三级等保测评要求涉及多个方面,包括技术、管理、流程和设施等。以下是详细的要求:
技术方面
关键线路和关键设备的冗余:高可用性三级系统要求网络线路、路由器和交换机等网络设备、直连的防火墙等安全设备需要实现冗余。
重要数据在通信过程中的完整性和保密性保障措施:需要配置VPN访问(如记者远程访问、分公司人员访问总部系统资源),应用层面C/S架构数据库配置SSL访问,B/S架构配置HTTPS访问,网络层面或应用层面一般满足一项即可。
内部入侵监测和防御措施:需要新一代防火墙或内嵌IPS模块,或配置IPS设备。
设备和应用系统双因素鉴别用户身份:所有重要设备都需要采用双因子认证方式登录,尤其是针对核心业务应用系统。
系统应采用两级或以上安全防护体系,确保重要信息的安全性和完整性。
应采用符合国家标准的密码算法和协议,对重要数据进行加密存储和传输。
应具备防范恶意代码和未经授权访问的能力,如防病毒、防黑客等安全措施。
应建立完善的数据备份与恢复机制,确保数据不会因意外而丢失。
管理方面
应制定详细的安全管理制度,明确各项安全管理要求。
应设立专门的安全管理机构,配备足够的安全管理人员。
应定期开展安全培训和演练,提高员工的安全意识和操作技能。
应建立完备的安全审计机制,对系统进行全面的安全风险评估。
流程方面
应制定清晰的安全防范策略,包括事前预防、事中检测和事后恢复等环节。
应建立完备的安全漏洞管理制度,及时发现和处理安全漏洞。
应实施严格的安全审批流程,确保各类操作符合安全管理要求。
设施方面
应采用可靠的供电和制冷设施,确保数据中心的高可用性和可靠性。
应配置完善的网络安全设施,如防火墙、入侵检测系统等。
对机房、网络安全、主机安全、应用安全和数据安全都有具体的技术要求和措施。
其他要求
综合得分70分以上才有可能合格,70分以下为差,无高风险,70分以上为中,80分为良,90分以上为优。
三级等保系统的机房配置防盗报警系统或设置有专人值守的视频监控系统。
所有重要设备都需采用双因子认证方式登录,尤其是针对核心业务应用系统。
业务应用系统需要进行单独区域划分,并部署第二代防火墙类设备进行边界隔离。
对远程操作进行访问控制策略控制,部署堡垒机对用户行为进行访问控制。
对日志进行记录与审计,包括用户行为和安全事件的审计。
关闭不需要的系统服务、默认共享和高危端口,同时对远程管理的用户和终端进行管控。
安装反病毒软件并及时更新病毒库,使用白名单类软件进行恶意代码防范。
对存储数据和传输数据进行严格的完整性和保密性要求,包括要求供应商提供严格的数据完整性和保密性,以及对数据传输的严格要求。
这些要求旨在确保信息系统的安全性和稳定性,防止未经授权的访问和数据泄露,并提高系统的整体安全防护能力。