2023年等级保护2.0基本要求-二级三级对比表

1通用技术规定

1.1安全物理环境戈号需要满足符合名称详细规定2级3级项不需要满足符合项

③空序1物理位置选a）机房场地应选用在具有防震、防风和防雨等能力00用建筑内；00b）机房场地应防止设在建筑物顶层或地下室，否则应加强防水和防潮措施2物理访问控机房出入口应安排专人值守或配置电子门禁系统，0因制控制、鉴别和记录进入人员机房出入口应配置电子门禁系统，控制、鉴别和记录因0进入人员Qb）应通过系统管理员对系统资源和运行进行配00置、控制和管理，包括顾客身份、系统资源配置、系统加载和启动、系统运行异常处理、数据和设备备份和恢复等00a）应对审计管理员进行身份鉴别，只容许其通过特定命令或操作界面进行安全审计操作，并对这些操作进行审计；2审计管理b）应通过审计管理员对审计记录进行分析，并00根据分析成果进行处理，包括根据安全审计方略对审计记录进行存储、管理和查询等a）应对安全管理员进行身份鉴别，只容许其通过特定命令或操作界面进行安全管理操作，并对这些操作进行审计；b）应通过安全管理员对系统中安全方略进行配置，包括安全参数设置，主体、客体进行统一3安全管理回0安全标识，对主体进行授权，配置可信验证方略等b）应通过安全管理员对系统中安全方略进行配置，包括安全参数设置，主体、客体进行统一安全标识，对主体进行授权，配置可信验证方略等a）应划分出特定管理区域，对分布在网络中安全设备或安全组件进行管控；b）应可以建立一条安全信息传播途径，对网络中安全设备或安全组件进行管理；c）应对网络链路、安全设备、网络设备和服务器等运行状况进行集中监测；4集中管控回0d）应对分散在各个设备上审计数据进行搜集汇总和集中分析，并保证审计记录留存时间符合法律法规规定；e）应对安全方略、恶意代码、补丁升级等安全有关事项进行集中管理；f）应能对网络中发生各类安全事件进行识别、报警和分析2通用管理

2.1安全管理制度序号名称详细规定2级3级应制定网络安全工作总体方针和安全方略，阐00明机构安全工作总体目日勺、范围、原则和安全1安全方略框架等00a）应对安全管理活动中关键管理内容建立安全管理制度；00b）应对管理人员或操作人员实行寻常管理操作2管理制度建立操作规程c）应形成由安全方略、管理制度、操作规程、登回0记表单等构成全面安全管理制度体系00a）应指定或授权专门部门或人员负责安全管理制度制定；3制定和公布00b）安全管理制度应通过正式、有效措施公布，并进行版本控制00应定期对安全管理制度合理性和合用性进行论证和审定，对存在局限性或需要改善安全管理4评审和修订制度进行修订

2.2安全管理机构序号名称详细规定2级3级1岗位设置a）应设置网络安全管理工作职能部门，设置00安全主管、安全管理各个方面负责人岗位，并定义各负责人职责；00b）应设置系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位职责a）应成立指导和管理网络安全工作委员会或领导小组，其最高领导由单位主管领导担任或授0权；应配置一定数量系统管理员、审计管理员和安全00管理员等2人员配置b）应配置专职安全管理员，不可兼任000a）应根据各个部门和岗位职责明确授权审批事项、审批部门和同意人等；b）应针对系统变更、关键操作、物理访问和系0统接入等事项实行审批过程b）应针对系统变更、关键操作、物理访问和系3授权和审批统接入等事项建立审批程序，根据审批程序实行审批过程，对关键活动建立逐层审批制度；0c）应定期审查审批事项,及时更新需授权和审批项目、审批部门和审批人等信息C）应定期审查审批事项，及时更新需授权和审批项目、审批部门和审批人等信息00a）应加强各类管理人员、组织内部机构和网络安全管理部门之间合作和沟通，定期召开协调会议，共同协作处理网络安全问题；4沟通和合作00b）应加强和网络安全职能部门、各类供应商、业界专家及安全组织合作和沟通；00C）应建立外联单位联络列表，包括外联单位名称、合作内容、联络人和联络措施等信息应定期进行常规安全检查，检查内容包括系统00寻常运行、系统漏洞和数据备份等状况b）应定期进行全面安全检查，检查内容包括既有安全技术措施有效性、安全配置和安全方略一致性、安全管理制度实行状况等；5审核和检查c）应制定安全检查表格实行安全检查，汇总安0全检查数据，形成安全检查汇报，并对安全检查成果进行通报C）应制定安全检查表格实行安全检查，汇总安全检查数据，形成安全检查汇报，并对安全检查成果进行通报

