一、中國網絡安全發展的關鍵時間節點：

1、等級保護標準(國家標準：GB)：

• 1994年2月，國務院(yuan)發布《中華(hua)人民共(gong)和(he)國計算機信息系統(tong)安全保(bao)護條(tiao)例》（國務院(yuan)147號令），規定“計算機信息系統(tong)實行安全等(deng)級保(bao)護”的制度框架。

• 2007年6月,公(gong)(gong)安部(bu)、國家保密局、國家密碼管理局、國務院信息(xi)化(hua)工(gong)作辦(ban)公(gong)(gong)室制定了《信息(xi)安全等級保護管理辦(ban)法(fa)》（公(gong)(gong)通(tong)字[2007]43號），形成信息(xi)安全等級保護的基本理論框架。

• 2008年6月(yue)，《GB/T 22239-2008 信息(xi)安全技術(shu) 信息(xi)系統安全等級保護基(ji)本要求》標準正(zheng)式頒(ban)布。

• 2014年2月，中(zhong)(zhong)央網絡安全和(he)信息化領導小組成立。中(zhong)(zhong)共中(zhong)(zhong)央總(zong)書(shu)記、國家主(zhu)(zhu)席、中(zhong)(zhong)央軍委主(zhu)(zhu)席習近(jin)平(ping)親自擔任組長；李克強、劉云山任副組長。

• 2017年6月1日，《中華人民共和國網絡安全法》正式實施。明確了“國家實行網絡安(an)全等級保護(hu)制度(du)”，同時第七十四條明確規定“違反本法規定，給他人造成損害的，依法承擔民(min)事(shi)(shi)責(ze)任。違反本法規定，構(gou)成違反治安管理(li)行為的，依法給予治安管理(li)處罰；構(gou)成犯罪(zui)的，依法追(zhui)究刑事(shi)(shi)責(ze)任。”自此，公安執法部門有了安全執法依據。

• 2019年12月1日，GB/T 22239-2008 等級保(bao)護基本要求(qiu)更新為(wei)《GB/T 22239-2019 信(xin)息安全(quan)技術 網絡(luo)安全(quan)等級保(bao)護基本要求(qiu)》，針對信(xin)息技術的(de)發展對標準(zhun)要求(qiu)進(jin)行了更新。

2、分級保護標準(保密標準：BMB)：

• 1997年《中共中央關于加強新形勢下(xia)保密(mi)工作的(de)決定》明(ming)確了在新形勢下(xia)保密(mi)工作的(de)指導思想和基本任務，提(ti)出要建(jian)立與(yu)《保密(mi)法》相(xiang)配套的(de)保密(mi)法規體系和執(zhi)法體系，建(jian)立現代(dai)化的(de)保密(mi)技術防范(fan)體系。

• 2004年12月(yue)23日中央保(bao)密委員會下發了《關于加(jia)強信(xin)息安全(quan)保(bao)障工作中保(bao)密管理(li)若(ruo)干意見》明確提出要建(jian)立(li)健全(quan)涉密信(xin)息系統(tong)分級保(bao)護(hu)制(zhi)度(du)。

• 2005年(nian)12月28日(ri)，國(guo)家保密局下(xia)發了《涉及國(guo)家秘(mi)密的信息系(xi)統分級保護(hu)管理辦法》。

3、關鍵信息基礎設施網絡安全保護(國家標準：GB，報批中未正式發布)

• 2016年12月，全(quan)國信安標委秘書處邀請專家研討(tao)《關鍵(jian)(jian)信息基(ji)礎設施網(wang)絡安全(quan)框架》標準，并討(tao)論(lun)關鍵(jian)(jian)信息基(ji)礎設施安全(quan)保護現狀；

• 2018年06月(yue)，全國信(xin)安標委秘(mi)書處發(fa)布《信(xin)息安全技術 關鍵信(xin)息基礎設施網(wang)絡安全保護(hu)要求》征(zheng)求意見(jian)稿。

• 2019年(nian)11月(yue)5日，《信息安(an)全技術 關(guan)鍵信息基(ji)礎設施網(wang)絡安(an)全保護基(ji)本要求》(報批稿)完稿。

• 2019年12月(yue)3日(ri)，《信(xin)息安(an)(an)全(quan)技術 關鍵信(xin)息基礎(chu)設施(shi)網絡安(an)(an)全(quan)保護基本(ben)要求》（報批稿）試點工作(zuo)啟動。

4、信息系統密碼應用基本要求(國家標準：GB，征求意見中未正式發布)

• 2018年2月，國家密(mi)碼(ma)管理局正(zheng)式發(fa)布實施密(mi)碼(ma)行業標準《GM:T 0054-2018信息系統(tong)密(mi)碼(ma)應用基本(ben)要求》。

• 2018年2月，經(jing)國密局批準，行標（GM/T 0054-2018 《信(xin)息(xi)系統密(mi)碼應(ying)用(yong)基(ji)本要求》）升國標《信(xin)息(xi)安(an)全技術 信(xin)息(xi)系統密(mi)碼應(ying)用(yong)基(ji)本要求》。2018年(nian)7月獲得(de)國家標準化管理委(wei)員會的立項批準。

• 2019年6月，全國信安標(biao)委秘書處發布《信息(xi)安全技(ji)術 信息(xi)系(xi)統密碼(ma)應用基本要(yao)求(qiu)》征(zheng)求(qiu)意(yi)見稿。

二、目前網絡安全主要的幾大標準及其差異：

1、分級保護標準(簡稱：分保)

a)管(guan)理對(dui)象：所有涉(she)及國家秘密的信息系統，重(zhong)點是黨政機(ji)關、軍隊和(he)軍工(gong)單位。

b)標準要求文件：

                BMB17《涉及國家秘密的信(xin)息系統分級保護技(ji)術要求》

                BMB20《涉(she)及國家(jia)秘密的信息(xi)系統分級保護管(guan)理規范》

c)系統定級：根據其涉密信息系統處理信息的最高密級，可以劃分為秘密級、機 密級和機密級（增強）、絕密級三個等級。

d)分級保護標準框架：

e)分級保護部分涉及產品(僅供參考)：屏蔽機房、手機屏蔽柜、保密文件柜、紅黑隔離電源、微機視頻信息保護系統、手機屏蔽儀、主機監控與審計系統、光盤刻錄監控和審計系統、打印監控和審計系統、三合一（違規外聯監控、涉密移動存儲介質使用管控、非涉密信息單向導入）系統、涉密專用優盤、存儲介質信息消除工具、計算機終端保密檢查系統、惡意代碼輔助檢測系統、保密碎紙機、存儲介質銷毀機、身份鑒別系統等等。

