三级等保，三级安全等级保护，网站安全，网络安全-北软科技三级等保
新闻媒体News
05/0204/1804/1304/0603/3003/2303/1103/0703/04
新闻资讯News
05/0404/2004/1104/0503/2803/1403/0903/0202/23
中央及省政府发文指导各单位、各部门和各级公安机关要切实加强对互联网安全专项整治行动的组织领导，加强人员、经费和技术装备投入。要落实国家信息安全等级保护制度，为响应中央号召，黑龙江省公安厅、黑龙江省网信办、黑龙江省编办、黑龙江省通信管理局联合发布了《关于印发〈黑龙江省党政机关、事业单位和国有企业互联网网站安全专项整治行动方案〉的通知》，黑龙江三级安全等级保护，哈尔滨三级安全等级保护，全面开展深层次的网站技术检测，查找堵塞网站安全漏洞和隐患。
国办函〔号显示，全国政府网站总体合格率为90.8%。其中，省部级政府门户网站合格率为100%，
市、县级政府门户网站合格率超过95%，其他政府网站合格率达到80%以上。从地域上看，北京、上海、浙江、湖南
等地政府网站合格率超过95%，山西、辽宁、黑龙江、云南、西藏、青海、宁夏、新疆等地和新疆生产建设兵团政
府网站合格率低于85%。 各地已发现网站被篡改产生不良影响，三级等保迫在眉睫
哈尔滨北软科技开发有限公司积极配合党政机关、事业单位和国有企业的完成网站安全保护责任，并按照国家网络
安全法律政策和信息安全等级保护制度要求，建立并落实安全管理制度和责任追究制度，建设安全防护技术措施，
加强网站安全监测、测评和检查，查找网站安全隐患并及时整改，落实网站防攻击、防篡改、防挂马等关键技术防范措施，组织开展应急演练，提高网站抵御攻击破坏的能力，实现黑龙江三级等保,哈尔滨政府网三级等保。
为党政机关、事业单位和国有企业新建的网站同步落实安全保护施，满足黑龙江三级等保,哈尔滨政府网三级等保的安全保护要求。
目前政府网站建设符合“黑公信安[2015]10号”文件的标准，需要投入各种安全设备20余台套，需要占用大量资金和维护费用，为节省三级等保的建设费用，满足个单位的需求我们在黑龙江省哈尔滨市搭建了“党政机关、
事业单位和国有企业互联网网站托管平台”，该平台符合“黑公信安[2015]10号”文件的标准，并且通过相关评测
（评测结果见《安全服务方案》），政府网站托管于该平台可以地极大地节省了用户独自建设平台的成本。
本方案重点参考以下的的政策和标准：
中办[2003]27号文件（关于转发《国家信息化领导小组关于 加强信息安全保障工作的意见》的通知）
公通字[2004]66号文件（关于印发《信息安全等级保护工作的实施意见》的通知）
公通字[2007]43号文件（关于印发《信息安全等级保护管理办法》的通知）
计算机信息系统安全保护等级划分准则
GB/T aaaaa-xxxx 信息安全技术 信息系统安全等级保护实施指南
信息安全技术 信息系统安全保护等级定级指南
信息安全技术 信息系统安全等级保护基本要求
信息安全技术 网络基础安全技术要求
信息安全技术 信息系统通用安全技术要求
信息安全技术 操作系统安全技术要求
信息安全技术 数据库管理系统通用安全技术要求
GA/T671-2006 信息安全技术 终端计算机系统安全等级技术要求
GA/T 709-2007 信息安全技术 信息系统安全等级保护基本模型
信息安全技术 党政机关网站系统安全等级保护基本要求（报批稿）
信息安全技术 信息系统安全等级保护基本要求ISO/IEC 27001 信息系统安全管理体系标准
网站联系邮箱：
联系人：安经理
客服电话：
公司地址：哈尔滨市南岗区复华三道街副1-1号你的网络安全吗？能达到等保三级吗?——关于等级保护的三个必备知识
信息系统处理能力和连接能力在不断的提高。同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。
如何才能保证网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断，需要做到保证网络的物理安全，保证网络拓扑结构和系统的安全。
以下内容由主要来自社区专家doc在交流活动“你的网络安全吗？能达到等保三级吗?”中的分享
一．如何才能保证网络的物理安全？
