中小企业等保建设白皮书

1、 目录第一章 等保介绍及发展概述 1等保简介 1等保的发展历程 1国外相关制度研究 11.2.2 等保 1.0 到等保 2.0 2等保实施 3等保相关政策法规标准 3等保定级 4等保的意义 6第二章 等保合规要求下的网络安全能力建设 7安全通信网络 8网络架构 8通信传输 9可信验证 9安全区域边界 9边界防护 10访问控制 10入侵防范 10恶意代码和垃圾邮件防范 10安全审计 11可信验证 11安全计算环境 11 HYPERLINK l _TOC_250031 身份鉴别 12 HYPERLINK l _TOC_250030 访问控制 12 HYPERLINK l _TOC_250029 安

2、全审计 12 HYPERLINK l _TOC_250028 入侵防范 12 HYPERLINK l _TOC_250027 恶意代码防范 13 HYPERLINK l _TOC_250026 可信验证 13 HYPERLINK l _TOC_250025 数据完整性 13 HYPERLINK l _TOC_250024 数据保密性 13 HYPERLINK l _TOC_250023 数据恢复备份 13 HYPERLINK l _TOC_250022 剩余信息保护 13 HYPERLINK l _TOC_250021 个人信息保护 14 HYPERLINK l _TOC_250020 安全管

3、理中心 14 HYPERLINK l _TOC_250019 系统管理 14 HYPERLINK l _TOC_250018 审计管理 14 HYPERLINK l _TOC_250017 安全管理员 14 HYPERLINK l _TOC_250016 集中管控 15 HYPERLINK l _TOC_250015 一个中心三重防护的意义 15第三章 中小企业合规与能力建设思路 16 HYPERLINK l _TOC_250014 中小机构对等保合规的诉求 16 HYPERLINK l _TOC_250013 中小机构等保合规体系建设中遇到的问题 17 HYPERLINK l _TOC_25

4、0012 中小型机构的业务系统有自身的特点 17 HYPERLINK l _TOC_250011 中小型机构网络安全管理建设特点 17 HYPERLINK l _TOC_250010 中小机构等保合规建设中遇到的问题 18 HYPERLINK l _TOC_250009 中小企业的等保合规解决思路 18第四章【用户调查】等保建设经验分享 20 HYPERLINK l _TOC_250008 某合资银行金融科技公司案例 20 HYPERLINK l _TOC_250007 某医疗科技股份有限公司 20 HYPERLINK l _TOC_250006 某交通建设投资公司 21 HYPERLINK

5、l _TOC_250005 某地方房管局 21第五章 新华三助力等保合规建设 22 HYPERLINK l _TOC_250004 新华三等保建设解决方案 22 HYPERLINK l _TOC_250003 5.1.1“等保+”解决方案优势 24新华三等保建设解决方案机应用价值 25 HYPERLINK l _TOC_250002 新华三等保建设应用案例 25 HYPERLINK l _TOC_250001 新华三“等保 +”方案反馈 27 HYPERLINK l _TOC_250000 观点发现 28第一章等保介绍及发展概述等保简介等保即网络安全等级保护，是指根据信息系统应用业务重要程度及

6、其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。网络安全等级保护制度是我国信息安全保障的基本制度，也是我国网络空间安全保障体系的重要支撑。等级保护的主体是执行网络业务的单位，一旦发生网络安全事故，这些主体需要承担相应的责任。网安部门具有认定等保主体的权力。网络安全法明确表示，在中华人民共和国境内建设、运营、维护和使用的网络都必须落实网络安全等级保护制度。无论网络运营者的单位性质是政府机构还是个人企业；无论提供的是访问服务还是云服务或者工业控系统；无论是关键信息基础设施还是一般网络，只要在境内运营的网络都必须展开等级保护工作。等保

7、的发展历程国外相关制度研究早在上个世纪 80 年代，美国国防部就针对国防部门的计算机安全保密防护开展了一系列的工作。1983 年，美国国家计算机安全中心（NCSC）公布了可信计算机系统评估准则（TCSEC-TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA，俗称橘皮书）。橘皮书中定义了可信计算机基础（TRUSTED COMPUTING BASE， TCB）这一概念，即可信计算机硬件与非可信设备及系统的组合体。在 TCSEC 标准中，计算机系统被划分为 4 个等级、7 个级别。其中 A 级为最高级别，D 级为最低级别。这是最初的分级模型基础版本。针对橘皮书，

8、NCSC 于 1987 年出版了一系列的指南文件，从网络安全的角度出发，阐释准则中的要求和观点，从用户登录、授权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规范性要求。2003 年，美国发布保护网络空间国家战略，提出按重要程度不同分五级保护，并通过了联邦信息安全管理（FISMA），要求 NIST（美国国家标准与技术研究院）制定分类分级标准。2005 年，强制性标准 FIPS200（联邦信息及信息系统的最低安全需求）颁布，根据系统影响级别，制定了安全基线控制集。联邦机构需无条件执行此标准，但可以根据自身的情况，灵活的应用基线安全控制。20

9、13 年 2 月 12 日，奥巴马发布了增强关键基础设施网络安全行政令，按此令 NIST 于 2014 年 2 月12 日提出了美国增强关键基础设施网络安全框架，风险程度分为四级，并实行识别、保护、监测、响应、恢复全过程的风险管理。美国的信息处理标准多为强制性标准，要求联邦所有政府机构需按照 NIST 的标准和指南分级方法，进行等级评定。1TCSEC 带动了国际计算机安全的评估研究，90 年代西欧四国（英、法、荷、德）联合提出了信息技术安全评估标准（ITSEC），ITSEC（又称欧洲白皮书）除了TCSEC 的成功经验外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信计算机的概念提高到

