22.扩展.等保测评相关实务

1. 等保1.0 到等保2.0 

等保1.0的概念：以1994年国务院颁布的147号令《计算机信息系统安全保护条例》为指导标准，以2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》为指导的网络安全等级保护办

等保2.0的概念：以《中华人民共和国网络安全法》为法律依据，以2019年5月发布的《GB/T22239-2019 信息安全技术 信息系统安全等级保护基本要求》为指导标准的网络安全等级保护办法，业内简称等保2.0。

1. 名称由原来的《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。等级保护对象由原来的信息系统调整为基础信息网络、信息系统（含采用移动互联技术的系统）、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。 2. 采用了“一个中心，三重防护”的防护理念和分类结构，强化了建立纵深防御和精细防御体系的思想。 一个中心”即安全管理中心，“三重防护”即安全计算环境、安全区域边界、安全通信网络。 安全管理中心要求在系统管理、安全管理、审计管理等三个方面实现集中管控，从被动防护转变到主动防护，从静态防护转变到动态防护，从单点防护转变到整体防护，从粗放防护转变到精准防护。 依据《GB/T 25070-2019 信息安全技术网络安全等级保护安全设计技术要求》定义，第二级及第二级以上的定级系统安全保护环境需要设置安全管理中心 3. 强化了密码技术和可信计算技术的使用，把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求，强调通过密码技术、可信验证、安全审计和态势感知等建立主动防御体系的期望。 4.将原来各个级别的安全要求分为安全通用要求和安全扩展要求，其中安全扩展要求包括安全扩展要求云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。安全通用要求是不管等级保护对象形态如何必须满足的要求。 5. 安全建设管理： 针对安全建设过程提出的安全控制要求，涉及的安全控制点包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理。 6. 安全运维管理 针对安全运维过程提出的安全控制要求，涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。
安全扩展要求是采用特定技术或特定应用场景下的等级保护对象需要增加实现的安全要求。 包括以下四方面： 1.云计算安全扩展要求是针对云计算平台提出的安全通用要求之外额外需要实现的安全要求。主要内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云计算环境管理”和“云服务商选择”等。 2.移动互联安全扩展要求是针对移动终端、移动应用和无线网络提出的安全要求，与安全通用要求一起构成针对采用移动互联技术的等级保护对象的完整安全要求。主要内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等。 3.物联网安全扩展要求是针对感知层提出的特殊安全要求，与安全通用要求一起构成针对物联网的完整安全要求。主要内容包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等。 4.工业控制系统安全扩展要求主要是针对现场控制层和现场设备层提出的特殊安全要求，它们与安全通用要求一起构成针对工业控制系统的完整安全要求。主要内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等。

2. 等保测评5个级别

1）用户自主保护级：对用户实施访问控制，即为用户提供可行的手段，保护客户和客户信息，防止别的用户对信息的不法读写能力与毁坏。

　　自主保护级：信息管理系统遭到破坏后，会对中国公民，法定代表人和其他组织的合法权利产生危害，但不危害我国安全，公共秩序和集体利益;一般适用中小型私营企业，个人公司，中小学校，城镇隶属信息管理系统，县市级企业中一般的信息管理系统。

2) 系统审计保护级:　与用户自主保护级相比，它根据登陆技术规范，审计安全性相关事件和隔离资源，使用户对自己的行为负责。

　　指导保护级：信息管理系统遭到破坏后，会对中国公民，法定代表人和其他组织的合法权利造成明显危害，或是对公共秩序和集体利益导致危害，但不危害我国安全; 一般适用县市级其些企业中的主要信息管理系统;市级之上党政机关，机关事业单位內部一般的信息管理系统。比如非涉及到工作中秘密，商业机密，比较敏感数据的协同办公系统和智能管理系统等。

3)、安全标识保护级:　除系统根审计级别保护外外，还需提供有关安全策略模型，数据信息标识及其行为主体对行为主体强制访问控制的非形式化描述，具备精确地标识输出信息内容的工作能力;消除通过测试发现的任何错误。

　　监管保护级：信息管理系统遭到破坏后，会对公共秩序和集体利益导致明显危害，或是对我国安全导致危害;      一般适用市级之上党政机关，公司，机关事业单位內部主要的信息管理系统，比如涉及到工作中秘密，商业机密，比较敏感数据的协同办公系统和智能管理系统;跨地区或全国通运作的用来生产制造，生产调度，管理方法，指引，工作，操纵等领域的主要信息管理系统及其这类系统软件在省，城市的支系系统软件;中间中央部委，省(区，市)门户网和主要网址;跨地区连接的应用系统等。

 4）结构化保护级: 可信计算根据应用真实身份和辨别数据信息，辨别客户的真实身份，确保客户建立的计算机软件系统软件可信计算基外界行为主体的安全级和受权受该客户的安全级和认证的操纵。

