一、等保指的是信息安全等級保護。

        它是指一套適用于我國涉及國家秘密和重要信息系統(tǒng)的安全保護標準和技術要求。等保的目標是確保國家重要信息資產(chǎn)的安全，防止信息泄露和損害。等保制度主要包括等級劃分、安全措施、技術要求和安全評估等內(nèi)容。它是信息安全管理的重要措施，對于提高我國信息安全水平具有重要意義。

        網(wǎng)絡安全等級保護是指根據(jù)不同等級進行保護和監(jiān)督網(wǎng)絡（包括信息系統(tǒng)、數(shù)據(jù)等），并根據(jù)等級管理網(wǎng)絡安全產(chǎn)品的使用，以及對不同等級的安全事件進行響應和處置。

二、等保服務有哪些作用？
支持企業(yè)的業(yè)務需求
（1）評估等級咨詢
        在進行等級保護評估之前，被測目標系統(tǒng)需要先進行等級劃分和定級備案。教評網(wǎng)將協(xié)助客戶完成信息系統(tǒng)的識別和邊界劃分，進行信息系統(tǒng)的等級劃分，并幫助填寫定級表、備案表等申請材料。同時，我們還將為客戶避免等級保護評估中容易出現(xiàn)問題的業(yè)務點。

（2）方案設計的整改計劃
        通過對被測試的信息系統(tǒng)進行分析，調(diào)查信息系統(tǒng)的安全現(xiàn)狀，結(jié)合國家等級保護評估標準，進行等級保護差距分析。并根據(jù)差距分析結(jié)果制定整改計劃和實施方案，分別從安全管理和安全技術兩個方面進行設計規(guī)劃。

（3）安全整改措施
        教評網(wǎng)擁有經(jīng)驗豐富的等級保護專家和專業(yè)的安全技術顧問，為信息系統(tǒng)提供完善的安全技術整改措施。在等級保護建設的整改階段，我們會提供業(yè)務安全、安全設備和安全管理等方面的整改服務。根據(jù)客戶當前的安全需求和管理特點，我們會從人員、運作、規(guī)范和制度等多個角度進行安全管理整改，以符合等級保護的管理要求。

（4）協(xié)助進行測評工作
        在測評認定機構(gòu)對目標系統(tǒng)進行等級保護測評之前，教評網(wǎng)會依照《信息系統(tǒng)安全等級保護基本要求》和《信息系統(tǒng)等級保護測評準則》，協(xié)助客戶對系統(tǒng)進行自我評估。我們將發(fā)現(xiàn)其中的不足之處，并盡快對系統(tǒng)進行完善。在測評過程中，我們會協(xié)助客戶準備測評材料，并提供測評實施和技術支持等活動的配合，以確?？蛻舻男畔⑾到y(tǒng)能夠成功通過測評。

三、五個安全保護等級。

        第一級：一般網(wǎng)絡系統(tǒng)，自主保護級 受到破壞會對相關公民、法人和其他組織的合法權益造成損害，但不危害國家安全、社會秩序和公共利益的一般網(wǎng)絡系統(tǒng)。

        第二級：一般網(wǎng)絡系統(tǒng)，指導保護級 受到破壞會對相關公民、法人和其他組織的合法權益造成嚴重損害，或者對社會秩序和公共利益造成危害，但不危害國家安全的一般網(wǎng)絡系統(tǒng)。

        第三級：重要系統(tǒng)/關鍵信息基礎設施，監(jiān)督保護級 一旦受到破壞會對相關公民、法人和其他組織的合法權益造成特別嚴重損害，或者會對社會秩序和社會公共利益造成嚴重危害，或者對國家安全造成危害的重要網(wǎng)絡。

        第四級：關鍵信息基礎設施，強制保護級 一旦受到破壞會對社會秩序和公共利益造成特別嚴重危害，或者對國家安全造成嚴重危害的特別重要網(wǎng)絡。

        第五級：極其重要網(wǎng)絡 一旦受到破壞后會對國家安全造成特別嚴重危害的極其重要網(wǎng)絡。

四、常見的等保問題誤區(qū)
1.等保只是一種技術問題，不需要全員參與。實際上，等保是一個綜合性的安全工作，涉及到技術、人員、流程等多個方面，需要全員參與。

2.等保只需要購買一些安全設備和軟件即可。事實上，安全設備和軟件只是等保的一部分，還需要制定有效的安全策略和保護措施。

3.等保只需要單一的技術解決方案。實際上，等保需要采用綜合的技術解決方案，包括網(wǎng)絡安全、主機安全、數(shù)據(jù)安全等多個方面。

4.等保只需要解決技術問題，不需要考慮業(yè)務需求。事實上，等保需要結(jié)合業(yè)務需求來設計和實施合適的安全措施，以保證業(yè)務的正常運行。

5.等保只需要做一次性的工作，不需要持續(xù)維護。實際上，等保需要持續(xù)的監(jiān)測和更新，及時修復漏洞和強化安全措施，以保持系統(tǒng)的安全性。

