隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)安全受到大家的重視�����。三級等保測評是什么意思?等保三級內(nèi)容是指根據(jù)網(wǎng)絡(luò)安全法要求���,對于涉及國家安全����、社會和公眾利益的信息系統(tǒng)的安全保護(hù)級別�����。對于企業(yè)來說積極做好等級保護(hù)是很重要的����,有利于維護(hù)信息安全。
三級等保測評是什么意思����?
等保三級是指網(wǎng)絡(luò)安全等級保護(hù)體系中的第三級,是我國對非銀行機(jī)構(gòu)的最高等級保護(hù)認(rèn)證��。網(wǎng)絡(luò)安全等級保護(hù)體系是中國國家信息化安全等級保護(hù)的一項重要指導(dǎo)性文件���,用于規(guī)范網(wǎng)絡(luò)安全保護(hù)工作�。根據(jù)信息系統(tǒng)的重要程度和安全風(fēng)險�,我國將網(wǎng)絡(luò)安全保護(hù)劃分為五個級別,從一級到五級,級別越高����,要求越嚴(yán)格。其中����,一級和二級為自主保護(hù)級����,三級為監(jiān)督保護(hù)級,四級和五級為強(qiáng)制保護(hù)級�����。
定級為等保三級的信息系統(tǒng)是指經(jīng)過定級���、備案后���,確定為第三級的信息系統(tǒng)。這類信息系統(tǒng)遭到破壞會對國家安全造成損害�,一般適用于市級單位重要系統(tǒng),省部委的門戶網(wǎng)站等�����。通過“三級等保”認(rèn)證��,表明企業(yè)的信息安全管理能力達(dá)到國內(nèi)最高標(biāo)準(zhǔn)���。
等保三級的內(nèi)容有哪些����?
等保三級的內(nèi)容主要包括技術(shù)要求和管理要求兩個方面����。
技術(shù)要求是指信息系統(tǒng)在物理、網(wǎng)絡(luò)��、主機(jī)�����、應(yīng)用���、數(shù)據(jù)五個層面應(yīng)滿足的安全技術(shù)標(biāo)準(zhǔn)和規(guī)范�。具體如下:
物理安全:機(jī)房應(yīng)區(qū)域劃分至少分為主機(jī)房和監(jiān)控區(qū)兩個部分��;機(jī)房應(yīng)配備電子門禁系統(tǒng)、防盜報警系統(tǒng)���、監(jiān)控系統(tǒng)��;機(jī)房不應(yīng)該有窗戶����,應(yīng)配備專用的氣體滅火��、備用發(fā)電機(jī)�;
網(wǎng)絡(luò)安全:應(yīng)繪制與當(dāng)前運行情況相符合的拓?fù)鋱D�;交換機(jī)、防火墻等設(shè)備配置應(yīng)符合要求��,例如應(yīng)進(jìn)行Vlan劃分并各Vlan邏輯隔離�����,應(yīng)配置Qos流量控制策略��,應(yīng)配備訪問控制策略�,重要網(wǎng)絡(luò)設(shè)備和服務(wù)器應(yīng)進(jìn)行IP/MAC綁定等;應(yīng)配備網(wǎng)絡(luò)審計設(shè)備�、入侵檢測或防御設(shè)備���;交換機(jī)和防火墻的身份鑒別機(jī)制要滿足等保要求,例如用戶名密碼復(fù)雜度策略�����,登錄訪問失敗處理機(jī)制�����、用戶角色和權(quán)限控制等����;網(wǎng)絡(luò)鏈路、核心網(wǎng)絡(luò)設(shè)備和安全設(shè)備���,需要提供冗余性設(shè)計�����。
