Requisitos de nivel 3 para la protección del nivel de seguridad de la información
El requisito de tercer nivel de protección del nivel de seguridad de la información se refiere al hecho de que una vez que el sistema de información se daña, causará daños graves al orden social y los intereses públicos, o causará daños a la seguridad nacional. El departamento nacional de supervisión de seguridad de la información supervisará e inspeccionará el trabajo de protección del nivel de seguridad de este nivel de sistema de información.
El proceso de certificación consiste en que una empresa con las calificaciones para la evaluación de garantía de clase (acreditada por los departamentos pertinentes) califique y evalúe las unidades que se evaluarán para la evaluación de garantía de clase. Después de la evaluación, se emiten opiniones de rectificación. se propone y se rectifican las unidades en evaluación, es un proceso de evaluación, rectificación, evaluación y rectificación, y finalmente llega y pasa la evaluación. Por ejemplo, el tercer nivel del MLA necesita ser evaluado una vez al año.
Los requisitos técnicos para la seguridad de Nivel 3 incluyen cinco aspectos: físico, red, host, aplicación y datos:
Parte de seguridad física
1. El área debe dividirse en al menos dos partes: la sala de computadoras y el área de monitoreo;
2 La sala de computadoras debe estar equipada con un sistema de control de acceso electrónico, un sistema de alarma antirrobo y un sistema de monitoreo. ;
3. La sala de ordenadores no debe Si hay ventanas, se deben equipar sistemas especiales de extinción de incendios por gas y suministro de energía UPS;
Parte de seguridad de la red
1. Se debe dibujar un diagrama de topología consistente con las condiciones operativas actuales;
2. La configuración de conmutadores, firewalls y otros equipos debe cumplir con los requisitos. Por ejemplo, las Vlan deben dividirse y cada Vlan debe estar dividida. Se deben configurar políticas de control de tráfico Qos aisladas lógicamente. Se deben equipar políticas de control de acceso. Los dispositivos y servidores de red importantes deben estar vinculados a IP/MAC, etc.;
3. El equipo debe estar equipado.
4. El mecanismo de autenticación de identidad de conmutadores y firewalls debe cumplir con los requisitos de protección de Clase A, como la política de complejidad de nombre de usuario y contraseña, mecanismo de manejo de fallas de acceso de inicio de sesión, control de permisos y roles de usuario, etc.;
5. Los enlaces de red, el equipo de red central y el equipo de seguridad deben proporcionar un diseño de redundancia.
Parte de seguridad del host
1. La configuración propia del servidor debe cumplir con los requisitos, como el mecanismo de autenticación de identidad, el mecanismo de control de acceso, el mecanismo de auditoría de seguridad, el antivirus, etc., si es necesario. , un tercero puede comprar equipos de auditoría de host y bases de datos
2. Los servidores (servidores de aplicaciones y bases de datos) deben tener redundancia, como copia de seguridad en caliente de dos máquinas o implementación de clústeres
3. Es necesario escanear y evaluar las vulnerabilidades del servidor y del equipo de red importante antes de conectarse, y no debe haber vulnerabilidades de nivel medio o alto (como vulnerabilidades del sistema Windows, apache y otras vulnerabilidades de middleware, vulnerabilidades del software de la base de datos, otro software del sistema y vulnerabilidades de puertos, etc.);
4. Se debe equipar un servidor de registro dedicado para guardar los registros de auditoría del host y la base de datos.
Parte de seguridad de la aplicación
1. Las funciones de la aplicación en sí deben cumplir con los requisitos de protección de Clase A, como el mecanismo de autenticación de identidad, el registro de auditoría, el cifrado de comunicación y almacenamiento, etc. ;
2. El departamento de aplicaciones debe considerar implementar equipos antimanipulación de páginas web;
3. La evaluación de seguridad de la aplicación (incluido el escaneo de seguridad de la aplicación, las pruebas de penetración y la evaluación de riesgos). , no debe haber vulnerabilidades por encima del riesgo medio o alto (como inyecciones SQL, secuencias de comandos entre sitios, troyanos de sitios web, manipulación de páginas web, filtración de información confidencial, contraseñas débiles y adivinación de contraseñas, vulnerabilidades de gestión en segundo plano, etc.); p>
4. Los registros generados por el sistema de aplicación deben guardarse en un servidor de registros dedicado.
Copia de seguridad de datos
1. Se debe proporcionar un mecanismo de copia de seguridad local para los datos, del cual se debe realizar una copia de seguridad local todos los días y almacenarse fuera del sitio;
2. Si hay datos centrales críticos, se deben proporcionar funciones de respaldo de datos fuera del sitio y los datos deben transferirse a ubicaciones externas a través de la red para respaldo;
Base legal
"Medidas de gestión de protección del nivel de seguridad de la información"
Artículo 3: El nivel de protección de la seguridad de los sistemas de información se basará en la importancia de la información y los sistemas de información en la seguridad nacional, la construcción económica y la vida social. El daño a la seguridad nacional, el orden social y los asuntos públicos después de la destrucción de la información y los sistemas de información* El grado de daño a los intereses ** y los derechos e intereses legítimos de los ciudadanos, personas jurídicas y otras organizaciones, el nivel básico de protección de la seguridad que la información y los sistemas de información deben lograr, y se determinan otros factores.
Artículo 4: El nivel de protección de seguridad de los sistemas de información se divide en los siguientes cinco niveles:
(1) El primer nivel es el nivel de protección autónomo, que es aplicable a la información general. sistemas y está sujeto a Después de la destrucción, dañará los derechos e intereses legítimos de los ciudadanos, personas jurídicas y otras organizaciones, pero no dañará la seguridad nacional, el orden social y los intereses públicos.
(2) El segundo nivel es el nivel de protección de orientación, que es adecuado para sistemas de información generales. Una vez dañado, causará un daño leve al orden social y los intereses públicos, pero no dañará la seguridad nacional.
(3) El tercer nivel es el nivel de supervisión y protección, que es aplicable a sistemas de información importantes que involucran la seguridad nacional, el orden social y los intereses públicos. Si se dañan, tendrá un impacto negativo en el nivel nacional. la seguridad, el orden social y los intereses públicos. Causar daño a los intereses públicos.
(4) El cuarto nivel es el nivel de protección obligatoria, que se aplica a sistemas de información importantes que involucran la seguridad nacional, el orden social y los intereses públicos. Si se dañan, afectará la seguridad nacional, el orden social y. intereses públicos. Causar daños graves a los intereses públicos.
(5) El quinto nivel es el nivel de protección de control exclusivo, que es aplicable a los subsistemas centrales de sistemas de información importantes que involucran la seguridad nacional, el orden social y los intereses públicos. Si se daña, tendrá un. ha tenido un impacto negativo en el país y ha causado daños particularmente graves a la seguridad, el orden social y los intereses públicos.