等保测评三级标准是什么?
等保测评三级标准是什么?不少人疑问等保测评三级的内容都有什么,简单来说等保三级又被称为国家信息安全等级保护三级认证,三级等保测评要求信息系统具备较高的安全性和稳定性。
等保测评三级标准是什么?
等级保护三级又称中国信息安全等级保护三级认证,是中国最权威的信息产品安全等级资格认证,由公安机关根据国家信息安全保护规章和有关制度,按照管理规范和标准,对各机构信息系统安全等级保护进行认可和评价。
三级是国家对非银行组织的最高认证,属于“控制水平”,由国家信息安全监督机构监督检查,认证必须包括五级安全技术标准和五个安全管理要求,主要包括隐私保护、安全审计、通信保密等近300项要求,共涉及73类评价分类,规定非常严格,应包括以下部分规定。
1.网络安全部分:
①应制作符合当前运行条件的拓扑图;
②交换机、防火墙等设备的配置应符合规定,如Vlan划分和Vlan逻辑隔离,QOS流量控制方法,访问控制策略,IP/MAC关联关键网络设备和服务器;
③应配备网络审计设备、入侵检测或防御设备;
④交换机和防火墙的身份识别系统应满足用户名密码复杂性对策、登录浏览失败解决系统、用户角色和权限管理等保证规定;
⑤需要提供冗余设计的网络链路、关键网络设备和安全设备。
2.应用安全部分:
①使用自身功能应符合身份识别制度、审计日志、通讯、存储加密等保险规定;
②应注意网页防篡改设备的布置;
③安全评估(包括安全扫描、渗透测试和风险评估)是否存在高风险漏洞(如SQL注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱密码和密码猜测、管理背景漏洞等);
④软件系统生成的日志应存储在专用的日志服务器中。
3.数据安全备份:
①本地备份系统应提供数据,每日备份到本地,场外存放;
②如果系统中有关键和关键数据,则需要提供外国数据备份,并通过网络将数据传输到其他地方进行备份。
等保测评三级标准是什么?以上就是详细的解答,网络安全三级等保标准是我国针对信息系统安全管理和保护的一项重要标准。等保测评是指对信息系统的安全性进行评估和评级的过程。
