什么事等保测评，等保测评工作该如何展开，下面我将一一讲解。
测评对象，等保2.0从传统的信息系统，转变成具有基础信息网络平台的多种新兴技术对象。

（也即是，有网络服务，有数据的网络服务平台，即可以成为新兴的测评对象）
等保2.0备案优化，从原来的自主定级改变成系统定级，才能得到公安机关的备案，也即：

确定定级对象——初步确定系统定级——专家评审——主管部门审核——公安机关备案审查——最终确定系统等级

系统备案（填备案表，如下两份）
向市级公安机关主管部门提交材料

《信息系统安全等级保护定级报告》

《信息系统安全等级保护备案表》
等保测评进度安排

测评准备阶段（2周）：合同保密协议签署，定级报告，备案     表，测评方案，检测表准备。
现场测评阶段（1-2周）：技术测试（配置核查，安全测试），管理核查（人员访谈，文档查看，要出差距分析报告）。
安全整改：根据差距分析报告，用户进行优化建设，技术人员进行整改 。
综合评估：复测，有测评机构独立出具体，信息系统等级测评报告。

等级测评——工作准备：
确定测评对象，调用人力（技术部人员），预计工作时间，规划出等级测评所需资金
测评方法：

访谈，查看（了解环境）
配置核查（看标准配置文件是否配置正确）
安全测试：漏洞检测（针对web），渗透测试（以绕开被测评项目为目的，从而获取信息文件，进行测评被测评项目的安全性）

测评工具：
等保工具箱

应用扫描器

主机扫描

协议分析，嗅探

木马，日志分析
判定依据：（等保2.0）
测评采用通用安全要求+扩展安全要求形式，两部分均通过才允许测评通过（这两个安全要求上述资料讲过）
了解高危风险的高危漏洞有哪些：
勒索病毒入侵

文件上传漏洞

SQL注入

XSS跨站脚本

Struts2远程命令执行漏洞

Java反程序化远程命令执行漏洞

弱口令
整改建设（优化建议）

网络安全：构架，访问控制缺陷，网络层防护严重不足
应用安全：网络安全功能严重缺失，代码层未考虑安全机制（可能存在注入漏洞）
数据安全：无数据备份，核心设备，链路缺少冗余（坏一个地方，全网瘫痪）

安全整改（需要用户配合事项）
应用安全：设备采购，程序二次开发，配置变更

安全管理：制度更新，流程规范化

主机安全：策略变更，备份恢复

网络安全：设备采购，策略变更，区域划分
注：低成本整改项优先整改，高危风险必须整改（要得到用户授权），中低危酌情整改（会影响系统得分）

网络安全等级保护工作流程

运营单位确定要开展信息系统等级保护工作后，应按照以下步骤逐步推进工作：

1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量（主机、网络设备、安全设备等）、机房的模式（自建、云平台、托管等）等。

2、对每个目标系统，按照《信息安全技术 网络安全等级保护定级指南》的要求和标准，分别进行等级保护的定级工作，填写《系统定级报告》、《系统基础信息调研表》（每个系统一套）。运营单位也可委托具备资质的等保测评机构协助填写上述表格。

3、对所定级的系统进行专家评审（二级系统也需要专家评审）。

4、向属地公安机关网监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它欣系统定级备案证明材料，获取《信息系统等级保护定级备案证明》（每个系统一份），完成系统定级备案阶段工作。

5、依据确定的等级标准，选取等保测评机构，对目标系统开展等级保护测评工作（具体测评过程详见网络安全等级保护测评过程指南）。

6、完成等级测评工作，获得《信息系统等级保护测评报告》（每个系统一份）后，将《测评报告》提交网监部门进行备案。

7、结合《测评报告》整体情况，针对报告提出的待整改项，制定本单位下一年度的“等级保护工作计划”，并依照计划推进下一阶段的信息安全工作。

等级保护分级要求

第一级：用户自主保护级（自主保护级），目前1.0版本不需要去备案（提交材料公安部也会给备案证明），等保2.0是需要备案的;

第二级：系统审计保护级（指导保护级），二级信息系统为自主检查或上级主管部门进行检查，建议时间为每两年检查一次;

第三级：安全标记保护级（监督保护级），三级信息系统应当每年至少进行一次等级测评;

第四级：结构化保护级（强制保护级），四级信息系统应当每半年至少进行一次等级测评;

