等保2.0安全区域边界四级对比

引言所谓高风险项，就是等保测评时可以一票否决的整改项，如果不改，无论你多少分都会被定为不合格。

全文共58页，写得比较细了，但是想到大家基本不会有耐心去仔细看的（凭直觉）。

这几天挑里边相对重点的内容列了出来，就是企业要重点关注的，把这些做好，上70分应该不成问题，个人认为这就是所谓的抓重点了。

最近要定级或者明年打算升级等保2.0的可以参考下。

说明：文中标记（3级）的表示3级及以上系统适用，标记（4级）的表示4级系统适用，为标记的表示所有系统适用。

物理环境部分1. 无防盗报警系统、无监控系统，可判定为高风险。

2. 机房未配备冗余或并行电力线路供电来自于同一变电站，可判高风险。

3. 系统所在的机房必须配备应急供电措施，如未配备，或应急供电措施无法使用，可判高风险。

（4级）4. 对于涉及大量核心数据的系统，如机房或关键设备所在的机柜未采取电磁屏蔽措施，可判高风险。

（4级）网络通信部分1. 对可用性要求较高的系统，网络设备的业务处理能力不足，高峰时可能导致设备宕机或服务中断，影响金融秩序或引发群体事件，若无任何技术应对措施。

核心网络设备性能无法满足高峰期需求，存在业务中断隐患，如业务高峰期，核心设备性能指标平均达到80%以上，可判定为高风险。

2. 应按照不同网络的功能、重要程度进行网络区域划分，如存在重要区域与非重要网络在同一子网或网段的，可判定为高风险。

3. 互联网出口无任何访问控制措施，或访问控制措施配置失效，存在较大安全隐患，可判定为高风险。

（区域边界要求同样适用）4. 办公网与生产网之间无访问控制措施，办公环境任意网络接入均可对核心生产服务器和网络设备进行管理，可判定为高风险。

5. 对可用性要求较高的系统，若网络链路为单链路，核心网络节点、核心网络设备或关键计算设备无冗余设计，一旦出现故障，可能导致业务中断，可判定为高风险。

（3级）6. 对数据传输完整性要求较高的系统，数据在网络层传输无完整性保护措施，一旦数据遭到篡改，可能造成财产损失的，可判定为高风险。

等保2.0是指信息安全等级保护2.0的简称，是中国政府为了加强网络安全管理和保护国家关键信息系统而提出的一项标准。

根据等保2.0标准，不同级别的关键信息系统需要满足相应的等级保护指标。

等保2.0标准将关键信息系统分为五个等级，等级由高到低依次为：一级、二级、三级、四级和五级。

每个等级都有相应的保护要求和技术措施。

以下是等保2.0不同等级的保护指标的一些示例：
1. 一级保护：要求采取严格的安全技术措施，能够应对高级威胁和攻击。

包括防火墙、入侵检测和入侵防护系统、访问控制、安全审计等。

2. 二级保护：要求采用较高的安全技术措施，能够应对较高级别的威胁和攻击。

包括数据加密、网络隔离、安全监测与响应、灾备恢复等。

3. 三级保护：要求采用适当的安全技术措施，能够应对中级威胁和攻击。

包括访问控制、恶意代码防范、安全培训教育等。

4. 四级保护：要求基本的安全技术措施，能够应对一般威胁和攻击。

包括密码安全、基础设施保护、安全漏洞管理等。

5. 五级保护：要求最基本的安全措施，能够应对低级威胁和攻击。

包括安全策略制定、安全事件响应等。

需要注意的是，等保2.0的具体保护指标是根据具体的应用环境和信息系统的特点而确定的，上述只是一些示例，并不包括所有的保护要求。

