等保2.0政策規(guī)范解讀勇share.

網(wǎng)絡(luò)安全等級保護(hù)是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。2

。

share.

第一級信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損

害，但不損害國家安全、社會秩序和公共利益.

第二級信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)

重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全.

第四級信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，

或者對國家安全造成嚴(yán)重?fù)p害.

第五級信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害.

第三級信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害3

。

share.

一是定級.

二是備案(二級以上的信息系統(tǒng)）.

三是差距分析、系統(tǒng)建設(shè)、整改.

四是開展等級測評.

五是信息安全監(jiān)管部門定期開展監(jiān)督檢查4

。

share5

。

share.

等保2.0將原來的標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本

要求》改為《信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護(hù)基本要求》，與《中華人民共和某著名企業(yè)絡(luò)安全法》中的相關(guān)法律條文保持一致6

。

share通用要求某著名企業(yè)互聯(lián)物聯(lián)網(wǎng)云計算工業(yè)控制設(shè)計要求基本要求定級指南測評要求等級保護(hù)標(biāo)

準(zhǔn)體系7

。

share等保2.0標(biāo)準(zhǔn)解讀勇share新標(biāo)準(zhǔn)(等級保護(hù)2.0)舊標(biāo)準(zhǔn)(等級保護(hù)1.0)物理和環(huán)境安全技術(shù)要求技術(shù)要求物理安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)和通信安全主機(jī)安全設(shè)備和計算安全應(yīng)用安全應(yīng)用和數(shù)據(jù)安全數(shù)據(jù)安全及備份恢復(fù)管理要求安全管理制度安全策略和管理制度管理要求安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)和人員人員安全管理安全建設(shè)管理系統(tǒng)建設(shè)管理安全運維管理系統(tǒng)運維管理9

。

share控制點對比。

share基本要求大類2.0基本要求子類信息系統(tǒng)安全等級保護(hù)級別等保二級等保三級技術(shù)要

求物理和環(huán)境安全1010網(wǎng)絡(luò)和通信安全78設(shè)備和計算安全66應(yīng)用和數(shù)據(jù)安全910管理要求安全策略和管理制度44安全管理機(jī)構(gòu)和人員99安全建設(shè)管理1010安全運維管理1414合計/6971基本要求大類1.0基本要求子類信息系統(tǒng)安全等級保護(hù)級別等保二級等保三級技術(shù)要

求物理安全1010網(wǎng)絡(luò)安全67主機(jī)安全67應(yīng)用安全79數(shù)據(jù)安全33管理要求安全管理制度33安全管理機(jī)構(gòu)55人員安全管理55系統(tǒng)建設(shè)管理911系統(tǒng)運維管理1213合計/6673。

share要求項對比。

share基本要求大類2.0基本要求子類信息系統(tǒng)安全等級保護(hù)級別等保二級等保三級技術(shù)要

求物理和環(huán)境安全1522網(wǎng)絡(luò)和通信安全1633設(shè)備和計算安全1726應(yīng)用和數(shù)據(jù)安全2234管理要求安全策略和管理制度67安全管理機(jī)構(gòu)和人員1626安全建設(shè)管理2534安全運維管理3048合計/147230基本要求大類1.0基本要求子類信息系統(tǒng)安全等級保護(hù)級別等保二級等保三級技術(shù)要

求物理安全1932網(wǎng)絡(luò)安全1833主機(jī)安全1932應(yīng)用安全1931數(shù)據(jù)安全48管理要求安全管理制度711安全管理機(jī)構(gòu)920人員安全管理1116系統(tǒng)建設(shè)管理2845系統(tǒng)運維管理4162合計/175290。

share.

總體上看，等保2.0通用要求在技術(shù)部分的基礎(chǔ)上進(jìn)行了一些調(diào)整，但控制點要求上并沒有明顯增加，通過合并整合后相對舊標(biāo)準(zhǔn)略有縮減。14

。

share原控制點要求項數(shù)新控制點要求項數(shù)物理安全1物理位置的選擇2物理和環(huán)境安全1物理位置的選擇22物理訪問控制42物理訪問控制13防盜竊和防破壞63防盜竊和防破壞34

防雷擊34

防雷擊25

防火35

防火36

防水和防潮46

防水和防潮37

防靜電27

防靜電28控制18控制19

電力供應(yīng)49

電力供應(yīng)310

電磁防護(hù)310

電磁防護(hù)2。

share原控制項新控制項物理位置的選擇b）機(jī)房場地應(yīng)避免設(shè)在建筑物的高層或地下室,以及用水設(shè)備的下層或隔壁。物理位置的選擇b）機(jī)房場地應(yīng)避免設(shè)在建筑物的頂層或地下室,否則應(yīng)加強(qiáng)防水和防潮措施防靜電無防靜電b）應(yīng)采取措施防止靜電的產(chǎn)生,例如采用靜電消除器、佩戴防靜電手環(huán)等。(新增）。

share原控制點要求項數(shù)新控制點要求項數(shù)網(wǎng)絡(luò)安全1結(jié)構(gòu)安全7網(wǎng)絡(luò)和通信安全1

網(wǎng)絡(luò)架構(gòu)52訪問控制82通信傳輸23安全審計43邊界防護(hù)44邊界完整性檢查24訪問控制55入侵防范25入侵防范46惡意代碼防范26惡意代碼防范27

網(wǎng)絡(luò)設(shè)備防護(hù)87安全審計58集中管控6。

share原控制項新控制項無通信傳輸a)應(yīng)采用校驗碼技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性；b)應(yīng)采用密碼技術(shù)保證通信過程中敏感信息字段或整個報文的

性。邊界完整性

檢查a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷；邊界防護(hù)a)應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界防護(hù)設(shè)備提供的受控接

口進(jìn)行通信；b)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；b)應(yīng)能夠?qū)W(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)

行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷。c)應(yīng)能夠?qū)τ脩舴鞘跈?quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢

查；d)應(yīng)限制無線網(wǎng)絡(luò)的使用，確保無線網(wǎng)絡(luò)通過受控的邊界防護(hù)設(shè)備

接入網(wǎng)絡(luò)。入侵防范無入侵防范b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從發(fā)起的網(wǎng)絡(luò)攻擊行

為；

(新增)無c)應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新

型網(wǎng)絡(luò)攻擊行為的分析；

(新增)。

share原控制項新控制項惡意代碼防范無惡意代碼防范b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進(jìn)行檢測和防護(hù)，并維護(hù)垃圾郵件防護(hù)機(jī)制

的升級和更新。

(新增)安全審計無安全審計d)應(yīng)確保審計記錄的留存時間符合法律法規(guī)要求；(新增)e)應(yīng)能對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進(jìn)行行為審計和

數(shù)據(jù)分析。

(新增)無集中管控a)應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管

控；

(新增)b)應(yīng)能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行

管理；

(新增)c)應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運行狀況進(jìn)行集中監(jiān)測；

(新增)d)應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總和集中分析；(新增)e)應(yīng)對安全策略、惡意代碼、補(bǔ)丁升級等安全相關(guān)事項進(jìn)行集中管理；f)應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報警和分析。(新增)。

share.

1.根據(jù)服務(wù)器角色和重要性,對網(wǎng)絡(luò)進(jìn)行安全域劃分;(安全域劃分）.

2.在內(nèi)外網(wǎng)的安全域邊界設(shè)置訪問控制策略,并要求配置到具體的端口;(防火墻）.

3.在網(wǎng)絡(luò)邊界處應(yīng)當(dāng)部署入侵防范手段,防御并記錄入侵行為;(入侵防御系統(tǒng)）.

4.對網(wǎng)絡(luò)中的用戶行為日志和安全事件信息進(jìn)行記錄和審計;(上網(wǎng)行為管理）.

5.對安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等進(jìn)行集中管理。

(安全態(tài)勢感知/安全大數(shù)據(jù)分析）20

。

share等保2.0標(biāo)準(zhǔn)解讀勇share原控制點要求項數(shù)新控制點要求項數(shù)主機(jī)安全1身份鑒別6設(shè)備和計算安全1身份鑒別42訪問控制72訪問控制73安全審計63安全審計54剩余信息保護(hù)24入侵防范55入侵防范35惡意代碼防范16惡意代碼防范36資源控制47資源控制5。

share原控制項新控制項安全審計無安全審計d)應(yīng)確保審計記錄的留存時間符合法律法規(guī)要求；(新增)入侵防范無入侵防范b)應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；c)應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終

端進(jìn)行限制；d)應(yīng)能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過充分測試評估后，及時修補(bǔ)漏洞；。

share.

1.避免賬號共享、記錄和審計運維操作行為是最基本的安全要求；(運維審計/堡壘機(jī)）.

2.必要的安全手段保證系統(tǒng)層安全，防范服務(wù)器入侵行為；(服務(wù)器加固

-服務(wù)/軟件）24

。

share原控制點要求項數(shù)新控制點要求項數(shù)應(yīng)用安全1身份鑒別5應(yīng)用和數(shù)據(jù)安全1身份鑒別52訪問控制62訪問控制73安全審計43安全審計54剩余信息保護(hù)24軟件容錯35通信完整性15資源控制26通信性26數(shù)據(jù)完整性27抗抵賴27數(shù)據(jù)性28軟件容錯28數(shù)據(jù)備份和恢復(fù)39資源控制79剩余信息保護(hù)2數(shù)據(jù)安全及備份恢復(fù)9數(shù)據(jù)完整性210個人信息保護(hù)210數(shù)據(jù)性211備份和恢復(fù)4。

share原控制項新控制項安全審計無安全審計d)應(yīng)確保審計記錄的留存時間符合法律法規(guī)要求；(新增)軟件容錯無軟件容錯c)在故障發(fā)生時，應(yīng)自動保存數(shù)據(jù)和所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。(新增)身份鑒別無身份鑒別c)應(yīng)強(qiáng)制用戶首次登錄時修改初始口令；

(新增)d)用戶身份鑒別信息丟失或失效時，應(yīng)采用技術(shù)措施確保鑒別

信息重置過程的安全；

(新增)個人信息保護(hù)無個人信息保護(hù)a)應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個人信息；(新增)b)應(yīng)禁止未授權(quán)訪問和非法使用用戶個人信息。(新增)。

share.

1.應(yīng)用是具體業(yè)務(wù)的直接實現(xiàn)，不具有網(wǎng)絡(luò)和系統(tǒng)相對標(biāo)準(zhǔn)化的特點。大部分應(yīng)用本身的身份鑒別、訪問控制和操作審計等功能，都難以用第三方產(chǎn)品來替代實現(xiàn)；.

2.數(shù)據(jù)的完整性和性，除了在其他層面進(jìn)行安全防護(hù)以外，加密是最為有效的方法；.

3.數(shù)據(jù)的異地備份是等保三級區(qū)別于二級最重要的要求之一，是實現(xiàn)業(yè)務(wù)連續(xù)最基礎(chǔ)的技術(shù)保障措施。27

。

share網(wǎng)絡(luò)安全法與等保2.0關(guān)系勇share.

第二十一條

國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度

的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者的訪問，防止網(wǎng)

絡(luò)數(shù)據(jù)或者被竊取、篡改:.

(一)制定安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護(hù)責(zé)任；.

(二)采取防范計算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；.

(三)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的

網(wǎng)絡(luò)日志不少于六個月；.

(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；.(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。29

。

share.

第三十四條除本法第二十一條的規(guī)定外，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者還應(yīng)當(dāng)履行下列安全

保護(hù)義務(wù)：.

(一）設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安

全背景審查；.

(二）定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；.(三）對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份；.

