首页 > 其他分享 >等保三级,多级等保认证的一点了解

等保三级,多级等保认证的一点了解

时间:2022-11-21 13:57:48浏览次数:81  
标签:网络安全 多级 测评 定级 损害 认证 三级 等级

2022年11月21日10:28:28

信息安全等级保护管理办法

信息系统的安全保护等级分为以下五级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

等保三级业务系统需要包括,主要包括以下几个部分要求
1.网络安全部分:
①应绘制与当前运行情况相符合的拓扑图;
②交换机、防火墙等设备配置应符合要求,例如应进行Vlan划分并各Vlan逻辑隔离,应配置Qos流量控制策略,应配备访问控制策略,重要网络设备和服务器应进行IP/MAC绑定等;
③应配备网络审计设备、入侵检测或防御设备;
④交换机和防火墙的身份鉴别机制要满足等保要求,例如用户名密码复杂度策略,登录访问失败处理机制、用户角色和权限控制等;
⑤网络链路、核心网络设备和安全设备,需要提供冗余性设计。

2.应用安全部分:
①应用自身的功能应符合等保要求,例如身份鉴别机制、审计日志、通信和存储加密等;
②应用处应考虑部署网页防篡改设备;
③应用的安全评估(包括应用安全扫描、渗透测试及风险评估),应不存在中高级风险以上的漏洞(例如SQL注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞等);
④应用系统产生的日志应保存至专用的日志服务器。

3.数据安全备份:
①应提供数据的本地备份机制,每天备份至本地,且场外存放;
②如系统中存在核心关键数据,应提供异地数据备份功能,通过网络等将数据传输至异地进行备份。

等保三级重新认证时间
image

三级等保的流程

一般为系统定级→系统备案→整改实施→系统测评→运维检查,具体每一步流程步骤如下:

1系统定级:编写定级报告、填写定级备案表;
②系统备案:定级备案表填写完整后,将定级材料提交至公安机关进行备案审核;
⑧整改实施:对系统进行调研,开展差距评估,依照国家相关标准进行方案设计,完成相应设备采购及调整、策略配置调试、完善管理制度等工作
④系统测评:请当地测评机构,对系统进行全方面测评,测评评分合格后获得合格测评报告,并终获得等级保护备案证;
⑤运维检查:系统持续运维与优化,并按照相关要求进行年检。

二、三级等保办理过程需要注意什么?
1、如果定级无法明确的,需要通过专家评审环节。
2、三级等保每一年检查一次。
3、等保三级定级标准为信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
4、等保三级70分以上才算达标,90分以上算优异。一般认真落实相应网络安全标准的公司企业都是高分通过的

第一阶段(1994-2007 网络安全等级保护起步与探索):

1994年2月18日《中华人民共和国计算机信息系统安全保护条例》 (国务院第147号令)
2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
2004年9月15日《关于信息安全等级保护工作的实施意见》
2007年6月22日《信息安全等级保护管理办法》(公通字[2007]43 号)
2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)

第二阶段(2007-2016 网络安全等级保护标准化与发展)

GB/T 22239—2008 基本要求;22240、25070、28448、28449等保国标系列标准。

第三阶段(2016-2019 网络安全等级保护行业深耕落地)

2017年6月1日《中华人民共和国网络安全法》
2018年6月27日《网络安全等级保护管理条例(征求意见稿)》

第四阶段(2019——进入网络安全等级保护2.0时代)

2019年5月13日《信息安全技术网络安全等级保护基本要求》
2020年7月22日《贯彻落实网络安全等保制度和关保制度的指导意见》(公安部1960号)
2020年11月1日《信息安全技术 网络安全等级保护定级指南 GB/T22240-2020》正式实施

参与公安部的等保三级测评认证就可以成为认证服务公司
全国网络安全等级测评与检测评估机构目录,这里的有第三方公司提供服务,但是服务费比较贵

等保可以去自己做和申请认证,但是通常不建议这么干,因为本身这个流程很麻烦,需要准备很多的资料和事前准备,认证周期会正常影响自己的业务进程

注意:拓扑结构大同小异,但是要达到基础标准

参考阿里的架构图
image
增强型
image

参考资料: http://www.trs.gov.cn/zwgk/zfxxgkzl/fdzdgknr/zcwj/flfg/202208/t20220815_76094504.html
https://www.huaweicloud.com/zhishi/edits-15756245.html
http://www.djbh.net/webdev/web/LevelTestOrgAction.do?p=gzdtLv3&id=402885cb35d11a540135d168e41e000c
https://www.aliyun.com/solution/security/compliance

标签:网络安全,多级,测评,定级,损害,认证,三级,等级
From: https://www.cnblogs.com/zx-admin/p/16910721.html

相关文章

  • Python学习笔记:删除多级索引
    在Python中使用stack/unstack/melt/pivot_talbe等函数进行聚合之后,计算得到的结果具有多层索引。一般情况下可以通过额外指定columns或者通过reset_index()可重置......
  • 定制ASP.NET Core的身份认证
    定制ASP.NETCore的身份认证 大家好,我是张飞洪,感谢您的阅读,我会不定期和你分享学习心得,希望我的文章能成为你成长路上的垫脚石,让我们一起精进。在本章,我们将学习如......
  • 等保二级、三级的区别
    等保是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等......
  • Jquery实现省市县三级联动
    <selectname="sltPro"id="sltPro"></select><selectname="sltCity"id="sltCity"></select><selectname="sltCounty"id="sltCounty"></select......
  • TreeUtils工具类一行代码实现列表转树 实战Java8 三级菜单 三级分类 附视频
    一、序言在日常一线开发过程中,总有列表转树的需求,几乎是项目的标配,比方说做多级菜单、多级目录、多级分类等,有没有一种通用且跨项目的解决方式呢?帮助广大技术朋友给业务瘦......
  • Nginx实现安全认证Basic Auth
    转载:https://blog.csdn.net/rhnxbdbdh/article/details/120114313一、介绍1.什么是BasicAuth?2.就是在访问的时候,需要弹出一个登录框来输入用户账号和密码,验证正......
  • 盘点对Salesforce从业者最重要的6个基础认证!
    Salesforce认证一直备受业内人士的重视,拥有值得信赖的含金量。成为Salesforce认证专家不仅表明了专业技能的熟练程度,也是对个人和专业发展的保障。此外,大多数Salesforce......
  • 使用 Go HTTP 框架 Hertz 进行 JWT 认证
    前言上一篇文章简单介绍了一个高性能的GoHTTP框架——Hertz,本篇文章将围绕Hertz开源仓库的一个demo,讲述如何使用Hertz完成JWT的认证与授权流程。这里要说明的......
  • 我把 CPU 三级缓存的秘密,藏在这 8 张图里
    本文已收录到 GitHub·AndroidFamily,有Android进阶知识体系,欢迎Star。技术和职场问题,请关注公众号[彭旭锐]进Android面试交流群。前言大家好,我是小彭。在......
  • 迈动互联获“ISO20000信息技术服务管理体系认证证书”
    近日,迈动互联获得“ISO20000信息技术服务管理体系标准”认证证书,该证书标志着迈动在IT服务管理标准领域的关键技术取得了制度流程规范性和完备性上的进一步提升。此前,迈动已......