2、等級保護標準(簡稱：等保)

a)管(guan)理(li)對象(xiang)：

運營商(shang)和服(fu)務提供商(shang):電信、廣電行業(ye)的(de)(de)公(gong)用通(tong)信網(wang)、廣播電視傳輸網(wang)等基(ji)礎(chu)信息網(wang)絡，經營性公(gong)眾(zhong)互(hu)聯網(wang)信息服(fu)務單(dan)位(wei)、互(hu)聯網(wang)接入服(fu)務單(dan)位(wei)、數據中(zhong)心等單(dan)位(wei)的(de)(de)重(zhong)要信息系統。

重(zhong)要(yao)行業:鐵(tie)路(lu)、銀行、海關、稅務、民(min)航、電力、證(zheng)券、保險、外交、科(ke)技(ji)(ji)、發展改(gai)革、國(guo)防科(ke)技(ji)(ji)、公(gong)安、人事勞動和社會保障、財政、審計(ji)、商(shang)(shang)務、水利、國(guo)土資源(yuan)、能源(yuan)、交通、文化、教育、統計(ji)、工商(shang)(shang)行政管(guan)理、郵政等(deng)(deng)行業、部(bu)門(men)的生產、調度、管(guan)理、辦公(gong)等(deng)(deng)重(zhong)要(yao)信息系統。

重要機(ji)關:市(shi)（地）級以上黨政機(ji)關的重要網站(zhan)和辦(ban)公信息(xi)系統。

b)標準文件：

GB-T 25070-2019 《信(xin)息安(an)全(quan)技(ji)術 網絡安(an)全(quan)等級保護安(an)全(quan)設計技(ji)術要求》

GB-T 28448-2019 《信息安(an)全技術 網絡安(an)全等(deng)級保護測評要(yao)求》

GB-T 22240-2020 《信息安(an)(an)全(quan)技術 網絡安(an)(an)全(quan)等級保護定(ding)級指(zhi)南》

GB-T 22239-2019 《信息安(an)全技術 網(wang)絡(luo)安(an)全等級(ji)保(bao)護基本要求(qiu)》

GB_T 25058-2019 《信(xin)息安(an)全(quan)技(ji)術(shu) 網絡安(an)全(quan)等級保(bao)護(hu)實施(shi)指南》

c) 系統定級：

信(xin)息(xi)系統的安全(quan)防護共分為以(yi)下(xia)五個等級(ji)：

第(di)一(yi)級(ji)（自主保護級(ji) ）

信息系(xi)統受到破壞后，會(hui)對(dui)公(gong)民、法(fa)人和其他組(zu)織的合法(fa)權(quan)益(yi)造(zao)成(cheng)損害，但不損害國家安全、社會(hui)秩序和公(gong)共利益(yi)。

第二級(ji)（指(zhi)導保護級(ji) ）

信息系統受到破壞(huai)后，會對公民、法(fa)人和其他組織(zhi)的合法(fa)權益產生嚴(yan)重損(sun)害，或者對社會秩(zhi)序(xu)和公共利益造成(cheng)損(sun)害，但不(bu)損(sun)害國家安全。

第三級(ji)（監督保護級(ji) ）

信息(xi)系統受到(dao)破(po)壞后，會(hui)對社會(hui)秩序(xu)和公共利(li)益造成嚴(yan)重損害(hai)，或者對國家安全造成損害(hai)。

第四(si)級（強制保護(hu)級 ）

信息系統受到破壞(huai)后，會(hui)對社會(hui)秩(zhi)序和公(gong)共利益造成特別嚴重(zhong)損害(hai)(hai)，或(huo)者(zhe)對國家安全造成嚴重(zhong)損害(hai)(hai)。

第(di)五級（專(zhuan)控保護級 ）

信息系(xi)統受到破壞后，會對(dui)國家(jia)安全造(zao)成(cheng)特別(bie)嚴重損(sun)害。

d) 等級保護標準體系框架：

e) 等級保護涉及產品(僅供參考)：

3、關鍵信息基礎設施網絡安全保護(簡稱：關基、關保)

a)管理對象：電(dian)信、廣(guang)播電(dian)視、能源(yuan)、金融(rong)、交通(tong)運輸、水利、應急(ji)管理、衛(wei)生健康、社(she)會保障、國防(fang)科技等行業(ye)和領域中一(yi)旦遭到破壞或者(zhe)喪失功能，會嚴重危害(hai)國家(jia)安全、經濟安全、社(she)會穩定、公(gong)眾健康和安全的業(ye)務。

b)標準文(wen)件：《信息安(an)全(quan)技術 關鍵信息基礎(chu)設施網絡安(an)全(quan)保護基本要(yao)求(qiu)》2019年11月(yue)報批，未正(zheng)式發布

c)什么是關(guan)鍵信息基礎設(she)施(CII:critical information infrastructure)？

支撐關鍵(jian)業務持續、穩(wen)定運行(xing)不可(ke)或缺的(de)網(wang)絡(luo)(luo)設(she)施(shi)、信(xin)(xin)息(xi)系(xi)統。在(zai)形態(tai)構成(cheng)上，可(ke)以(yi)是(shi)(shi)單個網(wang)絡(luo)(luo)設(she)施(shi)、信(xin)(xin)息(xi)系(xi)統，也(ye)可(ke)以(yi)是(shi)(shi)由(you)多個網(wang)絡(luo)(luo)設(she)施(shi)、信(xin)(xin)息(xi)系(xi)統組成(cheng)的(de)集合。在(zai)本質(zhi)上，屬于(yu)關鍵(jian)業務的(de)信(xin)(xin)息(xi)化(hua)部分，為關鍵(jian)業務提供信(xin)(xin)息(xi)化(hua)支撐。

d)關鍵(jian)信息基礎設施安全防護能力等級有(you)幾個(ge)？

關鍵信息基礎設施安全防護能力依據5個能力域完成程度的高低進行分級評估，包括3個能力等級，從能力等級1到能力等級3，逐級增高，能力等級之間為遞進關系，高一級的能力要求包括所有低等級能力要求。