2.3安全管理人员序号名称详细规定2级3级00a）应指定或授权专门部门或人员负责人员录取；0b）应对被录取人员身份、安全背景、专业资格0或资质等进行审查，对其所具有技术技能进1人员录取行考核；C）应和被录取人员签订保密协议，和关键岗位0人员签订岗位责任协议00应及时终止离岗人员所有访问权限，取回多种身份证件、钥匙、徽章等和机构提供软硬件设备2人员离岗b）应办理严风格离手续,并承诺调离后保密义0务后方可离开安全意识教应对各类人员进行安全意识教导和岗位技能培003导和培训训，并告知有关安全责任和惩戒措施b）应针对不一样样岗位制定不一样样培训筹划，对安全基本知识、岗位操作规程等进行培训；0c）应定期对不一样样岗位人员进行技能考核00a）应在外部人员物理访问受控区域前先提出书面申请，同意后由专人全程陪伴，并登记立案；00b）应在外部人员接入受控网络访问系统前先提出书面申请，同意后由专人开设账户、分派权外部人员访限，并登记立案；4问管理00c）外部人员离场后应及时清除其所有访问权限d）获得系统访问授权外部人员应签订保密协议，不得进行非授权操作,不得复制和泄露任何敏感0信息

2.4安全建设管理序号名称详细规定2级3级00a）应以书面形式阐明保护对象安全保护级别及确定级别措施和理由；00b）应组织有关部门和有关安全技术专家对定级1定级和立案成果合理性和对日勺性进行论证和审定；c）应保证定级成果通过有关部门同意；0000d）应将立案材料报主管部门和对应公安机关立案0a）应根据安全保护级别选用基本安全措施，根安全方案设20据风险分析成果补充和调整安全措施；计0b）应根据保护对象安全保护级别进行安全方案设计；0C）应组织有关部门和有关安全专家对安全方案合理性和对日勺性进行论证和审定，通过同意后才能正式实行0b）应根据保护对象安全保护级别及和其他级别保护对象关系进行安全整体筹划和安全方案设计，设计内容应包括密码技术有关内容，并形成配套文献；C）应组织有关部门和有关安全专家对安全整体筹划及其配套文献合理性和对的性进行论证和审定，通过同意后才能正式实行C）应组织有关部门和有关安全专家对安全整体筹划及其配套文献合理性和对的性进行论证和审定，通过同意后才能正式实行00a）应保证网络安全产品采购和使用符合国家有关规定；b）应保证密码产品和服务采购和使用符合国家00产品采购和3密码管理主管部门规定使用c）应预先对产品进行选型测试，确定产品候选0范围，并定期审定和更新候选产品名单a）应将开发环境和实际运行环境物理分开，测00试数据和测试成果受到控制；00b）应在软件开发过程中对安全性进行测试，在软件安装前对也许存在恶意代码进行检测自行软件开40b）应制定软件开发管理制度，明确阐明开发过发程控制措施和人员行为准则；c）应制定代码编写安全规范，规定开发人员参照规范编写代码；d）应具有软件设计有关文档和使用指南，并对文档使用进行控制；f）应对程序资源库修改、更新、公布进行授权和同意，并严格进行版本控制；g）应保证开发人员为专职人员，开发人员开发活动受到控制、监视和审查g）应保证开发人员为专职人员，开发人员开发活动受到控制、监视和审查00a）应在软件交付前检测其中也许存在恶意代码；00b）应保证开发单位提供软件设计文档和使用指外包软件开5南发c）应保证开发单位提供软件源代码，并审查软0件中也许存在后门和隐蔽信道00a）应指定或授权专门部门或人员负责工程实行过程管理；006工程实行b）应制定安全工程实行方案控制工程实行过程0c）应通过第三方工程监理控制项目的实行过程00a）应制定测试验收方案，并根据测试验收方案实行测试验收，形成测试验收汇报；07测试验收0b）应进行上线前安全性测试，并出具安全测试汇报安全测试汇报应包括密码应用安全性测试有关内容00a）应制定交付清单，并根据交付清单对所交接设备、软件和文档等进行清点；8系统交付b）应对负责运行维护技术人员进行对应技能培00训；0c）应提供建设过程文档和运行维护文档00a）应定期进行级别测评，发现不符合对应级别0保护原则规定及时整改；9级别测评00b）应在发生重大变更或级别发生变化时进行级别测评；C）应保证测评机构选用符合国家有关规定0000a）应保证服务供应商选用符合国家有关规定；00b）应和选定服务供应商签订有关协议，明确整个服务供应链各方需履行网络安全有关义务服务供应商10选用c）应定期监督、评审和审核服务供应商提供服0务，并对其变更服务内容加以控制