6.等保只需要滿足最低的安全標準即可。實際上，等保應該根據(jù)實際情況，采用適當?shù)陌踩胧?，以最大程度地保護系統(tǒng)的安全。

7.等保只需要解決外部攻擊，不需要考慮內(nèi)部威脅。實際上，內(nèi)部威脅同樣是等保需要考慮的重要方面，需要采取相應的措施來防范。

8.等保只需要在系統(tǒng)上做安全措施，不需要考慮其他環(huán)境因素。事實上，等保需要綜合考慮系統(tǒng)所處的環(huán)境因素，如物理安全、網(wǎng)絡拓撲等。

9.等保只需要應對已知的安全威脅，不需要考慮未知的威脅。實際上，等保需要具備應對未知威脅的能力，不僅要及時更新安全措施，還需要進行漏洞掃描和風險評估等工作。

10.等保是一次性的項目，完成后就沒有了。事實上，等保是一個持續(xù)的工作，需要定期進行安全評估和改進，以應對不斷變化的安全威脅。

五、為什么要做等保
1、進行等級測評就是進行安全認證。
        我們經(jīng)常聽到客戶問的一個問題是：我們完成等保評估后，需要多長時間才能獲得等級保護證書？很多人誤以為等保評估就是安全認證。根據(jù)2017年6月1日實施的《中華人民共和國網(wǎng)絡安全法》第二十一條的明確規(guī)定：國家實行網(wǎng)絡安全等級保護制度，網(wǎng)絡運營者需按照網(wǎng)絡安全等級保護制度的要求，履行安全保護責任。

        可以從這里看出，等保測評并不等同于ISO20000系列的信息技術服務管理認證，也不等同于ISO27000系列的信息安全管理體系認證。等級保護制度是國家信息安全管理的制度，是國家意志的體現(xiàn)。實施等級保護制度是為了滿足國家法律法規(guī)的合規(guī)要求。

        沒有等級保護測評的證書，如何證明信息系統(tǒng)已經(jīng)符合等級保護安全要求呢？目前，這是由公安部授權的全國一百多家測評機構(gòu)來進行安全測評。測評通過后，會獲得《等級保護測評報告》，擁有這份符合等級保護安全要求的測評報告就能證明該信息系統(tǒng)符合等級保護的安全要求。

2、一旦完成等級測評，就可以消除安全問題。
        很多人認為，只要完成等保測評就能萬事大吉。但實際上，等保制度只是基本要求而已。通過測評和整改，落實等級保護制度，確實可以減少大部分安全風險。然而，根據(jù)目前的測評結(jié)果來看，幾乎沒有一個系統(tǒng)能完全達到等保要求。一般情況下，在等級保護測評過程中，只要沒有發(fā)現(xiàn)高危安全風險，就可以通過測評。但是，安全是一個動態(tài)的過程，而不是僅憑一次測評能解決所有問題。

        企業(yè)可以通過實施等級保護安全要求，嚴格遵守各項安全管理規(guī)定，以確保系統(tǒng)的安全穩(wěn)定運行。然而，這并不能完全保證系統(tǒng)的安全性。因此，更重要的是提高企業(yè)的安全防護能力，及時落實能夠做到的工作，確保所有需要完成的工作都得到了落實，從而提升系統(tǒng)的相對安全性。

3、等級測評對于內(nèi)網(wǎng)系統(tǒng)不是必須的。
        許多用戶的系統(tǒng)在公司內(nèi)網(wǎng)或?qū)Ｓ镁W(wǎng)絡中運行，因此不能因為系統(tǒng)未對外公開而覺得相對安全，所以可以不用做等保措施。

        首先，所有不涉密的系統(tǒng)都屬于等級保護的范疇，而與系統(tǒng)是在外網(wǎng)還是內(nèi)網(wǎng)沒有關系。根據(jù)《網(wǎng)絡安全法》的規(guī)定，等級保護的對象是指在中華人民共和國境內(nèi)建設、運營、維護和使用的網(wǎng)絡與信息系統(tǒng)。因此，無論是內(nèi)網(wǎng)系統(tǒng)還是外網(wǎng)系統(tǒng)，都必須符合等級保護安全要求。

        其次，內(nèi)網(wǎng)系統(tǒng)通常在網(wǎng)絡安全技術方面做得不好，甚至許多系統(tǒng)已經(jīng)受到嚴重感染。2017年全球范圍的永恒之藍勒索病毒攻擊造成了大量內(nèi)網(wǎng)系統(tǒng)癱瘓，這提醒我們內(nèi)網(wǎng)系統(tǒng)的安全防護同樣不能忽視。因此，無論是在內(nèi)網(wǎng)還是外網(wǎng)，都必須及時進行等保工作。

