网络安全等级保护(等保2.0)全面解析:从“被罚款“到“过测评“,这篇8000字把等保讲透了!(PPT)
导读:你知道吗?不做等保,被黑客攻击后不仅要承担损失,还会被公安机关处以1万至100万元不等的罚款,主要负责人更会被个人处罚。《网络安全法》实施以来,已有医院、高校、图书馆、政府网站相继被查处。本文以一份完整的《网络安全等级保护解决方案》为蓝本,从等保发展历程→五级定级体系→测评全流程→技术解决方案→产品部署清单,超8000字系统讲透等保2.0,收藏即是学习!🔐
目录
- 什么是等保?三句话讲清楚
- 等保发展历程:从1994年到等保2.0正式实施
- 等保的法律依据:不做等保就是违法!
- 五大执法案例:这些单位因为没做等保被罚了
- 等保的五个级别:你的系统该定几级?
- 为什么必须做等保?四大核心理由
- 等保2.0法规与标准体系全景
- 哪些系统必须做等保?覆盖12大行业
- 各行业定级标准详解:教育、医疗、电力、金融
- 等保测评全流程:从定级到拿到报告需要几步
- 等保三级技术要求完整解读:网络安全篇
- 等保三级技术要求完整解读:主机安全篇
- 等保三级技术要求完整解读:应用与数据安全篇
- 等保技术解决方案:产品部署全景图解析
- 三级等保产品清单:每个控制点对应什么产品
- 等保2.0新增扩展要求:云、移动、物联网、工控
一、什么是等保?三句话讲清楚 {#1}
等级保护,简称**“等保”**,官方定义看起来很复杂,但本质就是三句话:
第一句:对信息系统,分等级保护——系统越重要,防护要求越高;
第二句:对信息安全产品,分等级管理——不同等级系统要用符合要求的安全产品;
第三句:对信息安全事件,分等级响应处置——事件发生后,按等级启动不同强度的应对机制。
核心精神:系统重要程度有多高,安全保护就应当有多强,既不能保护不足,也不能过度保护。
这种"适度安全"的理念是等级保护最重要的思想精髓——一个小型乡镇管理系统,和一个全国联网的银行核心系统,绝不能套用同一套安全标准。
等保涵盖三个维度的管理对象:
- 信息系统本身:按等级分类、定级、建设、测评
- 安全产品:按等级管理(不是随便买个防火墙就算数)
- 安全事件:按等级响应(一级系统被攻击和三级系统被攻击,响应方式完全不同)
二、等保发展历程:从1994年到等保2.0正式实施 {#2}
等级保护在中国已有30年历史,经历了从萌芽到成熟的四个阶段:
阶段一(1994-2003):政策环境营造
- 1994年:国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护,这是等保制度的法律起点
- 2003年:中央办公厅、国务院办公厅颁发中办发[2003]27号文件,明确指出"实行信息安全等级保护"
阶段二(2004-2006):工作开展准备
公安部联合四部委开展大规模基础调查:
- 涉及单位:65117家
- 覆盖信息系统:115319个
- 目的:摸清底数,为全面推进等保工作打基础
阶段三(2007-2010):等保1.0正式启动
- 2007年6月:四部门联合出台《信息安全等级保护管理办法》
- 2007年7月:召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,等保制度正式实施
- 2010年:公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,要求中央企业全面贯彻执行
阶段四(2016-2019):等保2.0时代
- 2016年10月:公安部网络安全保卫局组织修订原有GB/T 22239-2008系列标准
- 2017年:发布云计算、移动互联、物联网、工控系统四大扩展要求征求意见稿
- 2019年5月13日:等保2.0系列标准正式发布
- 2019年12月1日:等保2.0正式实施,进入等保2.0时代
| 阶段 | 时间 | 核心里程碑 |
|---|---|---|
| 政策营造期 | 1994-2003 | 国务院147号令奠定法律基础 |
| 准备期 | 2004-2006 | 全国11万+系统基础调查 |
| 等保1.0 | 2007-2016 | 制度正式实施,测评体系建立 |
| 等保2.0 | 2019至今 | 标准修订,扩展云/移动/物联网/工控 |
三、等保的法律依据:不做等保就是违法! {#3}
很多人以为等保只是"可选项",这是最大的误解。《网络安全法》已经把等保写入了强制性法律条款:
《网络安全法》第二十一条(义务条款)
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
《网络安全法》第五十九条(处罚条款)
对普通网络运营者:
- 警告+责令改正
- 拒不改正或导致危害后果:处1万元以上10万元以下罚款
- 直接负责主管人员:处5千元以上5万元以下罚款
对关键信息基础设施运营者:
- 罚款幅度大幅提升:处10万元以上100万元以下罚款
- 直接负责主管人员:处1万元以上10万元以下罚款
注意:罚款是对单位和对个人双罚制,主管领导逃不掉!