物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故(如电磁污染等〉及人为操作失误或错误及各种计算机犯罪行为导致的破坏。物理安全是整个计算机信息系统安全的前提。为了获得完全的保护，物理安全措施是计算系统中必需的。
物理安全主要包括三个方面：场地安全(环境安全):是指系统所在环境的安全，主要是场地与机房；设备安全:主要指设备的防盗、防毁、防电磁信息辐射、泄露、防止线路截获、抗电磁干扰及电源保护等)；介质安全（媒体安全）:包括媒体的数据的安全及媒体本身的安全。
1.场地安全
为了有效合理地对计算机机房进行保护，应对计算机机房划分出不同的安全等级，把应地提供不同的安全保护措施，根据GB，计算机机房的安全等级分为A类、B类、C类三个基本类别。
A级机房:对计算机机房的安全有严格的要求，有完善的计算机计算机安全措施，具有最高的安全性和可靠性。
B级机房:对计算机机房的安全有严格的要求，有较完善的计算机计算机安全措施，安全性和可靠性介于A、C级之间。
C级机房:对计算机机房的安全有基本的要求，有基本的计算机计算机安全措施，C级机房具有最低限度的安全性和可靠性。
在实际的应用中，可根据使用的具体情况进行机房等级的设置，同一机房也可以对不同的设备(如电源、主机)设置不同的级别。
2.设备安全
设备安全包括设备的防盗和防毁，防止电磁信息泄露，前止线路截获、抗电磁干扰一级电源的保护。其主要内容包括:
(1)设备防盗。
可以使用一定的防盗手段(如移动报警器、数字探测报警和部件上锁〉保护计算机系统设备和部件，以提高计算机信息系统设备和部件的安全性。
(2)设备防毁
一是对抗自然力的破坏，如使用接地保护等措施保护计算机信息系统设备和部件。二是对抗人为的破坏，如使用防砸外壳等措施。
(3)防止电磁信息泄露
为防止计算机信息系统中的电磁信息油露，提高系统内敏感信息的安全性，通常使用防止电磁信息泄露的各种涂料、材料和设备等。
(4)防止线路截获
主要防止对计算机信息系统通信线路的截获与干扰。重要技术可归纳为4 个方面:预防线路截获(使线路截获设备无法正常工作);扫描线路截获(发现线路截获并报警);定位线路截获(发现线路截获设备工作的位置);对抗线路截获(阻止线路截获设备的有效使用)。
(5)抗电磁干扰
防止对计算机信息系统的电磁干扰，从而保护系统内部的信息。
(6)电源保护
计算机信息系统设备的可靠运行提供能源保障，可归纳为两个方面:对工作电源的工作连续性的保护(如使用不间断电源)和对工作电源的工作稳定性的保护。
3.介质安全
介质安全是指介质数据和介质本身的安全。介质安全目的是保护存储在介质上的信患。包括介质的前盗:介质的防毁，如防霉和防砸等。
介质数据的安全是指对介质数据的保护。介质数据的安全删除和介质的安全销毁是为了前止被删除或销毁的敏感数据被他人恢复。包括介质数据的防盗(如防止介质数据被非法复制);介质数据的销毁，包括介质的物理销毁(如介质粉碎等)和介质数据的彻底销毁(如消磁等)，防止介质数据删除或销毁后被他人恢复而准露信息:介质数据的防毁，防止意外或故意的破坏使介质数据丢失。
二．如何保证网络拓朴结构和系统的安全？
网络安全系统主要依靠防火墙、网络防病毒系统等技术在网络层构筑一道安全屏障，并通过把不同的产品集成在同一个安全管理平台上实现网络层的统一、集中的安全管理。
网络层安全平台
选择网络层安全平台时主要考虑这个安全平台能否与其他相关的网络安全产品集成，能否对这些安全产品进行统一的管理，包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。
一个完善的网络安全平台至少需要部署以下产品：
防火墙、网络的安全核心提供边界安全防护和访问权限控制；
网络防病毒系统、杜绝病毒传播提供全网同步的病毒更新和策略设置提供全网杀毒。
安全网络拓扑结构划分
防火墙主要是防范不同网段之间的攻击和非法访问。由于攻击的对象主要是各类计算机，所以要科学地划分计算机的类别来细化安全设计。在整个内网当中，根据用途可以将计算机划分为三类：内部使用的工作站与终端、对外提供服务的应用服务器?以及重要数据服务器。这三类计算机的作用不同，重要程度不同，安全需求也不同。
第一、重点保护各种应用服务器?特别是要保证数据库服务的代理服务器的绝对安全?不能允许用户直接访问。对应用服务器则要保证用户的访问是受到控制的要能够限制能够访问该服务器的用户范围使其只能通过指定的方式进行访问。
