無論是多部網(wǎng)絡(luò)安全法律法規(guī)的出臺，還是最近的“滴滴被安全審查”事件，我們聽得最多的一個詞，就是“等保?！?/p>

??

只要你接觸安全類工作，聽得最多的一個詞，一定是“等保?！?/p>

那么，到底什么是“等?！蹦?

等保，全稱叫“信息安全等級保護(hù)”，它是一種強(qiáng)制性的標(biāo)準(zhǔn)。簡單地說，一些特定的行業(yè)或者企業(yè)，如果沒有過等保，就不讓經(jīng)營。

比如互聯(lián)網(wǎng)醫(yī)療行業(yè)，想取得線上診療資質(zhì)，就必須過等保。

211、985大學(xué)的互聯(lián)網(wǎng)+教育，比如學(xué)生管理系統(tǒng)、學(xué)校官網(wǎng)等，也必須過等保。

之所以很多行業(yè)，需要過等保，只有一個目的：保護(hù)信息安全。

試想一下，如果互聯(lián)網(wǎng)金融行業(yè)，不過等保，會是什么后果。

?[[417358]]?

一些沒有實力的企業(yè)，很輕易的進(jìn)入互聯(lián)網(wǎng)金融行業(yè)，隨意搞一個漏洞百出的軟件，用戶所填寫的姓名、手機(jī)號、身份證，甚至是人臉信息，很容易被竊取。

這些可能還不算什么，更嚴(yán)重的，還可能威脅國家安全。

等保的作用就體現(xiàn)出來了。

經(jīng)過定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查五個階段，全方位測評企業(yè)的信息系統(tǒng)安全，不合格不讓經(jīng)營。

雖然過等保不能保證信息系統(tǒng)的絕對安全。但無疑會提高遭遇攻擊，以及信息泄露的門檻。

????

等保到底在“?！笔裁?

等保評級，會從七個維度進(jìn)行測評。

1. 物理安全

物理安全包含物理位置的選擇、物理訪問控制、防火、防盜、防破壞、防雷擊、防水防潮、防靜電、溫濕度控制、電力供應(yīng)電磁防護(hù)。

簡單的舉個例子，網(wǎng)站的服務(wù)器不能隨意放置，機(jī)房必須具備防震、防風(fēng)、風(fēng)雨等功能，最次的也要符合當(dāng)?shù)氐目拐鹪O(shè)防標(biāo)準(zhǔn)。而且位置不能在地下室、也不能在頂層。

再比如機(jī)房的入口有沒有安排專門的人員值守、控制、鑒別和記錄進(jìn)出的人員等等。

這些都是物理安全的評測范圍。

2. 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全包括結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)幾項。

這一部分比較容易理解。業(yè)務(wù)高峰期，必須擁有足夠的帶寬，保證服務(wù)器不會宕機(jī)。對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行記錄等等。

3. 主機(jī)安全

主機(jī)安全包括身份鑒別、訪問控制、安全審計、剩余信息保護(hù)、入侵防范、惡意代碼防范、資源控制等。

這一部分要求企業(yè)應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫的用戶，進(jìn)行身份標(biāo)識和鑒別，啟用訪問控制功能，控制用戶對資源的訪問。

還要能夠檢測和記錄對重要服務(wù)器的入侵行為，如入侵的源IP、攻擊類型、攻擊目的、攻擊事件等等。

4. 應(yīng)用與數(shù)據(jù)安全

包含應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)。

要求企業(yè)提供異地數(shù)據(jù)備份、本地數(shù)據(jù)備份等，還規(guī)定了備份頻率，滿足災(zāi)難恢復(fù)策略的要求。

5. 制度與人員安全

這一部分是總體要求，對于安全相關(guān)的各類活動都要有相應(yīng)的制度規(guī)范，比如機(jī)房管理、保密制度等。

6. 系統(tǒng)建設(shè)管理

這一部分企業(yè)能做的不多。雖然企業(yè)可以自己組織專家組為系統(tǒng)定級，但由于成本和復(fù)雜度等因素，一般會聘請第三方專家來為系統(tǒng)定級。

第三方專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃等進(jìn)行論證和審定。

7. 系統(tǒng)運維管理

等保要求企業(yè)要制定專門的人員，對機(jī)房供配電、空調(diào)等設(shè)施進(jìn)行維護(hù)管理，保護(hù)機(jī)房安全。具體所需要的要求也非常多。

以上七個部分的內(nèi)容，只是簡單的提了一下，實際上真正的等保測評非常復(fù)雜，而且事無巨細(xì)。

??

等保一共分五個等級，一般來說企業(yè)做最多的是二級等保和三級等保。畢竟很少有企業(yè)會涉及到國家安全層面。