熟悉等保的小伙伴都知道，在网络安全等级保护 2.0 国家标准（等保 2.0）中，信息安全等级保护分为五级，分别是第一级（自主保护级）、第二级（指导保护级）、第三级（监督保护级）、第四级（强制保护级）和第五级（专控保护级）。

从一到五级别逐渐升高，等级越高，说明信息系统重要性越高。一般企业项目多为等保二级、三级，对网络安全有特定高要求的军工、电力、金融等单位应符合等保三级或等保四级；等保一级和等保五级（涉密）由于安全性太低或太高，单位或组织少有涉及。

二级等保和三级等保的界定

在《信息系统安全等级保护定级指南》中规定：

二级等保：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

三级等保：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

二级等保VS三级等保

关于二级等保和三级等保的区别，重点体现在

• 网络访问控制
• 网络安全审计
• 拨号访问控制
• 边界完整性检查
• 网络入侵防范
• 恶意代码防范
• 网络设备防护

等方面的具体要求上。情况如下：

网络访问控制

二级等保

1）应能根据会话状态信息（包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用），为数据流提供明确的允许 / 拒绝访问的能力。

三级等保

1） 应能根据会话状态信息（包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用），为数据流提供明确的允许/拒绝访问的能力；

2）应对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制；

3）应依据安全策略允许或者拒绝便携式和移动式设备的网络接入；

4）应在会话处于非活跃一定时间或会话结束后终止网络连接；

5）应限制网络最大流量数及网络连接数。

---

网络安全审计

二级等保：

1） 应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录；

2） 对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息。

三级等保：

1） 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行全面的监测、记录；

2） 对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息；

3） 安全审计应可以根据记录数据进行分析，并生成审计报表；

4） 安全审计应可以对特定事件，提供指定方式的实时报警；

5） 审计记录应受到保护避免受到未预期的删除、修改或覆盖等。

---

拨号访问控制

二级等保：

1） 应在基于安全属性的允许远程用户对系统访问的规则的基础上，对系统所有资源允许或拒绝用户进行访问，控制粒度为单个用户；

2） 应限制具有拨号访问权限的用户数量。

三级等保：

1） 应在基于安全属性的允许远程用户对系统访问的规则的基础上，对系统所有资源允许或拒绝用户进行访问，控制粒度为单个用户；

2） 应限制具有拨号访问权限的用户数量；

3） 应按用户和系统之间的允许访问规则，决定允许用户对受控系统进行资源访问。

---

边界完整性检查

二级等保：

应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为（即“非法外联”行为）。

三级等保：

1） 应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为（即“非法外联”行为）；

2） 应能够对非授权设备私自联到网络的行为进行检查，并准确定出位置，对其进行有效阻断；

3） 应能够对内部网络用户私自联到外部网络的行为进行检测后准确定出位置，并对其进行有效阻断。

---

网络入侵防范

二级等保：

应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击、网络蠕虫攻击等入侵事件的发生。

三级等保：

1） 应在网络边界处应监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击、网络蠕虫攻击等入侵事件的发生；

2） 当检测到入侵事件时，应记录入侵的源 IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。

---

恶意代码防范

二级等保：

1） 应在网络边界及核心业务网段处对恶意代码进行检测和清除；

2） 应维护恶意代码库的升级和检测系统的更新；

3） 应支持恶意代码防范的统一管理。

三级等保：

1） 应在网络边界及核心业务网段处对恶意代码进行检测和清除；

2） 应维护恶意代码库的升级和检测系统的更新；

3） 应支持恶意代码防范的统一管理。

---

网络设备防护

二级等保：

1） 应对登录网络设备的用户进行身份鉴别；

2） 应对网络设备的管理员登录地址进行限制；

3） 网络设备用户的标识应唯一；

4） 身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期的更新等；

5） 应具有登录失败处理功能，如：结束会话、限制非法登录次数，当网络登录连接超时，自动退出。

三级等保：

1） 应对登录网络设备的用户进行身份鉴别；

2） 应对网络上的对等实体进行身份鉴别；

3） 应对网络设备的管理员登录地址进行限制；

4） 网络设备用户的标识应唯一；

5） 身份鉴别信息应具有不易被冒用的特点，例如：口令长度、复杂性和定期的更新等；

6） 应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；

7） 应具有登录失败处理功能，例如：结束会话、限制非法登录次数，当网络登录连接超时，自动退出；

8） 应实现设备特权用户的权限分离，例如：将管理与审计的权限分配给不同的网络设备用户。

转载：等保2.0二级VS三级 - 知乎

（SAW：Game Over！）