系统等保三级标准（三级等保有什么用）

文章来源：全云在线 https://www.cloudallonline.com/

【价格】：二级系统不低于5万元；三级系统不低于7万元。最后等保测评的费用也和信息系统的资产规模相关，规模越大相应的测评费用会高些。具体可以向当地测评机构咨询。

随着信息技术的不断发展和信息化建设的不断进步，信息系统在政府机构的运营中全面渗透，不但给政府机构的内部管理带来了便捷，而且越来越深入我们的日常生活，但是信息安全问题也愈见突出。

系统等保三级标准（三级等保有什么用）

2016年《中华人民共和国网络安全法》的发布使得为信息系统构建完整的安全体系成为重中之重，“不履行义务的，对主管人员和直接负责人员依法给予处分”，实施安全加固以满足《信息安全技术网络安全等级保护基本要求GB/T 22239-2019》（简称等保2.0）则成为了一项长期性的必要工作。

等保2.0的技术要求主要包括物理环境、通信环境、区域边界、计算环境、管理中心五大方面，由于大多数应用已经上云，物理环境、通信环境、区域边界、管理要求已经基本由云环境解决，大部分计算环境的安全需要由应用系统自身解决，而这部分应用安全的要求恰恰难度大、代价高、耗时长。

什么是「等保三级」信息安全等级保护认证是我国相当权威的信息产品安全等级资格认证，由公安机关依据国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。

其中，「国家信息安全等级保护三级认证」是国家对非银行机构的高级认证，属于「监管级别」，由国家信息安全监管部门进行监督、检查，认证测评内容分别涵盖 5 个等级保护安全技术要求和 5 个安全管理要求，包含信息保护、安全审计、通信保密等近 300 项要求，共涉及测评分类 73 类，要求十分严格。

通过信息系统安全「三级等保」认证需要：

从技术上：考核包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。

从管理上：对安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面进行严格审核，考察企业应对恶意代码和黑客攻击，以及对安全漏洞和安全事件的应对能力快速恢复能力。

01身份验证

身份验证需保证所有网络设备、安全设备、重要服务器、数据库服务器、应用业务系统等这些关键设备和业务系统不存在弱口令、空口令账户登录情况。

在确保无弱口令和空口令的前提下，所有重要设备都需采用双因子认证方式登录，尤其是针对核心业务应用系统，不能只采用基本的用户名/口令。比较常用的做法是采用令牌、智能卡、生物指纹、虹膜识别、人脸识别等高阶认证技术。

对于远程管理维护的操作，建议通过堡垒机、统一身份认证系统实现对登录用户的身份鉴别，并实现定期改密，同时使用SSLVPN建立加密隧道，防止数据在远程传输时被窃听。

02访问控制

当应用系统访问控制功能存在缺失，无法按照设计策略控制用户对系统功能、数据的访问，以及系统访问策略存在缺陷，导致可越权访问系统功能模块或查看其它用户数据，则系统被判定为高风险。

针对此类问题，建议将承载关键业务系统的服务器进行单独区域划分，部署第二代防火墙类设备进行边界隔离，深层次过滤访问行为。同时需有明确的管理制度不允许本地操作，或者对本地的操作进行访问控制。

针对远程操作进行访问控制策略控制，部署堡垒机对用户行为进行访问控制。对于非业务系统的网络设备、主机设备、服务器设备等只需要进行默认账户删除、修改默认口令、无法通过默认账户以及默认口令登录就可以满足最基本的要求。

03安全审计

当应用系统（包括前端系统和后台管理系统）无任何日记审计功能，无法对用户的重要行为进行审计，也无法对时间进行溯源，则可判定为高风险。

针对这种情况，建议在网络边界、重要网络节点进行安全审计，审计应覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。

可使用防火墙进行网络攻击行为检测分析和记录行为，使用数据库设计对数据库访问行为进行审计。

通常使用第三方日志审计系统，除进行常规的日志记录收集外，对日志进行关联分析，筛查可能存在的安全风险。

04入侵防范

应遵循最小安装原则，仅安装需要的组件和应用程序，关闭不需要的系统服务、默认共享和高危端口。

通过设定终端接入方式或网络地址范围对通过网络进行管理的终端进行限制。提供数据有效性检验功能，保证人机接口输入或通过通信接口输入的内容符合系统设定要求。

对于一些互联网直接能够访问到的设备及系统，须尽快修补已在公开渠道披露的重大漏洞。尤其是业务应用系统，现阶段针对应用系统的SQL注入、跨站脚本等均为高风险漏洞，都会对业务应用系统正常运行造成严重后果。

05恶意防范

应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并及时有效阻断。如果是相对封闭的网络，如工业控制系统，需安装白名单类软件进行恶意代码防范。

06数据完整性

应采用校验技术或密码技术保证重要数据在传输过程和存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

同时需对所有应用业务系统产生的重要数据都要在本地进行备份，对于一些特殊的领域，如金融、交通等需要进行异地备份，原则上同城异地机房直接距离不低于为30公里，跨省市异地机房直线距离不低于100公里。

07 数据的保密性

应采用密码技术保证重要数据在传输过程和存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。可通过VPN建立加密隧道，保证数据传输的保密性。

本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 sumchina520@foxmail.com 举报，一经查实，本站将立刻删除。
如若转载，请注明出处：https://www.yiheng8.com/91819.html

系统等保三级标准（三级等保有什么用）

相关推荐