(四）制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練；.(五）法律、行政法規(guī)規(guī)定的其他義務(wù)。30

。

share等保2.0擴(kuò)展要求(一)云計算勇share云計算平臺由設(shè)施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應(yīng)用軟件等組成。軟件即服務(wù)(saas)在平臺即服務(wù)模式下，云計算平臺包括設(shè)施、

硬件、資源抽象控制層、虛擬化計算資源和軟

件平臺；平臺即服務(wù)(paas)在平臺即服務(wù)模式下，云計算平臺包括設(shè)施、

硬件、資源抽象控制層、虛擬化計算資源和軟

件平臺；基礎(chǔ)設(shè)施即服務(wù)(Iaas)在基礎(chǔ)設(shè)施即服務(wù)模式下，云計算平臺由設(shè)施、

硬件、資源抽象控制層組成；責(zé)任劃分云計算平臺架構(gòu)saaspaasIaas。

share責(zé)任劃分在云計算環(huán)境中，應(yīng)將云服務(wù)方側(cè)的云

計算平臺單獨作為定級對象定級。云租戶側(cè)的等級保護(hù)對象也應(yīng)作為單獨的定級對象定級。應(yīng)將云計算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級對象。大型云計算

平臺云租戶云服務(wù)方云計算環(huán)境saaspaasIaas。

share責(zé)任劃分云計算系統(tǒng)與傳統(tǒng)信息系統(tǒng)保護(hù)對象差異saaspaasIaas。

share范圍和控制應(yīng)用軟件軟件平臺虛擬化計算資源資源抽象控制硬件設(shè)施責(zé)任劃分云租戶包括硬件、

虛擬機(jī)監(jiān)

視器

、

操

作

系

統(tǒng)

、

中

間

件和應(yīng)用云服務(wù)方監(jiān)視器

、

操作系

統(tǒng)和

中

間

件包括

操作系統(tǒng)

、

中

間

件

和應(yīng)

用

等SaaS包括部

分

應(yīng)用職責(zé)及用

戶使

用職

責(zé)包括虛擬

機(jī)

監(jiān)視器

和硬

件laaS應(yīng)

用包括硬件、

虛saaspaasIaasS

a

a

SP

a

a

SP

a

a

Sl

a

a

S擬

機(jī)。

share應(yīng)用軟件軟件平臺虛擬化計算資源資源抽象控制硬件設(shè)施

提出物理位置的選擇的要求,例如云計算的所有物理設(shè)備和數(shù)據(jù)均存放在國內(nèi)。

提出服務(wù)供應(yīng)商選擇和供應(yīng)鏈管理的要求

,例如選擇云服務(wù)商和供應(yīng)商的過程須符合國家的要求。責(zé)任劃分①

設(shè)施——控制要求saaspaasIaas。

share應(yīng)用軟件軟件平臺虛擬化計算資源資源抽象控制硬件設(shè)施

提出身份鑒別的要求,例如設(shè)備之間建立雙向身份驗證機(jī)制。

提出訪問控制的要求,例如在遠(yuǎn)程管理設(shè)備時不能直接連接其他網(wǎng)絡(luò)。

提出數(shù)據(jù)性的要求

,例如保證設(shè)備之間網(wǎng)絡(luò)通信的性。責(zé)任劃分①

硬件——控制要求saaspaasIaas。

sharea)虛擬機(jī)對宿主機(jī)資源的異常訪問，

并進(jìn)行告警；b)虛擬機(jī)之間的資源隔離失效，并進(jìn)行告警；c)非授權(quán)新建虛擬機(jī)或者重新啟用虛擬機(jī)，并進(jìn)行告警。應(yīng)能夠檢測惡意代碼感染及在虛擬機(jī)間蔓延的情況，并提出告警。a)

屏蔽虛擬資源故障，某個虛擬機(jī)崩潰后不影響虛擬機(jī)監(jiān)視器及其他虛擬機(jī)；b)對物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配；c)保證虛擬機(jī)僅能使用為其分配的計算資源；d)保證虛擬機(jī)僅能遷移至相同安全等級的資源池；e)保證分配給虛擬機(jī)的內(nèi)存空間其獨占訪問；f)對虛擬機(jī)的網(wǎng)絡(luò)接口的帶寬進(jìn)行設(shè)置，并進(jìn)行監(jiān)控；g)為監(jiān)控信息的匯集提供接口，并實現(xiàn)集中監(jiān)控。a)提供虛擬機(jī)鏡像、快照完整性校驗功能，防止虛擬機(jī)鏡像被惡意篡改；b)采取加密或其他技術(shù)手段防止虛擬機(jī)鏡像、快照中可能存在的敏感資源被非法訪問；c)針對重要業(yè)務(wù)系統(tǒng)提供加固的操作系統(tǒng)鏡像。應(yīng)確保虛擬機(jī)遷移過程中，

重要數(shù)據(jù)的完整性，

并在檢測到完整性受到破壞時采取必要的恢復(fù)措施。應(yīng)保證虛擬機(jī)所使用的內(nèi)存和存儲空間回收時得到完全清除。應(yīng)在網(wǎng)絡(luò)策略控制器和網(wǎng)絡(luò)設(shè)備(或設(shè)備代理)之間建立

雙向身份驗證

機(jī)制。a)當(dāng)進(jìn)行遠(yuǎn)程管理時，防止遠(yuǎn)程管理設(shè)備同時直接連接其他網(wǎng)絡(luò)；b)確保只有在云租戶授權(quán)下，

云服務(wù)方或第三方才具有云租戶數(shù)據(jù)的管理權(quán)限；c)提供云計算平臺管理用戶權(quán)限分離機(jī)制，為網(wǎng)絡(luò)管理員、系統(tǒng)管理員建立不同賬戶并分配相應(yīng)的權(quán)限。a)根據(jù)云服務(wù)方和云租戶的職責(zé)劃分，收集各自控制部分的審計數(shù)據(jù)；

b)保證云服務(wù)方對云租戶系統(tǒng)和數(shù)據(jù)的操作可被云租戶審計；c)保證審計數(shù)據(jù)的真實性和完整性；d)為安全審計數(shù)據(jù)的匯集提供接口，并可供第三方審計；e)根據(jù)云服務(wù)方和云租戶的職責(zé)劃分，實現(xiàn)各自控制部分的集中審計。a)