能(neng)力(li)(li)(li)(li)域明(ming)確了(le)運營者在(zai)關鍵信息基(ji)礎設施安全防護所(suo)需(xu)具(ju)備的能(neng)力(li)(li)(li)(li)，包(bao)括識(shi)別認定、安全防護、檢測評估(gu)、監測預警、事件處(chu)置5個方(fang)面(mian)的關鍵能(neng)力(li)(li)(li)(li)，每個安全能(neng)力(li)(li)(li)(li)包(bao)含若干能(neng)力(li)(li)(li)(li)指(zhi)標，每個能(neng)力(li)(li)(li)(li)指(zhi)標包(bao)含若干評價內容。

能力等級及特征如下表。

表 安全能力等級及特征

e)   關鍵信息基礎設施安全防護能力評價內容及方法是什么？

關鍵信息基(ji)礎設施(shi)安全防護能(neng)(neng)力(li)評(ping)價包括能(neng)(neng)力(li)域(yu)級(ji)別評(ping)價、等級(ji)保護測評(ping)和密(mi)碼(ma)測評(ping)三部分。關鍵信息基礎設施安全防護能力評價前，關(guan)鍵信(xin)息基礎設(she)施應(ying)首先(xian)通(tong)過相應(ying)等級的等級保護測評和相關(guan)密碼測評。然后，組織應按照評價內容和評價操作方法開展評價工作，給出對每項評價指標的判定結果和所處級別，得出每個能力域級別，綜合5個能力域級別以及等級保護測評結果得出關鍵信息基礎設施安全防護能力級別。

關鍵信息基礎設施安全防護能力應綜合考慮5個能力域級別與等級保護測評結果。對應(ying)(ying)能(neng)力(li)等(deng)級1的(de)(de)(de)關鍵(jian)信息基(ji)礎設施等(deng)級保護(hu)(hu)測評結(jie)果(guo)應(ying)(ying)至少(shao)為(wei)中；對應(ying)(ying)能(neng)力(li)等(deng)級2的(de)(de)(de)關鍵(jian)信息基(ji)礎設施等(deng)級保護(hu)(hu)測評結(jie)果(guo)應(ying)(ying)至少(shao)為(wei)良；對應(ying)(ying)能(neng)力(li)等(deng)級3的(de)(de)(de)關鍵(jian)信息基(ji)礎設施等(deng)級保護(hu)(hu)測評結(jie)果(guo)應(ying)(ying)為(wei)優。

4、密碼應用基本要求

a)管(guan)理(li)要求：信息系(xi)(xi)統中的(de)(de)(de)身份(fen)鑒別、數(shu)(shu)(shu)據加密(mi)(mi)(mi)(mi)、數(shu)(shu)(shu)據簽名等(deng)密(mi)(mi)(mi)(mi)碼技術功能由(you)密(mi)(mi)(mi)(mi)碼算法、密(mi)(mi)(mi)(mi)碼技術、密(mi)(mi)(mi)(mi)碼產(chan)品、密(mi)(mi)(mi)(mi)碼服務等(deng)提(ti)供(gong)。從信息系(xi)(xi)統的(de)(de)(de)物理(li)和(he)(he)環境安(an)(an)全(quan)、網絡和(he)(he)通(tong)信安(an)(an)全(quan)、設備和(he)(he)計(ji)算安(an)(an)全(quan)、應(ying)用(yong)(yong)和(he)(he)數(shu)(shu)(shu)據安(an)(an)全(quan)的(de)(de)(de)各個層面提(ti)供(gong)全(quan)面整(zheng)體(ti)的(de)(de)(de)密(mi)(mi)(mi)(mi)碼應(ying)用(yong)(yong)安(an)(an)全(quan)技術支撐(cheng)，從而保(bao)障信息系(xi)(xi)統的(de)(de)(de)用(yong)(yong)戶身份(fen)真(zhen)實性(xing)、重要數(shu)(shu)(shu)據的(de)(de)(de)機密(mi)(mi)(mi)(mi)性(xing)和(he)(he)完整(zheng)性(xing)、操作行(xing)為的(de)(de)(de)不(bu)可否認性(xing)。

b)標準文(wen)件：行標(biao)(biao)（GM/T 0054-2018 《信(xin)息(xi)系統(tong)密(mi)碼(ma)應(ying)用基(ji)本(ben)要求(qiu)(qiu)》）升(sheng)國標(biao)(biao)《信(xin)息(xi)安全技術 信(xin)息(xi)系統(tong)密(mi)碼(ma)應(ying)用基(ji)本(ben)要求(qiu)(qiu)》，國標(biao)(biao)征求(qiu)(qiu)意見稿階段，未正(zheng)式(shi)發布。

c)系統定(ding)級：

• 第一(yi)級(ji)，是信息系統密碼應用安全要求等級(ji)的最低等級(ji)，信息系統管理者可按(an)照(zhao)業務實際情況自主應用密碼技術應對可能的安全威脅(xie)。

• 第二級(ji)，是在(zai)第一級(ji)的(de)等級(ji)要求(qiu)上，要求(qiu)信息(xi)系統具(ju)備身份鑒別、數據安全(quan)保護(hu)的(de)非體系化密(mi)碼保障能(neng)力，可應對當前部分安全(quan)威脅；

• 第三級(ji)，是(shi)在第二級(ji)的(de)等級(ji)要求上，要求更強的(de)身份(fen)鑒別、數據安全、訪問控制(zhi)等方面密碼應(ying)用技術(shu)能(neng)力(li)(li)與管理能(neng)力(li)(li)，要求信息系統建設有規范、可靠、完(wan)整(zheng)的(de)密碼保障體系，是(shi)體系化密碼應(ying)用引導性要求；

