等保3级要求

背景

由于政策的要求，我们的应用系统需要过信息系统安全等级保护第三级（简称三级等保）。在编写本文时，我们的三级等保已经通过，所以本文是对三级等保测评的一次总结。分享给大家，希望能够帮助有需要的人。

我们的应用系统是基于阿里云部署的，阿里云作为云平台，本身通过了三级等保测评。所以与阿里云相关（物理安全、中间件安全）的测评都不需要重复进行，只需要提供阿里云的三级等保测评报告就可以。因此我们的三级等保测评可以转化为：阿里云三级等保报告+应用系统测评+安全管理规范三部分内容。本文着重对应用系统的测评要求进行描述。
一、应用系统测评要求
1、登录校验

使用账号+静态密码+4位验证码进行登录验证。
2、密码复杂度

八位以上，大小写+特殊字符+数字，加盐，采用两次md5加密。
3、密码更换

要求用户密码每3个月更换一次，更新的口令5次内不能重复。
4、登录失败策略

当日连续登录失败 5 次则锁定账户，第二天再登录。登录成功则清空失败次数。
5、退出

提供退出功能，由用户主动操作退出系统。
6、超时退出

提供超时退出功能，在指定的时间后，系统自动退出。
7、并发会话限制

对单个帐户的多重并发会话进行限制，禁止同一用户同时登录系统。
8、访问控制

对系统中的每个请求资源进行权限控制，只有用户该权限的用户才可以访问资源，禁止越权操作。
9、权限分离

信息系统根据业务需求划分不同角色(管理员、审计员、业务员)，应根据最小原则进行授权，对特权用户进行权限分离，实现各用户间形成相互制约关系，如录入与审核分离，操作与监督分离等。
10、数据有效性校验

在数据输入界面提供数据有效性检验功能。
11、审计功能

对系统的重要安全事件(包括用户登陆、用户注册、重要业务数据操作等行为)进行记录，形成审计日志。审计日志包括事件发生的日期和时间、触发事件的主体、事件的类型、事件成功或失败、事件请求的来源、事件的结果等，并提供导出功能。
审计日志由审计员进行操作，其他人员无法操作。禁止提供修改、删除审计日志的功能，禁止提供终端审计进程的功能。
12、HTTPS通信

采用HTTPS加密通信方式对数据通信完整性进行保护。
13、并发数控制

对应用系统的并发数进行限制，超出限制后应进行报警通知。
14、系统相关文档

需求说明文档、概要设计文档、详细设计文档、用户手册等。
15、安全防护

通过购买阿里云安全组件或者自主安装的方式实现安全防护。包括ECS服务器、负载均衡器、云数据库RDS、云堡垒机、WEB应用防火墙、云盾证书、clamav（防病毒）等。
二、安全管理规范

包含安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等。
————————————————
版权声明：本文为CSDN博主「志波同学」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/claram/article/details/101383130