確保虛擬機(jī)遷移過程中，重要數(shù)據(jù)的性，防止在遷移過程中的重要數(shù)據(jù)；b)支持云租戶部署密鑰管理解決方案，確保云租戶自行實現(xiàn)數(shù)據(jù)的加解密過程

；c)

對網(wǎng)絡(luò)策略控制器和網(wǎng)絡(luò)設(shè)備(或設(shè)備代理)之間網(wǎng)絡(luò)通信進(jìn)行加密。

特別增加了鏡像和快照保護(hù)的控制要求。

提出了對身份驗證機(jī)制的控制要求。

提出了對職責(zé)與權(quán)限劃分、數(shù)據(jù)安全審計、惡意代碼檢測、虛擬機(jī)遷移、資源控制的要求。

責(zé)任劃分①

Iaas——控制要求2saaspaasIaasa)

根據(jù)云服務(wù)方和云租戶的職責(zé)劃分，收集各自控制部分的審計數(shù)據(jù)；b)保證云服務(wù)方對云租戶系統(tǒng)和數(shù)據(jù)的操作可被云租戶審計；c)保證審計數(shù)據(jù)的真實性和完整性；d)為安全審計數(shù)據(jù)的匯集提供接口，并可供第三方審計；e)

根據(jù)云服務(wù)方和云租戶的職責(zé)劃分，實現(xiàn)各自控制部分的集中審計。b)保證不同云租戶的應(yīng)用系統(tǒng)及開發(fā)平臺之間的隔離。責(zé)任劃分

提出了對數(shù)據(jù)集中審計的、職責(zé)劃分的要求。

提出了對開發(fā)環(huán)境訪問控制的要求。②

paas——控制要求1saasIaaspaas。

sharea)云租戶應(yīng)在本地保存其業(yè)務(wù)數(shù)據(jù)的備份；b)提供查詢云租戶數(shù)據(jù)及備份存儲位置的方式；c)保證不同云租戶的審計數(shù)據(jù)隔離存放；d)為云租戶將業(yè)務(wù)系統(tǒng)及數(shù)據(jù)遷移到其他云計算平臺和本地系統(tǒng)提供技術(shù)手段，并協(xié)助完成遷移過程。

特別增加了接口安全的控制要求。

提出了對應(yīng)用系統(tǒng)監(jiān)測、數(shù)據(jù)備份/存儲/遷移/審計的控制要求。

提出了對職責(zé)與權(quán)限劃分、數(shù)據(jù)安全審計、惡意代碼檢測、資源控制的要求。責(zé)任劃分a)

能夠?qū)?yīng)用系統(tǒng)的運行狀況進(jìn)行監(jiān)測，并在發(fā)現(xiàn)異常時進(jìn)行告警應(yīng)保證云計算服務(wù)對外接口的安全性。③

saas——控制要求1paasIaassaas。

sharea)確保選擇供應(yīng)商的過程符合國家的有關(guān)規(guī)定；b)確保供應(yīng)鏈安全事件信息或威脅信息能夠及時傳達(dá)到云租戶；c)

保證供應(yīng)商的重要變更及時傳達(dá)到云租戶,并評估變更帶來的安全風(fēng)險,

采取有關(guān)措施對風(fēng)險進(jìn)行控制。a)確保信息系統(tǒng)的監(jiān)控活動符合關(guān)于隱私保護(hù)的相關(guān)政策法規(guī)；

b)

確保提供給云租戶的審計數(shù)據(jù)的真實性和完整性；c)制定相關(guān)策略,對安全措施有效性進(jìn)行持續(xù)監(jiān)控；d)云服務(wù)方應(yīng)將安全措施有效性的監(jiān)控結(jié)果定期提供給相關(guān)云租戶。應(yīng)保證云服務(wù)方對云租戶業(yè)務(wù)數(shù)據(jù)的訪問或使用必須經(jīng)過云租戶的授權(quán),授權(quán)必須保留相關(guān)記錄。云計算平臺應(yīng)提供開放接口或開放性安全服務(wù),允許云租戶接入第三方安全產(chǎn)品或在云平臺選擇第三方安全服務(wù),支持異構(gòu)方式對云租戶的網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)層的安全措施進(jìn)行實施應(yīng)驗證或評估所提供的安全措施的有效性。a)確保選擇云服務(wù)商的過程符合國家有關(guān)規(guī)定；b)選擇安全合規(guī)的云服務(wù)商,其所提供的云平臺應(yīng)具備與信息系統(tǒng)等級相應(yīng)的安全保護(hù)能力；c)

滿足服務(wù)水平協(xié)議(SLA）要求；d)在服務(wù)水平協(xié)議(SLA）中規(guī)定云服務(wù)的各項服務(wù)內(nèi)容和具體技術(shù)指標(biāo)；e)

在服務(wù)水平協(xié)議(SLA）中規(guī)定云服務(wù)商的權(quán)限與責(zé)任,包括管理范圍、職責(zé)劃分、訪問授權(quán)、隱私保護(hù)、行為準(zhǔn)則、違約責(zé)任等；f)在服務(wù)水平協(xié)議(SLA）中規(guī)定云計算所能提供的安全服務(wù)的內(nèi)容,并提供安全聲明；g)

在服務(wù)水平協(xié)議(SLA）中規(guī)定服務(wù)合約到期時,完整地返還云租戶信息,并承諾相關(guān)信息均已在云計算平臺上清除；h)

與選定的云服務(wù)商簽署協(xié)議,要求其不得云租戶數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的相關(guān)重要信息；i)

對可能接觸到云租戶數(shù)據(jù)的員工進(jìn)行背景調(diào)查,并簽署協(xié)議

；j)云服務(wù)商應(yīng)接受云租戶以外的第三方運行監(jiān)管。責(zé)任劃分

特別增加了供應(yīng)鏈管理、監(jiān)控和審計管理的控制要求。

提出了對選擇服務(wù)商、測試驗收、平臺接口安全、授權(quán)審批的控制要求。③

saas——控制要求2paasIaaSsaas。

share。

share等保2.0擴(kuò)展要求(二)某著名企業(yè)互聯(lián)勇share某著名企業(yè)互聯(lián)技術(shù)的等級保護(hù)對象應(yīng)作為一個整體對象定級，某著名企業(yè)終端、某著名企業(yè)應(yīng)用和無線網(wǎng)絡(luò)等要素不單獨定級，與采用某著名企業(yè)互聯(lián)技術(shù)等級保護(hù)對象的應(yīng)用環(huán)境和應(yīng)用對象一起定級。①

