计算机等保三级是中国信息安全等级保护制度中的高级别认证，旨在通过技术和管理双重措施，保障涉及公民隐私、社会秩序、公共利益的重要信息系统的安全，抵御大规模恶意攻击，防止数据泄露或篡改，确保系统连续稳定运行。积极做好等保测评工作是保障网络安全的重要途径。

　　一、计算机等保三级的要求

　　物理安全

　　机房布局：至少分为主机房和监控区，配备电子门禁、防盗报警、监控系统，无窗户设计，采用专用气体灭火装置和备用发电机。

　　环境控制：温湿度维持在20-25℃、40%-60%，配备双路UPS和柴油发电机保障电力供应。

　　网络安全

　　架构设计：绘制拓扑图，实现VLAN划分与逻辑隔离，部署QoS流量控制策略和访问控制列表。

　　设备配置：交换机、防火墙等设备需配置IP/MAC绑定，部署网络审计设备、入侵检测/防御系统(IDS/IPS)。

　　冗余设计：网络链路、核心设备需冗余部署，确保高可用性。

　　主机安全

　　身份鉴别：采用双因子认证(如密码+动态令牌)，关闭高危端口，定期更新补丁。

　　访问控制：基于最小权限原则分配用户权限，服务器采用双机热备或集群部署。

　　日志审计：审计日志存储至专用服务器，保存期限不少于6个月。

　　应用安全

　　代码审计：修复OWASP Top 10漏洞(如SQL注入、XSS)，部署网页防篡改设备。

　　日志管理：应用日志存储至专用服务器，支持安全事件追溯。

　　数据安全

　　加密存储：敏感数据采用国密算法(SM4)加密，金融领域需达到AES-256标准。

　　备份机制：建立同城双活+异地灾备中心，关键业务系统RTO≤4小时。

　　安全管理

　　制度建设：制定《信息安全管理制度》《应急响应预案》，明确岗位职责。

　　人员培训：每年组织至少两次安全培训，提升员工安全意识。

　　应急响应：建立7×24小时应急响应机制，重大安全事件10分钟内启动处置流程。

　　二、计算机等保三级实施流程

　　系统定级

　　根据《网络安全等级保护定级指南》，确定系统安全保护等级，编写《定级报告》并填写《定级备案表》，必要时通过专家评审。

　　备案审核

　　将备案材料提交至公安机关网安部门，审核周期约20个工作日，通过后获得备案证明。

　　安全建设整改

　　开展差距评估，制定整改方案，部署安全设备(如防火墙、IDS)、配置安全策略、完善管理制度。

　　等级测评

　　委托公安部授权的测评机构实施测评，测评内容涵盖229项控制点，包括可信计算架构、动态防御体系等。

　　持续运维

　　每季度提交安全监测报告，每年进行复测，重大系统变更需重新测评。

　　三、计算机等保三级的意义是什么

　　市场准入资格

　　互联网金融、智慧城市等项目投标的必备资质，未通过认证的企业无法参与关键领域项目。

　　风险减损保障

　　符合《网络安全法》第21条要求，发生数据泄露时证明已尽防护义务，降低法律风险。

　　国际标准衔接

　　与ISO27001形成互补，医疗行业可同步满足HIPAA数据保护要求。

　　计算机等保三级要求构建纵深防御体系，物理层面需部署电子门禁、气体灭火装置及双路UPS供电。网络层面通过VLAN隔离、防火墙策略和入侵检测系统实现边界防护。每年组织至少两次全员安全培训及攻防演练，积极做好等保三级工作。