网络安全等级保护-三级等保

三级等保（等保三级）又被称为国家信息安全等级保护三级认证，是中国最权威的信息产品安全等级资格认证，由公安机关依据国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。

三级等保是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息在存储、传输、处理这些信息时分等级实行安全保护；对信息系统中使用的信息安全产品实行按等级管理；对信息系统中发生的信息安全事件分等级响应、处置。

三级等保要求

1、物理安全：机房应区域划分至少分为主机房和监控区两个部分；机房应配备电子门禁系统、防盗报警系统、监控系统；机房不应该有窗户，应配备专用的气体灭火、备用发电机；

2、网络安全：应绘制与当前运行情况相符合的拓扑图；交换机、防火墙等设备配置应符合要求，例如应进行Vlan划分并各Vlan逻辑隔离，应配置Qos流量控制策略，应配备访问控制策略，重要网络设备和服务器应进行IP/MAC绑定等；应配备网络审计设备、入侵检测或防御设备；交换机和防火墙的身份鉴别机制要满足等保要求，例如用户名密码复杂度策略，登录访问失败处理机制、用户角色和权限控制等；网络链路、核心网络设备和安全设备，需要提供冗余性设计。

3、主机安全：服务器的自身配置应符合要求，例如身份鉴别机制、访问控制机制、安全审计机制、防病毒等，必要时可购买第三方的主机和数据库审计设备；服务器（应用和数据库服务器）应具有冗余性，例如需要双机热备或集群部署等；服务器和重要网络设备需要在上线前进行漏洞扫描评估，不应有中高级别以上的漏洞（例如windows系统漏洞、apache等中间件漏洞、数据库软件漏洞、其他系统软件及端口漏洞等）；应配备专用的日志服务器保存主机、数据库的审计日志。

4、应用安全：应用自身的功能应符合等保要求，例如身份鉴别机制、审计日志、通信和存储加密等；应用处应考虑部署网页防篡改设备；应用的安全评估（包括应用安全扫描、渗透测试及风险评估），应不存在中高级风险以上的漏洞（例如SQL注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞等）；应用系统产生的日志应保存至专用的日志服务器。

5、数据安全：应提供数据的本地备份机制，每天备份至本地，且场外存放；如系统中存在核心关键数据，应提供异地数据备份功能，通过网络等将数据传输至异地进行备份；三级等保的管理制度要求安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

三级等保所需设备

物理访问控制(G3)

重要区域应配置电子门禁系统，控制、:鉴别和记录进入的人员。

防盗窃和防破坏(G3)

应利用光、电等技术设置机房防盗报警系统;

应对机房设置监控报警系统。

防火(G3)

机房应设置火灾自动消防系统，能够自动检测火情、自动报警并自动灭火;

防水和防潮(G3)

应安装对水敏感的检测仪表或元件，对机房进行防水检测和报d)敬

温湿度控制(G3)

机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

电力供应(A3)

应建立备用供电系统

结构安全(G3)

应保证网络各个部分的带宽满足业务高峰期需要

应按照对业务服务的重要次序来指定带宽分配优先级别，保证在9)网络发生拥堵的时候优先保护 重要主机。

访问控制(G3)

应在网络边界部署访问控制设备，启用访问控制功能

应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级

应对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTPTELNET、SMTP、POP3 等协议命令级的控制

边界完整性检查(S3)

应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断;

应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断

入侵防范(G3)

应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;

当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

恶意代码防范(G3)

应在网络边界处对恶意代码进行检测和清除;应维护恶意代码库的升级和检测系统的更新。

安全审计(G3)

应对网络系统中的网络设备运行状况、网络量、用户行为等进行日志记录;

审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

应能够根据记录数据进行分析，并生成审计报表;

应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等

安全审计(G3)

审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;

审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

应能够根据记录数据进行分析，并生成审计报表;

应保护审计进程，避免受到未预期的中断;

应保护审计记录，避免受到未预期的删除、修改或覆盖等

恶意代码防范(G3)

应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库;

主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;

应支持防恶意代码的统一管理

资源控制(A3)

应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;

应限制单个用户对系统资源的最大或最小使用限度;

应能够对系统的服务水平降低到预先规定的最小值进行检测和报敬。

网络设备防护(G3)

主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;

身份鉴别(S3)

应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别身份鉴别(S3)

应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;

备份和恢复(A3)

应提供本地数据备份与恢复功能，完全数据备份至少每天一次备份介质场外存放;

应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地;