定級無線網(wǎng)絡(luò)某著名企業(yè)應(yīng)用某著名企業(yè)管理定級某著名企業(yè)終端。

sharea)應(yīng)將某著名企業(yè)終端處理訪問不同等級等級保護(hù)對象的運行環(huán)境進(jìn)行

操作系統(tǒng)級隔離；b)應(yīng)將某著名企業(yè)終端處理訪問等級保護(hù)對象的運行環(huán)境與非處理訪問等級保護(hù)對象運行環(huán)境進(jìn)行系統(tǒng)級隔離；c)應(yīng)限制用戶或進(jìn)程對某著名企業(yè)終端系統(tǒng)資源的最大使用限度，防止某著名企業(yè)終端被提權(quán)。。

sharea)

應(yīng)啟用某著名企業(yè)終端安全審計功能，對終端用戶重要操作及軟

件行為進(jìn)行審計

；b)審計記錄應(yīng)包括事件的日期和時間、

用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；c)

應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等a)某著名企業(yè)終端應(yīng)安裝防惡意代碼軟件，

并定期進(jìn)行惡意代碼掃描，

及時更新防惡意代碼軟件版本和惡意代碼庫；b)

某著名企業(yè)終端應(yīng)支持某著名企業(yè)業(yè)務(wù)應(yīng)用軟件僅運行在安全容器內(nèi)，防止被惡意代碼攻擊。a)應(yīng)對某著名企業(yè)終端用戶登錄、某著名企業(yè)終端管理系統(tǒng)登錄及其他系統(tǒng)級應(yīng)用登錄進(jìn)行身份鑒別；b)某著名企業(yè)終端應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用限制非法登錄次數(shù)等措施。②

某著名企業(yè)終端——控制要求1

提出了對某著名企業(yè)終端

自身安全、某著名企業(yè)終端運行環(huán)境、某著名企業(yè)終端應(yīng)用管理的控制要求。無線網(wǎng)絡(luò)某著名企業(yè)應(yīng)用某著名企業(yè)管理定級某著名企業(yè)終端a)某著名企業(yè)終端管理客戶端應(yīng)具有軟件白名單功能，應(yīng)能根據(jù)白名單控制應(yīng)用軟件安裝、運行；b)某著名企業(yè)終端管理客戶端應(yīng)具有應(yīng)用軟件權(quán)限控制功能，應(yīng)能控制應(yīng)用軟件對某著名企業(yè)終端中資源的訪問；c)某著名企業(yè)終端管理客戶端應(yīng)只允許等級保護(hù)對象管理者指定證書簽名的應(yīng)用軟件安裝和運行；d)某著名企業(yè)終端管理客戶端應(yīng)具有接受某著名企業(yè)終端管理服務(wù)端推送的某著名企業(yè)應(yīng)用軟件管理策略

，并根據(jù)該策略對軟件實施管控的能力。a)

應(yīng)保證某著名企業(yè)終端只用于處理與等級保護(hù)對象相關(guān)業(yè)務(wù)；b)應(yīng)保證某著名企業(yè)終端安裝、注冊并運行

終端管理客戶端軟件；c)某著名企業(yè)終端應(yīng)接受等級保護(hù)對象某著名企業(yè)終端管理服務(wù)端的設(shè)備生命周期管理、設(shè)備遠(yuǎn)程控制、設(shè)備安全管控。②

某著名企業(yè)終端——控制要求2

特別增加了應(yīng)用管控、某著名企業(yè)終端管控的控制要求。無線網(wǎng)絡(luò)某著名企業(yè)應(yīng)用某著名企業(yè)管理定級某著名企業(yè)終端。

sharea)應(yīng)能發(fā)現(xiàn)系統(tǒng)某著名企業(yè)終端、無線接入設(shè)備、無線接入網(wǎng)關(guān)設(shè)備可能存在的漏洞，并在經(jīng)過充分測試評估后，及時修補(bǔ)漏洞；b)應(yīng)禁用無線接入設(shè)備和無線接入網(wǎng)關(guān)存在風(fēng)險的功能，如:SSID廣播、WEP認(rèn)證等；c)應(yīng)禁止多個AP使用同一個鑒別密鑰。a)

應(yīng)在有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)邊界根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，

默認(rèn)情況下，

除允外，受控接口拒絕所有通信；

b)

應(yīng)對來自某著名企業(yè)終端的數(shù)據(jù)流量、數(shù)據(jù)包和協(xié)議等進(jìn)行檢查，

以允許/拒絕數(shù)據(jù)包通過；c)

應(yīng)在無線接入網(wǎng)關(guān)上對進(jìn)出無線網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行內(nèi)容過濾；a)應(yīng)能夠檢測、記錄、定位非授權(quán)無線接入設(shè)備；b)

應(yīng)能夠?qū)Ψ鞘跈?quán)某著名企業(yè)終端接入的行為進(jìn)行檢測、記錄、定位；c)應(yīng)具備對針對無線接入設(shè)備的網(wǎng)絡(luò)掃描、DoS攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為進(jìn)行檢測、記錄、分析定位；a)

應(yīng)保證無線接入網(wǎng)關(guān)的處理能力滿足業(yè)務(wù)高峰期需要；

b)

應(yīng)保證無線接入設(shè)備的帶寬滿足業(yè)務(wù)高峰期需要；c)無線接入設(shè)備應(yīng)開啟接入認(rèn)證功能，并支持采用認(rèn)證服務(wù)器戒國產(chǎn)算法進(jìn)行加密。