10、可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础，并对国际信息安全的研究、实施带来深刻的影响。1.2.2 等保 1.0 到等保 2.02007 年和 2008 年颁布实施了信息安全等级保护管理办法和信息系统安全等级保护基本要求，这两个文件被称为等保 1.0。等保 2.0 在等保 1.0 的基础上，针对我国信息产业迅速发展的现状，所做出的一项重大升级。等保 2.0 将进一步要求政企的网络安全能力建设，释放我国的安全防护需求。等保 2.0 国家标准对比等保 1.0，在保护范围、法律效力、技术标准、安全体系、定级流程、定级指导等方面均有变化。第一，等保 1.0 与等保 2.0 在名

11、称上有所改变。原有的信息安全技术 信息系统安全等级保护基本要求变为信息安全技术 网络安全等级保护基本要求、信息安全技术 网络安全等级保护安全设计技术要求以及信息安全技术 网络安全等级保护测评要求。信息系统这一名词变为网络安全，这意味着不只是专用的信息系统需要按照等保要求建设，面向广大市场的广域网络供应商也需要按照等保要求建设，即等保要求涵盖的主体范围和业务范围的扩大。第二，等保 2.0 在等级保护涉及的范围上有所扩大。在等保 1.0 当中，对适用的主体定义为：信息系统的运营和使用单位，并没有进行特别的定义，但是实际在体质内的单位。在等保 2.0 当中，保护的对象向全社会扩展。等保范围涵盖到了党

12、政机关的信息系统、网络供应商、关键基础设施的生产办公系统等等。第三，等保 2.0 监管的内容也有所扩大。在等保 1.0 当中，只有网络和信息系统纳入了监管范围。随着信息技术的发展以及网络影响的深入，在等保 2.0 当中，云计算平台 / 系统、大数据应用 / 平台 / 资源、物联网、工业控制系统和采用移动互联技术的系统等新兴技术也成为监管内容。第四，等保 2.0 体现了综合防御、纵深防御、主动防御思想，在强调合规检查的同时，更加注重政企实际能力的提升。首先，从被动防御变成了主动防御，整体防御也分区隔离，不仅在边界上防御，在内部也进行一层一层各种各样的防御，相当于在边界上防不住时，在内部控制影响范

13、围，尽量更早地发现问题；其次，“等保 2.0”提出了事前、事中、事后的防御，而不仅仅像原来只是在受攻击时防御。防不住就要审计，出现问题还要事后溯源，知道问题根源在哪，是怎么发生的，为下次的防护做好准备；最后，在保障体系上由被动保障向感知预警、动态的防护、安全检测、应急响应做转变。第五，法规体系有了很大的变化，等保 2.0 从国务院的条例上升到了网络安全法的要求。“等保 1.0”时的法规体系，最上层是 1994 年颁布的中华人民共和国计算机信息系统安全保护条例，2007 年发布了信2息安全等级保护管理办法，2008 年提出了信息安全等级保护标准体系。到了“等保 2.0”，2017年颁布了中华人民

14、共和国网络安全法，规定了要进行网络安全等级保护；2019 年颁布了网络安全等级保护条例。之后又颁布了等级保护新的标准体系，命名也从信息安全改为网络安全。可以看到，法规体系上层级更高了，也就是说网络安全越来越重要了。等保实施等保相关政策法规标准等保相关法规条例文件有：中华人民共和国计算机信息系统安全保护条例（1994 国务院 147 号令）中华人民共和国网络安全法计算机信息系统安全保护等级划分准则（GB17859 1999）国家信息化领导小组关于加强信息安全保障工作的意见（中办发 200327 号）关于信息安全等级保护工作的实施意见（公通字 200466 号）信息安全等级保护管理办法公通字 20

15、0743 号关于开展全国重要信息系统安全等级保护定级工作的通知（公信安 2007861 号）关键信息基础设施安全保护条例（征求意见稿）（国家互联网信息办公室 2017 年 7 月 10 号发）等保相关标准有：GB 17859-1999 计算机信息系统 安全保护等级划分准则GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求3GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求GB/T 22240-2008 信息安

16、全技术 信息系统安全等级保护定级指南GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南等保定级定级是等保的基础，也是等保工作的起点。针对政企的等保建设、等保检查，都应以等保定级为起始。等保定级的过程不仅是对自身安全业务的评级，更是在梳理自身业务当中，对系统面临风险的初步评估。信息系统安全等级的评定坚持自主定级、自主保护的原则，基于政企业务在国家安全、经济建设、社会生活中的重要程度，信息系统遭受破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益（受侵害客体）的危害程度等因素确定。对受侵害的客体可以分：为公民、法人和其他组织相关；社会秩序和公共利益相关；

17、国家安全相关。 对客体侵害程度可以分为三种：其中一般损害是指对客体造成一定损害和影响，经采取恢复或弥补措施，可消除部分影响；严重损害，是指对课题造成严重损害，经采取恢复或弥补措施，仍产生较大影响；特别严重损害，是指对客体造成特别严重损害，后果特别严重，影响重大且无法弥补。在信息安全等级保护管理办法中，信息系统的保护等级被划分为五级：第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益；第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家