对于具体的等级保护指标，建议参考相关的政府发布的相关文件以获取更准确和详细的信息。

等保一级二级三级四级测评项对比今天咱们聊聊“等保”四个等级的事儿，啥叫等保呢？就是“等级保护”，全称叫做《信息安全技术网络安全等级保护基本要求》。

简单来说就是根据你单位、你网站、你系统的“重要程度”来划分的安全等级。

简单点说，就是你的网站有多重要，相关部门对你要求的安全防护就有多高。

等保的等级从一级到四级，四级就等于是“顶级防护”，一级呢，就是最基础的保护。

你看哈，就像是咱家的门锁一样，一星级门锁只能防止小偷偷东西，四星级门锁嘛，就算是黑客来也得瑟瑟发抖。

所以今天咱就来看看这四个等级有啥不一样，各自的测评项有哪些区别。

咱先从等保一级说起，基本上属于“随便打个防护墙也就够了”的级别，主要适用于一些没有啥敏感数据、对安全要求不高的小系统。

你想啊，像咱家的WiFi密码，可能也就不过是一个简单的“123456”，那啥，基本上是不会有黑客来攻破你家防线的。

这个级别的测评项主要是看你有没有做一些基本的安全措施，比如设置了防火墙没有、默认密码改了没、是不是有一些简单的入侵检测。

低调，简单，只要能防住一般的小问题就行了。

再说等保二级吧，哎呦，这就好像是换了个更结实的门锁，防盗网也加上了，不单单是防止普通的黑客攻击了，还得防止一些有点儿“水平”的攻击者。

这个级别的测评就多了，比如会看看你的系统有没有定期做漏洞扫描，系统的日志有没有记录，权限控制是不是合理。

这个就像你家门锁不光得结实，还得有个监控摄像头，看见有可疑的人就能报警。

简单说吧，二级安全还是比较基础的，差不多能防住那些不太专业的攻击了。

然后咱说说三级，这就厉害了，三级差不多就相当于家里换了带密码的智能锁，防盗网也升级为全自动的那种。

三级的测评项可就多了，不光得看防护能力，还得看管理、运维、数据保护等各方面。

比如有没有定期的安全巡检？系统的漏洞有没有及时打补丁？数据的备份是不是做好了？这个时候，系统的安全防护已经不只是看“有没有密码”，而是更侧重于“如何保护”了。

等保2.0时代，云等保安全合规要求解读导读伴随着《网络安全法》出台，等级保护制度上升到法律层面。

在此背景下孕育出来等保2.0相比之前的等保要求，在等级保护的对象、保护的内容、保护的体系都大不相同。

当然，云等保不是新鲜的事物，而是在原等保框架下的扩展要求。

云等保的各环节与传统等保相同，包括定级、备案、建设整改、测评、监督检查等，因此只需要对原有等级保护相关工作的具体内容进行扩充并统一。

传统信息系统的网络架构伴随业务变化而变化，系统各组件功能与硬件紧耦合，在安全防护上强调分区域和纵深防御。

直观上来说，就像铁路局各管一段，信息系统通常以物理网络或者安全设备为边界进行划分。

但是，云计算系统网络架构是扁平化的，业务应用系统与硬件平台松耦合，犹如航空运输。

如果信息系统的划分，单纯的以物理网络或安全设备为边界进行划分，将无法体现出业务应用系统的逻辑关系，更无法保证业务信息的安全和系统服务的安全，这就犹如以机场划分各航空公司一样不适用。

一、云计算系统边界划分云计算系统边界划分基本场景包括两个类型：第一类场景：存在业务应用不独占硬件物理资源或硬件物理资源上运行的基础服务系统是所有业务应用公用的情况，这时定级系统的边界应划在虚拟边界处，这个虚拟边界就是运行业务应用所用到的最底层独占虚拟资源，通常是虚拟机。

