¿Qué es el sistema de seguro de tres niveles?
¿Cuál es el contenido de tercer nivel a asegurar? ¿Cuáles son los tres niveles de seguro?
Este es un artículo sobre Seguros de Nivel 3. Su objetivo es presentar el concepto, contenido y alcance de los Seguros de Nivel 3, así como también cómo aprobar la certificación de Seguros de Nivel 3. El estilo del artículo es profesional y objetivo, la estructura de las oraciones y los párrafos es diversa y las palabras clave y las oraciones están en negrita.
El concepto de tres niveles de seguro igual
La protección igual de tres niveles se refiere al tercer nivel en el sistema de protección del nivel de seguridad de la red y es el nivel más alto de certificación de protección para empresas nacionales no -instituciones bancarias. El "Sistema de protección del nivel de seguridad de la red" es un documento guía importante para la protección del nivel de seguridad de la información nacional de mi país, que se utiliza para estandarizar la protección de la seguridad de la red. Con base en la importancia y los riesgos de seguridad de los sistemas de información, mi país divide la protección de la seguridad de la red en cinco niveles, desde el nivel uno hasta el nivel cinco. Cuanto mayor sea el nivel, más estrictos serán los requisitos. Entre ellos, el primer y segundo nivel son niveles de protección independientes, el tercer nivel es un nivel de protección de supervisión y el cuarto y quinto nivel son niveles de protección obligatorios.
Los sistemas de información de Categoría I y III se refieren a sistemas de información que han sido clasificados, archivados y determinados como Categoría III. La destrucción de este tipo de sistema de información perjudicará la seguridad nacional y es generalmente aplicable a sistemas importantes de unidades municipales y portales de comisiones y ministerios provinciales. Pasar la certificación "Seguro Nivel III" indica que las capacidades de gestión de seguridad de la información de la empresa han alcanzado los más altos estándares nacionales.
Contenidos del seguro de tercer nivel.
El contenido del seguro de tercer nivel incluye principalmente requisitos técnicos y requisitos de gestión.
Los requisitos técnicos se refieren a los estándares y especificaciones técnicas de seguridad que deben cumplir los sistemas de información en cinco aspectos: física, red, host, aplicación y datos. Los detalles son los siguientes:
Seguridad física: La sala de computación debe dividirse en dos partes: la sala de computación principal y el área de monitoreo. La sala de computadoras debe estar equipada con un sistema de control de acceso electrónico, un sistema de alarma antirrobo y un sistema de monitoreo. La sala de computadoras no debe tener ventanas y debe estar equipada con extintores de gas especiales y generadores de respaldo;
Red; seguridad: Dibuje una topología consistente con las operaciones actuales Figura; La configuración de conmutadores, firewalls y otros equipos debe cumplir con los requisitos, como la división de Vlan y el aislamiento lógico de Vlan, la política de control de tráfico Qos, la política de control de acceso y la vinculación IP/MAC de redes importantes. dispositivos y servidores, etc. Se deben equipar equipos de auditoría de red y equipos de detección o prevención de intrusiones; los mecanismos de autenticación de conmutadores y cortafuegos deben cumplir los mismos requisitos de seguridad, como políticas de complejidad de nombres de usuario y contraseñas, mecanismos de manejo de fallas de acceso al inicio de sesión, roles de usuario y control de permisos, etc. Los enlaces de red, los equipos de red central y los dispositivos de seguridad deben diseñarse para proporcionar redundancia.
Seguridad del host: La propia configuración del servidor debe cumplir con los requisitos, como mecanismo de autenticación de identidad, mecanismo de control de acceso, mecanismo de auditoría de seguridad, antivirus, etc. Si es necesario, puede comprar equipos de auditoría de bases de datos y host de terceros; los servidores (servidores de aplicaciones y bases de datos) deben ser redundantes, como la copia de seguridad en caliente de dos máquinas o la implementación de clústeres y los equipos de red importantes deben escanearse y evaluarse las vulnerabilidades antes; conectarse Hay vulnerabilidades de nivel intermedio o superior (como vulnerabilidades del sistema Windows, vulnerabilidades de middleware como Apache, vulnerabilidades del software de la base de datos, otras vulnerabilidades del software y del puerto del sistema, etc.); registros del host y la base de datos.
Seguridad de la aplicación: las funciones de la aplicación en sí deben cumplir con los mismos requisitos de seguridad, como mecanismos de autenticación de identidad, registros de auditoría, cifrado de comunicación y almacenamiento, etc., el departamento de aplicaciones debería considerar implementar anti-páginas web; equipo de manipulación de la seguridad de la aplicación (incluido el escaneo de seguridad de la aplicación, las pruebas de penetración y la evaluación de riesgos) no debe haber vulnerabilidades por encima del riesgo medio y alto (como inyección SQL, secuencias de comandos entre sitios, troyanos de sitios web, manipulación de páginas web, fuga de información confidencial, contraseñas débiles y adivinación de contraseñas, vulnerabilidades de gestión en segundo plano); los registros generados por el sistema de la aplicación deben almacenarse en un servidor de registro dedicado.
