一、中國網絡安全發展的關鍵時間節點：

1、等級保護標準(國家標準：GB)：

• 1994年2月，國務院發布《中華人民共和國計算機信息系統安全保護條例》（國務院147號令），規定“計算機信息系統實行安全等級保護”的制度框架。

• 2007年6月,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定了《信息安全等級保護管理辦法》（公通字[2007]43號），形成信息安全等級保護的基本理論框架。

• 2008年6月，《GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》標準正式頒布。

• 2014年2月，中央網絡安全和信息化領導小組成立。中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長；李克強、劉云山任副組長。

• 2017年6月1日，《中華人民共和國網絡安全法》正式實施。明確了“國家實行網絡安全等級保護制度”，同時第七十四條明確規定“違反本法規定，給他人造成損害的，依法承擔民事責任。違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。”自此，公安執法部門有了安全執法依據。

• 2019年12月1日，GB/T 22239-2008 等級保護基本要求更新為《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》，針對信息技術的發展對標準要求進行了更新。

2、分級保護標準(保密標準：BMB)：

• 1997年《中共中央關于加強新形勢下保密工作的決定》明確了在新形勢下保密工作的指導思想和基本任務，提出要建立與《保密法》相配套的保密法規體系和執法體系，建立現代化的保密技術防范體系。

• 2004年12月23日中央保密委員會下發了《關于加強信息安全保障工作中保密管理若干意見》明確提出要建立健全涉密信息系統分級保護制度。

• 2005年12月28日，國家保密局下發了《涉及國家秘密的信息系統分級保護管理辦法》。

3、關鍵信息基礎設施網絡安全保護(國家標準：GB，報批中未正式發布)

• 2016年12月，全國信安標委秘書處邀請專家研討《關鍵信息基礎設施網絡安全框架》標準，并討論關鍵信息基礎設施安全保護現狀；

• 2018年06月，全國信安標委秘書處發布《信息安全技術 關鍵信息基礎設施網絡安全保護要求》征求意見稿。

• 2019年11月5日，《信息安全技術 關鍵信息基礎設施網絡安全保護基本要求》(報批稿)完稿。

• 2019年12月3日，《信息安全技術 關鍵信息基礎設施網絡安全保護基本要求》（報批稿）試點工作啟動。

4、信息系統密碼應用基本要求(國家標準：GB，征求意見中未正式發布)

• 2018年2月，國家密碼管理局正式發布實施密碼行業標準《GM:T 0054-2018信息系統密碼應用基本要求》。

• 2018年2月，經國密局批準，行標（GM/T 0054-2018 《信息系統密碼應用基本要求》）升國標《信息安全技術 信息系統密碼應用基本要求》。2018年7月獲得國家標準化管理委員會的立項批準。

• 2019年6月，全國信安標委秘書處發布《信息安全技術 信息系統密碼應用基本要求》征求意見稿。

二、目前網絡安全主要的幾大標準及其差異：

1、分級保護標準(簡稱：分保)

a)管理對象：所有涉及國家秘密的信息系統，重點是黨政機關、軍隊和軍工單位。

b)標準要求文件：

                BMB17《涉及國家秘密的信息系統分級保護技術要求》

                BMB20《涉及國家秘密的信息系統分級保護管理規范》

c)系統定級：根據其涉密信息系統處理信息的最高密級，可以劃分為秘密級、機 密級和機密級（增強）、絕密級三個等級。

d)分級保護標準框架：

e)分級保護部分涉及產品(僅供參考)：屏蔽機房、手機屏蔽柜、保密文件柜、紅黑隔離電源、微機視頻信息保護系統、手機屏蔽儀、主機監控與審計系統、光盤刻錄監控和審計系統、打印監控和審計系統、三合一（違規外聯監控、涉密移動存儲介質使用管控、非涉密信息單向導入）系統、涉密專用優盤、存儲介質信息消除工具、計算機終端保密檢查系統、惡意代碼輔助檢測系統、保密碎紙機、存儲介質銷毀機、身份鑒別系統等等。

2、等級保護標準(簡稱：等保)

a)管理對象：

運營商和服務提供商:電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡，經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。

