保2.0二级三级要求对比.doc

SYSTEM INTEGRATION 物理位置选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应 电磁防护 本项要求包括： 本项要求包括： 本项要求包括： a) 机房应设置火 本项要求包括： a) 应在机房供电 a) 机房场地应选 本项要求包括： 灾自动消防系统 a) 应采取措施防 线路上配置稳 择在具有防震、 机房出入口应安 a) 应将设备或主 能够自动检测火 止雨水通过机房 应设置温湿度自 压器和过电压 防风和防雨等能 排专人值守或配 要部件进行固定 a)应将各类机柜、 情、自动报警， 窗户、屋顶和墙 a)应采用防静电地 动调节设施，使 防护设备； 电源线和通 信线 力的建筑内； 置电子门禁系统 并设置明显的不 设施和设备等通 并自 动灭火； 壁渗透； 板或地面并采用 机房温湿度的变 b) 应提供短期的 缆应隔离铺设， b) 机房场地应避 易除去的标识； 过接地系统安全 必要的接地防静 b) 应采取措施防 避免互相干扰。 免设在建筑物的 控制、鉴别和记 b) 应将通信线缆 接地。 b) 机房及相关的 电措施。 化在设备运行所 备用电力供应 顶层或地下室， 录进入的人员。 铺设在隐蔽安全 工作房间和辅助 止机房内水蒸气 允许的范围之内 至少满足设备 房应采用具有耐 结露和地下积水 在断电情况下 否则应加强防水 处 火等级的建筑材 的转移与渗透。 的正常运行要 和防潮措施。 料。 求。 机房出入口应配 c) 应设置机房防 b) 应采取措施防 c) 应对机房划分 c) 应安装对水敏 b) 应采取措施防 c) 应设置冗余或 置电子门禁系统 盗报警系统或设 止感应雷，例如区域进行管理， 感的检测仪表或止静电的产生， 并行的电力电缆 b) 应对关键设备 设置防雷保安器区域和区域之间 元件，对机房进例如采用静电消 控制、鉴别和记置有专人值守的 线路为计算机系 实施电磁屏蔽。 或过压保护装置设置隔离防火措 行防水检测和报除器、佩戴防静 录进入的人员。 视频监控系统。 统供电。 等 施。 警。 电手环等。 网络架构 通信传输 可信验证 本项要求包括： a) 应划分不同的网络区域，并按照方便管理和控制的原 可基于可信根对通信设备的系统引导程序、系统 二级 则为各网络区域分配地址； b) 应避免将重要网络区域部署在边界处，重应采用校验技术保证通信过程中数据的完整性。 程序等进行可信验证，并在检测到其可信性受到 要网络区域与其他网络区域之间应采取可靠的技术隔离手段 。 破坏后进行报警。 可基于可信根对通信设备的系统引导程序、系统 a) 应保证网络设备的业务处理能力满足业务高峰期需要；b) 应保证网络各 程序、重要配置参数和通信应用程序等进行可信 三级 个部分的带宽满足业务高峰期需要； e) 应提供通信线路、关键 b) 应采用密码技术保证通信过程中 数据 的保密性验证， 并在应用程序的关键执行环节进行动态可 网络设备和关键计算设备的硬件冗余，保证系统的可用性。 信验证，在检测到其可信性受到破坏后进行报警 并将验证结果形成审计记录送至安全管理中心。 边界防护 访问控制 入侵防范 恶意代码防范 安全审计 可信验证 本项要求包括： a) 应在 网 络边界或区域之间根据访 本项要求包括： a) 应在网 问控制策略设置访问控制 络边界、重要网络节点进 规则，默认情况下除允许 行安全审计，审计覆盖到 可基于可信根对边界设备 通信外受控接口拒绝所有 每个用户，对重要的用户 的系统引导程序、系统程 通信； b) 应删除多余或无 行为和重要安全事件进行 应在关键网络节点处对恶 序、重要配置参数和 边界 应保证跨越边界的访问和效的访问控制规则，优化 审计； b) 审计记录应包括 应在关键网络节点处监视 意代码进行检测和清除， 防护 应用程序等进行可信 二级 数据流通过边界设备提供访问控制列表，并保证访 事件的日期和时间、用户 网络攻击行为。 并维护恶意代码防护机制 验证，并在检测到其可信 的受控接口进行通信 问控制规则数量最小化； c 事件类型、事件是否成功 应对源地址、目的地址、 的升级和更新 及其他与审计相关的信 性受到破坏后进行报警， 并将验证结果形成审计记 源端口、目的端口和协议 息； c) 应对审计记录进行 录送至安全管理中心。 等进行检查，以允许/拒绝 保护，定期备份，避免受 数据包进出； d)应能根据 到未预期的删除、修改或 会话状态信息为进出数据 覆盖等 。 流提供明确的允许 a) 应在关键网络节点处检 测、防止或限制从外部发 b) 应能够对非授权设备私 起的网络攻击行为； b) 应 在关键网络节点处检测、 自联到内部网络的行为进 防止或限制从内部发起的 行 检查或限制 ；c) 应能够