網(wǎng)絡安全等級保護2.0-通用要求-表格版

1、網(wǎng)絡安全等級保護基本要求網(wǎng)絡安全等級保護基本要求第1部分：安全通用要求部分：安全通用要求一、技術要求一、技術要求:基本要求基本要求第一級第一級第二級第二級第三級第三級第四級第四級物理位置的選擇物理位置的選擇a)機房場地應選擇在具有防機房場地應選擇在具有防震、防風和防雨等能力的建筑震、防風和防雨等能力的建筑內；內；b)機房場地應避免設在建筑機房場地應避免設在建筑物的頂層或地下室，否則應加物的頂層或地下室，否則應加強防水和防潮措施強防水和防

2、潮措施a)b)a)b)物理訪問控制物理訪問控制a)機房出入口應安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員a)a)機房出入口應配置電子門禁應配置電子門禁系統(tǒng)系統(tǒng)，控制、鑒別和記錄進入的人員a)b)重要區(qū)域應配置第二道電子重要區(qū)域應配置第二道電子門禁系統(tǒng)，控制、鑒別和記錄門禁系統(tǒng)，控制、鑒別和記錄進入的人員進入的人員防盜竊和防破壞防盜竊和防破壞a)應將機房設備或主要部件進行固定，并設置明顯的不易除去的標記a)；b)應將通信線

3、纜鋪設在隱蔽應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中處，可鋪設在地下或管道中。a)；b)；c)應設置機房防盜報警系統(tǒng)應設置機房防盜報警系統(tǒng)或設置有專人值守的視頻監(jiān)控或設置有專人值守的視頻監(jiān)控系統(tǒng)系統(tǒng)a)b)c)防雷擊防雷擊a)應將各類機柜、設施和設備等通過接地系統(tǒng)安全接地a)a)；b)應采取措施防止感應雷，應采取措施防止感應雷，例如設置防雷保安器或過壓保例如設置防雷保安器或過壓保護裝置等護裝置等a)b)物理物理和環(huán)和環(huán)境安境安全防

4、火防火a)機房應設置滅火設備a)機房應設置火災自動消防機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；動報警，并自動滅火；b)機房及相關的工作房間和機房及相關的工作房間和輔助房應采用具有耐火等級的輔助房應采用具有耐火等級的建筑材料建筑材料a)；b)；c)應對機房劃分區(qū)域進行管應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設置隔離理，區(qū)域和區(qū)域之間設置隔離防火措施。防火措施。a)b)c)過程中數(shù)據(jù)的

5、完整性密技術密技術保證通信過程中數(shù)據(jù)的完整性；b)應采用加解密技術保證通應采用加解密技術保證通信過程中敏感信息字段或整個信過程中敏感信息字段或整個報文的保密性。報文的保密性。b)；c)應在通信前基于密碼技術應在通信前基于密碼技術對通信的雙方進行驗證或認證；對通信的雙方進行驗證或認證；d)應基于硬件設備對重要通應基于硬件設備對重要通信過程進行加解密運算和密鑰信過程進行加解密運算和密鑰管理。管理。邊界防護邊界防護a)應保證跨越邊界的訪問和數(shù)

6、據(jù)流通過邊界防護設備提供的受控接口進行通信a)a)；b)應能夠對非授權設備私自應能夠對非授權設備私自聯(lián)到內部網(wǎng)絡的行為進行限制聯(lián)到內部網(wǎng)絡的行為進行限制或檢查；或檢查；c)應能夠對內部用戶非授權應能夠對內部用戶非授權聯(lián)到外部網(wǎng)絡的行為進行限制聯(lián)到外部網(wǎng)絡的行為進行限制或檢查；或檢查；d)應限制無線網(wǎng)絡的使用，應限制無線網(wǎng)絡的使用，確保無線網(wǎng)絡通過受控的邊界確保無線網(wǎng)絡通過受控的邊界防護設備接入內部網(wǎng)絡防護設備接入內部網(wǎng)絡。a)；b)應能

7、夠對非授權設備私自聯(lián)到內部網(wǎng)絡的行為進行限制或檢查，并對其進行有效阻斷并對其進行有效阻斷；c)應能夠對內部用戶非授權聯(lián)到外部網(wǎng)絡的行為進行限制或檢查，并對其進行有效阻斷并對其進行有效阻斷；d)；e)應能夠對連接到內部網(wǎng)絡的應能夠對連接到內部網(wǎng)絡的設備進行可信驗證，確保接入設備進行可信驗證，確保接入網(wǎng)絡的設備真實可信。網(wǎng)絡的設備真實可信。訪問控制訪問控制a)應在網(wǎng)絡邊界根據(jù)訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所

8、有通信；b)應刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；c)應對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許拒絕數(shù)據(jù)包進出a)應在網(wǎng)絡邊界或區(qū)域之間網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信；b)；c)；d)應能根據(jù)會話狀態(tài)信息為應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許數(shù)據(jù)流提供明確的允許拒絕訪拒絕訪問的能力，控制粒度為端口級問的能力

9、，控制粒度為端口級a)；b)；c)；d)；e)應在關鍵網(wǎng)絡節(jié)點處對進應在關鍵網(wǎng)絡節(jié)點處對進出網(wǎng)絡的信息內容進行過濾，出網(wǎng)絡的信息內容進行過濾，實現(xiàn)對內容的訪問控制實現(xiàn)對內容的訪問控制。a)；b)；c)應不允許數(shù)據(jù)帶通用協(xié)議應不允許數(shù)據(jù)帶通用協(xié)議通過。通過。入侵防范入侵防范a)應在關鍵網(wǎng)絡節(jié)點處監(jiān)視應在關鍵網(wǎng)絡節(jié)點處監(jiān)視網(wǎng)絡攻擊行為網(wǎng)絡攻擊行為a)應在關鍵網(wǎng)絡節(jié)點處檢測、應在關鍵網(wǎng)絡節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡防止或限制從外部發(fā)