常见问题 > 三级等级保护要求有哪些?

三级等级保护要求有哪些?

作者:小编 发表时间:2023-12-21 10:45

   网络安全是当今社会的重要话题,为了规范和指导网络安全的实施保护网络安全,三级等级保护要求有哪些?三级等保是最常见的等级,涵盖了金融、能源、电信、医疗卫生等多个行业的信息系统。

  三级等级保护要求有哪些?

  信息安全对于一个国家的发展至关重要,因此,我国制定了《信息安全技术等级保护管理办法》(以下简称“办法”),明确了信息安全等级保护制度,其中国家信息安全等级保护三级是应用最广泛的等级,下面我们分几点介绍该等级的要求。

  1、物理安全:机房至少分为主机房和监控区两部分;机房配备电子门禁系统、防盗报警系统、监控系统;机房不得有窗户,应配备专用气体灭火和备用发电机;

  2、网络安全:制作符合当前运行条件的拓扑图;交换机、防火墙等设备的配置应符合规定,如Vlan划分和Vlan逻辑隔离,QOS流量控制方法,访问控制策略,IP/MAC关联关键网络设备和服务器;配备网络审计设备、入侵检测或防御设备;交换机和防火墙的身份识别系统应符合同等保证规定,如用户名密码的复杂性对策、登录浏览失败解决系统、用户角色和权限管理等;网络链路、关键网络设备和安全设备需要冗余设计。

  3、主机安全:云服务器本身应符合规定,如身份识别系统、密钥管理系统、安全审计系统、病毒预防等,必要时购买第三方主机和数据库审计设备;服务器(应用和数据库服务器)应冗余,如双热或集群部署;服务器和关键网络设备必须扫描和评估,无高级以上漏洞(如windows系统漏洞、apache等中间件漏洞、数据库软件漏洞、其他系统和端口漏洞等);审计日志应配备专用日志服务器存储主机和数据库。

  4、应用安全:应用自身功能应符合身份识别系统、审计日志、通信、存储加密等保险规定;应注意网页防篡改设备的布置;安全评估(包括安全扫描、渗透测试和风险评估)是否存在高风险漏洞(如SQL注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱密码和密码猜测、管理背景漏洞等);软件系统生成的日志应存储在专用的日志服务器中。

  5、数据安全:提供本地数据备份系统,每天备份到本地,存储在场外;系统中存储关键数据,提供本地数据备份,通过网络将数据传输到其他地方备份;三级管理制度规定安全制度、安全管理机构、人员安全管理、系统建设管理、系统运行维护管理。

三级等级保护要求有哪些.png

  实际认证流程如下:

  (1)调查信息系统底数:包括业务类型、应用或类别、系统结构等基本概况;

  (2)确定分级目标:根据不同业务类别独立确定分级目标,不因系统是否进行数据传输和独家设备而确定分级目标;

  (3)系统分级:分级是信息安全等级保护的关键阶段,是信息系统安全建设、分级评价、监督管理的重要基础;

  (4)审查:经营用户或主管机构确认系统安全保护等级后,可聘请专家进行审查;

  (5)备案:备案企业准备备案工具,填写备案表,生成备案电子数据,到公安部门办理备案手续;

  (6)备案审查:审理备案的公安部门应当及时发布备案地点和备案联系电话,对备案材料进行完整性审查和分级准确审批;

  (7)系统评价:三级以上信息系统按《信息系统安全等级保护备案表》提交信息;

  (8)整改实施:根据评价结果进行安全规定整改。

  三级等级保护要求有哪些?为了达到三级等保的目标,信息系统需要满足一系列的技术和管理方面的要求。三级等保是一项重要且必须遵守的网络安全标准。对于企业来说更是要积极做好三级等级保护。