信息安全三级等保

第三级基本要求

第三级基本要求在技术上包括5个方面：物理安全、主机安全、网络安全、应用安全和数据安全，详见《基本要求》，这里总结了三级系统在二级系统基础上增加的主要安全要求。

1)物理安全：包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护。三级系统主要在环境安全、物理访问控制和防盗窃防破坏等方面较二级系统应有所加强，例如重要区域配置电子门禁系统，机房设置防盗报警系统和设置火灾自动消防系统等。

2)网络安全：包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。三级要求主要增强点：结构安全扩展到对重要网段采取可靠的技术隔离，在网络边界增加对恶意代码检测和清除；安全审计增强审计数据分析和保护，生成审计报表；访问控制扩展到对进出网络的信息内容过滤，实现应用层HTTP、FTP、TELNET等协议命令级的控制；边界防护应能够对非授权设备私自联到内部网络的行为进行检查和有效阻断；主要网络设备要求采用两种或两种以上组合的鉴别技术实现身份鉴别；在网络入侵防范方面不仅能够被动的防护，还应能主动发出报警。

3)主机安全：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码

三级等保建设方案

目 录

1 概述 .............................................................................................................................................. 2

1.1 项目概况 .......................................................................................................................... 2 1.2 方案说明 .......................................................................................................................... 3 1.3 设计依据 ..................................................................................

信息系统安全等级测评

报告模板

项目名称： 委托单位： 测评单位：

年 月 日

测评单位名称

报告摘要

一、测评工作概述

概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。（见附件：信息系统安全等级保护备案表）

描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程，包括投入测评人员与设备情况、完成的具体工作内容统计（涉及的测评分类与项目数量，检查的网络互联与安全设备、主机、应用系统、管理文档数量，访谈人员次数）。

二、等级测评结果

依据第4、5章的结果对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为达标、基本达标、不达标）。

三、系统存在的主要问题

依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DD

计算机等级保护三级要求

等保安全要求

措施建议

三级综合解决 方案 A

三级综合解决 方案 B

三级综合解决 方案 C

第 在网络边界部署访问控制设备， 启用 防火墙(FW) 三 端口级访问控制功能，并对进出网络的 级 信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制

1、网络设备的 1、统一威胁管 1、防火墙 安全插卡或安 理设备(UTM) 2、入侵检测系 全模块 (解决防 火墙、入侵防 御、 防病毒、 接 入管理等问题， 目前思科和 H3C 都有相应 设备， 如采取该 方案应结合网 络设备选型) 2、安全管理系 统 3、网络管理系 统 2、安全管理系 统 3、网络管理系 统 4、接入管理系 统 统 3、防病毒网关 或 2、3 可替换 为入侵防御系 统 4、安全审计系 统 5、安全管理系 统 6、网络管理系 统 7、接入管理系 统

计算机等级保护三级要求

等保安全要求

措施建议

三级综合解决 方案 A

三级综合解决 方案 B

三级综合解决 方案 C

第 在网络边界部署访问控制设备， 启用 防火墙(FW) 三 端口级访问控制功能，并对进出网络的 级 信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制

1、网络设备的 1、统一威胁管 1、防火墙 安全插卡或安 理设备(UTM) 2、入侵检测系 全模块 (解决防 火墙、入侵防 御、 防病毒、 接 入管理等问题， 目前思科和 H3C 都有相应 设备， 如采取该 方案应结合网 络设备选型) 2、安全管理系 统 3、网络管理系 统 2、安全管理系 统 3、网络管理系 统 4、接入管理系 统 统 3、防病毒网关 或 2、3 可替换 为入侵防御系 统 4、安全审计系 统 5、安全管理系 统 6、网络管理系 统 7、接入管理系 统

三级等保常见问题参考

三级等保常见问题参考

技术要求，包括物理、网络、主机、应用、数据5个方面。

一、 物理安全部分

机房应区域划分至少分为主机房和监控区两个部分；

机房应配备电子门禁系统、防盗报警系统、监控系统、自动消防系统、环控系统；

机房不应该有窗户，应配备专用的气体灭火、备用发电机

二、 网络安全部分

应绘制与当前运行情况相符合的拓扑图；

交换机、防火墙等设备配置应符合要求，例如应进行Vlan划分并各Vlan逻辑隔离，应配置Qos流量控制策略，应配备访问控制策略，重要网络设备和服务器应进行IP/MAC绑定等；

