等保三级高风险项和整改

引言

在网络安全等级保护测评中，三级等保系统的安全要求相较于二级系统有显著提升。本文将为您详细解析三级等保中的高风险项，并提供具体的整改方向，帮助您更好地理解和实施网络安全等级保护。

测评得分与合格标准

网络安全等级保护测评得分为百分制，70分以上才有可能合格。70分以下为差，无高风险项，70分以上为中，80分为良，90分以上为优。合格的前提是无高风险项，或者高风险项可以通过风险分析方法降低为中风险或低风险。

三级等保与二级等保对比

三级系统在技术方面的风险项数量为55项，管理方面为15项；而二级系统技术方面为38项，管理方面为8项。显然，三级等保对安全防护的要求更高。

技术方面的高风险项

关键线路和设备的冗余

对于高可用性三级系统，网络线路、路由器、交换机等网络设备以及直连的防火墙等安全设备需要实现冗余配置。

数据通信的完整性和保密性

如果存在远距离网络访问的场景，需要配置VPN访问；应用层面C/S架构数据库配置SSL访问，B/S架构配置HTTPS访问。

内部入侵监测和防御

新一代防火墙内嵌IPS模块，或者配置IPS设备，以实现内部入侵监测和防御。

双因素身份鉴别

实现设备和应用系统的双因素鉴别用户身份，如USB Key、手机短信验证码、手机动态令牌、Radius验证等。

异地数据备份

所有应用业务系统产生的重要数据都要在异地进行备份，同城异地机房直接距离不低于30公里，跨省市异地机房直线距离不低于100公里。

热冗余设计

重要数据处理系统要实现热冗余设计，如数据库和后台数据处理系统的热冗余部署。

运行状况监控

对网络链路、安全设备、网络设备和服务器等的运行状况要有监控措施，如使用IT运维类管理软件。

统一审计

实现对不同设备的安全审计，使用安全审计设备。

安全事件识别

能够对网络中发生的网络攻击、恶意代码传播等安全事件进行识别、报警和分析，使用新一代防火墙、入侵防御IPS设备或组件、网络版杀毒软件、EDR等。

管理方面的高风险项

成立网络安全管理机构

成立指导和管理网络安全工作的委员会或领导小组，由单位主管领导担任或授权。

网络安全产品合规采购

确保网络安全产品采购和使用符合国家的有关规定，特别是近年来的信创化趋势。

外包软件开发管理

确保开发单位提供软件源代码，并审查软件中可能存在的后门和隐蔽信道。

上线前安全性测试

进行上线前的安全性测试，并出具包含密码应用安全性测试的安全测试报告。

运维工具使用控制

严格控制运维工具的使用，经过审批后才可接入进行操作，并保留不可更改的审计日志。

设备外联管控

对设备外联进行管控，保证所有与外部的连接均得到授权和批准，并定期检查违反规定的行为。

应急预案培训与演练

定期对系统相关的人员进行应急预案培训，并进行应急预案的演练。

技术方面

（1）关键线路和关键设备的冗余。（高可用性三级系统，网络线路、路由器和交换机等网络设备、直连的防火墙等安全设备需要实现冗余）

（2）重要数据在通信过程中的完整性和保密性保障措施。（如果存在远距离网络访问的场景，类似记者远程往记者站存放采访素材、分公司人员访问总部系统资源，需要配置VPN访问；应用层面C/S架构数据库配置SSL访问，B/S架构配置HTTPS访问，网络层面或应用层面一般满足一项即可）

（3）内部入侵监测和防御措施。（新一代防火墙，内嵌IPS模块即可，或者配置IPS设备）

（4）设备和应用系统双因素鉴别用户身份。（双因素识别较难实现，一般有USB Key、手机短信验证码、手机动态令牌、Radius验证等，常见有几种方案，密码和硬件令牌：用户需要提供正确的用户名和密码，并搭配使用硬件令牌生成的动态验证码来完成身份验证。密码和短信验证码：用户需要输入正确的用户名和密码，并收到手机短信中的一次性验证码，用于验证身份。密码和手机APP验证码：类似于硬件令牌，用户在输入用户名和密码后，通过APP生成的动态验证码来完成身份验证。指纹识别和密码：用户需要提供正确的指纹识别信息和密码来进行身份验证）。

（5）对所有应用业务系统产生的重要数据都要在异地进行备份，原则上同城异地机房直接距离不低于为30公里，跨省市异地机房直线距离不低于100公里。

（6）重要数据处理系统要实现热冗余设计。比如数据库和后台数据处理系统要热冗余部署实现。（数据库热备和处理系统热备，可以采用集群、虚拟化等手段实现，如双机热备份系统、数据库镜像等，存储方面采用RAID独立冗余磁盘阵列等）

（7）对网络链路、安全设备、网络设备和服务器等的运行状况要有监控措施（高可用性三级系统，要求有类似zabbix的IT运维类管理软件对设备状态和网络链路进行实时监控）。

（8）必须要有统一审计，实现对不同设备的安全审计。（安全审计设备）

（9）能够对网络中发生的网络攻击、恶意代码传播等安全事件进行识别、报警和分析。（新一代防火墙、入侵防御IPS设备或组件、网络版杀毒软件、EDR等）

管理方面

（1）成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权。

（2）确保网络安全产品采购和使用符合国家的有关规定。（近年来有要求信创化的趋势，新创指“信息技术应用创新”，旨在实现信息技术的自主可控，规避外部技术制裁和风险）

（3）如有外包软件开发的系统，要保证开发单位提供软件源代码，并审查软件中可能存在的后门和隐蔽信道。（可以通过漏扫、渗透来减低风险）

（4）上线前进行安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容。（可以通过漏扫、渗透来减低风险）

（5）严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据。（堡垒机可以实现本项管理要求）

（6）对设备外联进行管控，保证所有与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。（使用在网络设备或安全设备绑定终端mac地址、或部署终端安全管理系统、准入控制设备等可以实现本项管理要求）

（7）定期对系统相关的人员进行应急预案培训，并进行应急预案的演练。

结语

通过聚焦核心防护能力建设，我们可以显著提升网络整体防护能力，实现安全投入和产出的平衡。希望本文能为您提供实用的指导，帮助您在网络安全等级保护测评中取得更好的成绩。