其他强制性依据
- 《网络安全等级保护条例》(征求意见稿):国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管
- 《关键信息基础设施安全保护条例》:关键信息基础设施安全保护等级不低于三级
- 中央领导批示:健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度
四、五大执法案例:这些单位因为没做等保被罚了 {#4}
理解法律条文不如看真实案例。以下5个案例,覆盖医院、图书馆、政府、高校等各类单位,触目惊心:
案例一:重庆某私立医院——业务全面"停摆",罚款1万元
事件经过:重庆永川某私立医院将HIS、LIS、PACS、EMR等后台系统业务以及微信公众号后台、医院网站等全部放置在同一套服务器中,未安装边界防护设备、未安装日志行为审计设备,未设置数据安全备份策略,医院系统在互联网上长期处于"裸奔"状态。黑客通过互联网攻破医院系统后植入勒索病毒,导致医院业务全面"停摆"。
处罚结果:
- 单位罚款:1万元
- 直接负责主管人员罚款:5千元
- 法律依据:《网络安全法》第五十九条
教训:多套核心业务系统共用一台服务器、无边界防护、无审计——任何一个等保三级要求都没达到。
案例二:河南封丘县图书馆——网站遭受攻击,罚款2万元
事件经过:封丘县图书馆未采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施,导致网站遭受攻击。
处罚结果:
- 单位罚款:2万元
- 直接责任人海某:行政罚款5千元 + 行政警告处分
案例三:山西忻州某省直事业单位——SQL注入漏洞连续被通报
事件经过:2017年6月至7月,该单位网站存在SQL注入漏洞,连续被国家网络与信息安全信息通报中心通报。
处罚结果:忻州市、县两级公安机关网安部门依法给予行政警告处罚并责令改正
教训:SQL注入是最基础的Web漏洞,等保测评中应用安全必测项——没做等保,连基本漏洞扫描都没有。
案例四:安徽蚌埠怀远县教师进修学校——约谈校领导和副县长
事件经过:该学校网站自上线运行以来,始终未进行网络安全等级保护的定级备案、等级测评等工作,遭黑客攻击入侵。
处罚结果:
- 约谈学校法定代表人、怀远县人民政府分管副县长(副县长被约谈!)
