数字智慧方案如何开展等保20项目建设

《关键信息基础设施安全保护条例》“关保条例

”以八章共五十五条的篇幅对关键信息

基础设施安全保护做了相较于《网络安全法》更为

详细的规定，其中包括总则，支持与保障，关键信

息基础设施范围，运营者安全保护，产品和服务安

全，监测预警、应急处置和检测评估，法律责任以

及附则，构建了关键信息基础设施安全保护的整体

框架。《网络安全法》2017年6月

1

日正式施行，其中第二十一条规定，

国家实行网络安全等级保护制度。同时第三十一条

规定，对可能严重危害国家安全、国计民生、公共

利益的关键信息基础设施，在网络安全等级保护制

度的基础上，实行重点保护。等级保护由基本制度、

基本国策，上升为法律。不做等保就是不合法。《网络安全等级保护条例》主要是依据《网络安全法》《保守国家秘密法》制

定的。从《网络安全等级保护条例》看等保

1.0

到等保2.0

的重要变化:核心法律依据的效力位阶提高

;等级分类的界定有所调整(第三级)

;测评周

期变化(第三级以上的网络运营者应当每年开展一次网络安全等级测评)。《国家安全法》第二十五条

国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；网络安全领域国家相关法律要求《网络安全法》第五十九条•网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，

由有关主管

部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万

元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。《网络安全法》第七十二条•国家机关政务网络的运营者不履行本法规定的网络安全保护义务的，

由其上级机关或者有

关机关责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。《刑法》第二百八十•

不履行信息网络安全管理义务罪。造成违法信息大量传播、用户信息泄漏，造成严重后果

的。处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。等保检查不合规结果的部分处罚条例六条2020年8月，桂林市公安局网安支队联合七星分局网安大队，某著名企业开展日常检

查。检查时发现该公司网站存在安全漏洞，网页遭

到篡改。经查该公司存在相关网络日志留存不足六

个月、对网络安全重视程度不够、

网络安全意识淡

薄等行为。依据《网络安全法》第

二十一条、第五十九条之规定，对广西某著名企业依法处以警告行政处罚。桂林市公安局网安支队接上级通报，阳朔县某协会

网站被黑客入侵，植入木马病毒。经查，该协会没

有采取完善的网络安全监测、

防护技术措施，长时

间不管理

、

不更新，导致网站被植入木马

。

依据

《网络安全法》第二十一条、第五

十九条之规定，对阳朔县某协会依法处以警告行政

处罚并责令整改。近日某著名企业网站存在安全漏洞，网页遭篡改成赌博网站。经现场检查，发现其公司网络运营者对网络安全重视程度不够、

网络安全意

识淡薄，且不履行网络安全义务等导致其网站被篡改成赌博网站。依据《网络安全法》第二十一条、第五十九条之规定，对某著名企业给予行政罚款10000元行政处罚，对网站

负责人给予行政罚款5000元的行政处等保检查不合规结果的处罚案例某著名企业网页被篡改案某著名企业网页被篡改案某协会网站被黑客植入木马案变化项等保1.0等保2.0名称变化信息系统安全等级保护网络安全等级保护（与网络安全法相衔接

）定级对象信息系统信息系统、基础信息网、云平台、大数据平台、

工控、物联网系统和某著名企业互联网。安全要求基本安全要求安全通用要求+安全扩展要求1.

等保2.0测评原来60分即可合格，现在要求70分，且不能有高风险项。2.等保1.0关注网络层的安全防护,等保2.0现在更关注基于应用层面的动态安全防护。3.

等保1.0重视网络边界的防御，等保2.0对整体安全的建设都做了相应的要求，比如三重防御一个中心（通信安全、

区域边界、计算环境安全及管理中心）、物理安全等。4.等保2.0强调对新型攻击的检查和防御，可以通过沙箱、威胁情报、蜜罐、大数据等安全技术来满足此类要。如解决现在0day

漏洞、APT攻击、勒索病毒等高风险等保2.0对比1.0的升级内容定级备案整改测评复核业主方确定安全保护等级，填

写定级备案表、编写定

级报告准备备案材料，到当地公安机关备案建设符合等级要求的安

全技术和管理体系准备和接受测评机构测

评等保三级每年核查一次

等保二级每两年核查一

次网安支队当地网安受理备案材料

确定定级合理公安机关监督检查运营、

使用单位是否按要求开

展等级保护工作安全集成商协助业主确认定级对象

为业主提供定级咨询服

务，辅导建设单位准备

定级报告，并组织专家

评审辅导业主单位准备备案

材料和提交备案申请依据相应等级要求对当

前实际情况进行差距分

析，针对不符合项以及行业特性要求进行个性

化的整改方案设计，协助业主单位完成建设整

改工作在测评阶段会协助运营、

业主单位配合测评中心

开展等级测评工作，并

保障顺利通过等保测评

获得测评报告根据业主单位需要配合

完成自查工作，协助运营、业主单位接受检查

和进行整改测评机构对定级和等保前期咨询协助业主完成备案对等级保护对象的建设

情况按照等保建设标准

进行差距评估，给出评

估报告指导业主方，按照测评建议完成建设要求等保2.0的工作流程及内容业务推动•（等保升级）2020年开始等保按照2.0等保

1.0标准是2008年发布的,已经十多年了。这期间,网络安全形势发生了翻天覆地的变化,比如说原来关注三四层的安全防护,现在更关注基于应用层面的安全防护的标准执行，咱们这边之前按照