特別增加了網(wǎng)絡(luò)設(shè)備防護(hù)、無線通信完整性和性的控制要求。

提出了對無線網(wǎng)絡(luò)設(shè)備在無線設(shè)備接入、無線設(shè)備自身安全、通信安全、網(wǎng)絡(luò)邊界安全的控制要求。③

無線網(wǎng)絡(luò)——控制要求1無線網(wǎng)絡(luò)某著名企業(yè)應(yīng)用某著名企業(yè)管理定級某著名企業(yè)終端。

sharea)某著名企業(yè)應(yīng)用軟件應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在本地存儲時的保密性；b)

應(yīng)確保某著名企業(yè)應(yīng)用軟件之間的重要數(shù)據(jù)不能被互操作；c)

應(yīng)確保某著名企業(yè)應(yīng)用軟件數(shù)據(jù)文件所在的存儲空間，被釋放或重

新分配前可得到完全清除

；d)某著名企業(yè)應(yīng)用軟件應(yīng)對通信過程中的敏感信息字段或整個報文進(jìn)行

密碼加密。a)使用口令登錄時，應(yīng)強(qiáng)制用戶首次登錄時修改初始口令，對用戶的鑒別信息進(jìn)行復(fù)雜度檢查；b)用戶身份鑒別信息丟失或失效時，應(yīng)采用鑒別信息重置或其他技術(shù)措施保證系統(tǒng)安全；c)某著名企業(yè)應(yīng)用軟件應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，

身份標(biāo)識具有唯一性，

鑒別信息具有復(fù)雜度要求；d)某著名企業(yè)應(yīng)用軟件應(yīng)提供并啟用登錄失敗處理功能，多次登錄失敗后應(yīng)采取必要的保護(hù)措施；e)應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別。

特別增加了軟件審核與檢測的控制要求。

提出了對某著名企業(yè)應(yīng)用系統(tǒng)自身安全、代碼完整性、通信安全、備份恢復(fù)管理的控制要求。a)某著名企業(yè)應(yīng)用軟件應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性；b)某著名企業(yè)應(yīng)用軟件應(yīng)采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)存儲時的完整性，并在檢測到完整性錯誤時采取必要的恢復(fù)措施

；c)某著名企業(yè)應(yīng)用軟件應(yīng)采用校驗技術(shù)保證代碼的完整性。應(yīng)保證等級保護(hù)對象業(yè)務(wù)某著名企業(yè)應(yīng)用軟件開發(fā)后上線前經(jīng)專業(yè)測評

機(jī)構(gòu)安全檢測。④

某著名企業(yè)應(yīng)用——控制要求1無線網(wǎng)絡(luò)某著名企業(yè)應(yīng)用某著名企業(yè)管理定級某著名企業(yè)終端。

sharea)

應(yīng)根據(jù)各個部門和崗位的職責(zé)明確某著名企業(yè)互聯(lián)管理授權(quán)審批事項、審批部門和批準(zhǔn)人；b)應(yīng)針對某著名企業(yè)互聯(lián)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項執(zhí)行審批過程；c)應(yīng)保證某著名企業(yè)終端管理服務(wù)端設(shè)置專職管理員、操作員權(quán)限由審批部門或批準(zhǔn)人批準(zhǔn)。a)應(yīng)建立等級保護(hù)對象某著名企業(yè)互聯(lián)安全管理制度，并納入等級保護(hù)對象管理安全制度；b)應(yīng)對管理人員或某著名企業(yè)終端操作人員執(zhí)行的日常管理操作建立操作規(guī)程；c)

應(yīng)在等級保護(hù)對象管理制度某著名企業(yè)立某著名企業(yè)終端管理服務(wù)端操作使用管理規(guī)定。a)應(yīng)對各類人員進(jìn)行某著名企業(yè)互聯(lián)管理安全意識教育和崗位技能培訓(xùn)，

并告知相關(guān)的安全責(zé)任和懲戒措施；b)

應(yīng)對某著名企業(yè)終端管理服務(wù)端設(shè)置專職管理員、操作員進(jìn)行專項安全意識教育和崗位技能培訓(xùn)，并告知相關(guān)的安全責(zé)任和懲戒措施a)應(yīng)將某著名企業(yè)互聯(lián)管理納入等級保護(hù)對象管理員職責(zé)；b)應(yīng)設(shè)立某著名企業(yè)互聯(lián)信息安全管理工作的職能部門，并制定各負(fù)責(zé)人的職責(zé)；c)應(yīng)為某著名企業(yè)終端管理服務(wù)端設(shè)置專職管理員、操作員，

并納入職能部門職責(zé)。⑤

某著名企業(yè)管理——管理要求1應(yīng)保證某著名企業(yè)終端管理服務(wù)端配備專職管理員、操作員和審計員

提出了對管理制度的制定、崗位職責(zé)設(shè)定、

日常操作管理、技能培訓(xùn)的管理要求。無線網(wǎng)絡(luò)某著名企業(yè)應(yīng)用某著名企業(yè)管理定級某著名企業(yè)終端。

sharea)應(yīng)根據(jù)等級保護(hù)對象的安全保護(hù)等級選擇某著名企業(yè)互聯(lián)基本安全措施，

依據(jù)風(fēng)險分析的結(jié)果補(bǔ)充和調(diào)整安全措施；b)應(yīng)根據(jù)等級保護(hù)對象的安全保護(hù)等級進(jìn)行某著名企業(yè)互聯(lián)安全方案設(shè)計，

并納入系統(tǒng)總體方案設(shè)計；c)

應(yīng)組織相關(guān)部門和安全專家對系統(tǒng)某著名企業(yè)互聯(lián)安全方案設(shè)計進(jìn)行論證和審定，

經(jīng)過批準(zhǔn)后才能正式實施。a)應(yīng)確保某著名企業(yè)互聯(lián)信息安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定；

b)相關(guān)密碼產(chǎn)品使用應(yīng)符合國家密碼管理相關(guān)規(guī)定。應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)系統(tǒng)某著名企業(yè)互聯(lián)工程實施過程的管理。應(yīng)對系統(tǒng)的某著名企業(yè)互聯(lián)部分進(jìn)行安全性測試驗收。a)應(yīng)根據(jù)交付清單對所交接的某著名企業(yè)互聯(lián)設(shè)備、某著名企業(yè)應(yīng)用軟件和文檔等進(jìn)行清