应配备网络审计设备、入侵检测或防御设备。

交换机和防火墙的身份鉴别机制要满足等保要求，例如用户名密码复杂度策略，登录访问失败处理机制、用户角色和权限控制等； 网络链路、核心网络设备和安全设备，需要提供冗余性设计。

三、 主机安全部分

服务器的自身配置应符合要求，例如身份鉴别机制、访问控制机制、安全审计机制、防病毒等，必要时可购买第三方的主机和数据库审计设备； 服务器（应用和数据库服务器）应具有冗余性，例如需要双机热备或集群部署等；

服务器和重要网络设备需要在上线前进行漏洞扫描评估，不应有中高级别以上的漏洞（例如w

技术测评要求(S3A3G3)

等级保护三级技术类测评控制点(S3A3G3) 类别 物理位置的选择 序号 1. 2. 3. 4. 物理物理访问安全 控制 5. 测 评 内 容 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。（G2） 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。（G3） 机房出入口应安排专人值守，控制、鉴别和记录进入的人员。（G2） 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。（G2） 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。（G3） 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。（G3） 应将主要设备放置在机房内。（G2） 应将设备或主要部件进行固定，并设置明显的不易除去的标记。（G2） 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。（G2） 访谈，检查。 物理安全负责人，机房值守 人员，机房，机房安全管理制度，值守记录，进入机房的 登记记录，来访人员进入机房的审批记录。 测评方法 访谈，检查。 物理安全负责人，机房，办公场地， 机房场地设计/验收文档。 结果记录 符合情况 Y N

技术测评要求(S3A3G3)

等级保护三级技术类测评控制点(S3A3G3) 类别 物理位置的选择 序号 1. 2. 3. 4. 物理物理访问安全 控制 5. 测 评 内 容 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。（G2） 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。（G3） 机房出入口应安排专人值守，控制、鉴别和记录进入的人员。（G2） 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。（G2） 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。（G3） 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。（G3） 应将主要设备放置在机房内。（G2） 应将设备或主要部件进行固定，并设置明显的不易除去的标记。（G2） 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。（G2） 访谈，检查。 物理安全负责人，机房值守 人员，机房，机房安全管理制度，值守记录，进入机房的 登记记录，来访人员进入机房的审批记录。 测评方法 访谈，检查。 物理安全负责人，机房，办公场地， 机房场地设计/验收文档。 结果记录 符合情况 Y N

互联网数据中心等保三级

解决方案

Word文档-可编辑

编制单位：XX科技服务有限公司

- I -

目录

一. 前言 ...................................................................................................................................................... 1 二. 项目背景 ............................................................................................................................................... 1 三. 安全风险分析 ....................................................................................................................................... 2 3.1 设备安全风险 ....

信息安全三级试题二

一、 选择题

1.信息安全的五个基本属性是（ ）。

A) 机密性、可用性、可控性、不可否认性和安全性 B) 机密性、可用性、可控性、不可否认性和完整性 C) 机密性、可用性、可控性、不可否认性和不可见性 D) 机密性、可用性、可控性、不可否认性和隐蔽性

2. 下列关于信息安全的地位和作用的描述中，错误的是（ ）。 A) 信息安全是网络时代国家生存和民族振兴的根本保障 B) 信息安全是信息社会健康发展和信息革命成功的关键因素 C) 信息安全是网络时代人类生存和文明发展的基本条件 D) 信息安全无法影响人们的工作和生活

3.下列选项中，不属于分组密码工作模式的是（ ）。 A) ECB B) CCB C) CFB D) OFB

4.下列选项中，不属于哈希函数应用的是（ ）。 A) 消息认证 B) 数据加密 C) 数字签名 D) 口令保护

5.下列选项中，不能用于产生认证码的是（ ）。 A) 数字签名 B) 消息加密 C) 消息认证码 D) )哈希函数

6.在强制访问控制模型中，属于混合策略模型的是（ ）。 A) Bell-Lapudula 模型 B) Biba 模型

C) Clark