18、安全造成损害。第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级：信息系统受到破坏后，会对国家安全造成特别严重损害。4等保定级步骤为：第一步：确定定级对象。包括确定定级对象的主体，以及识别主体的的信息系统。识别信息系统后，要对信息系统进行划分，确定系统的管理边界，并确定的业务流程和业务间关系。第二步：确定受侵害客体。识别在业务信息受破坏后或者系统服务受破坏后的侵害客体。第三步：确定对客体的侵害程度。确定客体的业务信息和系统服务收到破坏后，对客体的侵害程度。并确定受到破坏后，业务系统的恢复能力。第四步：确定业务信息安全等级和系统服务安全等级。第

19、五步：初步确定系统安全保护等级。系统定级流程包括：首先，组织专家对运营单位的信息系统进行初步定级并给出合理性评审。然后，定级的初步结果上报行业的主管部门或者上级主管部门进行审核。最后，定级对象的运营、使用单位按照相关的管理规定，将初步定级结果提交大搜公安机关进行备案审查。5安全保护等级的确定是由政企所处的关键节点及业务特征，因此是具有一定的客观性的，不受目标系统的信息系统状态和安全建设所影响。等保的意义2019 年 5 月 13 日，网络安全等级保护制度 2.0 标准和规范发布，并于同年 12 月 1 日开始实施。等保 2.0为我国政企机构特别是中小机构指明了的信息安全建设的方法和手段，是全国

20、网络安全建设最基础、最重要、最普适的一套规范。实施网络安全等级保护制度，能够有效的提升我国信息和信息系统安全建设的整体水平，有效解决信息安全“最短一块木板“问题。基于等级保护指引的信息系统建设，能够做到信息化与安全化同行，有效控制信息安全建设成本。通过等保测评，是对自身网络安防能力的一个认可，也是对国家的一份答卷。在无法检验系统安全建设状态时，以基线化的等保合规测评作为检查依据，是可以量化的监测手段之一。在实际工作中，等保的意义在于将社会上的每一个政企机构都拉动起来进行网络安全建设，让每个政企的领导都重视网络安全建设，不因预算，不因人员原因减少网络安全的关注程度。6二、等保合规要求下的网络安全

21、能力建设信息系统的等保合规建设工作需要融入到信息系统建设中，从源头抓起，同步进行。从技术层面，构建安全的计算环境和网络环境，通过安全产品部署、安全网络架构等方式，解决系统建设中的安全问题。从管理层面，通过明确实施策略、规范工作流程、建立管理制度等方式，提升人员的安全素养，解决业务建设中的安全问题。7在等级保护的要求当中，安全要求细分为技术要求和管理要求。其中技术要求部分为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”。管理要求部分为“安全管理制度”、 “安全管理机构”、“安全管理人员”、“安全建设管理”、“安全运维管理”，两者合计共分为 10 大类。在

22、等保合规建设当中，通常采用“一个中心，三重防护“的建设理念。即建立以安全管理中心为顶层设计，并同时建立安全计算环境、安全区域边界及安全通信网络的三重技术防护策略。安全通信网络安全通信网络是指一套业务可靠、数据安全通讯环境。在等保 2.0 中，安全通信网络主要包括“网络架构 “、”通信传输“和”可信验证“三个控制点。针对这三个点的可靠性检查是等保合规的重要内容。网络架构在网络架构上，主要从以下几方面进行评判，即网络设备业务处理能力、网络区域划分、网络访问控制设备、互联网边界访问控制、不同区域边界访问控制、关键线路设备冗余。根据等保定级的不同，对系统的要求也不同。在网络系统规划时，需要考虑到带宽、

23、IP 段等内容，还可根据自身的情况进行业务影响分析。特别是需要考虑在高峰时期网络的可靠性，考虑灾备时的冗余性。在做网络区域划分时，应依照网络功能、网络重要程度进行区域划分。同一网段或子网的业务重要程度以最高级别计算。8在部署网络访问控制设备时，避免将重要网络设备部署在网络边界处，重要网络区域与其它网络区域应采取可靠的技术隔离手段。在做互联网边界访问控制时，避免将重要网络区域部署在网络边界，并对不同网络区域采用可靠的技术隔离手段。在对不同边界设置控制访问时，应根据办公网、生产网等办公环境的问题，设置不同的访问控制标准。 保证设备可用性，需要对核心网络节点、核心网络设备或关键计算设备进行冗余设计。

24、通信传输保证通信传输的完整性和保密性。完整性校验：采用密码技术，防止数据被篡改，并对数据实行校验。保密性防护：采用加密技术对数据进行保护，避免敏感信息的明文传输。可信验证在等保 2.0 三级中，对可信验证进行了指引，但不做强制性要求。基于可信根对通讯设备进行可信验证，并对其运行状态进行监测，同时将验证结果审计记录接入到安全管理中心。安全区域边界安全区域边界是等保 2.0 新增的内容，是对安全边界防护的要求。安全区域边界在等保 1.0 当中是网络安全控制项的一部分，但因为内容涵盖较多，且重要，因此在等保 2.0 中将安全区域边界整合为一个新的控制项。9安全区域边界的控制项包括：边界防护、访问控制

