談?wù)勅?jí)等保機(jī)房管理制度及五大項(xiàng)

　　在上一篇文章小編介紹的關(guān)于三級(jí)等保機(jī)房共共分為五大項(xiàng)：物理安全，網(wǎng)絡(luò)安全，主機(jī)安全，應(yīng)用安全，數(shù)據(jù)安全;下面這篇文章小編就在來(lái)詳細(xì)介紹一下關(guān)于三級(jí)等保機(jī)房的管理制度、等級(jí)分成以及三級(jí)等保機(jī)房的五項(xiàng)的詳細(xì)介紹。

　　第一、三級(jí)等保機(jī)房管理制度要求，應(yīng)包括以下5方面的制度和記錄：

　　1、安全管理制度

　　2、安全管理機(jī)構(gòu)

　　3、人員安全管理

　　4、系統(tǒng)建設(shè)管理

　　5、系統(tǒng)運(yùn)維管理

　　第二、三級(jí)等保機(jī)房建設(shè)等級(jí)是分A、B、C三級(jí)的。

　　1、A級(jí)最大范圍主要是指涉及國(guó)計(jì)民生的機(jī)房設(shè)計(jì)。里面包括銀行

　　2、B級(jí)中等為電子信息系統(tǒng)運(yùn)行。科研院所;高等院校;

　　3、最小，一般人們都是建設(shè)C的。最小私人店面或者小型辦公之類。

　　第三、三級(jí)等保機(jī)房的格式說(shuō)明以及五大項(xiàng)詳細(xì)介紹

　　(等保要求：等保二級(jí)解決方案;等保三級(jí)解決方案;差異分析)

　　例： 入侵防范:部署入侵檢測(cè)系統(tǒng);部署入侵檢測(cè)系統(tǒng)配置入侵檢測(cè)系統(tǒng)的日志模塊;三級(jí)相對(duì)二級(jí)要求配置入侵檢測(cè)系統(tǒng)的日志模塊，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間等相關(guān)信息，并通過(guò)一定的方式進(jìn)行告警

　　1、物理安全

　　物理位置的選擇:機(jī)房和辦公場(chǎng)地應(yīng)選擇具有防震、防風(fēng)和防雨等能力;應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁;三級(jí)要求進(jìn)行樓層的選擇。

　　物理訪問(wèn)控制:按照基本要求進(jìn)行人員配備，制定管理制度;同時(shí)對(duì)機(jī)房進(jìn)行區(qū)域管理，設(shè)置過(guò)度區(qū)域、安裝門(mén)禁;三級(jí)要求加強(qiáng)對(duì)區(qū)域的管理和重要區(qū)域控制力度。

　　防盜竊和防破壞:按照基本要求進(jìn)行建設(shè)。制定防盜竊防破壞相關(guān)管理制度;按照基本要求進(jìn)行建設(shè)配置光、電等防盜報(bào)警系統(tǒng);三級(jí)根據(jù)要求進(jìn)行光、電技術(shù)防盜報(bào)警系統(tǒng)的配備。

　　防雷擊:按照基本要求進(jìn)行建設(shè);設(shè)置防雷保安器;三級(jí)根據(jù)要求設(shè)置防雷保安器，防止感應(yīng)雷

　　防火:設(shè)置滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng);消防、耐火、隔離等措施;三級(jí)根據(jù)要求進(jìn)行消防、耐火、隔離等措施

　　防水和防潮:采取措施防止雨水滲透、機(jī)房?jī)?nèi)水蒸氣;安裝防水測(cè)試儀器;三級(jí)根據(jù)要求進(jìn)行防水檢測(cè)儀表的安裝使用

　　防靜電:采用必要的接地防靜電;安裝防靜電地板;三級(jí)根據(jù)要求安裝防靜電地板

　　溫濕度控制:配備空調(diào)系統(tǒng).

　　電力供應(yīng):配備穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備,配備UPS系統(tǒng);配備穩(wěn)壓器、UPS、冗余供電系統(tǒng);三級(jí)根據(jù)要求設(shè)置冗余或并行的電力電纜線路，建立備用供電系統(tǒng)

　　電磁防護(hù):電源線和通信線纜隔離鋪設(shè);接地、關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽;三級(jí)根據(jù)要求進(jìn)行接地，關(guān)鍵設(shè)備和介質(zhì)的電磁屏蔽

　　2、網(wǎng)絡(luò)安全

　　結(jié)構(gòu)安全:關(guān)鍵設(shè)備選擇高端設(shè)備，處理能力具備冗余空間，合理組網(wǎng)，繪制詳細(xì)網(wǎng)絡(luò)拓?fù)鋱D;在二級(jí)基礎(chǔ)上，合理規(guī)劃路由，避免將重要網(wǎng)段直接連接外部系統(tǒng)，在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑、帶寬優(yōu)先級(jí)管理;三級(jí)根據(jù)要求在以下方面進(jìn)行加強(qiáng)設(shè)計(jì)：主要網(wǎng)絡(luò)設(shè)備的處理能力滿足高峰需求，業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑、重要網(wǎng)段配置ACL策略帶寬優(yōu)先級(jí)

