等级保护第二级(及以上)基本要求(含部分实施建议)

1 第二级基本要求1.1 技术要求1.1.1 物理安全1.1.1.1 物理位置的选择（G2）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。

1.1.1.2 物理访问控制（G2）本项要求包括：a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。

1.1.1.3 防盗窃和防破坏（G2）本项要求包括：a)应将主要设备放置在机房内；b)应将设备或主要部件进行固定，并设置明显的不易除去的标记；c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；d)应对介质分类标识，存储在介质库或档案室中；e)主机房应安装必要的防盗报警设施。

1.1.1.4 防雷击（G2）本项要求包括：a)机房建筑应设置避雷装置；b)机房应设置交流电源地线。

1.1.1.5 防火（G2）机房应设置灭火设备和火灾自动报警系统。

1.1.1.6 防水和防潮（G2）本项要求包括：a)水管安装，不得穿过机房屋顶和活动地板下；b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。

1.1.1.7 防静电（G2）关键设备应采用必要的接地防静电措施。

1.1.1.8 温湿度控制（G2）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

1.1.1.9 电力供应（A2）本项要求包括：a)应在机房供电线路上配置稳压器和过电压防护设备；b)应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。

1.1.1.10 电磁防护（S2）电源线和通信线缆应隔离铺设，避免互相干扰。

1.1.2 网络安全1.1.2.1 结构安全（G2）本项要求包括：a)应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；b)应保证接入网络和核心网络的带宽满足业务高峰期需要；c)应绘制与当前运行情况相符的网络拓扑结构图；d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。

国家信息安全等级第二级保护制度国家信息安全等级保护制度（二级）一、技术要求1、物理安全1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制（1）机房出入口应有专人值守，鉴别进入的人员身份并登记在案；（2）应批准进入机房的来访人员，限制和监控其活动范围。

1.3 防盗窃和防破坏（1）应将主要设备放置在物理受限的范围内；（2）应对设备或主要部件进行固定，并设置明显的不易除去的标记；（3）应将通信线缆铺设在隐蔽处，如铺设在地下或管道中等；（4）应对介质分类标识，存储在介质库或档案室中；（5）应安装必要的防盗报警设施，以防进入机房的盗窃和破坏行为。

1.4 防雷击（1）机房建筑应设置避雷装置;（2）应设置交流电源地线。

1.5 防火应设置灭火设备和火灾自动报警系统，并保持灭火设备和火灾自动报警系统的良好状态。

1.6 防水和防潮（1）水管安装，不得穿过屋顶和活动地板下；（2）应对穿过墙壁和楼板的水管增加必要的保护措施，如设置套管；（3）应采取措施防止雨水通过屋顶和墙壁渗透；（4）应采取措施防止室内水蒸气结露和地下积水的转移与渗透。

1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

1.9 电力供应（1）计算机系统供电应与其他供电分开；（2）应设置稳压器和过电压防护设备；（3）应提供短期的备用电力供应（如UPS设备）。

1.10 电磁防护（1）应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；（2）电源线和通信线缆应隔离，避免互相干扰。

2、网络安全2.1结构安全与网段划分（1）网络设备的业务处理能力应具备冗余空间，要求满足业务高峰期需要；（2）应设计和绘制与当前运行情况相符的网络拓扑结构图；（3）应根据机构业务的特点，在满足业务高峰期需要的基础上，合理设计网络带宽；（4）应在业务终端与业务服务器之间进行路由控制，建立安全的访问路径；（5）应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；（6）重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗。

网络安全二级等保要求网络安全二级等保是指在网络安全保障工作中，按照一定的等级要求对信息系统的安全进行评估和保护的一种制度。

其目的是确保信息系统的稳定性和安全性，防止信息泄露、信息被篡改以及其他安全威胁。

网络安全二级等保要求包括以下内容：1. 安全管理网络安全管理是网络安全的基础，二级等保要求要求建立完善的安全管理制度和流程，明确责任单位和责任人，制定安全规范和标准，配备专业的安全管理人员，确保信息系统的安全管理得到有效实施。

