云南等保2.0介绍，等保合规二级、三级整改所需设备清单和具体解决方案

一、等保2.0概述：

2019年5月13日，国家市场监督管理总局、国家标准化管理委员会召开新闻发布会，等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布，将于2019年12月1日开始实施。

云南等保合规建设、昆明等保整改解决方案云南天成科技吴经理：13698746778 QQ：463592055

相较于2007年实施的《信息安全等级保护管理办法》所确立的等级保护1.0体系，为了适应现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求，2018年公安部正式发布《网络安全等级保护条例（征求意见稿）》，国家对信息安全技术与网络安全保护迈入2.0时代。

事实上，由于某些行业特殊性，如果等保没做，有可能拿不到营业执照或者无法正常开业，也有可能受行业监管部门处罚。不做等保有可能遭遇罚款，事态严重的，有可能遭网监等相关部门勒令停止运营，万一发生了敏感事故，这个安全责任必须自己去承担，不论你的安全工作平时做的有多么好。这一点看来，一般是IT部门或者运维部门的主管首先担责。轻则罚款关机，重则牢狱之灾也是有的。

云南天成科技，解企业燃眉之急，助力企业合规合法运营发展。云南天成科技有限公司，提供专业等保咨询以及等保合规改造服务，助力企业等保工作开展。云南天成科技创立于2009年，向客户提供本地化、高品质的IDC、等保合规建设、云计算、数据中心机房建设、IT系统集成、系统运维管理和大数据等服务。于2019成为阿里云、华为云云南金牌合作伙伴，为用户提供阿里云、华为云全线基础产品及行业解决方案的实施运维服务。

二、什么是等保

根据 2017 年 6 月 1 日起施行《中华人民共和国网络安全法》的规定，等级保护是我国信息安全保障的基本制度。
《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列全保护义务：保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。
等保1.0指的是2007年的《信息安全等级保护管理办法》和2008年的《信息安全技术信息系统安全等级保护基本要求》。
等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，并对旧有内容进行调整。

三、等保2.0由来过程

等保2.0对定级指南、基本要求、实施指南、测评过程指南、测评要求、设计技术要求等标准进行修订和完善，以满足新形势下等级保护工作的需要，其中《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全安全等级保护基本要求》、《信息安全技术网络安全等级保护安全设计要求》已于2019年5月10日发布，并将在2019年12月1日实施。

四、相较于等保1.0，等保2.0发生了以下主要变化：

第一：名称变化。等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《网络安全法》保持一致。

第二：定级对象变化。等保1.0的定级对象是信息系统，现在2.0更为广泛，包含：信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。

第三：安全要求变化。基本要求的内容，由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)。

针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

第四：控制措施分类结构变化。等保2.0依旧保留技术和管理两个维度。等保2.0由旧标准的10个分类调整为8个分类，分别为：

技术部分：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；
管理部分：安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。

第五：标准控制点和要求项的变化

等保2.0在控制点要求上并没有明显增加，通过合并整合后相对旧标准略有缩减。

第六：内容变化。从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作，变更为五个规定动作+新的安全要求(风险评估、安全监测、通报预警、态势感知等)。

等保2.0将进一步提升关键信息基础设施安全。根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则，网络运营者成为等级保护的责任主体，如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。