第二、数据服务器的安全性要大于对外提供多种服务的WWW服务器、E-mail服务器等应用服务器。所以数据库服务器在防火墙定义的规则上要严于其他服务器。
第三、内部网络有可能会对各种服务器和应用系统的直接的网络攻击，所以内部办公网络也需要和代理服务器、对外服务器、WWW、E-mail等隔离开。
第四、不能允许外网用户直接访问内部网络。
上述安全需求需要通过划分出安全的网络拓扑结构，并通过VLAN划分、安全路由器配置和防火墙网关的配置来控制不同网段之间的访问控制。划分网络拓扑结构时，一方面要保证网络的安全；另一方面不能对原有网络结构做太大的更改。为此建议采用以防火墙为核心的支持非军事化区的三网段安全网络拓扑结构。
三．关于等级保护及相关问题
为了提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术 信息系统通用安全技术要求》（GB/T）、《信息安全技术 网络基础安全技术要求》（GB/T）、《信息安全技术 操作系统安全技术要求》（GB/T）、《信息安全技术 数据库管理系统安全技术要求》（GB/T）、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。
1.如何去判断和定义自己的网络分级？
信息系统的安全保护等级分为以下五级：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全，比如一些企业的门户网站，中小企业的一些对外办公网站等等。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，如果涉及到科研成果，社会，国家等方面的系统。比如铁路网站，医保，社保等系统。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。
2.信息安全等级保护三级的认证流程有哪些？
认证流程是具有等保测评资质的公司（经过相关部门认可的）对要进行等保测评的单位进行定级并测评，测评后提出整改意见并对被测评单位进行整改，就是一个测评整改再测评再整改的过程，最终达到并通过测评，例如等保三级需要每年测评一次。
3.如何有效的利用等保分级来构建自己的安全网络环境?
等保分级是为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设的，依据等保分级的具体要求来对现有的网络进行调整，可以保障网络环境的安全，网络安全了数据才能安全。
4.关于三级等保的技术要求
技术要求，包括物理、网络、主机、应用、数据5个方面；
物理安全部分；
1、机房应区域划分至少分为主机房和监控区两个部分；
2、机房应配备电子门禁系统、防盗报警系统、监控系统；
3、机房不应该有窗户，应配备专用的气体灭火、ups供电系统；
网络安全部分；
1、应绘制与当前运行情况相符合的拓扑图；
2、交换机、防火墙等设备配置应符合要求，例如应进行Vlan划分并各Vlan逻辑隔离，应配置Qos流量控制策略，应配备访问控制策略，重要网络设备和服务器应进行IP/MAC绑定等；
3、应配备网络审计设备、入侵检测或防御设备。
4、交换机和防火墙的身份鉴别机制要满足等保要求，例如用户名密码复杂度策略，登录访问失败处理机制、用户角色和权限控制等；
5、网络链路、核心网络设备和安全设备，需要提供冗余性设计。
主机安全部分
1、服务器的自身配置应符合要求，例如身份鉴别机制、访问控制机制、安全审计机制、防病毒等，必要时可购买第三方的主机和数据库审计设备；
2、服务器（应用和数据库服务器）应具有冗余性，例如需要双机热备或集群部署等；
3、服务器和重要网络设备需要在上线前进行漏洞扫描评估，不应有中高级别以上的漏洞（例如windows系统漏洞、apache等中间件漏洞、数据库软件漏洞、其他系统软件及端口漏洞等）；
4、 应配备专用的日志服务器保存主机、数据库的审计日志。
应用安全部分
1、应用自身的功能应符合等保要求，例如身份鉴别机制、审计日志、通信和存储加密等；
2、应用处应考虑部署网页防篡改设备；
3、应用的安全评估（包括应用安全扫描、渗透测试及风险评估），应不存在中高级风险以上的漏洞（例如SQL注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞等）；