2. 安全策略与风险评估二级等保要求要求建立安全策略和风险评估体系，进行网络安全风险评估，识别安全风险，制定相应的安全对策，提供安全解决方案，并进行定期的风险评估和安全审计。

3. 身份认证和权限控制身份认证和权限控制是保障信息系统安全的重要措施。

二级等保要求要求采用严格的身份认证机制，确保用户身份的真实性；并对用户的访问权限进行细粒度的控制，确保用户只能访问其需要的信息和功能。

4. 网络安全防护二级等保要求要求建立有效的网络安全防护体系，包括网络入侵检测和防御、防火墙配置、网站安全防护、漏洞管理等措施，确保网络系统免受来自内外部的攻击。

5. 信息安全监测与应急响应二级等保要求要求建立信息安全监测与应急响应机制，通过安全事件的监测和分析，及时发现并应对安全威胁和攻击，并做好应急预案和响应措施，保障系统安全和信息不被泄露。

6. 安全培训和意识二级等保要求要求加强安全培训和意识教育，提高员工的安全意识和安全素养，加强对信息安全政策和规定的宣传，使员工能够正确使用信息系统并遵守安全规范。

综上所述，网络安全二级等保要求包括安全管理、安全策略与风险评估、身份认证与权限控制、网络安全防护、信息安全监测与应急响应以及安全培训和意识等方面。

通过落实这些要求，能够有效保护信息系统的安全，提高网络安全防护的水平。

等保2.0二级安全要求概述等保2.0是指我国信息安全等级保护标准第二版，它是我国对网络安全领域实施的一项重要规范，也是保护国家信息和网络安全的重要措施之一。

其中，等级二是最高的安全等级，要求控制的安全性最为高级，包括技术和管理两个方面。

本文将着重介绍等保2.0二级安全的技术要求，涵盖了网络与安全设备、远程访问控制、应用系统安全、密码加密、数据备份恢复等方面的内容。

网络与安全设备1.安全设备要求配置严格规范，禁用不必要的服务。

2.根据等级保护要求，管理或审计设备的日志。

3.检查配置文件的安全性，及时升级安全设备的的软件和固件。

远程访问控制1.采用实名认证、强密码、会话过期等措施来管理远程访问且禁用默认密码登录。

2.远程访问设备采用加密通信，并使用合理的安全通信协议。

3.限制暴力破解访问密码的尝试次数并保证安全设备访问日志的记录。

应用系统安全1.特别注意对数据库的保护，提高数据访问的控制。

2.处理输入的数据，对输入进行过滤及防XSS，防SQL注入等必要的攻击。

3.减轻服务器的安全风险，对敏感信息进行加密（如HTTPS），并限制软件的安装。

密码加密1.系统用户的口令要求具备一定的强度和复杂度，如长度要求、大小写字母加数字等组合方式。

2.采用加密技术存储口令，确保用户的口令不被其他人窃取或破解。

3.禁止用户直接查看系统口令，并限制口令的生命周期。

数据备份恢复1.采用定期备份数据，进行多重存储和备份，确保数据可靠性和完整性。

2.出现数据所遭受的损失或者意外阻断时，尽快采取相应备份恢复方法，并对数据在恢复过程中的完整性进行验证。

结论本文介绍了等保2.0二级安全的技术要求，这些要求基本涵盖了网络与安全设备、远程访问控制、应用系统安全、密码加密、数据备份恢复等方面的内容。

虽然这些要求的实施难度较高，但只有在这些措施的基础上，才能为我们的网络安全提供有效的保障。

网络安全等级保护管理制度第一章总则第一条为加强网络安全等级保护管理，提升网络安全防护能力，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本制度。

第二条本制度适用于中华人民共和国境内网络定级备案、安全建设、安全运营及监督检查等工作。

第三条网络安全等级保护工作坚持“积极防御、综合防范，统一规划、分步实施，注重实效、保障安全”的原则确保网络基础设施、信息系统、数据资源和网络应用的安全。

第二章网络安全等级划分第四条网络安全等级根据网络系统的重要程度、被破坏后对国家安全、社会公共利益和公民、法人及其他组织的危害程度等因素，划分为五个等级，即一级（最低保护）、二级（次低保护）、三级（中等保护）、四级（较高保护）和五级（最高保护）。

