三级等保所需设备及服务

三级等保对机房的要求
三级等保对机房的要求包括以下几个方面：
1. 物理环境：机房应具备合理的布局和适宜的环境条件。

包括但不限于：合适的温度、湿度、洁净度、防静电、防震、防雷等。

2. 电力供应：机房应具备稳定可靠的电力供应系统，包括备用电源和自动切换设备，以确保在电力故障或停电时机房正常运行。

3. 消防安全：机房应配备火灾报警系统和灭火设备，同时应有防水和防涝措施。

4. 监控安全：机房应配备监控系统，对机房内部和周边环境进行实时监控，并保存监控记录。

5. 访问控制：机房应实施严格的访问控制措施，包括门禁系统、监控系统等，确保只有授权人员才能进入机房。

6. 防水防潮：机房应具备防水防潮措施，防止水汽和潮气对设备造成损害。

7. 防尘防鼠：机房应具备防尘防鼠措施，防止灰尘和鼠害对设备造成损害。

8. 设备安全：机房内应使用符合国家标准和规范的设备，包括服务器、网络设备、存储设备等。

9. 数据备份与恢复：机房应建立完善的数据备份与恢复机制，以应对可能的数据丢失或损坏。

10. 安全管理制度：机房应建立完善的安全管理制度，包括但不限于：安全检查制度、安全巡查制度、应急预案等。

总的来说，三级等保对机房的要求涉及到物理环境、电力供应、消防安全、监控安全、访问控制、防水防潮、防尘防鼠、设备安全、数据备份与恢复以及安全管理制度等方面。

1.1技术要求 (3)1.1.1物理安全 (3)1.1.1.1物理位置的选择（ G3） (3)1.1.1.2物理访问控制（ G3） (3)1.1.1.3防盗窃和防破坏（ G3） (3)1.1.1.4防雷击（ G3） (3)1.1.1.5防火（ G3） (3)1.1.1.6防水和防潮（ G3） (4)1.1.2结构安全（ G3） (4)1.1.2.2访问控制（ G3） (4)1.1.2.4边界完整性检查（ S3） (4)1.1.2.5入侵防（ G3） (4)1.1.2.6恶意代码防（ G3） (5)1.1.2.7网络设备防护（ G3） (5)1.1.3主机安全 (5)1.1.3.1身份鉴别（ S3） (5)1.1.3.2访问控制（ S3） (5)1.1.3.3安全审计（ G3） (6)1.1.3.4剩余信息保护（ S3） (6)1.1.4应用安全 (6)1.1.4.1身份鉴别（ S3） (6)1.1.4.2访问控制（ S3） (6)1.1.4.5通信完整性（ S3） (7)1.1.4.6通信性（ S3） (7)1.1.4.7抗抵赖（ G3） (7)1.1.4.8软件容错（ A3） (7)1.1.4.9资源控制（ A3） (7)1.1.5数据安全及备份恢复 (7)1.1.5.1数据完整性（ S3） (7)1.1.5.2数据性（ S3） (8)1.1.5.3备份和恢复（ A3） (8)1.2管理要求 (8)1.2.1安全管理制度 (8)1.2.1.1管理制度（ G3） (8)1.2.1.2制定和发布（ (3)81.2.2.2人员配备（ G3） (8)1.2.2.3授权和审批（ (3)91.2.2.4沟通和合作（ (3)91.2.2.5审核和检查（ (3)91.2.3 人员安全管理 (9)1.2.3.1人员录用（ G3） (9)1.2.3.2人员离岗（ G3） (10)1.2.3.5外部人员访问管理（ G3） (10)1.2.4系统建设管理 (10)1.2.4.3产品采购和使用（ G3） (11)1.2.4.4自行软件开发（ G3 (11)1.2.4.5外包软件开发（ G3） (11)1.2.4.6工程实施（ G3） (11)1.2.4.7测试验收（ G3） (12)1.2.4.8系统交付（ G3） (12)1.2.4.9系统备案（ G3 (12)1.2.4.10等级测评（ G3） (12)1.2.4.11安全服务商选择（ G3） (13)1.2.5 系统运维管理 (13)1.2.5.1 环境管理（ G3） (13)1.2.5.2资产管理（ G3） (13)1.2.5.3介质管理（ G3） (13)1.2.5.4设备管理（ G3） (14)1.2.5.5监控管理和安全管理中心（ G3） (14)1.2.5.6网络安全管理（ G3） (14)1.2.5.7系统安全管理（ G3） (14)1.2.5.8恶意代码防管理（ G3） (15)1.2.5.9密码管理（ G3） (15)1.2.5.10变更管理（ G3） (15)1.2.5.11备份与恢复管理（ G3） (15)1.2.5.12安全事件处置（ G3） (16)1.2.5.13应急预案管理（ G3） (16)1.1技术要求1.1.1物理安全1.1.1.1物理位置的选择( G3)a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑；b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

