等保2.0安全建设管理四级对比

引言所谓高风险项，就是等保测评时可以一票否决的整改项，如果不改，无论你多少分都会被定为不合格。

全文共58页，写得比较细了，但是想到大家基本不会有耐心去仔细看的（凭直觉）。

这几天挑里边相对重点的内容列了出来，就是企业要重点关注的，把这些做好，上70分应该不成问题，个人认为这就是所谓的抓重点了。

最近要定级或者明年打算升级等保2.0的可以参考下。

说明：文中标记（3级）的表示3级及以上系统适用，标记（4级）的表示4级系统适用，为标记的表示所有系统适用。

物理环境部分1. 无防盗报警系统、无监控系统，可判定为高风险。

2. 机房未配备冗余或并行电力线路供电来自于同一变电站，可判高风险。

3. 系统所在的机房必须配备应急供电措施，如未配备，或应急供电措施无法使用，可判高风险。

（4级）4. 对于涉及大量核心数据的系统，如机房或关键设备所在的机柜未采取电磁屏蔽措施，可判高风险。

（4级）网络通信部分1. 对可用性要求较高的系统，网络设备的业务处理能力不足，高峰时可能导致设备宕机或服务中断，影响金融秩序或引发群体事件，若无任何技术应对措施。

核心网络设备性能无法满足高峰期需求，存在业务中断隐患，如业务高峰期，核心设备性能指标平均达到80%以上，可判定为高风险。

2. 应按照不同网络的功能、重要程度进行网络区域划分，如存在重要区域与非重要网络在同一子网或网段的，可判定为高风险。

3. 互联网出口无任何访问控制措施，或访问控制措施配置失效，存在较大安全隐患，可判定为高风险。

（区域边界要求同样适用）4. 办公网与生产网之间无访问控制措施，办公环境任意网络接入均可对核心生产服务器和网络设备进行管理，可判定为高风险。

5. 对可用性要求较高的系统，若网络链路为单链路，核心网络节点、核心网络设备或关键计算设备无冗余设计，一旦出现故障，可能导致业务中断，可判定为高风险。

（3级）6. 对数据传输完整性要求较高的系统，数据在网络层传输无完整性保护措施，一旦数据遭到篡改，可能造成财产损失的，可判定为高风险。

网络安全等级保护制度2.0详解及标准2019年5月13日，国家市场监督管理总局、国家标准化管理委员会召开新闻发布会，等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布，将于2019年12月1日开始实施。

相较于2007年实施的《信息安全等级保护管理办法》所确立的等级保护1.0体系，为了适应现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求，2018年公安部正式发布《网络安全等级保护条例（征求意见稿）》，国家对信息安全技术与网络安全保护迈入2.0时代。

什么是等保根据2017 年6 月 1 日起施行《中华人民共和国网络安全法》的规定，等级保护是我国信息安全保障的基本制度。

《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。

网络运营者应当按照网络安全等级保护制度的要求，履行下列全保护义务：保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

等保1.0指的是2007年的《信息安全等级保护管理办法》和2008年的《信息安全技术信息系统安全等级保护基本要求》。

等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，并对旧有内容进行调整等保2.0由来过程等保2.0对定级指南、基本要求、实施指南、测评过程指南、测评要求、设计技术要求等标准进行修订和完善，以满足新形势下等级保护工作的需要，其中《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全安全等级保护基本要求》、《信息安全技术网络安全等级保护安全设计要求》已于2019年5月10日发布，并将在2019年12月1日实施。

重点解读相较于等保1.0，等保2.0发生了以下主要变化：第一，名称变化。

等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《网络安全法》保持一致。

信息安全等级保护测评流程介绍一、等级保护测评的依据：依据《信息系统安全等级保护基本要求》（公通字[2007]43号)》“等级保护的实施与管理”中的第十四条：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。

