哈尔滨三级等保认证的几个关键点
文章来源:hljdengbao.com
三级等保证认证是国家对非银行机构的最高级认证,是安全标志保护级,是国家信息安全监管部门监督、检查、认证的监管级别。今天,陆陆为大家介绍下三级等保证认证的七个关键点。
1.身份验证
身份验证需要确保所有网络安全设备、服务器设备以及应用业务系统等关键设备和业务系统都没有弱密码、空密码账户登录。
2.访问控制
当应用系统的访问控制功能缺失时,用户无法按照设计策略控制系统功能和数据的访问,系统访问策略存在缺陷,导致未经授权访问系统功能模块或查看其他用户数据。
3.安全审计
当应用系统(包括前端系统和后端管理系统)没有日志审计功能,无法审计用户重要行为或追溯时间时,可以判定为高风险。
针对这种情况,建议对网络边界和重要网络节点进行安全审计。审计要覆盖每一个用户,审计重要的用户行为和重要的安全事件。
4.入侵预防
遵循最小安装原则,只安装需要的组件和应用,关闭不必要的系统服务、默认共享和高危端口。
通过设置终端管理终端,通过设置终端访问模式或网络地址范围。提供数据有效性检查功能,确保人机界面或通过通信接口输入的内容符合系统设置要求。
5.恶意防范
应采取技术措施或主动免疫可信验证机制,及时识别入侵和病毒行为,做到及时有效。如果是相对封闭的网络,比如工控系统,就需要安装白名单软件,防止恶意代码。
6.数据完整性
以及重要数据在传输和存储过程中的完整性,包括但不限于身份数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息。
7.数据保密性
应采用密码技术确保重要数据在传输和存储过程中的机密性,包括但不限于认证数据、、重要业务数据和重要个人信息等。可以通过VPN建立加密隧道,保证数据传输的机密性。
如需等保测评服务,可后台私信联系。陆陆信息科技,整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,高效通过等保测评,落实网络安全等级保护工作。