近日，中央網(wǎng)絡安全和信息化委員會辦公室、中央機構編制委員會辦公室、工業(yè)和信息化部、公安部制定并發(fā)布了《互聯(lián)網(wǎng)政務應用安全管理規(guī)定》，強調政務網(wǎng)站、互聯(lián)網(wǎng)電子郵件系統(tǒng)等互聯(lián)網(wǎng)政務應用，應當符合網(wǎng)絡安全等級保護第三級安全保護要求，保護網(wǎng)絡和數(shù)據(jù)安全。那么等保三級是什么？等保三級要求有哪些？GB/T 22240-2020《信息安全技術 網(wǎng)絡安全等級保護定級指南》、GB/T 22239-2019《信息安全技術 網(wǎng)絡安全等級保護基本要求》分別定義了等保三級、提出了等保三級基本要求，以下是相關內容。

等保三級是什么？

GB/T 22240-2020《信息安全技術 網(wǎng)絡安全等級保護定級指南》中對網(wǎng)絡安全等級保護分成了五級，其中對等保三級是這樣描述的：

• 第三級，等級保護對象受到破壞后，會對社會秩序和公共利益造成嚴重危害，或者對國家安全。

等保三級要求有哪些？

GB/T 22239-2019《信息安全技術 網(wǎng)絡安全等級保護基本要求》分別從通用要求、云計算、移動互聯(lián)、物聯(lián)網(wǎng)以及工業(yè)控制等多個方面羅列了等保三級安全要求，都強調了需要實施安全通信網(wǎng)絡、訪問控制、入侵防范、安全審計、身份鑒別、數(shù)據(jù)完整性和保密性、數(shù)據(jù)備份恢復等策略，以下是部分主要內容：

• 應提供通信線路、關鍵網(wǎng)絡設備和關鍵計算設備的硬件余，保證系統(tǒng)的可用性。
• 應采用校驗技術或密碼技術保證通信過程中數(shù)據(jù)的完整性。
• 應采用密碼技術保證通信過程中數(shù)據(jù)的保密性。
• 可基于可信根對通信設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和通信應用程序等進行可信驗證，并在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。
• 應能夠對非授權設備私自聯(lián)到內部網(wǎng)絡的行為進行檢查或限制。
• 應能夠對內部用戶非授權聯(lián)到外部網(wǎng)絡的行為進行檢查或限制；應限制無線網(wǎng)絡的使用，保證無線網(wǎng)絡通過受控的邊界設備接入內部網(wǎng)絡。
• 應在關鍵網(wǎng)絡節(jié)點處檢測、防止或限制從內/外部發(fā)起的網(wǎng)絡攻擊行為。
• 應采取技術措施對網(wǎng)絡行為進行分析，實現(xiàn)對網(wǎng)絡攻擊特別是新型網(wǎng)絡攻擊行為的分析當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。
• 應在關鍵網(wǎng)絡節(jié)點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新。
• 應在關鍵網(wǎng)絡節(jié)點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新。
• 應能對遠程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進行行為審計和數(shù)據(jù)分析。
• 應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)。
• 應形成由安全策略、管理制度、操作規(guī)程、記錄表單等構成的全面的安全管理制度體系。
• 應針對不同崗位制定不同的培訓計劃，對安全基礎知識、崗位操作規(guī)程等進行培訓。

備注：這里僅羅列了等保三級部分重要要求，詳細內容可參考GB/T 22239-2019《信息安全技術 網(wǎng)絡安全等級保護基本要求》

參考資料：GB/T 22240-2020《信息安全技術 網(wǎng)絡安全等級保護定級指南》、GB/T 22239-2019《信息安全技術 網(wǎng)絡安全等級保護基本要求》

相關閱讀：
等保三級合規(guī)要求：全站HTTPS安全升級將成必然
二級等保需要什么樣的SSL證書?