　　訪問(wèn)控制:防火墻，制定相應(yīng)的ACL策略;防火墻配置配置包括：端口級(jí)的控制粒度,常見(jiàn)應(yīng)用層協(xié)議命令過(guò)濾,會(huì)話控制,流量控制,連接數(shù)控制,防地址欺騙等策略;三級(jí)在配置防火墻設(shè)備的策略時(shí)提出了更高的要求

　　安全審計(jì):部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng);部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)部署日志服務(wù)器進(jìn)行審計(jì)記錄的保存;三級(jí)對(duì)審計(jì)日志保存提出更高要求，需要采用日志服務(wù)器進(jìn)行審計(jì)記錄的保存

　　邊界完整性檢查:部署終端安全管理系統(tǒng)，啟用非法外聯(lián)監(jiān)控以及安全準(zhǔn)入功能;部署終端安全管理系統(tǒng)，在進(jìn)行非法外聯(lián)和安全準(zhǔn)入檢測(cè)的同時(shí)要進(jìn)行有效阻斷;三級(jí)相對(duì)2級(jí)要求在檢測(cè)的同時(shí)要進(jìn)行有效阻斷

　　入侵防范:部署入侵檢測(cè)系統(tǒng);部署入侵檢測(cè)系統(tǒng)配置入侵檢測(cè)系統(tǒng)的日志模塊;三級(jí)相對(duì)2級(jí)要求配置入侵檢測(cè)系統(tǒng)的日志模塊，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間等相關(guān)信息，并通過(guò)一定的方式進(jìn)行告警

　　惡意代碼防范:無(wú)要求;部署UTM或AV、IPS;三級(jí)系統(tǒng) 要求具備網(wǎng)關(guān)處惡意代碼的檢測(cè)與清除，并定期升級(jí)惡意代碼庫(kù)

　　網(wǎng)絡(luò)設(shè)備防護(hù):配置網(wǎng)絡(luò)設(shè)備自身的身份鑒別與權(quán)限控制;對(duì)主要網(wǎng)絡(luò)設(shè)備實(shí)施雙因素認(rèn)證手段進(jìn)身份鑒別;三級(jí)對(duì)登陸網(wǎng)絡(luò)設(shè)備的身份認(rèn)證提出了更高要求，需要實(shí)施雙因素認(rèn)證，設(shè)備的管理員等特權(quán)用戶進(jìn)行不同權(quán)限等級(jí)的配置

　　3、主機(jī)安全

　　身份鑒別:對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)配置高強(qiáng)度用戶名/口令啟用登陸失敗處理、傳輸加密等措施;對(duì)主機(jī)管理員登錄時(shí)進(jìn)行雙因素身份鑒別(USBkey+密碼);三級(jí)要求采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別

　　訪問(wèn)控制:根據(jù)基本要求進(jìn)行主機(jī)訪問(wèn)控制的配置;管理員進(jìn)行分級(jí)權(quán)限控制，重要設(shè)定訪問(wèn)控制策略進(jìn)行訪問(wèn)控制;三級(jí)根據(jù)要求對(duì)管理員進(jìn)行分級(jí)權(quán)限控制，對(duì)重要信息(文件、數(shù)據(jù)庫(kù)等)進(jìn)行標(biāo)記

　　安全審計(jì):部署主機(jī)審計(jì)系統(tǒng);部署主機(jī)審計(jì)系統(tǒng)審計(jì)范圍擴(kuò)大到重要客戶端;同時(shí)能夠生成審計(jì)報(bào)表;三級(jí)要求能將審計(jì)范圍擴(kuò)大到重要客戶端;同時(shí)能夠生成審計(jì)報(bào)表

　　剩余信息保護(hù):無(wú)要求;通過(guò)對(duì)操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行安全加固配置，及時(shí)清除剩余信息的存儲(chǔ)空間;三級(jí)要求對(duì)剩余信息進(jìn)行保護(hù)，通過(guò)安全服務(wù)方式進(jìn)行

　　入侵防范:部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)部署終端安全管理系統(tǒng);部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)部署主機(jī)入侵檢測(cè)系統(tǒng)部署終端安全管理系統(tǒng)進(jìn)行補(bǔ)丁及時(shí)分發(fā);三級(jí)要求對(duì)重要服務(wù)器進(jìn)行入侵的行為，對(duì)重要程序進(jìn)行代碼審查，去除漏洞，配置主機(jī)入侵檢測(cè)以及終端管理軟件進(jìn)行完整性檢測(cè)