第三章网络安全等级保护定级流程第五条网络服务提供者应定期开展网络安全等级保护定级工作，对本网络系统进行全面评估，确定网络等级。

第六条网络定级应遵循以下流程：1. 定级报告编制：网络服务提供者应编制网络安全等级定级报告，包括网络系统基本情况、安全保护需求、安全保护策略等内容。

2. 定级评审：网络服务提供者应组织相关部门和专家对定级报告进行评审，确保定级结果的科学性和准确性。

3. 定级审批：经评审合格的网络，由网络服务提供者报公安机关备案，公安机关审核并确定网络等级。

第四章安全建设管理第七条网络服务提供者应根据网络等级保护定级结果，制定相应的安全建设方案，明确安全措施和安全管理要求。

第八条安全建设应包括以下内容：1. 安全物理环境：包括网络基础设施的物理安全、环境安全等。

2. 安全通信网络：包括网络架构的设计和保护、通信传输的加密和认证等。

3. 安全区域边界：包括网络边界防护、访问控制、数据流量监控等。

4. 安全计算环境：包括数据的机密性、完整性和可用性保护等。

5. 安全管理中心：包括安全监控、安全管理和安全评估等。

第五章安全运营管理第九条网络服务提供者应建立健全网络安全运营管理体系，明确安全管理职责和流程，确保网络的安全运营。

机房等级保护第二级基本要求1 第二级基本要求1.1 技术要求1.1.1 物理安全1.1.1.1 物理位置的选择（G2）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。

1.1.1.2 物理访问控制（G2）本项要求包括：a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。

1.1.1.3 防盗窃和防破坏（G2）本项要求包括：a)应将主要设备放置在机房内；b)应将设备或主要部件进行固定，并设置明显的不易除去的标记；c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；d)应对介质分类标识，存储在介质库或档案室中；e)主机房应安装必要的防盗报警设施。

1.1.1.4 防雷击（G2）本项要求包括：a)机房建筑应设置避雷装置；b)机房应设置交流电源地线。

1.1.1.5 防火（G2）机房应设置灭火设备和火灾自动报警系统。

1.1.1.6 防水和防潮（G2）本项要求包括：a)水管安装，不得穿过机房屋顶和活动地板下；b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。

1.1.1.7 防静电（G2）关键设备应采用必要的接地防静电措施。

1.1.1.8 温湿度控制（G2）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

1.1.1.9 电力供应（A2）本项要求包括：a)应在机房供电线路上配置稳压器和过电压防护设备；b)应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。

1.1.1.10 电磁防护（S2）电源线和通信线缆应隔离铺设，避免互相干扰。

1.1.2 网络安全1.1.2.1 结构安全（G2）本项要求包括：a)应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；b)应保证接入网络和核心网络的带宽满足业务高峰期需要；c)应绘制与当前运行情况相符的网络拓扑结构图；d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。

