對于大多數(shù)網(wǎng)絡運營者來說，做等保已經(jīng)不是陌生的事情了。等級保護2.0制度實施一周年了，《網(wǎng)絡安全等級保護測評高風險判定指引》近日也正式實施。為了提醒用戶提高對等保工作的重視，我們整理了開展等保工作常見的誤區(qū)和雷區(qū)。企業(yè)可以對照自查，檢測等保工作做得如何？

等級保護工作十大工作誤區(qū)

1.不做等保只要不出事就行？

根據(jù)《中華人民共和國網(wǎng)絡安全法》第二十一條規(guī)定，國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改。

因此，不做等保就屬于不履行相關的法律義務。國內目前已經(jīng)有公開報道的因沒有落實等級保護制度而被處罰的真實案例，所以等保工作需要被重視起來，及時開展。

2.等保就是做個測評就可以？

等級保護工作不僅只是一個測評，而是包含定級、備案、測評、建設整改和監(jiān)督審查五項內容，測評只是其中一項也是開始，更重要的是通過測評尋找出差距，分析出目前系統(tǒng)存在的風險，及時查漏補缺，進行安全建設整改，提高信息系統(tǒng)的安全防護能力，降低系統(tǒng)受到攻擊破壞的概率。

3.系統(tǒng)定級越低越好？

系統(tǒng)的最終定級是根據(jù)受侵害的客體以及對客體侵害的程度來確定的，以事實為根據(jù)，而不是主觀隨意定級。定級低了，表面上要求更容易滿足，但相應的防護措施也相對不足，一旦遭受攻擊，反而得不償失。

4.系統(tǒng)定完級就一直會被監(jiān)管了

所有非涉密系統(tǒng)都屬于等級保護范疇，沒有定級不代表不需要被監(jiān)管。定級后或者被監(jiān)管，主管單位會在重點時刻對我們的重要信息系統(tǒng)進行一定掃描及保護，會及時告知發(fā)現(xiàn)的一些問題，避免發(fā)生網(wǎng)絡安全攻擊事件；同時一些重要的政策要求或者行業(yè)會議，也會通知參會，方便及時了解最新的網(wǎng)絡安全形勢，有利于網(wǎng)絡安全工作的開展。

5.已經(jīng)托管到云的系統(tǒng)不需要做等保？

根據(jù)“誰運營誰負責，誰使用誰負責，誰主管誰負責”的原則，該系統(tǒng)責任主體還是屬于網(wǎng)絡運營者自己，所以還是得承擔相應的網(wǎng)絡安全責任，該進行系統(tǒng)定級的還是得定級，該做等保的還是得做等保。

系統(tǒng)上云或托管后，并不是安全責任主體轉移，只是系統(tǒng)所在機房地址的變更，當然在公有云模式下，Iaas、Paas、Saas不同模式相應的安全責任會有些區(qū)別，但是并不是沒有責任。

6.云系統(tǒng)到哪里進行系統(tǒng)定級備案？

云系統(tǒng)由于部署在各類云平臺上面，而云平臺的實際物理地址往往和云系統(tǒng)網(wǎng)絡運營者不在同一地址，大型云平臺還有許多物理節(jié)點，很難確定云平臺的具體物理地址，因此從方便屬地公安機關監(jiān)管的角度出發(fā)，應該在系統(tǒng)實際運維團隊所在地市網(wǎng)安部門進行系統(tǒng)備案。

7.一個單位只要做一個等保測評就可以？

等保測評是按照信息系統(tǒng)來的，以一個信息系統(tǒng)為測評整體，并不是按照一個單位去做的。

一個完整的信息系統(tǒng)包括承載其的物理機房、服務器、主機、應用、數(shù)據(jù)庫、網(wǎng)絡設備及安全設備等，測評除了這些具體的實體對象，還包括相對應的安全管理制度。

8.等保測評只要做一次就可以？

等保工作是一個持續(xù)的工作，等保測評也是一個周期性的工作，三級及以上系統(tǒng)要求每年測評一次，二級系統(tǒng)部分行業(yè)明確要求每兩年測評一次，沒有明確要求的行業(yè)一般建議兩年做一次測評。

9.內網(wǎng)不需要做等保？業(yè)務系統(tǒng)不對外，不需要做等保？

從技術角度而言，內網(wǎng)不代表安全，并且純粹的物理內網(wǎng)并不多見，或多或少都以直接或間接的方式與互聯(lián)網(wǎng)有聯(lián)系。

從法律法規(guī)的角度來說，所有非涉密系統(tǒng)都屬于等級保護范疇，和系統(tǒng)在外網(wǎng)還是內網(wǎng)沒有關系。

其次在內網(wǎng)的系統(tǒng)往往其網(wǎng)絡安全技術措施做的并不好，甚至不少系統(tǒng)已經(jīng)中毒或已經(jīng)有黑客潛伏，所以不論系統(tǒng)在內網(wǎng)還是外網(wǎng)都得及時開展等保工作。