• 第四級，是在(zai)第三級的等級要求(qiu)上，要求(qiu)更強的身份鑒別、數(shu)據安全、訪問控制等方面密碼應用技(ji)術能(neng)(neng)力(li)與管理能(neng)(neng)力(li)，信(xin)息系(xi)統建設有規范(fan)、可靠(kao)、完整、主動防御(yu)的密碼保障體(ti)系(xi)，是體(ti)系(xi)化密碼應用的強制要求(qiu)；

d)基(ji)本要求(qiu)框架(jia)：

5、幾大標準關系圖解：

三、網絡安全防護建設過程中的十問：

1、去網安部門做了(le)備(bei)(bei)案(an)，拿到備(bei)(bei)案(an)證明(ming)，是否等(deng)于(yu)通過等(deng)保？備(bei)(bei)案(an)后多久(jiu)需要完成等(deng)保測評？

備(bei)(bei)案證明并不(bu)等(deng)(deng)(deng)同于通(tong)過等(deng)(deng)(deng)保，備(bei)(bei)案只是說明你(ni)的(de)某個業務(wu)系(xi)(xi)(xi)統(tong)準備(bei)(bei)做對應等(deng)(deng)(deng)級(ji)的(de)網絡(luo)安全防護(hu)，通(tong)過等(deng)(deng)(deng)級(ji)保護(hu)測(ce)評會(hui)(hui)由相(xiang)關部(bu)門發放等(deng)(deng)(deng)保測(ce)評通(tong)過的(de)通(tong)知(zhi)或(huo)證書(shu)。一(yi)般(ban)通(tong)過三級(ji)以(yi)上等(deng)(deng)(deng)保測(ce)評的(de)通(tong)知(zhi)或(huo)證書(shu)上都(dou)會(hui)(hui)有(you)證書(shu)的(de)有(you)效(xiao)期，到有(you)效(xiao)期后需(xu)要重(zhong)新對信(xin)息系(xi)(xi)(xi)統(tong)進行等(deng)(deng)(deng)保測(ce)評；但如果信(xin)息系(xi)(xi)(xi)統(tong)沒有(you)新的(de)業務(wu)或(huo)者(zhe)網絡(luo)改造調(diao)整(zheng)等(deng)(deng)(deng)對等(deng)(deng)(deng)保測(ce)評項可能有(you)影響的(de)變因，則(ze)一(yi)般(ban)不(bu)需(xu)要再(zai)次進行網絡(luo)安全整(zheng)改。

一個二(er)級或(huo)三級的(de)系(xi)統(tong)(tong)現(xian)場測評周期(qi)一般一周左右，具體(ti)(ti)時間(jian)還要根據信息系(xi)統(tong)(tong)數量及(ji)信息系(xi)統(tong)(tong)的(de)規模(mo)(mo)，以及(ji)雙方的(de)配(pei)合度(du)等有所增減。小規模(mo)(mo)安全(quan)整(zheng)(zheng)(zheng)改（管理(li)制度(du)、策略(lve)配(pei)置、技術(shu)整(zheng)(zheng)(zheng)改）2-3 周，出具報告時間(jian)一周，整(zheng)(zheng)(zheng)體(ti)(ti)持續周期(qi) 1-2 個月(yue)。如果整(zheng)(zheng)(zheng)改不(bu)及(ji)時或(huo)牽(qian)涉到(dao)購買設備(bei)，時間(jian)不(bu)好(hao)說，但總的(de)要求一般為一年(nian)內要完成。

2、通過等級保(bao)護測評以后，是(shi)不是(shi)不會再出(chu)安全事(shi)故？

通過(guo)等(deng)級保(bao)護測評只能(neng)說明在(zai)測評的時候(hou)，業(ye)(ye)務系統達(da)到了對(dui)應(ying)等(deng)級的防(fang)護強度，不(bu)等(deng)于(yu)業(ye)(ye)務系統的“保(bao)命符”。畢竟駭客攻擊的時候(hou)不(bu)會(hui)去(qu)看系統通沒通過(guo)等(deng)級保(bao)護測評，駭客看的是攻破業(ye)(ye)務系統本身的難度與其自身的實(shi)力的差距(ju)，以及攻破業(ye)(ye)務系統對(dui)于(yu)其所帶來的經濟或其他價值(zhi)所產生(sheng)的“性價比”。

通過等(deng)級保(bao)護(hu)測評后，以(yi)下方面(mian)有可能導(dao)致出現安全事(shi)故：

• 駭客能(neng)力超(chao)過了業務系統(tong)所對(dui)應等級的防護強度

• 網(wang)絡安(an)全(quan)防(fang)護設(she)(she)計存在不足(zu)、網(wang)絡安(an)全(quan)設(she)(she)備(bei)未有效使用或策略設(she)(she)置(zhi)不當(dang)、設(she)(she)備(bei)廠(chang)商(shang)出現漏洞被駭客利用、設(she)(she)備(bei)規(gui)則庫未及時更新或無法滿足(zu)業務系(xi)統所(suo)需(xu)性能等

• 安全(quan)管(guan)(guan)理(li)制度落實不(bu)到位、安全(quan)管(guan)(guan)理(li)人員缺乏培訓(安全(quan)能力、安全(quan)意識不(bu)足(zu))、應急演練不(bu)足(zu)(出現安全(quan)事件(jian)時不(bu)能及時有效應對)等

  
  

3、拿到等保測評通過(guo)證書后，一但出現安全事故是否(fou)可以(yi)規(gui)避(bi)或(huo)減輕追責？

拿到(dao)等(deng)級(ji)測(ce)(ce)評通過(guo)證書不(bu)等(deng)于(yu)拿到(dao)了“免死金牌”。按(an)照標準完(wan)成了等(deng)級(ji)保護(hu)測(ce)(ce)評，可以(yi)在一定(ding)程(cheng)度地規避風險(xian)，不(bu)等(deng)于(yu)拋棄網絡安(an)全責(ze)任(ren)(ren)，也不(bu)是將安(an)全責(ze)任(ren)(ren)交給等(deng)級(ji)保護(hu)測(ce)(ce)評機構或其他第三(san)方(fang)。出(chu)現安(an)全事(shi)故(gu)后，安(an)全責(ze)任(ren)(ren)的追責(ze)基本(ben)為以(yi)下幾種情況。