25、、入侵防范、恶意代码防范、安全审计、可信验证、接入控制、拨号使用控制、无线使用控制等。安全区域边界的控制项构成了网络安全防护的基本要求。目前大部分政企机构通过部署边界防护设备、能够达到此控制项的要求。边界防护对入网行为进行访问控制、过滤等安全防护措施。本控制点主要是对网络层面的边界安全防护能力检查。在等保测评中，主要考核是否有相关的设备，例如网闸、防火墙、路由器、交换机和无线接入网关等。同时，也对终端管理系统或相关设备的配置进行检测，查看是否具有非授权访问防护技术以及是否关闭闲置端口。 在做边界防护时，不仅要考虑外部层面的攻击行为，也要考虑内部的病毒植入、非授权外网链接、信息泄露等。因此在做边

26、界防护控制时，需要依托数据监听等方式，对于内网人员的私接外网等不安全行为进行监控。访问控制本控制点是针对访问控制策略的要求。在做测评时，在部署网闸、防火墙、路由器、交换机和无线接入网关等设备的前提下，对此类的设备的的规则、配置、策略进行检查。首先，需在默认情况下，根据自身情况，选择采用白名单或黑名单的访问控制策略。其次，精简访问控制策略规则。在日常访问控制策略配置时，需要尽可能简洁有效，过于繁复的访问控制策略可能出现逻辑风暴现象，造成网络访问的不可控。同时，随着人员的业务变更，访问控制策略会进一步迭代，这就导致了访问控制的量不断增加，运维人员不敢轻易变更。因此需要在最初的访问控制策略体系构建时

27、，就按照一系列标准，在一定的业务逻辑上进行访问控制策略的配置。最后，也要对应用层进行访问控制，即采用 WAF 等设备的功能。入侵防范入侵防范通过对关键节点和敏感节点布置检测技术和策略，避免陌生地址造成的攻击行为。监测策略采用双向应用，一方面避免外部的入侵，另一方面也避免内部应用的非法数据外联。通过采取技术手段，分析网络行为，识别网络攻击。当发现攻击行为时，应该具备告警、阻断、响应的能力，保留记录攻击源IP、攻击类型、攻击目标、攻击时间等证据用于后续的进一步分析研究。在入侵防范建设上，一般可以采用人机结合的方式，依托 网络防入侵设备进行数据的采集和评判，结合人工处置响应，实现对入侵的快速响应。在

28、做等保测评时，首先检测是否具备相关系统或组件，然后检测系统或组件模块功能是否具备相应的能力，最后判断能力的有效性。恶意代码和垃圾邮件防范通过在终端部署恶意代码检测和邮件安全防范工具，进行防护工作。10在恶意代码和垃圾邮件防范上，采用终端防护设备和人工代码审计相结合的方式进行防护会有较好的效果。在等保检查中，主要检查是否有防病毒网关、UTM、放垃圾邮件网关等设备和组件，以及这些设备组 件的性能问题。安全审计安全审计是等保的重要控制点，要求机构做好日志留存工作。网络边界设备、重要节点、敏感节点需要能够做好日志记录工作。同时，也需要注意日志的安全工作，避免存在日志篡改、删减等情况。同时，还要注意远程

29、访问的审计工作。在等保测评中，检查在边界处、用户端是否部署的安全审计系统等具备日志采集、日志管理的设备。对于审计日志，需要检查是否能够覆盖到事件的时间、人员、类型、攻击状态等审计必备信息。同时，审计日志是否相应的保护、备份等安全机制，核查其防护策略。对远程访问的的行为需要有单独审计分析。可信验证基于可信根进行通讯设备的系统引导程序、系统程序等进行可信根验证，并在检测到其可信性收到破坏后报警。这就需要查看是否有相应组件的部署，以及组件的性能可靠性如何。目前可信的介绍较为理论，具体实施还需要进一步的摸索。安全计算环境安全计算环境是等保 2.0 技术要求的一部分，涉及安全控制点包括身份鉴别、访问控制

30、、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。在等保检查中，会对终端设备、网络设备、安全设备、应用系统和数据系统等进行检查。11身份鉴别通过软硬件设备，对访问的用户身份进行验证，判断其身份可靠性和是否在其访问权限范围。在等保测评中，检查用户是否有唯一性，其在登陆过程中是否进行了身份鉴别措施，其鉴别措施是否存在弱口令问题，并且要定期更换。对于登录失败，检查是否有相应的处理机制。对于远程管理，需要有必要措施保证网络传输的安全性。等保三级要求身份鉴别以双因子认证实现，其中一个为密码技术。访问控制访问控制要求为用户分配权限，并且采用最

31、小权限原则。对于每个用户配置访问控制策略，设置可审计的安全标记。在等保测评中，检查是否对登录用户分配了权限，并且其是否有默认的口令。对于整体的账户管理，是否采用了最小权限的原则，是否及时清除多余或过期的账户。为每个配置需要配置合理的访问控制策略和访问规则，避免越权访问。其中主体的访问控制粒度达到用户级或进程级，客体为文件、数据库表级。特别是管理员账号，必须不能使用系统默认名称和口令，第一次登录需要修改默认口令。安全审计安全审计是一种操作，对于用户的请求记录产生的日志进行评估。在等保 2.0 当中，对审计内容约定在了重要行为和操作上，例如登录、登出、查询、修改等。在对日志管理上，需要保证日志的完