三级等保所需设备及服务一、设备：1. 防火墙（Firewall）：用于阻止非法访问信息系统，并进行入侵检测和防范。

2.IDS/IPS系统（入侵检测与防御系统）：用于监控和检测系统中的入侵行为，并采取相应的防御措施。

3.安全硬件设备：如加密机、安全存储设备、虚拟专用网设备等，用于保障数据的加密和存储安全。

4.安全审计设备：用于对系统的安全事件进行审计和记录，以便追溯和防范安全威胁。

5.服务器设备：用于存储和处理大量的敏感数据，并提供相应的服务功能。

6.数据备份与恢复设备：用于保障数据的可靠备份和紧急恢复，以应对数据泄露或系统崩溃等情况。

二、服务：1.安全评估与测试服务：对信息系统进行安全评估和测试，发现潜在漏洞和安全风险，并提出相应的修补和改进建议。

2.漏洞管理服务：对系统进行漏洞扫描和漏洞管理，及时修复系统中的漏洞，防止黑客利用漏洞进行攻击。

3.安全运维服务：对信息系统进行安全运维和管理，包括安全事件响应、安全日志分析和异常流量检测等。

4.信息安全培训服务：对系统用户进行安全意识和操作培训，提高用户的信息安全意识和防范能力。

5.网络监控与安全响应服务：对网络流量进行监控和分析，及时发现异常流量和安全事件，并采取相应的安全响应措施。

6.安全策略制定与执行服务：制定系统的安全策略和规范，确保系统遵循相关的安全标准和规范，并实施相应的安全措施。

除了设备和服务之外，三级等保还涉及到一系列的技术措施和管理措施，如密码策略、访问控制、权限管理、数据备份和恢复方案等。

同时，还需要进行定期的风险评估和安全审计，及时发现和处理系统中的安全威胁，保障信息系统的安全性。

总之，三级等保所需的设备和服务是多方面的，包括硬件设备、软件服务和安全运维服务等，通过综合运用这些设备和服务，可以有效保障信息系统的安全性，防止信息泄露和黑客攻击。

1.2.1 安全管理制度 1.2.1.1 管理制度（G3） 本项要求包括：a ）应制定信息安全工作的总体方针 和安全策略，说明机构安全工作 的总体目标、范围、原则和安全 框架等；b ）应对安全管理活动中的各类管理 内容建立安全管理制度；c ）应对要求管理人员或操作人员执 行的日常管理操作建立操作规 程；d ）应形成由安全策略、管理制度、 操作规程等构成的全面的信息安 全管理制度体系。

1.2.1.2 制定和发布（G3） 本项要求包括：a ）应指定或授权专门的部门或人员 负责安全管理制度的制定；b ）安全管理制度应具有统一的格 式，并进行版本控制；c ）应组织相关人员对制定的安全管 理制度进行论证和审定；d ）安全管理制度应通过正式、有效 的方式发布；e ）安全管理制度应注明发布范围， 并对收发文进行登记。

1.2.1.3 评审和修订（G3） 本项要求包括：a ）信息安全领导小组应负责定期组 织相关部门和相关人员对安全管 理制度体系的合理性和适用性进 行审定； b ）应定期或不定期对安全管理制度安全管理咨询服务，帮助用户 建立全面的信息安全管理制度 体系，包括制定安全策略、管 理制度和操作规程等，并协助 用户对管理制度进行发布、评 审和修订。

1.2.2 安全管理机构 1.2.2.1 岗位设置（G3） 本项要求包括：a ）应设立信息安全管理工作的职能 部门，设立安全主管、安全管理 各个方面的负责人岗位，并定义 各负责人的职责；b ）应设立系统管理员、网络管理员、 安全管理员等岗位，并定义各个 工作岗位的职责；c ）应成立指导和管理信息安全工作 的委员会或领导小组，其最高领 导由单位主管领导委任或授权；d ）应制定文件明确安全管理机构各 个部门和岗位的职责、分工和技 能要求。

1.2.2.2 人员配备（G3） 本项要求包括：a ）应配备一定数量的系统管理员、 网络管理员、安全管理员等；b ）应配备专职安全管理员，不可兼 任；c ）关键事务岗位应配备多人共同管 理。

一、等级保护二级系统（一）物理和环境安全层面安全措施需求如下：1、防盗报警系统2、灭火设备和火灾自动报警系统3、水敏感检测仪及漏水检测报警系统4、精密空调5、备用发电机（二）网络和通信安全及设备和计算安全层面需要部署的安全产品如下：1、防火墙或者入侵防御系统2、上网行为管理系统3、网络准入系统4、审计平台或者统一监控平台（可满足主机、网络和应用层面的监控需求，在条件不允许的情况下，至少要使用数据库审计）5、防病毒软件（三）应用及数据安全层面需要部署的安全产品如下：1、VPN2、网页防篡改系统（针对网站系统）3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）。