如下图所示：在上图场景中有3个业务应用，通过对业务应用的梳理，业务应用1单独成为一个定级系统，业务应用2和业务应用3组成另一个定级系统。

这两个定级系统共用底层服务，因此我们把底层服务连同硬件一起作为一个定级系统C，即云计算平台。

定级系统A和定级系统B就是云平台上承载的业务应用系统。

第二类场景：业务应用对应的系统模块存在相对独立的底层服务和硬件资源，因此可以将整个系统边界划分到硬件物理设备，从而确定两个定级系统，如下图所示。

如果这个场景对应的是对外提供服务的云计算系统，那么定级系统A就是一个使用了云计算技术的应用系统，而顶级系统B是另一个使用了云计算技术的应用系统。

网络安全等级保护2.0网络安全是当今数字化时代不可忽视的重要问题之一。

随着互联网的普及和技术的不断进步，各种网络威胁和攻击也不断增加，给个人和组织的信息和财产安全带来了巨大的威胁。

为了有效保护网络安全，各国纷纷制定了相关法规和政策，建立起了网络安全等级保护体系。

网络安全等级保护是一种以等级划分的安全管理模式，旨在按照信息资产的安全性等级以及威胁程度对其进行分类、分等级保护。

通过制定规章制度和技术手段，对不同等级的信息资产进行科学合理的保护，可以最大限度地防止潜在的安全威胁和风险。

网络安全等级保护体系分为五个等级，分别是一级、二级、三级、四级和五级。

每个等级都有相应的安全保护要求和防护措施。

下面将对每个等级进行详细介绍。

一级等级的网络安全保护主要针对普通级信息资产，包括个人隐私信息、一般商业信息等。

主要保护措施包括建立完善的防火墙和入侵检测系统、加密通信等。

二级等级的网络安全保护主要是针对非商业级信息资产，包括部分商业机密信息等。

除了基本的一级保护措施外，还需加强对网络设备的安全管理，实施行为监控和访问控制等。

三级等级的网络安全保护主要是针对商业级信息资产，包括商业机密信息、核心业务系统等。

在保持一二级保护措施的基础上，还需要建立灾备系统和隔离机制，确保核心数据的安全性。

四级等级的网络安全保护主要是针对敏感级信息资产，包括涉密信息、国家重要信息等。

除了前面等级的保护措施外，还需要建立专门的安全管理机构和技术防护手段，加强监控和审计等。

五级等级的网络安全保护主要是针对绝密级信息资产，包括国家绝密信息等。

这个等级的保护要求最高，需要建立高可靠性的安全网络系统，强化物理安全和技术措施，实行严格的权限管理和审计制度。

网络安全等级保护体系的建立和实施，对于保护信息资产的安全至关重要。

通过科学合理的安全分级，可以提高信息安全意识，加强网络安全管理，降低信息泄露和网络攻击的风险。

同时，也需要相关部门的监督和管理，确保网络安全等级保护体系的有效运行。

等保2.0标准执行之高风险判定（安全区域边界篇）来源：admin 发布日期：2019-08-09在等级保护2.0标准“安全区域边界”层面的核心控制点包括“边界防护”、“访问控制”、“入侵防范”和“安全审计”。

其核心防护要求是：1、网络边界处要有有效、可控的访问控制措施，且控制粒度和力度在等保1.0基础上有所升级；2、要能判断出3个非法边界（非法接入、非法外联、无线使用）进行有效控制；3、4级系统要使用协议转换及隔离措施。

4、网络中要能对内、外部网络攻击、恶意代码攻击有发现、分析及防御能力，并按《网络安全法》的要求保留相关网络安全审计日志。

因此，《高风险判定指引》在“安全区域边界”方面围绕以上核心防护要求展开，给出可判“高风险”的一般场景，强化要求的落地实现。

《网络安全等级保护测评高风险判定指引》——安全区域边界篇01 边界防护1.1 互联网访问控制对应要求：应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

判例内容：互联网出口无任何访问控制措施，或访问控制措施配置失效，存在较大安全隐患，可判定为高风险。

适用范围：所有系统。

满足条件（任意条件）：1、互联网出口无任何访问控制措施。

2、互联网出口访问控制措施配置不当，存在较大安全隐患。

3、互联网出口访问控制措施配置失效，无法起到相关控制功能。

补偿措施：边界访问控制设备不一定要是防火墙，只要是能实现相关的访问控制功能，形态为专用设备，且有相关功能能够提供相应的检测报告，可视为等效措施，判符合。

如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现，可根据系统重要程度，设备性能压力等因素，酌情判定风险等级。

