上海三级等保的流程

　　一，三级等保的要求：


　　1、物理安全：机房应区域划分至少分为主机房和监控区两个部
分；机房应配备电子门禁系统、防盗报警系统、监控系统；机房不应
该有窗户，应配备专用的气体灭火、备用发电机；


　　2、网络安全：应绘制与当前运行情况相符合的拓扑图；交换机
、防火墙等设备配置应符合要求，例如应进行Vlan划分并各Vlan逻辑
隔离，应配置Qos流量控制策略，应配备访问控制策略，重要网络设
备和服务器应进行IP/MAC绑定等；应配备网络审计设备、入侵检测或
防御设备；交换机和防火墙的身份鉴别机制要满足等保要求，例如用
户名密码复杂度策略，登录访问失败处理机制、用户角色和权限控制
等；网络链路、核心网络设备和安全设备，需要提供冗余性设计。


　　3、主机安全：服务器的自身配置应符合要求，例如身份鉴别机
制、访问控制机制、安全审计机制、防病毒等，必要时可购买第三方
的主机和数据库审计设备；服务器（应用和数据库服务器）应具有冗
余性，例如需要双机热备或集群部署等；服务器和重要网络设备需要
在上线前进行漏洞扫描评估，不应有中别以上的漏洞（例如wind
ows系统漏洞、apache等中间件漏洞、数据库软件漏洞、其他系统软
件及端口漏洞等）；应配备专用的日志服务器保存主机、数据库的审
计日志。


　　4、应用安全：应用自身的功能应符合等保要求，例如身份鉴别
机制、审计日志、通信和存储加密等；应用处应考虑部署网页防篡改
设备；应用的安全评估（包括应用安全扫描、渗透测试及风险评估）
，应不存在中风险以上的漏洞（例如SQL注入、跨站脚本、网站
挂马、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞
等）；应用系统产生的日志应保存至专用的日志服务器。


　　5、数据安全：应提供数据的本地备份机制，每天备份至本地，
且场外存放；如系统中存在核心关键数据，应提供异地数据备份功能
，通过网络等将数据传输至异地进行备份；三级等保的管理制度要求
安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统
运维管理。


　　二，三级等保的流程


　　为了达到上面的要求，那么个人建议把你的项目上线到阿里云，
腾讯云，华为云这样的大型公有云平台，这里我建议你用腾讯云。


　　接下来说一下三级等保的流程，这里假设你的项目上线在了腾讯
云。


　　2.1，首先你需要让你的项目处在安全环境中，三级等保必须处
在下面的安全环境中：SSL证书，云防火墙，堡垒机，云安全中心，w
eb应用防火墙，数据库审计，日志服务，我们可以为你提供打折服务
，腾讯云，阿里云，华为云


　　2.2，接下来就是要找我们这样的评测机构帮做评测，


　　评测的大概流程如下：专家定级，申请备案，差距分析，整改加
固，辅助评测，整改回复，备案审核，审核通过，证书领取。