第一级：用户自主保护级，目前1.0版本不需要去备案（提交材料公安部也会给备案证明），等保2.0是需要备案的；第二级：系统审计保护级，二级信息系统为自主检查或上级主管部门进行检查，建议时间为每两年检查一次；第三级：安全标记保护级，三级信息系统应当每年至少进行一次等级测评；第四级：结构化保护级，四级信息系统应当每半年至少进行一次等级测评；第五级：访问验证保护级，五级信息系统应当依据特殊安全需求进行等级测评。

二、等级保护工作的步骤运营单位确定要开展信息系统等级保护工作后，应按照以下步骤逐步推进工作：1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量（主机、网络设备、安全设备等）、机房的模式（自建、云平台、托管等）等。

2、对每个目标系统，按照《信息系统定级指南》的要求和标准，分别进行等级保护的定级工作，填写《系统定级报告》、《系统基础信息调研表》（每个系统一套）。

运营单位也可委托具备资质的等保测评机构协助填写上述表格。

3、对所定级的系统进行专家评审（二级系统也需要专家评审）。

4、向属地公安机关网监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它欣系统定级备案证明材料，获取《信息系统等级保护定级备案证明》（每个系统一份），完成系统定级备案阶段工作。

5、依据确定的等级标准，选取等保测评机构，对目标系统开展等级保护测评工作（具体测评流程见第三条）。

6、完成等级测评工作，获得《信息系统等级保护测评报告》（每个系统一份）后，将《测评报告》提交网监部门进行备案。

等保一级二级三级四级测评项对比今天咱们聊聊“等保”四个等级的事儿，啥叫等保呢？就是“等级保护”，全称叫做《信息安全技术网络安全等级保护基本要求》。

简单来说就是根据你单位、你网站、你系统的“重要程度”来划分的安全等级。

简单点说，就是你的网站有多重要，相关部门对你要求的安全防护就有多高。

等保的等级从一级到四级，四级就等于是“顶级防护”，一级呢，就是最基础的保护。

你看哈，就像是咱家的门锁一样，一星级门锁只能防止小偷偷东西，四星级门锁嘛，就算是黑客来也得瑟瑟发抖。

所以今天咱就来看看这四个等级有啥不一样，各自的测评项有哪些区别。

咱先从等保一级说起，基本上属于“随便打个防护墙也就够了”的级别，主要适用于一些没有啥敏感数据、对安全要求不高的小系统。

你想啊，像咱家的WiFi密码，可能也就不过是一个简单的“123456”，那啥，基本上是不会有黑客来攻破你家防线的。

这个级别的测评项主要是看你有没有做一些基本的安全措施，比如设置了防火墙没有、默认密码改了没、是不是有一些简单的入侵检测。

低调，简单，只要能防住一般的小问题就行了。

再说等保二级吧，哎呦，这就好像是换了个更结实的门锁，防盗网也加上了，不单单是防止普通的黑客攻击了，还得防止一些有点儿“水平”的攻击者。

这个级别的测评就多了，比如会看看你的系统有没有定期做漏洞扫描，系统的日志有没有记录，权限控制是不是合理。

这个就像你家门锁不光得结实，还得有个监控摄像头，看见有可疑的人就能报警。

简单说吧，二级安全还是比较基础的，差不多能防住那些不太专业的攻击了。

然后咱说说三级，这就厉害了，三级差不多就相当于家里换了带密码的智能锁，防盗网也升级为全自动的那种。

三级的测评项可就多了，不光得看防护能力，还得看管理、运维、数据保护等各方面。

比如有没有定期的安全巡检？系统的漏洞有没有及时打补丁？数据的备份是不是做好了？这个时候，系统的安全防护已经不只是看“有没有密码”，而是更侧重于“如何保护”了。

等保测评2级和3级和4级安全通信网络应采用分层结构，实现安全隔离和访问控制。

1.1.2.2网络设备和配置a）网络设备应选择具有安全性能的产品，并进行安全配置；b）网络设备应定期进行漏洞扫描和安全评估；c）网络设备应及时更新安全补丁和升级软件版本。

1.1.2.3网络访问控制a）应对网络进行分段，实现不同安全级别的隔离；b）应设置网络访问控制策略，对访问进行授权和审计；c）应采用安全认证和加密技术，保障网络通信的机密性和完整性。

