等保三级基础知识.docx

等保三级基础知识信息系统处理能力和连接能力在不断的提高同时，基 于网络连接的安全问题也日益突出，整体的网络安全主要表 现在以下几个方面：网络的物理安全、网络拓扑结构安全、 网络系统安全、应用系统安全和网络管理的安全等如何才能保证网络系统的硬件、软件及其系统中的数据 受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、 泄露，系统连续可靠正常地运行，网络服务不中断，需要做 到保证网络的物理安全，保证网络拓扑结构和系统的安全一.如何才能保证网络的物理安全？物理安全是保护计算机网络设备、设施以及其他媒体免 遭地震、水灾、火灾等环境事故（如电磁污染等〉及人为操作 失误或错误及各种计算机犯罪行为导致的破坏物理安全是 整个计算机信息系统安全的前提为了获得完全的保护，物 理安全措施是计算系统中必需的物理安全主要包括三个方面：场地安全（环境安全）：是 指系统所在环境的安全，主要是场地与机房；设备安全：主要 指设备的防盗、防毁、防电磁信息辐射、泄露、防止线路截 获、抗电磁干扰及电源保护等）；介质安全（媒体安全）：包 括媒体的数据的安全及媒体本身的安全1. 场地安全为了有效合理地对计算机机房进行保护，应对计算机机 房划分出不同的安全等级，把应地提供不同的安全保护措施， 根据GB9361-1988,计算机机房的安全等级分为A类、B类、 C类三个基本类别。

A级机房:对计算机机房的安全有严格的要求，有完善的 计算机计算机安全措施，具有最高的安全性和可靠性B级机房:对计算机机房的安全有严格的要求，有较完善 的计算机计算机安全措施，安全性和可靠性介于A、C级之 间C级机房:对计算机机房的安全有基本的要求，有基本的 计算机安全措施，C级机房具有最低限度的安全性和可靠性在实际的应用中，可根据使用的具体情况进行机房等级 的设置，同一机房也可以对不同的设备（如电源、主机）设置 不同的级别2. 设备安全设备安全包括设备的防盗和防毁，防止电磁信息泄露， 前置线路截获、抗电磁干扰一级电源的保护其主要内容包 括：（1）设备防盗可以使用一定的防盗手段（如移动报警器、数字探测报 警和部件上锁〉保护计算机系统设备和部件，以提高计算机 信息系统设备和部件的安全性2 )设备防毁一是对抗自然力的破坏，如使用接地保护等措施保护计 算机信息系统设备和部件二是对抗人为的破坏，如使用防 砸外壳等措施3) 防止电磁信息泄露为防止计算机信息系统中的电磁信息油露，提高系统内 敏感信息的安全性，通常使用防止电磁信息泄露的各种涂料、 材料和设备等4) 防止线路截获主要防止对计算机信息系统通信线路的截获与干扰。

重 要技术可归纳为4个方面：预防线路截获(使线路截获设备 无法正常工作);扫描线路截获(发现线路截获并报警);定位 线路截获(发现线路截获设备工作的位置);对抗线路截获 (阻止线路截获设备的有效使用)5) 抗电磁干扰防止对计算机信息系统的电磁干扰，从而保护系统内部 的信息6) 电源保护计算机信息系统设备的可靠运行提供能源保障，可归纳 为两个方面：对工作电源的工作连续性的保护(如使用不间 断电源)和对工作电源的工作稳定性的保护3. 介质安全介质安全是指介质数据和介质本身的安全介质安全目 的是保护存储在介质上的信息包括介质的前盗：介质的防 毁，如防霉和防砸等介质数据的安全是指对介质数据的保护介质数据的安 全删除和介质的安全销毁是为了前止被删除或销毁的敏感 数据被他人恢复包括介质数据的防盗（如防止介质数据被 非法复制）；介质数据的销毁，包括介质的物理销毁（如介质 粉碎等）和介质数据的彻底销毁（如消磁等），防止介质数据 删除或销毁后被他人恢复而准露信息：介质数据的防毁，防 止意外或故意的破坏使介质数据丢失一、机房方面的安全措施设备配置需求（等保2.0三级标准）如下:1、 需要使用彩钢板、防火门等进行区域隔离2、 视频监控系统3、 防盗报警系统4、 灭火设备和火灾自动报警系统5、 水敏感检测仪及漏水检测报警系统6、 精密空调7、 除湿装置8、 备用发电机9、 电磁屏蔽柜二.如何保证网络拓朴结构和系统的安全？网络安全系统主要依靠防火墙、网络防病毒系统等技术 在网络层构筑一道安全屏障，并通过把不同的产品集成在同 一个安全管理平台上实现网络层的统一、集中的安全管理。

网络层安全平台选择网络层安全平台时主要考虑这个安全平台能否与 其他相关的网络安全产品集成，能否对这些安全产品进行统 一的管理，包括配置各相关安全产品的安全策略、维护相关 安全产品的系统配置、检查并调整相关安全产品的系统状态 等一个完善的网络安全平台至少需要部署以下产品：防火墙、网络的安全核心提供边界安全防护和访问权限 控制；网络防病毒系统、杜绝病毒传播提供全网同步的病毒更 新和策略设置提供全网杀毒安全网络拓扑结构划分防火墙主要是防范不同网段之间的攻击和非法访问 由于攻击的对象主要是各类计算机，所以要科学地划分计算 机的类别来细化安全设计在整个内网当中，根据用途可以 将计算机划分为三类：内部使用的工作站与终端、对外提供 服务的应用服务器以及重要数据服务器这三类计算机的 作用不同，重要程度不同，安全需求也不同第一、重点保护各种应用服务器特别是要保证数据库服务的代理服务器的绝对安全 不能允许用户直接访问对 应用服务器则要保证用户的访问是受到控制的要能够限制 能够访问该服务器的用户范围使其只能通过指定的方式进 行访问第二、数据服务器的安全性要大于对外提供多种服务的 WWW服务器、E-mail服务器等应用服务器。