　强制性保护级：信息管理系统遭到破坏后，会对公共秩序和集体利益导致非常比较严重危害，或是对我国安全导致严重危害;一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。

 5) 访问验证保护级: 本级的计算机软件系统软件可信计算基满足访问控制器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的;必须足够小，能够分析和测试。为了满足访问监控器需求,计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码;在设计和现实时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能;扩充审计机制，当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力。

　　专控保护级：信息管理系统遭到破坏后，会对我国安全导致非常比较严重危害。一般适用我国重要领域、重要部门中的极端重要系统。

　　在中国，“三级等保”是对非金融组织的最大等级保护验证，一般评定为等保三级的操作系统有互联网医院服务平台，P2P金融投资平台，网约车软件，云(服务提供商)服务平台和其它关键系统软件。这一验证由公安部门根据全国信用安全保护规章及相应管理制度要求，依照管理制度和标准规范，对各单位的信息管理系统安全等级保护情况开展认同及鉴定。

虽然等保分为五个级别，但实现项目落地的都是二、三和四级。最低的一级单位作为建议，可以自行备案，但作用不大。最高的等保五级信息系统受到破坏后，会对国家安全造成特别严重损害，这类系统一般都涉及国家秘密，等级保护体系无法担此重任，所以不会用。现阶段普遍需要第三方测评机构测评的是第二级和第三级。

3. 等保二级和三级涉及相关设备技术

3.1 等保二级合规安全设备

Web 应用防火墙（Web Application Firewall，WAF）--网络应用防火墙，根据安全管理规则过滤数据包 IPS 是检测在系统的防火墙和外网之间，针对流向内部的流量进行分析。监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么 IDS 就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，实时监视系统会发现情况并发出警告。IPS在防火墙外边进行入侵防御；IDS在防火墙内部； IDS 主要检测系统内部，运行在被监控的主机上，对主机的网络行为、系统日志、进程和内存等指标进行监控。 作用不同 IDS 专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 IPS 入侵防御系统是电脑网络安全设施，是对防病毒软件和防火墙的补充。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 部署位置不同 IDS 通常采用旁路接入，在网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源，这些位置通常是：服务器区域的交换机上；Internet 接入路由器滞后的第一台交换机上；重点保护网段的局域网交换机上。 IPS 通常采用 Inline 接入，在办公网络中，至少需要在以下区域部署：办公网与外部网络的连接部位（入口 / 出口）；重要服务器集群前端；办公网内部接入层。 工作机制不同 IDS 主要针对已发生的攻击事件或异常行为进行处理，属于被动防护。以 NIDS 为例：NIDS 以旁路方式，对所监测的网络数据进行获取、还原，根据签名进行模式匹配，或者进行一系列统计分析，根据结果对有问题的会话进行阻断，或者和防火墙产生联动。IDS 的致命缺点在于阻断 UDP 会话不太灵，对加密的数据流束手无策。 IPS 针对攻击事件或异常行为可提前感知及预防，属于主动防护。根据设置的过滤器，分析相对应的数据包，通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。 IPS 的阻断方式较 IDS 更为可靠，可以中断拦截 UDP 会话，也可以做到确保符合签名规则的数据包不漏发到被保护区域。 IPS 致命的缺点是同样硬件的情况下，性能比 IDS 低的多。实际应用中，误杀漏杀和 IDS 一样，主要是签名库决定的。但是随着 UDP 协议的广泛使用，IPS 在 UDP 上的误杀率可能会高于 IDS。

3.2 等保三级合规安全设备

4. 企业和项目应用系统利用公有云过等保测评

      等保安全要求不仅仅针对应用信息系统，包括物理环境，通信环境/网络环境，计算环境，边界防护；安全制度，安全机构，安全人员，安全建设等。

     用公有云环境过等保，采购相应等保合规安全服务，等保测评过程则不再关注物理环境、通信环境、边界防护和计算环境的安全问题，相关安全内容会参考云供应商的安全证书内容。 

腾讯云等保合规方案-2级	阿里云等保合规方案-2级
深信服二级等保基础版规划设计产品清单 NGFW【必配】：防火墙安全策略、入侵防御、防病毒、VPN。解决安全区域边界、通信网络加密传输要求 【主机杀毒软件】【必配】：解决安全计算环境要求 【日志审计系统】【必配】：解决安全管理中心要求 【数据库审计】【必配】：解决安全管理中心审计要求
等保二级解决方案   快速帮助企业满足等保二级合规要求  版本：1.0.0    上次更新日期：2022年04月 架构描述： 在虚拟私有云VPC中划分出私有子网，用于部署该方案中需要使用的资源： 1.Web应用防火墙WAF用来对业务流量进行多维度检测和防护。 2.企业主机安全HSS：用来提升主机整体安全性，提供资产管理、漏洞管理、入侵检测、基线检查等功能，帮助企业降低主机安全风险。 3.SSL证书：SCM实现网站的可信身份认证与安全数据传输。 4.态势感知SA用来对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 5.威胁检测服务MTD用来识别云服务日志中的潜在威胁，并对检测出的威胁告警进行统计。 6.对象存储服务（Object Storage Service,OBS）---用于日志及日志审计存储 //一般日志审计用数据和操作系统的日志审计功能即可。