整改建议：建议在互联网出口部署专用的访问控制设备，并合理配置相关控制策略，确保控制措施有效。

1.2 网络访问控制设备不可控对应要求：应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

判例内容：互联网边界访问控制设备若无管理权限，且未按需要提供访问控制策略，无法根据业务需要或所发生的安全事件及时调整访问控制策略，可判定为高风险。

等保2.0标准介绍等保2.0标准介绍一、等保2.0标准概述等保2.0标准是中国国家信息安全等级保护推进委员会发布的新一代信息安全等级保护标准。

该标准主要针对网络安全领域的风险评估、安全等级评定和安全保障措施制定，提出了严格的要求和标准，是信息安全技术管理领域的重要规范。

二、等保2.0标准内容概述等保2.0标准共分为17个安全等级，分别涵盖了国家级、重要部门、重点领域和一般领域等四个等级。

同时，该标准还针对基础设施、应用系统和云计算三大类进行了详细的安全要求和控制措施规定，包括信息安全安全评估、安全管理、风险管理、安全技术、保密管理、安全事件管理等方面。

三、等保2.0标准实施意义等保2.0标准的发布，将有效提高我国网络安全的整体水平和保护能力，推动我国信息安全从单一技术手段防护向全方位综合防护转变。

对于增强我国信息安全防护能力，促进信息化发展和中国数字经济的高质量发展都具有重大的意义。

四、本文档涉及注释1. 等保：信息安全等级保护，是国家信息安全保护的一项重要制度。

该制度分为四个等级，包括国家级、重要部门、重点领域和一般领域。

2. 安全等级：根据风险评估的结果，对信息系统的安全等级进行划分，包括一级安全、二级安全、三级安全、四级安全。

五、本文档涉及的法律名词及注释1.《中华人民共和国网络安全法》：是中国于2016年颁布的网络安全法律法规，主要涉及网络安全的基本法律制度、网络安全保护的组织体系、网络安全的技术措施和安全事件的应急处理等方面。

2.《信息安全技术个人信息安全规范》：是国家信息安全标准化技术委员会发布的个人信息安全标准，主要涉及个人信息的标识、采集、使用、存储、共享、转移和销毁等方面。

网络安全等级保护（等保2.0）解读01前言2018年12月25日，由中关村可信计算产业联盟主办的等级保护新标准解读培训班在北京裕龙国际酒店举行。

沈昌祥院士做了《用可信计算筑牢网络安全防线》的主题演讲，公安部范春玲、李秋香和陈广勇三位专家老师对最新的网络安全等级保护制度进行了细致的解读，新华三作为可信计算联盟的理事成员单位，有幸受邀参加了此次培训。

同时作为等级保护2.0的参编单位，为了更好的学习贯彻和落实国家网络安全等级保护制度，新华三再次对会上专家的培训内容做个总结。

02等级保护标准变化等级保护新标准在编制过程中总共经历了两次大的变化，第一次是2017年8月根据网信办和公安部的意见将5个分册进行了合并，形成一个标准，并在2017年10月参加信安标委WG5工作组在研标准推进会，介绍合并后的标准送审稿，征求127家成员单位意见，修订完成报批稿；第二次大的变化是2018年7月根据沈昌祥院士的意见再次调整分类结构和强化可信计算，充分体现一个中心、三重防御的思想并强化可信计算安全技术要求的使用。

经过这两次大变化后的《网络安全等级保护基本要求》有10个章节8个附录，其中第6、7、8、9、10章为五个安全等级的安全要求章节，8个附录分别为：安全要求的选择和使用、关于等级保护对象整体安全保护能力的要求、等级保护安全框架和关键技术使用要求、云计算应用场景说明、移动互联应用场景说明、物联网应用场景说明、工业控制系统应用场景说明和大数据应用场景说明。

标准名称由原来的《信息安全技术信息系统安全等级保护基本要求》变更为《信息安全技术网络安全等级保护基本要求》，与《中华人民共和国网络安全法》保持一致。

等级保护对象由原来的“信息系统”改为“等级保护对象（网络和信息系统）”，安全等级保护对象包括基础信息网络（广电网、电信网等）、信息系统（采用传统技术的系统）、云计算平台、大数据平台、移动互联、物联网和工业控制系统等。

