做到这6步，等保三级没那么难.pdfVIP

做到这6步，等保三级没那么难

等级保护认证作为我国最权威的⽹络安全等级资格认证，⾃《中华⼈民共和国⽹络安全法》正式实施后，已成为我国⽹

安领域的基本国策、基本制度和基本要求。

在之前的推送中，中科三⽅为⼤家介绍了等保2.0的政策背景，以及等保2.0相较于1.0的异同点科普|⽹络安全等级保护

2.0⼤揭秘。

今天三⽅以等保三级为标准，为您介绍认证等保三级不可不知的7个基本要求。

等保三级有多严格？

等保三级是国家对⾮银⾏机构的最⾼级认证，是安全标记保护级，属“监管级别”，由国家信息安全监管部门进⾏监督、

检查，认证。

测评内容涵盖了5个等级保护安全技术要求和5个安全管理要求，具体包含信息保护、安全审计、通信保密等近300项要

求，涉及73类测评分类，要求⼗分严格。

中科三⽅于2017年就已通过公安部的等保三级测评认证，作为深耕⾏业20年的⽼牌互联⽹基建服务商，三⽅在等保认

证和⽹络安全⽅⾯拥有丰富的实战经验，多次在“两会“、“⼀带⼀路峰会“等国家重⼤会议承担重保⼯作。

等保三级之6⼤关键点

1.⾝份验证

⾝份验证需保证所有⽹络设备、安全设备、重要服务器、数据库服务器、应⽤业务系统等这些关键设备和业务系统不存

在弱⼝令、空⼝令账户登录情况。

在确保⽆弱⼝令和空⼝令的前提下，所有重要设备都需采⽤双因⼦认证⽅式登录，尤其是针对核⼼业务应⽤系统，不能

只采⽤基本的⽤户名/⼝令。⽐较常⽤的做法是采⽤令牌、智能卡、⽣物指纹、虹膜识别、⼈脸识别等⾼阶认证技术。

对于远程管理维护的操作，⼀般建议通过部署堡垒机实现双因⼦认证和传输信息的加密。

2.访问控制

对于业务应⽤系统，有很多未达到等保访问控制基本要求的常见缺陷，如越权访问系统功能模块或查看、操作其他⽤户

的数据等。

针对此类问题，建议将承载关键业务系统的服务器进⾏单独区域划分，部署第⼆代防⽕墙类设备进⾏边界隔离，深层次

过滤访问⾏为。同时需有明确的管理制度不允许本地操作，或者对本地的操作进⾏访问控制。

针对远程操作进⾏访问控制策略控制，部署堡垒机对⽤户⾏为进⾏访问控制。

对于⾮业务系统的⽹络设备、主机设备、服务器设备等只需要进⾏默认账户删除、修改默认⼝令、⽆法通过默认账户以

及默认⼝令登录就可以满⾜最基本的要求。

3.安全审计

安全审计主要指对⽇志进⾏记录与审计。若缺失对重要的⽤户⾏为和重要安全事件的审计，肯定⽆法通过等保测评。

建议在⽹络设备、安全设备、主机/服务器操作系统、数据库系统、业务应⽤系统性能允许的前提下，开启⽤户操作类和

安全事件类审计策略。

通常使⽤第三⽅⽇志审计系统，除进⾏常规的⽇志记录收集外，对⽇志进⾏关联分析，筛查可能存在的安全风险。

4.⼊侵防范

关闭不需要的系统服务、默认共享和⾼危端⼝。⽹络中的⽹络设备、安全设备、主机/服务器操作系统、数据库系统和业

务应⽤系统等存在的多余系统服务/默认共享/⾼危端⼝必须要关闭。

同时建议在既有业务中使⽤默认共享服务的，尽量切换到其他服务。

此外还需要对远程管理的⽤户以及管理维护所使⽤的终端进⾏管控，⼀般采⽤堡垒机类产品进⾏管控。

对于⼀些互联⽹直接能够访问到的设备及系统，须尽快修补已在公开渠道披露的重⼤漏洞。尤其是业务应⽤系统，现阶

段针对应⽤系统的SQL注⼊、跨站脚本等均为⾼风险漏洞，都会对业务应⽤系统正常运⾏造成严重后果。

5.恶意代码防范

安装反病毒软件，同时反病毒软件需及时更新病毒库。如果是相对封闭的⽹络，如⼯业控制系统，需安装⽩名单类软件

进⾏恶意代码防范。

6.数据完整性及保密性

数据的完整性与保密性主要包含存储数据的完整性与保密性，以及传输数据的完整性和保密性。

对于新上线的应⽤业务系统，建议在采购前对供应商提供应⽤系统的数据完整性、保密性进⾏严格要求，对数据传输的

完整性和保密性进⾏严格要求。

建议应⽤业务系统通过密码技术确保传输数据的完整性，并在服务器端对数据有效性进⾏校验，确保只处理未经修改的

数据，同时采⽤密码技术保证重要数据在存储过程中的保密性。

对于既有存量的应⽤业务系统，建议在⼴域⽹或多个不同局域⽹进⾏数据传输时采⽤VPN的⽅式对传输的数据进⾏保

护。

同时需对所有应⽤业务系统产⽣的重要数据都要在本地进⾏备份，对于⼀些特殊的领域，如⾦融、交通等需要进⾏异地

备份，原则上同城异地机房直接距离不低于为30公⾥，跨省市异地机房直线距离不低于100公⾥。

等保不仅是企业可持续发展的重要保障，更是我国成为⽹络强国在新时代