五、昆明等保2.0二级、三级整改所需设备和要求

1、二级等保要求及所需设备

《等级保护基本要求》

所需设备

防盗窃和防破坏（G2）

e) 主机房应安装必要的防盗报警设施。

机房防盗报警系统

防火（G2）

机房应设置灭火设备和火灾自动报警系统。

灭火设备

火灾自动报警系统

温湿度控制（G2）

机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

机房专用空调

电力供应（A2）

b) 应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。

UPS

访问控制（G2）

a) 应在网络边界部署访问控制设备，启用访问控制功能；

b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。

c) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户

防火墙

（网站系统，需部署web应用防火墙、防篡改系统）

边界完整性检查（S2）

应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。

准出控制设备

入侵防范（G2）

应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等。

IDS（或IPS）

安全审计（G2）

a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；

安全审计（G2）

a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；

d) 应保护审计记录，避免受到未预期的删除、修改或覆盖等

日志审计系统

日志服务器

恶意代码防范（G2）

a) 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；

b) 应支持防恶意代码软件的统一管理

网络版杀毒软件

备份和恢复（A2）

a) 应能够对重要信息进行备份和恢复；

数据备份系统

网络安全管理（G2）

d) 应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补；

系统安全管理（G2）

b) 应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补；

漏洞扫描设备

2、三级等保要求及所需设备

《等级保护基本要求》

所需设备

物理访问控制（G3）

d) 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

电子门禁系统

防盗窃和防破坏（G3）

e) 应利用光、电等技术设置机房防盗报警系统；

f) 应对机房设置监控报警系统。

机房防盗报警系统

监控报警系统

防火（G3）

a) 机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；

火灾自动消防系统

防水和防潮（G3）

d) 应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

水敏感检测设备

温湿度控制（G3）

机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

机房专用空调

电力供应（A3）

d) 应建立备用供电系统

UPS或备用发电机

结构安全（G3）

b) 应保证网络各个部分的带宽满足业务高峰期需要；

g) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。

负载均衡

访问控制（G3）

a) 应在网络边界部署访问控制设备，启用访问控制功能

b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级

c) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制

防火墙

（网站系统，需部署web应用防火墙、防篡改系统）

边界完整性检查（S3）

a) 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；

b) 应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断

准入准出设备

入侵防范（G3）

a) 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；

b) 当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

IDS（或IPS）

恶意代码防范（G3）

a) 应在网络边界处对恶意代码进行检测和清除；

b) 应维护恶意代码库的升级和检测系统的更新。

防病毒网关（或UTM、防火墙集成模块）

安全审计（G3）

a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；

b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

c) 应能够根据记录数据进行分析，并生成审计报表；

d) 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等

安全审计（G3）

a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；

b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件； c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；

d) 应能够根据记录数据进行分析，并生成审计报表；

e) 应保护审计进程，避免受到未预期的中断；

f) 应保护审计记录，避免受到未预期的删除、修改或覆盖等

日志审计系统

数据库审计系统

日志服务器

恶意代码防范（G3）

a) 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；

b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；

c) 应支持防恶意代码的统一管理。

网络版杀毒软件

资源控制（A3）

c) 应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；

d) 应限制单个用户对系统资源的最大或最小使用限度；

e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。

运维管理系统

网络设备防护（G3）

d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；

身份鉴别（S3）

f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别

身份鉴别（S3）

b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；

堡垒机+UKey认证

备份和恢复（A3）

a) 应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；

b) 应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；

数据备份系统

异地容灾

网络安全管理（G3）

d) 应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补；

系统安全管理（G3）

b) 应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补；

漏洞扫描设备

六、昆明等保安全服务流程

1、系统定级

云南天成科技：协助定级、推荐测评机构

客户：业务系统定级，与云南天成科技签订服务合同。

通用等保测评流程：信息系统运营单位按照《网络安全等级保护定级指南》，自行定级。三级以上系统定级结论需进行专家评审。

2、系统备案

云南天成科技：协助客户完成备案

客户：提交备案材料

通用等保测评流程：信息系统定级申报获得通过后，30日内到公安机关办理备案手续

3、建设整改

云南天成科技：提供技术方案建议书、协助整改

客户：依据等级保护标准进行安全建设整改

通用等保测评流程：根据等保有关规定和标准，对信息系统进行安全建设整改

4、等级测评

云南天成科技：协助测评

客户：配合测评机构测评，接收报告（项目完结）

通用等保测评流程：信息系统运营单位选择公安部认可的第三方等级测评机构进行测评，提供跨地市的情况下由本地（本省）测评机构交付的等保测评服务。

5、监督检查(项目后)

