等保系列标准即将发布,网络安全等级保护基本要求通用要求在信息安全等级保护基本要求技术部分的基础上进行了一些调整,湖南金盾就网络安全等级保护基本要求通用要求在信息安全等级保护基本要求进行了详细对比,下面以三级为例进行一个对比。网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分结构由原来的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全,调整为四个部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;技术要求从面到点提出安全要求,物理和环境安全主要对机房设施提出要求,网络和通信安全主要对网络整体提出要求,设备和计算安全主要对构成节点(包括网络设备、安全设备、操作系统、数据库、中间件等)提出要求,应用和数据安全主要对业务应用和数据提出要求。(标粗内容为三级和二级的变化,标红部门为新标准主要变化)物理与环境安全VS原来物理安全控制点未发生变化,要求项数由原来的32项调整为22项。控制点要求项数修改情况如下图:原控制点要求项数新控制点要求项数1物理位置的选择2物理和环境安全1物理位置的选择22物理访问控制42物理访问控制13防盗窃和防破坏63防盗窃和防破坏34防雷击34防雷击25防火35防火36防水和防潮46防水和防潮37防静电27防静电28温湿度控制18温湿度控制19电力供应49电力供应310电磁防护310电磁防护2要求项的变化如下:信息安全等级保护基本要求物理安全(三级)网络安全等级保护基本要求通用要求物理和环境安全(三级)物理位置的选择a)物理位置的选择a)b)b)物理访问控制a)物理访问控制a)b)c)d)a)b)a)防盗窃和防破坏c)d)防盗窃和防破坏b)e)c)f)a)a)防b)b)c)b)网络和通信安全VS原来网络安全新标准减少了结构安全、边界完整性检查、网络设备防护三个控制点,增加了网络架构、通信传输、边界防护、集中管控四个控制点。原结构安全中部分要求项纳入了网络架构控制点中,原应用安全中通信完整性和保密性的要求项纳入了通信传输控制点中,原边界完整性检查和访问控制中部分要求项内容纳入了边界防护控制点中,原网络设备防护控制点要求并到设备和计算安全要求中。要求项总数原来为33项,调整为还是33项,但要求项内容有变化。控制点和控制点要求项数修改情况如下图:原控制点要求项数新控制点要求项数1结构安全71网络架构52访问控制82通信传输2网络3安全审计4网络和3边界防护44边界完整性检查24访问控制5安全5入侵防范2通信安5入侵防范46恶意代码防范26恶意代码防2全范787安全审计58集中管控6具体要求项的变化如下表:信息安全等级保护基本要求--网络安全(三级)网络安全等级保护基本要求通用要求网络和通信安全(三级)结构安全a)a)b)b)c)d)e)c)f)d)g)e)a)b)a)边界宀兀整性检查a)b)b)c)d)访问控制a)访问控制a)bcbdec)HTTPFTPTELNETSMTPPOP3d)e)f)g)c)d)()e)f)()a)b)网络设备防护c)d)e)f)g)h)设备和计算安全VS原来主机安全新标准减少了剩余信息保护一个控制点,在测评对象上,把网络设备、安全设备也纳入了此层面的测评范围。要求项由原来的32项调整为26项。控制点和各控制点要求项数修改情况如下图:原控制点要求项数新控制点要求项数主机安全1身份鉴别6设备和计算安全1身份鉴别2访问控制3安全审计4752访问控制73安全审计64剩余信息保护24入侵防范55入侵防范35恶意代码防范16恶意代码364防范75具体要求项的变化如下表:信息安全等级保护基本要求主机安全(三级)网络安全等级保护基本要求通用要求设备和计算安全(三级)身份鉴别a)a)b)c)b)d)d)e)f)d)访问控制a)b)c)d)e)f)g)a)e)d)b)c)f)g)b)a)e)IPb)入c)侵防范a)b)c)d)应用和数据安全VS原来应用安全+数据安全及备份恢复新标准将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一个层面,减少了通信完整性、通信保密性和抗抵赖三个控制点,增加了个人信息保护控制点。通信完整性和通信保密性的要求纳入了网络和通信安全层面的通信传输控制点。要求项由原来的39项调整为33项。控制点和控制点要求项数修改情况如下图:原控制点要求项数新控制点要求项数1身份鉴别5应用和数w厂41身份鉴别52访问控制6据安全2访问控制73...
