等保测评解析.docx

等保测评浅析TOC\o1-3\h\z\u

一、等保含义 3

二、为什么要做等保 3

1.安全标准 3

2.法律要求 3

3.自我检查 3

三、等保包含的内容 3

四、等保分几个等级 4

五、等保法律要求 5

六、等保测评 5

1.等保测评流程 5

2.测评目的 6

3.测评标准 7

4.参考依据 7

七、二、三级等保整改内容 7

1.二级等保 7

1.1二级系统机房整改内容 7

1.2二级等保系统所需安全设备 9

2.三级等保 9

2.1三级系统机房整改内容 9

2.2三级系统等保所需设备 11

八、等保测评机构 12

1.等保机构要求 12

2.等保测评价格 12

3.各省等保测评机构统计 13

4.相关法规标准依据 16

一、等保含义

等保即信息安全等级保护，是我国网络安全领域的基本国策、基本制度。公安部评估中心《信息安全技术网络安全等级保护基本要求》GB/T22239—2019，于2019年5月10日发布，2019年12月1日开始实施。

二、为什么要做等保

1.安全标准

信息安全等级保护（简称等保）是目前检验一个系统安全性的重要标准，是对系统是否满足相应安全保护的评估方法。

2.法律要求

《网络安全法》和《信息安全等级保护管理办法》明确规定网络运营者应当履行安全保护义务，如果拒不履行，将会受到相应处罚。

3.自我检查

开展等保可对系统进行一次全面检测，全面发现系统内部的安全隐患与不足之处。

三、等保包含的内容

等保是一个全方位系统安全性标准，不仅仅是程序安全，包括：物理安全、应用安全、通信安全、边界安全、环境安全、管理安全等方面。而整体应用会划分为：云计算、移动互联、物联网、工业控制系统（风力、光伏、变电站等都隶属于工业控制系统）、大数据等类型。

【物理安全】机房物理访问控制、防火，防雷击，温湿度控制、电力供应，电磁防护。

【应用安全】应用具备身份鉴别、访问控制、安全审计、剩余信息保护、软件容错、资源控制和代码安全。

【通信安全】包括网络架构，通信传输，可信验证。

【边界安全】包括边界防护，访问控制，入侵防范，恶意代码防护等。

【环境安全】入侵防范，恶意代码防范，身份鉴别，访问控制，数据完整性、保密性，个人信息保护。

【管理安全】系统管理，审计管理，安全管理，集中管控。

四、等保分几个等级

等保分五个级别，等级越高安全性越好，其中：

【等保一级】等保一级为“用户自主保护级”，是等保中最低的级别，该级别无需测评，提交相关申请资料，公安部门审核通过即可。

【等保二级】等保二级为“系统审计保护级”，是目前使用最多的等保方案，所有“信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。”范围内网站均可适用，可支持到地级市各机关、事业单位及各类企业的系统应用，比如：网上各类服务的平台（尤其是涉及到个人信息认证的平台），市级地方机关、政府网站等等。

【等保三级】等保三级等为“安全标记保护级”，级别更高，支持“信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。”范围，适用于“地级市以上的国家机关、企业、事业单位的内部重要信息系统”，比如省级政府官网、银行官网等等。三级等保也是我们能制作的最高级别等保网站。

【等保四级】等保四级等保适用于国家重要领域、涉及国家安全、国计民生的核心系统，比如中国人民银行就是目前唯一四级等保的中国央行门户集群。

【等保五级】等保五级等保是目前我国最高级别，一般应用于国家的机密部门。

五、等保法律要求

《网络安全法》和《信息安全等级保护管理办法》明确规定信应履行安全保护义务，如果拒不履行，将会受到相应处罚。

以下节选自《中华人民共和国网络安全法》：

第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

第三十八条：关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

第五十九条：网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安