云南天成科技：技术支持

客户：安全运营、维护，保障日常系统合规

通用等保测评流程：当地网监定期进行监督检查

七、几个等级保护常见问题

1、什么是等级保护？

网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

2、为什么要开展等级保护工作？

《网络安全法》在2017年6月1日正式实施，其中第二十一条明确规定“国家实行网络安全等级保护制度”。国家层面强调各网络运营者必须严格对照自身属性和等级分类，积极开展网络安全等级保护工作，增强网络安全防护能力，切实保障网络运行安全。

等级保护工作不但是国家信息安全的基本制度，同时还是企业自身信息安全防护能力的重要体现，做好等级保护工作可以实现：

1）满足国家相关法律法规和制度的要求；

2）降低信息安全风险，提高信息系统的安全防护能力；

3）合理地规避或降低风险；

4）履行和落实网络信息安全责任义务。

3、等级保护工作具体包含哪些内容？

信息安全等级保护工作包括定级、备案、安全建设和整改、等级保护测评、安全检查等五个阶段。

4、去哪里进行信息系统的定级备案工作？

区县—先将资料交到区县网安大队，再由区县网安大队转交地级市网安支队进行备案。

地级—各地级市的单位将定级资料交给各自地级市的网安支队。

省级—省级单位将资料交给省公安网安总队。

PS：特殊行业按特定要求执行。

5、什么是等级保护测评？

等级保护测评是等级保护工作的重要环节，信息系统备案单位通过委托测评机构开展等级测评，可以查找系统安全隐患和薄弱环节，明确系统与相应等级标准要求的差距和不足，有针对性地进行安全建设整改。

6、等级保护测评一般多长时间能测完？

一个二级或三级的系统现场测评周期一般一周左右，具体时间还要根据信息系统数量及信息系统的规模，有所增减。小规模安全整改2-3周，出具报告时间一周，整体持续周期1-2个月。如果整改不及时或牵涉到购买设备，时间不好说，但总的要求一年内要完成。

7、等级保护测评多久需要测一次？

三级及以上信息系统要求每年至少开展一次测评；二级信息系统建议每两年开展一次测评，部分行业是明确要求每两年开展一次测评。

8、等级保护测评的费用是多少？

测评的费用首先是按照信息系统来算，不是按照一个单位，不同等级的测评费用不一样，最后测评的费用也和信息系统的资产规模相关，规模越大相应的测评费用会高些。费用每个省市具体情况不一样，通常每个省市都有自己的一个价格体系，二级和三级系统的测评费用相对都是固定的，具体可以向当地测评机构咨询。

云南省收费基数（A）计算表
信息系统等级	测评指标项数量	单项收费标准（元/项）	收费基数（万元）
二级	175以上	300	6
三级	290以上	300	8-12
备注	测评项目及费用根据企业具体情况来计算

9、测评机构的选择有哪些要求？

委托的测评机构需要拥有等级保护测评资质，是在中国网络安全等级保护网可查“全国等级保护测评机构推荐目录”中测评机构，云南省目前测评机构有如下几家：

推荐证书编号	测评机构名称	注册地址	推荐有效期至
DJCP2011530149	云南南天电子信息产业股份有限公司信息安全测评中心	云南省昆明市环城东路455号	2020年3月
DJCP2014530151	云南联创网安科技有限公司	云南省昆明市盘龙区金州湾.蓝屿A区2幢1单元1001号	2020年12月
DJCP2015530152	云南厚壁信息安全测评有限公司	云南省昆明市经济技术开发区佳逸盛景花园二期Ⅲ区1幢1111号	2021年7月
DJCP2018530153	云南电信公众信息产业有限公司	昆明市丽苑路电信枢纽大楼辅楼3楼	2021年5月
DJCP2018530154	云南无线数字电视文化传媒有限公司	云南省昆明市人民西路182号	2021年5月
备注	测评机构选择由云南天成科技推荐（具体联系：吴经理 13698746778 QQ：463592055）

10、哪些行业需要开展等级保护工作？

政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等。

金融行业：金融监管机构、各大银行、证券、保险公司等。

电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等。

能源行业：电力公司、石油公司、烟草公司。

企业单位：大中型企业、央企、上市公司等。