1.0時(shí)代網(wǎng)絡(luò)安全設(shè)備垒手、服務(wù)器操作系統(tǒng)蒜焊、應(yīng)用系統(tǒng)分別有不同的要求，2.0將這三種統(tǒng)一要求為安全計(jì)算環(huán)境科贬。條目還是基本的身份鑒別泳梆、訪問控制、安全審計(jì)榜掌、入侵防范优妙、通信安全等，刪減了資源控制的要求憎账。

一套硼、身份鑒別

a)? 應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性鼠哥，身份鑒別信息具有復(fù)雜度要求并定期更換熟菲；

——高風(fēng)險(xiǎn)：沒有審計(jì)功能。

b) 應(yīng)具有登錄失敗處理功能朴恳，應(yīng)配置并啟用結(jié)束會(huì)話抄罕、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施；

——之前將具備功能和啟用功能分開要求于颖，2.0合并要求有改進(jìn)呆贿。

c) 當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

d) 應(yīng)采用口令做入、密碼技術(shù)冒晰、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)竟块。

——特別要求組合鑒別中有一種是密碼技術(shù)實(shí)現(xiàn)壶运，對(duì)手機(jī)驗(yàn)證碼是不是密碼技術(shù)有爭(zhēng)議。

二浪秘、訪問控制

a)? 應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限蒋情；

——隱藏的殺器在28448測(cè)評(píng)要求里，【核查是否已禁用或限制匿名耸携、默認(rèn)賬戶的訪問權(quán)限】棵癣，個(gè)人覺得和b) 要求重復(fù)，大佬諾：可重復(fù)判定夺衍。

b) 應(yīng)重命名或刪除默認(rèn)賬戶狈谊，修改默認(rèn)賬戶的默認(rèn)口令；

——修改默認(rèn)默認(rèn)口令沟沙，主要針對(duì)購買的安全設(shè)備使用常見的admin/admin作為用戶名口令河劝，增加暴力破解難度。

c) 應(yīng)及時(shí)刪除或停用多余的矛紫、過期的賬戶丧裁，避免共享賬戶的存在；

d) 應(yīng)授予管理用戶所需的最小權(quán)限含衔，實(shí)現(xiàn)管理用戶的權(quán)限分離煎娇；

——避免存在具有所有權(quán)限的超級(jí)管理員。

e) 應(yīng)由授權(quán)主體配置訪問控制策略贪染，訪問控制策略規(guī)定主體對(duì)客體的訪問規(guī)則缓呛；

f) 訪問控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件杭隙、數(shù)據(jù)庫表級(jí)哟绊；

g)應(yīng)對(duì)重要主體和客體設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記信息資源的訪問痰憎。

——強(qiáng)制訪問控制措施票髓，一般不符合。

三铣耘、安全審計(jì)

a)? 應(yīng)啟用安全審計(jì)功能洽沟，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)蜗细；

b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間裆操、用戶怒详、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息踪区；

c) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)昆烁，定期備份，避免受到未預(yù)期的刪除缎岗、修改或覆蓋等静尼；

——高風(fēng)險(xiǎn)：3級(jí)及以上系統(tǒng)，應(yīng)用系統(tǒng)業(yè)務(wù)操作類传泊、安全類等重要日志的留存不滿足法律法規(guī)規(guī)定的相關(guān)要求（不少于六個(gè)月）

d)應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)茅郎，防止未經(jīng)授權(quán)的中斷。

——除了增加了定期備份審計(jì)記錄的要求或渤，和1.0無變化。

a)? 應(yīng)遵循最小安裝的原則奕扣，僅安裝需要的組件和應(yīng)用程序薪鹦；

b) 應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口惯豆；

c) 應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制池磁；

d) 應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求楷兽；

e) 應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞地熄，并在經(jīng)過充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞芯杀；

——首先要具備發(fā)現(xiàn)漏洞的能力（定期漏掃端考、人工滲透），并修復(fù)發(fā)現(xiàn)的漏洞揭厚，測(cè)評(píng)時(shí)驗(yàn)證測(cè)試應(yīng)未發(fā)現(xiàn)中却特、高風(fēng)險(xiǎn)漏洞。如有高風(fēng)險(xiǎn)漏洞一票否決筛圆。

f)應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為裂明，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。

——對(duì)服務(wù)器操作系統(tǒng)太援，使用主機(jī)型IDS滿足入侵檢測(cè)和報(bào)警的需求闽晦；對(duì)網(wǎng)絡(luò)設(shè)備該如何滿足？

五提岔、惡意代碼防范

a）應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為仙蛉，并將其有效阻斷。

——潛在高風(fēng)險(xiǎn)：Windows主機(jī)無殺毒軟件碱蒙，或殺毒軟件病毒庫一月以上未更新捅儒。

六、可信驗(yàn)證——沒啥好講的

七、數(shù)據(jù)完整性

a）應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性巧还，包括但不限于鑒別數(shù)據(jù)鞭莽、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)麸祷、重要配置數(shù)據(jù)澎怒、重要視頻數(shù)據(jù)和重要個(gè)人信息等；

——使用TLS協(xié)議滿足阶牍。通信保密性下同喷面。

b）應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的完整性，包括但不限于鑒別數(shù)據(jù)走孽、重要業(yè)務(wù)數(shù)據(jù)惧辈、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)磕瓷、重要視頻數(shù)據(jù)和重要個(gè)人信息等盒齿。

——怎么實(shí)現(xiàn)的不知道。

八困食、數(shù)據(jù)保密性

a）應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性边翁，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等硕盹；

b）應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的保密性符匾，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等瘩例。

——要求和完整性類似啊胶，傳輸過程和存儲(chǔ)過程，傳輸通過TLS協(xié)議垛贤，存儲(chǔ)用md5+鹽或AES等都可以创淡，注意base64不算加密。

九南吮、數(shù)據(jù)備份與恢復(fù)

a）應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能琳彩；

b）應(yīng)提供異地實(shí)時(shí)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場(chǎng)地部凑；

——異地實(shí)時(shí)備份要求很高露乏，一般將這里的重要數(shù)據(jù)定義為數(shù)據(jù)庫，數(shù)據(jù)庫實(shí)時(shí)備份即滿足要求涂邀。

c）應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余瘟仿，保證系統(tǒng)的高可用性。

——核心服務(wù)器比勉、核心網(wǎng)絡(luò)安全設(shè)備劳较、數(shù)據(jù)庫冗余部署驹止。

十、剩余信息保護(hù)

a）應(yīng)保證鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除观蜗；

b）應(yīng)保證存有敏感數(shù)據(jù)的存儲(chǔ)空間被釋放或重新分配前得到完全清除臊恋。

——專業(yè)數(shù)據(jù)清除工具，或由數(shù)據(jù)庫自身提供墓捻。

十一抖仅、個(gè)人信息保護(hù)

a）應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息；

——除了技術(shù)手段查看采集和保存了哪些個(gè)人信息外砖第，需要查看是否制定了管理制度和流程說明業(yè)務(wù)必須采集和保存的用戶個(gè)人信息撤卢。

b）應(yīng)禁止未授權(quán)訪問和非法使用用戶個(gè)人信息。

——除了具有訪問控制措施外梧兼，需要查看是否制定了管理制度和流程說明針對(duì)采集和保存的個(gè)人信息的保護(hù)措施放吩。