二、等级保护三级系统（一）物理和环境安全层面安全措施需求如下：1、需要使用彩钢板、防火门等进行区域隔离2、视频监控系统3、防盗报警系统4、灭火设备和火灾自动报警系统5、水敏感检测仪及漏水检测报警系统6、精密空调7、除湿装置8、备用发电机9、电磁屏蔽柜（二）网络和通信安全及设备和计算安全层面需要部署的安全产品如下：1、入侵防御系统2、上网行为管理系统3、网络准入系统4、统一监控平台（可满足主机、网络和应用层面的监控需求）5、防病毒软件6、堡垒机7、防火墙8、审计平台（满足对操作系统、数据库、网络设备的审计，在条件不允许的情况下，至少要使用数据库审计）（三）应用及数据安全层面需要部署的安全产品如下：1、VPN2、网页防篡改系统（针对网站系统）3、数据异地备份存储设备4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）5、数据加密软件（满足加密存储，且加密算法需获得保密局认可）。

三级等保测评服务内容
三级等保测评是指对信息系统的安全性进行评估和测试，以确定其是否符合国
家三级等级保护标准的要求。

在进行三级等保测评时，需要按照以下内容进行服务：
1.系统资产确认与分类：通过对信息系统中的各种资产进行确认和分类，包括
软件、硬件、网络设备、数据库等，以便全面评估其安全性。

2.安全策略与规划评估：对信息系统的安全策略和规划进行评估，包括密码策略、网络安全策略、应急响应计划等，以确保其与国家三级等保标准相符。

3.权限与访问控制评估：评估系统中的权限管理和访问控制机制，包括用户权
限分配、身份认证、访问控制列表等，以确保系统只被授权人员访问。

4.安全运维管理评估：对系统的安全运维管理进行评估，包括安全事件管理、
日志审计、漏洞管理等，以确保对系统进行有效的监控和管理。

5.物理环境评估：评估物理环境中的安全措施，包括设备布置、防火墙设置、
电力和环境监控等，以确保系统能在安全的物理环境下运行。

6.网络安全评估：评估系统的网络安全性，包括网络拓扑结构、入侵检测与防御、防火墙设置等，以确保系统在网络层面上的安全性。

7.安全培训与意识评估：评估系统用户的安全培训和安全意识程度，并提供相
应的培训和改进建议，以提高系统用户的安全防范意识。

以上是三级等保测评的主要服务内容，通过对系统的各个方面进行评估，可以
帮助企业或组织发现潜在的安全风险，并采取相应的措施进行改进和强化，以确保系统的安全性达到国家三级等级保护标准的要求。

等保三级技术服务质量要求一、概述等保三级技术服务质量要求是保障等保三级系统安全、稳定、可靠运行的重要标准。

本要求旨在确保等保三级系统在安全保护、安全检测、安全响应等方面的技术质量和服务质量达到国家相关标准。

二、技术质量要求 1. 安全管理要求：等保三级系统应建立完善的安全管理制度和安全组织架构，明确各级人员的安全职责，确保安全管理工作的有效实施。

2. 安全保护措施：等保三级系统应采用先进的加密技术、身份认证技术、访问控制技术等措施，确保系统安全。

3. 安全检测与响应：等保三级系统应具备实时安全检测和响应能力，及时发现和处置安全威胁和攻击行为。

4. 网络安全设备配置：等保三级系统应配备合适的网络安全设备，如防火墙、入侵检测系统、网络隔离设备等，确保网络安全。

5. 系统架构与数据保护：等保三级系统应采用合理的系统架构和数据备份策略，确保数据安全和系统稳定性。

三、服务质量要求 1. 服务响应时间：技术服务团队应提供及时、高效的响应服务，确保问题能够得到及时解决。

2. 服务支持文档：技术服务团队应提供全面、准确的技术支持文档，方便用户使用和管理系统。

3. 服务沟通与协调：技术服务团队应与用户保持良好沟通，及时了解用户需求，协调各方资源，确保服务质量。

4. 服务周期与持续改进：技术服务团队应制定合理的服务周期，并不断优化服务流程和技术手段，提高服务质量。

四、保障措施为确保等保三级技术服务质量要求得到有效落实，应采取以下保障措施：1. 建立健全管理制度和流程，明确责任分工和工作流程。

2. 加强培训和演练，提高技术人员的技术水平和应急处置能力。

3. 定期进行安全评估和风险排查，及时发现和处置安全威胁和攻击行为。

4. 建立完善的用户反馈机制，及时收集和处理用户意见和建议，不断改进服务质量。

5. 加强与第三方服务提供商的合作，确保服务质量和技术水平达到国家相关标准。

总之，等保三级技术服务质量要求是保障等保三级系统安全、稳定、可靠运行的重要标准。