5. 安全解决方案

5.1 信息系统安全方案相关系统组成因素

(I)主要硬件设备的选型。
(2)操作系统和数据库的选型。
(3)网络拓扑结构的选型。
(4)数据存储方案和存储设备的选型。
(5)安全设备的选型
(6)应用软件开发平台的选型。
(7)应用软件的系统结构的确定。
(8)供货商和集成商的选择等。
(9)业务运营与安全管理的职责(岗位)
(10)应急处理方案的确定及人员的落实。

5.1 信息系统安全方案内容

(1)首先确定采用MIS+S、S-MIS或s2-MIS体系架构。
(2)确定业务和数据存储的方案。
(3)网络拓扑结构。
(4)基础安全设施和主要安全设备的选型。这部分是信息安全保障系统的核心。
(5)业务应用信息系统的安全级别的确定。一旦你确定了安全级别，也就确定了安全的大体方案。
(6)系统资金和人员投入的档次。
系统安全方案与系统的安全策略是密不可分的。没有安全策略就没有安全方案;相反，没有安全方案，也就没有安全策略。

6. 信息系统安全风险评估频次

系统持续改进与优化，并按照相关要求进行年检：

• 二级系统每2年进行一次测评检查，三级系统每年检查一次；
• 四级系统每半年至少一次；五级系统按安全要求进行测评。
   

7. 等保测评过程证明

	定级资料提交
	测评完成/（部分地区定级既有)
	测评完成且通过

8. 系统放在云主机上如何过等保

通常想要通过等级保护，需要具备以下几个条件：

1、一个系统，如网站系统等，系统域名要经过通信管理局备案，如果没有域名需要有IP地址。

2、用户的系统需要放置在安全的网络环境内，这里的网络环境一般分成两种，如果用户系统部署在本地硬件服务器里，那安全的网络环境就是机房。如果将用户的系统放置在云主机里，那安全的网络环境就是云上的各种产品。在这里又细分了几类，机房可以是客户自建机房，比如学校、医院、地铁都有自建机房；托管机房比如联通、电信、移动、名气通等合规机房。云上可以是用户自建的私有云，也可以是公有云。

3、等保测评流程，一般是先填写资料去网监定级获得备案证明。

4. 测评机构开始测评（如满足等保要求，可通过测评。如不满足等保要求，需要根据相关项购买产品，进行等保整改），测评中心出具测评报告，用户持测评报告，可以去网监更换纸质测评证明。

在这里主要说一下云主机如何过等保

在公有云上，系统放置在云主机里。想要过等保需要需要一系列的网络安全产品。

等保二级：防火墙、ips、防病毒、日志审计、终端安全。

等保三级：防火墙、ips、防病毒、日志审计、数据库审计、运维审计、web应用防火墙、终端安全等产品。

EDR（Endpoint Detection and Response：终端检测与响应）

EDR是过去两年网络安全市场的热点，也被看作是XDR的基石。EDR的核心价值，简单来说就是让安全团队能够更快地检测和响应威胁，同时降低成本和复杂性。

EDR是杀毒软件进化的结果，使用静态和动态分析方法来检测恶意软件，还可以监控、收集和汇总来自端点的数据，以尝试检测依赖于更隐蔽技术的恶意行为，例如滥用合法应用程序进行攻击。今天，EDR结合了从静态文件签名规则到高级机器学习模块的所有内容，被认为是站在安全软件食物链顶端的产品。

8.1 应用系统基于阿里云过三级等保

阿里云作为云平台，本身通过了三级等保测评。所以与阿里云相关（物理安全、中间件安全）的测评都不需要重复进行，只需要提供阿里云的三级等保测评报告就可以。

因此三级等保测评可以转化为：阿里云三级等保报告+应用系统测评+安全管理规范三部分内容。本文着重对应用系统的测评要求进行描述。

应用系统要求

1、登录校验

使用账号+静态密码+4位验证码进行登录验证。

2、密码复杂度

八位以上，大小写+特殊字符+数字，加盐，采用两次md5加密。

3、密码更换频次

要求用户密码每3个月更换一次，更新的口令5次内不能重复。

4、登录失败策略

当日连续登录失败 5 次则锁定账户，第二天再登录。登录成功则清空失败次数。

5、退出

提供退出功能，由用户主动操作退出系统。

6、超时退出

提供超时退出功能，在指定的时间后，系统自动退出。

7、并发会话限制

对单个帐户的多重并发会话进行限制，禁止同一用户同时登录系统。

8、访问控制

对系统中的每个请求资源进行权限控制，有该权限的用户才可以访问资源，禁止越权操作。

9、权限分离

信息系统根据业务需求划分不同角色(管理员、审计员、业务员)，应根据最小原则进行授权，对特权用户进行权限分离，实现各用户间形成相互制约关系，如录入与审核分离，操作与监督分离等。