2.5安全运维管理序号名称详细规定2级3级0a）应指定专门部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、0温湿度控制、消防等设施进行维护管理；0b）应对机房安全管理做出规定，包括物理访问、物品进出和环境安全等；1环境管理）应建立机房安全管理制度,对有关物理访间、b物品带进出和环境安全等方面管理作出规定;000c）应不在关键区域接待来访人员，不随意放置具有敏感信息纸档文献和移动介质等0应编制并保留和保护对象有关资产清单，包括0资产责任部门、关键程度和所处位置等内容2资产管理b）应根据资产关键程度对资产进行标识管理，0根据资产价值选用对应管理措施；C）应对信息分类和标识措施作出规定，并对信息使用、传播和存储等进行规范化管理C）应对信息分类和标识措施作出规定，并对信息使用、传播和存储等进行规范化管理00a）应将介质存储在安全环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质目录清单定期盘点；3介质管理00b）应对介质在物理传播过程中人员选用、打包、交付等状况进行控制，并对介质归档和查询等进行登记记录00a）应对多种设备（包括备份和冗余设备）、线路等指定专门部门或人员定期进行维护管理；00b）应对配套设施、软硬件维护管理做出规定，包括明确维护人员责任、维修和服务审批、维修过程监督控制等c）信息处理设备必须通过审批才能带离机房或设备维护管4办公地点，具有存储介质设备带出工作环境时理其中关键数据必须加密；.d）具有存储介质设备在报废或重用前，应进行0完全清除或被安全覆盖，保证该设备上敏感数据和授权软件无法被恢复重用d）具有存储介质设备在报废或重用前，应进行完全清除或被安全覆盖，保证该设备上敏感数据和授权软件无法被恢复重用00应采用必须措施识别安全漏洞和隐患，对发现安全漏洞和隐患及时进行修补或评估也许影响后进行修补漏洞和风险5管理b）应定期开展安全测评，形成安全测评汇报，0采用措施应对发现安全问题00网络和系统a）应划分不一样样管理员角色进行网络和系统6安全管理运维管理，明确各个角色责任和权限；00b）应指定专门部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制；00c）应建立网络和系统安全管理制度，对安全方略、账户管理、配置管理、日志管理、寻常操作、升级和打补丁、口令更新周期等方面作出规定；00d）应制定关键设备配置和操作手册，根据手册对设备进行安全配置和优化配置等；00e）应详细记录运维操作日志，包括寻常巡检工作、运行维护记录、参数设置和修改等内容f）应指定专门部门或人员对日志、监测和报警数据等进行分析、记录，及时发现可疑行为；g）应严格控制变更性运维，通过审批后才可变化连接、安装系统组件或调整配置参数，操作过程中应保留不可更改审计日志，操作结束后应同步更新配置信息库；.h）应严格控制运维工具使用，通过审批后才可接入进行操作，操作过程中应保留不可更改审计日志，操作结束后应删除工具中敏感数据；i）应严格控制远程运维开通，通过审批后才可0开通远程运维接口或通道，操作过程中应保留不可更改审计日志，操作结束后及时关闭接口或通道；j）应保证所有和外部连接均得到授权和同意，应定期检查违反规定无线上网及其他违反网络安全方略行为j）应保证所有和外部连接均得到授权和同意，应定期检查违反规定无线上网及其他违反网络安全方略行为3防盗窃和防a）应将设备或关键部件进行固定，并设置明显不易00破坏除去标识；b）应将通信线缆铺设在隐蔽安全处00c）应设置机房防盗报警系统或设置有专人值守视频回0监控系统4防雷击应将各类机柜、设施和设备等通过接地系统安全接00地b）应采用措施防止感应雷，例