网络安全等级保护2.0二级和三级等保比较.docx_等保2.0下强制访问控制技术二级与三级之间,三级与四级之间有什么区别资源-CSDN文库

网络安全等级保护

5星 · 超过95%的资源需积分: 50 88 浏览量 2020-06-30 13:58:18 上传评论收藏 57KB DOCX 举报

资源推荐

资源详情

资源评论

网络安全等级保护二级、三级要求比较

一、监管要求

《中华人民共和国网络安全法》

 第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全

等级保护制度的要求，履行下列安全保护义务；

 第三十一条：国家对公共通信和信息服务、医疗健康、能源、交通、水利、金

融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功

能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基

础设施，在网络安全等级保护制度的基础上，实行重点保护；

 第五十九条：网络运营者不履行本法第二十一条、第二十五条规定的网络安全

保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网

络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五

千元以上五万元以下罚款。

《刑法》

 第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定，向他人出售

或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或

者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

网络公安（网安）

 网络运营者需遵守当地网安监管，并遵循《网络安全法》，如发生相

应信息安全事件，网安有责任依照《网络安全法》要求进行处置；

 由于 2019 年发布实施的新版本《GB/T 22239-2019 信息安全技术网络

二、技术要求

技术要求项二级等保三级等保

网络

安全

结构

安全

与网

段划

分

1）网络设备的业务处理能

力应具备冗余空间，要

求满足业务高峰期需

要；

2）应设计和绘制与当前运

行情况相符的网络拓扑

结构图；

3）应根据机构业务的特

点，在满足业务高峰期

需要的基础上，合理设

计网络带宽；

4）应在业务终端与业务服

务器之间进行路由控

制，建立安全的访问路

径；

5）应根据各部门的工作职

能、重要性、所涉及信

息的重要程度等因素，

划分不同的子网或网

段，并按照方便管理和

控制的原则为各子网、

网段分配地址段；

6）重要网段应采取网络层

地址与数据链路层地址

绑定措施，防止地址欺

骗。

1）网络设备的业务处理能力应具备冗余

空间，要求满足业务高峰期需要；

2）应设计和绘制与当前运行情况相符的

网络拓扑结构图；

3）应根据机构业务的特点，在满足业务

高峰期需要的基础上，合理设计网络

带宽；

4）应在业务终端与业务服务器之间进行

路由控制建立安全的访问路径；

5）应根据各部门的工作职能、重要性、

所涉及信息的重要程度等因素，划分

不同的子网或网段，并按照方便管理

和控制的原则为各子网、网段分配地

址段；

6）重要网段应采取网络层地址与数据链

路层地址绑定措施，防止地址欺骗；

7）应按照对业务服务的重要次序来指定

带宽分配优先级别，保证在网络发生

拥堵的时候优先保护重要业务数据主

机。

网络

访问

控制

1）应能根据会话状态信息

（包括数据包的源地

址、目的地址、源端口

号、目的端口号、协

议、出入的接口、会话

序列号、发出信息的主

机名等信息，并应支持

地址通配符的使用），

为数据流提供明确的允

许/拒绝访问的能力。

1）应能根据会话状态信息（包括数据包

的源地址、目的地址、源端口号、目

的端口号、协议、出入的接口、会话

序列号、发出信息的主机名等信息，

并应支持地址通配符的使用），为数

据流提供明确的允许/ 拒绝访问的能

力；

2）应对进出网络的信息内容进行过滤，

实现对应用层

HTTP、FTP、TELNET、SMTP、POP

3 等协议命令级的控制；

3）应依据安全策略允许或者拒绝便携式

和移动式设备的网络接入；

4）应在会话处于非活跃一定时间或会话

技术要求项二级等保三级等保

结束后终止网络连接；

5）应限制网络最大流量数及网络连接

数。

拨号

访问

控制

1）应在基于安全属性的允

许远程用户对系统访问

的规则的基础上，对系

统所有资源允许或拒绝

用户进行访问，控制粒

度为单个用户；

2）应限制具有拨号访问权

限的用户数量。

1）应在基于安全属性的允许远程用户对

系统访问的规则的基础上，对系统所

有资源允许或拒绝用户进行访问，控

制粒度为单个用户；

2）应限制具有拨号访问权限的用户数

量；

3）应按用户和系统之间的允许访问规

则，决定允许用户对受控系统进行资

源访问。

网络

安全

审计

1）应对网络系统中的网络

设备运行状况、网络流

量、用户行为等事件进

行日志记录；

2）对于每一个事件，其审

计记录应包括：事件的

日期和时间、用户、事

件类型、事件是否成

功，及其他与审计相关

的信息。

1）应对网络系统中的网络设备运行状

况、网络流量、用户行为等进行全面

的监测、记录；

2）对于每一个事件，其审计记录应包

括：事件的日期和时间、用户、事件

类型、事件是否成功，及其他与审计

相关的信息；

3）安全审计应可以根据记录数据进行分

析，并生成审计报表；

4）安全审计应可以对特定事件，提供指

定方式的实时报警；

5）审计记录应受到保护避免受到未预期

的删除、修改或覆盖等。

边界

完整

性检

查

1）应能够检测内部网络中

出现的内部用户未通过

准许私自联到外部网络

的行为（即“非法外联”

