一个文章告诉你怎么做等保（信息安全等级保护）！

一、什么是等保/p>

“等保”，即信息安全等级保护，是我国网络安全领域的基本国策、基本制度。早在2017年8月，公安部评估中心就根据网信办和信安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《信息安全技术 网络安全等级保护基本要求》一个标准。(GB/T 22239—2019代替 GB/T 22239-2008)该标准于2019年5月10日发布，于2019年12月1日开始实施。

二、为什么要做等保/p>

1、安全标准：信息安全等级保护（简称等保）是目前检验一个系统安全性的重要标准，是对系统是否满足相应安全保护的评估方法。

2、法律要求：《网络安全法》和《信息安全等级保护管理办法》明确规定网络运营者应当履行安全保护义务，如果拒不履行，将会受到相应处罚。

3、自我检查：开展等保可对系统进行一次全面检测，全面发现系统内部的安全隐患与不足之处。

三、等保包含哪些内容/p>

等保是一个全方位系统安全性标准，不仅仅是程序安全，包括：物理安全、应用安全、通信安全、边界安全、环境安全、管理安全等方面。

【物理安全】
　　 　　机房物理访问控制、防火，防雷击，温湿度控制、电力供应，电磁防护。

【应用安全】
　　　　 应用具备身份鉴别、访问控制、安全审计、剩余信息保护、软件容错、资源控制和代码安全。

【通信安全】
　　　　 包括网络架构，通信传输，可信验证。

【边界安全】
　　　　 包括边界防护，访问控制，入侵防范，恶意代码防护等。

【环境安全】
　　　　 入侵防范，恶意代码防范，身份鉴别，访问控制，数据完整性、保密性，个人信息保护。

【管理安全】
　　 　　系统管理，审计管理，安全管理，集中管控。

四、等保1.0、2.0有什么区别/p>

【等保2.0】
　　 　　以《中华人民共和国网络安全法》为法律依据，以2019年5月发布的《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》为指导标准的网络安全等级保护办法，业内简称等保2.0。

【等保1.0】
　　 　　以1994年国务院颁布的147号令《计算机信息系统安全保护条例》为指导标准，以2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》为指导的网络安全等级保护办法，业内简称等保，即目前的等保 1.0。

【1.0、2.0的区别】

等保2.0提出新的技术要求和管理要求，强调“一个中心，三重防护”，关键点包括可信技术、安全管理中心，以及云计算、物联网等新兴领域的安全扩展要求。对应地，企业在安全防护体系建设、风险评估和管理上需要更加全面，并需关注所在行业的安全要求和定级标准。

五、等保分几个级别/p>

等保分五个级别，越高安全性越好，其中：

【等保一级】
　　 　　等保一级为“用户自主保护级”，是等保中最低的级别，该级别无需测评，提交相关申请资料，公安部门审核通过即可。

【等保二级】
　　 　　等保二级为“系统审计保护级”，是目前使用最多的等保方案，所有“信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。”范围内网站均可适用，可支持到地级市各机关、事业单位及各类企业的系统应用，比如：网上各类服务的平台（尤其是涉及到个人信息认证的平台），市级地方机关、政府网站等等。

【等保三级】
　　 　　等保三级等为“安全标记保护级”，级别更高，支持“信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。”范围，适用于“地级市以上的国家机关、企业、事业单位的内部重要信息系统”，比如省级政府官网、银行官网等等。三级等保也是我们能制作的最高级别等保网站。

【等保四级】
　　 　　等保四级等保适用于国家重要领域、涉及国家安全、国计民生的核心系统，比如中国人民银行就是目前唯一四级等保的中国央行门户集群。

【等保五级】
　　 　　等保五级等保是目前我国最高级别，一般应用于国家的机密部门。

六、等保测评流程是怎么样的/p>

等保包括五个阶段：1、定级、2、备案、3、建设整改、4、等级测评、5、监督检查。定级对象（即需要过等保的对象）建设整改后，需要选择符合国家要求的测评机构，按《网络安全等级保护基本要求》等技术标准进行等级测评，之后向监管单位提交测评报告。

七、如何开发一个等保的系统/p>

1、程序开发：开发一个满足等保要求的程序是必须的。

2、网络产品：依据需要配备WAF防火墙、DDoS防护、堡垒机、SSL证书、SLS审计日志等产品。

3、管理制度：等保要求建立安全管理制度，该制度需要用户结合自身实际情况自行建立和执行。

4、等保测评：通过等保测评公司名录寻找当地测评公司，注意只需要同省即可，可多咨询几家公司。

八、上哪里采购等保相关的网管产品/p>

WAF防火墙、DDoS防护、堡垒机、SSL证书、SLS审计这些产品哪里买个非常多，比如：阿里、腾讯、景安、华为、快网等都有相关产品销售，多问几家总有合适你的。

九、我开发完程序如何确定程序符合等保安全检测/p>

正式等保通常使用第三方软件进行检测，比如像：卓码软件、绿盟进行测试，当然这些软件是要钱的，那么我们也可以使用免费的像”360网站安全检测“这种免费的通过工具进行检测，还可以使用像”丹靘免费等保检测“这种免费的专业对口等保检测工具进行。

十、最后找哪里找检测公司/p>

依据全国网络安全等级保护测评机构推荐目录去找就行啦，一般同省内，所有检测公司都是有效的。

来源：小吉_yjfkeifk