@爆米花
2年前 提问
1个回答

等保2.0安全保护增强了什么

一颗小胡椒
2年前

相比等保1.0等保2.0安全保护增强内容包括:

  • 控制点增强

    控制点增加,表明对系统的关注点增加,因而安全要求的级别差异就体现出来。比较突出的控制点增加,如,二级控制点增加了安全宙计,三级控制点增加了剩余信息保护。

  • 要求项增强

    由于控制点是有限的,特别在高级别上,如三、四级安全要求(两者之间控制点的变化只有一处),单靠控制点增加来体现安全要求逐级增强的特点是很难的。必须将控制点之下的安全要求项目考虑其中。要求项目的增加,就可以很好的体现了逐级增强的特点。

    同一控制点,具体的安全项目数量增加,表明对该控制点的要求更细化,更严格,从而表现为该控制点的强度增强。如,对于控制点身份鉴别,在二级只要求标识唯一性、鉴别信息复杂性以及登录失败处理等要求;而在三级,对该控制点增加了组合鉴别方式等。该控制点的强度得到增强。

  • 控制强度增强

    同控制点类似,安全要求项目也不能无限的增加,对于同一安全要求项,如果在要求的力度上加强,同样也能够反映出级别的差异。安全项目强度的增强表现为:

      范围增大:如,对主机系统安全的“安全审计”,二级只要求“审计范围应覆盖到服务器上的每个操作系统用户和数据库用户”:而三级则在对象的范围上发生了变化,为“审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;覆盖范围不再仅指服务器,而是扩大到服务端和重要客户终端了,表明了该要求项强度的增强。
    
      要求细化:如,人员安全管理中的“安全意识教育和培训”,二级要求”应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训;”,而三级在对培训计划进行了进一步的细化并要求应有书面文件,为“应对定期安全教育和培训进行书面规定,针对不同次位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训”,培训计划有了针对性,更符合各个岗位人员的实际需要。
    
      粒度细化:如,网络安全中的“拨号访问控制”,一级要求“控制粒度为用户组”,而二级要求则将控制粒度细化,为“控制粒度为单个用户”。由“用户组”到“单个用户”,粒度上的细化,同样也增强了要求的强度。