10.等保測評做完要花很多錢去整改？

整改花多少錢取決于信息系統(tǒng)等級、系統(tǒng)現(xiàn)有安全防護措施狀況以及網(wǎng)絡運營者對測評分數(shù)的期望值，不一定要花很多錢。

整改的內容大體分為：安全制度完善、安全加固等安全服務以及安全設備的添置。

在安全制度及安全加固上網(wǎng)絡運營者自己可以做很多整改工作或者委托供應商進行加固。這些內容整改好，加上一定的安全技術措施，大致上可以滿足基本符合的要求，所以花多少錢要看怎么去做或者對網(wǎng)絡安全的期望值是多少。

等級保護工作十大工作誤區(qū)已經(jīng)是老生常談的事情了。在這里，葫蘆娃集團還是要提醒你，等保不是免責的安全牌，理解、使用網(wǎng)絡安全等級保護制度標準，結合業(yè)務的特點開展體系化的網(wǎng)絡安全管理工作才是正確的舉措。

除此之外，在做等保時，還需要注意一些雷區(qū)千萬不能“踩”，如果你的單位未注意以下雷區(qū)，等保測評就會是“差”。

等級保護工作八大工作雷區(qū)

1.云計算平臺不在國內的不能選

二級及以上云計算平臺其云計算基礎設施需位于中國境內。如果選擇了境外的云平臺，那么等?？隙ㄟ^不了。

2.內部只有一個網(wǎng)段的不符合

二級及以上系統(tǒng)，應將重要網(wǎng)絡區(qū)域和非重要網(wǎng)絡區(qū)域劃分在不同網(wǎng)段或子網(wǎng)。生產網(wǎng)絡和辦公網(wǎng)絡，對外和對內的服務器區(qū)混在一起的都是高危風險。

3.不受控的無線網(wǎng)絡隨意接入內部網(wǎng)絡

三級及以上系統(tǒng)，無線網(wǎng)絡和重要內部網(wǎng)絡互聯(lián)不受控制，或控制不當，通過無線網(wǎng)絡接入后可以訪問內部重要資源，這是高風險項，所以在三級及以上系統(tǒng)中要對非法接入行為進行管控，建議大家上安全準入設備，不僅僅只針對無線網(wǎng)絡管控。

4.無法對外部網(wǎng)絡攻擊行為進行檢測、防止或限制

二級系統(tǒng)在網(wǎng)絡邊界至少部署入侵檢測系統(tǒng)，三級及以上系統(tǒng)在網(wǎng)絡邊界應至少部署以下一種防護技術措施：入侵防御、WAF、反垃圾郵件系統(tǒng)或APT等。

5.未配備日志審計的不符合

二級及以上系統(tǒng)無法在網(wǎng)絡邊界或關鍵網(wǎng)絡節(jié)點對發(fā)生的網(wǎng)絡安全事件進行日志審計，包括網(wǎng)絡入侵事件、病毒攻擊事件等。對關鍵網(wǎng)絡設備、關鍵主機設備、關鍵安全設備等未開啟審計功能同時也沒有使用堡壘機等技術手段的也是不符合要求的。也就是以后只要做等保，日志審計將是一個標配，否則就是不符合。

6.重要數(shù)據(jù)存儲保密性沒有保護措施的不符合

三級及以上系統(tǒng)應采用密碼技術保證重要數(shù)據(jù)（如鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息）在存儲過程中的保密性。如果這些重要數(shù)據(jù)是明文方式存儲又沒有部署數(shù)據(jù)庫防火墻、數(shù)據(jù)庫防泄漏等產品的是高風險項。

7.沒有數(shù)據(jù)備份措施的不符合

二級及以上系統(tǒng)應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份和恢復措施，建議大家配備數(shù)據(jù)備份一體機，及時對自己的重要數(shù)據(jù)進行備份。另外重要數(shù)據(jù)、源代碼等備份到互聯(lián)網(wǎng)網(wǎng)盤、代碼托管平臺等不可控環(huán)境的也可以直接判為不符合，所以大家注意了，不要隨便把自己的數(shù)據(jù)備份到不可控的外部環(huán)境。

8.違規(guī)采集、存儲、訪問和使用個人信息的不符合

二級及以上系統(tǒng)在未授權的情況下采集、存儲用戶個人隱私信息或采集、保存法律法規(guī)、主管部門嚴令靜止采集、存儲的個人隱私信息。未授權使用或非法使用個人信息都是高風險。

以上就是開展等保工作需要注意的十大誤區(qū)和八大雷區(qū)，如果你正在或將要做等保，這些內容一定要知道。

【版權提示】葫蘆娃集團尊重并保護版權。部分圖片/素材來源于網(wǎng)絡，如有侵權請及時告知我們處理。