三级等级保护要求有哪些?等保三级设备清单有哪些

　　网络安全三级等保标准是我国针对信息系统安全管理和保护的一项重要标准。三级等级保护要求有哪些？等保三级基本要求包括物理安全、网络安全、主机安全、应用安全、数据安全这五个方面入手保护我们的信息安全。

　　三级等级保护要求有哪些？

　　一、物理安全：

　　1、物理位置的选择

　　本项要求包括：

　　a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；

　　b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

　　2、物理访问控制

　　本项要求包括：

　　a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员；

　　b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；

　　c) 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；

　　d) 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

　　二、网络安全：

　　1、应绘制与当前运行情况相符合的拓扑图；

　　2、交换机、防火墙等设备配置应符合要求，例如应进行Vlan划分并各Vlan逻辑隔离，应配置Qos流量控制策略，应配备访问控制策略，重要网络设备和服务器应进行IP/MAC绑定等；

　　3、应配备网络审计设备、入侵检测或防御设备；

　　4、交换机和防火墙的身份鉴别机制要满足等保要求，例如用户名密码复杂度策略，登录访问失败处理机制、用户角色和权限控制等；

　　5、网络链路、核心网络设备和安全设备，需要提供冗余性设计。

　　三、主机安全：

　　1、服务器的自身配置应符合要求，例如身份鉴别机制、访问控制机制、安全审计机制、防病毒等，必要时可购买第三方的主机和数据库审计设备；

　　2、服务器（应用和数据库服务器）应具有冗余性，例如需要双机热备或集群部署等；

　　3、服务器和重要网络设备需要在上线前进行漏洞扫描评估，不应有中高级别以上的漏洞（例如windows系统漏洞、apache等中间件漏洞、数据库软件漏洞、其他系统软件及端口漏洞等）；

　　四、应配备专用的日志服务器保存主机、数据库的审计日志

　　1、应用安全：

　　a) 应用自身的功能应符合等保要求，例如身份鉴别机制、审计日志、通信和存储加密等；

　　b) 应用处应考虑部署网页防篡改设备；

　　c) 应用的安全评估（包括应用安全扫描、渗透测试及风险评估），应不存在中高级风险以上的漏洞（例如SQL注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞等）；

　　d) 应用系统产生的日志应保存至专用的日志服务器。

　　2、数据安全：

　　a)应提供数据的本地备份机制，每天备份至本地，且场外存放；

　　b)如系统中存在核心关键数据，应提供异地数据备份功能，通过网络等将数据传输至异地进行备份；

　　五、等保三级的管理制度要求

　　安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

　　信息系统处理能力和连接能力在不断的提高。同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。

　　等保三级设备清单有哪些？

　　1. 服务器：

　　服务器是三级等保中至关重要的设备之一，用于存储和处理各类数据和应用程序。选择服务器时，应考虑其性能、可靠性和安全性。常见的服务器品牌有IBM、HP、戴尔等，需要根据实际需求选择适当的型号和配置。

　　2. 防火墙：

　　防火墙是网络安全的第一道防线，用于监控和控制数据包的进出。在三级等保中，防火墙的作用尤为重要。常见的防火墙品牌有Cisco、Juniper、Fortinet等，选择时要考虑其吞吐量、协议支持以及攻击防护能力。

　　3. 入侵检测系统（IDS）：

　　入侵检测系统用于监控网络中的异常行为和攻击行为，及时发现并报警。在三级等保中，IDS是必不可少的设备之一。常见的IDS品牌有Snort、Suricata、华为等，需要根据实际需求选择适当的型号和配置。

　　4. 数据备份设备：

　　数据备份设备是为了保障数据的安全性和可用性，防止数据丢失或损坏。三级等保要求对数据备份有明确的要求，包括备份频率、存储介质以及备份策略等。常见的数据备份设备有磁带库、网络存储设备等。

　　5. 安全审计设备：

　　安全审计设备用于对系统和网络的安全状态进行实时监控和审计，发现潜在的安全隐患和漏洞。在三级等保中，安全审计设备的作用尤为重要。常见的安全审计设备有安全信息与事件管理系统（SIEM）、日志管理系统等。

　　6. 加密设备：

　　加密设备用于对敏感信息进行加密，加强数据的保密性。在三级等保中，加密设备的使用是必不可少的。常见的加密设备有加密卡、加密磁盘、加密USB等。

　　7. 安全存储设备：

　　安全存储设备用于存储和保护重要数据和文件，防止数据泄露和丢失。三级等保要求对数据存储有明确的要求，包括数据分类、权限管理等。常见的安全存储设备有存储阵列、光纤交换机等。

　　8. 安全终端设备：

　　安全终端设备用于保护终端设备的安全性，防止恶意程序和攻击行为。三级等保对终端设备的安全性有严格的要求，包括终端防火墙、终端加密等。常见的安全终端设备有防病毒软件、防火墙软件等。

　　网络安全是当今社会的重要课题，随着网络技术的发展和应用，网络安全面临着越来越多的挑战和威胁。三级等级保护要求有哪些？看完文章就能清楚知道了，对于企业来说积极做好等保是很重要的。