如设置防雷保安器或回0过压保护装置等.5防火a）机房应设置火灾自动消防系统，可以自动检测火00情、自动报警，并自动灭火；00b）机房及有关工作房间和辅助房应采用品有耐火级别建筑材料C）应对机房划分区域进行管理，区域和区域之间设回0置隔离防火措施6防水和防潮a）应采用措施防止雨水通过机房窗户、屋顶和墙壁00渗透；00b）应采用措施防止机房内水蒸气结露和地下积水转移和渗透C）应安装对水敏感检测仪表或元件，对机房进行防因0水检测和报警7防静电应采用防静电地板或地面并采用必须接地防静电措00施0b）应采用措施防止静电产生，例如采用静电消除器、回佩戴防静电手环等8湿温度控制应设置温湿度自动调整设施，使机房温湿度变化在00设备运行所容许范围之内9电力供应a）应在机房供电线路上配置稳压器和过电压防护00a）应提高所有顾客防恶意代码意识，对外来计00算机或存储设备接入系统前进行恶意代码检查等；0b）应对恶意代码防备规定做出规定，包括防恶意代码软件授权使用、恶意代码库升级、恶意恶意代码防7代码定期查杀等；备管理0c）应定期检查恶意代码库升级状况，对截获恶意代码进行及时分析处理）应定期验证防备恶意代码袭击技术措施有效b0性00应记录和保留基本配置信息，包括网络拓扑构造、各个设备安装软件组件、软件组件版本和补丁信息、各个设备或软件组件配置参数等8配置管理b）应将基本配置信息变化纳入变更范围，实行对配置信息变化控制，并及时更新基本配置信0息库a）应遵照密码有关国标和行业原则；009密码管理00b）应使用国家密码管理主管部门认证核准密码技术和产品0应明确变更需求，变更前根据变更需求制定变0更方案，变更方案通过评审、审批后方可实行b）应建立变更申报和审批控制程序，根据程序10变更管理控制所有变更，记录变更实行过程；c）应建立中断变更并从失败变更中恢复程序，明确过程0控制措施和人员职责，必须时对恢复过程进行演习C）应建立中断变更并从失败变更中恢复程序，明确过程控制措施和人员职责，必须时对恢复过程进行演习00a）应识别需要定期备份关键业务信息、系统数据及软件系统等；00b）应规定备份信息备份措施、备份频度、存储备份和恢复介质、保留期等；11管理c）应根据数据关键性和数据对系统运行影响，00制定数据备份方略和恢复方略、备份程序和恢复程序等00a）应及时向安全管理部门汇报所发现安全弱点和可疑事件；00b）应制定安全事件汇报和处理管理制度，明确不一样样安全事件汇报、处理和响应环节，规定安全事件现场处理、事件汇报和后期恢复管理职责等；安全事件处12理c）应在安全事件汇报和响应处理过程中，分析00和鉴定事件产生原因，搜集证据，记录处理过程，总结经验教训d）对导致系统中断和导致信息泄漏重大安全事0件应采用不一样样处理程序和汇报程序00a）应制定关键事件应急预案，包括应急处理环节、系统恢复环节等内容；00b）应定期对系统有关人员进行应急预案培训，并进行应急预案演习应急预案管13a）应规定统一应急预案框架，包括启动预案条理件、应急组织构成、应急资源保障、事后教导0和培训等内容；d）应定期对原有应急预案重新评估，修订完善014外包运维管a）应保证外包运维服务商选用符合国家有关00理规定；00b）应和选定外包运维服务商签订有关协议，明确约定外包运维范围、工作内容C）应保证选用外包运维服务商在技术和管理方面均应具有根据级别保护规定开展安全运维工作能力，并将能力规定在签订协议中明确；d）应在和外包运维服务商签订协议中明确所有有关安全规定，如也许包括对敏感信息访问、处理、存储规定，对IT基本设施中断服务应急0保障规定等d）应在和外包运维服务商签订协议中明确所有有关安全规定，如也许包括对敏感信息访问、处理、存储规定，对IT基本设施中断服务应急保障规定等3云计算安全扩展规定安全物理环境

