當前位置:法律諮詢服務網 - 企業資訊 - 等三級保護不做異地備份可以嗎?

等三級保護不做異地備份可以嗎?

可以,但是三級保險只是降低了風險,並沒有完全規避風險。所以要不要異地做個備份,自己看看。平等保護的全稱是信息安全等級保護。壹般做壹級保險的企業都是為了降低信息安全風險,提高信息系統的安全防護能力,或者滿足國家相關法律法規和制度的要求,合理規避和降低風險。在我國,信息安全等級保護分為五級,其中三級認證不易獲得。壹類和二類的技術要求包括物理、網絡、主機、應用、數據五個方面。

1.物理安全:

機房應分為主機房和監控區兩部分。

機房應配備電子門禁系統、防盜報警系統和監控系統;

計算機房不應有窗戶,應配備專用氣體滅火和備用發電機;

2.網絡安全:

應繪制與當前操作壹致的拓撲圖;

交換機、防火墻等設備的配置要滿足要求,如Vlan劃分和Vlan的邏輯隔離、Qos流量控制策略、訪問控制策略、重要網絡設備和服務器的IP/MAC綁定等。

應配備網絡審計設備、入侵檢測或防禦設備;

交換機和防火墻的認證機制應滿足同等安全的要求,如用戶名和密碼的復雜性策略、登錄訪問失敗的處理機制、用戶角色和權限控制等。

網絡鏈路、核心網絡設備和安全設備需要提供冗余設計。

3.主機安全性:

服務器自身配置要符合要求,如身份認證機制、訪問控制機制、安全審計機制、防病毒等。如果需要,可以購買第三方主機和數據庫審計設備;

服務器(應用和數據庫服務器)要冗余,比如需要雙機熱備或者集群部署;

服務器和重要網絡設備在上線前需要進行漏洞掃描和評估,不能有中級以上的漏洞(如windows系統漏洞、apache等中間件漏洞、數據庫軟件漏洞、其他系統軟件和端口漏洞等。);

應配備專門的日誌服務器來保存主機和數據庫的審計日誌。

4.應用安全性:

應用程序本身的功能應滿足同等安全的要求,如身份認證機制、審計日誌、通信和存儲加密等。

應用部門應考慮部署網頁防篡改設備;

應用的安全評估(包括應用安全掃描、滲透測試和風險評估)應不存在中級和高級風險以上的漏洞(如SQL註入、跨站腳本、網站掛馬、網頁篡改、敏感信息泄露、弱密碼和密碼猜測、管理後臺漏洞);

應用系統生成的日誌應該保存在專用的日誌服務器上。

5.數據安全性:

應提供數據的本地備份機制,每天在本地備份,並在異地存儲;

如果系統中有核心關鍵數據,應提供遠程數據備份功能,通過網絡將數據傳輸到遠程地點進行備份;

  • 上一篇:2009年參加安徽二本征集誌願的院校有哪些(文史)
  • 下一篇:東北電力能源(遼寧)集團有限公司是國企嗎?
  • copyright 2024法律諮詢服務網