## 一、云上安全等级保护必备产品（三级）
|序号| 安全产品|合规对应要求|
| :-| :-| :-|
|1|安全组|**一般情况下为云服务商免费提供；**用于满足等保要求中的网络架构、边界防护和访问控制等方面基本的端口阻断和ACL安全策略实现。|
|2|VPC专有网络|**一般情况下为云服务商免费提供；**用于实现虚拟网络架构搭建，如Vlan划分等，满足等保基本的网络架构划分要求。|
|3|SSL证书|**必备；**在云上签发各品牌数字证书，实现WEB应用HTTPS化，使网站可信，防劫持、防篡改、防监听、安全加密。统一生命周期管理，简化证书部署，一键分发到CDN、负载均衡、OSS等其它云上产品；也可以自行建立SSL（省钱）。|
|4|云防火墙|**必备；**云防火墙可以基于业务可视化、实现业务分区／分组，管理员将可以清晰的甄别合法访问和非法访问，从而执行安全隔离和访问控制策略。用于满足等保要求中的边界防护和访问控制等要求（防火墙采购什么版本应按照自身业务的大小、流量的大小进行综合考虑，且每个云服务商提供的版本名称不太一样，建议在采购之前咨询专业机构）。|
|5|WAF|**必备；**主要用于应用层的安全防护，如：官方网站。|
|6|云安全中心|**必备；**在有的云服务商提供的产品中又名主机安全，用于实时监控整体安全，对漏洞，入侵，攻击进行实时可视化展示，可配置短信，邮件告警；云上服务器全端口扫描，应用漏洞扫描，0day漏洞扫描，CMS漏洞扫描等；主要用于满足等保中定期漏扫的要求。|
|7|云堡垒机|**根据需求采购；**用于实现云上服务器的操作运维审计和账号权限管理（根据自身的业务需求考虑，一般服务器超过10台为必备采购；也可以单独划分一台服务器，用于自行搭建开源堡垒机，如：jumpserver等）。|
|8|日志审计SLS|**必备；**云上控制台账号的操作审计功能打开后，仅可保留近3个月的日志，因此需要采购SLS服务，此服务类似于日志存储服务器，采购之后配置好策略，控制台日志会自动传输至SLS中，保证满足6个月日志安全法要求；此服务一般为按量计费。|
|9|OSS存储|**必备；**OSS存储用于实现等保要求中业务数据的定期备份以及异地备份（在OSS中建立不同的存储桶，选择不同地域，进而实现异地备份）。|
|10|RDS数据库|**可选；**RDS数据库为云服务商提供的一种统一、便捷的数据库管理平台；根据等保要求，可在服务器上自行部署数据库，并非必须的采购项|
|11|数据库日志审计|**可选；**数据库审计主要针对于数据库的审计日志进行收集分析，实现审计功能；也可以在数据库中自行开启审计功能、自行分析，用于实现等保要求中实现审计功能和审计日志满足180天的要求。|