3.1序号名称详细规定2级3级00a）应保证云计算基本设施在中华人民共和国1基本设施位置境内安全通信网络

3.2序号名称详细规定2级3级00a）应保证云计算平台不承载高于其安全保护级别业务应用系统；1网络架构00b）应实现不一样样云服务器顾客虚拟网络之间隔离；00c）应具有根据云服务顾客业务需求提供通信传播、边界防护、入侵防备等安全机制能力d）应具有根据云服务顾客业务需求自主设置安0全方略能力，包括定义访问途径、选用安全组件、配置安全方略；0e）应提供开放接口或开放性安全服务，容许云服务顾客接入第三方安全产品或在云计算平台选用第三方安全服务安全区域边界

3.3序号名称详细规定2级3级00a）应在虚拟化网络边界布置访问控制机制，并设置访问控制规则；1访问控制00b）应在不相似级网络区域边界布置访问控制机制，设置访问控制规则0a）应能检测到云服务顾客提议网络袭击行为，并能记录袭击类型、袭击时间、袭击流量等；0b）应能检测到对虚拟网络节点网络袭击行为，并能记录袭击类型、袭击时间、袭击流量2入侵防备等；0c）应能检测到虚拟机和宿主机、虚拟机和虚拟机之间异常流量d）应在检测到网络袭击行为、异常流量状况时0进行告警a）应对云服务商和云服务顾客在远程管理时实00行特权命令进行审计，至少包括虚拟机删除、虚拟机重启；3安全审计b）应保证云服务商对云服务顾客系统和数据操00作可被云服务顾客审计安全计算环境

3.4序号名称详细规定2级3级当远程管理云计算平台中设备时，管理终端和云计算平台之间应建立双向身份验证机制1身份鉴别000a）应保证当虚拟机迁移时，访问控制方略随其迁移；2访问控制00b）应容许云服务顾客设置不一样样虚拟机之间访问控制方略00a）应针对关键业务系统提供加固操作系统镜像或操作系统安全加固服务00b）应提供虚拟机镜像、快照完整性校验功能，防镜像和快止虚拟机镜像被恶意篡改照保护0c）应采用密码技术或其他技术手段防止虚拟机镜像、快照中也许存在敏感资源被非法访问a）应保证云服务顾客数据、顾客个人信息等存储00于中华人民共和国境内，如需出境应遵照国家有关规定；b）应保证只有在云服务顾客授权下，云服务商或00第三方才具有云服务顾客数据管理权限；数据完整3性和保密0c）应保证虚拟机迁移过程中关键数据完整性，并0性在检测到完整性受到破坏时采用必须恢复措施（3级应使用校验码或密码技术保证……）d）应支持云服务顾客布置密钥管了处理方案，保0证云服务顾客自行实现数据加解密过程a）云服务顾客应在当地保留其业务数据备份；00数据备份400b）应提供查询云服务顾客数据及备份存储位置能恢复力C云服务商云存储服务应保证云服务顾客数据存0在若干个可用副本，各副本之间内容应保持一致；0d应为云服务顾客将业务系统及数据迁移到其他云计算平台和当地系统提供技术手段，并协助完毕迁移过程00a应保证虚拟机所使用内存和存储空间回收时得到完全清除；剩余信息500b云服务顾客删除业务应用数据时，云计算平台应保护将云存储中所有副本删除

1.11安全管理中心序号名称详细规定2级3级a应能对物理资源和虚拟资源根据方略0做统一管理调度和分派；b应保证云计算平台管理流量和云服务顾客业务流量分离；c应根据云服务商和云服务顾客职责划分，搜集各自控制某些审计数据并实现各自集中审计；1集中管控d应根据云服务商和云服务顾客职责划分，实现各自控制某些，包括虚拟化网络、虚拟机、虚拟化安全设备等运行状况集中监测e应根据云服务商和云服务顾客职责划分，实现各自控制某些，包括虚拟化网络、虚拟机、虚拟化安全设备等运行状况集中监测

1.2安全建设管理序号名称详细规定2级3级00a）应选用安全合规云服务商，其所提供云计算平台应为其所承载业务应用系统提供对应级别安全保护能力；00b）应在服务水平协议中规定云服务各项服务内容和详细技术指标；00c）应在服务水平协议中规定云服务商权限和责任，包括管理范围、职责划分、访问授权、隐云服务商选1私保护、行为准则、违约责任等；用00d）应在服务水平协议中规定服务合约到期时，完整提供云服务顾客数据，并承诺有关数据在云计算平台上清除0e）应和选定云服务商签订保密协议，规定其不得泄露云服务顾客数据a）应保证供应商选用符合国家有关规定；0000b）应将供应链安全事件信息或安全威胁信息及时传到达云服务顾客2供应链管理0c）应将供应商关键变更及时传到达云服务顾客，并评估变更带来安全风险，采用措施对风险进行控制

