2022年安全等保二级三级保护细节比较.docx

《2022年安全等保二级三级保护细节比较.docx》由会员分享，可在线阅读，更多相关《2022年安全等保二级三级保护细节比较.docx（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、安全等保二级、三级爱护细节比较一、 等级爱护总体示意图二、 二三级差距表达三、 技术细节比较技术要求项二级等保三级等保物理 物理安全 位置的挑选1） 机房和办公场地应挑选在具有防震、防风和防雨等才能的建筑内；1） 机房和办公场地应挑选在具有防震、防风和防雨等才能的建筑内；2） 机房场地应防止设在建筑物的高层或地下室，以及用水设备的下层或隔壁；技术要求项二级等保三级等保3） 机房场地应当躲开强电场、强磁场、强震惊源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区；物理拜访1）机房出入口应有专人值守，鉴别进入的人员身份并登记在案；1）机房出入口应有专人值守，鉴别进入的人员身份并登记在案

2、；掌握2）应批准进入机房的来访人员，限制和监控其活动范畴；2）应批准进入机房的来访人员，限制和监控其活动范畴；3）应对机房划分区域进行治理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过度区域；4）应对重要区域配置电子门禁系统，鉴别和记录进入的人员身份并监控其活动；防盗1）应将主要设备放置在物理受限的范畴内；1）应将主要设备放置在物理受限的范畴内；窃和防破2）应对设备或主要部件进行固定，并设置明显的不易除去的标记；2）应对设备或主要部件进行固定，并设置明显的无法除去的标记；坏3）应将通信线缆铺设在隐藏处，如铺设在地下或管道中等；3）应将通信线缆铺设在隐藏处，如铺设在地下或管道中

3、等；4）应对介质分类标识，储备在介质库或档案室中；4）应对介质分类标识，储备在介质库或档案室中；5）应安装必要的防盗报警设施，以防进入机房的盗窃和破坏行为；5）设备或储备介质携带出工作环境时，应受到监控和内容加密；6）应利用光、电等技术设置机房的防盗报警系统，以防进入机房的盗窃和破坏行为；7）应对机房设置监控报警系统；防雷1）机房建筑应设置避雷装置；1）机房建筑应设置避雷装置；击2）应设置沟通电源地线；2）应设置防雷保安器，防止感应雷；防火1）应设置灭火设备和火灾自动报警系统，并3）1）应设置沟通电源地线；应设置火灾自动消防系统，自动检测火情、保持灭火设备和火灾自动报警系统的良好自动报警，并自

4、动灭火；状态；2）机房及相关的工作房间和帮助房，其建筑材料应具有耐火等级；3）机房实行区域隔离防火措施，将重要设备与其他设备隔离开；防水1）水管安装，不得穿过屋顶和活动地板下；1）水管安装，不得穿过屋顶和活动地板下；技术要求项二级等保三级等保和防2）应对穿过墙壁和楼板的水管增加必要的保2）应对穿过墙壁和楼板的水管增加必要的保潮护措施，如设置套管；护措施，如设置套管；3）应实行措施防止雨水通过屋顶和墙壁渗3）应实行措施防止雨水通过屋顶和墙壁渗透；透；4）应实行措施防止室内水蒸气结露和地下积4）应实行措施防止室内水蒸气结露和地下积水的转移与渗透；水的转移与渗透；防静1）应采纳必要的接地等防静电措施

5、1）应采纳必要的接地等防静电措施；电2）应采纳防静电地板；温湿1）应设置温、湿度自动调剂设施，使机房温、1）应设置恒温恒湿系统，使机房温、湿度的度控湿度的变化在设备运行所答应的范畴之变化在设备运行所答应的范畴之内；制内；电力1）电脑系统供电应与其他供电分开；1）电脑系统供电应与其他供电分开；供应2）应设置稳压器和过电压防护设备；2）应设置稳压器和过电压防护设备；3）应供应短期的备用电力供应如UPS 设3）应供应短期的备用电力供应如UPS 设备；备；4）应设置冗余或并行的电力电缆线路；5）应建立备用供电系统如备用发电机，以备常用供电系统停电时启用；1）应采纳接地方式防止外界电磁干扰和设备1）应采

