一��、網絡貨運平臺三級等保申請條件
網絡貨運平臺要申請三級等保證明����,在系統技術方面需要滿足物理安全����、網絡安全、主機安全��、應用安全�����、數據安全等五個方面的要求才能通過��。
(一)物理安全
1��、機房應區域劃分至少分為主機房和監控區兩個部分;
2��、機房應配備電子門禁系統����、防盜報警系統、監控系統����;
3、機房不應該有窗戶,應配備專用的氣體滅火、ups供電系統。
(二)網絡安全
1�����、應繪制與當前運行情況相符合的拓撲圖��;
2�、交換機�、防火墻等設備配置應符合要求,例如應進行Vlan劃分并各Vlan邏輯隔離,應配置Qos流量控制策略�����,應配備訪問控制策略�����,重要網絡設備和服務器應進行IP/MAC綁定等�����;
3、應配備網絡審計設備、入侵檢測或防御設備�;
4�、交換機和防火墻的身份鑒別機制要滿足等保要求���,例如用戶名密碼復雜度策略�、登錄訪問失敗處理機制、用戶角色和權限控制等;
5�����、網絡鏈路�����、核心網絡設備和安全設備,需要提供冗余性設計����。
(三)主機安全
1�����、服務器的自身配置應符合要求,例如身份鑒別機制���、訪問控制機制、安全審計機制�����、防病毒等���;
2��、服務器(應用和數據庫服務器)應具有冗余性���,例如需要雙機熱備或集群部署等���;
3���、服務器和重要網絡設備需要在上線前進行漏洞掃描評估����,不應有中高級別以上的漏洞(例如windows系統漏洞、apache等中間件漏洞���、數據庫軟件漏洞�����、其他系統軟件及端口漏洞等)�����;
4、應配備專用的日志服務器保存主機��、數據庫的審計日志��。
(四)應用安全
1����、應用自身的功能應符合等保要求���,例如身份鑒別機制���、審計日志�、通信和存儲加密等;
2����、應用處應考慮部署網頁防篡改設備��;
3、應用的安全評估(包括應用安全掃描�、滲透測試及風險評估)�����,應不存在中高級風險以上的漏洞(例如SQL注入�、跨站腳本、網站掛馬、網頁篡改����、敏感信息泄露���、弱口令和口令猜測����、管理后臺漏洞等)�;
4、應用系統產生的日志應保存至專用的日志服務器。
(五)數據安全
1���、應提供數據的本地備份機制,每天備份至本地,且場外存放����;
2����、如系統中存在核心關鍵數據���,應提供異地數據備份功能�����,通過網絡等將數據傳輸至異地進行備份�;
二�、網絡貨運平臺三級等保申請材料
1、填寫《信息系統安全等級保護備案表》,紙質材料,一式兩份;包括:單位基本情況、信息系統情況��、信息系統定級情況和第三級以上信息系統提交材料情況�。第二級以上信息系統備案時需提交備案表中的表一、二、三����;第三級以上信息系統還應當在系統整改��、測評完成后30日內提交備案表表四及其有關材料。
2、《信息系統安全等級保護定級報告》�,紙質材料��,一式兩份。每個備案的信息系統均需提供對應的定級報告,定級報告參照模版格式填寫。
3��、備案電子數據�����,刻錄光盤�。每個備案的信息系統���,均需通過“等級保護備案端軟件”填寫信息�,并保存為一個壓縮文件。另個第三級以上系統備案電子數據還應包括備案表表四所列的各項內容。
4�、《信息安全等級保護工作小組名單表》����,刻錄光盤�����。參照模版格式填寫�。
三���、網絡貨運平臺三級等保申請流程
1��、定級
網絡運營者根據《網絡安全等級保護定級指南》擬定網絡的安全等級�����,組織召開專家評審會��,對初步定級結果的合理性進行審批���,出具專家評審意見���,將初步定級結果上報行業主管部門進行審核�。
2����、備案
網絡運營者根據要求將網絡定級材料向公安機關備案,公安機關對定級準確����,符合要求的網絡發放備案證明�����。
3、安全建設整改
信息系統安全保護等級確定后���,網絡運營者根據網絡安全保護等級,按照國家標準開展安全建設整改�����。
4����、等級測評
信息系統建設完成后,網絡運營者選擇符合規定條件的測評機構�,對三級以上網絡(含國家關鍵信息基礎設施)每年開展等級測評�����,查找發現問題隱患�,提出整改意見。
5����、監督檢查
公安機關每年對網絡運營者開展網絡安全等級保護工作情況和網絡的安全狀況實施執法檢查�。
