什么是网络信息安全等级保护测评?

等保测评的全名是网络信息安全等级保护测评，是经国家公安部验证的具备资质证书的测评组织，根据我国网络信息安全等级保护标准要求，受相关企业授权委托，依照相关规范化管理和标准规范，对信息系统安全性等级保护情况开展检测评估的主题活动。

测评基本內容

对信息系统安全性等级保护情况开展检测评定，应包含2个层面的內容：一是安全控制测评，关键测评网络信息安全等级保护规定的基本上安全控制在信息系统中的执行配备状况;二是系统软件整体测评，关键测评剖析信息系统的整体安全系数。在其中，安全控制测评是信息系统整体安全性测评的基本。

对安全控制测评的叙述，应用测评模块方法机构。测评模块分成安全生产技术测评和安全管理测评两类。

安全生产技术测评：包含物理安全性、网络信息安全、软件系统 安全性、运用安全性和网络信息安全等五个方面上的安全控制测评。

安全管理测评：包含安全管理组织、安全管理规章制度、工作人员安全管理、系统软件建设管理和运维服务管理方法等五个层面的安全控制测评。

本文内容经过考证，整理和改编，部分出处:https://www.tianxiacloud.com/news/

了解更多

等级保护多久需要测评一次?二级三级各有不同

大家知道三级系统、二级系统分别几年一测吗？时代新威致力于网络安全等级保护，为您介绍等级保护测评的工作周期。一般情况下，三级信息系统每年需测评一次，二级信息系统每两年需测评一次。

具体相关要求：

第十四条信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。

经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。

第十五条已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

关于网络安全等级保护测评漏扫和渗透相关规定

根据《信息安全技术信息系统安全等级保护测评过程指南》7.2.2.4工具测试相关规定：

输入：测评指导书，技术安全测评的网络、主机、应用测评结果记录表格。任务描述：

a)根据测评指导书，利用技术工具对系统进行测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。

b)备份测试结果。

下面列出对不同等级信息系统在测评实施时的不同强度要求

一级：满足GB/T22239-2008中的一级要求。

二级：满足GB/T22239-2008中的二级要求，针对主机、服务器、关键网络设备、安全设备等设备进行漏洞扫描等。

三级：满足GB/T22239-2008中的三级要求，针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描，针对应用系统完整性和保密性要求进行协议分析，渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。

四级：满足GB/T22239-2008中的四级要求，针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描，针对应用系统完整性和保密性要求进行协议分析，渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。输出/产品：技术安全测评的网络、主机、应用测评结果记录，工具测试完成后的电子输出记录，备份的测试结果文件。

二级信息系统在等级保护测评过程中至少有一次漏扫，并出具相应的漏扫报告，报告中不能有高危漏洞；

三级信息系统在等级保护测评过程中至少有一次漏扫和渗透测试，并出具相应的漏扫报告和渗透测试报告，报告中皆不能有高危漏洞；

在测评过程中若客户不想做漏扫和渗透测试，客户需要写一份声明，声明内容中要明确客户放弃本次漏扫和渗透测评，有问题自己负责等条款。

等级保护测评的重要性，原来大家都知道

等级保护测评是指按照国家关于信息安全的法律、法规、标准和规范，对相关单位信息系统进行风险评估和安全检查的活动。它是网络安全领域中的一种重要的测评方法，用于评估网络系统在面临各种安全威胁时的抵御能力。等级保护测评的基本思想是通过定量化的方式，对网络系统的安全性进行评估，以确保其在受到攻击时能够保持安全、可靠、可用和可扩展。

等级保护测评通常包括以下几个步骤：

1.安全扫描：进行安全扫描，以检测并发现系统中存在的安全漏洞。安全扫描是一种高级的安全检查方法，通过模拟各种安全攻击，检测系统的漏洞和弱点。

2.风险评估：通过对安全扫描结果进行分析，确定系统中存在的风险和威胁。风险评估是一个关键步骤，它有助于确定系统中最脆弱的环节，从而有针对性地进行加固和保护。

3.等级划分：根据风险评估结果，对系统进行等级划分。等级保护测评将系统划分为多个等级，从一级到五级，依次从高到低。其中一级和二级被广泛应用于军事、政府等部门；三级适用于涉及商业机密和大量个人敏感信息的企业或组织；四级适用于涉及一般个人信息的企业或组织，并且五级适用于一般的互联网公司等。每个等级的安全性要求不同，等级越高，安全性要求越高。不同等级的测评内容、要求以及评估方式都各有不同。例如，一级和二级需要进行更为深入的漏洞挖掘和渗透测试，并采用更为严格的安全措施。