- 单位罚款:1.5万元
- 直接负责副校长:罚款5千元
案例五:安徽淮南职业技术学院——4353名学生信息泄露,国内首例高校案
事件经过:招生信息管理系统存在越权漏洞、后台弱口令,未建立网络安全防护技术措施、网络日志留存少于六个月,未采取数据分类、重要数据备份和加密措施,导致4353名学生身份信息泄露。
处罚结果:责令整改 + 行政警告(国内首例高校违法案例)
教训:等保要求网络日志留存不少于6个月——这是等保最基础的要求之一,很多单位直接忽视。
五、等保的五个级别:你的系统该定几级? {#5}
等保将信息系统分为五个安全保护等级,级别越高,要求越严,监管越强:
| 等级 | 名称 | 损害客体 | 损害程度 | 备案要求 | 测评频次 |
|---|---|---|---|---|---|
| 第一级 | 自主保护级 | 公民/法人合法权益 | 一般损害 | 无需备案 | 无要求 |
| 第二级 | 指导保护级 | 公民权益/社会秩序 | 严重损害 | 公安部门备案 | 建议两年一次 |
| 第三级 | 监督保护级 | 社会秩序/国家安全 | 严重损害 | 公安部门备案 | 每年一次 |
| 第四级 | 强制保护级 | 国家安全/社会秩序 | 特别严重损害 | 公安部门备案 | 每半年一次 |
| 第五级 | 专控保护级 | 国家安全 | 特别严重损害 | 公安部门备案 | 依特殊需求 |
关键信息基础设施:安全保护等级不低于三级(法定要求,无商量余地)
实际操作中的定级参考
第一级:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般信息系统
第二级:
- 县级某些单位中的重要信息系统
- 地市级以上国家机关、企事业单位内部一般信息系统
- 非涉及工作秘密、商业秘密的办公系统和管理系统
第三级(最常见,大多数单位需要达到):
- 地市级以上国家机关、企业、事业单位内部重要信息系统
- 涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统
- 跨省或全国联网运行的重要信息系统
- 中央各部委、省(区、市)门户网站和重要网站
- 跨省联接的网络系统
第四级(国家重要领域核心系统):
- 电力生产控制系统
- 银行核心业务系统
- 电信核心网络
- 铁路客票系统
- 列车指挥调度系统
六、为什么必须做等保?四大核心理由 {#6}
理由一:降低安全风险,提高防护能力
通过等保测评,能系统性发现信息系统内外部存在的安全风险和脆弱性。关键词是"系统性"——不是头痛医头脚痛医脚,而是按照国家标准全面扫描安全漏洞,整改后实现整体安全能力的跃升。
理由二:满足法律法规强制要求
如前所述,《网络安全法》第二十一条明确规定必须按照等保制度要求履行安全保护义务。不做等保就是违法,这不是建议,是法律义务。
理由三:满足行业主管单位要求
以下行业已明确下发等保要求文件:
- 金融行业:银行、保险、证券
- 电力行业:国家电力监管委员会
- 医疗行业:卫生部办公厅
- 教育行业:教育部办公厅
- 广电行业
- 烟草行业
行业监管机构:公安、网信办、经信委、通管局等都会要求开展等保工作。不做等保,没法向主管单位和行业领导们交代。
理由四:合理规避或降低事后法律风险
这是很多人没有意识到的重要价值:出了安全事件,有没有做等保,处罚结果完全不同。
一个主观上重视安全工作(有备案证明、有测评报告)但因技术不足被攻击的单位,和一个主观上根本不重视(连等保都没做)被攻击的单位,孰轻孰重,一目了然。
拿出备案证明和测评报告,比买了一堆安全设备更有说服力——因为这是国家基本信息安全制度的执行证明。
七、等保2.0法规与标准体系全景 {#7}
等保2.0建立了完整的标准体系,从法律到技术标准层层递进:
