信息安全等级保护共分为5级，其中要获得等保三级认证并不容易。三级等保测评是什么意思？越来越多的用户注意到网络安全的重要性，今天我们就一起来了解下关于等保三级的相关内容。

　　三级等保测评是什么意思？

　　三级等保测评是一种根据《网络安全等级保护定级指南》对信息系统进行的安全等级定级过程。

　　这个过程包括专家评审、主管部门审批、公安机关备案审查，最终确定信息系统的安全保护等级为第三级，即监督保护级。三级等保测评的目的是保障信息系统能够有效防御来自网络空间的各种威胁，维护国家安全、社会稳定、公共利益和个人隐私。测评的内容涵盖了安全技术要求的5个层面和安全管理要求的5个层面，包括信息保护、安全审计、通信保密等在内的近300项要求，共涉及测评分类73类。

　　三级等保测评是国家对非银机构的最高级认证，也被称为安全标记保护级，属于“监管级别”，由国家信息安全监管部门进行监督和检查。

　　等保三级基本要求

　　一、物理安全：

　　1、物理位置的选择

　　本项要求包括：

　　a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；

　　b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

　　2、物理访问控制

　　本项要求包括：

　　a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员；

　　b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；

　　c) 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；

　　d) 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

　　二、网络安全：

　　1、应绘制与当前运行情况相符合的拓扑图；

　　2、交换机、防火墙等设备配置应符合要求，例如应进行Vlan划分并各Vlan逻辑隔离，应配置Qos流量控制策略，应配备访问控制策略，重要网络设备和服务器应进行IP/MAC绑定等；

　　3、应配备网络审计设备、入侵检测或防御设备；

　　4、交换机和防火墙的身份鉴别机制要满足等保要求，例如用户名密码复杂度策略，登录访问失败处理机制、用户角色和权限控制等；

　　5、网络链路、核心网络设备和安全设备，需要提供冗余性设计。

　　三、主机安全：

　　1、服务器的自身配置应符合要求，例如身份鉴别机制、访问控制机制、安全审计机制、防病毒等，必要时可购买第三方的主机和数据库审计设备；

　　2、服务器（应用和数据库服务器）应具有冗余性，例如需要双机热备或集群部署等；

　　3、服务器和重要网络设备需要在上线前进行漏洞扫描评估，不应有中高级别以上的漏洞（例如windows系统漏洞、apache等中间件漏洞、数据库软件漏洞、其他系统软件及端口漏洞等）；

　　四、应配备专用的日志服务器保存主机、数据库的审计日志

　　1、应用安全：

　　a) 应用自身的功能应符合等保要求，例如身份鉴别机制、审计日志、通信和存储加密等；

　　b) 应用处应考虑部署网页防篡改设备；

　　c) 应用的安全评估（包括应用安全扫描、渗透测试及风险评估），应不存在中高级风险以上的漏洞（例如SQL注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞等）；

　　d) 应用系统产生的日志应保存至专用的日志服务器。

　　2、数据安全：

　　a)应提供数据的本地备份机制，每天备份至本地，且场外存放；

　　b)如系统中存在核心关键数据，应提供异地数据备份功能，通过网络等将数据传输至异地进行备份；

　　五、等保三级的管理制度要求

　　安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

　　信息系统处理能力和连接能力在不断的提高。同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。

　　三级等保测评是什么意思？看完文章就能清楚知道了，等保三级是信息系统安全保护等级的一种，它具有较高的保密性、完整性和可用性要求。