10、数据有效性校验

在数据输入界面提供数据有效性检验功能，禁止非法字符的输入。

11、审计功能

对系统的重要安全事件(包括用户登陆、用户注册、重要业务数据操作等行为)进行记录，形成审计日志。审计日志包括事件发生的日期和时间、触发事件的主体、事件的类型、事件成功或失败、事件请求的来源、事件的结果等，并提供导出功能。
审计日志由审计员进行操作，其他人员无法操作。

禁止提供修改、删除审计日志的功能，禁止提供终端审计进程的功能。

12、HTTPS通信

采用HTTPS加密通信方式对数据通信完整性进行保护。

13、并发数控制

对应用系统的并发数进行限制，超出限制后应进行报警通知。

14、系统相关文档

需求说明文档、概要设计文档、详细设计文档、用户手册等。

15、安全防护

通过购买阿里云安全组件或者自主安装的方式实现安全防护。包括ECS服务器、负载均衡器、云数据库RDS、云堡垒机、WEB应用防火墙、云盾证书、clamav（防病毒）等。

安全管理规范

包含安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等。

9. 等保测评漏洞扫描工具

渗透测试收集信息完成后，就要根据所收集的信息，扫描目标站点可能存在的漏洞了，包括我们之前提到过的如：SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等。今天讲几款比较好用的网络安全等级保护测评漏洞扫描工具。

一、AWVS

Acunetix Web Vulnerability Scanner（简称AWVS）是一款知名的网络漏洞扫描工具，它通过网络爬虫测试你的网站安全，检测流行安全漏洞，它的官方网站是：https://www.acunetix.com，我刚才看了一眼没有找到试用版下载链接，之前是有的，可以免费试用14天，当然你也可以去网上搜索破解版进行下载安装，有经济实力的朋友可以考虑购买正版软件，下图就是AWVS的主界面，里边还保存着我扫描过的两个站点，发现了4个高危漏洞，4个中危漏洞和20个低危漏洞。

工具下载链接：https://www.sqlsec.com/2020/04/awvs.html

二、Nessus

Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件，其官方网站为：https://zh-cn.tenable.com，它有免费试用版和付费版，当然也可以到网上搜索下载，有经济实力的朋友可以考虑购买正版软件，下图就是Nessus的主界面，同样保存着我之前扫描过的两个站点。

工具下载链接：https://www.tenable.com/downloads/nessus?loginAttempted=true

三、w3af

w3af是一个Web应用程序攻击和检查框架，该项目已超过130个插件，其中包括检查网站爬虫、SQL注入(SQL Injection)、跨站(XSS)、本地文件包含(LFI)、远程文件包含(RFI)等，该项目的目标是要建立一个框架，以寻找和开发Web应用安全漏洞，所以很容易使用和扩展，w3af常用的是在Linux系统下，并且已经集成到了kaili中了，能被kaili选中的，都是非常好的工具，下图是windows版的，网上不好找，感兴趣的朋友可以私信我。

工具下载链接：http://w3af.org/download

网络安全等级保护测评漏洞扫描工具

四、ZAP

OWASP Zed攻击代理（ZAP）是世界上最受欢迎的免费安全审计工具之一，由数百名国际志愿者积极维护，它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞，它的主要功能有：本地代理、主动扫描、被动扫描、Fuzzy和暴力破解等，以下就是ZAP的主界面，在攻击地址栏里输入目标站点域名或IP点击攻击就可以了。

工具下载链接：https://github.com/zaproxy/zaproxy/releases/tag/v2.10.0

五、御剑

御剑后台扫描珍藏版是T00LS大牛的作品，方便查找用户后台登录地址，附带很强大的字典，字典也是可以自己修改的，使用方法也非常简单，只需要在“域名框”输入你要扫描的域名即可，用户可根据自身电脑的配置来设置调节扫描线程，集合DIR扫描、ASP、ASPX、PHP、JSP、MDB数据库，包含所有网站脚本路径扫描，默认探测200 (也就是扫描的网站真实存在的路径文件)，我在之前信息收集工具介绍中也提到过御剑，其实是想介绍御剑指纹识别系统的，现在已经更改，在域名栏输入目标站点域名点击扫描就可以了，如果前期信息收集全面，可以选择站点后台语言，