第五级：访问验证保护级（专控保护级），五级信息系统应当依据特殊安全需求进行等级测评。

等级保护是公安部对非涉密信息系统安全处理标准规范。对重要系统、电子政务系统、关系国计民生的国有企业的强制性标准。

具体工作过程

定级

信息系统运营使用单位按照等级保护管理办法和定级指南，自主确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然说的是自主定级，但主要还是根据系统实际情况去定级，有行业指导文件的根据指导文件来，没有文件的需要根据定级指南来。总之一句话，合理定级，该是几级就是几级，不要定高也不要定低。

备案

第二级以上的信息系统定级市级单位到所在地社区的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案，各地市单位一般直接到市级网安支队备案，也有部分地区市区县单位的定级备案资料是先交到区县公安网监大队的，具体根据各地市要求来。

系统建设整改

信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。

测评

等级测评信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改，特别是高危风险。测评的结果分为优、良、中、差。

监督检查

公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。

一、等保建设政策法规

中华人民共和国网络安全法
1、第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改

2、第三十一条

国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，在网络安全等级保护制度的基础上，实行重点保护。

3、第五十九条

网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款。




 

二、等保2.0概述

2019年5月13日，国家市场监督管理总局、国家标准化管理委员会发布《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）（“《等保基本要求》”）、《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）、《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070-2019）三个网络安全领域的国家标准，共同构筑新时代的网络安全等级保护制度，标志着等保2.0的正式到来，新标准规范将于2019年12月1日开始实施。

网络安全等级保护制度是国家信息安全保障工作的基础，也是一项事关国家安全、社会稳定的政治任务。通过开展等级保护工作，发现网络和信息系统与国家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足，通过安全整改，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。网络安全等级保护制度，作为国家网络安全的重要组成部分，对加强国家网络安全保障工作，提升网络安全保护能力具有重要意义。

三、重大安全事件

1、全球网络安全事件







 

2、目前大多企业安全诉求




 

3、全栈安全防护体系




 

四、昆明等保安全服务流程




 

1、系统定级

云南天成科技：协助定级、推荐测评机构
	
客户：业务系统定级，与云南天成科技签订服务合同。
	
通用等保测评流程：信息系统运营单位按照《网络安全等级保护定级指南》，自行定级。三级以上系统定级结论需进行专家评审。
2、系统备案

云南天成科技：协助客户完成备案
	
客户：提交备案材料
	
通用等保测评流程：信息系统定级申报获得通过后，30日内到公安机关办理备案手续
3、建设整改

云南天成科技：提供技术方案建议书、协助整改
	
客户：依据等级保护标准进行安全建设整改
	
通用等保测评流程：根据等保有关规定和标准，对信息系统进行安全建设整改
4、等级测评

云南天成科技：协助测评
	
客户：配合测评机构测评，接收报告（项目完结）
	
通用等保测评流程：信息系统运营单位选择公安部认可的第三方等级测评机构进行测评，提供跨地市的情况下由本地（本省）测评机构交付的等保测评服务。
5、监督检查(项目后)

云南天成科技：技术支持
	
客户：安全运营、维护，保障日常系统合规
	
通用等保测评流程：当地网监定期进行监督检查
五、等保工作分工


			
环节
			
			

			
单位
			
			

			
主管部门
			
		

			
定级
			
			

			
确定等级保护对象，确定安全保护等级，编制定级备案材料。
			
			

			
审查定级方法、工作过程、内容、结论等是否符合规定；组织专家对等级保护对象的定级情况进行评审。
			
		

			
备案
			
			

			
整理备案材料，向属地公安机关网安部门备案。
			
			

			
受理备案，实施备案审核，发放备案证明。
			
		

			
建设整改
			
			

			
依据等级保护国家标准和行业标准，开展安全技术和管理体系建设。
			
			

			
组织专家对等级保护对象的建设方案进行评审；审查等级保护对象的安全建设整改工作；对关键信息基础设施的安全建设工作重点审查。
			
		

			
等级测评
			
			

			
选择公安部公布的全国等级保护测评推荐目录中具有资质的测评机构，开展等级测评工作。
			
			

			
审查等级保护对象等级测评工作是否符合规定；对关键信息基础设施实行重点审查。
			
		

			
监督检查
			
			

			
接受并配合公安机关、上级主管部门的监督检查；定期开展安全自查工作。
			
			