网络安全管理(G3)

应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补

系统安全管理(G3)

应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补

网络安全等级保护-四级等保

应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。

四级等保要求

物理安全

• 机房和办公场地：应选择在具有防震、防风和防雨等能力的建筑内，避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

• 设备放置：主要设备应放置在机房内，并进行固定，设置明显的不易除去的标记。

• 通信线缆：铺设在隐蔽处，如地下或管道中。

• 防雷装置：机房应设置防雷装置、防雷保安器等，防止雷击。

• 监控报警系统：包括防盗报警系统和视频监控系统，确保物理环境的安全。

网络安全

数据安全

• 对数据进行加密存储和传输，防止数据泄露和篡改。
• 建立数据备份和恢复机制，确保数据的可靠性和完整性。
• 建立完善的数据管理制度，对数据的采集、存储、使用、加工、公开等全流程进行管理。

应用安全

• 建立完善的应用安全体系，包括身份认证、访问控制、输入输出审核等措施，确保应用系统的安全性。
• 对应用系统的功能、数据等方面进行全面的安全审计和管理。

安全管理

• 建立完善的安全管理制度和流程，确保各项安全措施得到有效执行。
• 对关键岗位人员进行安全培训和考核，确保他们具备足够的安全意识和技能。
• 定期进行安全审计和风险评估，及时发现和修复安全漏洞。

四级等保所需设备

• 防火墙：用于构建网络边界，阻止未经授权的访问和数据流。
• 入侵检测系统（IDS）/入侵防御系统（IPS）：实时监控网络流量，检测并阻止潜在的安全威胁。
• 网络隔离设备：通过物理或逻辑手段将网络划分为不同的安全区域，以限制访问和防止安全事件扩散。

• 数据库审计系统：对数据库操作进行记录和分析，以检测和防止未授权的数据访问和篡改。
• 加密设备：用于对数据进行加密存储和传输，确保数据的机密性和完整性。
• 数据备份与恢复设备：定期备份数据，并建立快速恢复机制，以防止数据丢失或损坏。

• 主机安全加固软件：对操作系统和关键应用进行安全加固，提高系统的防御能力。
• 漏洞扫描设备：定期对主机进行漏洞扫描，及时发现并修复潜在的安全漏洞。

• 安全审计系统：对系统操作、用户行为等进行记录和审计，以便追溯和分析安全事件。
• 统一威胁管理平台（UTM）：集中管理网络中的安全设备和策略，提高整体的安全管理水平。

• 门禁系统：对机房和关键区域进行访问控制，确保只有授权人员才能进入。
• 监控报警系统：包括视频监控和报警设备，实时监控物理环境的安全状况，并在发生异常时及时报警。
• 防雷装置和防雷保安器：防止雷击对设备和系统的损害。

• 防水和防潮设备：确保机房和关键设备在潮湿环境下也能正常运行。
• 防静电设备：防止静电对设备和系统的损害。

网络安全等级保护-五级等保

一般适用于国家重要领域、重要部门中的极端重要系统；信息系统受到破坏后，会对国家安全造成特别严重损害。信息系统安全等级保护的定级准则和等级划分

五级等保要求

1. • 物理安全：对机房的选址、建设、访问控制等有严格要求。例如，机房应位于安全区域，具备防火、防水、防雷击等防护措施，同时对进入机房的人员进行严格的身份鉴别和访问控制。
   • 
     
   • 网络安全：采用先进的网络防护技术，如防火墙、入侵检测系统、VPN 等，确保网络通信的保密性、完整性和可用性。同时，对网络边界进行严格的访问控制，防止非法访问和攻击。
   • 
     
   • 主机安全：对服务器、工作站等主机设备进行安全加固，包括安装杀毒软件、配置安全策略、定期进行漏洞扫描和修复等。同时，对主机的用户身份鉴别、访问控制、安全审计等方面也有严格要求。
   • 
     
   • 应用安全：对应用系统进行安全设计和开发，确保应用系统的安全性。包括对用户身份鉴别、访问控制、数据加密、安全审计等方面的要求。同时，对应用系统的漏洞进行及时修复，防止被攻击。
   • 
     