所以数据库服务 器在防火墙定义的规则上要严于其他服务器第三、内部网络有可能会对各种服务器和应用系统的直 接的网络攻击，所以内部办公网络也需要和代理服务器、对 外服务器、WWW、E-mail等隔离开第四、不能允许外网用户直接访问内部网络上述安全需求需要通过划分出安全的网络拓扑结构，并 通过VLAN划分、安全路由器配置和防火墙网关的配置来控 制不同网段之间的访问控制划分网络拓扑结构时，一方面 要保证网络的安全；另一方面不能对原有网络结构做太大的 更改为此建议采用以防火墙为核心的支持非军事化区的三 网段安全网络拓扑结构三.关于等级保护及相关问题为了提高信息安全保障能力和水平，维护国家安全、 社会稳定和公共利益，保障和促进信息化建设，在信息系统 建设过程中，运营、使用单位应当按照《计算机信息系统安 全保护等级划分准则》(GB17859-1999)、《信息系统安全等级 保护基本要求》等技术标准，参照《信息安全技术信息系统 通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网 络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安 全技术服务器技术要求》、《信息安全技术终端计算机系统 安全等级技术要求》(GA/T671-2006)等技术标准同步建设符 合该等级要求的信息安全设施。

1. 如何去判断和定义自己的网络分级？第二级，信息系统受到破坏后，会对公民、法人和其他 组织的合法权益产生严重损害，或者对社会秩序和公共利益 造成损害，但不损害国家安全，比如一些企业的门户网站， 中小企业的一些对外办公网站等等第三级，信息系统受到破坏后，会对社会秩序和公共利 益造成严重损害，或者对国家安全造成损害，如果涉及到科 研成果，社会，国家等方面的系统比如铁路网站，医保， 社保等系统第四级，信息系统受到破坏后，会对社会秩序和公共利 益造成特别严重损害，或者对国家安全造成严重损害2. 信息安全等级保护三级的认证流程有哪些？认证流程是具有等保测评资质的公司(经过相关部门认 可的）对要进行等保测评的单位进行定级并测评，测评后提 出整改意见并对被测评单位进行整改，就是一个测评整改再 测评再整改的过程，最终达到并通过测评，例如等保三级需 要每年测评一次3. 关于三级等保的技术要求技术要求，包括物理、网络、主机、应用、数据5个方面；物理安全部分；1、 机房应区域划分至少分为主机房和监控区两个部分;2、 机房应配备电子门禁系统、防盗报警系统、监控系统;3、 机房不应该有窗户，应配备专用的气体灭火、ups供 电系统;网络安全部分；1、 应绘制与当前运行情况相符合的拓扑图；2、 交换机、防火墙等设备配置应符合要求，例如应进行 Vlan划分并各Vlan逻辑隔离，应配置Qos流量控制策略， 应配备访问控制策略，重要网络设备和服务器应进行IP/MAC 绑定等；3、 应配备网络审计设备、入侵检测或防御设备。

4、 交换机和防火墙的身份鉴别机制要满足等保要求，例 如用户名密码复杂度策略，登录访问失败处理机制、用户角色和权限控制等；5、网络链路、核心网络设备和安全设备，需要提供冗余性设计主机安全部分1、 服务器的自身配置应符合要求，例如身份鉴别机制、 访问控制机制、安全审计机制、防病毒等，必要时可购买第 三方的主机和数据库审计设备；2、 服务器（应用和数据库服务器）应具有冗余性，例如 需要双机热备或集群部署等；3、 服务器和重要网络设备需要在上线前进行漏洞扫描 评估，不应有中高级别以上的漏洞（例如windows系统漏洞、 apache等中间件漏洞、数据库软件漏洞、其他系统软件及端 口漏洞等）；4、 应配备专用的日志服务器保存主机、数据库的审计 日志主机和网络安全层面需要部署的安全产品如下：1、 入侵防御系统2、 上网行为管理系统3、 网络准入系统4、 统一监控平台（可满足主机、网络和应用层面的监控 需求）5、 防病毒软件6、 堡垒机7、 防火墙8、 审计平台（满足对操作系统、数据库、网络设备的审 计，在条件不允许的情况下，至少要使用数据库审计）应用安全部分1、 应用自身的功能应符合等保要求，例如身份鉴别机制、 审计日志、通信和存储加密等；2、 应用处应考虑部署网页防篡改设备；3、 应用的安全评估（包括应用安全扫描、渗透测试及风 险评估），应不存在中高级风险以上的漏洞（例如SQL注入、 跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱口令和 口令猜测、管理后台漏洞等）；4、 应用系统产生的日志应保存至专用的日志服务器。

应用及数据安全层面需要部署的安全产品如下：1、 VPN2、 网页防篡改系统（针对网站系统）3、 数据异地备份存储设备4、 主要网络设备、通信线路和数据处理系统的硬件冗余（关 键设备双机冗余）5、 数据加密软件（满足加密存储，且加密算法需获得保密局 认可）数据安全备份1、 应提供数据的本地备份机制，每天备份至本地，且场 外存放；2、 如系统中存在核心关键数据，应提供异地数据备份功 能，通过网络等将数据传输至异地进行备份；管理制度要求，应包括以下5方面的制度和记录：1、 安全管理制度2、 安全管理机构3、 人员安全管理4、 系统建设管理5、 系统运维管理。