6、纳接地方式防止外界电磁干扰和设备电磁寄生耦合干扰；寄生耦合干扰；防护2）电源线和通信线缆应隔离，防止相互干扰；2）电源线和通信线缆应隔离，防止相互干扰；3）对重要设备和磁介质实施电磁屏蔽；网络结构1）网络设备的业务处理才能应具备冗余空1）网络设备的业务处理才能应具备冗余空安全安全间，要求满意业务高峰期需要；间，要求满意业务高峰期需要；与网2）应设计和绘制与当前运行情形相符的网络2）应设计和绘制与当前运行情形相符的网络段划拓扑结构图；拓扑结构图；分3）应依据机构业务的特点，在满意业务高峰期需要的基础上， 合理设计网络带宽；AC 、3）应依据机构业务的特点，在满意业务高峰期需要的基础上，合理设计网

7、络带宽；WOC 4）应在业务终端与业务服务器之间进行路由4）应在业务终端与业务服务器之间进行路由掌握建立安全的拜访路径；掌握，建立安全的拜访路径；5）应依据各部门的工作职能、重要性、所涉5）应依据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子及信息的重要程度等因素，划分不同的子网或网段，并依据便利治理和掌握的原就网或网段，并依据便利治理和掌握的原就为各子网、网段安排地址段；为各子网、网段安排地址段；6）重要网段应实行网络层地址与数据链路层技术要求项二级等保三级等保6） 重要网段应实行网络层地址与数据链路层地址绑定措施，防止地址欺诈；网络1） 应能依据会话状态信息包括数据包的

8、源拜访地址、目的地址、源端口号、目的端口号、掌握协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用，为数据流供应明确的答应/拒绝拜访的才能；AF 拨号 1） 应在基于安全属性的答应远程用户对系统拜访 拜访的规章的基础上，对系统全部资源允掌握 许或拒绝用户进行拜访，掌握粒度为单个用户；SSL2） 应限制具有拨号拜访权限的用户数量；网络 1） 应对网络系统中的网络设备运行状况、网安全 络流量、用户行为等大事进行日志记录； 审计 APM 、堡垒机2） 对于每一个大事，其审计记录应包括：大事的日期和时间、用户、大事类型、大事是否胜利，及其他与审计相关的信息； 堡垒机地址绑定

9、措施，防止地址欺诈；7） 应依据对业务服务的重要次序来指定带宽安排优先级别，保证在网络发生拥堵的时候优先爱护重要业务数据主机；AC 、AD 1） 应能依据会话状态信息包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用，为数据流供应明确的答应/拒绝拜访的才能；2） 应对进出网络的信息内容进行过滤，实现对应用层 HTTP 、FTP、TELNET 、SMTP 、POP3 等协议命令级的掌握； AF 3） 应依据安全策略答应或者拒绝便携式和移动式设备的网络接入； AC 4） 应在会话处于非活跃肯定时间或会话终止后终止网络连

10、接；5） 应限制网络最大流量数及网络连接数； AC 1） 应在基于安全属性的答应远程用户对系统拜访的规章的基础上，对系统全部资源答应或拒绝用户进行拜访，掌握粒度为单个用户；2） 应限制具有拨号拜访权限的用户数量；3） 应按用户和系统之间的答应拜访规章，打算答应用户对受控系统进行资源拜访； SSL1） 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行全面的监测、记录；2） 对于每一个大事，其审计记录应包括：大事的日期和时间、用户、大事类型、大事是否胜利，及其他与审计相关的信息；技术要求项二级等保三级等保3） 安全审计应可以依据记录数据进行分析， 并生成审计报表；4） 安全审计应可以对特