六、北极熊

北极熊是一款综合性的扫描工具，前期的信息收集我们也提到过，那里我们说它是一款爬虫工具有些片面了，也许是我经常用它来爬虫，其实它也集成了网站检测和漏洞扫描功能，只不过它得一步一步的使用，首先对目标站点进行爬虫，再将爬虫过的结果导入网站检测当中扫描，也可以根据前期信息收集情况，选择对应的选项，提高扫描效率，北极熊扫描器也可以通过网上搜索下载

工具下载链接：https://github.com/euphrat1ca/polar-scan

10. 等保测评重要经验

10.1 关键雷区

《网络安全等级保护测评高风险判定指引》

等级保护2.0制度已经实施有两年多，《网络安全等级保护测评高风险判定指引》于2020年12月1日正式实施，至此针对高风险项的判定将更加明确、规范。针对判定指引中列出的高风险项做了一些整理，列出以下这些在等保工作中的常见高风险项，这些高压红线项也正是我们开展等保工作中所需要避免的雷区。如果你们单位存在以下这些情况，那么你们的等保测评结论是“差”。针对技术部分要求整理出来一部分常见的高风险项，仅供大家参考。

云计算平台不在国内的不能选

二级及以上云计算平台其云计算基础设施需位于中国境内。如果你选择了一个境外的云平台，那么等保肯定过不了。

内部只有一个网段的不符合

二级及以上系统，应将重要网络区域和非重要网络区域划分在不同网段或子网。生产网络和办公网络，对外和对内的服务器区混在一起的都是高危风险。

不受控的无线网络随意接入内部网络

三级及以上系统，无线网络和重要内部网络互联不受控制，或控制不当，通过无线网络接入后可以访问内部重要资源，这是高风险项，所以在三级及以上系统中要对非法接入行为进行管控，建议大家上安全准入设备，不仅仅只针对无线网络管控。

无法对外部网络攻击行为进行检测、防止或限制

二级系统在网络边界至少部署入侵检测系统，三级及以上系统在网络边界应至少部署以下一种防护技术措施：入侵防御、waf、反垃圾邮件系统或APT等。

未配备日志审计的不符合

二级及以上系统无法在网络边界或关键网络节点对发生的网络安全事件进行日志审计，包括网络入侵事件、病毒攻击事件等。对关键网络设备、关键主机设备、关键安全设备等未开启审计功能同时也没有使用堡垒机等技术手段的也是不符合要求的。也就是以后只要做等保，日志审计将是一个标配，否则就是不符合。

重要数据存储保密性没有保护措施的不符合

三级及以上系统应采用密码技术保证重要数据（如鉴别数据、重要业务数据和重要个人信息）在存储过程中的保密性。如果这些重要数据是明文方式存储又没有部署数据库防火墙、数据库防泄漏等产品的是高风险项。

没有数据备份措施的不符合

二级及以上系统应提供重要数据的本地数据备份和恢复措施，建议大家配备数据备份一体机，及时对自己的重要数据进行备份。另外重要数据、源代码等备份到互联网网盘、代码托管平台等不可控环境的也可以直接判为不符合，所以大家注意了，不要随便把自己的数据备份到不可控的外部环境。

违规采集、存储、访问和使用个人信息的不符合

二级及以上系统在未授权的情况下采集、存储用户个人隐私信息或采集、保存法律法规、主管部门严令禁止采集、存储的个人隐私信息。未授权使用或非法使用个人信息都是高风险。

10.2 等保测评步骤

《信息安全等级保护定级指南》规定，只要符合以下三个特征，就必须进行等级保护备案。如果符合以下三个特征，并且安全保护等级是二级及以上，还必须通过等级保护测评，网站也不例外。

等级保护定级对象的三大基本特征：①具有确定的主要安全责任主体；②承载相对独立的业务应用；③包含相互关联的多个资源。

那么，如果网站符合以上三个特征，且信息系统为二级及以上，要怎么做等级保护呢？网站信息系统安全等级保护办理步骤解读来啦！

1.网站系统定级

根据等级保护相关管理文件，等级保护对象的安全保护等级一共分五个级别，从一到五级别逐渐升高。等级保护对象的级别由两个定级要素决定：①受侵害的客体；②对客体的侵害程度。

对于关键信息基础设施，“定级原则上不低于三级”，且第三级及以上信息系统每年或每半年就要进行一次测评。

等级保护定级流程
定级完成收到定级回执

2.网站系统备案

根据《网络安全法》规定：

①已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内（等保2.0相关标准已将备案时限修改为10日内），由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

