9月27日，交通运输部发布实施《交通运输部国家税务总局关于做好网络平台货物运输运营管理暂行办法>的通知》(交通法规)〔2019〕12)相关要求确定网络货运平台公司应满足信息系统安全等级保护的需要，建议取得三级以上信息系统安全等级保护备案证书及相关材料。

很多平台公司都在想，我们现在租了阿里云的服务器。阿里云的服务器是否达不到国家三级以上信息系统的安全等级保护？公司自建机房比阿里机房安全吗？阿里云服务已获得三级信息安全等级保护。为什么要申请网络货运平台公司？平台企业在做无用的工作吗？增加企业运营成本？在这里，小编做一个简单的科普，回答各平台企业的疑惑。

一.三级安全等级保护是什么？

信息安全等级保护分为以下五级：

第一级，信息系统损坏后，会让公民.损害法人和其他组织的合法权益，但不损害国家安全.公共秩序和集体利益。一级信息系统运行.用户应当按照国家有关管理规范和技术标准进行保护。

第二级，信息系统损坏后，会让公民.法人和其他组织的合法权益受到严重损害，或者损害公共秩序和集体利益，但不损害国家安全。国家信息安全监督机构指导信息系统安全等级的保护。

第三级，信息系统损坏后，将严重损害公共秩序和集体利益，或损害国家安全。国家信息安全监督机构监督信息系统安全等级保护.检查。

第四级，信息系统损坏后，会对公共秩序和集体利益造成严重损害，或者对国家安全造成严重损害。国家信息安全监督机构对信息系统安全等级保护进行强制监督.检查。

第五级，信息系统损坏后，会对国家安全造成特别严重的损害。国家信息安全监督机构对信息系统安全等级保护进行专项监督.检查。

二.三级保护的认证流程有哪些？

认证流程是指具有等保评价资质的企业（经有关部门批准）对要进行等保评价的单位进行评级和评价。评价后，提出整改意见，对被评价单位进行整改。这是一个评价、整改、再评价、再整改的过程，最终达到并通过评价。例如，等保三级需要每年评价一次。

三级等保技术标准如下：

技术标准：包括物理.网络.主机.应用.数据五个方面：

物理安全部分：

1.机房应区域规划至少分为主机房和监控区两部分；

2.机房应配备电子门禁系统.防盗报警系统.监控系统；

3.机房不宜有窗户，应配备专用气体灭火.ups供电系统；

网络安全部分：

1.应绘制符合当前运行条件的拓扑图；

2.交换机.防火墙等设备配置应符合要求，如应进行Vlan划分并各Vlan应配备逻辑隔离Qos流量控制方法应配备访问控制策略，重要网络设备和服务器应进行IP/MAC关联等；

3.应配备网络审计设备.入侵检测或防御设备。

4.交换机和防火墙的身份识别机制应满足等保要求，如用户名密码复杂性策略.登录浏览失败处理机制.用户角色及权限管理等；

5.网络链路.核心网络设备和安全设备网络设备和安全设备。

主机安全部分：

1.服务器本身的设备应符合要求，如身份识别机制.密钥管理机制.安全审计机制.防病毒等；

2.服务器(应用和数据库服务器)应具有冗余性，如需要双机热备或集群部署等；

3.服务器和重要网络设备在上线前需要扫描和评估漏洞，不应有高级以上漏洞(如)windows系统漏洞.apache等待中间件漏洞.数据库软件漏洞.其他系统软件及端口漏洞等)；

4.应配备专用日志服务器存储主机.数据库的审计日志。

应用安全部分：

1.应用本身的功能应满足等保要求，如身份识别机制等.审计日志.通讯与储存加密等；

2.应用应考虑网页防篡改设备的布置；

3.安全评估（包括安全扫描）.渗透测试和风险评估)是否存在高风险漏洞(如高风险漏洞)SQL注入.跨站脚本.网站挂马.网页篡改.敏感信息泄露.弱密码和密码猜测.管理后台漏洞等。

4.软件系统生成的日志应存储在专用的日志服务器中。

数据安全备份：

1.提供本地数据备份机制，每天备份到本地，并存放在外场；

2.系统中存在核心关键数据的，应提供异地备份数据功能，通过网络将数据传输到异地备份；

管理制度要求应包括以下五个方面：

2.安全管理机构

3.人员安全管理

4.系统建设管理

5.系统运维管理

三.为什么已经租了阿里服务器还要办理三级保护？

如今，我们的信息系统处理能力和连接能力不断提高。同时，基于数据连接的安全问题也日益突出，整体网络安全主要体现在以下几个方面：网络的物理安全.网络拓扑结构安全.网络系统安全.应用系统安全和网络管理安全。虽然网络货运平台公司已经租用了阿里巴巴云或其他云服务，但它只解决了物理安全问题.网络系统安全与其同等重要的结构安全相同.平台系统安全.三大管理安全项目仍成为控制飞地。

现在申请网络货运平台或已成为网络货运平台企业应提高信息安全能力和水平，维护社会稳定和集体利益，保护和促进信息建设，平台企业应确保信息系统损坏，不会对公共秩序和集体利益造成严重损害，不会损害国家安全。平台企业应积极配合国家信息安全监督机构的监督检查。

在平台系统建设过程中，系统开发单位.平台用户应当按照《计算机信息系统安全保护等级划分标准》（GB17859-1999）.参照《信息安全技术信息系统通用安全技术要求》等技术标准（GB/T20271-2006）.《信息安全技术网络基础安全技术标准》（GB/T20270-2006）.《信息安全技术操作系统安全技术要求》（GB/T20272-2006）.《信息安全技术数据管理系统安全技术要求》（GB/T20273-2006）.信息安全技术服务器技术要求.《信息安全技术终端计算机系统安全等级技术标准》（GA/T671-2006)等技术标准建设符合信息安全和监管要求的网络货运平台。

等保二级是指信息系统被破坏后，将严重损害公民、法人和其他组织的合法权益，或者损害社会秩序和公共利益，但不损害国家安全。国家信息安全监管部门对本级信息系统的安全等级保护进行指导。等保二级信息系统适用于国家机关、、企业、及地市级以上事业单位的通用信息系统、小型局域网、不涉及机密、敏感信息的办公系统等。