• 等保工作沒有(you)開展，出(chu)了網絡安(an)全(quan)事故，安(an)全(quan)責(ze)任肯(ken)定是(shi)甲方自己去承擔(dan)。

• 等保工作開展了，高危風險(xian)沒有及時去整改(gai)，出了問題，安全責(ze)任主要責(ze)任也是甲(jia)方的(de)。

• 等保工作開展了，測(ce)評(ping)機構(gou)測(ce)評(ping)不合規(gui)，對(dui)已有高危(wei)風(feng)險(xian)未檢測(ce)出而導致的安全問題(ti)，主要責任(ren)應當由測(ce)評(ping)機構(gou)承(cheng)擔，甲(jia)方負有次要責任(ren)。

• 等保(bao)工作開展了(le)，發現(xian)的高危風險及其他風險也及時(shi)整改了(le)，出了(le)網絡安全事故，主要責任不屬于(yu)甲方。

  
  

4、我已經上了安全(quan)設(she)備，為(wei)什么還會出現(xian)出安全(quan)事故？

采購(gou)部署了(le)安全(quan)設備，也不是就把安全(quan)漏洞都給(gei)完(wan)全(quan)修(xiu)復了(le)。網絡安全(quan)防(fang)護是修(xiu)“防(fang)洪堤”的(de)工程，我(wo)們需要保(bao)障其合理適度的(de)基礎上，及時根據系(xi)統現狀(zhuang)做查(cha)漏補(bu)缺和(he)技術升(sheng)級(ji)。如(ru)果設備上了(le)以后沒有做好以下的(de)幾(ji)(ji)個方(fang)面(mian)，安全(quan)事故發生(sheng)的(de)幾(ji)(ji)率就會加大。

• 網(wang)絡安(an)全建設(she)規劃不當：網(wang)絡架構不合理；系統安(an)全區域劃分不合理；安(an)全設(she)備(bei)部署位置不當；安(an)全設(she)備(bei)功能及策略規劃不合理等

• 網絡(luo)安全運(yun)維管理不足(zu)：網絡(luo)設(she)備(bei)規則庫未及時更(geng)新(xin)；性能(neng)不能(neng)滿足(zu)業(ye)務系(xi)統(tong)(tong)需求未及時更(geng)換；信(xin)息系(xi)統(tong)(tong)設(she)備(bei)及網絡(luo)安全設(she)備(bei)管理權限不清(qing)晰、責任劃(hua)分不明確(que)等

• 安全管(guan)理(li)(li)執行(xing)(xing)不到(dao)位：安全管(guan)理(li)(li)制度浮于形(xing)式；網(wang)絡安全人員(yuan)培訓不足，對新(xin)型威脅及行(xing)(xing)業(ye)發展動態了解缺乏；應(ying)急(ji)響應(ying)方案設計(ji)不當；應(ying)急(ji)演練(lian)進行(xing)(xing)過少，出現網(wang)絡安全事件時反應(ying)不當、反應(ying)不及時等。

5、應該如何(he)選(xuan)擇安全(quan)廠商(shang)的產品(pin)？

網絡安全建設實踐過(guo)程中(zhong)，我們(men)應從(cong)等保合規和(he)業務系統實際安全風險兩個角度區選擇產品：

• 當信息系統相較無特殊安全風險時，產品的選擇基本遵從等保合規的角度出發，選擇有相關認證證書的產品優先。如“計算機信息系統安全專用產品銷售許可證”，“中國國家信息安全產品認證證書”，“計算機軟件著作權登記證書”，“信息技術產品安全分級評估”，“涉密信息系統產品檢測證書”，“軍用信息安全產認證證書”等；大部分主流安全廠商常規合規產品基本都能滿足，如啟明星辰、天融信、網御星云、奇安信(原360企業安全)、深信服等。

• 當信息系統有特殊安全風險時，產品除了滿足等保合規的基礎上，也要考慮特殊安全風險的防護，而這些特殊防護需求的安全防護設備是一些主流廠商沒有或者不具優勢的。如業務系統數據庫中有公民個人信息，而業務系統有外包開發或對外提供公民個人數據印證等情況，則涉及到數據脫敏相關設備；信息系統覆蓋范圍大、信息端口多，存在非法設備內聯網絡的風險，則涉及到網絡準入相關設備；如業務系統操作者操作責任關聯現實身份較強，涉及到操作失誤后操作者身份的認定，身份鑒別需求較高，則涉及到CA數字證書相關設備等。

6、網絡完(wan)全建設(she)時(shi)，是采(cai)購同(tong)一(yi)廠(chang)商的產(chan)品比較(jiao)好(hao)，還(huan)是采(cai)購不同(tong)廠(chang)商的產(chan)品比較(jiao)好(hao)？

• 網(wang)絡安(an)全建(jian)設時，采購同(tong)一(yi)廠商同(tong)一(yi)品牌的(de)產品好處在于后(hou)期安(an)全運維難(nan)度較(jiao)小、后(hou)續安(an)全服務保障更好，會一(yi)定(ding)程度的(de)降低安(an)全管理人員的(de)能力需求和運維壓力；缺(que)點是該廠商出(chu)現(xian)安全漏(lou)洞時安全風險加大，廠商服務不(bu)到位時替(ti)換(huan)成本較高，依賴性強等(deng)。

采購(gou)不同廠(chang)商的產(chan)品(pin)好處(chu)在于差(cha)異化防護，有效避免個別廠(chang)商出(chu)現(xian)安全漏(lou)洞(dong)時的安全風(feng)險(xian)，對(dui)廠(chang)商服務的依賴性降低，可(ke)以比較(jiao)不同廠(chang)商的產(chan)品(pin)和服務，增加(jia)選(xuan)擇空間；缺(que)點(dian)是對(dui)安全管(guan)理人員的能力及精(jing)力需求較(jiao)高(gao)，出(chu)現(xian)安全事(shi)故時可(ke)能無(wu)法判定出(chu)現(xian)安全風(feng)險(xian)的設備(bei)，互相推諉攻擊等。

