常见问题 > 三级等保适用范围是什么?

三级等保适用范围是什么?

作者:小编 发表时间:2024-01-02 10:45

  我国实行网络安全等级保护制度,等级保护对象分为五个级别,级别越高要求也就越严格。三级等保适用范围是什么?等级保护三级指信息系统经过定级、备案这一流程之后,确定为第三级的信息系统,那么就需要做三级等保。

  三级等保适用范围

  网络三级等保是指网络安全等级保护体系,是中国国家信息化安全等级保护的一项重要指导性文件,用于规范网络安全保护工作。其具体内容主要包括网络安全保护的目标划定、网络安全等级的划分和评定、网络安全保护的体系结构、网络安全保护的技术要求等。

  三级等保是国家网络安全等级保护体系的最高等级,适用于涉及国家安全、经济安全、社会稳定等重要方面的关键信息基础设施单位,这些单位包括但不限于政府机构、金融机构、电信运营商、互联网企业等。这些单位必须通过三级等保测评,以确保其信息系统的安全性和可靠性,保障国家信息安全。

三级等保适用范围是什么.png

  1、物理安都分

  (1)机房区域划分至少分主机房和监控区两个部分;

  (2)机房应配备电子门禁系统、防盗报警系统、监控系统;

  (3)机房不应该出现窗户,应配备专用的气体灭火、ups供电系统。

  2、互联网安都分

  (1)应绘制与现目前运行情况符合合的拓扑图;

  (2)交换机、防火墙等设备配置应符合相关规定和要求,比如应进行Vlan划分并各Vlan逻辑隔离,应配置Qos流量控制策略,应配备访问控制策略,重要互联网设备和服务器应进行IP/MAC绑定等;

  (3)应配备互联网审计设备、入侵检测或防御设备。

  (4)交换机和防火墙的身份鉴别机制要满足等保要求,比如登录账号用户名称密码复杂度策略,在线登录访问失败处理机制、用户角色和权限控制等;

  (5)互联网链路、核心互联网设备和安全设备,需提供冗余性设计。

  3、主机安都分

  (1)服务器的自己配置应符合相关规定和要求,比如身份鉴别机制、访问控制机制、安全审计机制、防病毒等,必要时可购买第三方的主机和数据库审计设备;

  (2)服务器应具有冗余性,比如需双机设备或集群部署等;

  (3)服务器和重要互联网设备一定要在上线前进行漏洞扫描评估,不应有中高级别以上的漏洞;

  (4)应配备专用的日志服务器保存主机、数据库的审计日志。

  4、应用安都分

  (1)应用自己功能满足等保要求,比如身份鉴别机制、审计日志、通信和存储加密等;

  (2)应用处应考虑部署网页防恶意修改设备;

  (3)应用的安全评估,应不存在中高级风险以上的漏洞;

  (4)应用系统出现的日志应保存至专用的日志服务器。

  5、数据安全备份

  (1)应提供数据的本地备份机制,每天备份至本地,且场外存放;

  (2)如系统中存在核心重要数据,应提供异地数据备份功能,通过互联网等将数据传输至异地进行备份;

  以上就是关于三级等保适用范围的详细介绍,三级等保测评费用大概是7左右。三级等保是国家网络安全等级保护体系的最高等级,适用于涉及国家安全、经济安全、社会稳定等重要方面。