   • 数据安全：对数据的存储、传输、备份等进行严格的安全保护。包括采用加密技术对数据进行加密存储和传输，定期对数据进行备份，防止数据丢失和损坏
   • 
     

2. • 安全管理制度：制定完善的安全管理制度，包括安全策略、管理制度、操作规程等。同时，对安全管理制度的制定、发布、修订等进行严格的管理。
   • 
     
   • 安全管理机构：设立专门的安全管理机构，负责信息系统的安全管理工作。安全管理机构应配备足够的安全管理人员，明确各岗位的安全职责。
   • 
     
   • 人员安全管理：对信息系统的相关人员进行安全管理，包括人员录用、离岗、考核等方面的要求。同时，对人员的安全培训和教育也有严格要求，提高人员的安全意识和技能。
   • 
     
   • 系统建设管理：对信息系统的建设过程进行安全管理，包括系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付等方面的要求。
   • 
     
   • 系统运维管理：对信息系统的运行维护过程进行安全管理，包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面的要求。

3. 
   

五级等保所需设备

• 防火墙：作为网络边界防护的基础设备，用于阻止未经授权的访问和网络攻击，对进出网络的流量进行严格的访问控制和过滤，确保网络安全。
• 
  

• 入侵检测系统（IDS）和入侵防御系统（IPS）：IDS 用于监测网络流量，提前发现潜在的入侵行为；IPS 则可以在检测到入侵行为时主动进行阻止，提供更高级的安全防护，防止恶意攻击和漏洞利用。
• 
  

• 网络加密设备：对网络通信进行加密，保障数据在传输过程中的机密性和完整性，防止数据被窃取或篡改。例如虚拟专用网络（VPN）设备，可建立安全的远程连接通道。
• 
  

• 网络监控与审计设备：能够实时监控网络活动，记录网络流量、用户行为等信息，并对这些信息进行分析和审计，以便及时发现安全事件和违规行为，为后续的调查和追溯提供依据。
• 
  

• 主机防火墙：安装在服务器等主机设备上，对主机的网络访问进行控制，防止未经授权的访问和攻击，保护主机的安全 。
• 
  

• 主机入侵检测与防御系统：针对主机的入侵行为进行检测和防御，监控主机的系统活动、进程和文件操作等，及时发现并阻止主机层面的攻击。
• 
  

• 反病毒软件：用于检测和清除计算机系统中的病毒、恶意软件和木马等，保护主机和终端设备免受恶意程序的侵害 。
• 
  

• 身份验证设备：如智能卡、指纹识别、面部识别等生物识别仪器，用于验证用户的身份，确保只有合法的用户能够访问主机和终端设备，防止未经授权的访问 。
• 
  

• 数据加密设备：对敏感数据进行加密存储，确保数据在存储过程中的安全性，即使数据被窃取，也无法轻易被破解和读取 。
• 
  

• 数据备份与恢复设备：定期对重要数据进行备份，并具备快速恢复数据的能力，以防止数据丢失或损坏。包括磁带库、磁盘阵列等备份存储设备，以及相应的数据备份和恢复软件。
• 
  

• 数据脱敏设备：在需要共享或使用敏感数据时，对数据进行脱敏处理，去除或替换敏感信息，保护用户隐私和数据安全。
• 
  

• 门禁系统：对机房等重要物理区域的入口进行控制，只有经过授权的人员才能进入，防止无关人员进入敏感区域 。
• 
  

• 视频监控系统：对机房、重要设备间等场所进行实时监控，记录人员的活动和设备的运行情况，以便及时发现异常情况和安全事件。
• 
  

• 环境监测设备：包括温度、湿度、漏水、烟雾等传感器，实时监测物理环境的变化，当环境参数超出正常范围时及时发出警报，防止环境因素对设备造成损害。
• 
  

• 电磁屏蔽设备：用于防止电磁辐射和干扰，保护电子设备的正常运行和数据的安全，特别是在对电磁环境要求较高的场所。
• 
  

• 安全信息与事件管理系统（SIEM）：收集、分析和整合来自各种安全设备和系统的日志信息、事件信息，提供实时的安全监控和预警，帮助安全管理人员快速发现和应对安全事件 。
• 
  

• 堡垒机：对运维人员的操作行为进行监控和审计，记录运维人员对系统和设备的操作过程，防止内部人员的违规操作和误操作 。
• 
  

• 漏洞扫描设备：定期对网络、系统和应用程序进行漏洞扫描，发现潜在的安全漏洞和风险，并及时进行修复和加固 。

网络安全等级保护-定级备案

从网络安全专业角度帮助企业开展通信网络单元的定级备案、符合性测评、安全风险评估等工作，协助企业依法依规开展电信业务运营。

定级

1. • 信息系统的安全保护等级；根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素，将信息系统的安全保护等级分为五级，从第一级（自主保护级）到第五级（专控保护级），安全保护能力逐级增强。

2. 
   