11、定大事，供应指定方式的实时报警；5） 审计记录应受到爱护防止受到未预期的删除、修改或掩盖等；边界1）应能够检测内部网络中显现的内部用户未完整通过准许私自联到外部网络的行为即“非性检查法外联 ”行为；AC 1） 应能够检测内部网络中显现的内部用户未通过准许私自联到外部网络的行为 即“非法外联”行为；2） 应能够对非授权设备私自联到网络的行为进行检查，并精确定出位置，对其进行有效阻断； AC3） 应能够对内部网络用户私自联到外部网络的行为进行检测后精确定出位置，并对其进行有效阻断； AC网络1） 应在网络边界处监视以下攻击行为：端口入侵扫描、强力攻击、木马后门攻击、拒绝服防范务攻击、缓冲区溢出攻击

12、、IP 碎片攻击、网络蠕虫攻击等入侵大事的发生；AF恶意1）应在网络边界及核心业务网段处对恶意代代码码进行检测和清除； AF防范2）应爱护恶意代码库的升级和检测系统的更新；AF 3） 应支持恶意代码防范的统一治理；AF1） 应在网络边界处应监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击、网络蠕虫攻击等入侵大事的发生；2） 当检测到入侵大事时，应记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严峻入侵大事时供应报警；AF1） 应在网络边界及核心业务网段处对恶意代码进行检测和清除；2） 应爱护恶意代码库的升级和检测系统的更新；3） 应

13、支持恶意代码防范的统一治理；网络1） 应对登录网络设备的用户进行身份鉴别； 设备堡垒机防护2） 应对网络设备的治理员登录地址进行限制；堡垒机1） 应对登录网络设备的用户进行身份鉴别；2） 应对网络上的对等实体进行身份鉴别；3） 应对网络设备的治理员登录地址进行限技术要求项二级等保三级等保3） 网络设备用户的标识应唯独；4） 身份鉴别信息应具有不易被冒用的特点， 例如口令长度、复杂性和定期的更新等；5） 应具有登录失败处理功能，如：终止会话、限制非法登录次数，当网络登录连接超时， 自动退出；制；4） 网络设备用户的标识应唯独；5） 身份鉴别信息应具有不易被冒用的特点， 例如口令长度、复杂性和定期

14、的更新等； 6） 应对同一用户挑选两种或两种以上组合的鉴别技术来进行身份鉴别；7） 应具有登录失败处理功能，如：终止会话、限制非法登录次数，当网络登录连接超时， 自动退出；8） 应实现设备特权用户的权限别离，例如将治理与审计的权限安排给不同的网络设备用户；主机身份系统鉴别安全1） 操作系统和数据库治理系统用户的身份标识应具有唯独性；2） 应对登录操作系统和数据库治理系统的用户进行身份标识和鉴别；3） 操作系统和数据库治理系统身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等；4） 应具有登录失败处理功能，如：终止会话、限制非法登录次数，当登录连接超时，自 动退出；1） 操作

15、系统和数据库治理系统用户的身份标识应具有唯独性；2） 应对登录操作系统和数据库治理系统的用户进行身份标识和鉴别；3） 应对同一用户采纳两种或两种以上组合的鉴别技术实现用户身份鉴别；4） 操作系统和数据库治理系统用户的身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等；5） 应具有登录失败处理功能，如：终止会话、限制非法登录次数，当登录连接超时，自动退出；6） 应具有鉴别警示功能；7） 重要的主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别；自主1）应依据安全策略掌握主体对客体的拜访；拜访2）自主拜访掌握的掩盖范畴应包括与信息安掌握全直接相关的主体、客体及它们之间的操