1.0的标准建设的等保

，今年有进行2.0升级的计划吗？•

2.0相比

1.0的测评标准也不一样了，1.0时候60分即可通过，2.0标准要70分且不能有高风险项，同时对网络安全的建设标准

有了更高的要求，如果不进行升级建设的话后边复核会无法通过的。事件推动•

1、（突发安全事件）最近发生的xxx事件影响挺大的，对xxx的业务造成的损失以及业内造成的不良影响挺大的，咱们单位有做

相关问题的排查吗？•2、（监管单位通报）近期xxx单位下发了《xxx》文件进行安全检查，咱们准备好应对策略了吗？•

1、（法律规章制度）Xxx政策在xxx时间开始已经开始实施了，现在xxx部门已经开始进行安全建设检查了，咱们单位是不是也

收到相关的通知？•2、（建设指导）最近xxx单位下发了关于网络安全等保的建设指导，并且有具体的建设结果考核，咱们单位的建设方案制定好了

吗？•

3、（整改检查）近期主管单位组织了网络安全主题检查活动，其中等保是检查重点，咱们有收到检查的通知吗？等保2.0项目推广话术政策推动建设背景•确定客户做等保的起因和建设预期（要做几级、是否为合规而作）

，是上级建设指导还是业务发展的安全需要。输出文字内容，便于后期定制方案。资金来源•明确资金来源，资金形式。便于确定项目时间、采购形式等。网络状况•了解现状，拿到拓扑。便于了解项目规模和后期定制方案。项目周期•了解建设进展，以及项目周期。便于把控项目全局，不同阶段采取不

同策略，明确定级、备案、差评、建设、复审时间点。竞争情况•明确项目局势，了解参与方。

明确敌我，把控全局。等保2.0项目需求五要素0102030405计算环境安全•

重要核心设备、安全设

备、操作系统、数据库

性能允提下，开

启用户操作类、安全事

件类和重要用户操作、行为操作审计策略或使

用第三方日志审计工具。•

重要核心设备、操作系

统等需要采用两种或两

种以上鉴别技术对用户

身份进行鉴别。安全管理中心•

部署日志服务器，统一

收集各设备的审计数据，

进行集中分析，并根据

法律法规的要求留存日

志。•

对网络链路、安全设备、

网络设备和服务器等的

运行状况进行集中监测。通信安全•

互联网出口需具备安全

访问控制措施，且策略

配置得当；•

口令、密钥、个人敏感

信息再传输过程中需加

密，不可明文直接传输。边界安全•

网络边界需具备相关措

施，保障入网终端、设

备经过授权并管理在册，

终端需制定告警、权限

管控、阻断等措施。•

边界需部署相关防护和

检测设备，提供安全检

测和攻击防御，确保威

胁不会进入内网，也保

障内网出现威胁不进一

步扩散。高危风险项举例（高危风险项具有一项否决能力）安全区域边界

下一代防火墙

入侵检测/防御

上网行为管理

安全沙箱

动态防御系统

身份认证管理

流量安全分析

WEB应用防护

准入控制系统建设要点•

强化安全边界防护及入侵防

护•

优化访问控制策略

安全通信网络

下一代防火墙

VPN

路由器

交换机建设要点•

构建安全的网络通信架构•

保障信息传输安全

安全计算环境

入侵检测/防御

数据库审计

动态防御系统

网页防篡改

漏洞风险评估

数据备份

终端安全

安全管理中心

大数据安全

IT运维管理

堡垒机

漏洞扫描

网站监测预警

等保安全一体机

等保建设咨询服务建设要点•

强调系统及应用安全•

加强身份鉴别机制与入侵防

范建设要点•

对安全进行统一管理与把控•

集中分析与审计•

定期识别漏洞与隐患等保2.0技术保护方案规划序号等保所需产品等保二级等保三级13安全流量分析可选可选14等保一体机可选可选15垃圾邮件网关可选必备16沙箱系统可选可选17态势感知可选可选18终端准入系统可选必备19VPN网关可选可选20虚拟化安全系统可选必备21网闸可选可选22动态防御系统可选可选23网站监测预警系

统可选可选24备份与恢复系统可选必备序号等保所需产品等保二级等保三级1防火墙必备必备2入侵防御必备必备3日志审计必备必备4漏洞扫描必备必备5上网行为管理必备必备6WFA应用防火墙可选必备7堡垒机可选必备8数据库审计可选可选9网站防篡改可选必备10运维管理系统可选可选11网络版杀毒软件必备必备12未知威胁防御可选可选等保2.0网络安全设备配置建议

考核录用人员专业

技能，签署协

议。

离岗人员及时回收

权限、