信息安全等级保护（二级）建设方案目录1.项目概述 (5)1.1. 项目建设目标 (5)1.2. 项目参考标准 (6)1.3. 方案设计原则 (9)2. 系统现状分析 (10)2.1. 系统定级情况说明 (10)2.2. 业务系统说明 (11)2.3. 网络结构说明 (11)3. 安全需求分析 (12)3.1. 物理安全需求分析 (12)3.2. 网络安全需求分析 (12)3.3. 主机安全需求分析 (13)3.4. 应用安全需求分析 (13)3.5. 数据安全需求分析 (13)3.6. 安全管理制度需求分析 (14)4. 总体方案设计 (14)4.1. 总体设计目标 (14)4.2. 总体安全体系设计 (14)4.3. 总体网络架构设计 (18)4.4. 安全域划分说明 (18)5. 详细方案设计技术部分 (19)5.1. 物理安全 (19)5.2. 网络安全 (19)5.2.1.安全域边界隔离技术 (19)5.2.2.入侵防范技术 (20)5.2.3.网页防篡改技术 (20)5.2.4.链路负载均衡技术 (20)5.2.5.网络安全审计 (20)5.3. 主机安全 (21)5.3.1.数据库安全审计 (21)5.3.2.运维堡垒主机 (22)5.3.3.主机防病毒技术 (23)5.4. 应用安全 (23)6. 详细方案设计管理部分 (24)6.1. 总体安全方针与安全策略 (24)6.2. 信息安全管理制度 (25)6.3. 安全管理机构 (26)6.4. 人员安全管理 (26)6.5. 系统建设管理 (27)6.6. 系统运维管理 (27)6.7. 安全管理制度汇总 (30)7. 咨询服务和系统测评 (31)7.1. 系统定级服务 (31)7.2. 风险评估和安全加固服务 (32)7.2.1.漏洞扫描 (32)7.2.2.渗透测试 (32)7.2.3.配置核查 (32)7.2.4.安全加固 (32)7.2.5.安全管理制度编写 (35)7.2.6.安全培训 (35)7.3. 系统测评服务 (35)8. 项目预算与配置清单 (35)8.1. 项目预算一期（等保二级基本要求） (35)8.2. 利旧安全设备使用说明 (37)1.项目概述1.1.项目建设目标为了进一步贯彻落实教育行业信息安全等级保护制度，推进学校信息安全等级保护工作，依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，对学校的网络和信息系统进行等级保护定级，按信息系统逐个编制定级报告和定级备案表，并指导学校信息化人员将定级材料提交当地公安机关备案。

1 第二级基本要求1.1 技术要求1.1.1 物理安全1.1.1.1 物理位置的选择（G2）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。

1.1.1.2 物理访问控制（G2）本项要求包括：a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。

1.1.1.3 防盗窃和防破坏（G2）本项要求包括：a)应将主要设备放置在机房内；b)应将设备或主要部件进行固定，并设置明显的不易除去的标记；c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；d)应对介质分类标识，存储在介质库或档案室中；e)主机房应安装必要的防盗报警设施。

1.1.1.4 防雷击（G2）本项要求包括：a)机房建筑应设置避雷装置；b)机房应设置交流电源地线。

1.1.1.5 防火（G2）机房应设置灭火设备和火灾自动报警系统。

1.1.1.6 防水和防潮（G2）本项要求包括：a)水管安装，不得穿过机房屋顶和活动地板下；b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。

1.1.1.7 防静电（G2）关键设备应采用必要的接地防静电措施。

1.1.1.8 温湿度控制（G2）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

1.1.1.9 电力供应（A2）本项要求包括：a)应在机房供电线路上配置稳压器和过电压防护设备；b)应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。

1.1.1.10 电磁防护（S2）电源线和通信线缆应隔离铺设，避免互相干扰。

1.1.2 网络安全1.1.2.1 结构安全（G2）本项要求包括：a)应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；b)应保证接入网络和核心网络的带宽满足业务高峰期需要；c)应绘制与当前运行情况相符的网络拓扑结构图；d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。

1 第二级基本要求1.1 技术要求1.1.1 物理安全1.1.1.1 物理位置的选择（G2）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。

1.1.1.2 物理访问控制（G2）本项要求包括：a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。

1.1.1.3 防盗窃和防破坏（G2）本项要求包括：a)应将主要设备放置在机房内；b)应将设备或主要部件进行固定，并设置明显的不易除去的标记；c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；d)应对介质分类标识，存储在介质库或档案室中；e)主机房应安装必要的防盗报警设施。

1.1.1.4 防雷击（G2）本项要求包括：a)机房建筑应设置避雷装置；b)机房应设置交流电源地线。

1.1.1.5 防火（G2）机房应设置灭火设备和火灾自动报警系统。

1.1.1.6 防水和防潮（G2）本项要求包括：a)水管安装，不得穿过机房屋顶和活动地板下；b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。

1.1.1.7 防静电（G2）关键设备应采用必要的接地防静电措施。

1.1.1.8 温湿度控制（G2）机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

1.1.1.9 电力供应（A2）本项要求包括：a)应在机房供电线路上配置稳压器和过电压防护设备；b)应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。

