2019年，等保2.0相關(guān)的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》等國家標(biāo)準(zhǔn)正式發(fā)布，并于2019年12月1日開始實施，我國正式邁入等保2.0時代。

今天以等保三級為標(biāo)準(zhǔn)，介紹下認證等保三級不可不知的一些基本要求。

等保三級有多嚴(yán)格？

等保三級是國家對非銀行機構(gòu)的最高級認證，是安全標(biāo)記保護級，屬“監(jiān)管級別”，由國家信息安全監(jiān)管部門進行監(jiān)督、檢查，認證。

測評內(nèi)容涵蓋了5個等級保護安全技術(shù)要求和5個安全管理要求，具體包含信息保護、安全審計、通信保密等近300項要求，涉及73類測評分類，要求十分嚴(yán)格。

等保2.0時代，國家對于等級保護要求更為嚴(yán)格。對于有些行業(yè)來說，比如教育行業(yè)，沒有拿到等級保護認證，其企業(yè)的網(wǎng)站、APP等都無法正常運行，因為教育行業(yè)的APP備案就需要企業(yè)先提交等保備案證明，沒有證明不能備案。

等保三級之七大大關(guān)鍵點

01身份驗證

身份驗證需保證所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備、重要服務(wù)器、數(shù)據(jù)庫服務(wù)器、應(yīng)用業(yè)務(wù)系統(tǒng)等這些關(guān)鍵設(shè)備和業(yè)務(wù)系統(tǒng)不存在弱口令、空口令賬戶登錄情況。

在確保無弱口令和空口令的前提下，所有重要設(shè)備都需采用雙因子認證方式登錄，尤其是針對核心業(yè)務(wù)應(yīng)用系統(tǒng)，不能只采用基本的用戶名/口令。比較常用的做法是采用令牌、智能卡、生物指紋、虹膜識別、人臉識別等高階認證技術(shù)。

對于遠程管理維護的操作，建議通過堡壘機、統(tǒng)一身份認證系統(tǒng)實現(xiàn)對登錄用戶的身份鑒別，并實現(xiàn)定期改密，同時使用SSLVPN建立加密隧道，防止數(shù)據(jù)在遠程傳輸時被竊聽。

02訪問控制

當(dāng)應(yīng)用系統(tǒng)訪問控制功能存在缺失，無法按照設(shè)計策略控制用戶對系統(tǒng)功能、數(shù)據(jù)的訪問，以及系統(tǒng)訪問策略存在缺陷，導(dǎo)致可越權(quán)訪問系統(tǒng)功能模塊或查看其它用戶數(shù)據(jù)，則系統(tǒng)被判定為高風(fēng)險。

針對此類問題，建議將承載關(guān)鍵業(yè)務(wù)系統(tǒng)的服務(wù)器進行單獨區(qū)域劃分，部署第二代防火墻類設(shè)備進行邊界隔離，深層次過濾訪問行為。同時需有明確的管理制度不允許本地操作，或者對本地的操作進行訪問控制。

針對遠程操作進行訪問控制策略控制，部署堡壘機對用戶行為進行訪問控制。對于非業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備、主機設(shè)備、服務(wù)器設(shè)備等只需要進行默認賬戶刪除、修改默認口令、無法通過默認賬戶以及默認口令登錄就可以滿足最基本的要求。

03安全審計

當(dāng)應(yīng)用系統(tǒng)（包括前端系統(tǒng)和后臺管理系統(tǒng)）無任何日記審計功能，無法對用戶的重要行為進行審計，也無法對時間進行溯源，則可判定為高風(fēng)險。

針對這種情況，建議在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，審計應(yīng)覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。

可使用防火墻進行網(wǎng)絡(luò)攻擊行為檢測分析和記錄行為，使用數(shù)據(jù)庫設(shè)計對數(shù)據(jù)庫訪問行為進行審計。

通常使用第三方日志審計系統(tǒng)，除進行常規(guī)的日志記錄收集外，對日志進行關(guān)聯(lián)分析，篩查可能存在的安全風(fēng)險。

04入侵防范

應(yīng)遵循最小安裝原則，僅安裝需要的組件和應(yīng)用程序，關(guān)閉不需要的系統(tǒng)服務(wù)、默認共享和高危端口。

通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的終端進行限制。提供數(shù)據(jù)有效性檢驗功能，保證人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求。

對于一些互聯(lián)網(wǎng)直接能夠訪問到的設(shè)備及系統(tǒng)，須盡快修補已在公開渠道披露的重大漏洞。尤其是業(yè)務(wù)應(yīng)用系統(tǒng)，現(xiàn)階段針對應(yīng)用系統(tǒng)的SQL注入、跨站腳本等均為高風(fēng)險漏洞，都會對業(yè)務(wù)應(yīng)用系統(tǒng)正常運行造成嚴(yán)重后果。

05惡意防范

應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機制及時識別入侵和病毒行為，并及時有效阻斷。如果是相對封閉的網(wǎng)絡(luò)，如工業(yè)控制系統(tǒng)，需安裝白名單類軟件進行惡意代碼防范。

06數(shù)據(jù)完整性

應(yīng)采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程和存儲過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。

同時需對所有應(yīng)用業(yè)務(wù)系統(tǒng)產(chǎn)生的重要數(shù)據(jù)都要在本地進行備份，對于一些特殊的領(lǐng)域，如金融、交通等需要進行異地備份，原則上同城異地機房直接距離不低于為30公里，跨省市異地機房直線距離不低于100公里。

07 數(shù)據(jù)的保密性

應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程和存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等。可通過VPN建立加密隧道，保證數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?/p>

等級保護的意義

網(wǎng)絡(luò)安全等級保護制度是國家網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度和基本方法。網(wǎng)絡(luò)安全等級保護制度的制定與完善，意義重大，是中國網(wǎng)絡(luò)安全的基石，也是維護國家安全、社會秩序和公共利益的根本保障。

“沒有網(wǎng)絡(luò)安全就沒有國家安全”不止是一個理念，更是國家、企業(yè)、組織落實網(wǎng)安標(biāo)準(zhǔn)的基本原則。目前已經(jīng)下發(fā)行業(yè)等保要求文件的有：金融、電力、廣電、醫(yī)療、教育等行業(yè)等。

滿足等級保護建設(shè)的要求也并不是一味的累加產(chǎn)品，更多的是對網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)的梳理，只有符合企業(yè)網(wǎng)絡(luò)特點、業(yè)務(wù)特點的方案設(shè)計才是合適的等級保護解決方案。

中科三方于2017年就已通過公安部的等保三級測評認證，作為深耕行業(yè)20年的老牌互聯(lián)網(wǎng)基建服務(wù)商，三方在等保認證和網(wǎng)絡(luò)安全方面擁有豐富的實戰(zhàn)經(jīng)驗，多次在“兩會“、“一帶一路峰會“等國家重大會議承擔(dān)重保工作。

總結(jié)

以上是生活随笔為你收集整理的详解等保三级7大关键点的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。