點；b)應(yīng)對負(fù)責(zé)系統(tǒng)某著名企業(yè)互聯(lián)運行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)c)應(yīng)確保提供某著名企業(yè)互聯(lián)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運行維護(hù)的文檔

；d)

應(yīng)確保提供某著名企業(yè)終端管理服務(wù)端建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運行維護(hù)的文檔。a)應(yīng)要求對某著名企業(yè)業(yè)務(wù)應(yīng)用軟件開發(fā)者進(jìn)行資格審查；b)應(yīng)確保開發(fā)某著名企業(yè)業(yè)務(wù)應(yīng)用軟件的簽名證書合法性；c)應(yīng)要求某著名企業(yè)應(yīng)用軟件開發(fā)完提供軟件設(shè)計文檔、使用指南及軟件源代碼；d)應(yīng)要求應(yīng)用軟件開發(fā)使用的工具來源可靠；e)

自行開發(fā)某著名企業(yè)應(yīng)用軟件，應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開，測試數(shù)據(jù)和測試結(jié)果受到控制；f)

自行開發(fā)某著名企業(yè)應(yīng)用軟件，應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則；g)

自行開發(fā)某著名企業(yè)應(yīng)用軟件，應(yīng)確保具備軟件設(shè)計的相關(guān)文檔和使用指南，

并對文檔使用進(jìn)行控制；h)

自行開發(fā)某著名企業(yè)應(yīng)用軟件，應(yīng)確保對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)，并嚴(yán)格進(jìn)行版本控制。。

sharea)應(yīng)確保某著名企業(yè)互聯(lián)安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定；b)應(yīng)與選定的某著名企業(yè)互聯(lián)安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；c)應(yīng)與選定的服務(wù)供應(yīng)商簽訂相關(guān)協(xié)議，明確整個服務(wù)供應(yīng)鏈各方需履行的信息安全相關(guān)義務(wù)；d)應(yīng)選擇安全可靠應(yīng)用軟件分發(fā)運營商

提出了對軟件開發(fā)活動、產(chǎn)品采購、工程實施、方案設(shè)計、系統(tǒng)交付活動、服務(wù)商選擇的管理要求。⑤

某著名企業(yè)管理——管理要求2無線網(wǎng)絡(luò)某著名企業(yè)應(yīng)用某著名企業(yè)管理定級某著名企業(yè)終端a)應(yīng)編制并保存與等級保護(hù)對象相關(guān)的某著名企業(yè)終端資產(chǎn)清單，

包括資產(chǎn)責(zé)任部門、

重要程度和使用人等內(nèi)容；b)

應(yīng)根據(jù)資產(chǎn)的重要程度對某著名企業(yè)終端進(jìn)行標(biāo)識管理，根據(jù)其價值選擇相應(yīng)的管理措施。a)應(yīng)對各種某著名企業(yè)互聯(lián)設(shè)備(包括無線接入設(shè)備及某著名企業(yè)終端)維護(hù)納入等級保護(hù)對象進(jìn)行管理；b)應(yīng)確保某著名企業(yè)終端在報廢或重用前應(yīng)進(jìn)行完全清除或被安全覆蓋，

確保該設(shè)備上的敏感數(shù)據(jù)和授權(quán)軟件無法被恢復(fù)重用

；c)應(yīng)在某著名企業(yè)終端設(shè)備丟失后進(jìn)行遠(yuǎn)程數(shù)據(jù)擦除。應(yīng)采取必要的措施識別某著名企業(yè)互聯(lián)安全漏洞和隱患，

對發(fā)現(xiàn)的安全漏洞和隱患及時進(jìn)行修補(bǔ)或評估可能的影響后進(jìn)行修補(bǔ)。a)應(yīng)對某著名企業(yè)終端應(yīng)用軟件惡意代碼防范要求做出規(guī)定，

包括防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、惡意代碼的定期查殺等；b)應(yīng)對截獲的惡意代碼進(jìn)行及時分析處理

；c)應(yīng)保證某著名企業(yè)終端管理服務(wù)端將某著名企業(yè)應(yīng)用軟件運行策略推送給某著名企業(yè)終端。a)某著名企業(yè)終端管理服務(wù)端應(yīng)記錄和保存某著名企業(yè)終端基本配置信息，包括操作系統(tǒng)、軟件組件版本、某著名企業(yè)終端各種設(shè)備或軟件組件的配置參數(shù)等；b)某著名企業(yè)終端管理服務(wù)端應(yīng)將某著名企業(yè)終端基本配置信息改變納入系統(tǒng)變更范疇，

實施對配置信息改變控制，并及時更新基本配置信息庫

；c)應(yīng)建立合法無線接入設(shè)備和合法某著名企業(yè)終端配置庫，

用于對非法無線接入設(shè)備和非法某著名企業(yè)終端的識別。。

sharea)應(yīng)保證某著名企業(yè)終端安裝、運行的應(yīng)用軟件來自等級保護(hù)對象管理者指定證書簽名或可靠分發(fā)渠道；b)應(yīng)保證某著名企業(yè)終端安裝、運行的移動應(yīng)用軟件由經(jīng)審核的開發(fā)者開發(fā)。a)應(yīng)確保某著名企業(yè)終端管理服務(wù)端對某著名企業(yè)終端狀態(tài)、資源使用、軟件運行等進(jìn)行監(jiān)控和審計；b)應(yīng)對上線后的業(yè)務(wù)某著名企業(yè)應(yīng)用軟件進(jìn)行監(jiān)測

特別增加了應(yīng)用軟件來源管理和監(jiān)控和審計管理的要求。

提出了對資產(chǎn)管理、漏洞評估與修復(fù)、惡意代碼檢測、版本管理、備份恢復(fù)管理、事件處置的管理要求。a)應(yīng)識別需要定期備份的某著名企業(yè)終端中的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)