32、整性、可用性、安全性，因此需要做好日志存储和日志备份工作。等保测评中，主要检查是否有安全审计的功能，功能是否开启且覆盖到每个用户以及每个重要事件。审计记录需要覆盖到日期、时间、事件类型、时间是否成功等。审计日志需要有一定的保护措施，审计日志的访问也需要是受控的。入侵防范入侵防范的目的是尽量减少主机系统被入侵的风险。在系统建设上，应精简操作系统，减少不必要的服务和端口的开启。注意防范跨站脚本、SQL 注入等来自网络的入侵行为，对数据做好校验，对流量做好过滤等。在等保测评中，首先判断系统是否安全，即遵循最小安装原则，是否安装了非必须组件，是否关闭了不需要的服务和端口，以及是否对接入终端范围有所限制

33、。然后，检查整体业务系统是否有数据校验功能，对人机接口或通讯接口是否进行了有效性校验。再次，对系统进行漏洞扫描或渗透测试，检查系统是否存在未修复的的已知高风险漏洞。最后，检查重要节点是否有入侵检测措施。12恶意代码防范恶意代码防范注重主机层面的防护工作，主要采用人机结合的方式实现。在设备部署上，通过终端杀软、前置安全区域的 WAF、IDPS 等方式，实现对恶意代码的检测和查杀。在等保测评时，主要查看系统中是否具备反恶意代码功能或软件，以及这些软件是否能够识别、阻断恶意代码入侵和破坏行为。可信验证基于可信根建立的系统引导程序、系统程序、参数配置体系等。在等保测评中，主要检查关键系统是否基于可信根

34、进行构建，以及可信性受到破坏以后的告警问题。数据完整性数据完整性是指存储中是否完整。所需要的保护的数据包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。在等保测评中，主要检查系统是否具备校验、密码等技术，保证数据在传输和存储过程中的完整性。数据保密性数据保密性是指数据是否不会被窃取。所需要保护的数据包括但不限于鉴别数据、重要业务数据和重要个人信息等。在等保测评中，对业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档进行检查，查看在存储、传输中是否进行了加密处理，保证数据的保密性。数据恢复备份数据恢复备份关注配置数据和业务数据是否进行备份

35、。在等保测评中，主要是看系统是否具备重要数据本地和异地数据备份与恢复功能，是否有热冗余用于存储信息保护。剩余信息保护剩余信息保护是指对已删除的信息，在存储空间再分配前的保护问题。在等保测评中，检查系统配置信息或系统设计文档，对于鉴别信息和敏感数据，信息存储空间被释放或重新分配前是否得到完全清除。13个人信息保护个人信息保护主要约束了系统对个人信息的采集、访问、使用上的行为。等保 2.0 要求系统不得采集无用信息，未授权不得访问使用个人信息。在等保测评中，首先检查系统所收集的个人信息是否是业务必需的，然后检查对于个人信息的访问和使用是否有一定的限制。同时，个人信息相关操作需要有具体的制度和流程进

36、行约束。安全管理中心网安法第三十三条规定，建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。这就要求必须建设统一的安全管理中心，针对安全计算环境、安全区域边界和安全通信网络这三重防护技术，实现统一的管理、监控、分析和审计，形成立体综合的协同防护机制。安全管理中心是技术部分的核心，主要包括系统管理、审计管理、安全管理和集中管控四个控制点，其中以集中管控为核心。在等保建设中，需要添加系统管理员、审计管理员、安全管理员三个角色。系统管理系统需设立系统管理员，对于系统管理员的身份需要鉴别和约束，系统管理员的工作需要被审计。系统管理员的工作包

37、括对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。这要求系统开发时有针对性的设计管理员的相关行为控制。在等保检查中，需要查看系统是否具备特定的命令或操作界面用来为管理员登录，管理员的行为是否有限制以及其行为是否被审计。审计管理系统需设立审计管理员，其职责为进行审计分析。审计管理员重点是进行日志的保护、查阅、管理工作。在等保检查中，需要查看审计管理员是否有特定的操作界面，并且对于审计管理员本身的行为需要能够记录。安全管理员系统需设立安全管理员，其主要职责是包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授

38、权，配置可信验证策略等。在等保检查中，需要查看安全管理员进行身份鉴别，并且有特定的命令和界面进行工作，其行为可以被审计。14集中管控集中管控是安全管理中心的核心。针对安全设备和安全组件，将其管理接口和数据单独划分到一个区域中，与生产网分离，实现独立且集中的管理。安全设备多被划在独立的区域内，以堡垒机等方式进行隔离，与生产网隔离的同时也便于统一管理。在等保测评中，主要检查是否有特定的区域用于网络安全设备或网络安全组件的管理控制。独立区域是否有专门的安全传输路径对安全设备或组件进行管理。安全区域是否能够完成对网络中的链路设备进行集中监测，并且形成审计记录。是否对安全策略、恶意代码、补丁升级等安全相

39、关事项进行集中管理。是否能够对网络中发生的各类安全事件完成识别、报警和分析。一个中心三重防护的意义所谓“一个中心三重防护”，就是针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案设计，建立以计算环境安全为基础，以区域边界安全、通信网络安全为保障，以安全管理中心为核心的信息安全整体保障体系。“一个中心三重防护”将等保检查的项目进行了梳理，将等保控制项进行了划分。目前主流的等保建设服务甲方用户均按照“一个中心三重防护”的思路给予建设建议。等保技术建设规范为“一个中心三重防护”有助于将信息安全产品松耦合，可以让甲方用户进行综合考虑和选择。15三、中小企业合规与能力建设思路为

