在《GBT 22240-2020 信息安全技术 网络安全等级保护定级指南》中规定:
第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或者特别严重损害,或者对社会秩序和公共利益造成损害,但不危害国家安全;
第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害。
从上可以看出,第三级更多的是影响社会秩序和公共利益,甚至是国家安全。所以保护措施更加的严格,从《GB∕T 22239-2019 信息安全技术网络安全等级保护基本要求》,三级更加关注以下几点:
1 在技术层面,更关注物理方面的安全性:
(1)在防盗和防破坏方面,机房防盗报警系统或专人值守视频监控系统。
(2)在防雷方面,设置防雷保安器或过压保护装置等。
(3)在防火方面,机房划区管理,区域和区域之间设置隔离防火措施。
(4)在防水和防潮方面,要求有对水敏感的检测仪表或元件,对机房进行防水检测和报警。
(5)在防静电方面,要求采用静电消除器、佩戴防静电手环等。
(6)在电力供应方面,设置冗余或并行的电力电缆线路;
(7)在电磁屏蔽方面,应对关键设备实施电磁屏蔽。
2 在技术层面,更加关注访问控制的管控;
(1)限制非法内联、非法外联,以及无线网络的使用;
(2)限制对进出网络的数据流实现基于应用协议和应用内容的访问。
(3)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
(4)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
3 在技术层面,更加关注网络攻击的主动防御;
(1)在关键网络节点检测、防止或限制从内、外部发起的网络攻击行为;
(2)采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。
(3)当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警;
(4)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。。
(5)垃圾邮件的检测和防护,并维护垃圾邮件防护机制的升级和更新
4 在技术层面,更加关注业务的连续性;
(1)高可用,业务处理能力和带宽需要满足业务高峰期的需要;
(2)冗余,包括关键设备(网络设备、计算设备)、线路的冗余等;
(3)备份,且异地备份;
5 在技术层面,更加关注数据的安全性,强调密码技术;
(1)传输和存储过程中需校验技术或密码技术来确保数据的完整性和保密性;
(2)身份鉴别过程中需要双因素来验证,其中一种鉴别技术应使用密码技术来实现;
6 在技术层面,更加关注安全管理和集中管控方面;
(1)安全管理中心,二级只有系统管理和审计管理方面;
(2)对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
(3)对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间为6个月;
(4)对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。
7 在管理层面,更加关注管理制度的体系化,并得到高层的支持;
(1)成立网络安全领导小组,其最高领导由单位主管领导担任或授权;
(2)形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系;
(3)配备专职安全管理员,不可兼任。