②新建第二级以上信息系统，应当在投入运行后30日内（等保2.0相关标准已将备案时限修改为10日内），由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

③隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。

④跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

企业最终确定网站的级别以后，就可以到公安机关进行备案。备案所需材料主要是《信息安全等级保护备案表》，不同级别的信息系统需要的备案材料有所差异。第三级以上信息系统需提供以下材料：

等级保护备案材料
办案完成获得 备案证明
提交最终通过的测试报告

3.网站系统安全建设（整改）

等级保护整改是等保建设的其中一个环节，指按照等级保护建设要求，对信息和信息系统进行的网络安全升级，包括技术层面整改和管理层面整改。整改的最终目的就是为了提高企业信息系统的安全防护能力，让企业可以成功通过等级测评。

等级保护整改没有什么资质要求，只要公司可以按照等级保护要求来进行相关网络安全建设，由谁来实施，是没有要求的。但由于目前企业网络安全人才紧缺，企业很多时候都需要寻找专业的网络安全服务公司来进行整改。

整改主要分为管理整改和技术整改。

• 管理整改主要包括:明确主管领导和责任部门，落实安全岗位和人员，对安全管理现状进行分析，确定安全管理策略，制定安全管理制度等。其中，安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。
• 技术整改主要是指企业部署和购买能够满足等保要求的产品，比如网页防篡改、流量监测、网络入侵监测产品等。

4.网站系统等级测评

等级测评指经公安部认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。物联网企业等级测评需要寻找合适的测评机构来进行测评，测评机构至少需要具备《信息安全等级测评推荐证书》。物联网企业可以登录中国网络安全等级保护网查看国家推荐的有资质的测评机构名单。

测评机构收费方面，具体的服务费用会因为省市不同、测评项目不同、行业不同等而有所差异。但一般来说，二级系统测评费用4万元起步，三级系统测评费用7万元起步。

根据规定，对信息系统安全等级保护状况进行的测试应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

5.监督检查

企业要接受公安机关不定期的监督和检查，对公安机关提出的问题予以改进。

10.3 等级保护测评到底测哪些内容呢？

简单分享下，主要测以下十个层面：技术层面：物理安全、主机安全、网络安全、应用安全和数据安全与备份；管理层面：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。技术层面具体的对象是：

1、机房，对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评，分析其中的问题以及不符合要求的地方。

2、业务应用软件，对信息系统运营使用单位重要信息系统进行测评，从应用软件的安全机制方向，分析应用系统中存在的安全隐患与问题。

3、主机操作系统，对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评，从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。

4、数据库系统，对信息系统运营使用单位重要信息系统所使用的数据库进行测评，从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。

5、网络设备，对信息系统运营使用单位重要信息系统的网络设备进行测评，从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。

具体测评内容控制点及要求项比较多，统计如下：二级系统控制点66个，要求项175；三级系统控制点73个，要求项290个

最终经过等级保护测评之后，获得的成果主要是：被测系统取得的备案证明资料和等级保护测评报告。这样有主管单位来检查的时候把这些资料给他们看，他们就知道我们做了等保，在信息安全上工作上做了不少。因为很难通过你买了什么安全设备就判断你安全工作做好了，没有安全风险了，而等保虽不能证明你一定安全，但至少等保是从不同层面对你的信息系统整体性做了一个安全评估，相对更可信，而且也是书面性的资料。最后补充一句，看上去等保需要做很多内容，好多用户担心会给自己增加很多工作内容，其实这个担心是多余的也是错误的，真正做等保的过程中，一般只需要一到两个对你们单位系统情况，网络设备比较了解的人配合就可以，大部门工作是测评机构在做；另外安全工作不是因为做了等保才要去做，如果单位不做等保这样的工作也是应该贯彻在我们日常工作之中的，只是通过做等保，我们把这样的问题集中暴露出来，更早的把这些问题解决，把安全隐患扼杀在摇篮之中。

10.4 等级保护与分级保护的不同

一、等级保护与分级保护不同的定义

1、等级保护

等级保护全称是信息安全等级保护，是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和储存、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。等级保护坚持自主定级、自主保护的原则。

等级保护分5个级别（由低到高）：一级（自主保护级）、二级（指导保护级）、三级（监督保护级）、四级（强制保护级）、五级（专控保护级）。

2、分级保护

分级保护全称是涉密信息系统分级保护是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全。

分级保护分3个级别：秘密级、机密级、绝密级（由低到高）。

需要特别注意，等级保护和分级保护的级别有对应关系：  

二、等级保护与分级保护不同的适用对象

等级保护与分级保护的不同适用对象是二者的本质区别：

①等级保护是实施信息安全管理的一项法定制度，重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统。

②分级保护是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。

三、等级保护和分级保护不同的发起部门和主管部门

1、分级保护

分级保护由国家保密局发起，其主管单位及相应管理职责如下所示：

①国家保密局及地方各级保密局：监督，检查，指导；

②中央和国家机关(本部门)：主管和指导；

③建设使用单位：具体实施。

2、等级保护

等级保护由公安部门发起，其主管单位及相应管理职责如下所示：

①公安机关：等级保护工作的主管部门，负责信息安全等级保护工作的监督、检查、指导；

②国家保密工作部门、国家密码管理部门：负责等级保护工作中有关保密工作和密码工作的监督、检查、指导；

③国信办及地方信息化领导小组办事机构：负责等级保护工作部门间的协调，涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责。