			
定期针对等级保护对象开展网络安全执法检查；关键信息基础设施实施重点保护
			
		

			
备注
			
			

			
云南天成科技全程协助完成等保建设工作
			
		
六、昆明等保2.0基本要求




 

1、安全物理环境

物理位置选择
机房场地应选择在具有防震、防风和防雨等能力的建筑内

物理访问控制
机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员

基础设施位置
应确保云计算基础设施位于中国境内

防盗窃和防破坏
应设置机房防盗报警系统或设置有专人值守的视频监控系统

电力供应
应设置冗余或并行的电力电缆线路为计算机系统供电

2、安全通信网络&区域边界

网络架构
根据云租户业务需求自主设置安全策略集，包括定义访问路径、选择安全组件、配置安全策略

访问控制
在不同等级的网络区域边界部署访问控制机制，设置访问控制规则

通信传输
应采用校验码技术或加解密技术保证通信过程中数据的完整性

边界防护
应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信

入侵防范
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警

建设策略
（1）、推荐安全组、网络ACL通过设置基本的访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权及越权访问

（2）、推荐VPN、安全证书服务，采取加密措施，防止数据在传输过程中遇到破坏、窃取等各种攻击

（3）、推荐DDoS高防，云WAF服务，针对日渐增多的DDoS、Web攻击进行防御，精准有效地实现对流量型攻击和应用层攻击的全面防护

3、安全计算环境

身份鉴别
当进行远程管理时，管理终端和云计算平台边界设备之间建立双向身份验证机制

安全审计
根据云服务方和云租户的职责划分，收集各自控制部分的审计数据并实现集中审计

入侵防范
虚拟机之间的资源隔离失效，并进行告警

恶意代码防范
应能够检测恶意代码感染及在虚拟机间蔓延的情况，并提出告警

数据完整性和保密性
应采用校验码技术或加解密技术保证重要数据在传输/存储过程中的完整性和保密性

建设策略
（1）、推荐堡垒机、数据库安全服务对服务器和数据库的运维及操作行为进行审计

（2）、管理员使用各自的账户进行管理，管理员的权限仅分配其所需的最小权限，在制定好的访问控制策略下进行操作，杜绝越权非法操作

推荐主机安全服务，防止各类具有针对性的入侵威胁，发现常见操作系统存在的各种安全漏洞，及时更新恶意代码库.

4、安全管理中心

系统管理
通过安全管理中心对被保护系统和安全管理中心自身的运行状态进行监控

审计管理
通过部署安全管理中心、业务安全审计平台，对被保护系统和安全管理中心的相关重要安全事件和用户操作行为进行审计

安全管理
通过部署安全管理中心、业务安全审计平台，并对安全管理员进行身份鉴别，对主体进行授权，配置可信验证策略等

集中管控
通过部署安全管理中心、业务安全审计平台、APT威胁检测系统，并对分布在网络中的安全设备、网络设备和服务器等的运行状况进行集中监测与管控

建设策略
（1）、通过安全事件管理等模块协助实施应急响应机制

（2）、确保用户行为的可追溯性，及时发现异常的安全行为，同时为综合分析提供数据支撑

（3）、数据收集、安全策略、恶意代码、补丁升级等安全相关事项和各类安全事件进行集中管理，分析。

5、安全管理制度

安全管理制度
应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系

安全管理机构
应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权

安全管理人员
人员录用、人员离岗、人员考核、安全意识教育及培训、外部人员访问管理

安全建设管理
应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，并形成配套文件

安全运维管理
应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补

应设置冗余或并行的电力电缆线路为计算机系统供电

建设策略
（1）、企业应制定完善的安全管理制度，根据基本要求设置安全管理机构，梳理管理文件，明确组织人员的岗位职责，定期进行全面安全检查，特别是系统日常运行、系统漏洞和数据备份等

（2）、推荐漏洞扫描服务、安全体检服务，检测租户站点的漏洞，提前防范黑客利用漏洞进行攻击，防止利益损失和数据泄露

七、昆明等保合规安全产品需求

1、等保二级方案

适用于用户量和敏感数据较少，如果发生安全问题，不会对企业自身及用户造成特别严重影响的。如普通企业的门户网站，企业内部用的OA系统。

2、等保三级方案（基础版）

适用于存有用户敏感信息，信息外泄会造成特别严重影响，甚至会社会秩序和公共利益造成损失的。

3、等保三级方案（高级版）

适用于存有用户敏感信息，信息外泄会造成特别严重影响，甚至会社会秩序和公共利益造成损失的。如政务、教育、医疗、物流、金融等相关行业。

4、不同等级安全服务产品选择如下表：


			
服务类型
			
			