Seguridad de los datos: se debe proporcionar un mecanismo de copia de seguridad local para los datos, del cual se debe realizar una copia de seguridad local todos los días y almacenarse fuera del sitio, si hay datos críticos centrales en el sistema, una función de copia de seguridad de datos remota; debe proporcionarse para transmitir los datos a la copia de seguridad en una ubicación remota;
Los requisitos de gestión se refieren a las especificaciones y medidas de gestión de seguridad que los sistemas de información deben cumplir en cinco aspectos: sistema de gestión de seguridad, organización de gestión de seguridad, personal gestión de seguridad, gestión de construcción de sistemas y gestión de operación y mantenimiento de sistemas. Los detalles son los siguientes:
Sistema de gestión de seguridad: se debe desarrollar e implementar un sistema de gestión de seguridad que cumpla con requisitos de seguridad equivalentes, incluidos, entre otros, reglamentos de gestión de seguridad del sistema de información, cartas de responsabilidad de seguridad del sistema de información, sistema de información. Normas de manejo de incidentes de seguridad, Normas de auditoría de seguridad de sistemas de información, Normas de inspección de seguridad de sistemas de información, etc.
Organización de gestión de seguridad: se debe establecer y mejorar una organización sólida de gestión de seguridad que cumpla con los requisitos de seguridad de Nivel I, incluidos, entre otros, el comité de seguridad del sistema de información, la oficina de seguridad del sistema de información, el administrador de seguridad del sistema de información, etc. .
Gestión de la seguridad del personal: realizar verificaciones de antecedentes y evaluaciones de capacitación para el personal involucrado en la operación y el mantenimiento del sistema de información, firmar acuerdos de confidencialidad, implementar la autorización jerárquica y el principio de autoridad mínima, llevar a cabo capacitación comercial y de habilidades periódica, y establecer un sistema de renuncia y traspaso de personal;
Gestión de la construcción del sistema: de acuerdo con los requisitos de garantía de calidad, analizar, diseñar, desarrollar, probar, aceptar y poner en producción el sistema de información para garantizar que el sistema de información cumpla las normas y especificaciones técnicas correspondientes en cada etapa;
p>
Gestión de operación y mantenimiento del sistema: La operación y mantenimiento diario del sistema de información debe realizarse de acuerdo con los requisitos de aseguramiento de calidad, incluidos, entre otros, escaneo y reparación regulares de vulnerabilidades, protección y eliminación de códigos maliciosos, copia de seguridad y recuperación de datos, auditoría y análisis de registros, manejo e informes de incidentes de seguridad, etc.
El alcance del seguro de nivel 3 para la igualdad
El alcance del seguro de nivel 3 cubre muchos campos, como la infraestructura nacional de información clave, la industria financiera, la industria energética, la industria del transporte y la industria médica y industria de la salud. Los detalles son los siguientes:
Infraestructura de información crítica nacional: se refiere a instalaciones de red y sistemas de información que brindan servicios de apoyo para actividades políticas, económicas y sociales nacionales. Los daños o la pérdida de funciones pondrán en grave peligro la seguridad nacional y la economía nacional. y el sustento de las personas o los intereses públicos. Como infraestructura de redes de telecomunicaciones, infraestructura de redes de radio y televisión, infraestructura de Internet, etc.
Industria financiera: se refiere a diversas instituciones financieras y unidades relacionadas que se dedican a la gestión de la emisión y circulación de moneda, la supervisión y los servicios financieros, las transacciones y la liquidación del mercado financiero. Por ejemplo, instituciones financieras bancarias (incluidos los bancos de pólizas), instituciones financieras de valores y futuros (incluidas compañías de valores, compañías de futuros, bolsas de valores, bolsas de futuros, etc.), instituciones financieras de seguros (incluidas compañías de seguros, compañías de gestión de activos de seguros, intermediarios de seguros). , etc.), instituciones de pago no bancarias, instituciones financieras de Internet, etc.
Industria energética: se refiere a diversas empresas eléctricas y unidades relacionadas que se dedican a la producción, transmisión y distribución de energía, despacho de energía, transacciones en el mercado de energía y otras actividades. Por ejemplo, empresas de generación de energía, empresas de transmisión y distribución de energía, centros de control de despacho, centros de operación de mercados, etc.
Industria del transporte: se refiere a diversas empresas de transporte y unidades relacionadas que se dedican a diversos servicios de transporte, como carreteras, ferrocarriles, vías navegables y aviación. Por ejemplo, empresas de transporte por carretera, empresas de transporte ferroviario, empresas de transporte acuático, empresas de transporte aéreo, unidades de gestión portuaria, unidades de gestión aeroportuaria, etc.
Industria médica y de la salud: se refiere a diversas instituciones médicas y de salud y unidades afines dedicadas a servicios médicos, servicios de salud pública y servicios de supervisión médica. Por ejemplo, hospitales, centros de salud, Centros para el Control y la Prevención de Enfermedades y la Administración de Alimentos y Medicamentos.
Si necesitas servicios de ajuste de seguros, puedes enviar un mensaje privado en segundo plano. LuLu Information Technology integra las ventajas técnicas de los productos de seguridad en la nube y combina recursos de cooperación de evaluación de seguridad y consultoría de seguridad de alta calidad para brindar servicios integrales para proyectos de seguridad, cubriendo de manera integral las fases de nivel de seguridad, archivo, rectificación de construcción y evaluación, y aprobando ellos de manera eficiente Evaluación de seguridad de clase e implementación del trabajo de protección del nivel de seguridad de la red.