三级等保体系是指:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
拓展资料:
等级保护标准体系
计算机信息系统安全等级保护标准体系包括:信息系统安全保护等级划分标准、等级设备标准、等级建设标准、等级管理标准等,是实行等级保护制度的重要基础。
第三级:安全标记保护级
本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。
自主访问控制
> 计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。
强制访问控制
> 计算机信息系统可信计算基对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足:仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别,主体才能读客体;仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含于客体安全级中的非等级类别,主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据,鉴别用户的身份,并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。
三级等保认证的具体程序包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
三级等保认证对于出借人的作用主要表现在两个方面。首先,通过该认证,用户信息安全能够得到有效保护,可以在统一安全策略下,防护系统免受来自外部有组织的团体发起的恶意攻击及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能较快恢复绝大部分功能。其次,如平台发生安全事故,有足够的应对能力快速恢复功能,从而保护出借人与借款人的信息安全。
在物理安全层面上,平台的机房需要具备防火、防潮甚至电磁防护能力等,同时具备灾后数据恢复能力。然而,取得三级等保认证需要付出的人力及资金成本是很大的,有些体量比较小的平台完全没有实力达成这些要求。此外,已取得认证的企业还需要每年年检,并接受相关部门的不定期抽查。
要取得三级等保认证需要具备完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度。具体来说,技术要求包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,管理要求包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
虽然三级等保认证是非银行机构最高级别的认证,但是也有一些人对其实际效果提出了质疑。一些人认为,该认证只是表明企业在信息安全方面具有一定的技术实力和管理水平,但并不能完全避免信息泄露和安全事故的发生。同时,该认证的取得需要付出巨大的人力和资金成本,对于一些小型企业来说,可能并不切实际。
总的来说,三级等保认证是中国国家等级保护认证中的最高级别认证,该认证具有严格的技术要求和管理要求,能够有效保护用户信息安全,但是取得该认证需要付出巨大的人力和资金成本,对于一些小型企业来说可能并不切实际。此外,该认证也并不能完全避免信息泄露和安全事故的发生。
如需等保测评服务,可后台私信联系。陆陆信息科技,整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,高效通过等保测评,落实网络安全等级保护工作。