国家信息安全等级保护三级认证（三级等保设置以及注意点）

1.服务终端 + 操作终端

操作终端：开发人员的电脑或者具有后台登录的管理员的电脑

服务终端：具备进入服务器和阿里云全部权限的操作人员的电脑

设置：运行secpol.msc进入管理设置页面

1.1 账户策略

1.1.1 密码策略（长度至少8位，使用期限最短设置90天）

1.1.2 账户锁定策略：10分钟（建议）

1.2 本地策略

1.2.1 审核策略（全部修改成：成功+失败）

1.2.2 安全选项（关机：清除虚拟内存页面文件：开启）

1.2.3 安全选项（交互方式登录：不显示最后的用户名:开启）

1.3 设置：搜索计算机管理,进入系统

1.3.1 共享文件夹（需要关闭）

1.3.2 本地用户和组（需要修改用户的默认名：比如admin）

1.3.3 Windows日志（日志最大大小：修改为204800，日志满时将其存档，不覆盖事件）

2.数据库

1.1. 定期修改密码（后台设置：3-6个月）

1.2. 账户锁定

 

1.3. 日志审计

1.3.1 阿里云后台：安全中心（检测响应->日志分析：扩容）

1.3.2 数据库审计（存储管理->审计+会话：设置期限为180天）

1.4. 备份       

1.4.1 数据库备份（云备份）

1.4.2 数据库备份（navicat：自动运行添加数据备份定时任务）

3.项目

1.1.定期修改密码（后台设置：3-6个月）

1.2 用户锁定（登录时间限制：可以参考登录时间为2小时，过期后强制退出）

1.3 用户密码（长度最少8位，组成由数字，字符，字母两者中的两种组成）

1.4 用户登录双认证（静态口令，动态口令，生物特征）

1.5 后台需要“有用户行为分析”功能（记录用户的操作）

1.6 注意用户权限的横向越权和纵向越权问题

1.7 注意短信爆破问题

1.8 互联网医院项目（电子处方需要有药师审核的功能）

1.9 互联网医院项目（就诊人小于6岁需要监护人信息）

4.服务器

1.1 需要开启云防火墙或者开启安全中心+WAF

1.2 服务器密码需要定期跟换（3-6个月）

1.3 服务器需要设置会话超时退出

      

5.省级接口对接（互联网医院项目：以四川监管平台为例）

1.1 获取token（需要缓存：目前有效时间是7天）

1.2 标准数据需要获取（用药频次，用药单位，用药剂量需要标准化）

1.3 上报数据：初诊数据+复诊数据+电子处方信息

1.4 上报方式（可以实时上报也可以集中上报，要求：上报数据不能超过24小时）

设置参考文献：

资产添加（需要添加的是：云安全中心和数据库审计）：参考文档：审计操作 - 日志服务 - 阿里云