新版安全要求在原有通用安全要求的基础上新增安全扩展要求，安全扩展要求主要针对云计算、移动互联、物联网和工业控制系统提出了特殊安全要求。

等保测评2级和3级和4级安全通信网络应采用分层结构，实现安全隔离和访问控制。

1.1.2.2网络设备和配置a）网络设备应选择具有安全性能的产品，并进行安全配置；b）网络设备应定期进行漏洞扫描和安全评估；c）网络设备应及时更新安全补丁和升级软件版本。

1.1.2.3网络访问控制a）应对网络进行分段，实现不同安全级别的隔离；b）应设置网络访问控制策略，对访问进行授权和审计；c）应采用安全认证和加密技术，保障网络通信的机密性和完整性。

1.1.2.4网络监测和防御a）应设置网络入侵检测和防御系统，及时发现和应对安全事件；b）应定期进行安全演练和渗透测试，提高安全防御能力；c）应建立安全事件响应机制，及时处理安全事件并进行记录和分析。

1.1.3安全管理要求1.1.3.1安全制度和规范a）应制定安全管理制度和规范，明确安全责任和管理流程；b）应定期组织安全培训和教育，提高员工的安全意识和技能；c）应建立安全审计和监测机制，对安全管理进行评估和改进。

1.1.3.2安全备份和恢复a）应制定安全备份和恢复方案，保障数据的可靠性和完整性；b）应定期进行备份和恢复测试，确保备份数据的可用性和恢复能力；c）应建立应急响应机制，及时处理安全事件和数据丢失。

1.1.3.3安全审计和监测a）应定期进行安全审计和监测，发现和排除安全隐患；b）应建立安全事件管理和记录机制，对安全事件进行分析和处理；c）应建立安全管理和监测系统，及时发现和应对安全事件。

1.1.2 网络安全技术措施1.1.2.1 网络拓扑结构为方便管理和控制，应将网络划分为不同的区域，并为每个区域分配地址。

重要的网络区域不应部署在边界处，而应采取可靠的技术隔离手段。

此外，应保证网络设备的业务处理能力和各部分带宽能够满足业务高峰期的需求。

同时，为保证系统的可用性，应提供通信线路、关键网络设备和计算设备的硬件冗余。

为优先保障重要业务，应按照业务服务的重要程度分配带宽。

1.1.2.2 通信传输为保证通信过程中数据的完整性和保密性，应采用校验技术和密码技术。

序号控制点测评对象控制项判例内容适用范围满足条件（同时）边界防护互联网访问控制应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信互联网出口无任何访问控制措施，或访问控制措施配置失效，存在较大安全隐患，可判定为高风险所有系统1、互联网出口无任何访问控制措施。

2、互联网出口访问控制措施配置不当，存在较大安全隐患。

3、互联网出口访问控制措施配置失效，无法起到相关控制功能网络访问控制设备不可控应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信互联网边界访问控制设备若无管理权限，且未按需要提供访问控制策略，无法根据业务需要或所发生的安全事件及时调整访问控制策略，可判定为高风险所有系统1、互联网边界访问控制设备无管理权限；2、无其他任何有效访问控制措施；3、无法根据业务需要或所发生的安全事件及时调整访问控制策略违规内联检查措施应能够对非授权设备私自联到内部网络的行为进行检查或限制非授权设备能够直接接入重要网络区域，如服务器区、管理网段、业务网段等，且无任何告警、限制、阻断等措施的，可判定为高风险3级及以上系统1、3级及以上系统；2、机房、网络等环境不可控，存在非授权接入可能；3、可非授权接入网络重要区域，如服务器区、管理网段业务网段等；4、无任何控制措施，控制措施包括限制、检违规外联检查措施应能够对内部用户非授权联到外部网络的行为进行检查或限制重要核心管理终端、重要业务终端等关键设备，如无法对非授权联到外部网络的行为进行检查或限制，或内部人员可旁路、绕过边界访问控制设备私自外联互联网，可判定为高风险3级及以上系统1、3级及以上系统；2、物理、网络等环境不可控，存在非授权外联可能；3、重要核心管理终端、重要业务终端等关键设备存在私自外联互联网可能；4、无任何控制措施，控制措施包括限制、检查、阻断等无线网络管控措施应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络内部核心网络与无线网络互联，且之间无任何管控措施，一旦非授权接入无线网络即可访问内部核心网络区域，存在较大安全隐患，可判定为高风险3级及以上系统1、3级及以上系统；2、内部核心网络与无线网络互联，且不通过任何受控的边界设备，或边界设备控制策略设置不当；3、非授权接入无线网络将对内部核心网络带来较大安全隐患访问控制网边界访问控制应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信与互联网互连的系统，边界处如无专用的访问控制设备或配置了全通策略，可判定为高风险所有系统1、互联网出口无任何访问控制措施。

