三级等级保护的相关知识讲解，做三级等保需要了解的知识

今天，我们的信息系统处理能力和连接能力不断提高。同时，基于网络连接的安全问题也越来越突出。整体网络安全主要体现在网络物理安全、网络拓扑结构安全、网络系统安全、应用系统安全、网络管理安全等方面。

如何保证网络系统的硬件、软件及其系统中的数据受到保护，不会因意外或恶意原因而损坏、更改、泄漏，系统连续可靠正常运行，网络服务不中断，需要保证网络的物理安全，保证网络拓扑结构和系统的安全。

01如何保证网络的物理安全？

物理安全是为了保护计算机网络设备、设施和其他媒体免受地震、水灾、火灾等环境事故（如电磁污染）以及人为操作错误或错误以及各种计算机犯罪造成的损害。物理安全是整个计算机信息系统安全的前提。为了获得完全的保护，物理安全措施是计算系统中必要的。

物理安全主要包括三个方面：现场安全（环境安全）：指系统环境的安全，主要是现场和机房；设备安全：主要是指设备防盗、破坏、电磁信息辐射、泄漏、线路截获、电磁干扰、电源保护等）；媒体安全（媒体安全）：包括媒体数据和媒体本身的安全。

1.现场安全。
为了有效合理地保护计算机房，计算机房应分为不同的安全等级，并根据GB9361-1988提供不同的安全保护措施。
A级机房：对计算机房安全要求严格，计算机安全措施完善，安全性和可靠性最高。
B级机房：对计算机房安全要求严格，计算机安全措施完善，安全可靠性介于A级和C级之间。
C级机房：对计算机房安全有基本要求，有基本的计算机安全措施，C级机房安全可靠性最低。
在实际应用中，机房等级可根据具体情况设置，同一机房也可设置不同的设备（如电源、主机）等级。

2.设备安全。

设备安全包括设备的防盗和破坏，防止电磁信息泄露，拦截前线，保护一级电源免受电磁干扰。其主要内容包括：

(1)设备防盗。
为了提高计算机信息系统设备和部件的安全性，可以采用一定的防盗手段(如移动报警、数字检测报警和部件锁定)。

(2)设备防毁。
一是利用接地保护等措施保护计算机信息系统设备和部件，对抗自然力的破坏。二是对抗人为破坏，如使用防砸壳等措施。

(3)防止电磁信息泄露。
为了防止计算机信息系统中的电磁信息暴露，提高系统中敏感信息的安全性，通常使用各种涂层、材料和设备来防止电磁信息泄露。

(4)防止线路截获。
主要防止计算机信息系统通信线路的截获和干扰。重要技术可分为四个方面：防止线路截获（使线路截获设备不能正常工作）；扫描线路截获（发现线路截获并报警）；定位线路截获（发现线路截获设备工作位置）；对抗线路截获（防止线路截获设备的有效使用）。

(5)抗电磁干扰。
防止电磁干扰计算机信息系统，从而保护系统内部的信息。

(6)电源保护。
计算机信息系统设备的可靠运行可以概括为两个方面：保护工作电源的连续性（如使用不间断电源）和保护工作电源的工作稳定性。

三、介质安全。

介质安全是指介质数据和介质本身的安全。介质安全的目的是保护存储在介质中的信患。包括介质盗窃：防霉、防砸等介质。

介质数据的安全性是指对媒体数据的保护。媒体数据的安全删除和媒体的安全销毁是为了阻止被删除或销毁的敏感数据被他人恢复。包括媒体数据的防盗（如防止媒体数据非法复制）；媒体数据的销毁，包括媒体的物理销毁（如媒体粉碎等）和媒体数据的完全销毁（如消磁等），防止媒体数据被他人删除或销毁后恢复和披露信息：媒体数据的防止，防止意外或故意损坏导致媒体数据丢失。

02 如何保证网络拓朴结构和系统的安全？

网络安全系统主要依靠防火墙、网络防病毒系统等技术在网络层构建安全屏障，通过在同一安全管理平台上集成不同产品，实现网络层的统一和集中安全管理。

网络层安全平台。

在选择网络层安全平台时，主要考虑安全平台是否能与其他相关网络安全产品集成，是否能统一管理这些安全产品，包括配置相关安全产品的安全策略，维护相关安全产品的系统配置，检查和调整相关安全产品的系统状态。

一个完善的网络安全平台至少需要部署以下产品：

网络安全核心提供边界安全保护和访问权限控制；

网络防病毒系统，杜绝病毒传播，为全网提供病毒更新和战略设置。

安全网络拓扑结构划分。

防火墙主要是为了防止不同网段之间的攻击和非法访问。由于攻击对象主要是各种计算机，因此应科学划分计算机类别，以完善安全设计。在整个内部网络中，计算机可分为三类：内部站点终端、外部服务应用服务器和重要的数据服务器。这三种计算机具有不同的功能、不同的重要性和不同的安全需求。

