一、等保2级与3级的核心内容与区别
等保2.0(《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019)将信息系统分为1-5级,**2级(指导保护级)和3级(监督保护级)**是最常见的两类,主要面向关键信息基础设施和一般重要系统。以下是核心内容对比及区别:
1. 适用场景
- 2级:一般信息系统,破坏后可能对公民、法人和其他组织的合法权益造成损害,或对公共利益造成轻微损害(如企业官网、普通OA系统)。
- 3级:重要信息系统,破坏后可能对公共利益造成严重损害,或对国家安全造成损害(如金融交易系统、医疗核心业务系统、政府政务云)。
2. 技术要求对比
技术要求涵盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五大类,2级与3级的核心差异如下:
| 类别 | 2级要求 | 3级要求(增强点) |
|---|---|---|
| 安全物理环境 | 机房需防火、防水、防雷、防静电;设备部署有冗余;温湿度可控。 | 增加7×24小时监控(如视频、门禁);关键设备需防盗窃(如机柜加锁);温湿度自动调节记录。 |
| 安全通信网络 | 划分安全区域;关键链路冗余;网络通信可采用明文(非强制加密)。 | 通信传输需加密(如TLS/IPSec);关键业务网络需逻辑隔离;支持流量监控与分析。 |
| 安全区域边界 | 部署防火墙、IDS(入侵检测);限制非法外联;边界访问控制为“允许默认拒绝”。 | 增加IPS(入侵防御)、抗DDoS设备;边界访问控制细化到端口/协议;部署应用层过滤(WAF)。 |
| 安全计算环境 | 身份鉴别:静态口令或动态口令(单因素);访问控制:最小权限;审计:记录关键操作。 | 身份鉴别:双因素认证(如密码+UKey/生物识别);访问控制:敏感标记+强制访问控制(MAC);审计:详细日志(含源IP、时间),定期分析;恶意代码实时检测。 |
| 安全管理中心 | 集中管理日志;监控关键设备状态。 | 集中监控全网安全态势(如SIEM系统);支持策略统一下发与异常告警;日志留存≥6个月(2级≥3个月)。 |
3. 管理要求对比
管理要求涵盖安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五大类,3级更强调制度化、流程化和常态化:
| 类别 | 2级要求 | 3级要求(增强点) |
|---|---|---|
| 安全管理制度 | 制定基本制度(如机房管理、备份恢复);制度审批与发布。 | 制定体系化制度(含安全规划、风险评估);制度定期评审(每年至少1次);文档版本控制。 |
| 安全管理机构 | 设立安全管理岗;明确职责;与外部机构协作机制。 | 成立专门安全领导小组;配备专职安全管理员;定期开展跨部门协调会议(每季度至少1次)。 |
| 安全管理人员 | 人员安全培训(入职/转岗);外部人员访问审批。 | 关键岗位背景审查;安全培训覆盖全员(每年至少1次);签订保密协议;第三方人员全程陪同。 |
| 安全建设管理 | 系统定级备案;采购安全产品(符合国标);开发过程基本安全控制(如代码审计)。 | 系统定级专家评审;采购前对供应商进行安全评估;开发过程强制代码审计、渗透测试;上线前安全测评。 |
| 安全运维管理 | 定期漏洞扫描(每半年1次);数据备份(每日增量+每周全量);事件报告(重大事件上报)。 | 漏洞扫描每月1次,高危漏洞24小时内修复;数据备份实时/近实时;应急演练每年至少1次;事件溯源与整改闭环。 |
4. 核心区别总结
| 维度 | 2级 | 3级 |
|---|---|---|
| 威胁应对 | 防范一般性攻击(如病毒、弱口令) | 防范有组织攻击(如APT、数据窃取) |
| 技术深度 | 基础防护(单因素认证、IDS) | 增强防护(双因素认证、IPS、加密) |
| 管理严格度 | 制度框架为主 | 全流程管控(如定期评审、应急演练) |
| 日志留存 | ≥3个月 | ≥6个月(关键日志永久留存) |
| 责任主体 | 企业或机构自主管理 | 需接受监管部门监督检查 |
二、等保2级/3级自查表(简化版)
以下为关键控制项的自查清单,可根据实际系统类型(如云计算、物联网)补充扩展。
| 大类 | 子类 | 2级要求 | 3级要求 | 检查项 | 符合情况(√/×) | 备注 |
|---|---|---|---|---|---|---|
| 安全物理环境 | 机房环境 | 防火、防水、防雷;温湿度可控(18-28℃)。 | 增加7×24小时视频监控、门禁;关键设备防盗窃(机柜加锁);温湿度自动记录。 | 机房是否有消防/防水设施?是否部署监控? | ||
| 安全通信网络 | 通信传输 | 无强制加密(可选)。 | 关键业务通信必须加密(如TLS 1.2+)。 | 传输是否使用加密协议? | ||
| 安全区域边界 | 访问控制 | 防火墙配置“默认拒绝”;限制非法外联。 | 增加IPS;边界访问控制细化到端口/协议;部署WAF。 | 防火墙规则是否为“白名单”?是否部署IPS/WAF? | ||
| 安全计算环境 | 身份鉴别 | 单因素认证(如密码)。 | 双因素认证(密码+UKey/生物识别)。 | 登录是否支持双因素? | ||
| 访问控制 | 最小权限分配;无敏感标记。 | 敏感标记(如密级)+强制访问控制(MAC);定期权限复核。 | 是否对用户权限定期审核? | |||
| 审计 | 记录关键操作(如登录、文件修改)。 | 详细日志(含源IP、时间、操作对象);日志留存≥6个月;定期分析。 | 日志是否包含完整信息?留存时间是否达标? | |||
| 安全管理中心 | 集中监控 | 收集关键设备日志;监控设备状态。 | 集中分析全网态势(SIEM);策略统一下发;异常实时告警。 | 是否有统一管理平台?是否支持告警? | ||
| 安全管理制度 | 制度体系 | 制定基本制度(机房、备份)。 | 体系化制度(安全规划、风险评估);每年评审。 | 制度是否覆盖所有关键环节?是否定期更新? | ||
| 安全运维管理 | 漏洞管理 | 每半年扫描1次;高危漏洞修复≤30天。 | 每月扫描1次;高危漏洞24小时内修复。 | 最近一次扫描时间?漏洞修复时效? | ||
| 应急演练 | 无强制要求(可选)。 | 每年至少1次演练(如数据泄露、勒索攻击)。 | 是否开展过应急演练? |
三、说明
- 定级依据:系统级别需根据《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)判定,由主管部门或第三方机构确认。
- 测评要求:2级/3级需通过第三方测评机构现场测评(2级每3年1次,3级每年1次)。
- 扩展要求:云计算、移动互联、物联网等特殊场景需参考对应扩展要求(如云平台的租户隔离、移动应用的终端管理)。
建议结合具体行业标准(如金融行业JR/T 0071-2012)调整自查项,确保全面合规。