等保1-5级理解
等保1-5级是信息安全领域中的一种等级分类，用于评估和确定不同系统和网络的安全性。

它是根据信息系统的重要性和风险程度而划分的，等级越高，安全要求越严格。

下面我将以人类视角，用简洁流畅的语言，为您介绍等保1-5级的相关内容。

等保1级是最低等级的安全要求，通常应用于一些普通的信息系统，如企业内部的办公系统。

对于这类系统来说，主要目标是保护用户的个人信息和企业的内部数据，防止未经授权的访问和数据泄露。

等保2级相对于1级来说，安全要求更高。

它适用于一些对数据安全要求较高的系统，如电子商务平台。

在等保2级中，不仅要保护用户的个人信息和企业数据，还要确保交易过程的安全和可靠性，防止数据篡改和恶意攻击。

等保3级是一种更高级别的安全要求，适用于政府机关、金融机构等重要领域的信息系统。

在等保3级中，除了保护用户的个人信息和企业数据外，还需要保障系统的高可用性和故障容忍能力，以应对各种可能的攻击和故障。

等保4级是一种较高级别的安全要求，适用于军事、国防等领域的信息系统。

在等保4级中，要求系统具备强大的安全性能和防御能力，能够抵御各种高级攻击和间谍活动。

等保5级是最高级别的安全要求，适用于国家机密级别的信息系统。

在等保5级中，要求系统具备高度的安全性和保密性，能够抵御各种前沿攻击和情报渗透。

总结来说，等保1-5级是根据信息系统的重要性和风险程度而划分的安全等级。

从1级到5级，安全要求逐渐提高，包括了对用户个人信息、企业数据、系统可靠性和保密性的保护。

不同等级的系统需要采取不同的安全措施和技术手段来确保其安全性。

控制点安全要求要求解读a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信为了保障数据通过受控边界，应明确网络边界设备，并明确边界设备物理端口，网络外连链路仅能通过指定的设备端口进行数据通信b)应能够对非授权设备私自联到内部网络的行为进行检查或限制设备的“非授权接入”可能会破坏原有的边界设计策略，可以采用技术手段和管理措施对“非授权接入”行为进行检查。

技术手段包括部署内网安全管理系统，关闭网络设备未使用的端口，绑定IP/MAC地址等c)应能够对内部用户非授权连到外部网络的行为进行检查或限制内网用户设备上的外部连接端口的“非授权外联“行为也可能破坏原有的过界设计策略，可以通成内网安全管理系统的非授权外联管控功能或者防非法外联系统实现“非授权外联”行为的控制，由于内网安全管理系统可实现包括非授权外连管控在内的众多的管理功能，建议c采用该项措施。

通过对用户非授权建立网络连接访问非可信网络的行为进行管控，a)应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络为了防止未经授权的无线网络接入行为，无线网络应单独组网并通过无线接入网关等受控的边界防护设备接入到内部有线网络。

同时，应部署无线网络管控措施，对分非授权无线网络进行检测、屏蔽a)应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信应在网络边界或区域之间部署网闸，防火墙、路由器、交换机和无线接入网关等提供访问控制功能的设备或相关组件，想据访问控制策略设置有效的访问控制规则，访问控制规测采用白名单机制边界防护b)应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化根据实际业务需求配置访问控制策略，仅开放业务必须的端口，禁止配置全通策略，保证边界访问控制设备安全策略的有效性。

不同访问控制策略之间的逻辑关系应合理，访问控制策略之间不存在相互冲突，重叠或包含的情况;同时，应保障访问控制规则数量最小化。