3. 流程

   • 确定定级对象：明确需要进行定级的信息系统范围，包括各类业务应用系统、网络系统、数据库系统等。
   • 
     
   • 确定受侵害的客体：分析信息系统遭到破坏后可能影响的对象，主要包括国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益等。
   • 确定对客体的侵害程度：评估信息系统遭到破坏后对受侵害客体的危害程度，包括损害的严重程度、影响范围、恢复难度等方面。
   • 综合确定安全保护等级：根据受侵害的客体和对客体的侵害程度，结合信息系统的服务对象、服务范围等因素，综合确定信息系统的安全保护等级。

备案

备案是指将已确定安全保护等级的信息系统向公安机关等相关部门进行登记备案。备案的目的是为了加强对信息系统安全保护工作的监督管理，确保信息系统的安全稳定运行。

1. 流程

2. 填写备案表：信息系统运营使用单位按照相关要求填写《信息系统安全等级保护备案表》，包括信息系统的基本情况、安全保护等级确定情况、安全保护措施落实情况等内容。

3. 提交备案材料：将填写完整的备案表及相关材料提交给所在地设区的市级以上公安机关公共信息网络安全监察部门。备案材料一般包括信息系统安全保护等级定级报告、信息系统安全管理制度、安全技术措施落实情况等。

4. 审核与备案：公安机关对提交的备案材料进行审核，审核通过后发放备案证明。信息系统运营使用单位应将备案证明妥善保管，并按照备案等级要求落实安全保护措施。

网络安全等级保护-漏洞扫描

漏洞扫描是一种自动化的安全测试方法，用于检测计算机系统、网络和应用程序中的漏洞和安全缺陷。漏洞扫描工具会对系统进行自动化的测试，以发现可能存在的安全漏洞和缺陷，如密码弱、SQL注入、跨站脚本攻击等。漏洞扫描工具会模拟攻击者的攻击行为，对系统中的漏洞进行探测和测试，以帮助管理员或开发人员识别和修复系统中的漏洞。

漏洞扫描步骤：

• 信息收集：收集系统、网络或应用程序的信息，如IP地址、端口号、协议等。
• 漏洞探测：扫描系统、网络或应用程序中的漏洞和安全缺陷，如密码弱、SQL注入、跨站脚本攻击等。
• 漏洞报告：生成漏洞报告，列出系统中存在的漏洞和安全缺陷，并提供修复建议和措施。
• 漏洞修复：根据漏洞报告中的建议和措施，修复系统中存在的漏洞和安全缺陷。

如何进行漏洞扫描？

使用漏洞扫描工具对主机进行扫描时，通常会查找缺失的补丁程序、已知的恶意软件、开放的端口、弱密码和其他安全分析。扫描完成后，进一步分析扫描结果，评估风险并给出处理建议，生成全面详细的漏洞扫描报告。

漏洞扫描分为：

• 经过身份验证的扫描允许扫描工具使用远程管理协议直接访问网络资产，例如：主机操作系统的特定服务、已安装软件的详细信息等。在扫描过程中发现漏洞并尝试利用漏洞，以便漏洞扫描工具能够发现更全面的潜在漏洞信息、甚至不容易被发现的漏洞。
• 未经身份验证的扫描是在没有任何凭证的情况下进行的，只能发现有限的漏洞信息，也可能包含误报。

另外，新的漏洞不断出现，漏洞扫描工具需不断更新自己的漏洞特征库，尽可能识别系统中的所有漏洞、最大限度地减少误报，提升漏洞扫描准确率。

如何根据漏洞扫描结果进行修复？

确认漏洞类型和等级

根据扫描结果，确认漏洞的类型和等级，了解漏洞的影响和风险。

制定修复计划

根据漏洞类型和等级，制定修复计划，确定修复的优先级和时间表。

安装补丁或更新

对于已经有官方发布的补丁或更新，及时安装并测试其对系统的影响。

配置安全策略

根据漏洞类型和等级，配置相应的安全策略，例如限制访问、增强认证等。

审查代码和配置文件

对于漏洞可能出现的代码和配置文件进行审查，确保没有误配置或漏洞代码。

进行安全测试

在修复漏洞后，进行安全测试，确保修复有效并没有引入新的漏洞。

持续监控

修复漏洞后，持续监控系统，确保漏洞没有再次出现，并及时修复新发现的漏洞。