首先，应用程序服务的重点保护库服务是确保服务器的绝对代理不允许用户直接访问。对于应用程序服务器，确保用户的访问受到控制，限制可访问服务器的用户范围，以便只能以指定的方式访问。
其次，数据服务器的安全性大于WWW服务器、E-mail服务器等应用服务器。因此，数据库服务器在定义防火墙时比其他服务器更严格。

第三，内部网络可能会直接攻击各种服务器和应用系统，因此内部办公网络也需要与代理服务器、外部服务器、WWW、E-mail等隔离。

第四，外网用户不允许直接访问内部网络。
上述安全要求需要通过划分安全的网络拓扑结构和VLAN、安全路由器配置和防火墙网关配置来控制不同网段之间的访问控制。在划分网络拓扑结构时，一方面要保证网络的安全；另一方面，原有的网络结构不能改变太多。因此，建议采用以防火墙为核心的三网安全网络拓扑结构。

03 关于等级保护及相关问题。
为提高信息安全能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，在信息系统建设过程中，用户应按照《计算机信息系统安全保护等级划分标准》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》

1.如何判断和定义自己的网络分类？

信息系统的安全保护等级分为以下五个等级：

一级信息系统被破坏后，会损害公民、法人和其他组织的合法权益，但不会损害国家安全、社会秩序和公共利益。

第二，信息系统受损后，将严重损害公民、法人和其他组织的合法权益，或损害社会秩序和公共利益，但不损害国家安全，如部分企业门户网站、部分中小企业外部办公网站等。

第三，信息系统被破坏后，如果涉及科研成果、社会、国家等系统，将严重损害社会秩序和公共利益或国家安全。如铁路网站、医疗保险、社会保障等系统。

第四，信息系统受损后，会对社会秩序和公共利益造成特别严重的损害，或对国家安全造成严重的损害。

第五级，信息系统受损后，会对国家安全造成特别严重的损害。

2.信息安全等级保护三级认证流程有哪些？
认证流程是具有相关部门认可的公司（经相关部门批准）对待等待评估的单位进行评级和评估。评估后，提出整改意见，对被评估单位进行整改，是评估整改、评估和整改的过程，最终达到并通过评估。例如，等待保护的三级需要每年进行一次评估。

3.如何有效利用等保分级构建自己的安全网络环境？
等保分级是为了规范信息安全等级的保护和管理，提高信息安全能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据等保分级的具体要求调整现有网络，确保网络环境安全，网络安全数据安全。

4.三级等保技术要求。

包括物理、网络、主机、应用、数据五个方面的技术要求：

物理安全部分。
1.机房应至少分为主机房和监控区两部分；
2.机房应配备电子门禁系统、防盗报警系统、监控系统；
3.机房不应有窗户，应配备专用气体灭火.ups供电系统；

网络安全部分。
1.应绘制符合当前运行条件的拓扑图；
2.开关、防火墙等设备配置应符合要求，如Vlan分割和Vlan逻辑隔离，QOS流量控制策略，访问控制策略，IP/MAC绑定重要网络设备和服务器；
3.应配备网络审计设备、入侵检测或防御设备。
4.交换机和防火墙的身份识别机制应满足用户名密码复杂性策略、登录访问失败处理机制、用户角色和权限控制等保险要求；
5.网络链路、核心网络设备和安全设备需要冗余设计。

主机安全部分。
1.服务器本身的配置应符合身份识别机制、访问控制机制、安全审计机制、防病毒等要求，必要时可购买第三方主机和数据库审计设备；
2.服务器(应用和数据库服务器)应冗余，如需要双机热备或集群部署；
3.服务器和重要网络设备上线前需要扫描评估漏洞，不得有中高级以上漏洞(如windows系统漏洞、apache等中间件漏洞。数据库软件漏洞。其他系统软件和端口漏洞等。
4.数据库的审计日志应配备专用日志服务器保存主机。

安全部分的应用。
1.应用自身功能应符合身份鉴定机制、审计日志、通信、存储加密等等保险要求；
2.应用程序应考虑网页防篡改设备的部署；
3.应用安全评全评估（包括应用程序安全扫描、渗透测试和风险评估）应无中高级风险以上漏洞（如SQL注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱密码和密码猜测、后台漏洞管理等）；
4.应用系统生成的日志应保存到专用日志服务器中。

数据安全备份。
1.本地备份机制应提供数据，每天备份到本地，并在场外存储；

2.如果系统中有核心关键数据，应提供异地数据备份功能，并通过网络将数据传输到异地备份；

管理制度要求应包括以下五个方面的制度和记录：
1.安全管理制度。
2.安全管理机构。
3.人员安全管理。
4.系统建设管理。
5.系统运维管理。