4、如果將系統(tǒng)托管在其他地方或者放在云上，就不需要進行等級測評了。
        當前，許多小型企業(yè)客戶更喜歡將系統(tǒng)部署在云平臺和IDC機房。這些云平臺和IDC機房通常都經(jīng)過等級測評。然而，根據(jù)“誰運營誰負責，誰使用誰負責，誰主管誰負責”的原則，系統(tǒng)責任主體仍然屬于網(wǎng)絡運營者自己。因此，他們依然需要承擔相應的網(wǎng)絡安全責任，需要對系統(tǒng)進行定級，需要進行等級保護。

        在云平臺上部署的系統(tǒng)需要購買云平臺提供的安全服務或者第三方安全服務，而在IDC機房中部署的系統(tǒng)則需要購買相應的安全設備，以滿足等保安全要求。

5、可以根據(jù)個人的主觀意愿來確定等級。
        許多客戶有一些顧慮：如果系統(tǒng)設定為高級別，將會增加后期的工作麻煩。一方面，高級別的系統(tǒng)要求更高的技術水平，需要進行更多的工作；另一方面，三級系統(tǒng)每年需要進行評估，也讓人感到不便。因此，他們希望將系統(tǒng)設定為二級，這樣可以減少自己的麻煩。

        目前等級保護對象（即信息系統(tǒng)）的安全級別分為五個等級：1級為最低級別，5級為最高級別（5級為預留級別，市面上已定級的系統(tǒng)最高為4級）。若選擇1級，無需進行等級測評，可以自主進行保護。若選擇2級及以上，就需要進行等級測評。

        確定系統(tǒng)級別的過程需要根據(jù)系統(tǒng)的重要性來決策。如果級別過高，可能會導致投資的浪費；如果級別過低，則有可能會使重要的信息系統(tǒng)無法得到適當?shù)谋Ｗo，因此應該謹慎地確定級別。

        等級保護1.0的要求是自行確定等級，如果有主管部門的要求，主管部門需要進行審核，并最終提交給公安機關審核。等級保護2.0之后，確定等級的流程增加了“專家評審”和“主管部門審核”兩個環(huán)節(jié)，這樣的確定等級過程將變得更規(guī)范，確定等級也會更準確。

6、我不知道應該在哪里備案系統(tǒng)。
        根據(jù)《信息安全等級保護管理辦法》的規(guī)定，信息系統(tǒng)的運營、使用單位是等級保護的主體單位。備案主體通常不會是開發(fā)商和系統(tǒng)集成商，而是最終的用戶方。

        目前有一些單位的注冊地和運營地不一樣，在正常情況下需要到運營地的網(wǎng)絡安全部門辦理備案手續(xù)。舉例來說，如果客戶的注冊地在北京海淀區(qū)，而運營部門在北京朝陽區(qū)，就需要到北京朝陽區(qū)去辦理備案手續(xù)，前提是朝陽區(qū)必須有合法的辦公地址。

        一些單位將其系統(tǒng)部署在云平臺上，而云平臺的實際物理位置通常與云系統(tǒng)的網(wǎng)絡運營商不在同一地點。此外，一些單位的運維團隊和注冊經(jīng)營地址也不相符。在這種情況下，云系統(tǒng)應該在實際運維團隊所在地的市網(wǎng)安部門進行備案，這樣可以方便地方公安對系統(tǒng)進行監(jiān)管。

        因此，在大多數(shù)情況下，仍然需要將系統(tǒng)的維護人員實際所在地作為定級備案的辦理地點。當然，對于一些特殊行業(yè)來說，可能有其他要求。例如，某些涉及金融安全的行業(yè)，比如互聯(lián)網(wǎng)金融系統(tǒng)和支付系統(tǒng)，需要進行本地化管理，這些系統(tǒng)必須在注冊地進行定級備案手續(xù)，以符合當?shù)氐谋O(jiān)管要求。

7、完成等保測評后，就需要投入大量資金進行整改。
        有些客戶對此存有疑慮：測評的費用并不高，但在測評后需要進行安全建設整改，這將需要消耗大量資金。

        實際上，整改的費用取決于信息系統(tǒng)等級、現(xiàn)有安全防護措施的狀況以及網(wǎng)絡運營商對測評分數(shù)的期望值。完全不需要花費大量資金進行整改。整改主要包括完善安全制度、加強安全措施以及購買安全設備。網(wǎng)絡運營商可以自行進行安全制度和加固的工作，也可以委托系統(tǒng)集成商進行加固。這些工作通常不需要額外付費，或者已經(jīng)包含在運營商和系統(tǒng)集成商的合同中。只要這些方面得到很好的整改，再加上一定的安全技術措施，基本上就能夠達到符合要求的結(jié)論。因此，整改所花費的費用取決于您的期望值和如何進行整改。