			
等保二级
			
			

			
等保三级

			
（基础版）
			
			

			
等保三级

			
（高级版）
			
		

			
网络安全&应用安全
			
			

			
Web应用防火墙
			
			

			
√
			
			

			
√
			
			

			
√
			
		

			
Anti-DDoS
			
			

			
√
			
			

			
√
			
			

			
-
			
		

			
DDoS高防
			
			

			
-
			
			

			
-
			
			

			
√
			
		

			
主机安全
			
			

			
企业主机安全
			
			

			
√
			
			

			
√
			
			

			
√
			
		

			
网页防篡改
			
			

			
-
			
			

			
-
			
			

			
√
			
		

			
数据传输安全
			
			

			
SSL证书管理
			
			

			
√
			
			

			
√
			
			

			
√
			
		

			
运维安全
			
			

			
云堡垒机
			
			

			
可选
			
			

			
√
			
			

			
√
			
		

			
云日志
			
			

			
可选
			
			

			
√
			
			

			
√
			
		

			
运用运维管理AOM
			
			

			
可选
			
			

			
-
			
			

			
√
			
		

			
数据库安全
			
			

			
数据库安全服务
			
			

			
可选
			
			

			
√
			
			

			
√
			
		

			
安全管理
			
			

			
漏洞扫描服务
			
			

			
可选
			
			

			
√
			
			

			
√
			
		

			
安全态势感知
			
			

			
态势感知
			
			

			
可选
			
			

			
√
			
			

			
√
			
		

			
数据安全
			
			

			
数据加密服务
			
			

			
可选
			
			

			
可选
			
			

			
√
			
		

			
备注
			
			

			
打 √ 为必选产品
			
		
八、几个等级保护常见问题

1、什么是等级保护？

网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

2、为什么要开展等级保护工作？

《网络安全法》在2017年6月1日正式实施，其中第二十一条明确规定“国家实行网络安全等级保护制度”。国家层面强调各网络运营者必须严格对照自身属性和等级分类，积极开展网络安全等级保护工作，增强网络安全防护能力，切实保障网络运行安全。

等级保护工作不但是国家信息安全的基本制度，同时还是企业自身信息安全防护能力的重要体现，做好等级保护工作可以实现：

1）满足国家相关法律法规和制度的要求；

2）降低信息安全风险，提高信息系统的安全防护能力；

3）合理地规避或降低风险；

4）履行和落实网络信息安全责任义务。

3、等级保护工作具体包含哪些内容？

信息安全等级保护工作包括定级、备案、安全建设和整改、等级保护测评、安全检查等五个阶段。

4、去哪里进行信息系统的定级备案工作？

区县—先将资料交到区县网安大队，再由区县网安大队转交地级市网安支队进行备案。

地级—各地级市的单位将定级资料交给各自地级市的网安支队。

省级—省级单位将资料交给省公安网安总队。

PS：特殊行业按特定要求执行。

5、什么是等级保护测评？

等级保护测评是等级保护工作的重要环节，信息系统备案单位通过委托测评机构开展等级测评，可以查找系统安全隐患和薄弱环节，明确系统与相应等级标准要求的差距和不足，有针对性地进行安全建设整改。

6、等级保护测评一般多长时间能测完？

一个二级或三级的系统现场测评周期一般一周左右，具体时间还要根据信息系统数量及信息系统的规模，有所增减。小规模安全整改2-3周，出具报告时间一周，整体持续周期1-2个月。如果整改不及时或牵涉到购买设备，时间不好说，但总的要求一年内要完成。

7、等级保护测评多久需要测一次？

三级及以上信息系统要求每年至少开展一次测评；二级信息系统建议每两年开展一次测评，部分行业是明确要求每两年开展一次测评。

8、等级保护测评的费用是多少？

测评的费用首先是按照信息系统来算，不是按照一个单位，不同等级的测评费用不一样，最后测评的费用也和信息系统的资产规模相关，规模越大相应的测评费用会高些。费用每个省市具体情况不一样，通常每个省市都有自己的一个价格体系，二级和三级系统的测评费用相对都是固定的，具体可以向当地测评机构咨询。