1.3安全运维管理序号名称详细规定2级3级00云计算平台运维地点应在中华人民共和国境内，云计算环境1境外对境内云计算平台实行运维操作应遵照国管理家有关规定4移动互联安全扩展设备；00b）应提供短期备用电力供应，至少满足设备在断电状况下正常运行规定C）应设置冗余或并行电力电缆线路为计算机系统供回0电10电磁防护00a）电源线和通信线缆应隔离铺设，防止互相干扰b）b）应对关键设备实行电磁屏蔽因

01.2安全通信网络序号名称详细规定2级3级a）应保证网络设备业务处理能力满足业务高峰期需要；因0b）应保证网络各个某些带宽满足业务高峰期需要；回0C）应划分不一样样网络区域，并根据以便管理和控制原则为各00网络区域分派地址；1网络架构d）应防止将关键网络区域布置在边界处，关键网络区域和其他00网络区域之间应采用可靠技术隔离手段e）应提供通信线路、关键网络设备和关键计算设备硬件冗余，回0保证系统可用性00应采用校验技术保证通信过程中数据完整性（2级）a）应采用校验技术或密码技术保证通信过程中数据完整性（32通信传播级）;b）应采用密码技术保证通信过程中数据保密性因0可基于可信根对通信设备系统引导程序、系统程序、关键配置参数和通信应用程序等进行可信验证，并在检测到其可信性受到破3可信验证坏后进行报警，并将验证成果形成审计记录送至安全管理中心0因可基于可信根对通信设备系统引导程序、系统程序、关键配置参数和通信应用程序等进行可信验证，并在应用程序关键实行环节0进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证成果形成审计记录送至安全管理中心

1.3安全区域边界序号名称详细规定2级3级应保证跨越边界访问和数据流通过边界设备提00供受控接口进行通信b）应可以对非授权设备私自联到内部网络行为回0进行检查或限制；1边界防护c）应可以对内部顾客非授权联到外部网络行为回0进行检查或限制；d）应限制无线网络使用,保证无线网络通过受因0控边界设备接入内部网络00a）应在网络边界或区域之间根据访问控制方略设置访问控制规则，默认状况下除容许通信外受控接口拒绝所有通信；00b）应删除多出或无效访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；2访问控制00c）应对源地址、目日勺地址、源端口、目的端口和协议等进行检查，以容许/拒绝数据包进出；00d）应能根据会话状态信息为进出数据流提供明确容许/拒绝访问能力e）应对进出网络数据流实现基于应用协议和应回0用内容访问控制应在关键网络节点处监视网络袭击行为0冈a）应在关键网络节点处检测、防止或限制从外回0部提议网络袭击行为；0b）应在关键网络节点处检测、防止或限制从内部提议网络袭击行为；0c）应采用技术措施对网络行为进行分析，实现3入侵防备对网络袭击尤其是新型网络袭击行为分析；d）当检测到袭击行为时，记录袭击源IP、袭击回0类型、袭击目的、袭击时间，在发生严重入侵事件时应提供报警a）应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制升级和更新0回恶意代码防备（二级）恶4意代码和垃b）应在关键网络节点处对垃圾邮件进行检测和回0圾邮件防备防护，并维护垃圾邮件防护机制升级和更新（三级）a）应在网络边界、关键网络节点进行安全审计，00审计覆盖到每个顾客，对关键顾客行为和关键安全事件进行审计；00b）审计记录应包括事件日期和时间、顾客、事5安全审计件类型、事件与否成功及其他和审计有关信息；00c）应对审计记录进行保护，定期备份，防止受到未预期删除、修改或覆盖等d）应能对远程访问顾客行为、访问互联网顾客回0行为等单独进行行为审计和数据分析可基于可信根对边界设备系统引导程序、系统程序、关键配置参数和边界防护应用程序等进行6可信验证0因可信验证，并在检测到其可信性受到破坏后进行报警，并将验证成果形成审计记录送至安全管理中心可基于可信根对边界设备系统引导程序、系统程序、关键配置参数和边界防护应用程序等进行可信验证，并在应用程序关键实行环节进行动态可信验证，在检测到其可信性受到破坏后进回0行报警，并将验证成果形成审计记录送至安全管理中心