16、作；1） 应依据安全策略掌握主体对客体的拜访；2） 自主拜访掌握的掩盖范畴应包括与信息安全直接相关的主体、客体及它们之间的操技术要求项二级等保三级等保3） 自主拜访掌握的粒度应到达主体为用户级，客体为文件、数据库表级；4） 应由授权主体设置对客体拜访和操作的权限；5） 应严格限制默认用户的拜访权限；作；3） 自主拜访掌握的粒度应到达主体为用户级，客体为文件、数据库表级；4） 应由授权主体设置对客体拜访和操作的权限；5） 权限别离应采纳最小授权原就，分别授予不同用户各自为完成自己承担任务所需的最小权限，并在他们之间形成相互制约的关系；6） 应实现操作系统和数据库治理系统特权用户的权限别离；7）

17、应严格限制默认用户的拜访权限；强制无1） 应对重要信息资源和拜访重要信息资源的拜访全部主体设置敏锐标记；掌握2） 强制拜访掌握的掩盖范畴应包括与重要信息资源直接相关的全部主体、客体及它们之间的操作；3） 强制拜访掌握的粒度应到达主体为用户级，客体为文件、数据库表级；安全1）安全审计应掩盖到服务器上的每个操作系审计统用户和数据库用户； 堡垒机2）安全审计应记录系统内重要的安全相关事件，包括重要用户行为和重要系统命令的使用等；堡垒机3）安全相关大事的记录应包括日期和时间、类型、主体标识、客体标识、大事的结果等；堡垒机4）审计记录应受到爱护防止受到未预期的删除、修改或掩盖等；1） 安全审计应掩盖到服

18、务器和客户端上的每个操作系统用户和数据库用户；2） 安全审计应记录系统内重要的安全相关事件，包括重要用户行为、系统资源的反常使用和重要系统命令的使用；3） 安全相关大事的记录应包括日期和时间、类型、主体标识、客体标识、大事的结果等；4） 安全审计应可以依据记录数据进行分析， 并生成审计报表；5） 安全审计应可以对特定大事，供应指定方技术要求项二级等保三级等保式的实时报警；6）审计进程应受到爱护防止受到未预期的中断； 堡垒机7）审计记录应受到爱护防止受到未预期的删除、修改或掩盖等；系统爱护1）系统应供应在治理爱护状态中运行的能力，治理爱护状态只能被系统治理员使用；1）系统因故障或其他缘由中断后，

19、应能够以手动或自动方式复原运行；备份剩余1）应保证操作系统和数据库治理系统用户的信息鉴别信息所在的储备空间，被释放或再分爱护配给其他用户前得到完全清除，无论这些信息是存放在硬盘上仍是在内存中；2）应确保系统内的文件、目录和数据库记录等资源所在的储备空间，被释放或重新分配给其他用户前得到完全清除；1） 应保证操作系统和数据库治理系统用户的鉴别信息所在的储备空间，被释放或再安排给其他用户前得到完全清除，无论这些信息是存放在硬盘上仍是在内存中；2） 应确保系统内的文件、目录和数据库记录等资源所在的储备空间，被释放或重新安排给其他用户前得到完全清除；入侵无1） 应进行主机运行监视，包括监视主机的防范C

20、PU、硬盘、 内存、 网络等资源的使用情形；APM2） 应设定资源报警域值，以便在资源使用超过规定数值时发出报警；3） 应进行特定进程监控，限制操作人员运行非法进程；4） 应进行主机账户监控，限制对重要账户的添加和更换；5） 应检测各种已知的入侵行为，记录入侵的源IP 、攻击的类型、攻击的目的、攻击的时间，并在发生严峻入侵大事时供应报警； AF6） 应能够检测重要程序完整性受到破坏，并在检测到完整性错误时实行必要的复原措施；技术要求项二级等保三级等保恶意代码1）服务器和重要终端设备包括移动设备应安装实时检测和查杀恶意代码的软件产防范品；卡巴斯基2）主机系统防恶意代码产品应具有与网络防恶意代码产