## 二、云上安全等级保护必备产品（二级）
|序号| 安全产品|合规对应要求|
| :-| :-| :-|
|1|安全组|**一般情况下为云服务商免费提供；**用于满足等保要求中的网络架构、边界防护和访问控制等方面基本的端口阻断和ACL安全策略实现。|
|2|VPC专有网络|**一般情况下为云服务商免费提供；**用于实现虚拟网络架构搭建，如Vlan划分等，满足等保基本的网络架构划分要求。|
|3|SSL证书|**必备；**在云上签发各品牌数字证书，实现WEB应用HTTPS化，使网站可信，防劫持、防篡改、防监听、安全加密。统一生命周期管理，简化证书部署，一键分发到CDN、负载均衡、OSS等其它云上产品；也可以自行建立SSL（省钱）。|
|4|云防火墙|**必备；**云防火墙可以基于业务可视化、实现业务分区／分组，管理员将可以清晰的甄别合法访问和非法访问，从而执行安全隔离和访问控制策略。用于满足等保要求中的边界防护和访问控制等要求（防火墙采购什么版本应按照自身业务的大小、流量的大小进行综合考虑，且每个云服务商提供的版本名称不太一样，建议在采购之前咨询专业机构）。|
|5|WAF|**WEB业务必备、非WEB业务不必采购；**主要用于应用层的安全防护，如：官方网站。|
|6|云安全中心|**必备；**在有的云服务商提供的产品中又名主机安全，用于实时监控整体安全，对漏洞，入侵，攻击进行实时可视化展示，可配置短信，邮件告警；云上服务器全端口扫描，应用漏洞扫描，0day漏洞扫描，CMS漏洞扫描等；主要用于满足等保中定期漏扫的要求。|
|7|云堡垒机|**根据需求采购；**用于实现云上服务器的操作运维审计和账号权限管理（根据自身的业务需求考虑，一般服务器超过10台为必备采购；也可以单独划分一台服务器，用于自行搭建开源堡垒机，如：jumpserver等）。|
|8|日志审计SLS|**必备；**云上控制台账号的操作审计功能打开后，仅可保留近3个月的日志，因此需要采购SLS服务，此服务类似于日志存储服务器，采购之后配置好策略，控制台日志会自动传输至SLS中，保证满足6个月日志安全法要求；此服务一般为按量计费。|
|9|OSS存储|**必备；**OSS存储用于实现等保要求中业务数据的定期备份以及异地备份（在OSS中建立不同的存储桶，选择不同地域，进而实现异地备份）。|

## 三、传统网络等级保护安全必备产品（三级）
|序号| 安全产品|合规对应要求|
| :-| :-| :-|
|1|边界防火墙|**必备；**应在网络边界部署访问控制设备，启用访问控制功能。（根据业务采购多台）|
|2|区域防火墙|**必备；**各网络区域应该采取可靠的技术隔离手段。（根据业务采购多台）|
|3|IPS|**必备；**在网络边界处监视攻击行为并告警。|
|4|WAF|**必备；**主要用于应用层的安全防护，如：官方网站。|
|5|堡垒机|**必备；**堡垒机可实现双因素认证，并且可实现所有设备的统一管理。|
|6|终端准入系统|**必备；**对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断。|
|7|SSL证书|**必备；**实现应用HTTPS化，使网站可信，防劫持、防篡改、防监听、安全加密。也可以自行建立SSL（省钱）。|
|8|日志审计系统|**必备；**用于实现整体网络中所有设备的日志收集、分析。|
|9|漏洞扫描设备|**可选；**用于实现整体网络中所有设备的定期漏洞扫描，分析。**也可采用开源漏扫工具替代。**|
|10|防毒墙/防病毒网关|**可选；**在网络层对恶意代码进行检测和清除。**（实现不了可在主机层安装杀毒实现对恶意代码的检测清除）**。|
|11|上网行为管理|**可选；**对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。**（根据业务系统的不同，选择是否配备，OA系统必备）**|
|12|企业版杀毒|**可选；**用于实现主机层杀毒统一管理，统一升级等；**可以使用免费个人版代替**，如：火绒杀毒、360杀毒、瑞星杀毒、江民杀毒等，虽无法实现统一管理，但核心杀毒可以做到。|
|13|数据库审计系统|**可选；**用于实现数据库的日志收集、分析；根据等保高风险判定，**只要数据库均开启审计功能，且日志满足180天即可**。|
|14|网络监控系统|**可选；**用于整个网络中设备的运行状态监控；**可自行部署开源监控替代，如：zabbix。**|
|15|态势感知|**可选；**用于整个网络中设备的流量监控、新型网络攻击行为发现、分析；|