故而采購設備時應綜合(he)考慮(lv)①單位信(xin)息安(an)全管理人(ren)(ren)員編制(zhi)數量(liang)；②單位信(xin)息安(an)全管理人(ren)(ren)員能力及培(pei)養規劃(hua)；③意(yi)向(xiang)廠商(shang)產品(pin)業內認可(ke)度；④意(yi)向(xiang)廠商(shang)本地化服務(wu)能力或經銷商(shang)本地化服務(wu)能力等因素(su)，綜合(he)判斷后來(lai)選擇采購方式。

7、在預算(suan)有限的(de)情(qing)況下，該如(ru)何(he)合(he)理的(de)進行網(wang)絡安全防護(hu)建設？

在(zai)預算有限的情(qing)況下，我們需(xu)要先對單(dan)位的信息系(xi)(xi)統現狀、未來3~5年單(dan)位的信息系(xi)(xi)統建設(she)規劃(hua)、單(dan)位業務(wu)系(xi)(xi)統安(an)(an)(an)全(quan)風險點進行(xing)綜合調研后(hou)，做好安(an)(an)(an)全(quan)建設(she)規劃(hua)。先對網絡架構進行(xing)優化(hua)，明確不(bu)同(tong)安(an)(an)(an)全(quan)區域間(jian)的安(an)(an)(an)全(quan)風險及安(an)(an)(an)全(quan)防(fang)護(hu)策略需(xu)求，區分重點安(an)(an)(an)全(quan)防(fang)護(hu)風險以(yi)匹配對應產(chan)品(pin)，非高風險防(fang)護(hu)產(chan)品(pin)列(lie)入后(hou)續安(an)(an)(an)全(quan)建設(she)規劃(hua)(避(bi)免(mian)重復建設(she))，購買性(xing)能合適的產(chan)品(pin)(避(bi)免(mian)設(she)備性(xing)能不(bu)足影響(xiang)安(an)(an)(an)全(quan)防(fang)護(hu)效果(guo)，性(xing)能過高造成資金浪(lang)費)。

8、在對產品(pin)性能指標不太了(le)解的(de)情況下，該選擇什么性能的(de)產品(pin)？

對各種產品(pin)(pin)性(xing)能指(zhi)標了解不(bu)足(zu)的情況下(xia)，選擇(ze)產品(pin)(pin)可以通過咨詢相關產品(pin)(pin)技術(shu)人員、業內(nei)專(zhuan)家、實際產品(pin)(pin)測試等方式選擇(ze)。通用等保(bao)合規產品(pin)(pin)的主要選型要素如下(xia)：

• 下(xia)(xia)一(yi)代(dai)防火墻(qiang)：主要為吞吐(tu)量(liang)(liang)、應用層吞吐(tu)量(liang)(liang)、并發連接數(shu)、每秒新建連接數(shu)，主要考慮設備部署位置實際(ji)業務(wu)數(shu)據帶寬。需注意的(de)是吞吐(tu)量(liang)(liang)參數(shu)不(bu)(bu)等(deng)同(tong)于實際(ji)可(ke)管理帶寬能力(li)，不(bu)(bu)同(tong)廠商的(de)相同(tong)吞吐(tu)量(liang)(liang)設備，因廠商設備硬件配置差異、軟件優化差異等(deng)存(cun)在一(yi)定差異；特(te)別是當下(xia)(xia)一(yi)代(dai)防火墻(qiang)開啟入侵(qin)防御、病毒查(cha)殺、VPN等(deng)功能后，其(qi)實際(ji)防護流量(liang)(liang)大幅下(xia)(xia)降的(de)情況下(xia)(xia)。在無(wu)法有效判斷(duan)的(de)情況下(xia)(xia)，可(ke)以考慮設備測試后再(zai)行采購(gou)。

• 上(shang)網(wang)行(xing)為管(guan)理(li)：主(zhu)要(yao)為可管(guan)理(li)帶寬(kuan)(推薦帶寬(kuan))、最大可管(guan)理(li)人數，主(zhu)要(yao)考慮互(hu)聯網(wang)出口帶寬(kuan)及互(hu)聯網(wang)訪問人數。

• 堡(bao)壘主(zhu)機、日志審(shen)計：主(zhu)要為(wei)授(shou)權管(guan)理設備數(shu)，主(zhu)要考慮需管(guan)理的網絡(luo)設備及系統數(shu)量。

9、供(gong)應商提(ti)供(gong)一份產品(pin)采購清單后，承(cheng)諾一定(ding)可以(yi)通過等(deng)保測評，是否可信？

基本不可(ke)信。等(deng)(deng)級(ji)保(bao)護測(ce)(ce)(ce)評(ping)(ping)是有其測(ce)(ce)(ce)評(ping)(ping)標準、測(ce)(ce)(ce)評(ping)(ping)項權重及算(suan)分(fen)(fen)標準的(de)(de)，在對(dui)業(ye)(ye)務系統(tong)進(jin)行全面的(de)(de)測(ce)(ce)(ce)試、判(pan)定(ding)高(gao)風(feng)險(xian)項并改善、通過(guo)(guo)算(suan)分(fen)(fen)得出判(pan)定(ding)結論前，是無法判(pan)定(ding)業(ye)(ye)務系統(tong)通過(guo)(guo)的(de)(de)。不過(guo)(guo)由于等(deng)(deng)級(ji)保(bao)護是按照(zhao)標準要求來進(jin)行測(ce)(ce)(ce)評(ping)(ping)的(de)(de)，故而有經(jing)驗的(de)(de)專業(ye)(ye)網絡(luo)安全建設(she)商或測(ce)(ce)(ce)評(ping)(ping)人員可(ke)以(yi)依照(zhao)以(yi)往(wang)客戶建設(she)/測(ce)(ce)(ce)評(ping)(ping)經(jing)驗以(yi)及對(dui)產品(pin)及信息系統(tong)的(de)(de)了解，初步判(pan)斷系統(tong)中的(de)(de)高(gao)風(feng)險(xian)項、風(feng)險(xian)點推薦匹配(pei)產品(pin)，以(yi)期(qi)達成或超過(guo)(guo)預期(qi)的(de)(de)分(fen)(fen)數。從而在等(deng)(deng)級(ji)保(bao)護測(ce)(ce)(ce)評(ping)(ping)時(shi)，就算(suan)有部(bu)分(fen)(fen)風(feng)險(xian)點未得以(yi)改善的(de)(de)情況下，也(ye)可(ke)以(yi)達成或超過(guo)(guo)通過(guo)(guo)等(deng)(deng)級(ji)保(bao)護測(ce)(ce)(ce)評(ping)(ping)的(de)(de)分(fen)(fen)數。