　　惡意代碼防范:部署終端防惡意代碼軟件;部署終端防惡意代碼軟件;三級(jí)要求終端防惡意代碼軟件與邊界處的網(wǎng)關(guān)設(shè)備進(jìn)行異構(gòu)部署

　　資源控制:部署應(yīng)用安全管理系統(tǒng)進(jìn)行資源監(jiān)控;部署應(yīng)用安全管理系統(tǒng)進(jìn)行資源監(jiān)控、檢測(cè)報(bào)警;三級(jí)要求通過(guò)安全加固，對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況，對(duì)系統(tǒng)服務(wù)相關(guān)閾值進(jìn)行檢測(cè)告警

　　4、應(yīng)用安全

　　身份鑒別:根據(jù)基本要求配置高強(qiáng)度用戶名/口令;進(jìn)行雙因素認(rèn)證或采用CA系統(tǒng)進(jìn)行身份鑒別;三級(jí)根據(jù)要求進(jìn)行雙因素認(rèn)證或采用CA系統(tǒng)進(jìn)行身份鑒別

　　訪問(wèn)控制:根據(jù)基本要求提供訪問(wèn)控制功能;通過(guò)安全加固措施制定嚴(yán)格用戶權(quán)限策略，保證賬號(hào)、口令等符合安全策略;三級(jí)根據(jù)要求根據(jù)系統(tǒng)重要資源的標(biāo)記以及定義的安全策略進(jìn)行嚴(yán)格的訪問(wèn)控制

　　安全審計(jì)：應(yīng)用系統(tǒng)開(kāi)發(fā)應(yīng)用審計(jì)功能部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng);應(yīng)用系統(tǒng)開(kāi)發(fā)應(yīng)用審計(jì)功能部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng);三級(jí)要求不僅生成審計(jì)記錄，還要對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表

　　剩余信息保護(hù)：無(wú)要求;通過(guò)對(duì)操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行安全加固配置，及時(shí)清除剩余信息的存儲(chǔ)空間;二級(jí)無(wú)要求

　　通信完整性：采用校驗(yàn)碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性;采用PKI體系中的完整性校驗(yàn)功能進(jìn)行完整性檢查，保障通信完整性;三級(jí)要求密碼技術(shù)

　　通信保密性：應(yīng)用系統(tǒng)自身開(kāi)發(fā)數(shù)據(jù)加密功能，采用VPN或PKI體系的加密功能;應(yīng)用系統(tǒng)自身開(kāi)發(fā)數(shù)據(jù)加密功能，采用VPN或PKI體系的加密功能保障通信保密性;三級(jí)要求對(duì)整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密

　　抗抵賴:無(wú)要求;PKI系統(tǒng);2級(jí)無(wú)要求

　　軟件容錯(cuò)：代碼審核;代碼審核;三級(jí)根據(jù)要求系統(tǒng)具備自動(dòng)保護(hù)功能設(shè)計(jì)，故障后可以恢復(fù)

　　資源控制：部署應(yīng)用安全管理系統(tǒng);部署應(yīng)用安全管理系統(tǒng);三級(jí)要求細(xì)化加固措施，對(duì)并發(fā)連接、資源配額、系統(tǒng)服務(wù)相關(guān)閾值、系統(tǒng)服務(wù)優(yōu)先級(jí)等進(jìn)行限制和管理

　　5、數(shù)據(jù)安全

　　數(shù)據(jù)完整性：數(shù)據(jù)校驗(yàn)傳輸采用VPN ;配置存儲(chǔ)系統(tǒng)傳輸采用VPN ;三級(jí)要求在傳輸過(guò)程增加對(duì)系統(tǒng)管理數(shù)據(jù)的檢測(cè)與恢復(fù)，配置存儲(chǔ)系統(tǒng)

　　數(shù)據(jù)保密性：應(yīng)用系統(tǒng)針對(duì)鑒別信息的存儲(chǔ)開(kāi)發(fā)加密功能;應(yīng)用系統(tǒng)針對(duì)存儲(chǔ)開(kāi)發(fā)加密功能,利用VPN實(shí)現(xiàn)傳輸保密性;三級(jí)要求實(shí)現(xiàn)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸過(guò)程的保密性

　　備份與恢復(fù)：重要信息進(jìn)行定期備份關(guān)鍵設(shè)備線路冗余;本地備份與異地備份關(guān)鍵設(shè)備線路冗余設(shè)計(jì);三級(jí)要求進(jìn)行每天數(shù)據(jù)備份且要求實(shí)現(xiàn)異地備份。

　　了解更多信息關(guān)于三級(jí)等保機(jī)房的技術(shù)要求都有哪幾項(xiàng)?