三級等保是什么意思?三級等保有哪些安全要求?
網絡中存儲著我們很多個人信息,如果這些信息被泄露出去,將對我們每個人產生難以預料的危害。如果一個網站被評定為三級等保認證,就說明這家網站是值得用戶信賴的,不用擔心信息泄露的危險,那么三級等保是什么意思?下面新網就來給大家介紹一下。
三級等保又被稱為國家信息安全等級保護三級認證,是中國最權威的信息產品安全等級資格認證,由公安機關依據國家信息安全保護條例及相關制度規定,按照管理規范和技術標準,對各機構的信息系統安全等級保護狀況進行認可及評定。其中按照評定等級可以分為一至五級測評。
三級等保是國家對非銀行機構的最高級認證,屬于“監管級別”,由國家信息安全監管部門進行監督、檢查,認證測評內容分別涵蓋5個等級保護安全技術要求和5個安全管理要求,包含信息保護、安全審計、通信保密等近300項要求,共涉及測評分類73類,要求十分嚴格。
三級等保認證最嚴的地方是在技術層面,主要體現在系統安全管理和惡意代碼防范上,簡單的說,就是每當有黑客對平臺進行攻擊時,平臺具備一定的防范能力。
三級等保測評周期要求
信息安全等級保護管理辦法(公通字[2007]43號)中要求:
1、第三級信息系統應當每年至少進行一次等級測評;
2、第四級信息系統應當每半年至少進行一次等級測評;
3、第五級信息系統應當依據特殊安全需求進行等級測評,也就是三級系統每年必須要做一次測評。
如果你是網站或者系統還沒有定級,根據行業要求和系統用戶規模,自主定級覺得需要定級為三級的話,在網站或者系統進行等級保護備案申請時,需要開展專家評審會議,經過獲得專業的指導意見后,公安部審批部門批準,就可以獲得三級等保備案證明了。
一、物理安全:
①機房應區域劃分至少分為主機房和監控區兩個部分;
②機房應配備電子門禁系統、防盜報警系統、監控系統;
③機房不應該有窗戶,應配備專用的氣體滅火、備用發電機;
二、網絡安全:
①應繪制與當前運行情況相符合的拓撲圖;
②交換機、防火墻等設備配置應符合要求,例如應進行Vlan劃分并各Vlan邏輯隔離,應配置Qos流量控制策略,應配備訪問控制策略,重要網絡設備和服務器應進行IP/MAC綁定等;
③應配備網絡審計設備、入侵檢測或防御設備;
④交換機和防火墻的身份鑒別機制要滿足等保要求,例如用戶名密碼復雜度策略,登錄訪問失敗處理機制、用戶角色和權限控制等;
⑤網絡鏈路、核心網絡設備和安全設備,需要提供冗余性設計。
三、主機安全:
①服務器的自身配置應符合要求,例如身份鑒別機制、訪問控制機制、安全審計機制、防病毒等,必要時可購買第三方的主機和數據庫審計設備;
②服務器(應用和數據庫服務器)應具有冗余性,例如需要雙機熱備或集群部署等;
③服務器和重要網絡設備需要在上線前進行漏洞掃描評估,不應有中高級別以上的漏洞(例如windows系統漏洞、apache等中間件漏洞、數據庫軟件漏洞、其他系統軟件及端口漏洞等);
④應配備專用的日志服務器保存主機、數據庫的審計日志。
四、應用安全:
①應用自身的功能應符合等保要求,例如身份鑒別機制、審計日志、通信和存儲加密等;
②應用處應考慮部署網頁防篡改設備;
③應用的安全評估(包括應用安全掃描、滲透測試及風險評估),應不存在中高級風險以上的漏洞(例如SQL注入、跨站腳本、網站掛馬、網頁篡改、敏感信息泄露、弱口令和口令猜測、管理后臺漏洞等);
④應用系統產生的日志應保存至專用的日志服務器。
五、數據安全:
①應提供數據的本地備份機制,每天備份至本地,且場外存放;
②如系統中存在核心關鍵數據,應提供異地數據備份功能,通過網絡等將數據傳輸至異地進行備份。
聲明:免責聲明:本文內容由互聯網用戶自發貢獻自行上傳,本網站不擁有所有權,也不承認相關法律責任。如果您發現本社區中有涉嫌抄襲的內容,請發
送郵件至:operations@xinnet.com進行舉報,并提供相關證據,一經查實,本站將立刻刪除涉嫌侵權內容。本站原創內容未經允許不得轉載,或轉載時
需注明出處:新網idc知識百科