40、了进一步中小机构的等保需求现状和信息安全能力建设现状，安全牛采访了 8 个甲方用户，他们来自金融、交通、政府等多个涉及到基础民生的关键基础行业行业。通过调研他们在等保合规建设当中遇到的问题和解决方法，对我国中小机构在等保合规建设的情况进行概览。中小机构对等保合规的诉求我们共调研了八个甲方用户，其等保需求各不相同。综合来看，甲方对等保合规诉求可以分为两类。其中一类甲方用户，由于日常工作偏向传统行业，其信息安全建设围绕等保合规需求进行，安全建设的诉求为等保合规。在等保 2.0 要求落地后，这类甲方用户在建设上基本依照等保控制点进行，踩点合规即可。另一类甲方用户对信息产业依赖较强，通常本身就建有信息

41、安全体系，在自有的信息安全架构上进行能力建设。这类甲方用户在等保 2.0 要求落地后，会依照等保 2.0 标准对未满足的控制点进行有针对性的建设。一些典型的等保合规诉求如下：对于某政府甲方用户，其所需过等保的系统为政务系统，多用于规范自身的业务流程，较少对外开放，其对信息安全的关注度较低。该单位的等保定级为二级，对于日常的网络安全建设，以满足等保需求为主。对于某金融甲方用户，由于所处的行业对网络安全比较敏感，其业务系统与总行业务系统关联，因此对信息安全比较关注。等保定级为二级，在对自身信息安全体系状况进行评估后，能够较好的满足等保合规要求。对于某具有商务业务系统的甲方用户，其等保定级为二级。在

42、对自身业务发展进行评估后，如自身系统过三级后，将能进一步拓宽市场覆盖面和市场规模，因此虽然目前等保评级仅为二级，但是还是依照等保三级的要求进行建设，并且随着业务布局的更改，希望能够过等保三级标准。对于某总公司的甲方用户，其业务系统较为复杂。在做等保测评时，将自身的业务系统进行的拆分，根据每个子系统的业务的情况和规模，分别评为了等保二级和等保三级。在做等保合规测评时，需要对每个子业务系统进行有针对性的建设。对于某研究院分所的甲方用户，其所处的行业为军工行业，等保定级为二级。其信息安全建设是总公司大信息安全体系的一部分，对于本身的信息安全建设以满足等保合规为主，实际信息安全保障工作听从总公司的安排

43、，即实际信息安全防护能力高于等保二级的要求。对于某咨询公司的甲方用户，其业务以咨询为主，提供各种信息安全方案。虽然自身没有过等保测评的需求，但是会持续关注等保建设的最新要求。综合来看，有等保评级需求的中小机构的系统等保定级多为二级或三级。除具备较强的与外部交互业务系统的机构，大部分中小机构的信息安全建设基础较为薄弱，还是以杀毒软件、防火墙、IDS 等单点的软件或设备部署为主，很少具备层次化的安全体系，这种信息安全建设基础离等保合规要求还有一定需求。他们的信息16安全建设诉求是满足等级保护要求即可，因此还需要少量投入完成等保合规建设。中小机构等保合规体系建设中遇到的问题中小型机构的业务系统有自身

44、的特点在对中小机构的业务系统进行调研后，可以对其业务系统的特点进行归纳：第一，中小机构的业务系统大多以单一的业务系统为主，等保合规建设也围绕着一个系统进行。因此相较于大型机构的多业务系统叠加覆盖，中小型机构的业务系统清晰明确，无论是定级还是测评或是检查都更加简单。第二，中小型机构的等保评级系统以自身的工作系统为主，多为上层主管机构信息系统的延伸。这类系统功能多为统一下发，机构的员工再进行学习，很少有机构自身开发的业务系统。这类型的系统多是套路化的系统定制化的需求较少，因此多可以采取普适性的等保合规建设方案。第三，中小型机构，特别是传统行业的业务系统，使用人员的信息化水平参差不齐，培训困难，这也

45、使得业务系统较为稳定，更新频率较低。第四，在我们调研中，这些中小型机构的信息人员表示，从日常的网络日志审计来看，所遭受的具有风险的网络行为较少，行为多为网络扫描等非针对性的网络动作，没有发现实质性的攻击行为。3.2.2. 中小型机构网络安全管理建设特点中小型机构无论在规模还是在营收上，都无法和大型政企相比，因此在信息化和网络安全建设上，也有着与大型政企不同的地方。第一，在信息化资金上，我们调研的中小机构多为每年 100 万元至 300 万元，而其中的网络安全占比多为 10% 至 20%。第二，在信息安全专业度上，我们调研的中小机构均没有为专业的网络安全人才留有岗位编制的情况，信息化人员兼任网络

46、安全防护人员。第三，在信息安全建设基础上，我们调研的中小机构本身均有部分基础，但是基础能力较差，部署的多为传统安全防护产品。已过等保的机构，在满足等保合规后很少进一步进行建设；需要满足等保要求的机构，本身具有一定的基础，但是相应的设备并不齐全，还需要进一步建设达到等保合规要求。中小机构等保合规建设中遇到的问题根据调研，可以总结出中小机构在等保合规建设当中遇到或可能遇到如下问题：信息安全投入资金不足。在我们调研的中小机构中，大部分机构一年信息安全投入不超过 30 万元。有的机构信息安全投入是分大小年的，当年有等保测评需求，则投入能达到 30 万元，如果当年等保测评需求较小，17投入数字甚至在 1