4.加固措施：根据等级划分结果，对系统中存在的安全隐患和风险进行加固。加固措施包括修补漏洞、加固权限、控制访问等。

5.监测与预警：对系统的安全性进行持续监测，及时发现和报告安全事件。同时，建立预警机制，预先识别和防范可能出现的安全威胁。

总之，等级保护测评是一个动态的过程，需要不断更新和改进。在等级保护测评过程中，需要考虑多种因素，如安全威胁的变化、技术的升级和预期的业务需求等。等级保护测评的结果将直接影响网络系统的安全性和可靠性，因此，企业和用户都应该高度重视等级保护测评工作。等级保护测评也是网络安全领域中不可或缺的一环，它可以帮助企业和用户识别和防范安全威胁，确保网络系统的安全、可靠和可用。随着网络技术的不断发展和变化，等级保护测评也需要不断更新和改进，以适应新的安全威胁和业务需求。

网络安全等级保护测评

什么是等保

“等保”，即信息安全等级保护，是我国网络安全领域的基本国策、基本制度。早在2017年8月，公安部评估中心就根据网信办和信安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《信息安全技术网络安全等级保护基本要求》一个标准。(GB/T22239—2019代替GB/T22239-2008)该标准于2019年5月10日发布，于2019年12月1日开始实施。

为什么要做等保

1、安全标准：信息安全等级保护（简称等保）是目前检验一个系统安全性的重要标准，是对系统是否满足相应安全保护的评估方法。

2、法律要求：《网络安全法》和《信息安全等级保护管理办法》明确规定网络运营者应当履行安全保护义务，如果拒不履行，将会受到相应处罚。

3、自我检查：开展等保可对系统进行一次全面检测，全面发现系统内部的安全隐患与不足之处。

等保包含哪些内容

等保是一个全方位系统安全性标准，不仅仅是程序安全，包括：物理安全、应用安全、通信安全、边界安全、环境安全、管理安全等方面。

【物理安全】机房物理访问控制、防火，防雷击，温湿度控制、电力供应，电磁防护。

【应用安全】应用具备身份鉴别、访问控制、安全审计、剩余信息保护、软件容错、资源控制和代码安全。

【通信安全】包括网络架构，通信传输，可信验证。

【边界安全】包括边界防护，访问控制，入侵防范，恶意代码防护等。

【环境安全】入侵防范，恶意代码防范，身份鉴别，访问控制，数据完整性、保密性，个人信息保护。

【管理安全】系统管理，审计管理，安全管理，集中管控。

等保1.0、2.0有什么区别

【等保1.0】以1994年国务院颁布的147号令《计算机信息系统安全保护条例》为指导标准，以2008年发布的《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》为指导的网络安全等级保护办法，业内简称等保，即目前的等保

1.0。

【等保2.0】以《中华人民共和国网络安全法》为法律依据，以2019年5月发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》为指导标准的网络安全等级保护办法，业内简称等保2.0。

【1.0、2.0的区别】

等保分五个级别，越高安全性越好，其中：

【等保一级】等保一级为“用户自主保护级”，是等保中最低的级别，该级别无需测评，提交相关申请资料，公安部门审核通过即可。

【等保二级】等保二级为“系统审计保护级”，是目前使用最多的等保方案，所有“信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。”范围内网站均可适用，可支持到地级市各机关、事业单位及各类企业的系统应用，比如：网上各类服务的平台（尤其是涉及到个人信息认证的平台），市级地方机关、政府网站等等。

【等保三级】等保三级等为“安全标记保护级”，级别更高，支持“信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。”范围，适用于“地级市以上的国家机关、企业、事业单位的内部重要信息系统”，比如省级政府官网、银行官网等等。三级等保也是我们能制作的最高级别等保网站。

【等保四级】等保四级等保适用于国家重要领域、涉及国家安全、国计民生的核心系统，比如中国人民银行就是目前唯一四级等保的中国央行门户集群。

【等保五级】等保五级等保是目前我国最高级别，一般应用于国家的机密部门。

等保测评流程

等保包括五个阶段：

1、定级、2、备案、3、建设整改、4、等级测评、5、监督检查。定级对象（即需要过等保的对象）建设整改后，需要选择符合国家要求的测评机构，按《网络安全等级保护基本要求》等技术标准进行等级测评，之后向监管单位提交测评报告。

等保是法律要求

《网络安全法》和《信息安全等级保护管理办法》明确规定信应履行安全保护义务，如果拒不履行，将会受到相应处罚。

以下节选自《中华人民共和国网络安全法》：

第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改

第三十八条：关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

第五十九条：网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。