這也(ye)是先(xian)測評再整改(gai)(gai)還是先(xian)整改(gai)(gai)再測評的關鍵點所在。

• 先測(ce)評(ping)(ping)再整(zheng)改：可以根(gen)據(ju)等級(ji)保護(hu)測(ce)評(ping)(ping)機構現場初測(ce)后(hou)的(de)專業(ye)建議進行整(zheng)改，有的(de)放矢。但如(ru)單位(wei)本身(shen)風險較大、較多的(de)情況，涉及(ji)到設備采購，需要方(fang)案立項、申請(qing)預算、招投標、合同供貨等流程后(hou)，等保測(ce)評(ping)(ping)機構再次測(ce)試通過(guo)才可以取得測(ce)評(ping)(ping)通過(guo)證書。適合于對通過(guo)測(ce)評(ping)(ping)時間不迫切，本身(shen)網絡安(an)全建設了(le)解不足、無專業(ye)人員協助網絡安(an)全建設規劃的(de)單位(wei)。

• 先整改再測評(ping)(ping)(ping)(測評(ping)(ping)(ping)、整改同時進(jin)行(xing))：通過(guo)專業人員/專家的指導協助(zhu)，提(ti)前(qian)對(dui)網(wang)絡(luo)安(an)全(quan)風險點進(jin)行(xing)加固，爭(zheng)取等(deng)級保護測評(ping)(ping)(ping)機構現場測評(ping)(ping)(ping)時一次(ci)通過(guo)。但(dan)需要(yao)單位(wei)(wei)本身對(dui)網(wang)絡(luo)安(an)全(quan)建設標準(zhun)(zhun)由一定的了解，指導協助(zhu)的專業人員不光對(dui)政策(ce)標準(zhun)(zhun)有足(zu)夠(gou)的研(yan)究(jiu)，且(qie)對(dui)網(wang)絡(luo)安(an)全(quan)建設有足(zu)夠(gou)的項目(mu)經(jing)驗(yan)。適(shi)合于通過(guo)測評(ping)(ping)(ping)時間(jian)有要(yao)求，自身對(dui)網(wang)絡(luo)安(an)全(quan)建設標準(zhun)(zhun)有一定的研(yan)究(jiu)或有適(shi)合的專業人員協助(zhu)的單位(wei)(wei)。

10、為什(shen)么不(bu)同供應商提供的方案清單(dan)會有(you)不(bu)同，有(you)的所采(cai)購的產品不(bu)同，有(you)的同一產品采(cai)購的數量(liang)不(bu)同？

由(you)于等(deng)級保(bao)護(hu)(hu)測評(ping)(ping)(ping)機構時(shi)根(gen)據標準要(yao)(yao)求(qiu)測評(ping)(ping)(ping)項(xiang)進行(xing)測評(ping)(ping)(ping)，測評(ping)(ping)(ping)的(de)(de)(de)只是有(you)(you)沒有(you)(you)實(shi)現相(xiang)關的(de)(de)(de)安全(quan)防護(hu)(hu)要(yao)(yao)求(qiu)，而(er)非部(bu)署(shu)什么產品，其提供(gong)的(de)(de)(de)整改建議也以(yi)(yi)差(cha)距分析、需整改項(xiang)為主。故而(er)即使有(you)(you)等(deng)級保(bao)護(hu)(hu)測評(ping)(ping)(ping)機構的(de)(de)(de)整改建議，不(bu)同供(gong)應商提供(gong)網絡安全(quan)建設清(qing)單的(de)(de)(de)時(shi)候，根(gen)據其對政策標準、信息系統了解的(de)(de)(de)不(bu)同，以(yi)(yi)及其對產品、安全(quan)區域間安全(quan)防護(hu)(hu)能(neng)力理(li)解的(de)(de)(de)差(cha)異。以(yi)(yi)下一(yi)代防火墻的(de)(de)(de)部(bu)署(shu)為例：