			
云南省收费基数（A）计算表
			
		

			
信息系统等级
			
			

			
测评指标项数量
			
			

			
单项收费标准（元/项）
			
			

			
收费基数（万元）
			
		

			
二级
			
			

			
175以上
			
			

			
300
			
			

			
6
			
		

			
三级
			
			

			
290以上
			
			

			
300
			
			

			
8-12
			
		

			
备注
			
			

			
测评项目及费用根据企业具体情况来计算
			
		
10、测评机构的选择有哪些要求？

委托的测评机构需要拥有等级保护测评资质，是在中国网络安全等级保护网可查“全国等级保护测评机构推荐目录”中测评机构，云南省目前测评机构有如下几家：


			
推荐证书编号
			
			

			
测评机构名称
			
			

			
注册地址
			
			

			
推荐有效期至
			
		

			
DJCP2011530149
			
			

			
云南南天电子信息产业股份有限公司信息安全测评中心
			
			

			
云南省昆明市环城东路455号
			
			

			
2020年3月
			
		

			
DJCP2014530151
			
			

			
云南联创网安科技有限公司
			
			

			
云南省昆明市盘龙区金州湾.蓝屿A区2幢1单元1001号
			
			

			
2020年12月
			
		

			
DJCP2015530152
			
			

			
云南厚壁信息安全测评有限公司
			
			

			
云南省昆明市经济技术开发区佳逸盛景花园二期Ⅲ区1幢1111号
			
			

			
2021年7月
			
		

			
DJCP2018530153
			
			

			
云南电信公众信息产业有限公司
			
			

			
昆明市丽苑路电信枢纽大楼辅楼3楼
			
			

			
2021年5月
			
		

			
DJCP2018530154
			
			

			
云南无线数字电视文化传媒有限公司
			
			

			
云南省昆明市人民西路182号
			
			

			
2021年5月
			
		

			
备注
			
			

			
测评机构选择由云南天成科技推荐
			
		
11、哪些行业需要开展等级保护工作？

政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等。

金融行业：金融监管机构、各大银行、证券、保险公司等。

电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等。

能源行业：电力公司、石油公司、烟草公司。

企业单位：大中型企业、央企、上市公司等。

越来越多的企业想成为正规等保测评机构，但他们不知道申请成为等保测评机构需要满足哪些条件，需要准备哪些资料，如何办理等等。今天我们小编就给大家简单介绍一下等保测评机构申请条件，所需资料以及流程，以便大家快速了解，快速申请等保测评资质。
等保测评机构申请条件：
1、在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；
2、产权关系明晰，注册资金 500 万元以上，独立经营核算，无违法违规记录；
3、从事网络安全服务两年以上，具备一定的网络安全检测评估能力；
4、法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；
5、具有网络安全相关工作经历的技术和管理人员不少于 15 人，专职渗透测试人员不少于 2 人，岗位职责清晰， 且人员相对稳定；
6、具有固定的办公场所，配备满足测评业务需要的检测评估工具、实验环境等；
7、具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度；
8、不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外)；
9、应具备的其他条件。
等保测评机构申请所需资料：
1、网络安全等级保护测评机构推荐申请表；
2、近两年从事网络安全服务情况以及网络安全服务项目完整文档和相关用户证明；
3、检测评估工作所需实验环境及测评工具、设备设施情况；
4、有关管理制度情况;
5、申请单位及其测评人员基本情况；
6、应提交的其他材料。
等保测评机构申请流程：
1、申请机构向等保办递交资料；
2、等保办收到申请材料后，在10个工作日内组织初审；
3、测评联盟根据标准规范对申请单位开展能力评估，出具测评能力评估报告，并及时将能力评估情况反馈等保办；对于能力评估不达标的，等保办应告知申请单位初审未通过；
4、初审通过的申请单位，组织本单位人员参加测评师培训；考试合格的，取得测评师证书；
5、等保办组织专家对人员培训符合要求的申请单位进行复核。复核通过的，颁发《网络安全等级保护测评机构推荐证书》。
最后在说一句，企业做等保测评时候，一定要擦亮眼睛选择正规有资质的等保测评机构！同时记得，过等保设备就选择行云管家堡垒机！专业做堡垒机，版本多多，性价比超高！