47、0 万元以下。而当前市场上一台普通防火墙的价格都可以达到 10 万元。因此这个数量的信息安全投入远远满足不了部署体系化设备和软件的需求。信息安全专业人才储备不足。我们调研的机构，没有招聘专门的信息安全专业人才的情况。信息化部门兼任了信息安全防护的工作，而信息化部门人数不超过 5 人，甚至有只有一人的情况。某甲方用户的等保合规建设工作为信息化部门一人负责等保合规技术相关工作，领导秘书一人负责等保合规管理相关工作，这就导致了信息安全技术建立和信息安全管理建设被割裂开，信息安全建设团队能力不足。领导重视程度不足。我们调研的中小型甲方机构，有三个机构提到领导并没有重视信息安全建设。信息安全投入不是一经

48、投入立马出现效果的，这些机构的领导希望以最小的投入满足等保合规要求即可。而这种情况，加剧了这些机构资金投入不足和信息安全人才储备不足的情况。抗压力量差。在我们调研的一个机构提到，受今年疫情的影响，各单位均不得不挪出资金投入到抗疫工作当中。今年国家等保合规检查力度也有所降低，因此部分单位存在着削减信息安全预算投入到抗疫中的情况。中小机构由于本身体量的原因，在面对疫情这样不可控的风险时，没有足够的应急响应预算，信息安全预算成为了他们可削减的部分。将等保理解为一种工作负担。在我们沟通的咨询公司提到，中小机构并不想让自己的业务系统联网，自身的数据和业务功能不想对外，传统的数据壁垒也没有影响到日常工作。

49、在等保评级上，宁愿舍弃部分业务功能，也不希望自己提高等保定级。这些企业更希望用网闸一刀切的方式进行信息安全防护，等保合规要求的其它产品只是“样子货“即可。中小企业的等保合规解决思路在对实际情况进行调研后，大致可以看到当前中小机构的等保合规建设理念和等保合规建设困境。脱离中小机构的现状提出宏大的解决方案不仅无法实时落地，还可能增加中小机构的焦虑。根据中小机构对等保合规诉求的不同，我们提出了按点部署产品的解决方案，和以一体机为核心等保合规建设整体解决方案。按点部署产品的体系化建设根据自身的业务情况和发展方向，选择防火墙、终端安全设备、审计系统、安全管理中心等多安全产品的采购和部署，建立体系化的防御

50、。建议自身业务系统应遵循最小化原则，进行子系统划分隔离，简化每个子系统的合规建设复杂性。我们建议信息化部门认真理解等保的要求，并请专业化的信息安全咨询团队或者服务团队，对自身的业务系统和已有的安全建设情况进行评估，形成等保合规建设的建议方案。根据方案建议，部署各类型的信息安全设备，以单点防护带动整体防护。这种建设方案适合本身预算较多，业务系统对外交互较强，不以等保合规建设为信息安全建设的最终要求的机构。初期聘请专业的信息咨询服务团队，能够对自身业务系统进行快速梳理，探查系统的风险点，并根据18风险点形成有针对性的解决方案。以等保合规要求为建设指导，建立有效的安全防护体系。在做好体系化建设后，根

51、据等保的控制点，逐条排查不符合要求的扣分点，最终以综合性方式查缺补漏，这就有效满足了等保合规的需求。建立信息安全管理制度，对员工进行信息安全培训，以满足等保合规中的管理相关要求。在通过等保测评后，还应持续进行信息安全投入，聘用专业的信息安全人员，并购买渗透测试等信息安全服务。以“一体机“的方式进行等保合规建设目前市场上有很多“一体机”这样的安全防护设备，这类产品多是综合性的信息安全产品，集合的部分边界防护、终端防护、日志审计、安管中心功能。通过部署设备的相关功能，能够达到等保要求，并满足一般的信息安全需求。这种建设方案适合一些预算、编制不充足，日常业务交互较少的中小型机构。一体机的部署快速，应

52、用简单，能够快速达到等保合规要求。将等保合规建设交由专业的团队，也可以以最小的时间、成本、人员满足等保合规。我们建议甲方用户对市场上的“一体机”产品进行调研，了解解决方案特点。重点调研其资质、适配性、灵活性和先进性。根据自身的信息系统实际情况，让厂商提供有针对性行的解决方案，并从中选择最适合自身的方案进行部署。同时，我们建议不要将“一体机”产品视为简单的等保合规产品，而是要在日常的工作中实际使用起来。通过对市场的“一体机”产品进行研究，目前市场上的“一体机”产品，在性能上也具备一定的优势。例如在终端防病毒能力上、在边界防护控制上，大部分“一体机”产品集合了厂商的技术积累，能够满足一般的安全防护

53、需求。实际使用“一体机”中的功能，可以提升自身的安全防护能力，降低对专业信息安全人才的要求，也能够减少部分安全建设的支出。19四、【用户调查】等保建设经验分享在对部分中小机构进行调研后，我们总结了部分机构的建设方案，可以为其它机构的等保合规建设提供经验分享。4.1、某合资银行金融科技公司案例某合资银行金融科技公司是一家新成立的金融科技公司，致力于向中国金融机构和投资者提供一系列金融科技和监管科技解决方案。业务包括交易服务核心技术、金融监管技术方案等，其主要客户为银行等金融机构。该金融科技公司等保定级为三级，信息化建设通过了 ISO27001 标准，其提供的信息系统解决方案也要符合金融服务 信息

