等保基本要求

news2024/10/7 16:24:58

技术要求：

1、安全物理环境：（物理位置选择、物理访问控制、防盗窃和放破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护）

2、安全通信网络：（网络架构、通信传输、可信验证）

3、安全区域边界：（边界防护、访问控制、入侵防范、恶意代码和垃圾、邮件防范、安全审计、可信验证）

4、安全计算环境：（身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护、个人信息安全）

5、安全管理中心：（系统管理、审计管理、安全管理、集中管控）

管理要求：

1、安全管理制度：（安全策略、管理制度、指定发布、评审和修订）

2、安全管理机构：（岗位设置、人员配置、授权和审批、沟通和合作、审核和检查）

3、安全管理人员：（人员录用、人员离岗、安全意识教育和培训、外部人员访问管理）

4、安全建设管理：（定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择）

5、安全运维管理：（环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理）

网络安全解读，相关需求的解读：

访问控制：端口控制、防地址欺骗、协议过滤、会话控制、最大流量数及最大连接数

安全审计：审计记录、审计报表、审计记录的保护

边界安全检查：非授权设备接入、非授权网络联出

入侵防范：记录、报警、阻断

恶意代码的防范：记录、报警、阻断

设备防护：组合鉴别结束、特权用户权限分离

结构安全：主要设备的冗余空间、安全路径控制、整体网络带宽、带宽优先级、重要网段部署

等保各级的使用场景：

一级：适用于小型私企、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统

二级：适用于县级某些单位中的重要信息系统；地方级以及上国家机关、企事业单位内部一般的信息系统。如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

三级：一般适用于地方级以上国家机关、企业、事业单位内部重要的信息系统、例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、城市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。

四级：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。

三级等保方案通用：

使用范围	基本要求	产品类型举例
安全通信网络	网络结构（vlan划分）	三层交换机
	访问控制（权限分离）	防火墙
	入侵防范（检测告警）	主机入侵检测产品HIDS
	备份恢复（数据备份）	设备冗余、本地备份（介质场外存储）
	数据完整性、保密性	VPN设备
	剩余信息管理	终端综合管理系统
	身份认证（双因素）	证书、令牌、密保卡
	恶意代码防范（统一管理）	网络版主机防病毒软件
安全区域边界	区域边界访问控制（协议检测）	防火墙（IPS）
	资源控制（优先级控制）	带宽管理、流量控制设备
	区域边界入侵检测	IDS
	区域边界恶意代码防范	防病毒网关
	区域边界完整性保护	终端综合管理系统
安全通信网络	通信网络安全审计	上网行为管理
安全通信网络	数据传输完整性、保密性保护	VPN设备
安全管理中心	集中管控	安全管理平台
安全管理中心	审计管理（网络、主机、应用）	安全审计系统