公司概况

Company Profile

当前位置:首页 > 新闻中心

三级等保测评技术要求主要有哪些内容

时间:2022/01/24

三级等保测评中的技术要求包括物理、网络、主机、应用和数据五个方面:

1.物理安全部分

  • 机房应分为两部分:主机室和监控区;
  • 机房应配备电子门禁系统,防盗报警系统和监控系统;
  • 机房应无窗户,并配备专用气体灭火和UPS电源系统;

2.网络安全部分

  • 应绘制与当前运行一致的拓扑图
  • 交换机、防火墙等设备的配置应满足各VLAN的划分和逻辑隔离、Qos流量控制策略和访问控制策略等要求,重要网络设备和服务器的IP/Mac绑定;
  • 应提供网络审计设备、入侵检测或防御设备;
  • 交换机和防火墙的身份认证机制应满足同等保护的要求,如用户名和密码复杂性策略,登录和访问故障处理机制、用户角色和权限控制等;
  • 网络链路、核心网络设备和安全设备应提供冗余设计;
三级等保测评

3.主机安全部分

  • 服务器自身配置应满足身份认证机制、访问控制机制、安全审计机制、防病毒等要求,必要时可购买第三方主机和数据库审计设备;
  • 服务器(应用和数据库服务器)冗余,如双机热备或集群部署;
  • 服务器和重要网络设备在上线前应进行漏洞扫描和评估,不存在中高级以上漏洞(如windows系统漏洞、Apache中间件漏洞、数据库软件漏洞、其他系统软件和端口漏洞等);
  • 应配备专用日志服务器保存主机和数据库的审计日志;

4.应用程序安全部分

  • 应用程序本身的功能应满足同等保证要求,如身份认证机制、审核日志、通信和存储加密;
  • 应用部门应考虑部署网页防篡改设备。应用安全性评估(包括应用安全扫描、渗透测试和风险评估)不受中等以上风险的影响。(如SQL注入、跨站点脚本、网站挂马、网页篡改、敏感信息泄露、弱密码和密码猜测、管理后台泄漏等);
  • 应用系统生成的日志应保存到专用日志服务器;

5.数据安全备份

  • 数据应提供本地备份机制,每天本地备份,异地存储;
  • 如果系统中有核心关键数据,应提供远程数据备份功能,通过网络将数据传输到远程地方进行备份;

  • 专业

    等保测评专业服务商

  • 保障

    云上、云下系统,云、物联网扩展项进行全面测评

  • 用心

    专属咨询服务顾问

  • 便捷

    提供一站式合规解决方案服务