行为）。

1）应能够检测内部网络中出现的内部用

户未通过准许私自联到外部网络的行

为（即“非法外联”行为）；

2）应能够对非授权设备私自联到网络的

行为进行检查，并准确定出位置，对

其进行有效阻断；

技术要求项二级等保三级等保

3）应能够对内部网络用户私自联到外部

网络的行为进行检测后准确定出位

置，并对其进行有效阻断。

网络

入侵

防范

1）应在网络边界处监视以

下攻击行为：端口扫

描、强力攻击、木马后

门攻击、拒绝服务攻

击、缓冲区溢出攻

击、IP 碎片攻击、网络

蠕虫攻击等入侵事件的

发生。

1）应在网络边界处应监视以下攻击行

为：端口扫描、强力攻击、木马后门

攻击、拒绝服务攻击、缓冲区溢出攻

击、IP 碎片攻击、网络蠕虫攻击等入

侵事件的发生；

2）当检测到入侵事件时，应记录入侵的

源 IP、攻击的类型、攻击的目的、攻

击的时间，并在发生严重入侵事件时

提供报警。

恶意

代码

防范

1）应在网络边界及核心业

务网段处对恶意代码进

行检测和清除；

2）应维护恶意代码库的升

级和检测系统的更新；

3）应支持恶意代码防范的

统一管理。

1）应在网络边界及核心业务网段处对恶

意代码进行检测和清除；

2）应维护恶意代码库的升级和检测系统

的更新；

3）应支持恶意代码防范的统一管理。

网络

设备

防护

1）应对登录网络设备的用

户进行身份鉴别；

2）应对网络设备的管理员

登录地址进行限制；

3）网络设备用户的标识应

唯一；

4）身份鉴别信息应具有不

易被冒用的特点，例如

口令长度、复杂性和定

期的更新等；

5）应具有登录失败处理功

能，如：结束会话、限

制非法登录次数，当网

络登录连接超时，自动

退出。

1）应对登录网络设备的用户进行身份鉴

别；

2）应对网络上的对等实体进行身份鉴

别；

3）应对网络设备的管理员登录地址进行

限制；

4）网络设备用户的标识应唯一；

5）身份鉴别信息应具有不易被冒用的特

点，例如口令长度、复杂性和定期的

更新等；

6）应对同一用户选择两种或两种以上组

合的鉴别技术来进行身份鉴别；

剩余27页未读，继续阅读

评论收藏

内容反馈

gao42838

2021-10-12

不错，这个很有用，很详细

信息安全-Jason

粉丝: 65
资源: 9

网络安全等级保护2.0二级和三级等保比较.docx

三级等保系统等保2.0整体建设方案、网络安全等级保护方案.docx

网络安全等级保护(等保2.0)3级建设内容设计方案.docx

2022网络安全等级保护2.0,等级保护3.0合集,金融行业等保 共38份

信息系统安全等级保护二级与三级的差别

等保2.0安全通用要求一级二级三级四级测评项对比表.xlsx

等级保护三级（2.0与1.0）对比分析表.xlsx

等保2.0 等级保护基本要求--三级--22239-2019

等护2.0基本要求-二级三级对比表.docx

安全等级保护2级和3级等保要求

测评标准一级二级三级差异.pdf

等保2.0-VS-等保1.0(三级)对比.pdf

等保二三级差异

等保2.0VS等保1.0(三级)对比.pdf

网络安全等级保护2.0,3.0,金融行业等保

等保2.0 二级和三级配置及拓扑图.doc

等保2.0VS1.0对比（三级）

网络安全等级保护建设方案（等保三级）

网络安全等级保护-等保2.0-等保三级测评：设备和计算安全-测评表模板

网络安全等级保护 2.0-实践 与 探索-顾炳中.pdf

网络安全等级等级保护2.0-通用

网络安全等级保护-等保2.0-等保三级测评：应用和数据安全-测评表模板

等保2.0和等保1.0三级要求详细对比分析.docx

安全等级保护2级和3级等保要求-蓝色为区别

等保2.0 二级和三级的拓扑图怎么画必须买哪些安全设备.docx

网络安全政策法规与标准汇编（无水印版等保2.0基本要求+网络安全法+关键信息基础设施安全保护条例）.zip

等级保护2.0

等保三级2.0与1.0对比.xlsx

信息系统安全等级保护基本要求汇总（1级、2级、3级）思维导图

等保2.0标准三级要求及测评检查要点.xlsx

二级和三级等级保护服务清单

最新资源

2022网络安全等级保护2.0,等级保护3.0合集,金融行业等保共38份

网络安全等级保护 2.0-实践与探索-顾炳中.pdf