2022年11月21日10:28:28

信息安全等级保护管理办法

信息系统的安全保护等级分为以下五级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

等保三级业务系统需要包括,主要包括以下几个部分要求
1.网络安全部分:
①应绘制与当前运行情况相符合的拓扑图;
②交换机、防火墙等设备配置应符合要求,例如应进行Vlan划分并各Vlan逻辑隔离,应配置Qos流量控制策略,应配备访问控制策略,重要网络设备和服务器应进行IP/MAC绑定等;
③应配备网络审计设备、入侵检测或防御设备;
④交换机和防火墙的身份鉴别机制要满足等保要求,例如用户名密码复杂度策略,登录访问失败处理机制、用户角色和权限控制等;
⑤网络链路、核心网络设备和安全设备,需要提供冗余性设计。

2.应用安全部分:
①应用自身的功能应符合等保要求,例如身份鉴别机制、审计日志、通信和存储加密等;
②应用处应考虑部署网页防篡改设备;
③应用的安全评估(包括应用安全扫描、渗透测试及风险评估),应不存在中高级风险以上的漏洞(例如SQL注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞等);
④应用系统产生的日志应保存至专用的日志服务器。

3.数据安全备份:
①应提供数据的本地备份机制,每天备份至本地,且场外存放;
②如系统中存在核心关键数据,应提供异地数据备份功能,通过网络等将数据传输至异地进行备份。

等保三级重新认证时间
image

三级等保的流程

一般为系统定级→系统备案→整改实施→系统测评→运维检查,具体每一步流程步骤如下:

1系统定级:编写定级报告、填写定级备案表;
②系统备案:定级备案表填写完整后,将定级材料提交至公安机关进行备案审核;
⑧整改实施:对系统进行调研,开展差距评估,依照国家相关标准进行方案设计,完成相应设备采购及调整、策略配置调试、完善管理制度等工作
④系统测评:请当地测评机构,对系统进行全方面测评,测评评分合格后获得合格测评报告,并终获得等级保护备案证;
⑤运维检查:系统持续运维与优化,并按照相关要求进行年检。

二、三级等保办理过程需要注意什么?
1、如果定级无法明确的,需要通过专家评审环节。
2、三级等保每一年检查一次。
3、等保三级定级标准为信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
4、等保三级70分以上才算达标,90分以上算优异。一般认真落实相应网络安全标准的公司企业都是高分通过的

第一阶段(1994-2007 网络安全等级保护起步与探索):

1994年2月18日《中华人民共和国计算机信息系统安全保护条例》 (国务院第147号令)
2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
2004年9月15日《关于信息安全等级保护工作的实施意见》
2007年6月22日《信息安全等级保护管理办法》(公通字[2007]43 号)
2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)

第二阶段(2007-2016 网络安全等级保护标准化与发展)

GB/T 22239—2008 基本要求;22240、25070、28448、28449等保国标系列标准。

第三阶段(2016-2019 网络安全等级保护行业深耕落地)

2017年6月1日《中华人民共和国网络安全法》
2018年6月27日《网络安全等级保护管理条例(征求意见稿)》

第四阶段(2019——进入网络安全等级保护2.0时代)

2019年5月13日《信息安全技术网络安全等级保护基本要求》
2020年7月22日《贯彻落实网络安全等保制度和关保制度的指导意见》(公安部1960号)
2020年11月1日《信息安全技术 网络安全等级保护定级指南 GB/T22240-2020》正式实施

参与公安部的等保三级测评认证就可以成为认证服务公司
全国网络安全等级测评与检测评估机构目录,这里的有第三方公司提供服务,但是服务费比较贵

等保可以去自己做和申请认证,但是通常不建议这么干,因为本身这个流程很麻烦,需要准备很多的资料和事前准备,认证周期会正常影响自己的业务进程

注意:拓扑结构大同小异,但是要达到基础标准

参考阿里的架构图
image
增强型
image

参考资料: http://www.trs.gov.cn/zwgk/zfxxgkzl/fdzdgknr/zcwj/flfg/202208/t20220815_76094504.html
https://www.huaweicloud.com/zhishi/edits-15756245.html
http://www.djbh.net/webdev/web/LevelTestOrgAction.do?p=gzdtLv3&id=402885cb35d11a540135d168e41e000c
https://www.aliyun.com/solution/security/compliance

原文地址:http://www.cnblogs.com/zx-admin/p/16910721.html

1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长! 2. 分享目的仅供大家学习和交流,请务用于商业用途! 3. 如果你也有好源码或者教程,可以到用户中心发布,分享有积分奖励和额外收入! 4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解! 5. 如有链接无法下载、失效或广告,请联系管理员处理! 6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需! 7. 如遇到加密压缩包,默认解压密码为"gltf",如遇到无法解压的请联系管理员! 8. 因为资源和程序源码均为可复制品,所以不支持任何理由的退款兑现,请斟酌后支付下载 声明:如果标题没有注明"已测试"或者"测试可用"等字样的资源源码均未经过站长测试.特别注意没有标注的源码不保证任何可用性