法律层(最高层) ├── 《中华人民共和国网络安全法》 └── 《网络安全等级保护条例》(制订中) 上位标准层 └── GB 17859-1999《计算机信息系统安全保护等级划分准则》 核心标准层(等保2.0新发布,2019年12月1日起实施) ├── GB/T 22239-2019《网络安全等级保护基本要求》 ← 定什么要做什么 ├── GB/T 25070-2019《网络安全等级保护安全设计技术要求》 ← 怎么做 └── GB/T 28448-2019《网络安全等级保护测评要求》 ← 如何评 支撑标准层 ├── GB/T 28449-2018《网络安全等级保护测评过程指南》 ├── GB/T 22240《网络安全等级保护定级指南》(修订) └── GB/T 25058《网络安全等级保护实施指南》(修订)等保2.0 vs 等保1.0 的核心变化:
- 保护对象从"信息系统"扩展到"网络基础设施",覆盖云计算、大数据、物联网、移动互联、工控系统
- 标准结构调整,强化"一个中心,三重防御"思想
- 强化可信计算技术的应用要求
- 将安全管理中心(SOC)提升为独立层次
八、哪些系统必须做等保?覆盖12大行业 {#8}
需要实施安全等级保护的信息系统涵盖以下领域:
| 行业类别 | 典型系统 |
|---|---|
| 党政系统 | 党委、政府信息系统 |
| 金融系统 | 银行、保险、证券核心业务系统 |
| 财税系统 | 财政、税务、工商信息系统 |
| 经贸系统 | 商业贸易、海关系统 |
| 电信系统 | 邮电、电信、广播、电视系统 |
| 能源系统 | 电力、热力、燃气、煤炭、油料系统 |
| 交通运输 | 航空、航天、铁路、公路、水运、海运系统 |
| 供水系统 | 水利及水源供给系统 |
| 社会应急 | 医疗、消防、紧急救援系统 |
| 医院专项 | HIS、LIS、PACS、EMR、门户网站、OA系统 |
| 政务系统 | 门户网站、电子政务网络、邮件系统、应急管理系统、大数据云计算中心 |
| 教育系统 | 学校门户网站、财务管理、教务管理、校园一卡通系统 |
简单判断原则:只要是运营者(不论国有、私营、事业单位),只要系统面向社会服务,都在等保制度约束范围内。
九、各行业定级标准详解:教育、医疗、电力、金融 {#9}
9.1 教育行业
依据《教育行业信息系统安全等级保护定级指南》(教育部办公厅,2014年):
| 学校类型 | 定级范围 |
|---|---|
| I类(重点建设类高等学校) | 门户网站、财务管理系统、校园一卡通、教务管理系统 →三级等保 |
| Ⅱ类(高等学校) | 所有信息系统 →二级等保 |
| Ⅲ类(中小学含中职中专) | 所有信息系统 →一级等保 |
9.2 医疗卫生行业
依据《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》:
需要重点开展等级保护的系统:
- HIS系统(医院信息系统)
- LIS系统(实验室信息系统)
- EMR系统(电子病历系统)
- PACS系统(影像归档与通信系统)
- 办公系统
- 门户网站系统
以上系统通常需达到二至三级保护要求。
9.3 电力行业
依据《电力行业信息系统安全等级保护定级工作指导意见》(国家电力监管委员会):
| 系统类型 | 规模条件 | 定级 |
|---|---|---|
| 风电场电力监控系统 | 200兆瓦及以上 | 三级 |
| 风电场电力监控系统 | 200兆瓦以下 | 二级 |
| 火电厂电力监控 | 单机容量300兆瓦及以上 | 三级 |
| 火电厂电力监控 | 300兆瓦以下 | 二级 |
| 变电站自动化系统 | 220千伏及以上 | 三级 |
| 变电站自动化系统 | 220千伏以下 | 二级 |
9.4 金融行业
主要依据:
- 《证券期货业信息系统安全等级保护基本要求》JR/T 0060-2010(证监会)
- 《金融行业信息系统信息安全等级保护实施指引》JR/T 0071-2012(人民银行)
银行核心业务系统通常定为四级,普通业务系统定为三级。
十、等保测评全流程:从定级到拿到报告需要几步 {#10}
等保测评有四个核心步骤,工期通常为30-60天:
Step1 【定级】——等级保护的首要环节 ↓ 确定系统保护等级(一至五级) ↓ 依据:GA/T 1389-2017定级指南 + GB 17859-1999 Step2 【备案】——等级保护的核心 ↓ 向公安部门提交备案材料(二级及以上) ↓ 获取备案证明(有了它才能证明"我做了等保") Step3 【建设整改】——等级保护落实的关键 ↓ 预测评:测评公司/咨询公司提供整改意见 ↓ 物理安全:机房建设与整改(院方自行完成) ↓ 技术安全:采购安全产品,完成部署(安全厂商+集成商) ↓ 管理要求:完善管理制度(院方+安全厂商技术支撑) Step4 【等级测评】——评价安全保护状况的方法 ↓ 资产调研 → 启动会议 → 现场评估 → 整改加固 → 末次会议 → 报告交付 ↓ 工期:30-60天交付成果
完成测评后交付以下材料:
- 《XX信息系统信息安全等级保护测评报告》共3份(用户单位、测评机构、公安部门各一份)
- 《XX单位信息系统信息安全等级保护建设整改方案》
测评机构要求:必须是经公安部或省级公安机关认定的有资质的测评机构,不是随便找家公司就可以。
十一、等保三级技术要求完整解读:网络安全篇 {#11}
等保三级是绝大多数单位需要达到的级别,也是本文重点解读的对象。
11.1 结构安全(G3)——7项要求
| 要求项 | 核心内容 | 技术实现 |
|---|---|---|
| a | 主要网络设备业务处理能力具备冗余空间 | 主要设备、部件冗余 |
| b | 网络各部分带宽满足业务高峰期需要 | 带宽预留规划 |
| c | 业务终端与服务器之间建立安全访问路径 | 策略路由、动态路由协议认证 |
| d | 绘制与当前运行情况相符的网络拓扑图 | 定期更新拓扑图(纸质或管理软件) |
| e | 根据工作职能、重要性划分子网/网段 | 合理网段划分设计 |
| f | 重要网段与其他网段间可靠技术隔离 | 防火墙策略(关键要求) |
| g | 按业务重要次序分配带宽优先级 | 防火墙QoS策略、流控系统 |
11.2 访问控制(G3)——8项要求
| 要求项 | 核心内容 | 产品实现 |
|---|---|---|
| a | 网络边界部署访问控制设备 | 防火墙 |
| b | 基于会话状态的端口级访问控制 | 防火墙策略 |
| c | 对进出信息内容进行过滤,应用层协议命令级控制(HTTP/FTP/TELNET/SMTP/POP3) | 下一代防火墙/WAF(关键要求) |
| d | 非活跃会话超时终止连接 | 防火墙会话老化设置 |
| e | 限制网络最大流量数及连接数 | 防火墙策略 |
| f | 重要网段防止地址欺骗 | IP/MAC绑定(防火墙+交换机组合) |
| g | 基于用户身份的访问控制(单个用户粒度) | 下一代防火墙+AAA系统 |
| h | 限制拨号访问权限用户数量 | 防火墙/VPN |
11.3 安全审计(G3)——4项要求
- a:对网络设备运行状况、网络流量、用户行为进行日志记录
- b:审计记录包含:日期时间、用户、事件类型、是否成功等
- c:能根据记录数据分析,生成审计报表
- d:对审计记录进行保护,防止删除、修改或覆盖
产品实现:网络审计系统 + 日志审计系统 +堡垒机
11.4 边界完整性检查(S3)——2项核心要求
这是很多单位的盲区:
- a:能检查非授权设备私自接入内部网络的行为,准确定位并有效阻断(→终端准入系统)
- b:能检查内部网络用户私自联到外部网络的行为,准确定位并有效阻断(→终端准入系统)
11.5 入侵防范(G3)
在网络边界处监视以下攻击行为:
- 端口扫描、强力攻击、木马后门攻击
- 拒绝服务攻击(DDoS)
- 缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击
检测到攻击时,记录攻击源IP、攻击类型、攻击目的、攻击时间,发生严重入侵时提供报警。
产品实现:IDS(入侵检测系统)、IPS(入侵防御系统)
11.6 网络设备防护(G3)——8项要求
| 要求 | 技术实现 |
|---|---|
| 登录用户身份鉴别 | 堡垒机辅助+设备本地策略 |
| 管理员登录地址限制 | ACL访问控制列表 |
| 用户标识唯一 | 堡垒机管理+账号规范 |
| 双因素身份鉴别 | 堡垒机做双因素认证(密码+令牌) |
| 口令复杂度要求并定期更换 | 密码策略强制执行 |
