比较二级、三级等级保护的网络安全要求

　　本文将从网络访问控制、拨号访问控制、　网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范等方面来比较二级等保和三级等保的网络安全测评要求的不同。

    网络安全：

　　结构安全与网段划分：

　　二级等保：

　　1) 网络设备的业务处理能力应具备冗余空间，要求满足业务高峰期需要;

　　2) 应设计和绘制与当前运行情况相符的网络拓扑结构图;

　　3) 应根据机构业务的特点，在满足业务高峰期需要的基础上，合理设计网络带宽;

　　4) 应在业务终端与业务服务器之间进行路由控制，建立安全的访问路径;

　　5) 应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段;

　　6) 重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗。

　　三级等保：

　　1) 网络设备的业务处理能力应具备冗余空间，要求满足业务高峰期需要;

　　2) 应设计和绘制与当前运行情况相符的网络拓扑结构图;

　　3) 应根据机构业务的特点，在满足业务高峰期需要的基础上，合理设计网络带宽;

　　4) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;

　　5) 应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段;

　　6) 重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗;

　　7) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要业务数据主机。

　　网络访问控制：

　　二级等保：

　　1) 应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用)，为数据流提供明确的允许/拒绝访问的能力。

　　三级等保：

　　1) 应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用)，为数据流提供明确的允许/拒绝访问的能力;

　　2) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;

　　3) 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入;

　　4) 应在会话处于非活跃一定时间或会话结束后终止网络连接;

　　5) 应限制网络最大流量数及网络连接数。

　　拨号访问控制：

　　二级等保：

　　1) 应在基于安全属性的允许远程用户对系统访问的规则的基础上，对系统所有资源允许或拒绝用户进行访问，控制粒度为单个用户;

　　2) 应限制具有拨号访问权限的用户数量。

　　三级等保：

　　1) 应在基于安全属性的允许远程用户对系统访问的规则的基础上，对系统所有资源允许或拒绝用户进行访问，控制粒度为单个用户;

　　2) 应限制具有拨号访问权限的用户数量;

　　3) 应按用户和系统之间的允许访问规则，决定允许用户对受控系统进行资源访问。

　　网络安全审计：

　　二级等保：

　　1) 应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录;

　　2) 对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息。

　　三级等保：

　　3) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行全面的监测、记录;

　　4) 对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息;

　　5) 安全审计应可以根据记录数据进行分析，并生成审计报表;

　　6) 安全审计应可以对特定事件，提供指定方式的实时报警;

　　7) 审计记录应受到保护避免受到未预期的删除、修改或覆盖等。

　　边界完整性检查：

　　二级等保：

　　1) 应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为(即“非法外联”行为)。

　　三级等保：

　　8) 应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为(即“非法外联”行为);

　　9) 应能够对非授权设备私自联到网络的行为进行检查，并准确定出位置，对其进行有效阻断;

　　10) 应能够对内部网络用户私自联到外部网络的行为进行检测后准确定出位置，并对其进行有效阻断。

　　网络入侵防范

　　二级等保：

　　1) 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生。

　　三级等保：

　　1) 应在网络边界处应监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生;

　　2) 当检测到入侵事件时，应记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。

　　恶意代码防范：

　　二级等保：

　　3) 应在网络边界及核心业务网段处对恶意代码进行检测和清除;

　　4) 应维护恶意代码库的升级和检测系统的更新;

　　5) 应支持恶意代码防范的统一管理。

　　三级等保：

　　6) 应在网络边界及核心业务网段处对恶意代码进行检测和清除;

　　7) 应维护恶意代码库的升级和检测系统的更新;

　　8) 应支持恶意代码防范的统一管理。

　　网络设备防护

　　二级等保：

　　1) 应对登录网络设备的用户进行身份鉴别;

　　2) 应对网络设备的管理员登录地址进行限制;

　　3) 网络设备用户的标识应唯一;

　　4) 身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等;

　　5) 应具有登录失败处理功能，如：结束会话、限制非法登录次数，当网络登录连接超时，自动退出。

　　三级等保：

　　1) 应对登录网络设备的用户进行身份鉴别;

　　2) 应对网络上的对等实体进行身份鉴别;

　　3) 应对网络设备的管理员登录地址进行限制;

　　4) 网络设备用户的标识应唯一;

　　5) 身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等;

　　6) 应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;

　　7) 应具有登录失败处理功能，如：结束会话、限制非法登录次数，当网络登录连接超时，自动退出;

　　8) 应实现设备特权用户的权限分离，例如将管理与审计的权限分配给不同的网络设备用户。