## 三、传统网络等级保护安全必备产品（二级）
|序号| 安全产品|合规对应要求|
| :-| :-| :-|
|1|边界防火墙|**必备；**应在网络边界部署访问控制设备，启用访问控制功能。（根据业务采购多台）|
|2|区域防火墙|**必备；**各网络区域应该采取可靠的技术隔离手段。（根据业务采购多台）|
|3|IPS|**必备；**在网络边界处监视攻击行为并告警。|
|4|WAF|**必备；**主要用于应用层的安全防护，如：官方网站。|
|5|堡垒机|**必备；**堡垒机可实现双因素认证，并且可实现所有设备的统一管理。|
|6|终端准入系统|**必备；**对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断。|
|7|SSL证书|**必备；**实现应用HTTPS化，使网站可信，防劫持、防篡改、防监听、安全加密。也可以自行建立SSL（省钱）。||
|8|日志审计系统|**必备；**用于实现整体网络中所有设备的日志收集、分析。|
|9|漏洞扫描设备|**可选；**用于实现整体网络中所有设备的定期漏洞扫描，分析。**也可采用开源漏扫工具替代**|
|10|上网行为管理|**可选；**对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。**（根据业务系统的不同，选择是否配备，OA系统必备）**|
|11|企业版杀毒|**可选；**用于实现主机层杀毒统一管理，统一升级等；**可以使用免费个人版代替**，如：火绒杀毒、360杀毒、瑞星杀毒、江民杀毒等，虽无法实现统一管理，但核心杀毒可以做到。|
|12|数据库审计系统|**可选；**用于实现数据库的日志收集、分析；根据等保高风险判定，**只要数据库均开启审计功能，且日志满足180天即可**。|
|13|网络监控系统|**可选；**用于整个网络中设备的运行状态监控；**可自行部署开源监控替代，如：zabbix。**|
|14|态势感知|**可选；**用于整个网络中设备的流量监控、新型网络攻击行为发现、分析；|

等级保护整改建设产品列表

## 等保测评师学习问答
###### 问题：渗透测试结果如果有高危项，且客户无法整改，应该怎么协助客户完成项目？
    首先，针对于渗透测试结果发现的高危问题，渗透测试报告中会有修复建议，如果因为系统老旧或其他开发难度方面的问题导致无法进行修复，可以请客户通过主机层和网络层部署并启用安全设备，进而实现安全风险转移，进而降低出现网络攻击的风险。

#### 2、培训之安全物理环境
###### 问题：框架、框剪结构的区别？
    首先它们的概念是不一样的，框架结构是很多梁柱组合的一种结构，而框剪结构是关于空间的一种结构。
    框架结构和框剪结构的特征不同，框剪结构的空间使用比较灵活，而且本身重量比较轻，节省材料，比较利于较大的空间建筑使用。框架结构的梁和柱比较标准化，它是结合了框架结构和空间层结构的两种体系，吸取了两者之间的长处，具有良好的抗侧力性能。
    框架结构和空间结构的使用范围不同，框架结构比较适用于电梯井、楼梯间、管道井、墙体、火车站、体育场、商场、剧场、飞机场、停车场、轻工业等等，而框剪结构一般都是要依附着框架结构进行的。

###### 问题：机房接地措施？
    所谓接地，即把电路中的某一金属壳与大地边接在一起，形成电气回路。目的是为了让电流易于流如入大地，对人及设备形成保护。
    机房接地措施：接地铜排（室内机房接地采用30*5（宽*厚，单位mm）规格之铜片，围绕机房墙壁一周离地面10cm高，且与室外接地体母线相连接。在铜片每隔50 cm钻一小孔，以利于分布在机房各区域的设备进行接地）、接地铜板（接地铜板采用宽60mm(厚10mm)之L型铜板固定于楼板，此铜墙铁壁板作为所有应与机房接地之设施的总接地）、地网（机房有架设高架地板，则应以2.5mm之多芯裸铜线缠绵高架地板柱做地网）。

###### 问题：耐火等级的建筑材料有哪些？
    机房常用的耐火材料有防火钢板、防火玻璃、防火涂料（乳胶漆-注意类型）。

###### 问题：如何防止水蒸气结露和地下水转移？
    通过精密空调防止水蒸气结露；
    通过排水渠进行地下水转移。

#### 2、内部培训之安全通信网络、安全区域边界
###### 问题：网络设备CPU、内存的查看方法？
    华为/华三设备： display cpu或者display memory
    锐捷设备：show cpu或者show memory

