等级保护三级等保三级基本要求内容.docVIP

等级保护第三级基本要求

实施提议

残留问题

物理安全

物理位置选择（G3）

本项要求包含：

机房和办公场地应选择在具备防震、防风和防雨等能力建筑；

机房场地应防止设在建筑物高层或地下室，以及用水设备下层或隔壁。

通常选择在建筑物2-3层。（同B类安全机房选址要求。）

物理访问控制（G3）

本项要求包含：

机房出入口应安排专员值守，控制、判别和统计进入人员；

需进入机房来访人员应经过申请和审批流程，并限制和监控其活动围；

应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在主要区域前设置交付或安装等过渡区域；

主要区域应配置电子门禁系统，控制、判别和统计进入人员。

主要区域物理隔离，并安装电子门禁系统（天宇翱翔，微耕，瑞士KABA或德国KABAGallenschutz）

防偷窃和防破坏（G3）

本项要求包含：

应将主要设备放置在机房；

应将设备或主要部件进行固定，并设置显著不易除去标识；

使用机柜并在设备上焊接铭牌，标明设备型号、负责保管人员、维护单位等信息。（设备铭牌只能被破坏性地去除。）

应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；

应对介质分类标识，存放在介质库或档案室中；

应利用光、电等技术设置机房防盗报警系统；

机房安装光电防盗报警系统。

应对机房设置监控报警系统。

机房安装视频监控报警系统。

防雷击（G3）

本项要求包含：

机房建筑应设置避雷装置；

应设置防雷保安器，预防感应雷；

安装电源三级防雷器和信号二级防雷器（美国克雷太ALLTEC）。

机房应设置交流电源地线。

防火（G3）

本项要求包含：

机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；

安装有管网气体自动灭火系统。

机房及相关工作房间和辅助房应采取具备耐火等级建筑材料；

进行机房改造，使用防火材料装修。

机房应采取区域隔离防火方法，将主要设备与其余设备隔离开。

进行机房改造，主要区域使用防火玻璃隔断。

防水和防潮（G3）

本项要求包含：

水管安装，不得穿过机房屋顶和活动地板下；

应采取方法预防雨水经过机房窗户、屋顶和墙壁渗透；

应采取方法预防机房水蒸气结露和地下积水转移与渗透；

应安装对水敏感检测仪表或元件，对机房进行防水检测和报警。

安装机房动力环境监控系统（对机房设备运行状态、温度、湿度、洁净度、供电电压、电流、频率、配电系统开关状态、测漏系统等进行实时监控并统计历史数据），其中含漏水检测装置。

防静电（G3）

本项要求包含：

主要设备应采取必要接地防静电方法；

机房应采取防静电地板。

温湿度控制（G3）

机房应设置温、湿度自动调整设施，使机房温、湿度改变在设备运行所允许围之。

安装精密空调系统，配置温湿度检测装置，并接入动力环境监控系统。

电力供给（A3）

本项要求包含：

应在机房供电线路上配置稳压器和过电压防护设备；

配置线路稳压器和电源保护装置（如金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、电压调整变压器和浪涌滤波器）。

应提供短期备用电力供给，最少满足主要设备在断电情况下正常运行要求；

为主要设备配置UPS。

应设置冗余或并行电力电缆线路为计算机系统供电；

应建立备用供电系统。

提供备用供电系统，并依照对业务恢复时间要求，制订备用供电系统切换时间。

电磁防护（S3）

本项要求包含：

应采取接地方式预防外界电磁干扰和设备寄生耦合干扰；

电源线和通信线缆应隔离铺设，防止相互干扰；

应对关键设备和磁介质实施电磁屏蔽。

采取屏蔽机柜。

网络安全

结构安全（G3）

本项要求包含：

应确保主要网络设备业务处理能力具备冗余空间，满足业务高峰期需要；

应确保网络各个部分带宽满足业务高峰期需要；

应在业务终端与业务服务器之间进行路由控制建立安全访问路径；

应绘制与当前运行情况相符网络拓扑结构图；

应依照各部门工作职能、主要性和所包括信息主要程度等原因，划分不一样子网或网段，并按照方便管理和控制标准为各子网、网段分配地址段；

应防止将主要网段布署在网络边界处且直接连接外部信息系统，主要网段与其余网段之间采取可靠技术隔离伎俩；

主要网段与其余网段之间采取防火墙或网闸进行隔离。

应按照对业务服务主要次序来指定带宽分配优先级别，确保在网络发生拥堵时候优先保护主要主机。

在多个业务共用网络设备上配置QOS。

访问控制（G3）

本项要求包含：

应在网络边界布署访问控制设备，启用访问控制功效；

应能依照会话状态信息为数据流提供明确允许/拒绝访问能力，控制粒度为端口级；

应对进出网络信息容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级控制；

应在会话处于非活跃一定时间或会话结束后终止网络连接；

应限制网络最大流量数及网络连接数；

主要网段应采取技术伎俩预防地址坑骗；

应按用户和系统之间允许访问规则