主機(jī)安全:服務(wù)器的自身配置應(yīng)符合要求���,例如身份鑒別機(jī)制、訪問控制機(jī)制���、安全審計機(jī)制�、防病毒等,必要時可購買第三方的主機(jī)和數(shù)據(jù)庫審計設(shè)備��;服務(wù)器(應(yīng)用和數(shù)據(jù)庫服務(wù)器)應(yīng)具有冗余性���,例如需要雙機(jī)熱備或集群部署等�;服務(wù)器和重要網(wǎng)絡(luò)設(shè)備需要在上線前進(jìn)行漏洞掃描評估��,不應(yīng)有中高級別以上的漏洞(例如windows系統(tǒng)漏洞�、apache等中間件漏洞、數(shù)據(jù)庫軟件漏洞��、其他系統(tǒng)軟件及端口漏洞等)���;應(yīng)配備專用的日志服務(wù)器保存主機(jī)、數(shù)據(jù)庫的審計日志�����。
應(yīng)用安全:應(yīng)用自身的功能應(yīng)符合等保要求�����,例如身份鑒別機(jī)制、審計日志��、通信和存儲加密等�����;應(yīng)用處應(yīng)考慮部署網(wǎng)頁防篡改設(shè)備��;應(yīng)用的安全評估(包括應(yīng)用安全掃描��、滲透測試及風(fēng)險評估)�����,應(yīng)不存在中高級風(fēng)險以上的漏洞(例如SQL注入��、跨站腳本����、網(wǎng)站掛馬、網(wǎng)頁篡改���、敏感信息泄露��、弱口令和口令猜測����、管理后臺漏洞等);應(yīng)用系統(tǒng)產(chǎn)生的日志應(yīng)保存至專用的日志服務(wù)器�����。
數(shù)據(jù)安全:應(yīng)提供數(shù)據(jù)的本地備份機(jī)制�����,每天備份至本地��,且場外存放�;如系統(tǒng)中存在核心關(guān)鍵數(shù)據(jù),應(yīng)提供異地數(shù)據(jù)備份功能�,通過網(wǎng)絡(luò)等將數(shù)據(jù)傳輸至異地進(jìn)行備份;
管理要求是指信息系統(tǒng)在安全管理制度���、安全管理機(jī)構(gòu)、人員安全管理�����、系統(tǒng)建設(shè)管理��、系統(tǒng)運維管理五個層面應(yīng)滿足的安全管理規(guī)范和措施。具體如下:
安全管理制度:應(yīng)制定并實施符合等保要求的安全管理制度�,包括但不限于信息系統(tǒng)安全管理規(guī)定、信息系統(tǒng)安全責(zé)任書���、信息系統(tǒng)安全事件處置規(guī)定����、信息系統(tǒng)安全審計規(guī)定�����、信息系統(tǒng)安全檢查規(guī)定等��;
安全管理機(jī)構(gòu):應(yīng)建立并完善符合等保要求的安全管理機(jī)構(gòu)����,包括但不限于信息系統(tǒng)安全委員會、信息系統(tǒng)安全辦公室����、信息系統(tǒng)安全管理員等;
人員安全管理:應(yīng)對涉及信息系統(tǒng)運行維護(hù)的人員進(jìn)行背景審查和培訓(xùn)考核�,簽訂保密協(xié)議,實施分級授權(quán)和最小權(quán)限原則,定期進(jìn)行業(yè)務(wù)和技能培訓(xùn)���,建立人員離職交接制度�;
系統(tǒng)建設(shè)管理:應(yīng)按照等保要求進(jìn)行信息系統(tǒng)的需求分析��、設(shè)計開發(fā)����、測試驗收和上線運行,確保信息系統(tǒng)在各個階段符合相應(yīng)的技術(shù)標(biāo)準(zhǔn)和規(guī)范����;
系統(tǒng)運維管理:應(yīng)按照等保要求進(jìn)行信息系統(tǒng)的日常運行維護(hù),包括但不限于定期進(jìn)行漏洞掃描和修復(fù)��、惡意代碼防護(hù)和清除�����、數(shù)據(jù)備份和恢復(fù)���、日志審計和分析�、安全事件處置和報告等�����。
定級為等保三級的信息系統(tǒng)是指經(jīng)過定級���、備案后����,確定為第三級的信息系統(tǒng)��。三級等保測評是什么意思����?等保三級是指網(wǎng)絡(luò)安全等級保護(hù)體系中的第三級,是我國對非銀行機(jī)構(gòu)的最高等級保護(hù)認(rèn)證����。