###### 问题：客户设备上架，但未做任何策略，应该如何做测评？
    联系客户让他们联系设备厂家来做安全策略；
    协助客户提供给他们一份加固策略建议。

###### 问题：完整性、保密性如何判定？
    完整性通俗的来说就是数据不被篡改和非授权访问
    国密算法中，能够提供数据完整性的算法主要是：SM3。
    国际算法中，能够提供数据完整性的算法主要是：MD5、SHA256、SHA512。
    保密性通俗的来说就是数据不能是明文，目前保密性主要是通过加密算法来实现；
    国密算法中，能够提供数据保密性的算法主要是：SM1和SM2，
    无线局域网中使用SM4。
    国际算法中，能够提供数据保密性的算法主要是：DES、3DES、RSA、AES、ECC等。

###### 问题：恶意代码检测怎么判断？
    一般查看是否有部署防恶意代码产品。

###### 问题：“应能对远程访问的用户行为单独进行审计”，这一条应该从什么方面查看？
    查看客户要测评的系统中是否部署来了日志审计、上网行为管理、终端管理系统，查看具体的策略里是否配置了对关键的用户单独进行审计。

#### 2、内部培训之安全运维管理
###### 问题：资产管理员指？
    设备管理员、档案管理员等。

###### 问题：信息处理设备指？
    计算机、漏扫等设备。

###### 问题：安全测试报告指？
    渗透、漏扫等报告。

#### 2、内部培训之安全管理人员、安全建设管理
###### 问题：人员录用应该关注哪些点？
    是否留有录用人员的面试记录、背调记录、笔试记录（不限于多种方式）；
    录用后是否定期进行技能考核，并保留技能考核记录。

###### 问题：关键岗位人员是指哪些人员？
    系统管理员、审计管理员、安全管理员、安全主管；

###### 问题：安全意识教育和培训的对象应该是技术部门还是单位的所有人员？
    安全意识教育应该面向于公司全体员工，减少安全事件发生的可能性；
    在等级保护中，应重点管制是否针对于关键岗位人员开展安全意识教育，如若开展并保留教育培训记录，可判定为符合。

###### 问题：外部人员离场清除其访问权限应该如何检查？
    在管理层面应该查看是否有外部人员管控的相关规定及外部人员访问开通权限的审批记录；
    同时因与技术测评人员沟通，查看系统中是否有未清除或禁用的多余账户；并访谈多多余账户的用途。

###### 问题：商用密码产品的检测合格报告（又称销售许可）在哪查看？
    应在商用密码检测中心：https://www.scctc.org.cn/ 进行查询相关信息。

###### 问题：针对于成熟的商业软件，自行软件开发和外包软件开发应如何测评？
    成熟的商业软件不属于自行软件开发；
    针对于外包软件开发相关测评指标，应根据指标的检查内容进行实际判定；如：软件交付前应进行恶意代码检测，该条款就应该按照实际场景，第三方商业软件交付前，开发商是否提交恶意代码检测报告为判定基准。

###### 问题：上线前应进行安全性测试，系统已经上线很多年，该条款应如何判定？
    安全性测试应指针对于系统进行的渗透测试（黑盒测试、白盒测试、灰盒测试）；
    虽然系统建设之初没有进行安全性测试，但系统版本在更新迭代期间（如大版本更新）进行的安全性测试，也可做为判定符合的基准。

