等保三级
等保三级(即《网络安全等级保护基本要求》第三级)是面向重要信息系统设定的安全合规等级,适用于一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、社会秩序、公共利益,或对公民、法人及其他组织合法权益造成特别严重损害的信息系统。典型场景包括:省级以上政务服务平台、大型金融核心业务系统、三级甲等医院HIS系统、大型能源调度平台、关键基础设施运营单位的生产控制系统等。
在SSL/TLS层面,等保三级明确要求:必须采用国密算法或国际强加密算法实现传输层安全;禁止使用SSLv2/v3、TLS 1.0/1.1等已弃用协议;证书须由具备资质的CA签发,且私钥需在符合GM/T 0018—2012标准的密码设备中生成与存储;若涉及国密应用,应部署支持SM2/SM3/SM4的国密SSL证书,并启用双证书(RSA+SM2)或纯SM2 TLS握手流程。
实际部署中,仅配置TLS 1.2+与2048位以上RSA证书不满足全部要求——还需验证CA根证书是否在国家密码管理局《商用密码认证目录》内(如华测国密CA、CFCA),Web服务器需关闭不安全重协商、禁用弱密码套件(如含RC4、EXPORT、NULL、MD5的套件),并启用HSTS(max-age ≥ 31536000)及OCSP Stapling。
需要注意的情况
- 等保测评不认可自签名证书或未预置至操作系统/浏览器信任库的私有CA证书;公信力CA须提供《商用密码产品认证证书》编号供核查。
- 若系统面向公众提供服务(如政务网办平台),还需满足《GB/T 39786-2021》对电子认证服务的要求,此时OV SSL证书或EV SSL证书比DV SSL证书更易通过身份核验环节。
- “等保三级”本身不强制要求特定品牌证书,但部分测评机构会建议选用已通过等保三级配套检测的CA服务,例如vTrus(天威诚信)、锐安信(sslTrus)、沃通(WoTrus)等国内主流商用密码CA。
京公网安备11010502031690号
网站经营企业工商营业执照