21、品不同的恶意代码库；1） 服务器和终端设备包括移动设备均应安装实时检测和查杀恶意代码的软件产 品；2） 主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；资源1） 应限制单个用户的会话数量；掌握2） 应通过设定终端接入方式、网络地址范畴等条件限制终端登录；3） 应支持恶意代码防范的统一治理；AF 1） 应限制单个用户的多重并发会话；2） 应对最大并发会话连接数进行限制；AC3） 应对一个时间段内可能的并发会话连接数进行限制； AC4） 应通过设定终端接入方式、网络地址范畴等条件限制终端登录；5） 应依据安全策略设置登录终端的操作超时锁定和鉴别失败锁定，并规定解锁或终止方式； A

22、C6） 应禁止同一用户账号在同一时间内并发登录； AC7） 应限制单个用户对系统资源的最大或最小使用限度； AC8） 当系统的服务水平降低到预先规定的最小值时，应能检测和报警；9） 应依据安全策略设定主体的服务优先级， 依据优先级安排系统资源，保证优先级低的主体处理才能不会影响到优先级高的主体的处理才能；应用身份1）应用系统用户的身份标识应具有唯独性；安全鉴别2）应对登录的用户进行身份标识和鉴别；3）系统用户身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等；4）应具有登录失败处理功能，如：终止会话、1） 系统用户的身份标识应具有唯独性；2） 应对登录的用户进行身份标识和鉴

23、别；3） 系统用户的身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等；技术要求项二级等保三级等保限制非法登录次数，当登录连接超时，自动退出；4） 应对同一用户采纳两种或两种以上组合的鉴别技术实现用户身份鉴别；5） 应具有登录失败处理功能，如：终止会话、限制非法登录次数，当登录连接超时，自 动退出；6） 应具有鉴别警示功能；7） 应用系统应准时清除储备空间中动态使用的鉴别信息；拜访1）应依据安全策略掌握用户对客体的拜访；掌握2）自主拜访掌握的掩盖范畴应包括与信息安全直接相关的主体、客体及它们之间的操作；3）自主拜访掌握的粒度应到达主体为用户级，客体为文件、数据库表级；4）应

24、由授权主体设置用户对系统功能操作和对数据拜访的权限；5）应实现应用系统特权用户的权限别离，例如将治理与审计的权限安排给不同的应用系统用户；6）权限别离应采纳最小授权原就，分别授予不同用户各自为完成自己承担任务所需的最小权限，并在它们之间形成相互制约的关系；7）应严格限制默认用户的拜访权限；1） 应依据安全策略掌握用户对客体的拜访；2） 自主拜访掌握的掩盖范畴应包括与信息安全直接相关的主体、客体及它们之间的操作；3） 自主拜访掌握的粒度应到达主体为用户级，客体为文件、数据库表级；4） 应由授权主体设置用户对系统功能操作和对数据拜访的权限；5） 应实现应用系统特权用户的权限别离，例如将治理与审计的

25、权限安排给不同的应用系统用户；6） 权限别离应采纳最小授权原就，分别授予不同用户各自为完成自己承担任务所需的最小权限，并在它们之间形成相互制约的关系；7） 应严格限制默认用户的拜访权限；安全1）安全审计应掩盖到应用系统的每个用户；审计2）安全审计应记录应用系统重要的安全相关大事，包括重要用户行为和重要系统功能的执行等；3）安全相关大事的记录应包括日期和时间、类型、主体标识、客体标识、大事的结果等；1） 安全审计应掩盖到应用系统的每个用户；2） 安全审计应记录应用系统重要的安全相关大事，包括重要用户行为、系统资源的反常使用和重要系统功能的执行等；3） 安全相关大事的记录应包括日期和时间、类型、主