###### 问题：等级保护测评中什么情况下需要重新进行定级备案？
    系统业务方向发生变化、设备环境变更（如：迁云）时应重新进行定级备案；

网络安全等级保护测评师常见疑问

# 等保客户常见问答
#### 1.什么是等级保护2.0？
    “等级保护2.0”或“等保2.0”是⼀个约定俗成的说法，指按新的等级保护标准规范开展⼯作的统称。通常认为是《中华⼈⺠共和国⽹络安全法》颁布实⾏后提出，以2019年12⽉1⽇，《GB/T22239-2019信息安全技术 ⽹络安全等级保护基本要求》正式实施为象征性标志。
#### 2.“等保”与“分保”有什么区别？
    指等级保护与分级保护，主要不同在监管部⻔、适⽤对象、分类等级等⽅⾯。
    监管部⻔不⼀样，等级保护由公安部⻔监管，分级保护由国家保密局监管。
    适⽤对象不⼀样，等级保护适⽤⾮涉密系统，分级保护适⽤于涉及国家秘密系统。
    等级分类不同，等级保护分5个级别：⼀级(⾃主保护)、⼆级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护) 分级保 护分3个级别：秘密级、机密级、绝密级。
#### 3.“等保”与“关保”有什么区别？
    指等级保护与关键信息基础设施保护，“关保”是在⽹络安全等级保护制度的基础上，实⾏重点保护。《中华⼈⺠共和国⽹络安全法》第三章第⼆节规定了关键信息基础设施的运⾏安全，包括关键信息基础设施的范围、保护的主要内容等。
    ⽬前“关保”的基本要求、测评指南、⾼⻛险判例等均已基本完成，相关试点⼯作已启动。
#### 4.什么是等级保护测评？
    指经认定的专业第三⽅测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对⾮涉及国家秘密⽹络 安全等级保护状况进⾏检测评估的活动。
#### 5.等级保护是否是强制性的,可以不做吗？
    《中华⼈⺠共和国⽹络安全法》第⼆⼗⼀条规定⽹络运营者应当按照⽹络安全等级保护制度的要求，履⾏相关的安全保护义务。同时第七⼗六条定义了⽹络运营者是指⽹络的所有者、管理者和⽹络服务提供者；等级保护⼯作是保障我国⽹络安全的基本动作，⽬前各单位需按照所在⾏业及保护对象重要程度，依据⽹络安全法及相关部⻔要求，按照“同步规划、同步建设、同步使⽤”的原则，开展等级保护⼯作。
#### 6.做等级保护要多少钱？
    开展等级保护⼯作主要包含：规划费⽤、建设或整改费⽤、运维费⽤、测评费⽤等，具体费⽤因各单位现状、保护对象承载业务功能、重要程度、所在地区等差异较⼤。为避免过度保护或疏于防范的情况，减少资源浪费等，建议聘请或咨询专业的等级保护测评机构，制定科学合理的⽅案。
#### 7.等级保护测评⼀般多⻓时间能测完？
    ⼀个⼆级或三级的系统整体持续周期1-2个⽉。现场测评周期⼀般1周左右，具体时还要根据信息系统数量及信息系统的规模，以及测评⽅与被测评⽅的配合情况等有所增减。⼩规模安全整改（管理制度、策略配置技术整改）2-3周，出具报告时间1-2周。
    ⽬前各地根据各⾃省份或城市的情况，还存在单独规定测评实施周期的情况，⼀般是签订测评合同之⽇起3-6个⽉必须出具测评报告。
#### 8.等级保护测评多久做⼀次？
    根据《⽹络安全等级保护条例》第⼆⼗三条规定：第三级以上⽹络的运营者应当每年开展⼀次⽹络安全等级测评。⼆级信息系统建议每两年开展⼀次测评。
#### 9.是否系统定级越低越好？
    不是。应根据实际业务系统的情况参照定级标准进⾏定级，采⽤“定级过低不允许、定级过⾼不可取”的原则。当出现⽹络安全事件进⾏追责的时候，如因系统定级过低，需承担系统定级不合理、安全责任没有履⾏到位的⻛险。
#### 10.定级备案了是否就被监管了？
    没有定级备案并不代表不会被监管。通过⾃评估达到⼆级及以上的保护对象，均应尽快组织专家开展定级评审⼯作，并到属地⽹安进⾏备案。定级备案后监管部⻔会及时发布针对性的安全预警，并根据情况实地指导⽹络安全⼯作，有利于⽹络运营者提升⽹络安全⻛险的应对能⼒，保障单位的声誉，减少经济损失。
#### 11.等级保护⼯作就是做个测评吗？
    等级保护⼯作包括定级、备案、测评、建设整改、监督审查，测评只是其中⼀项。测评不是等保⼯作的结束，重要的是通过测评查漏补缺，不断改进提升安全防护能⼒，降低安全⻛险。
#### 12.等级保护测评做⼀次要多少钱？
    等级保护⼯作属于属地化管理，测评收费⾮全国统⼀价，测评费⽤每个省都有⼀个参考报价标准。因业务系统规模⼤⼩及是否涉及扩展功能测试不同总体测评费⽤也有所差异。如某省的参考报价为：⼆级系统测评费5万，三级系统测评费9万。
#### 13.等保测评后就要花很多钱做整改吗？
    不⼀定。整改⼯作可根据⽹络运营者对测评结果分数的期望和现有安全防护措施的实际效果是否能保障业务抵抗⻛险的需求按需开展。整改内容也有很多不同⽅向，除安全设备或服务外，安全管理制度、安全策略调整的整改成本并不高，同样也能快速提升安全保障能⼒。