• 同樣要(yao)達(da)成“網(wang)絡區域邊(bian)(bian)界”要(yao)求中的(de)(de)(de)(de)(de)“邊(bian)(bian)界防(fang)(fang)(fang)(fang)(fang)護”“訪問控制”“入侵(qin)(qin)防(fang)(fang)(fang)(fang)(fang)范(fan)”，是采(cai)(cai)(cai)用(yong)(yong)“下一(yi)代防(fang)(fang)(fang)(fang)(fang)火墻+開(kai)啟(qi)入侵(qin)(qin)防(fang)(fang)(fang)(fang)(fang)御(yu)(yu)模(mo)塊(kuai)”(設(she)備(bei)+模(mo)塊(kuai))僅采(cai)(cai)(cai)購一(yi)臺(tai)設(she)備(bei)的(de)(de)(de)(de)(de)方(fang)(fang)式(shi)，還是采(cai)(cai)(cai)用(yong)(yong)“下一(yi)代防(fang)(fang)(fang)(fang)(fang)火墻+入侵(qin)(qin)防(fang)(fang)(fang)(fang)(fang)御(yu)(yu)系(xi)統(tong)”(設(she)備(bei)+設(she)備(bei))采(cai)(cai)(cai)購兩臺(tai)設(she)備(bei)的(de)(de)(de)(de)(de)方(fang)(fang)式(shi)，就(jiu)需要(yao)結(jie)合業(ye)務(wu)系(xi)統(tong)的(de)(de)(de)(de)(de)實(shi)際情況以(yi)及相關(guan)廠(chang)(chang)商設(she)備(bei)的(de)(de)(de)(de)(de)功能(neng)性能(neng)實(shi)現來決定。在(zai)這需要(yao)說明一(yi)點(dian)，廠(chang)(chang)商的(de)(de)(de)(de)(de)網(wang)絡安全(quan)設(she)備(bei)都是由(you)(you)(you)硬(ying)件+軟(ruan)(ruan)件組成，其實(shi)際性能(neng)取(qu)決于所配置硬(ying)件的(de)(de)(de)(de)(de)基(ji)礎算力(li)和軟(ruan)(ruan)件算法優化的(de)(de)(de)(de)(de)程度決定的(de)(de)(de)(de)(de)。采(cai)(cai)(cai)用(yong)(yong)“設(she)備(bei)+模(mo)塊(kuai)”必然對設(she)備(bei)的(de)(de)(de)(de)(de)性能(neng)有所影響。而采(cai)(cai)(cai)用(yong)(yong)“設(she)備(bei)+設(she)備(bei)”由(you)(you)(you)于兩臺(tai)設(she)備(bei)的(de)(de)(de)(de)(de)硬(ying)件都是為自身軟(ruan)(ruan)件服務(wu)，性能(neng)上有保障。另外由(you)(you)(you)于采(cai)(cai)(cai)用(yong)(yong)“開(kai)啟(qi)入侵(qin)(qin)防(fang)(fang)(fang)(fang)(fang)御(yu)(yu)模(mo)塊(kuai)”的(de)(de)(de)(de)(de)方(fang)(fang)式(shi)，其軟(ruan)(ruan)件模(mo)塊(kuai)在(zai)安全(quan)防(fang)(fang)(fang)(fang)(fang)護功能(neng)的(de)(de)(de)(de)(de)實(shi)現深(shen)度上必然不如單獨的(de)(de)(de)(de)(de)“入侵(qin)(qin)防(fang)(fang)(fang)(fang)(fang)御(yu)(yu)系(xi)統(tong)設(she)備(bei)”。不過采(cai)(cai)(cai)用(yong)(yong)“設(she)備(bei)+模(mo)塊(kuai)”的(de)(de)(de)(de)(de)方(fang)(fang)式(shi)由(you)(you)(you)于出口網(wang)絡僅串聯一(yi)臺(tai)設(she)備(bei)，故而其出現單點(dian)故障的(de)(de)(de)(de)(de)幾率和產(chan)品(pin)性價比上要(yao)優于采(cai)(cai)(cai)用(yong)(yong)“設(she)備(bei)+設(she)備(bei)”的(de)(de)(de)(de)(de)方(fang)(fang)式(shi)。

結論：采用“設(she)備(bei)(bei)(bei)+模塊”的(de)方(fang)式，在產品性(xing)能(neng)(neng)及(ji)安全(quan)(quan)功能(neng)(neng)實現細(xi)節上(shang)要遜于(yu)“設(she)備(bei)(bei)(bei)+設(she)備(bei)(bei)(bei)”的(de)方(fang)式，但在設(she)備(bei)(bei)(bei)故障幾率和價格上(shang)要優于(yu)“設(she)備(bei)(bei)(bei)+設(she)備(bei)(bei)(bei)”的(de)方(fang)式。“設(she)備(bei)(bei)(bei)+模塊”的(de)方(fang)式適用于(yu)網(wang)絡安全(quan)(quan)防護(hu)(hu)流量(liang)較(jiao)小(xiao)、安全(quan)(quan)預算較(jiao)少(shao)、對安全(quan)(quan)防護(hu)(hu)能(neng)(neng)力要求較(jiao)低的(de)單(dan)(dan)位；而(er)“設(she)備(bei)(bei)(bei)+設(she)備(bei)(bei)(bei)”的(de)方(fang)式適用于(yu)網(wang)絡安全(quan)(quan)防護(hu)(hu)流量(liang)較(jiao)大、安全(quan)(quan)預算充足、對安全(quan)(quan)防護(hu)(hu)能(neng)(neng)力要求較(jiao)高的(de)單(dan)(dan)位。

• 互聯(lian)網(wang)出口(kou)、上(shang)/下級(ji)(ji)網(wang)絡(luo)聯(lian)網(wang)出口(kou)、服務(wu)(wu)器前(qian)端(duan)都部署(shu)(shu)下一(yi)代防火墻(qiang)是(shi)不(bu)是(shi)為了多上(shang)設備坑預算(suan)，等保標準又(you)沒有明確要部署(shu)(shu)。實(shi)際上(shang)不(bu)同位置的(de)(de)實(shi)現的(de)(de)功能效果及部署(shu)(shu)策略(lve)都是(shi)不(bu)同的(de)(de)，互聯(lian)網(wang)出口(kou)的(de)(de)防火墻(qiang)主要過濾和防御來(lai)自(zi)互聯(lian)網(wang)的(de)(de)未(wei)知來(lai)源威脅，訪(fang)問(wen)(wen)的(de)(de)業(ye)(ye)務(wu)(wu)相(xiang)對(dui)較復雜(za)，需(xu)要設置的(de)(de)防護(hu)策略(lve)相(xiang)對(dui)較復雜(za)、較難(nan)屏蔽安全(quan)(quan)風險因素(su)(su)；而上(shang)下級(ji)(ji)網(wang)絡(luo)由于(yu)相(xiang)對(dui)較安全(quan)(quan)，其(qi)訪(fang)問(wen)(wen)來(lai)源可(ke)控，訪(fang)問(wen)(wen)業(ye)(ye)務(wu)(wu)較明確，需(xu)要設置的(de)(de)防護(hu)策略(lve)相(xiang)對(dui)較簡單明了、比較容(rong)易屏蔽來(lai)自(zi)上(shang)下級(ji)(ji)網(wang)絡(luo)的(de)(de)安全(quan)(quan)風險因素(su)(su)；而服務(wu)(wu)器前(qian)端(duan)部署(shu)(shu)防火墻(qiang)，由于(yu)服務(wu)(wu)器業(ye)(ye)務(wu)(wu)訪(fang)問(wen)(wen)的(de)(de)地址、端(duan)口(kou)、協議等相(xiang)對(dui)比較清晰簡明，在做安全(quan)(quan)防護(hu)策略(lve)時(shi)可(ke)以有針對(dui)性的(de)(de)屏蔽非業(ye)(ye)務(wu)(wu)訪(fang)問(wen)(wen)，有效堵截(jie)攻(gong)(gong)擊者的(de)(de)攻(gong)(gong)擊手段。