1.1.1.10 电磁防护（S2）电源线和通信线缆应隔离铺设，避免互相干扰。

1.1.2 网络安全1.1.2.1 结构安全（G2）本项要求包括：a)应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；b)应保证接入网络和核心网络的带宽满足业务高峰期需要；c)应绘制与当前运行情况相符的网络拓扑结构图；d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。

7第二级安全要求7.1安全通用要求7.1.1安全物理环境7.1.1.1物理位置选择本项要求包括：a)机房场地应选择在具有防震、防风和防雨等能力的建筑；b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。

7.1.1.2物理访问控制机房出入口应安排专人值守或配置电子门禁系统。

控制、鉴别和记录进人的人员。

7.1.1.3防盗窃和防破坏本项要求包括：a)应将设备或主要部件进行固定，并设置明显的不易擦除的标识；b)应将通信线缆铺设在隐藏安全处。

7.1.1.4防雷击应将各类机柜、设施和设备等通过接地系统安全接地。

7.1.1.5防火本项要求包括：a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。

7.1.1.6防水和防潮本项要求包括：a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；b)应采取措施防止机房水蒸气结露和地下积水的转移与渗透。

7.1.1.7防静电应采用防静电地板或地面并采用必要的接地防静电措施。

7.1.1.8温湿度控制应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的围之。

7.1.1.9电力供应本项要求包括：a)应在机房供电线路上配置稳压器和过电压防护设备；b)应提供短期的备用电力供应。

至少满足设备在断电情况下的正常运行要求。

7.1.1.10电磁防护电源线和通信线缆应隔离铺设，避免互相干扰。

7.1.2安全通信网络7.1.2.1网络架构本项要求包括：a)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址；b)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

7.1.2.2 通信传输应采用校验技术保证通信过程中数据的完整性。

7.1.2.3可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。

等级保护二级技术要求等级保护是一种网络安全技术，旨在对系统中的敏感信息进行保护，确保只有授权的用户才能访问和操作这些信息。

在等级保护系统中，不同级别的用户具有不同的权限和访问控制，以保证信息的安全性和机密性。

在二级保护技术中，采用了一系列的技术措施来实现等级保护的目标。

二级保护技术要求对用户进行认证和授权。

用户需要提供正确的用户名和密码才能登录系统，并且只有具有相应权限的用户才能访问和操作系统中的敏感信息。

为了增强安全性，通常会采用多因素认证，例如结合密码和生物特征等方式进行身份验证。

二级保护技术要求对用户进行访问控制。

系统管理员可以设置不同级别的用户，为每个用户分配相应的权限。

例如，高级别用户可以访问和操作更多的敏感信息，而低级别用户只能访问和操作少部分信息。

这样可以确保敏感信息只被授权的用户访问和操作，避免信息泄露和滥用。

二级保护技术要求对系统进行安全审计和监控。

安全审计可以记录用户的操作日志，包括登录时间、操作内容等信息，以便发现异常行为和及时采取相应措施。

监控系统可以实时监测系统的状态和用户的行为，及时发现并阻止潜在的安全威胁。

二级保护技术还要求对系统进行漏洞扫描和安全补丁更新。

漏洞扫描可以检测系统中存在的安全漏洞，及时发现并修复这些漏洞，以防止黑客利用漏洞进行攻击。

安全补丁更新可以及时更新系统的安全补丁，修复已知的安全漏洞，提升系统的安全性。

为了保证二级保护技术的有效性，还需要对系统进行安全培训和教育。

用户需要了解系统的安全策略和规定，遵守相关安全规范，不泄露敏感信息和密码，定期更换密码等。

同时，系统管理员也需要进行安全培训，了解最新的安全技术和威胁，及时采取相应的安全措施。

二级保护技术要求对用户进行认证和授权、访问控制、安全审计和监控、漏洞扫描和安全补丁更新以及安全培训和教育等一系列措施来保护系统中的敏感信息。

只有通过这些技术手段的综合应用，才能实现等级保护的目标，确保系统的安全性和机密性。