什麼是等保三級？等保三級的認證流程有哪些？

“等保三級”的概念很多人都聽過，但並不知道具體是什麼。本文中科三方針對等保三級的概念以及一些技術要求做下介紹。

什麼是等級保護？

在認識等保三級之前，首先要了解我國的等級保護。等級保護是指對國家重要資訊以及儲存、傳輸、處理這些資訊的系統進行分等級安全保護，對系統中使用資訊保安產品實行按等級管理，對系統中發生的安全事件分等級響應處置。

根據保護物件的重要程度，我國將網路安全保護劃分為五個級別，從一級到五級，級別越高，要求越嚴格。

等保一級，自主保護級，一般適用於小型企業、個體企業、縣級單位中一般的資訊系統。

等保二級，指導保護級，系統遭到破壞會對社會秩序和公共利益造成損害，但不損害國家安全，一般適用於縣級單位系統或市級單位內部一般系統。

等保三級，監督保護級，系統遭到破壞會對國家安全造成損害，一般適用於市級單位重要系統，省部委的入口網站等。

等保四級，強制保護級，系統遭到破壞會對國際安全造成嚴重損害，適用於國家重要部門、重要領域的重要系統，如電力、電信、鐵路、銀行等。

等保五級，專控保護級，系統遭到破壞會對國家安全造成特別嚴重的損害，適用於國家重要領域、重要部門中極端重要的系統。

就我國的實際情況來看，最常見的是等保二級和等保三級。

等保三級是指資訊系統經過定級、備案後，確定為第三級的資訊系統，那麼就需要做三級等保。

三級等保，是我國對非銀行機構的最高等級保護認證，定級為等保三級的系統包括網際網路醫院平臺、P2P金融平臺、雲（服務商）平臺和其他重要系統。透過“三級等保”認證，表明企業的資訊保安管理能力達到國內最高標準。

等保三級技術要求

等保三級技術要求主要包括物理、網路、主機、應用、資料5個方面。

1、物理安全：機房應區域劃分至少分為主機房和監控區兩個部分；機房應配備電子門禁系統、防盜報警系統、監控系統；機房不應該有窗戶，應配備專用的氣體滅火、備用發電機；

2、網路安全：應繪製與當前執行情況相符合的拓撲圖；交換機、防火牆等裝置配置應符合要求，例如應進行Vlan劃分並各Vlan邏輯隔離，應配置Qos流量控制策略，應配備訪問控制策略，重要網路裝置和伺服器應進行IP/MAC繫結等；應配備網路審計裝置、入侵檢測或防禦裝置；交換機和防火牆的身份鑑別機制要滿足等保要求，例如使用者名稱密碼複雜度策略，登入訪問失敗處理機制、使用者角色和許可權控制等；網路鏈路、核心網路裝置和安全裝置，需要提供冗餘性設計。

3、主機安全：伺服器的自身配置應符合要求，例如身份鑑別機制、訪問控制機制、安全審計機制、防病毒等，必要時可購買第三方的主機和資料庫審計裝置；伺服器（應用和資料庫伺服器）應具有冗餘性，例如需要雙機熱備或叢集部署等；伺服器和重要網路裝置需要在上線前進行漏洞掃描評估，不應有中高 級別以上的漏洞（例如windows系統漏洞、apache等中介軟體漏洞、資料庫軟體漏洞、其他系統軟體及埠漏洞等）；應配備專用的日誌伺服器儲存主機、資料庫的審計日誌。

4、應用安全：應用自身的功能應符合等保要求，例如身份鑑別機制、審計日誌、通訊和儲存加密等；應用處應考慮部署網頁防篡改裝置；應用的安全評估（包括應用安全掃描、滲透測試及風險評估），應不存在中高 級風險以上的漏洞（例如SQL隱碼攻擊、跨站指令碼、網站掛馬、網頁篡改、敏感資訊洩露、弱口令和口令猜測、管理後臺漏洞等）；應用系統產生的日誌應儲存至專用的日誌伺服器。

5、資料安全：應提供資料的本地備份機制，每天備份至本地，且場外存放；如系統中存在核心關鍵資料，應提供異地資料備份功能，透過網路等將資料傳輸至異地進行備份；三級等保的管理制度要求安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。

等保三級辦理流程

等保三級認證是具有等保資質測評的公司對要進行等保測評的單位進行定級並測評，測評後提出整改意見並針對性進行整改，最終達到並透過測評，等保三級需要每年測評一次。

具體認證流程如下：

（1）摸底調查資訊系統底數：包括業務型別、應用或範圍、系統結構等基本情況；

（2）確立定級物件：按照業務類別不同單獨確定為定級物件，不以系統是否進行資料交換、是否獨享裝置為確定定級物件；

（3）系統定級：定級是資訊保安等級保護工作的首要環節，是開展資訊系統安全建設、等級測評、監督檢查等工作的重要基礎；

（4）評審：運營使用單位或主管部門在確定系統安全保護等級後，可以聘請專家進行評審；

（5）備案：備案單位準備備案工具，填寫備案表，生成備案電子資料，到公安機關辦理備案手續；

（6）備案稽核：受理備案的公安機關要及時公佈備案受理地點、備案聯絡方式等，對備案材料進行完整性稽核和定級準確稽核；

（7）系統測評：三級以上資訊系統按《資訊系統安全等級保護備案表》要求提交材料；

（8）整改實施：根據測評結果進行安全要求整改。