4、应用系统产生的日志应保存至专用的日志服务器。
数据安全备份
1、应提供数据的本地备份机制，每天备份至本地，且场外存放；
2、如系统中存在核心关键数据，应提供异地数据备份功能，通过网络等将数据传输至异地进行备份；
管理制度要求，应包括以下5方面的制度和记录：
1、安全管理制度
2、安全管理机构
3、人员安全管理
4、系统建设管理
5、系统运维管理
点击阅读原文可以进入社区安全主题，还有更多文章、资料及相关问答
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
今日搜狐热点当前位置： >>
等级保护实施FAQ
根据《公安机关信息安全等级保护检查工作规范》的规定，公安机关发现不符合信息安全等级保护有关管理规范和技术标准要求，具有违反《信息安全等级保护管理办法》相关规范情形的，应当通知其运营使用单位限期整改，并发送《信息系统安全等级保护限期整改通知书》。逾期不改正的，给予警告，并向其上级主管部门通报。反之，对于符合规范和标准要求的，公安机关对信息系统给予颁证认可，对于信息系统安全建设、改造情况优秀的运营、维护单位进行评级表彰。
具有下列情形之一的，公安机关通知其运营使用单位限期整改：
（一） 未按照《管理办法》开展信息系统定级工作的；
（二） 信息系统安全保护等级定级不准确的；
（三） 未按《管理办法》规定备案的；
（四） 备案材料与备案单位、备案系统不符合的；
（五） 未按要求及时提交《信息系统安全等级保护备案登记表》表四的有关内容的；
（六） 系统发生变化，安全保护等级未及时进行调整并重新备案的；
（七） 未按《管理办法》规定落实安全管理制度、技术措施的；
（八） 未按《管理办法》规定开展安全建设整改和安全技术测评的；
（九） 未按《管理办法》规定选择使用信息安全产品和测评机构的；
（十） 未定期开展自查的；
（十一） 违反《管理办法》其他规定的。
　　根据《信息安全等级保护管理办法》第十八条的规定，受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。检查内容主要包括信息系统安全等级保护定级备案情况，信息安全设施建设、整改情况，信息安全管理制度建立和落实情况，以及检查系统安全测评是否符合要求等事项。
　　根据《信息安全等级保护管理办法》第十四条规定，信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。目前上海市公安局等保办公室指定上海市信息安全测评认证中心为本市信息系统安全等级保护测评工作的主要测评实施单位。《信息安全等级保护管理办法》在第二十二条明确了对于等级保护测评机构的要求条件。
　　结合系统实际安全管理需要和技术建设内容，确定安全管理建设的范围和内容，同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑：安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。
系统改建方案设计的主要依据是安全需求分析的结果，和对信息系统目前保护措施与《基本要求》的差距的分析和评估。因而改建实施方案设计包括以下四个方面的内容：
一、确定系统改建的安全需求
二、差距原因分析
三、分类处理的改建措施。
四、改建措施详细设计。
对于信息系统目前保护措施与《基本要求》之间的差距，主要根据以下三个方面的分析评估：
1、根据确定的安全保护等级，参照前述的安全需求分析方法，确定本系统的总体安全需求，其中包括经过调整的等级保护基本要求和本单位的特殊安全需求。
2、由信息系统的运营使用单位自己组织人员或由第三方评估机构采用等级测评方法对信息系统安全保护现状与等级保护基本要求进行符合性评估，得到与相应等级要求的差距项。
3、针对满足特殊安全需求（包括采用高等级的控制措施和采用其它标准的要求的）的安全措施进行符合性评估，得到与满足特殊安全需求的差距项。
根据等级保护要求进行信息系统安全的设计是系统建设前必须完成的工作。设计分为总体安全设计和详细安全设计。总体设计指导全局，一般针对整个单位，详细设计指导具体项目的建设实施。具体系统保护方案设计的方法和实施步骤请参考《信息系统安全等级保护实施指南》内“总体安全设计”章节。