26、体标识、客体标识、大事的结果技术要求项二级等保三级等保4） 审计记录应受到爱护防止受到未预期的删除、修改或掩盖等；等；4） 安全审计应可以依据记录数据进行分析， 并生成审计报表；5） 安全审计应可以对特定大事，供应指定方式的实时报警；6） 审计进程应受到爱护防止受到未预期的中断； 堡垒机7） 审计记录应受到爱护防止受到未预期的删除、修改或掩盖等；剩余信息1）应保证用户的鉴别信息所在的储备空间，被释放或再安排给其他用户前得到完全清爱护除，无论这些信息是存放在硬盘上仍是在内存中；2）应确保系统内的文件、目录和数据库记录等资源所在的储备空间，被释放或重新分配给其他用户前得到完全清除；1） 应保证用户

27、的鉴别信息所在的储备空间， 被释放或再安排给其他用户前得到完全清除，无论这些信息是存放在硬盘上仍是在内存中；2） 应确保系统内的文件、目录和数据库记录等资源所在的储备空间，被释放或重新安排给其他用户前得到完全清除；通信 1） 通信双方应商定单向的校验码算法，运算完整 通信数据报文的校验码，在进行通信时， 性 双方依据校验码判定对方报文的有效性；1） 通信双方应商定密码算法，运算通信数据报文的报文验证码，在进行通信时，双方依据校验码判定对方报文的有效性；抗抵无1） 应具有在恳求的情形下为数据原发者或接赖收者供应数据原发证据的功能；2） 应具有在恳求的情形下为数据原发者或接收者供应数据接收证据的功

28、能；通信保密1）当通信双方中的一方在一段时间内未作任何响应，另一方应能够自动终止会话；性2）在通信双方建立连接之前，利用密码技术进行会话初始化验证；3）在通信过程中，应对敏锐信息字段进行加密；1） 当通信双方中的一方在一段时间内未作任何响应，另一方应能够自动终止会话；2） 在通信双方建立连接之前，利用密码技术进行会话初始化验证；3） 在通信过程中，应对整个报文或会话过程进行加密；4） 应选用符合国家有关部门要求的密码算技术要求项二级等保三级等保法；软件1） 应对通过人机接口输入或通过通信接口输容错入的数据进行有效性检验；2） 应对通过人机接口方式进行的操作供应“回退 ”功能，即答应依据操作的序

29、列进行回退；3） 在故障发生时，应连续供应一部分功能， 确保能够实施必要的措施；资源1） 应限制单个用户的多重并发会话；掌握2） 应对应用系统的最大并发会话连接数进行限制；3） 应对一个时间段内可能的并发会话连接数进行限制；1） 应对通过人机接口输入或通过通信接口输入的数据进行有效性检验；2） 应对通过人机接口方式进行的操作供应“回退”功能，即答应依据操作的序列进行回退；3） 应有状态监测才能，当故障发生时，能实时检测到故障状态并报警；4） 应有自动爱护才能，当故障发生时，自动爱护当前全部状态；1） 应限制单个用户的多重并发会话；2） 应对应用系统的最大并发会话连接数进行限制；3） 应对一个时

30、间段内可能的并发会话连接数进行限制；4） 应依据安全策略设置登录终端的操作超时锁定和鉴别失败锁定，并规定解锁或终止方式；5） 应禁止同一用户账号在同一时间内并发登录；6） 应对一个拜访用户或一个恳求进程占用的资源安排最大限额和最小限额；7） 应依据安全属性用户身份、拜访地址、时间范畴等答应或拒绝用户建立会话连接；8） 当系统的服务水平降低到预先规定的最小值时，应能检测和报警；9） 应依据安全策略设定主体的服务优先级， 依据优先级安排系统资源，保证优先级低的主体处理才能不会影响到优先级高的主体的处理才能；技术要求项二级等保三级等保代码1） 应对应用程序代码进行恶意代码扫描； 安全2） 应对应用程

