞内部设备不能存在提权、远程代码执行漏洞内部设备不能存在提权、远程代码执行漏洞恶意代码防范措施缺失主机和网络需部署恶意代码检测清除产品主机和网络需部署恶意代码检测清除产品安全计算环境2应用系统口令策略缺失需满足复杂性密码策略需满足复杂性密码策略应用系统存在弱口令不允许出现弱口令不允许出现弱口令应用系统口令暴力破解防范机制缺失需有图形验证码或者访问频率限制功能需有图形验证码或者访问频率限制功能应用系统鉴别信息明文传输登录信息传输过程需加密登录信息传输过程需加密应用系统未采用多种身份鉴别技术需具备口令、密码、生物技术等两种身份鉴别登录（双因素认证）　不要求应用系统默认口令未更改重命名或删除默认账户，修改默认口令重命名或删除默认账户，修改默认口令应用系统访问控制机制存在缺陷避免未授权、越权访问系统避免未授权、越权访问系统应用系统安全审计措施缺失可审计到每个用户的操作行为可审计到每个用户的操作行为应用系统审计记录不满足保护要求业务操作、安全类日志不低于6个月留存业务操作、安全类日志不低于6个月留存应用系统数据有效性检验功能缺失应使用WEB防火墙防止SQL注入、跨站漏洞应使用WEB防火墙防止SQL注入、跨站漏洞应用系统存在可被利用的高危漏洞不能存在已知高危漏洞不能存在已知高危漏洞数据安全重要数据传输完整性保护措施缺失应用采用密码或校验技术保证数据通信完整应用采用密码或校验技术保证数据通信完整重要数据明文传输数据加密传输数据加密传输重要数据存储保密性保护措施缺失数据存储时加密　不要求缺少数据备份措施需定期本地数据备份和恢复需定期本地数据备份和恢复缺少异地数据备份措施需异地实时数据备份数据处理系统冗余措施缺失服务器/数据库需满足双机热备　不要求鉴别信息释放措施失效确保已删除的用户不存在未授权访问数据确保已删除的用户不存在未授权访问数据敏感数据释放措施失效确保敏感数据删除有效，防止数据泄露　不要求违规采集和存储个人信息禁止在未授权情况下违规采集存储个人信息禁止在未授权情况下违规采集存储个人信息违规访问和使用个人信息禁止未授权访问和非法使用个人信息禁止未授权访问和非法使用个人信息云服务客户数据和用户个人信息违规出境数据需存储中国境内数据需存储中国境内安全管理中心运行监控措施缺失需对设备/链路/服务器/业务进行状态监控　不要求审计记录存储时间不满足要求审计日志集中存储且不低于6个月　不要求安全事件发现处置措施缺失确保网络攻击、恶意代码入侵做到自动安全监控报警　不要求安全管理制度和机构管理制度缺失需建立各类安全管理制度需建立各类安全管理制度未建立网络安全领导小组需成立网络安全小组不要求安全管理人员未开展安全意识和安全技能培训需定期开展安全教育和培训需定期开展安全教育和培训外部人员接入网络管理措施缺失外部人员接入受控网络需书面申请外部人员接入受控网络需书面申请安全建设管理违规采购和使用网络安全产品采购安全产品需符合国家规定　不要求外包开发代码审计措施缺失需做代码安全审查　不要求上线前未开展安全测试上线前需做渗透测试　不要求安全运维管理完整版下载请加文章首部微信等保咨询、pdf版本下载联系微信