针对系统特殊安全需求，有两种解决方式：
第一种 选择《基本要求》中更高级别的安全要求达到本级别基本要求不能实现的安全保护能力。
第二种 参照《管理办法》第十二条和第十三条列出的等级保护的其它标准进行保护。
等级保护基本安全要求和特殊安全需求共同构成系统的总的安全需求。
明确系统特殊安全需求，特殊需求来自两个方面：
第一，等级保护相应等级的基本要求中某些方面的安全措施所达到的安全保护不能满足本单位信息系统的保护需求，需要更强的保护。
第二，由于信息系统的业务需求、应用模式具有特殊性，系统面临的威胁具有特殊性，基本要求没有提供所需要的保护措施，例如有关无线网络的接入和防护《基本要求》中没有提出专门的要求，需要作为特殊需求。
基本安全要求，其中包括三类基本要求
S类—业务信息安全保护类—关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。
A类—系统服务安全保护类—关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致系统不可用。
G类—通用安全保护类—既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。
例如，以S2表示2级的业务信息安全保护类要求，A3表示3级的系统服务安全保护类要求。
具体需求分析步骤：
第一步 根据其等级从《基本要求》中选择相应等级的基本安全要求。
第二步 根据定级过程中确定业务信息安全保护等级和系统服务安全保护等级，确定该信息系统的安全需求类。
第三步 根据系统所面临的威胁特点调整安全要求。
根据《信息安全等级保护管理办法》（公通字[2007]43号）第十五条规定运营、使用单位到所在地设区的市级以上公安机关办理备案手续。并且按照第十六条的规定，填写《信息系统安全等级保护备案表》，提供相关备案材料。
《信息系统安全等级保护实施指南》章节5.3.2“形成定级报告”中标定了“信息系统定级结果报告”需包括的主要内容。
通过《信息系统安全等级保护实施指南》第五章“信息系统定级”了解定级工作框架及主要内容。依据GB/T《信息系统安全等级保护定级指南》,信息系统运营维护单位从中了解等级保护定级原理、定级方法和等级变更等规范细节。
如果您有任何问题或疑问请拨打我们的销售热线河北等级保护测评，过等保测评就够了吗？_河北恒讯达信息科技有限公司
Picture information
Contact number
地址：河北省石家庄市裕华西路128号
乐活大厦B座20层
联系人：魏永红
& &&，过等保测评就够了吗？实行等级保护的总体目标是为了统一信息安全保护工作，推进规范化、法制化建设，保障安全，促进发展，完善我国信息安全法规和标准体系，提高我国信息安全和信息系统安全建设的整体水平；通过充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到对信息和信息系统重点保护和有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息安全和信息系统安全建设更加突出重点、统一规范、科学合理&。
& & &&等级保护测评工作必须开展
& & 《中华人民共和国网络安全法》（以下简称《网络安全法》）自日开始施行。其中，《网络安全法》第二十一条明确提出：国家实行网络安全等级保护制度。意味着企业不开展等级保护工作将变成违法行为。
& & 很多用户都表示在开展等级保护测评整改工作的过程中遇到了很多困难。
& & 某政府用户：按照要求过了等级保护测评，网络安全是不是没什么问题了？
& & 某高校用户：为了过等保加了很多安全设备，现在运维忙死了。过等保这么复杂吗？
& &&某医院用户：医院系统这么多，还经常变更，有时都忘了哪些加策略，哪些没加了。
& & 很多企业往往在落实等级保护测评制度时偏形式化，仅仅是为了过评测。落实之后并没有给平时的网络安全运维工作带来实质性的改变。甚至因为盲目添置了大量安全设备反而加重了自身安全工作。
& &最后，河北恒迅达信息科技有限公司作为专业机构建议大家，在落实等级保护制度的同时，不仅要思考如何满足相关规定要求，更要为如何提高安全运维工作效率方面多考虑一下。希望各位用户能及早通过等级保护测评，让业务系统安全稳定运行起来！