31、序代码进行安全脆弱性分析；1） 应制定应用程序代码编写安全标准，要求开发人员参照标准编写代码；2） 应对应用程序代码进行代码复审，识别可能存在的恶意代码；3） 应对应用程序代码进行安全脆弱性分析；4） 应对应用程序代码进行穿透性测试；数据数据安全完整性数据保密性1） 应能够检测到系统治理数据、鉴别信息和用户数据在传输过程中完整性受到破坏；2） 应能够检测到系统治理数据、鉴别信息和用户数据在储备过程中完整性受到破坏；1） 网络设备、操作系统、数据库治理系统和应用系统的鉴别信息、敏锐的系统治理数据和敏锐的用户数据应采纳加密或其他有效措施实现传输保密性；2） 网络设备、操作系统、数据库治理系统和应用

32、系统的鉴别信息、敏锐的系统治理数据和敏锐的用户数据应采纳加密或其他爱护措施实现储备保密性；3） 当使用便携式和移动式设备时，应加密或者采纳可移动磁盘储备敏锐信息；1） 应能够检测到系统治理数据、鉴别信息和用户数据在传输过程中完整性受到破坏， 并在检测到完整性错误时实行必要的复原措施；2） 应能够检测到系统治理数据、鉴别信息和用户数据在储备过程中完整性受到破坏， 并在检测到完整性错误时实行必要的复原措施；3） 应能够检测到重要程序的完整性受到破坏，并在检测到完整性错误时实行必要的复原措施；1） 网络设备、操作系统、数据库治理系统和应用系统的鉴别信息、敏锐的系统治理数据和敏锐的用户数据应采纳加密或

33、其他有效措施实现传输保密性；2） 网络设备、操作系统、数据库治理系统和应用系统的鉴别信息、敏锐的系统治理数据和敏锐的用户数据应采纳加密或其他爱护措施实现储备保密性；3） 当使用便携式和移动式设备时，应加密或者采纳可移动磁盘储备敏锐信息；4） 用于特定业务通信的通信信道应符合相关的国家规定；数据1） 应供应自动机制对重要信息进行有挑选的1） 应供应自动机制对重要信息进行本地和异技术要求项二级等保三级等保备份数据备份；和恢2） 应供应复原重要信息的功能；复3） 应供应重要网络设备、通信线路和服务器的硬件冗余四、 治理要求地备份；2） 应供应复原重要信息的功能；3） 应供应重要网络设备、通信线路和服

34、务器的硬件冗余；4） 应供应重要业务系统的本地系统级热备份；治理要求项二级等保三级等保安全岗位治理设置机构人员配备授权和审批1） 应设立信息安全治理工作的职能部门，设立安全主管人、安全治理各个方面的负责人岗位，定义各负责人的职责；2） 应设立系统治理人员、网络治理人员、安全治理人员岗位，定义各个工作岗位的职责；3） 应制定文件明确安全治理机构各个部门和岗位的职责、分工和技能要求；1） 应配备肯定数量的系统治理人员、网络治理人员、安全治理人员等；2） 安全治理人员不能兼任网络治理员、系统治理员、数据库治理员等；1） 应授权审批部门及批准人，对关键活动进行审批；2） 应列表说明须审批的事项、审批部

35、门和可批准人；1） 应设立信息安全治理工作的职能部门，设立安全主管人、安全治理各个方面的负责人岗位，定义各负责人的职责；2） 应设立系统治理人员、网络治理人员、安全治理人员岗位，定义各个工作岗位的职责；3） 应成立指导和治理信息安全工作的委员会或领导小组，其最高领导应由单位主管领导委任或授权；4） 应制定文件明确安全治理机构各个部门和岗位的职责、分工和技能要求；1） 应配备肯定数量的系统治理人员、网络治理人员、安全治理人员等；2） 应配备专职安全治理人员，不行兼任；3） 关键岗位应定期轮岗；1） 应授权审批部门及批准人，对关键活动进行审批；2） 应列表说明须审批的事项、审批部门和可批准人；3）

