技术选型对比
网络安全等保2.0基础
网络安全等级保护(等保2.0)是信息系统安全合规要求。本文讲清等保2.0是什么、等级和企业怎么做。
等保 2.0 是信息系统安全合规制度,重要系统要过等保。 这篇讲清基础。
等保2.0是什么
等保 2.0 全称是网络安全等级保护 2.0,是中国网络安全领域的基础性合规制度,依据《网络安全法》设立。
它的核心逻辑是:
- 信息系统按重要性分等级(1 到 5 级)。
- 按等级做相应程度的安全保护。
- 重要信息系统必须按等保要求做安全建设并通过测评,是合规要求。
等保 2.0 相比 1.0 的主要变化是扩大了覆盖范围——除了传统信息系统,云计算、物联网、移动互联、工业控制系统、大数据都纳入了等保体系。
等保等级
等保把信息系统分成 5 个等级,等级越高安全要求越严:
| 等级 | 重要性 | 说明 |
|---|---|---|
| 1级 | 自主保护 | 一般 |
| 2级 | 指导保护 | 中等 |
| 3级 | 监督保护 | 重要(常见) |
| 4级 | 强制保护 | 关键 |
| 5级 | 专门保护 | 极关键 |
三级是重要系统常见的等级。 政府重要业务系统、金融系统、大型互联网平台、涉及大量个人信息的服务,通常都要做三级等保。四级通常用于关键基础设施和核心金融系统,五级极其罕见。
等保的范围
哪些系统需要过等保?一般是这些类型:
- 政府/事业单位系统:政务服务、公共事业系统。
- 金融系统:银行、证券、保险的核心业务系统。
- 关键基础设施:能源、交通、水利、医疗等关系国计民生的系统。
- 大规模个人信息系统:用户规模达到一定量级、涉及大量个人信息的服务(比如大型电商、社交、出行平台)。
- 重要行业系统:医疗、教育、电信等行业的核心系统。
普通企业的内部 OA、CRM 等系统不一定需要过等保,但如果涉及敏感数据或属于强监管行业,可能也需要。
等保的要求
等保的要求分技术和管理两大类,缺一不可。
1. 技术安全
- 网络安全:网络架构、边界防护、入侵防范。
- 主机安全:服务器身份鉴别、访问控制、安全审计、入侵防范。
- 应用安全:应用的身份鉴别、访问控制、安全审计、通信加密。
- 数据安全:数据完整性、保密性、备份恢复。
2. 管理安全
- 安全管理制度:制定安全策略、制度、操作规程。
- 人员管理:人员录用、培训、考核、离岗。
- 运维管理:变更管理、应急处置、安全检查。
- 应急响应:应急预案制定和演练。
很多企业重视技术不重视管理,但等保测评是技术和管理都要查的,管理制度不完善一样过不了。
等保的流程
过等保有标准流程:
- 定级:确定系统属于哪个等级(通常三级),出具定级报告。
- 备案:到所在地公安机关网安部门备案,拿到备案证明。
- 建设整改:按等保要求做安全建设,不符合的地方整改。
- 测评:找有资质的测评机构做等级测评,出具测评报告。
- 维护:测评通过后持续维护合规,三级系统每年复测一次。
别踩的坑
- 该过等保不过:属于等保范围的系统不过等保,是违规行为,一旦被监管发现或出安全事故要担责。
- 过了不复测:等保有周期要求(三级每年复测),过了不管等于白过。
- 只测评不整改:测评发现问题不整改,拿到的测评报告是不合格的,不等于合规。
- 忽视管理:技术做得很好但管理制度缺失,测评照样过不了。
成本参考
| 方面 | 说明 | 成本 |
|---|---|---|
| 测评 | 有资质机构 | 几万到十几万 |
| 整改 | 按要求改安全 | 视情况 |
| 维护 | 持续 | 持续 |
测评费用根据等级和系统规模而定,三级系统测评费通常几万到十几万。整改费用取决于系统现有安全水平和等保要求的差距——差距大整改成本就高。后续每年复测还要持续投入。
怎么做
- 确认系统是否等保范围:先判断你的系统是否属于等保覆盖范围。
- 定级备案:确定等级并到公安机关备案。
- 按要求建设整改:对照等保要求做安全建设和整改。
- 找有资质机构测评:测评必须由有资质的机构做,自己评不算数。
- 持续维护复测:测评通过后持续维护,按时复测。
广州市汉诺雷斯(HNREIS)帮企业做系统安全建设(含等保技术整改),等保测评和备案建议找有资质机构。把你的安全需求告诉我们,我们给出方案。
常见问题
本文由 广州市汉诺雷斯(HNREIS) 整理。我们专注微信小程序开发、企业网站建设、外贸 B2B 独立站与 AI 智能体搭建,为企业提供从需求梳理到上线运维的全流程软件开发服务。
免费咨询需求