等保三级要求系统30分钟自动退出吗

软件 2024-02-06

信息安全等级保护三级要求

信息安全等级保护分级的第三级要求是指，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
认证流程是具有等保测评资质的公司（经过相关部门认可的）对要进行等保测评的单位进行定级并测评，测评后提出整改意见并对被测评单位进行整改，就是一个测评整改再测评再整改的过程，最终达到并通过测评，例如等保三级需要每年测评一次。
关于三级等保的技术要求，包括物理、网络、主机、应用、数据5个方面：
物理安全部分
1、机房应区域划分至少分为主机房和监控区两个部分；
2、机房应配备电子门禁系统、防盗报警系统、监控系统；
3、机房不应该有窗户，应配备专用的气体灭火、ups 供电系统；
网络安全部分
1、应绘制与当前运行情况相符合的拓扑图；
2、交换机、防火墙等设备配置应符合要求，例如应进行 Vlan 划分并各 Vlan 逻辑隔离，应配置 Qos 流量控制策略，应配备访问控制策略，重要网络设备和服务器应进行 IP/MAC 绑定等；
3、应配备网络审计设备、入侵检测或防御设备。
4、交换机和防火墙的身份鉴别机制要满足等保要求，例如用户名密码复杂度策略，登录访问失败处理机制、用户角色和权限控制等；
5、网络链路、核心网络设备和安全设备，需要提供冗余性设计。
主机安全部分
1、服务器的自身配置应符合要求，例如身份鉴别机制、访问控制机制、安全审计机制、防病毒等，必要时可购买第三方的主机和数据库审计设备；
2、服务器（应用和数据库服务器）应具有冗余性，例如需要双机热备或集群部署等；
3、服务器和重要网络设备需要在上线前进行漏洞扫描评估，不应有中高级别以上的漏洞（例如 windows 系统漏洞、apache 等中间件漏洞、数据库软件漏洞、其他系统软件及端口漏洞等）；
4、应配备专用的日志服务器保存主机、数据库的审计日志。
应用安全部分
1、应用自身的功能应符合等保要求，例如身份鉴别机制、审计日志、通信和存储加密等；
2、应用处应考虑部署网页防篡改设备；
3、应用的安全评估（包括应用安全扫描、渗透测试及风险评估），应不存在中高级风险以上的漏洞（例如 SQL 注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞等）；
4、应用系统产生的日志应保存至专用的日志服务器。
数据安全备份
1、应提供数据的本地备份机制，每天备份至本地，且场外存放；
2、如系统中存在核心关键数据，应提供异地数据备份功能，通过网络等将数据传输至异地进行备份；
法律依据
《信息安全等级保护管理办法》
第三条：信息系统的安全保护等级应当根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,信息和信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,信息和信息系统应当达到的基本的安全保护水平等因素确定。
第四条：信息系统的安全保护等级分为以下五级：
(一) 第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。
(二) 第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。
(三) 第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
(四) 第四级为强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。
(五) 第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。

三级等保要求

法律分析：等保三级建设要求如下：

根据《信息系统安全等级保护基本要求》中华人民共和国国家标准GB/T 22239-2008

7、第三级基本要求

7.1.1.1　物理位置的选择（G3）

本项要求包括：

a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；

b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

法律依据：《中华人民共和国标准化法》第二条本法所称标准（含标准样品），是指农业、工业、服务业以及社会事业等领域需要统一的技术要求。

标准包括国家标准、行业标准、地方标准和团体标准、企业标准。国家标准分为强制性标准、推荐性标准，行业标准、地方标准是推荐性标准。

强制性标准必须执行。国家鼓励采用推荐性标准。

三级等级保护是什么意思？

三级等保体系是指：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。

拓展资料：

等级保护标准体系

计算机信息系统安全等级保护标准体系包括：信息系统安全保护等级划分标准、等级设备标准、等级建设标准、等级管理标准等，是实行等级保护制度的重要基础。

第三级：安全标记保护级

本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。

自主访问控制
> 计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。
强制访问控制
> 计算机信息系统可信计算基对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足：仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能读客体；仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含于客体安全级中的非等级类别，主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据，鉴别用户的身份，并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。

系统安全等保3级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1物理安全 1.1.1.1物理位置的选择(G3) 本项要求包括: a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2物理访问控制(G3) 本项要求包括: a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; d)重要区域应配置电子门禁系统

等保二级三级要求

密码八位以上，大小写+特殊字符+数字，加盐，采用两次md5加密
信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。
信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。

标签：未分类教育法律其他法律大学