54、安全指南、商业银行信息科技风险管理指引等一系列金融行业的规定和标准。该金融科技公司的信息化投入为 300 万元，其中信息安全投入达到了 140 万元，这在中小机构中的绝对数值非常高。在人员配备上，信息管理部门承担了信息安全工作，并没有雇佣专门的信息安全人员。由于客户对信息安全要求较高，该金融科技公司采用的满配信息安全建设，以方便后续的信息安全能力进一步提升。其信息安全架构为根据 ISO27001 自主设计的体系化防御技术构建了，全面部署了防火墙、入侵检测设备、堡垒机、数据审计系统、上网行为管理系统等信息安全产品。在等保合规建设中，其遇到最大的问题是，早期的建设没有考虑等保的要求，导致存在部分现

55、有环境和等保需求不一致的情况。例如早期的建设没有考虑到物理环境的电路部署、线路冗余等问题。由于等保 2.0 的要求在 2019 年年底刚落地，因此需要投入资金进行改造。由于业务的升级，从之前租用 IDC 为主，转变为现阶段需要重新部署机房，这就要求进行物理环境的改造，和响应安全设备的提升。作为一个中型企业，其高额的信息安全投入源于自顶向下的高度信息安全认知。一方面，该金融科技公司将信息安全投入理解为省钱项目，即避免了遭受安全风险造成实际经济损失。另一方面，实践出一套较好的金融行业等保解决方案也将是未来服务业务的一部分。某医疗科技股份有限公司某医疗科技股份有限公司主营业务为国内外医疗器械流通管理

56、公司，提供了串联政府、制造商企业、医疗机构、经销商等全供应链整体解决方案，致力于为医疗器械国内外通畅流通做出贡献。该医疗科技公司目前的等保定级为二级。由于该公司供应对象为医疗系统，系统的信息安全需求较高，因此目前在进行进一步的信息安全建设，希望能在近期内满足等保三级的信息安全要求。该医疗科技公司每年的信息化投入为 1000 万元左右，其中信息安全投入在 100 万元至 200 万元。该公司只有一名信息安全建设人员，负责整个公司的安全管理工作。由于其商务系统部署在国外云平台上，因此该医疗科技公司的信息安全需求较高。目前，该医疗科技公司20已经采购了态势感知系统、WAF、终端防护设备等多元信息安全

57、产品，有较强的信息安全防护能力。在对自身信息安全建设情况评估后，其已部署的设备能够满足等保二级的要求。目前正在进一步的提升安全防护能力，以达到等保三级要求为目标。该医疗科技公司认为，等保合规只是一种促进信息安全建设的基线，日常的信息安全工作不应以仅满足等保为目的。通过等保 2.0 的要求，可以概览自身的网络安全建设情况，但为了提升自身的防护能力，还需要进一步采用高阶安全体系与架构。某交通建设投资公司某交通建设投资公司是国有控股公司，承担省内修路养路项目，占全省高速公路总里程的 70%，水运投资占全省水运投资的 80%。该交投集团资产总额超过 4000 亿，年营业收入近千亿元。该交投集团自身的信

58、息等保定级为二级，下属二级单位的部分业务系统，例如收费站系统的等保定级为三级。总公司和每个子公司均有自己的机房，业务系统独立，信息化建设也各自进行。交投集团的信息中心负责集团的信息化建设，没有额外的安全团队进行进一步的信息安全专门管理工作。交投集团的等保合规建设工作围绕着已有的安全建设进行。交投集团已部署 WAF、访问控制系统、终端防护系统等。在对自身安全体系建设和等保合规要求进行评估后，在边界防护、日志审计上还存在一定的不足。在明确需求后，通过采购了综合的“一体机”设备，弥补了在这些方面的不足，最终达到等保合规的要求。交投集团的信息部门认为，通过独立信息安全设备和“一体机”的综合部署，能够快

59、速满足等保的需求，并且不影响到已有设备的使用。同时，“一体机”的部分功能能够切实应用到日常信息安全工作中，例如日志审计模块，是进行系统审计的必备功能，这让“一体机”成为了非常高性价比的信息安全投入。某地方房管局某地方房屋管理中心是地方政府机构，对内有一套业务系统用于办公，同时需要运营一个网站用于政务公开、招投标公示、网上办事等工作。该房管局的等保定级为二级。该房管局的信息安全投入极不稳定，如果有过等保的需求，则当年会有较高的投入进行信息安全建设。如果当年的等保检查工作要求较低，则投入可能几乎为零。房管局有一个 3 人的信息化团队，并没有专业的信息安全人员。该房管局过等保测评的方式为找一家信息安

60、全服务公司对本身的业务系统进行测评。然后根据测评结果，经过性价比考核，采购了“一体机”产品进行了等保合规建设。由于该房管局已有网闸、防火墙等设备，因此只采购了“一体机”的部分功能。该房管局的信息安全建设的诉求是符合等级保护的要求，因此在安全设备操控上，实际使用的还是“老三样”的信息安全产品，对于以满足等保合规目的采购的“一体机”设备，由于认为不够友好，所以实际使用并不多。21五、新华三助力等保合规建设网络安全法中明确要求，在中华人民共和国境内建设、运营、维护和使用的网络都必须落实网络安全等级保护制度。对于大型企事业单位来说，建立专业化的安全团队，购买专业的安全设备和服务，是完成自身合规建设，提