“等保三级”的概念很多人都听过,但并不知道具体是什么。本文国科云针对等保三级的概念以及一些技术要求做下介绍。
一、什么是等级保护?
在认识等保三级之前,首先要了解我国的等级保护。等级保护是指对国家重要信息以及存储、传输、处理这些信息的系统进行分等级安全保护,对系统中使用信息安全产品实行按等级管理,对系统中发生的安全事件分等级响应处置。
根据保护对象的重要程度,我国将网络安全保护划分为五个级别,从一级到五级,级别越高,要求越严格。
等保一级,自主保护级,一般适用于小型企业、个体企业、县级单位中一般的信息系统。
等保二级,指导保护级,系统遭到破坏会对社会秩序和公共利益造成损害,但不损害国家利益,一般适用于县级单位系统或市级单位内部一般系统。
等保三级,监督保护级,系统遭到破坏会对国家利益造成损害,一般适用于市级单位重要系统,省部委的门户网站等。
等保四级,强制保护级,系统遭到破坏会对国际安全造成严重损害,适用于国家重要部门、重要领域的重要系统,如电力、电信、铁路、银行等。
等保五级,专控保护级,系统遭到破坏会对国家利益造成特别严重的损害,适用于国家重要领域、重要部门中极端重要的系统。
就我国的实际情况来看,最常见的是等保二级和等保三级。
等保三级是指信息系统经过定级、备案后,确定为第三级的信息系统,那么就需要做三级等保。
三级等保,是我国对非银行机构的最高等级保护认证,定级为等保三级的系统包括互联网医院平台、P2P金融平台、云(服务商)平台和其他重要系统。通过“三级等保”认证,表明企业的信息安全管理能力达到国内最高标准。
二、等保三级技术要求
等保三级技术要求主要包括物理、网络、主机、应用、数据5个方面。
1、物理安全:机房应区域划分至少分为主机房和监控区两个部分;机房应配备电子门禁系统、防盗报警系统、监控系统;机房不应该有窗户,应配备专用的气体灭火、备用发电机;
2、网络安全:应绘制与当前运行情况相符合的拓扑图;交换机、防火墙等设备配置应符合要求,例如应进行Vlan划分并各Vlan逻辑隔离,应配置Qos流量控制策略,应配备访问控制策略,重要网络设备和服务器应进行IP/MAC绑定等;应配备网络审计设备、入侵检测或防御设备;交换机和防火墙的身份鉴别机制要满足等保要求,例如用户名密码复杂度策略,登录访问失败处理机制、用户角色和权限控制等;网络链路、核心网络设备和安全设备,需要提供冗余性设计。
3、主机安全:服务器的自身配置应符合要求,例如身份鉴别机制、访问控制机制、安全审计机制、防病毒等,必要时可购买第三方的主机和数据库审计设备;服务器(应用和数据库服务器)应具有冗余性,例如需要双机热备或集群部署等;服务器和重要网络设备需要在上线前进行漏洞扫描评估,不应有中高级别以上的漏洞(例如windows系统漏洞、apache等中间件漏洞、数据库软件漏洞、其他系统软件及端口漏洞等);应配备专用的日志服务器保存主机、数据库的审计日志。
4、应用安全:应用自身的功能应符合等保要求,例如身份鉴别机制、审计日志、通信和存储加密等;应用处应考虑部署网页防篡改设备;应用的安全评估(包括应用安全扫描、渗透测试及风险评估),应不存在中高级风险以上的漏洞(例如SQL注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞等);应用系统产生的日志应保存至专用的日志服务器。
5、数据安全:应提供数据的本地备份机制,每天备份至本地,且场外存放;如系统中存在核心关键数据,应提供异地数据备份功能,通过网络等将数据传输至异地进行备份;三级等保的管理制度要求安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
三、等保三级办理流程
等保三级认证是具有等保资质测评的公司对要进行等保测评的单位进行定级并测评,测评后提出整改意见并针对性进行整改,最终达到并通过测评,等保三级需要每年测评一次。
具体认证流程如下:
(1)摸底调查信息系统底数:包括业务类型、应用或范围、系统结构等基本情况;
(2)确立定级对象:按照业务类别不同单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象;
(3)系统定级:定级是信息安全等级保护工作的首要环节,是开展信息系统安全建设、等级测评、监督检查等工作的重要基础;
(4)评审:运营使用单位或主管部门在确定系统安全保护等级后,可以聘请专家进行评审;
(5)备案:备案单位准备备案工具,填写备案表,生成备案电子数据,到公安机关办理备案手续;
(6)备案审核:受理备案的公安机关要及时公布备案受理地点、备案联系方式等,对备案材料进行完整性审核和定级准确审核;
(7)系统测评:三级以上信息系统按《信息系统安全等级保护备案表》要求提交材料;
(8)整改实施:根据测评结果进行安全要求整改。
四、2025年新规、新要求
1.重新备案:所有已经完成定级的二级及以上单位需重新填报定级报告和备案表。
2.备案有效期:备案证明有效期统一调整为三年,完成等级测评自动延长一年。
3.测评体系:废除了以前的百分制评分,采用三级结论体系:
符合:符合率≥90%且无重大风险隐患。
基本符合:符合率60%-90%,或符合率≥90%但存在重大风险隐患。
不符合:符合率<60%。
4.新增数据资源摸底:二级以上单位需填报《数据摸底调查表》,按业务维度分类上报。
3.覆盖范围扩大:新规明确将云计算、物联网、工业控制系统、AI大模型等新兴领域纳入等保评估范围,并设置了专属风险项。
4.整改要求:对于测评中发现的重大风险隐患,需在30日内完成整改,且整改方案需经第三方验证。
5.法律后果:未达合规要求的组织将面临明确的罚款、业务暂停等处罚。
五、关于等保的几个误区,重要必看
误区一:搞一次,管一辈子
很多人以为等保测评通过就完事了,以后就不用管了。实际上它更像年度体检,需要每年复查,系统有改动还得重新测。
误区二:多买设备就稳过
很多人以为买防火墙、杀毒软件就OK了。其实评审更看重这些设备有没有用、策略配置对不对、日志有没有人看这类的实际操作管理。
误区三:定级越低越省事
想着把自己系统定成最低级,随便糊弄一下就过关。但级别是国家根据系统重要性定的,自己乱定级后面会被通报,反而更麻烦。
误区四:找找关系就能过
觉得这是走个形式,指望找测评机构通融。现在测评全程录音录像,报告终身追责,没人敢帮你造假。
误区五:测评前突击一下
平时不维护,检查前才开始补材料、改配置。评审员几个问题就能问出破绽,根本糊弄不过去。
误区六:放云上就安全了
以为用了阿里云、腾讯云,安全就是云厂商全包。实际上你自己在云上建的平台、存的数据,安全责任还是你的。
误区七:为了测评而测评
所有工作只为拿那个证书。证书到手后,安全设备警报响了都没人理,这就完全背离了等保的初衷。
误区八:等保是额外负担
觉得这是上级找麻烦。但等保其实是帮你系统梳理安全漏洞,相当于一次全面的安全体检,能避免以后出大事。
相关推荐:
