網絡安全等級保護-三級等保

三級等保（等保三級）又被稱為國家信息安全等級保護三級認證，是中國最權威的信息產品安全等級資格認證，由公安機關依據國家信息安全保護條例及相關制度規定，按照管理規范和技術標準，對各機構的信息系統安全等級保護狀況進行認可及評定。

三級等保是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息在存儲、傳輸、處理這些信息時分等級實行安全保護；對信息系統中使用的信息安全產品實行按等級管理；對信息系統中發生的信息安全事件分等級響應、處置。

三級等保要求

1、物理安全：機房應區域劃分至少分為主機房和監控區兩個部分；機房應配備電子門禁系統、防盜報警系統、監控系統；機房不應該有窗戶，應配備專用的氣體滅火、備用發電機；

2、網絡安全：應繪制與當前運行情況相符合的拓撲圖；交換機、防火墻等設備配置應符合要求，例如應進行Vlan劃分并各Vlan邏輯隔離，應配置Qos流量控制策略，應配備訪問控制策略，重要網絡設備和服務器應進行IP/MAC綁定等；應配備網絡審計設備、入侵檢測或防御設備；交換機和防火墻的身份鑒別機制要滿足等保要求，例如用戶名密碼復雜度策略，登錄訪問失敗處理機制、用戶角色和權限控制等；網絡鏈路、核心網絡設備和安全設備，需要提供冗余性設計。

3、主機安全：服務器的自身配置應符合要求，例如身份鑒別機制、訪問控制機制、安全審計機制、防病毒等，必要時可購買第三方的主機和數據庫審計設備；服務器（應用和數據庫服務器）應具有冗余性，例如需要雙機熱備或集群部署等；服務器和重要網絡設備需要在上線前進行漏洞掃描評估，不應有中高級別以上的漏洞（例如windows系統漏洞、apache等中間件漏洞、數據庫軟件漏洞、其他系統軟件及端口漏洞等）；應配備專用的日志服務器保存主機、數據庫的審計日志。

4、應用安全：應用自身的功能應符合等保要求，例如身份鑒別機制、審計日志、通信和存儲加密等；應用處應考慮部署網頁防篡改設備；應用的安全評估（包括應用安全掃描、滲透測試及風險評估），應不存在中高級風險以上的漏洞（例如SQL注入、跨站腳本、網站掛馬、網頁篡改、敏感信息泄露、弱口令和口令猜測、管理后臺漏洞等）；應用系統產生的日志應保存至專用的日志服務器。

5、數據安全：應提供數據的本地備份機制，每天備份至本地，且場外存放；如系統中存在核心關鍵數據，應提供異地數據備份功能，通過網絡等將數據傳輸至異地進行備份；三級等保的管理制度要求安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。

三級等保所需設備

物理訪問控制(G3)

重要區域應配置電子門禁系統，控制、:鑒別和記錄進入的人員。

防盜竊和防破壞(G3)

應利用光、電等技術設置機房防盜報警系統;

應對機房設置監控報警系統。

防火(G3)

機房應設置火災自動消防系統，能夠自動檢測火情、自動報警并自動滅火;

防水和防潮(G3)

應安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報d)敬

溫濕度控制(G3)

機房應設置溫、濕度自動調節設施，使機房溫、濕度的變化在設備運行所允許的范圍之內。

電力供應(A3)

應建立備用供電系統

結構安全(G3)

應保證網絡各個部分的帶寬滿足業務高峰期需要

應按照對業務服務的重要次序來指定帶寬分配優先級別，保證在9)網絡發生擁堵的時候優先保護 重要主機。

訪問控制(G3)

應在網絡邊界部署訪問控制設備，啟用訪問控制功能

應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級

應對進出網絡的信息內容進行過濾，實現對應用層 HTTP、FTPTELNET、SMTP、POP3 等協議命令級的控制

邊界完整性檢查(S3)

應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷;

應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷

入侵防范(G3)

應在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等;

當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。

惡意代碼防范(G3)

應在網絡邊界處對惡意代碼進行檢測和清除;應維護惡意代碼庫的升級和檢測系統的更新。

安全審計(G3)

應對網絡系統中的網絡設備運行狀況、網絡量、用戶行為等進行日志記錄;

審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;

應能夠根據記錄數據進行分析，并生成審計報表;

應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等

安全審計(G3)

審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶;

審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件;c)審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等;

應能夠根據記錄數據進行分析，并生成審計報表;

應保護審計進程，避免受到未預期的中斷;

應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等

惡意代碼防范(G3)

應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫;

主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫;

應支持防惡意代碼的統一管理

資源控制(A3)

應對重要服務器進行監視，包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況;

應限制單個用戶對系統資源的最大或最小使用限度;

應能夠對系統的服務水平降低到預先規定的最小值進行檢測和報敬。

網絡設備防護(G3)

主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別;

身份鑒別(S3)

應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別身份鑒別(S3)

應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別;

備份和恢復(A3)

應提供本地數據備份與恢復功能，完全數據備份至少每天一次備份介質場外存放;

應提供異地數據備份功能，利用通信網絡將關鍵數據定時批量傳送至備用場地;

網絡安全管理(G3)

應定期對網絡系統進行漏洞掃描，對發現的網絡系統安全漏洞進行及時的修補

系統安全管理(G3)

應定期進行漏洞掃描，對發現的系統安全漏洞及時進行修補

網絡安全等級保護-四級等保

應能夠在統一安全策略下防護系統免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發起的惡意攻擊、嚴重的自然災難、以及其他相當危害程度的威脅所造成的資源損害，能夠發現安全漏洞和安全事件，在系統遭到損害后，能夠迅速恢復所有功能。

四級等保要求

物理安全

• 機房和辦公場地：應選擇在具有防震、防風和防雨等能力的建筑內，避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。

• 設備放置：主要設備應放置在機房內，并進行固定，設置明顯的不易除去的標記。

• 通信線纜：鋪設在隱蔽處，如地下或管道中。

• 防雷裝置：機房應設置防雷裝置、防雷保安器等，防止雷擊。

• 監控報警系統：包括防盜報警系統和視頻監控系統，確保物理環境的安全。

網絡安全

安全體系：建立完善的網絡安全體系，包括防火墻、入侵檢測系統等，確保網絡通信的保密性、完整性和可用性。

實時監控：對網絡進行實時監控，及時發現并處理安全事件。

安全檢查和漏洞掃描：定期對主機進行安全檢查和漏洞掃描，及時修補安全漏洞。

數據安全

• 對數據進行加密存儲和傳輸，防止數據泄露和篡改。
• 建立數據備份和恢復機制，確保數據的可靠性和完整性。
• 建立完善的數據管理制度，對數據的采集、存儲、使用、加工、公開等全流程進行管理。

應用安全

• 建立完善的應用安全體系，包括身份認證、訪問控制、輸入輸出審核等措施，確保應用系統的安全性。
• 對應用系統的功能、數據等方面進行全面的安全審計和管理。

安全管理

• 建立完善的安全管理制度和流程，確保各項安全措施得到有效執行。
• 對關鍵崗位人員進行安全培訓和考核，確保他們具備足夠的安全意識和技能。
• 定期進行安全審計和風險評估，及時發現和修復安全漏洞。

四級等保所需設備

• 防火墻：用于構建網絡邊界，阻止未經授權的訪問和數據流。
• 入侵檢測系統（IDS）/入侵防御系統（IPS）：實時監控網絡流量，檢測并阻止潛在的安全威脅。
• 網絡隔離設備：通過物理或邏輯手段將網絡劃分為不同的安全區域，以限制訪問和防止安全事件擴散。

• 數據庫審計系統：對數據庫操作進行記錄和分析，以檢測和防止未授權的數據訪問和篡改。
• 加密設備：用于對數據進行加密存儲和傳輸，確保數據的機密性和完整性。
• 數據備份與恢復設備：定期備份數據，并建立快速恢復機制，以防止數據丟失或損壞。

• 主機安全加固軟件：對操作系統和關鍵應用進行安全加固，提高系統的防御能力。
• 漏洞掃描設備：定期對主機進行漏洞掃描，及時發現并修復潛在的安全漏洞。

• 安全審計系統：對系統操作、用戶行為等進行記錄和審計，以便追溯和分析安全事件。
• 統一威脅管理平臺（UTM）：集中管理網絡中的安全設備和策略，提高整體的安全管理水平。

• 門禁系統：對機房和關鍵區域進行訪問控制，確保只有授權人員才能進入。
• 監控報警系統：包括視頻監控和報警設備，實時監控物理環境的安全狀況，并在發生異常時及時報警。
• 防雷裝置和防雷保安器：防止雷擊對設備和系統的損害。

• 防水和防潮設備：確保機房和關鍵設備在潮濕環境下也能正常運行。
• 防靜電設備：防止靜電對設備和系統的損害。

網絡安全等級保護-五級等保

一般適用于國家重要領域、重要部門中的極端重要系統；信息系統受到破壞后，會對國家安全造成特別嚴重損害。信息系統安全等級保護的定級準則和等級劃分

五級等保要求

1. • 物理安全：對機房的選址、建設、訪問控制等有嚴格要求。例如，機房應位于安全區域，具備防火、防水、防雷擊等防護措施，同時對進入機房的人員進行嚴格的身份鑒別和訪問控制。
   • 
     
   • 網絡安全：采用先進的網絡防護技術，如防火墻、入侵檢測系統、VPN 等，確保網絡通信的保密性、完整性和可用性。同時，對網絡邊界進行嚴格的訪問控制，防止非法訪問和攻擊。
   • 
     
   • 主機安全：對服務器、工作站等主機設備進行安全加固，包括安裝殺毒軟件、配置安全策略、定期進行漏洞掃描和修復等。同時，對主機的用戶身份鑒別、訪問控制、安全審計等方面也有嚴格要求。
   • 
     
   • 應用安全：對應用系統進行安全設計和開發，確保應用系統的安全性。包括對用戶身份鑒別、訪問控制、數據加密、安全審計等方面的要求。同時，對應用系統的漏洞進行及時修復，防止被攻擊。
   • 
     
   • 數據安全：對數據的存儲、傳輸、備份等進行嚴格的安全保護。包括采用加密技術對數據進行加密存儲和傳輸，定期對數據進行備份，防止數據丟失和損壞
   • 
     

2. • 安全管理制度：制定完善的安全管理制度，包括安全策略、管理制度、操作規程等。同時，對安全管理制度的制定、發布、修訂等進行嚴格的管理。
   • 
     
   • 安全管理機構：設立專門的安全管理機構，負責信息系統的安全管理工作。安全管理機構應配備足夠的安全管理人員，明確各崗位的安全職責。
   • 
     
   • 人員安全管理：對信息系統的相關人員進行安全管理，包括人員錄用、離崗、考核等方面的要求。同時，對人員的安全培訓和教育也有嚴格要求，提高人員的安全意識和技能。
   • 
     
   • 系統建設管理：對信息系統的建設過程進行安全管理，包括系統定級、安全方案設計、產品采購、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付等方面的要求。
   • 
     
   • 系統運維管理：對信息系統的運行維護過程進行安全管理，包括環境管理、資產管理、介質管理、設備管理、監控管理和安全管理中心、網絡安全管理、系統安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理等方面的要求。

3. 
   

五級等保所需設備

• 防火墻：作為網絡邊界防護的基礎設備，用于阻止未經授權的訪問和網絡攻擊，對進出網絡的流量進行嚴格的訪問控制和過濾，確保網絡安全。
• 
  

• 入侵檢測系統（IDS）和入侵防御系統（IPS）：IDS 用于監測網絡流量，提前發現潛在的入侵行為；IPS 則可以在檢測到入侵行為時主動進行阻止，提供更高級的安全防護，防止惡意攻擊和漏洞利用。
• 
  

• 網絡加密設備：對網絡通信進行加密，保障數據在傳輸過程中的機密性和完整性，防止數據被竊取或篡改。例如虛擬專用網絡（VPN）設備，可建立安全的遠程連接通道。
• 
  

• 網絡監控與審計設備：能夠實時監控網絡活動，記錄網絡流量、用戶行為等信息，并對這些信息進行分析和審計，以便及時發現安全事件和違規行為，為后續的調查和追溯提供依據。
• 
  

• 主機防火墻：安裝在服務器等主機設備上，對主機的網絡訪問進行控制，防止未經授權的訪問和攻擊，保護主機的安全 。
• 
  

• 主機入侵檢測與防御系統：針對主機的入侵行為進行檢測和防御，監控主機的系統活動、進程和文件操作等，及時發現并阻止主機層面的攻擊。
• 
  

• 反病毒軟件：用于檢測和清除計算機系統中的病毒、惡意軟件和木馬等，保護主機和終端設備免受惡意程序的侵害 。
• 
  

• 身份驗證設備：如智能卡、指紋識別、面部識別等生物識別儀器，用于驗證用戶的身份，確保只有合法的用戶能夠訪問主機和終端設備，防止未經授權的訪問 。
• 
  

• 數據加密設備：對敏感數據進行加密存儲，確保數據在存儲過程中的安全性，即使數據被竊取，也無法輕易被破解和讀取 。
• 
  

• 數據備份與恢復設備：定期對重要數據進行備份，并具備快速恢復數據的能力，以防止數據丟失或損壞。包括磁帶庫、磁盤陣列等備份存儲設備，以及相應的數據備份和恢復軟件。
• 
  

• 數據脫敏設備：在需要共享或使用敏感數據時，對數據進行脫敏處理，去除或替換敏感信息，保護用戶隱私和數據安全。
• 
  

• 門禁系統：對機房等重要物理區域的入口進行控制，只有經過授權的人員才能進入，防止無關人員進入敏感區域 。
• 
  

• 視頻監控系統：對機房、重要設備間等場所進行實時監控，記錄人員的活動和設備的運行情況，以便及時發現異常情況和安全事件。
• 
  

• 環境監測設備：包括溫度、濕度、漏水、煙霧等傳感器，實時監測物理環境的變化，當環境參數超出正常范圍時及時發出警報，防止環境因素對設備造成損害。
• 
  

• 電磁屏蔽設備：用于防止電磁輻射和干擾，保護電子設備的正常運行和數據的安全，特別是在對電磁環境要求較高的場所。
• 
  

• 安全信息與事件管理系統（SIEM）：收集、分析和整合來自各種安全設備和系統的日志信息、事件信息，提供實時的安全監控和預警，幫助安全管理人員快速發現和應對安全事件 。
• 
  

• 堡壘機：對運維人員的操作行為進行監控和審計，記錄運維人員對系統和設備的操作過程，防止內部人員的違規操作和誤操作 。
• 
  

• 漏洞掃描設備：定期對網絡、系統和應用程序進行漏洞掃描，發現潛在的安全漏洞和風險，并及時進行修復和加固 。

網絡安全等級保護-定級備案

從網絡安全專業角度幫助企業開展通信網絡單元的定級備案、符合性測評、安全風險評估等工作，協助企業依法依規開展電信業務運營。

定級

1. • 信息系統的安全保護等級；根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素，將信息系統的安全保護等級分為五級，從第一級（自主保護級）到第五級（專控保護級），安全保護能力逐級增強。

2. 
   