四、等级保护和分级保护不同的政策依据

1、等级保护政策依据

《中华人民共和国计算机信息系统安全保护条例》（国务院147号令，1994年）；

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）；

《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）；

《信息安全等级保护管理办法》（公通字[2007]43号）；

《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）；

《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)。

2、分级保护政策依据

《关于加强信息安全保障工作中保密管理的若干意见》（中保委发[2004]7号）；

《涉及国家秘密的信息系统分级保护管理办法》（国保发[2005]16号）。

五、等级保护和分级保护不同的工作内容和测评频率

等级保护工作包括系统定级、系统备案、安全建设整改、等级测评和监督检查五个环节。

分级保护工作包括系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查、系统废止八个环节。

1、等级保护各级别测评频率：

①第二级信息系统：应每两年至少进行一次等级测评；

②第三级信息系统：应每年至少进行一次等级测评；

③第四级信息系统：应每半年至少进行一次等级测评。

第一级信息系统不需测评。第五级信息系统一般适用于国家重要领域、重要部门中的极端重要系统，特殊行业特殊要求，不在等保测评机构的测评范畴。

等级保护测评机构资质由国家信息安全等级保护工作协调小组办公室授予。

2、分级保护各级别测评频率：

①秘密级、机密级信息系统：应每两年至少进行一次安全保密测评或保密检查；

②绝密级信息系统：应每年至少进行一次安全保密测评或保密检查。

分级保护测评机构资质由国家保密工作部门授予。

【等保测评机构】

国家信息安全等级保护工作协调小组办公室授权的信息安全等级保护测评机构可以看下下列链接中等保测评推荐机构：

全国网络安全等级保护测评机构推荐目录：www.djbh.net/webdev/web/LevelTestOrgAction.do?p=gzdtLv3&id=402885cb35d11a540135d168e41e000c

 10.5 网络安全等级保护的内涵

下面我们从历史沿革，分别把等级保护1.0和等级保护2.0的描述，展现给大家，期盼大家对这些知识有个较全面的了解什么是等级保护内涵呢？

信息安全等级保护工作的内涵（等级保护1.0描述）

信息安全等级保护就是分等级保护、分等级监管，是将全国的信息系统(包括网络)按照重要性和遭受损坏后的危害性分成五个安全保护等级(从第一级到第五级，逐级增高)；等级确定后，第二级(含)以上信息系统到公安机关备案，公安机关对备案材料和定级准确性进行审核，审核合格后颁发备案证明；备案单位根据信息系统安全等级，按照国家标准开展安全建设整改，建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度：备案单位选择符合国家规定条件的测评机构开展等级测评；公安机关对第二级信息系统进行指导，对第三、四级信息系统定期开展监督、检查。

根据《信息安全等级保护管理办法》的规定，等级保护工作主要分为五个环节，定级、备案、建设整改、等级测评和监督检查。其中定级是信息安全等级保护的首要环节，通过定级，可以梳理各行业、各部门、各单位的信息系统类型、重要程度和数量等，确定信息安全保护的重点。而安全建设整改是落实信息安全等级保护工作的关键，通过建设整改使具有不同等级的信息系统达到相应等级的基本保护能力，从而提高我国基础网络和重要信息系统整体防护能力。等级测评工作的主体是第三方测评机构，通过开展等级测评，可以检验和评价信息系统安全建设整改工作的成效，判断安全保护能力是否达到相关标准要求。监督检查工作的主体是公安机关等信息安全职能部门，通过开展监督、检查和指导，维护重要信息系统安全和国家安全。

• 网络安全等级保护工作的内涵（等级保护2.0描述）

网络安全等级保护是对网络进行分等级保护、分等级监管，是将信息网络、信息系统、网络上的数据和信息，按照重要性和遭受损坏后的危害性分成五个安全保护等级(从第一级到第五级，逐级增高)；等级确定后，第二级(含)以上网络到公安机关备案，公安机关对备案材料和定级准确性进行审核，审核合格后颁发备案证明；备案单位根据网络的安全等级，按照国家标准开展安全建设整改，建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度；选择符合国家要求的测评机构开展等级测评；公安机关对第二级网络进行指导，对第三、第四级网络定期开展监督、检查。

