最新等保2.0二、三级对比解读

分类控制点（L3）L2L3应对措施a)应保证网络设备的业务处理能力满足业务高峰期需要；a）依据业务需求进行网络设备选型,性能预留；b)应保证网络各个部分的带宽满足业务高峰期需要；b）依据业务需求设计传输链路，带宽预留，关键业务链路质量保障；a)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；c)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；c）网络分区分域设计；b)应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。d)应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段；d）按照业务重要程度及风险类型进行网络域划分，做好出口防护和边界隔离；e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。e）网络系统链路及设备冗余架构设计；应采用校验技术保证通信过程中数据的完整性。a)应采用校验技术或密码技术保证通信过程中数据的完整性；a）数据传输通信链路采用MD5，SHA校验算法；b)应采用密码技术保证通信过程中数据的保密性。b）数据传输通信链路采用加密传输技术8.1.2.3可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。选择具备可信机制的网络设备组网，并实现可信系统与安全管理中心的联动；应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；a）区域边界隔离控制，默认拒绝所有通信且根据IP五元组开启必要通信，对于WEB网站进行应用级防护；b)应能够对非授权设备私自联到内部网络的行为进行检查或限制；b）终端准入控制及资产识别；c)应能够对内部用户非授权联到外部网络的行为进行检查或限制；c）网络访问控制；d)应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。d）对无线网络进行统一管控，控制其对关键业务系统的访问，无线网络接入边界（汇聚与核心之间）部署必要的隔离控制手段；a)应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；a)应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；a）区域边界隔离控制，默认拒绝所有通信且根据IP五元组开启必要通信；b)应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；b)应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；b）防火墙策略策略优化（避免配置无效、冗余策略，优化匹配顺序）；c)应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；c)应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；c）配置基于IP五元组的防火墙策略，遵循最小化、精细化原则；d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力；d）配置防火墙会话状态检查，遵循最小化、精细化原则；e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。e）通过应用识别、内容识别功能实现进出流量访问控制；应在关键网络节点处监视网络攻击行为。a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；a）互联网出口或其他局点接入平台防护，具备检测防护能力；b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；b）区域边界隔离防护，具备检测防护能力；c)应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；c）部署结合情报系统的网络行为分析或者深层次建设设备；d)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。d）入侵防范设备选型是考量日志分析及预警能力，或者借助专业分析预警设备进行统一的分析展示；8.1.2安全通信网络8.1.3安全区域边界8.1.2.1网络架构8.1.2.2通信传输8.1.3.1边界防护8.1.3.2访问控制8.1.3.3入侵防范应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。a)应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；a）根据关键节点部位选在部署专用网络防病毒系统（设备），配置自动更新策略或者手动高频定期更新；b)应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。b）邮件服务器配置反垃圾机制并定期升级更新垃圾地址库或者在邮件服务器前端部署DLP进行内容识别检测，通关关键字定义匹配反垃圾邮件；a)应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；a)应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；a）通过日志归集分析或者专业的采集分析设备实现对单ip、单用户的流量分析审计，且能够实现流量标记及细粒度时间分析；b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；b）审计设备或者边界防护设备选型时考量日志细粒度分析能力；c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；c）边界防护设备选型时考量日志存储及转存能力，专业审计设备的存储空间需要满足日志归集存储的需求同时应具备转存能力；d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。d）通过用户群组定义对用户行为进行独立审计分析；8.1.3.6可信验证可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。选择具备可信机制的安全设备组网，并实现可信系统与安全管理中心的联动；a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；a）禁止设备无密登录，配置账户及密码策略；b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；b）配置设备登录失败或者登录超时处理机制；c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；c）禁用Telnet、RDP远程登录协议或者借助堡垒机进行主机管理；d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。d）设备身份鉴别采用多因素认证a)应对登录的用户分配账户和权限；a)应对登录的用户分配账户和权限；a）用户身份认证，禁止无密登录b)应重命名或删除默认账户，修改默认账户的默认口令；b)应重命名或删除默认账户，修改默认账户的默认口令；b）禁用默认账号c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；c）账号定期清理优化d)应授予管理用户所需的最小权限，实现管理用户的权限分离。d)应授予管理用户所需的最小权限，实现管理用户的权限分离；d）“三权分立”，遵循最小化权限分配原则e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；e）通过独立防火墙或者系统防火墙实现基于IP五元组的访问控制；f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；f）配置基于应用（数据库、文件系统等）的访问控制策略；g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。g）通过强制身份标记实现所有访问的控制（凝思）；a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；a）对服务器日志及告警信息等进行归集、分析并根据用户及事件等级等维度进行展示；b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；b）审计设备选型时考量日志细粒度分析能力；8.1.3.4恶意代码和垃圾邮件防范8.1.3.5安全审计8.1.4.1身份鉴别8.1.4.2访问控制8.1.4.3安全审计c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；c）审计设备的存储空间需要满足日志归集存储的需求同时应具备转存能力；d)应对审计进程进行保护，防止未经授权的中断。d）采用专业审计设备进行审计数据处理；a)应遵循最小安装的原则，仅安装需要的组件和应用程序；a)应遵循最小安装的原则，仅安装需要的组件和应用程序；a）不要安装非必要软件，用进程监控模块或者资产梳理模块进行管理；b)应关闭不需要的系统服务、默认共享和高危端口；b)应关闭不需要的系统服务、默认共享和高危端口；b）关闭不需要的系统服务、默认共享和高危端口，用进程监控模块或者资产梳理模块进行管理；c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；c）做好准入控制和资产管理（IP、设备），配置必要的防护策略，比如IP-MAC绑定等；d)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；d)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；d）业务系统开发设置相应的机制，主机及系统维护通过堡垒机做好审计；e)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。e)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；e）定期检查修改漏洞，高位漏洞及时修复；f)应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。f）关键主机深层次（进程、文件）监控和重要事件告警；8.1.4.5恶意代码防范应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。主机杀毒8.1.4.6可信验证可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在