#### 14.过等保要花多少钱？能包过吗？
    等级保护采⽤备案与测评机制⽽⾮认证机制，不存在包过的说法，盲⽬采纳服务商包过的产品与服务套餐往往不是最⾼性价⽐的⽅案。⽹络运营者可结合⾃身实际安全需求与等保测评预期得分，咨询专业的第三⽅安全咨询服务机构来开展等建设⼯作。
#### 15.做了等级测评之后，是否会给发合格证书？
    测评后⽆合格证书。等级保护采⽤备案与测评机制⽽⾮认证机制，在属地⽹安备案后可获得《信息系统安全等级保护备案证明》，测评⼯作完成后会收到具有法律效率的“测评报告（⾄少要加盖测评机构公章和测评专⽤章，新增防伪码要求）”。
#### 16：如何快速理解等保2.0测评结果？
    等级保护2.0测评结果包括得分与结论评价；得分为百分制，及格线为70分；结论评价分为优、良、中、差四个等级。
![](/images/1/5/0.png)
#### 17.不同公司的业务系统整合后是否可以算⼀个系统？
    不同公司作为两个独⽴承担法律的主体单位，必须明确唯⼀的备案主体，不能算⼀个系统。同⼀单位的业务系统，如确实经过改造，入口、后台、业务关联性、重要程度等符合《GB/T22240-2020信息系统安全网络安全等级保护定级指南》要求可以算作⼀个系统。
#### 18.如何判定属于移动安全扩展要求？
    当业务系统要满⾜具有专用APP、通过特定⽹络连接、具备专用移动终端时参照移动互联扩展要求。
#### 19.业务系统在云上，安全是云平台负责的吧？
    根据《信息安全技术⽹络安全等级保护基本要求》（GB/T22239-2019）附录D，云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后，云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。也就是说云平台承担的是云平台的安全责任，部署在云平台上的系统或数据所有者，应对该系统或数据承担⽹络安全保护责任。
#### 20.做完等级保护测评后整改周期是多久？
    虽无明确规定。但测评报告⼀般是整改达标后才出具，除非可以接受结论为“差”的报告或不在乎分数。另外，等保⼯作本身就是为了提升网络安全防护水平，尤其是测评中发现的高风险建议立刻克服困难，抓紧整改。不少单位就是因为“高风险”问题没及时整改而中招，导致单位承受了巨⼤的经济和声誉损失。
#### 22.业务系统在内/专网，还需要做等保吗？
    需要。内网与专网的非涉密系统都属于等级保护范畴，虽然内/专网相对于互联网，业务系统的⽤户比较明确或可控，但内网不代表安全。
#### 23.等级保护测评结论不符合是不是等级保护⼯作就白做了？
    不是。等级保护测评结论为“差”，表示⽬前该信息系统存在高危风险或整体安全性较差，没有达到相应标准要求。但是这并不代表等级保护⼯作白做了，即使你拿着不符合的测评报告，主管单位也是承认你们单位今年的等级保护⼯作已经开展过了，只是⽬前的问题较多，没达到相应的标准，需要抓紧整改。
#### 24.拿什么证明开展过等级保护⼯作？
    ⼀般情况是备案证明和测评报告，测评报告应加盖测评机构公章和测评专⽤章。
#### 25.系统在云上，还要做等保吗？
    要做。业务上云有多种情况，如在公有云、私有云、专有云等不同属性的云上，并采⽤IaaS、PaaS、SaaS、IDC托管等不同服务，虽然安全责任边界发⽣了变化，但⽹络运营者的安全责任不会转移。根据“谁运营谁负责、谁使⽤谁负责、谁主管谁负责”的原则，应承担⽹络安全责任进⾏等级保护⼯作。
#### 26.购买了符合等保要求的安全设备就能有效抵御⽹络⻛险？
    设备只是⼯具，是否能抵御⻛险，还有看怎么⽤！不少单位花钱买了安全设备，但缺乏技术⼈员⽀持，或者安全意识淡薄，安全产品不仅起不到安全作⽤，反⽽会影响业务连续性。
#### 27.做完等级测评就没有安全问题了？
    很多⼈认为，完成等保测评就万事⼤吉了。其实，不然。等保测评标准只是基线的要求，通过测评、整改，落实等级保护制度，确实可以规避⼤部分的安全⻛险。但是，安全是⼀个动态⽽⾮静⽌的过程，不是通过⼀次测评，就可以⼀劳永逸的。企业通过落实等保安全要求，并严格执⾏各项安全管理的规章制度，基本能做到系统的安全稳定运⾏。但依然不能百分百保证系统的安全性。因此，要通过等级保护测评⼯作开展，以“⼀个中⼼、三重防护”好“三化六防”等为指导，不断提升⽹络攻防能⼒。
#### 28.哪些⾏业需要做等保？（各⾏各业都需要）
    政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等。
    金融行业：金融监管机构、各⼤银行、证券、保险公司等。
    医疗行业：医院、疫病控制中心、计划⽣育机构、医疗卫⽣研究机构等。
    教育行业：高校、职校、普教等。
    电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等。
    能源行业：电力公司、石油公司等。
    企业单位：大中型企业、央企、上市公司等。
    其他单位：有信息系统定级需求的⾏业与单位。