等；b)應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲介質(zhì)、保存期等；c)應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，

制定數(shù)據(jù)的備份策略和恢復(fù)策略、

備份程序和恢復(fù)程序等。a)應(yīng)報告所發(fā)現(xiàn)的某著名企業(yè)互聯(lián)安全弱點和可疑事件；b)應(yīng)明確安全事件的報告和處置流程，

規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)；c)

應(yīng)針對某著名企業(yè)互聯(lián)系統(tǒng)發(fā)生的安全事件制定應(yīng)急處置預(yù)案。⑤

某著名企業(yè)管理——管理要求3無線網(wǎng)絡(luò)某著名企業(yè)應(yīng)用某著名企業(yè)管理定級某著名企業(yè)終端。

share等保2.0擴(kuò)展要求(三)工控安全勇share工業(yè)控制系統(tǒng)安全功能層次模型現(xiàn)場控制層現(xiàn)場設(shè)備層工業(yè)控制管理生產(chǎn)管理層過程監(jiān)控層。

sharea)應(yīng)能生成安全相關(guān)審計記錄，包括:訪問控制、請求錯誤、操作系統(tǒng)事件、備份和恢復(fù)事件、配置改變、潛在的偵察活動和審計日志事件。單個審計記錄應(yīng)包括時間戳、來源(源設(shè)備、軟件進(jìn)程或人員用戶帳戶)、分類、類型、事件ID和事件結(jié)果；b)應(yīng)能集中管理審計事件并從系統(tǒng)多個組件收集審計記錄，

系統(tǒng)范圍(邏輯或物理)的時間相關(guān)審計蹤跡。應(yīng)能按照工業(yè)標(biāo)準(zhǔn)格式輸出這些審計記錄，用于商業(yè)日志分析工具進(jìn)行分析，例如，安全信息和事件管理

(SIEM)

)

；c)根據(jù)一般公認(rèn)的日志管理和系統(tǒng)配置的建議，

系統(tǒng)應(yīng)設(shè)置足夠的審計記錄存儲容量。系統(tǒng)應(yīng)提供審計機(jī)制來減少超出容量的可能性；d)當(dāng)分配審計記錄存儲值達(dá)到最大審計記錄存儲容量的配置比例時，系統(tǒng)應(yīng)能發(fā)出警告；當(dāng)容量超出時，支持覆蓋；e)在審計事件的處理失敗時，

系統(tǒng)能對人員進(jìn)行警示并防止喪失基本服務(wù)和功能。

根據(jù)普遍接受的工業(yè)實踐和建議，系統(tǒng)應(yīng)能在審計處理失敗的情況下，采取恰當(dāng)響應(yīng)行動；f)在審計記錄生成時，系統(tǒng)應(yīng)提供時間戳；g)應(yīng)在可配置的頻率下，對系統(tǒng)時鐘進(jìn)行同步；h)應(yīng)保護(hù)審計信息和審計工具(如有)，防止其在未授權(quán)情況下被獲取、修改和刪除；a)應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在網(wǎng)絡(luò)邊界處且沒有邊界防護(hù)措施；

b)應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余，保證系統(tǒng)的可用性。a)對一個可配置的時間或事件序列，應(yīng)支持主管手動超馳當(dāng)前人員用戶授權(quán)；b)應(yīng)通過手動或在一個可配置非活動周期后系統(tǒng)自動啟動會話鎖定防止進(jìn)一步訪問。

會話鎖定應(yīng)一直保持有效，

直到擁有會話的人員用戶或其它授權(quán)的人員用戶使用適當(dāng)?shù)纳矸輼?biāo)識和鑒別規(guī)程重新建立訪問；c)應(yīng)在一個可配置非活動時間周期后自動地，或由發(fā)起會話的用戶手動地終止遠(yuǎn)程會話；d)應(yīng)在網(wǎng)絡(luò)邊界或安全域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，

默認(rèn)情況下除允外受控接口拒絕所有通信；e)應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化。

提出了對網(wǎng)絡(luò)區(qū)域防護(hù)、設(shè)備硬件冗余、訪問控制策略管理、審計管理的控制要求。①

生產(chǎn)管理層——控制要求1現(xiàn)場控制層現(xiàn)場設(shè)備層工業(yè)控制管理生產(chǎn)管理層過程監(jiān)控層。

sharea)應(yīng)對控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)的邊界，

以及控制系統(tǒng)內(nèi)安全域和安全域之間的邊界，

進(jìn)行監(jiān)視和控制區(qū)域邊界通信；b)應(yīng)在控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)的邊界，

以及控制系統(tǒng)內(nèi)安全域和安全域之間的邊界，

默認(rèn)拒絕所有網(wǎng)絡(luò)數(shù)據(jù)流，允網(wǎng)絡(luò)數(shù)據(jù)流；c)

應(yīng)在控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)的邊界，以及控制系統(tǒng)內(nèi)安全域和安全域之間的邊界上，阻止任何通過的通信；d)

應(yīng)在控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)的邊界防護(hù)機(jī)制失效時，能阻止所有邊界通信(也稱）故障關(guān)閉）；

但故障關(guān)閉功能的設(shè)計不應(yīng)干擾安全相關(guān)功能的運行；應(yīng)在控制系統(tǒng)內(nèi)安全域和安全域之間的邊界防護(hù)機(jī)制失效時，及時進(jìn)行報警，并保障不影響關(guān)鍵設(shè)備通訊；e)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備聯(lián)到網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；f)應(yīng)能夠?qū)τ脩袈?lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；g)

應(yīng)確保無線網(wǎng)絡(luò)通過受控的控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)的邊界，以及控制系統(tǒng)內(nèi)安全域和安全域之間的邊界時，邊界防護(hù)設(shè)備接入(有線）

網(wǎng)絡(luò)；h)應(yīng)能識別控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)上的邊界通訊入侵行為，并有效阻斷；a)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進(jìn)行檢測和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級和更新；b)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進(jìn)行檢測和防護(hù)，并維護(hù)垃圾郵件防護(hù)