常见问题 > 安全等级保护办理要求有哪些?

安全等级保护办理要求有哪些?

作者:小编 发表时间:2023-09-04 16:28

  很多人都有听过安全等级保护,但是你们知道安全等级保护办理要求有哪些吗?等级保护是我国信息安全保障的基本制度、对策和方法。等级保护是对信息和信息载体根据重要性等级进行分级保护的工作,所以在互联网时代是非常重要的工作之一。

  安全等级保护办理要求有哪些?

  根据维护目标的重要性,我国将网络安全保护分为五个等级,从一级到五级,等级越大,要求越严格。等保级、独立维护级,一般适用于小企业、个体企业、县级单位的一般信息系统。

  二级保护、指导保护、系统损害会损害公共秩序和集体利益,但不损害国防安全,一般适用于县级单位系统或市级单位内部一般系统。

  等保三级,监督维护级,系统损坏会对国防安全造成危害,一般适用于市单位关键系统、省部委门户网络等。

  等保四级,强制维护级,系统损坏会严重影响国际安全,适用于电力、电信、铁路、银行等国家关键单位和领域的关键系统。

  等保五级,专控维护级,系统损坏会对国防安全造成特别严重的损害,适用于国家关键行业、关键部门中极其重要的系统。

  就我国的具体情况而言,最常见的是等保二级和等保三级。

安全等级保护办理要求有哪些.jpg

  等保三级是指信息系统定级备案后确定为第三级的信息系统,需要进行三级等保。三级保险是我国非银行机构的最高维护认证。三级保险制度包括互联网医院平台、P2P金融平台、云(服务提供商)平台等关键系统。根据“三级保险”认证,公司信息安全管理能力达到国内最高标准。

  三级技术标准主要包括物理、网络、主机、应用、数据五大领域。

  1、物理安全:机房至少分为主机房和监控区两部分;机房配备电子门禁系统、防盗报警系统、监控系统;机房不得有窗户,应配备专用气体灭火和备用发电机;

  2、网络安全:制作符合当前运行条件的拓扑图;交换机、防火墙等设备的配置应符合规定,如Vlan划分和Vlan逻辑隔离,QOS流量控制方法,访问控制策略,IP/MAC关联关键网络设备和服务器;配备网络审计设备、入侵检测或防御设备;交换机和防火墙的身份识别系统应符合同等保证规定,如用户名密码的复杂性对策、登录浏览失败解决系统、用户角色和权限管理等;网络链路、关键网络设备和安全设备需要冗余设计。

  3、主机安全:云服务器本身应符合规定,如身份识别系统、密钥管理系统、安全审计系统、病毒预防等,必要时购买第三方主机和数据库审计设备;服务器(应用和数据库服务器)应冗余,如双热或集群部署;服务器和关键网络设备必须扫描和评估,无高级以上漏洞(如windows系统漏洞、apache等中间件漏洞、数据库软件漏洞、其他系统和端口漏洞等);审计日志应配备专用日志服务器存储主机和数据库。

  4、应用安全:应用自身功能应符合身份识别系统、审计日志、通信、存储加密等保险规定;应注意网页防篡改设备的布置;安全评估(包括安全扫描、渗透测试和风险评估)是否存在高风险漏洞(如SQL注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱密码和密码猜测、管理背景漏洞等);软件系统生成的日志应存储在专用的日志服务器中。

  5、数据安全:提供本地数据备份系统,每天备份到本地,存储在场外;系统中存储关键数据,提供本地数据备份,通过网络将数据传输到其他地方备份;三级管理制度规定安全制度、安全管理机构、人员安全管理、系统建设管理、系统运行维护管理。

  安全等级保护办理要求大家还是要了解清楚,等级保护对象的安全保护等级分为以下五个等级,随着等级越高要求也就越严格。等级保护目标受损后,会对国防安全造成特别严重的影响,所以我们要非常重视等保的要求。