网络安全等级保护客户常见问答

## 等级保护标准
    中华人民共和国网络安全法
    网络安全等级保护条例
    公安部《贯彻落实网络安全等保制度和关保制度的指导意见》
    GB 50174-2008 信息安全技术 机房设计规范
    上海市网络安全等级保护测评指标选取参考
    TRIMPS-JSGF-003：2024 网络安全服务认证技术规范-等级保护测评
    信息安全技术 网络安全等级保护【安全设计技术要求 GBT25070-2019】
    信息安全技术 网络安全等级保护【测试评估技术指南 GB∕T 36627-2018】
    信息安全技术 网络安全等级保护【测评过程指南 GB∕T 28449-2018】
    信息安全技术 网络安全等级保护【测评高风险判定指引-2020版】--即将更新为2024版
    信息安全技术 网络安全等级保护【定级指南 GBT 22240-2020】
    信息安全技术 网络安全等级保护【基本要求 GB∕T 22239-2019】
    信息安全技术 网络安全等级保护【测评要求 GB∕T 28448-2019】
    信息安全技术 网络安全等级保护【实施指南 GB∕T 25058-2019】
    信息安全技术 网络安全等级保护【测评过程指南 GB∕T 28449-2018】
    信息安全技术 网络安全等级保护【定级指南 GBT 22240-2020】
## 下载地址
    网盘链接：http://uk.frp.one:21818/share/detail/2fe14dde-6701-48f4-5b91-2ea7e358edb3
    提取码：s8av