1.1.2.4网络监测和防御a）应设置网络入侵检测和防御系统，及时发现和应对安全事件；b）应定期进行安全演练和渗透测试，提高安全防御能力；c）应建立安全事件响应机制，及时处理安全事件并进行记录和分析。

1.1.3安全管理要求1.1.3.1安全制度和规范a）应制定安全管理制度和规范，明确安全责任和管理流程；b）应定期组织安全培训和教育，提高员工的安全意识和技能；c）应建立安全审计和监测机制，对安全管理进行评估和改进。

1.1.3.2安全备份和恢复a）应制定安全备份和恢复方案，保障数据的可靠性和完整性；b）应定期进行备份和恢复测试，确保备份数据的可用性和恢复能力；c）应建立应急响应机制，及时处理安全事件和数据丢失。

1.1.3.3安全审计和监测a）应定期进行安全审计和监测，发现和排除安全隐患；b）应建立安全事件管理和记录机制，对安全事件进行分析和处理；c）应建立安全管理和监测系统，及时发现和应对安全事件。

1.1.2 网络安全技术措施1.1.2.1 网络拓扑结构为方便管理和控制，应将网络划分为不同的区域，并为每个区域分配地址。

重要的网络区域不应部署在边界处，而应采取可靠的技术隔离手段。

此外，应保证网络设备的业务处理能力和各部分带宽能够满足业务高峰期的需求。

同时，为保证系统的可用性，应提供通信线路、关键网络设备和计算设备的硬件冗余。

为优先保障重要业务，应按照业务服务的重要程度分配带宽。

1.1.2.2 通信传输为保证通信过程中数据的完整性和保密性，应采用校验技术和密码技术。

174服务信息有针对性地推送给消费者，大大提高广告投放的准确性，降低企业的广告营销成本，实现对企业价值的高校评估与管理。

2.2 对企业价值评估与市场定位的影响市场定位是以竞争对手现有产品在市场细分中的地位和消费者对产品某些属性的重视程度为基础，将企业产品的独特个性塑造并传达给目标消费者，从而使企业产品在目标市场具有强大的竞争优势。

因此，为了赢得市场，企业必须拥有不同于竞争对手的个性化产品，并且符合目标客户的需求和偏好，从而形成自己独特的优势。

在这个大数据时代发展环境下，数据经济市场中企业可以利用大数据技术对企业自身进行定期评估，确定市场定位，结合发展目标与企业价值评估结果对市场进行细分，选择适合的目标市场。

此外，企业也可以依托于大数据分析技术，针对不同客户设计不同产品类型，为目标客户制定合理的价格优惠策略和个性化营销服务，最大限度地吸引目标客户，形成强大的竞争优势。

2.3 对生产与营销的影响随着大数据时代的到来和人们消费观念的变化，消费结构和消费质量处于不断变化阶段，消费者需求逐渐多样化。

在这样的市场形态下，企业通过市场营销来实现准确的营销已变得越来越困难。

但与此同时，由于信息技术的自身优势和不断渗透，消费者将各种消费需求数据直接或间接地留在互联网等渠道。

通过这种方式，企业可以充分利用数据挖掘技术对数据进行挖掘提出，利用大数据技术收集、存储这些数据和信息，并进行处理与分析。

3 大数据环境下企业价值管理的优化策略3.1 利用大数据技术优化生产经营流程在企业生产经营过程中，大数据技术在一定程度上被用来处理和控制相关数据，对于有效应用内外部信息，优化和重组业务流程起着重要作用。

根据市场经济的特点，在当前大数据时代，数据信息已成为各行业各领域企业管理与发展的重要因素。

因此，企业必须对现代信息化观念提起重视，建立有效的信息化机制，全面收集市场信息，运用科学、合理的方式提炼信息，消除虚假信息，保证数据的真实性与可靠性，分析判断数据信息是否适用于企业的发展经营，并借助数据进行科学的经营决策，制定精细的经营计划[3]。