3. 流程

   • 確定定級對象：明確需要進行定級的信息系統范圍，包括各類業務應用系統、網絡系統、數據庫系統等。
   • 
     
   • 確定受侵害的客體：分析信息系統遭到破壞后可能影響的對象，主要包括國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益等。
   • 確定對客體的侵害程度：評估信息系統遭到破壞后對受侵害客體的危害程度，包括損害的嚴重程度、影響范圍、恢復難度等方面。
   • 綜合確定安全保護等級：根據受侵害的客體和對客體的侵害程度，結合信息系統的服務對象、服務范圍等因素，綜合確定信息系統的安全保護等級。

備案

備案是指將已確定安全保護等級的信息系統向公安機關等相關部門進行登記備案。備案的目的是為了加強對信息系統安全保護工作的監督管理，確保信息系統的安全穩定運行。

1. 流程

2. 填寫備案表：信息系統運營使用單位按照相關要求填寫《信息系統安全等級保護備案表》，包括信息系統的基本情況、安全保護等級確定情況、安全保護措施落實情況等內容。

3. 提交備案材料：將填寫完整的備案表及相關材料提交給所在地設區的市級以上公安機關公共信息網絡安全監察部門。備案材料一般包括信息系統安全保護等級定級報告、信息系統安全管理制度、安全技術措施落實情況等。

4. 審核與備案：公安機關對提交的備案材料進行審核，審核通過后發放備案證明。信息系統運營使用單位應將備案證明妥善保管，并按照備案等級要求落實安全保護措施。

網絡安全等級保護-漏洞掃描

漏洞掃描是一種自動化的安全測試方法，用于檢測計算機系統、網絡和應用程序中的漏洞和安全缺陷。漏洞掃描工具會對系統進行自動化的測試，以發現可能存在的安全漏洞和缺陷，如密碼弱、SQL注入、跨站腳本攻擊等。漏洞掃描工具會模擬攻擊者的攻擊行為，對系統中的漏洞進行探測和測試，以幫助管理員或開發人員識別和修復系統中的漏洞。

漏洞掃描步驟：

• 信息收集：收集系統、網絡或應用程序的信息，如IP地址、端口號、協議等。
• 漏洞探測：掃描系統、網絡或應用程序中的漏洞和安全缺陷，如密碼弱、SQL注入、跨站腳本攻擊等。
• 漏洞報告：生成漏洞報告，列出系統中存在的漏洞和安全缺陷，并提供修復建議和措施。
• 漏洞修復：根據漏洞報告中的建議和措施，修復系統中存在的漏洞和安全缺陷。

如何進行漏洞掃描？

使用漏洞掃描工具對主機進行掃描時，通常會查找缺失的補丁程序、已知的惡意軟件、開放的端口、弱密碼和其他安全分析。掃描完成后，進一步分析掃描結果，評估風險并給出處理建議，生成全面詳細的漏洞掃描報告。

漏洞掃描分為：

• 經過身份驗證的掃描允許掃描工具使用遠程管理協議直接訪問網絡資產，例如：主機操作系統的特定服務、已安裝軟件的詳細信息等。在掃描過程中發現漏洞并嘗試利用漏洞，以便漏洞掃描工具能夠發現更全面的潛在漏洞信息、甚至不容易被發現的漏洞。
• 未經身份驗證的掃描是在沒有任何憑證的情況下進行的，只能發現有限的漏洞信息，也可能包含誤報。

另外，新的漏洞不斷出現，漏洞掃描工具需不斷更新自己的漏洞特征庫，盡可能識別系統中的所有漏洞、最大限度地減少誤報，提升漏洞掃描準確率。

如何根據漏洞掃描結果進行修復？

確認漏洞類型和等級

根據掃描結果，確認漏洞的類型和等級，了解漏洞的影響和風險。

制定修復計劃

根據漏洞類型和等級，制定修復計劃，確定修復的優先級和時間表。

安裝補丁或更新

對于已經有官方發布的補丁或更新，及時安裝并測試其對系統的影響。

配置安全策略

根據漏洞類型和等級，配置相應的安全策略，例如限制訪問、增強認證等。

審查代碼和配置文件

對于漏洞可能出現的代碼和配置文件進行審查，確保沒有誤配置或漏洞代碼。

進行安全測試

在修復漏洞后，進行安全測試，確保修復有效并沒有引入新的漏洞。

持續監控

修復漏洞后，持續監控系統，確保漏洞沒有再次出現，并及時修復新發現的漏洞。