一、等保核心认知
1. 等保定义与法律地位
- 定义:等保是国家对信息系统按重要性分级保护的基础制度,涵盖定级、备案、建设整改、测评、检查五个阶段。
- 法律强制:《网络安全法》第21条明确要求网络运营者履行等保义务,违者最高罚款100万元(单位)及10万元(责任人)。
2. 甲方核心价值
- 合规避险:金融、医疗、教育等行业监管明确要求等保资质(如支付系统需二级以上)。
- 风险管控:通过年检式测评(三级每年1次)发现漏洞,避免数据泄露导致的业务中断与商誉损失。
- 商业竞争力:等保备案证明是政府/国企项目投标的硬性门槛。
3. 实施路径
二、等保五级体系详解
1. 分级标准与适用场景
| 等级 | 破坏后果 | 适用场景 | 测评周期 | 共性措施 |
|---|---|---|---|---|
| 第一级 | 损害公民/组织权益 | 企业官网、内部非核心系统 | 可自评 | 基础访问控制、日志留存6个月 |
| 第二级 | 损害社会秩序/公共利益 | 企业OA、普通业务系统 | 2年1次 | 增加入侵检测、备份恢复 |
| 第三级 | 严重危害社会秩序或国家安全 | 医疗ERP、支付平台、政府门户网站 | 强制年检 | 三重防护+安全管理中心 |
| 第四级 | 特别严重危害国家安全 | 电网调度、银行核心系统 | 半年1次 | 实时防御、量子加密、冗余架构 |
| 第五级 | 极端危害国家安全 | 国防指挥系统 | 特殊要求 | 最高级物理隔离 |
注:定级需综合业务信息(数据价值)与系统服务(业务连续性)损害程度,取较高者。
2. 行业特殊要求
- 金融:支付系统强制三级,需通过央行审核。
- 医疗:互联网诊疗平台必须过三级等保。
三、等保三级实施清单
1. 技术防护(“一个中心,三重防护”)
- 安全通信网络
🔹 核心业务与非核心网络隔离;数据传输加密(TLS/IPSec)。 - 安全区域边界
🔹 部署下一代防火墙(NGFW)+WAF;关闭Telnet/FTP等非必要端口。 - 安全计算环境
🔹 服务器:强制双因素认证(如短信+指纹);
🔹 数据安全:AES-256加密存储+每日备份验证。 - 安全管理中心
🔹 集中日志审计(留存≥6个月),部署SIEM系统实时告警。
2. 管理要求
- 制度文件:《网络安全管理办法》《应急预案》。
- 人员培训:全员年安全培训≥8小时,外包人员背景审查。
- 运维监控:季度漏洞扫描+年度渗透测试。
3. 成本与周期
- 费用:首次测评+整改约15-50万元(规模20-100服务器)。
- 周期:定级到取证通常4-6个月。
四、等保三级必备设备清单
| 层级 | 设备/系统 | 功能要求 | 部署示例 |
|---|---|---|---|
| 互联网出口 | 防火墙+IPS+VPN | 端口级访问控制、阻断SQL注入 | 仅开放443/8080端口,VPN双因素认证 |
| 核心交换层 | IDS+网络审计 | 全流量监测、操作回溯 | 核心交换机旁路部署,覆盖所有VLAN |
| 数据库区 | 数据库防火墙+审计系统 | 阻断越权SQL、记录特权账号操作 | 审计root远程登录,字段级监控 |
| 终端层 | EDR+准入系统 | 恶意进程查杀、补丁状态校验 | 未打补丁设备自动隔离 |
| 集中管控 | SIEM+漏洞管理平台 | 日志聚合分析、月度全量扫描 | 关联防火墙与IDS日志 |