1.4安全计算环境序号名称详细规定2级3级00a）应对登录顾客进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度规定并定期更换；b）应具有登录失败处理功能，应配置并启用结00束会话、限制非法登录次数和当登录连接超时自动退出等有关措施；1身份鉴别00c）当进行远程管理时，应采用必须措施防止鉴别信息在网络传播过程中被窃听d）应采用口令、密码技术、生物技术等两种或两种以上组合鉴别技术对顾客进行身份鉴另！回01,且其中一种鉴别技术至少应使用密码技术来实现a）应对登录顾客分派账户和权限；0000b）应重命名或删除默认账户，修改默认账户默认口令；2访问控制00c）应及时删除或停用多出、过期账户，防止共享账户存在；00d）应授予管理顾客所需最小权限，实现管理顾客权限分离e）应由授权主体配置访问控制方略，访问控制因0方略规定主体对客体访问规则；f）访问控制粒度应到达主体为顾客级或进程级，回0客体为文献、数据库表级；g）应对关键主体和客体设置安全标识，并控制主体对有安全标识信息资源访问因000a）应启用安全审计功能，审计覆盖到每个顾客，对关键顾客行为和关键安全事件进行审计；00b）审计记录应包括事件日期和时间、顾客、事件类型、事件与否成功及其他和审计有关信3安全审计息；c）应对审计记录进行保护，定期备份，防止受00到未预期删除、修改或覆盖等d）应对审计进程进行保护，防止未经授权中断因0o00a）应遵照最小安装原则，仅安装需要组件和应用程序；b）应关闭不需要系统服务、默认共享和高危端00口；4入侵防备00c）应通过设定终端接入措施或网络地址范围对通过网络进行管理管理终端进行限制；00d）应提供数据有效性检查功能，保证通过人机接口输入或通过通信接口输入内容符合系统设定规定；00e）应能发现也许存在已知漏洞，并在通过充足测试评估后，及时修补漏洞f）应可以检测到对关键节点进行入侵行为，并在发生因0严重入侵事件时提供报警应安装防恶意代码软件或配置具有对应功能软件，并定0回期进行升级和更新防恶意代码库5恶意代码应采用免受恶意代码袭击技术措施或积极免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断回0可基于可信根对计算设备系统引导程序、系统程序、关键配置参数和应用程序等进行可信验证，并在检测到其0因可信性受到破坏后进行报警，并将验证成果形成审计记录送至安全管理中心6可信验证可基于可信根对计算设备系统引导程序、系统程序、关键配置参数和应用程序等进行可信验证，并在应用程序关键实行环节进行动态可信验证，在检测到其可信性受回0到破坏后进行报警，并将验证成果形成审计记录送至安全管理中心应采用校验技术保证关键数据在传播过程中完整性0回a）应采用校验技术或密码技术保证关键数据在传播过程中完整性，包括但不限于鉴别数据、关键业务数据、回0关键审计数据、关键配置数据、关键视频数据和关键个人信息等；7数据完整性b）应采用校验技术或密码技术保证关键数据在存储过程中完整性，包括但不限于鉴别数据、关键业务数据、回0关键审计数据、关键配置数据、关键视频数据和关键个人信息等a）应采用密码技术保证关键数据在传播过程中保密性，包括但不限于鉴别数据、关键业务数据和关键个人信息等；b）应采用密码技术保证关键数据在存储过程中保密性，8数据保密性因0包括但不限于鉴别数据、关键业务数据和关键个人信息等b）应采用密码技术保证关键数据在存储过程中保密性，包括但不限于鉴别数据、关键业务数据和关键个人信息等00a）应提供关键数据当地数据备份和恢复功能；b）应提供异地数据备份功能，运用通信网络将0回关键数据定期批量传送至备用场地9数据备份恢复b）应提供异地实时备份功能，运用通信网络将关键数据实时备份至备份场地；c）应提供关键数据处理系统热冗余，保证系统因0高可用性C）应提供关键数据处理系统热冗余，保证系统高可用性应保证鉴别信息所在存储空间被释放或重新分00剩余信息保派前得到完全清除10护b）应保证留有敏感数据存储空间被释放或重新回0分派前得到完全清除a）应仅采集和保留业务必须顾客个人信息；00个人信息保1100b）应严禁未授权访问和非法使用顾客个人信息护

1.5安全管理中心序号名称详细规定2级3级00a）应对系统管理员进行身份鉴别，只容许其通过特定命令或操作界面进行系统管理操作，并1系统管理对这些操作进行审计；。