技术要求项 二级等保 动退出; 三级等保 6) 应具有鉴别警示功能; 7) 应用系统应及时清除存储空间中动态使用的鉴别信息。 访问1) 应依据安全策略控制用户对客体的访问; 1) 应依据安全策略控制用户对客体的访问; 2) 自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作; 3) 自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级; 4) 应由授权主体设置用户对系统功能操作和对数据访问的权限; 5) 应实现应用系统特权用户的权限分离,例如将管理与审计的权限分配给不同的应用系统用户; 6) 权限分离应采用最小授权原则,分别授予不同用户各自为完成自己承担任务所需的最小权限,并在它们之间形成相互制约的关系; 7) 应严格限制默认用户的访问权限。 安全1) 安全审计应覆盖到应用系统的每个用户; 1) 安全审计应覆盖到应用系统的每个用户; 2) 安全审计应记录应用系统重要的安全相关事件,包括重要用户行为、系统资源的异常使用和重要系统功能的执行等; 3) 安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等; 4) 安全审计应可以根据记录数据进行分析,并生成审计报表; 5) 安全审计应可以对特定事件,提供指定方控制 2) 自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作; 3) 自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级; 4) 应由授权主体设置用户对系统功能操作和对数据访问的权限; 5) 应实现应用系统特权用户的权限分离,例如将管理与审计的权限分配给不同的应用系统用户; 6) 权限分离应采用最小授权原则,分别授予不同用户各自为完成自己承担任务所需的最小权限,并在它们之间形成相互制约的关系; 7) 应严格限制默认用户的访问权限。 审计 2) 安全审计应记录应用系统重要的安全相关事件,包括重要用户行为和重要系统功能的执行等; 3) 安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等; 4) 审计记录应受到保护避免受到未预期的删除、修改或覆盖等。 技术要求项 二级等保 三级等保 式的实时报警; 6) 审计进程应受到保护避免受到未预期的中断; 7) 审计记录应受到保护避免受到未预期的删除、修改或覆盖等。 剩余信息保护 1) 应保证用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中; 2) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。 1) 应保证用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中; 2) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。 通信完整性 抗抵赖 1) 通信双方应约定单向的校验码算法,计算通信数据报文的校验码,在进行通信时,双方根据校验码判断对方报文的有效性。 无 1) 通信双方应约定密码算法,计算通信数据报文的报文验证码,在进行通信时,双方根据校验码判断对方报文的有效性。 1) 应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能; 2) 应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 通信保密性 1) 当通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话; 2) 在通信双方建立连接之前,利用密码技术进行会话初始化验证; 3) 在通信过程中,应对敏感信息字段进行加密。 1) 当通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话; 2) 在通信双方建立连接之前,利用密码技术进行会话初始化验证; 3) 在通信过程中,应对整个报文或会话过程进行加密; 4) 应选用符合国家有关部门要求的密码算法。 软件容错 1) 应对通过人机接口输入或通过通信接口输入的数据进行有效性检验; 2) 应对通过人机接口方式进行的操作提供“回退”功能,即允许按照操作的序列进行回1) 应对通过人机接口输入或通过通信接口输入的数据进行有效性检验; 2) 应对通过人机接口方式进行的操作提供技术要求项 退; 二级等保 三级等保 “回退”功能,即允许按照操作的序列进行回退; 3) 应有状态监测能力,当故障发生时,能实时检测到故障状态并报警; 4) 应有自动保护能力,当故障发生时,自动保护当前所有状态。 3) 在故障发生时,应继续提供一部分功能,确保能够实施必要的措施。 资源1) 应限制单个用户的多重并发会话; 1) 应限制单个用户的多重并发会话; 2) 应对应用系统的最大并发会话连接数进行限制; 3) 应对一个时间段内可能的并发会话连接数进行限制; 4) 应根据安全策略设置登录终端的操作超时锁定和鉴别失败锁定,并规定解锁或终止方式; 5) 应禁止同一用户账号在同一时间内并发登录; 6) 应对一个访问用户或一个请求进程占用的资源分配最大限额和最小限额; 7) 应根据安全属性(用户身份、访问地址、时间范围等)允许或拒绝用户建立会话连接; 8) 当系统的服务水平降低到预先规定的最小值时,应能检测和报警; 9) 应根据安全策略设定主体的服务优先级,根据优先级分配系统资源,保证优先级低的主体处理能力不会影响到优先级高的主体的处理能力。 控制 2) 应对应用系统的最大并发会话连接数进行限制; 3) 应对一个时间段内可能的并发会话连接数进行限制。 代码1) 应对应用程序代码进行恶意代码扫描; 1) 应制定应用程序代码编写安全规范,要求开发人员参照规范编写代码; 2) 应对应用程序代码进行代码复审,识别可能存在的恶意代码; 安全 2) 应对应用程序代码进行安全脆弱性分析。 技术要求项 二级等保 三级等保 3) 应对应用程序代码进行安全脆弱性分析; 4) 应对应用程序代码进行穿透性测试。 数据安全 数据完整性 1) 应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏; 2) 应能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破坏。 1) 应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; 2) 应能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; 3) 应能够检测到重要程序的完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。 数据保密性 1) 网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性; 2) 网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他保护措施实现存储保密性; 3) 当使用便携式和移动式设备时,应加密或者采用可移动磁盘存储敏感信息。 1) 网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性; 2) 网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他保护措施实现存储保密性; 3) 当使用便携式和移动式设备时,应加密或者采用可移动磁盘存储敏感信息; 4) 用于特定业务通信的通信信道应符合相关的国家规定。 数据备份和恢复 1) 应提供自动机制对重要信息进行有选择的数据备份; 2) 应提供恢复重要信息的功能; 3) 应提供重要网络设备、通信线路和服务器的硬件冗余 1) 应提供自动机制对重要信息进行本地和异地备份; 2) 应提供恢复重要信息的功能; 3) 应提供重要网络设备、通信线路和服务器的硬件冗余; 技术要求项 二级等保 三级等保 4) 应提供重要业务系统的本地系统级热备份。 四、 管理要求
管理要求项 安全管理机构 岗位设置 二级等保 1) 应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责; 2) 应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责; 3) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 三级等保 1) 应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责; 2) 应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责; 3) 应成立指导和管理信息安全工作的委员会或领导小组,其最高领导应由单位主管领导委任或授权; 4) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 人员配备 1) 应配备一定数量的系统管理人员、网络管理人员、安全管理人员等; 2) 安全管理人员不能兼任网络管理员、系统管理员、数据库管理员等。 授权和审批 1) 应授权审批部门及批准人,对关键活动进行审批; 2) 应列表说明须审批的事项、审批部门和可批准人。 1) 应配备一定数量的系统管理人员、网络管理人员、安全管理人员等; 2) 应配备专职安全管理人员,不可兼任; 3) 关键岗位应定期轮岗。 1) 应授权审批部门及批准人,对关键活动进行审批; 2) 应列表说明须审批的事项、审批部门和可批准人; 3) 应建立各审批事项的审批程序,按照审批程序执行审批过程; 4) 应建立关键活动的双重审批制度; 5) 不再适用的权限应及时取消授权; 6) 应定期审查、更新需授权和审批的项目; 7) 应记录授权过程并保存授权文档。 沟通和合作 1) 应加强各类管理人员和组织内部机构之间的合作与沟通,定期或不定期召开协调会议,共同协助处理信息安全问题; 2) 信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议,协调安1) 应加强各类管理人员和组织内部机构之间的合作与沟通,定期或不定期召开协调会议,共同协助处理信息安全问题; 2) 信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议,协调安
安全生产安全等保二级三级保护细节比较