等级保护的五个级别以及五个规定动作由《信息安全等级保护管理办法》（公通字【2007】43号）文给出，这个文件对等级保护1.0乃至2.0的工作起到了非常重要的指导作用，希望对等级保护制度有更深的了解和理解的朋友，这个政策文件是必须要读或有必要深入研究的。同时，从这文件里，我们可以解读出另一个信息，也是很多人在这方面容易被误导的一件事。那就是等级保护制度和等级保护测评两个概念，等级保护制度从文件里我们看到涉及了公安、保密、密码三部门，各个部门各司其职，三个部门又相辅相成全面覆盖我国网络安全整个行业。

公安机关负责非涉密系统的等级保护工作，也就是常规的等级保护测评的监管；保密部门负责涉密系统的等级保护工作，也就是常规的分级保护测评的监管；密码部门负责密码技术相关的保护工作，也就是所谓密码保护测评的监管。可见，等级保护测评、分级保护测评、密码测评三者工作密切配合，成为我国等级保护制度的三大支撑。等级保护制度统归就是一个制度，而工作划分则为三大方面。

 10.6 企业进行等级测评的必要性

现在企业对信息安全越来越重视，大家或多或少都听说过做等级保护这个事。那么做等级保护是不是每个企业必须要做的呢？答案是不是必需的。既然不是必需的那为什么那么多企业还是要做等级保护呢？

主要有如下几点原因：

01如果不做等级保护，出了信息安全事故，除了公司自身的经济损失之外，还将面临公安部的责令停业整顿和经济处罚。

所以说等级保护不是必需做的，其实他也可以说是必需做的一件事。不做等级保护隐患太大，毕竟业务停业整顿不是每个公司都能承受的。做了等级保护如果再出现信息安全事故，至少公安部这边好解释，同时处罚也不会这么重了。以下为网络安全法的几条相关规定和处罚措施：

《中华人民共和国网络安全法》（以下简称《网络安全法》）于2017年6月1日正式实施

第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护的义务。保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

第二十五条：网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

第五十九条规定：网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五元以上五万元以下罚款。

第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。

《网络安全法》第六章规定的14种惩罚手段：约谈，断网，勒令改正，警告，罚款，暂停相关业务，停业整顿，关闭网站，吊销相关业务许可证，吊销营业执照，拘留，职业禁入，民事责任，刑事责任。

总而言之，等保2.0实施后，不开展等级保护等于违反《网络安全法》，可以根据法律法规进行处罚。

02做等级保护不光是为了应对公安部门的检查，对企业自身的安全也是很有帮助的。

有些公司在迅猛发展过程中往往只看重业务而忽视了安全问题，不仅没有安全团队，对代码和数据的保护都没有任何措施。可能运维人员知道这个问题的严重性，但由于管理人员的角度不同往往会忽略这个问题的严重性。所以运维人员可以利用做等级保护这个契机把公司的安全隐患给消除掉。

通常人们会抱有侥幸的心理，认为自己公司这么多年不做等保不搞信息安全也没啥事，还能省一笔费用。那我要告诉你这样做万一造成了信息安全事故可能造成的经济损失将会远远超过你不做等保不搞信息安全省下来的费用。这里我举几个2020年发生的重大信息安全事故的例子给大家看一下：

1. 浙江一家银行泄漏客户信息被罚30万

4月，有媒体报道，浙江岱山农商银行、浙江民泰商业银行有内部人员违规泄露客户信息。其中，浙江岱山农商银行被银保监会罚款30万，泄露信息的内部员工被禁业三年。南都记者注意到，类似泄露客户个人信息案件的“内鬼”多来自运营商、银行、物流等掌握大量个人信息的行业。在“净网2018”、“净网2019”、“净网2020”专项行动中，公安机关在侵犯公民个人信息案件中抓获各行业“内鬼”3000余名。

2. 国泰航空泄漏940万乘客资料，被罚500万港币

航空圈讯 英国资讯委员会办公室（ICO）当地时间3月4日公布消息说，对国泰航空有限公司（Cathay Pacific Airways Limited）罚款50万英镑（约450万元人民币或者500万元港币），原因是该公司未能保护客户个人数据的安全。ICO称，2014年10月至2018年5月期间，国泰航空的计算机系统缺乏适当的安全措施，导致客户的个人信息被泄露，其中111578人来自英国，而全球约940万人。

类似上面的信息安全事故每年都有发生，很大一部分原因就是这些企业对安全不够重视造成的。

 10.7  等保评估的时间间隔
二级等保一般是两年一次，三级是一年一次，四级是半年一-次, 五级可能随时评估。可以看出，等保级别越高，评价的间隔时间越短。