| 登录失败处理(限制非法登录次数、超时退出) | 设备策略控制 |
| 远程管理采取防窃听措施 | 使用SSH替代Telnet |
| 特权用户权限分离 | 设备上设置分级用户权限 |
十二、等保三级技术要求完整解读:主机安全篇 {#12}
主机安全涵盖服务器、工作站等主机设备的安全保护,共七大控制项:
| 控制项 | 核心要点 | 实现手段 |
|---|---|---|
| 身份鉴别 | 组合鉴别技术(双因素),不能只有用户名密码 | 堡垒机+令牌/证书 |
| 访问控制 | 管理用户权限分离,敏感标记设置 | 主机安全基线配置 |
| 安全审计 | 审计记录、审计报表、审计记录保护 | 数据库审计、主机审计 |
| 剩余信息保护 | 存储空间释放时清除敏感信息(防止数据残留被恢复) | 终端综合管理系统 |
| 入侵防范 | 监控重要服务器状态,最小化服务,检测告警 | HIDS主机入侵检测 |
| 恶意代码防范 | 与网络恶意代码库分离部署,定期更新特征库 | 终端防病毒软件(网络版) |
| 资源控制 | 监控重要服务器,最小化服务,检测报警 | 主机安全加固 |
主机安全最重要的两点:
- 最小权限原则:每个用户只有完成其工作所必需的最小权限
- 最小化服务:关闭一切不必要的服务和端口,减少攻击面
十三、等保三级技术要求完整解读:应用与数据安全篇 {#13}
13.1 应用安全(9大控制项)
| 控制项 | 核心要点 |
|---|---|
| 身份鉴别 | 组合鉴别技术,防止弱口令 |
| 访问控制 | 敏感标记设置,最小权限原则 |
| 安全审计 | 审计报表及审计记录保护 |
| 剩余信息保护 | 敏感信息清除、存储空间释放 |
| 通信完整性 | 整个报文及会话传输过程完整性保护 |
| 通信保密性 | 整个报文及会话传输过程加密 |
| 防抵赖 | 原发证据的提供(数字签名) |
| 软件容错 | 出错校验、自动保护机制 |
| 资源控制 | 资源分配、优先级、最小化服务及检测报警 |
13.2 数据安全(3大控制项)
| 控制项 | 核心要点 | 实现手段 |
|---|---|---|
| 数据完整性 | 数据存储、传输的完整性检测和恢复 | 数字签名、哈希校验 |
| 数据保密性 | 数据存储、传输的加密保护 | 加密技术(TLS传输+存储加密) |
| 备份和恢复 | 冗余、备份(重要数据本地+异地备份) | 备份系统、容灾系统 |
十四、等保技术解决方案:产品部署全景图解析 {#14}
整个等保解决方案将系统划分为四个安全区域,实现纵深防御:
14.1 互联网接入区(Internet出口)
面临威胁:外部攻击、DDoS攻击、恶意代码入侵
核心部署:
- 边界防火墙(FW):互联网与内网的第一道防线,访问控制、NAT
- IPS/AV(入侵防御+防病毒):4-7层深度包检测,恶意代码防范
- DDoS防御设备:清洗DDoS攻击流量,保障业务连续性
- 上网行为管理:内部用户上网行为管控、违规外联检测
- SSL VPN网关:远程安全接入通道
14.2 Web服务区(对外提供Web服务)
面临威胁:SQL注入、XSS跨站攻击、CSRF等Web攻击
核心部署:
- WAF(Web应用防火墙):专门防护Web应用层攻击
- Web防火墙:对Web服务器的流量进行过滤控制
14.3 数据中心区(核心业务和数据)
面临威胁:内部横向渗透、数据窃取、越权访问
核心部署:
- 核心防火墙/IPS:数据中心内部区域隔离
- 数据库服务器、应用服务器、文件服务器等核心资产
14.4 管理区(安全运维管理)
核心部署(安全管理中心):
- 运维审计系统(堡垒机):所有运维操作录屏审计,防止内部人员违规
- 网络管理系统(NMS):网络设备统一监控管理
- 日志审计系统:全网日志集中收集分析(留存时间≥6个月)
- 漏洞扫描系统:定期主动发现安全漏洞
- 终端安全准入系统:控制终端接入,防止非授权设备私接
- 态势感知平台(CIS):宏观安全态势分析与威胁发现
十五、三级等保产品清单:每个控制点对应什么产品 {#15}
这是最实用的一张表——等保三级每个技术要求点对应的产品类型:
| 安全领域 | 基本要求 | 对应产品 |
|---|---|---|
| 安全通信网络 | 网络结构(VLAN划分) | 三层交换机、MPLS VPN |
| 访问控制(权限分离) | 防火墙 | |
| 入侵防范(检测告警) | HIDS(主机入侵检测) | |
| 备份恢复(数据备份) | 设备冗余、本地备份 | |
| 数据完整性/保密性 | VPN设备 | |
| 剩余信息管理 | 终端综合管理系统 | |
| 身份认证(双因素) | 证书/令牌/密保卡 | |
| 恶意代码防范(统一管理) | 网络版主机防病毒软件 | |
| 安全区域边界 | 区域边界访问控制(协议检测) | 防火墙(IPS) |
| 资源控制(优先级控制) | 带宽管理、流量控制设备 | |
| 区域边界入侵检测 | IDS | |
| 区域边界恶意代码防范 | 防病毒网关(防毒墙) | |
| 区域边界完整性保护 | 终端综合管理系统(终端准入) | |
| 安全通信网络 | 通信网络安全审计 | 上网行为管理 |
| 数据传输完整性/保密性 | VPN设备 | |
| 安全管理中心 | 集中管控 | 安全管理平台(SOC/SIEM) |
| 审计管理(网络/主机/应用) | 安全审计系统+堡垒机 |
说明:等保2.0新增了安全管理中心作为独立层次,要求对全网安全设备和日志进行集中统一管控,这是等保1.0没有的要求。
十六、等保2.0新增扩展要求:云、移动、物联网、工控 {#16}
等保2.0相比1.0的最大变化是增加了四类扩展要求,应对新技术场景:
16.1 云计算安全扩展要求
核心新增要求:
- 云服务商与云租户责任边界划分(共担责任模型)
- 虚拟机之间的访问控制
- 虚拟化安全防护(镜像/快照安全)
- 云服务商应具备等保三级及以上认证
关键问题:你的系统部署在云上,不代表可以免做等保——租用了云服务商的基础设施,但应用层安全责任依然是租户的。
16.2 移动互联安全扩展要求
核心新增要求:
- 移动应用的身份鉴别(手机端)
- 移动设备管理(MDM)
- 移动应用代码安全(防逆向、防篡改)
- 移动数据安全(本地存储加密)
16.3 物联网安全扩展要求
核心新增要求:
- 感知节点(传感器/采集设备)的身份鉴别
- 感知节点与网关之间通信加密
- 感知节点物理安全防护
- 网关节点访问控制
16.4 工业控制系统安全扩展要求
核心新增要求:
- 工业控制系统与企业IT网络隔离(工业防火墙/单向隔离装置)
- 工业协议(Modbus/OPC/DNP3等)安全过滤
- 工控设备漏洞管理与补丁管理
- 工业控制系统的安全审计(操作记录留存)
写在最后:等保的三个底层逻辑
等保制度实施30年,从形式合规到实质安全,有三个底层逻辑值得深刻理解:
第一:等保是"基线",不是"天花板"
通过等保三级测评,意味着你的安全防护达到了国家规定的基本要求。这是基线,不是终点。真正有安全意识的单位,会在等保基础上持续提升,构建适合自身业务特点的安全体系。
第二:做等保不是为了应付检查,而是为了真正安全
很多单位把等保当成"合规作业"——测评前突击整改,测评后恢复原状。这种心态只会带来两个结果:白花了钱,又没有安全。正确的做法是把等保整改成果常态化运营,让安全产品真正发挥作用。
第三:安全是持续投入,不是一次性建设
等保三级要求每年测评一次,这本身就说明了一个道理:安全威胁在持续演进,安全防护也必须持续更新。购买一次安全产品、做一次等保,不能保你永久安全;持续的漏洞扫描、安全加固、员工培训、事件响应,才是真正的安全运营。
你们单位的等保工作做到哪个阶段了?定级、备案、还是已经通过测评?欢迎评论区交流!
🔥点赞 + 收藏 + 关注,持续输出网络安全/等保合规/信息安全深度干货!
本文内容基于《网络安全等级保护解决方案》PPT整理,结合国家标准与法规要求,供参考学习。相关法律条款请以最新官方发布版本为准。
标签:网络安全等级保护等保2.0等保测评GB/T 22239-2019网络安全法防火墙IDSIPSWAF堡垒机日志审计态势感知终端准入云安全工控安全数据安全信息安全合规等保三级等保定级安全合规