三级等保要求配置文档-《物理环境》《网络通信》《区域边界》《计算环境》《管理中心》《管理制度》《运维管理》《硬件配置清单》

最新推荐文章于 2025-02-18 16:12:24 发布

原创

最新推荐文章于 2025-02-18 16:12:24 发布 · 7.7k 阅读

22 ·

CC 4.0 BY-SA版权

文章标签：

#运维 #系统安全 #安全

三级等保要求配置文档-简单配置文档-

制度里面大部分要需要自己下载文档提供给测评公司

一、安全物理环境要求

1. 物理位置得选择

机房场地应选择在具有防震、防风和防雨等能力的建筑内，机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。
1）应核查所在建筑物是否具有建筑物抗震设防审批文档；
2）应核査机房是否不存在雨水渗漏；
3）应核查门窗是否不存在因风导致的尘土严重；
4）应核査屋顶、墙体、门窗和地面等是否不存在破损开裂。

2. 物理访问控制

机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

3. 防盗窃和防破坏

1）应核查机房内设备或主要部件是否固定；
2）应核査机房内设备或主要部件上是否设置了明显且不易除去的标识，指贴标签；
3）应核査机房内通信线缆是否铺设在隐蔽安全处,如桥架中等；
4）应核査机房内是否配置防盗报警系统或专人值守的视频监控系统；
5）应核查防盗报警系统或视频监控系统是否启用。

4. 防雷击

1）应将各类机柜、设施和设备等通过接地系统安全接地；
2）应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。

5. 防火

1）机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火；
2）机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；
3）应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。

6. 防水和防潮

1）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；
2）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；
3）应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

7. 防静电

1）应采用防静电地板或地面并采用必要的接地防静电措施；
2）应采取措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等。

8. 温湿度控制

应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。
1）应核査机房内是否配备了专用空调；
2）应核查机房内温湿度是否在设备运行所允许的范围之内。

9. 电力供应

1）应在机房供电线路上配置稳压器和过电压防护设备；
2）应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求，配备UPS等后备电源系统，UPS等后备电源系统是否满足设备在断电情况下的正常运行要求；
3）应设置冗余或并行的电力电缆线路为计算机系统供电；
4）应提供应急供电设施，建议配备柴油发电机，应急供电车等备用发电设备，有条件可以提供。

10. 电磁防护

1）电源线和通信线缆应隔离铺设，避免互相干扰；
2）应对关键设备实施电磁屏蔽。

二、安全通信网络

1. 网络架构

1）保证网络设备的业务处理能力满足业务高峰期需要；
查看网络设备得CPU使用率和内存使用率是否满足要求，主要查看防火墙的性能，一般防火墙的可以直接界面查看。
交换机查看：display cpu-usage 和display memory-usage
宕机查看使用：display version 防火墙查看上线时间。

满足性能查看年或者月周期的性能周期表。

2）应保证网络各个部分的带宽满足业务高峰期需要；
查看防火墙月和周，年的网络性能图，只要没有100%，满足要求
3）应划分不同的网络区域；
并按照方便管理和控制的原则为各网络区域分配地址，根据重要性、部门等因素划分不同的网络区域
业务网络和办公网络分配不同的vlan和网段。
交换机上使用：dis vlan 查看各个区域vlan
dis ip inter br 查看网段信息

4）应避免将重要网络区域部署在边界处；
重要网络区域与其他网络区域之间应采取可靠的技术隔离手段，网络拓扑图要与实际网络运行环境一致，重要网络区域不能部署在网络边界处，要网络区域与其他网络区域之间采取可靠的技术隔离手段，如网闸、防火墙和设备访问控制列表（ACL）等
dis acl all查看网络隔离信息。
5）拓扑图示例；
跟实际网络运行环境一致，区域划分，设备名称和IP地址要标注。

6）网络设备、安全设备和关键计算设备的硬件冗余（主备或双活等）和通信线路冗余
主要网络和安全设备要做双机热备，硬件服务器核心业务要做热备，通信线路要热备是最基本的系统保障。
网络设备是：核心交换机堆叠或者vrrp
安全设备：防火墙双机，WAF双机，上网行为管理双机等。
硬件服务器：做集群
出口：至少两条运营商线路。

2. 通信传输

数据传输过程中使用校验技术和密码技术来保证其完整性
1）网站使用SSL证书，HTTP改为HTTPS访问，远程办公人员使用SSL VPN连接内部网络等。

3. 可信验证

可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心
PASS

三、安全区域边界

1. 边界防护

1）网络边界出口部署访问控制设备-防火墙
2）跨越边界的访问和数据流通过边界设备提供的受控接口进行通信-防火墙只允许指定的业务端口通信，指DNAT映射。只允许指定的业务终端和管理终端访问互联网，指SNAT。拒绝所有未指定的端口和终端内外互连。每条DNAT和SNAT要写好明细，一定是有效的策略。
3）非授权设备私自联到内部网络的行为进行检查或限制，有条件要做802.1x，它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。.
4）采用技术措施