36、 应建立各审批事项的审批程序，依据审批程序执行审批过程；4） 应建立关键活动的双重审批制度；5） 不再适用的权限应准时取消授权；6） 应定期审查、更新需授权和审批的项目；7） 应记录授权过程并储存授权文档；治理要求项二级等保三级等保沟通1）应加强各类治理人员和组织内部机构之间1）应加强各类治理人员和组织内部机构之间和合作的合作与沟通，定期或不定期召开和谐会议，共同帮助处理信息安全问题；的合作与沟通，定期或不定期召开和谐会议，共同帮助处理信息安全问题；2）信息安全职能部门应定期或不定期召集相2）信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议，和谐安关部门和人员召开安全工作会议，

37、和谐安全工作的实施；全工作的实施；3）应加强与兄弟单位、公安机关、电信公司3）信息安全领导小组或者安全治理委员会定的合作与沟通，以便在发生安全大事时能够得到准时的支持；期召开例会，对信息安全工作进行指导、决策；4）应加强与兄弟单位、公安机关、电信公司的合作与沟通，以便在发生安全大事时能够得到准时的支持；5）应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通，猎取信息安全的最新进展动态，当发生紧急大事的6）时候能够准时得到支持和帮忙；应文件说明外联单位、合作内容和联系方式；7）聘请信息安全专家，作为常年的安全参谋，指导信息安全建设，参加安全规划和安全评审等；审核1）应由安全治理人员定

38、期进行安全检查，检1）应由安全治理人员定期进行安全检查，检和检查内容包括用户账号情形、系统漏洞情形、查内容包括用户账号情形、系统漏洞情形、查系统审计情形等；2）系统审计情形等；应由安全治理部门组织相关人员定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的3）一样性、安全治理制度的执行情形等；应由安全治理部门组织相关人员定期分析、评审反常行为的审计记录，发觉可疑行为，形成审计分析报告，并实行必要的应对措施；4）应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；治理要求项二级等保三级等保5） 应制定安全审核和安全检查制度标准

39、安全审核和安全检查工作，定期依据程序进行安全审核和安全检查活动；安全治理1）应制定信息安全工作的总体方针、政策性治理制度文件和安全策略等，说明机构安全工作的制度总体目标、范畴、方针、原就、责任等；2）应对安全治理活动中重要的治理内容建立安全治理制度，以标准安全治理活动，约束人员的行为方式；3）应对要求治理人员或操作人员执行的重要治理操作，建立操作规程，以标准操作行为，防止操作失误；制定1）应在信息安全职能部门的总体负责下，组和发织相关人员制定；布2）应保证安全治理制度具有统一的格式风格，并进行版本掌握；3）应组织相关人员对制定的安全治理进行论证和审定；4）安全治理制度应经过治理层签发后依据肯定

40、的程序以文件形式发布；评审和修1）应定期对安全治理制度进行评审和修订， 对存在不足或需要改进的安全治理制度进订行修订；1） 应制定信息安全工作的总体方针、政策性文件和安全策略等，说明机构安全工作的总体目标、范畴、方针、原就、责任等；2） 应对安全治理活动中的各类治理内容建立安全治理制度，以标准安全治理活动，约束人员的行为方式；3） 应对要求治理人员或操作人员执行的日常治理操作，建立操作规程，以标准操作行为，防止操作失误；4） 应形成由安全政策、安全策略、治理制度、操作规程等构成的全面的信息安全治理制 度体系；5） 应由安全治理职能部门定期组织相关部门和相关人员对安全治理制度体系的合理性和适用性进行审定；1） 应在信息安全领导小组的负责下，组织相关人员制定；2） 应保证安全治理制度具有统一的格式风格，并进行版本掌握；3） 应组织相关人员对制定的安全治理进行论证和审定；4） 安全治理制度应经过治理层签发后依据肯定的程序以文件形式发布；5） 安全治理制度应注明发布范畴，并对收发文进行登记；1） 应定期对安全治理制度进行评审和修订， 对存在不足或需要改进的安全治理制度进行修订；2） 当发生重大安全事故、显现新的安全漏洞以及技术基础