重要行業:鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息系統。

重要機關:市（地）級以上黨政機關的重要網站和辦公信息系統。

b)標準文件：

GB-T 25070-2019 《信息安全技術 網絡安全等級保護安全設計技術要求》

GB-T 28448-2019 《信息安全技術 網絡安全等級保護測評要求》

GB-T 22240-2020 《信息安全技術 網絡安全等級保護定級指南》

GB-T 22239-2019 《信息安全技術 網絡安全等級保護基本要求》

GB_T 25058-2019 《信息安全技術 網絡安全等級保護實施指南》

c) 系統定級：

信息系統的安全防護共分為以下五個等級：

第一級（自主保護級 ）

信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級（指導保護級 ）

信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級（監督保護級 ）

信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級（強制保護級 ）

信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級（專控保護級 ）

信息系統受到破壞后，會對國家安全造成特別嚴重損害。

d) 等級保護標準體系框架：

e) 等級保護涉及產品(僅供參考)：

3、關鍵信息基礎設施網絡安全保護(簡稱：關基、關保)

a)管理對象：電信、廣播電視、能源、金融、交通運輸、水利、應急管理、衛生健康、社會保障、國防科技等行業和領域中一旦遭到破壞或者喪失功能，會嚴重危害國家安全、經濟安全、社會穩定、公眾健康和安全的業務。

b)標準文件：《信息安全技術 關鍵信息基礎設施網絡安全保護基本要求》2019年11月報批，未正式發布

c)什么是關鍵信息基礎設施(CII:critical information infrastructure)？

支撐關鍵業務持續、穩定運行不可或缺的網絡設施、信息系統。在形態構成上，可以是單個網絡設施、信息系統，也可以是由多個網絡設施、信息系統組成的集合。在本質上，屬于關鍵業務的信息化部分，為關鍵業務提供信息化支撐。

d)關鍵信息基礎設施安全防護能力等級有幾個？

關鍵信息基礎設施安全防護能力依據5個能力域完成程度的高低進行分級評估，包括3個能力等級，從能力等級1到能力等級3，逐級增高，能力等級之間為遞進關系，高一級的能力要求包括所有低等級能力要求。

能力域明確了運營者在關鍵信息基礎設施安全防護所需具備的能力，包括識別認定、安全防護、檢測評估、監測預警、事件處置5個方面的關鍵能力，每個安全能力包含若干能力指標，每個能力指標包含若干評價內容。

能力等級及特征如下表。

表 安全能力等級及特征

e)   關鍵信息基礎設施安全防護能力評價內容及方法是什么？

關鍵信息基礎設施安全防護能力評價包括能力域級別評價、等級保護測評和密碼測評三部分。關鍵信息基礎設施安全防護能力評價前，關鍵信息基礎設施應首先通過相應等級的等級保護測評和相關密碼測評。然后，組織應按照評價內容和評價操作方法開展評價工作，給出對每項評價指標的判定結果和所處級別，得出每個能力域級別，綜合5個能力域級別以及等級保護測評結果得出關鍵信息基礎設施安全防護能力級別。

關鍵信息基礎設施安全防護能力應綜合考慮5個能力域級別與等級保護測評結果。對應能力等級1的關鍵信息基礎設施等級保護測評結果應至少為中；對應能力等級2的關鍵信息基礎設施等級保護測評結果應至少為良；對應能力等級3的關鍵信息基礎設施等級保護測評結果應為優。

4、密碼應用基本要求

a)管理要求：信息系統中的身份鑒別、數據加密、數據簽名等密碼技術功能由密碼算法、密碼技術、密碼產品、密碼服務等提供。從信息系統的物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全的各個層面提供全面整體的密碼應用安全技術支撐，從而保障信息系統的用戶身份真實性、重要數據的機密性和完整性、操作行為的不可否認性。

b)標準文件：行標（GM/T 0054-2018 《信息系統密碼應用基本要求》）升國標《信息安全技術 信息系統密碼應用基本要求》，國標征求意見稿階段，未正式發布。

c)系統定級：

• 第一級，是信息系統密碼應用安全要求等級的最低等級，信息系統管理者可按照業務實際情況自主應用密碼技術應對可能的安全威脅。

• 第二級，是在第一級的等級要求上，要求信息系統具備身份鑒別、數據安全保護的非體系化密碼保障能力，可應對當前部分安全威脅；

• 第三級，是在第二級的等級要求上，要求更強的身份鑒別、數據安全、訪問控制等方面密碼應用技術能力與管理能力，要求信息系統建設有規范、可靠、完整的密碼保障體系，是體系化密碼應用引導性要求；

• 第四級，是在第三級的等級要求上，要求更強的身份鑒別、數據安全、訪問控制等方面密碼應用技術能力與管理能力，信息系統建設有規范、可靠、完整、主動防御的密碼保障體系，是體系化密碼應用的強制要求；

d)基本要求框架：

5、幾大標準關系圖解：

三、網絡安全防護建設過程中的十問：

1、去網安部門做了備案，拿到備案證明，是否等于通過等保？備案后多久需要完成等保測評？

備案證明并不等同于通過等保，備案只是說明你的某個業務系統準備做對應等級的網絡安全防護，通過等級保護測評會由相關部門發放等保測評通過的通知或證書。一般通過三級以上等保測評的通知或證書上都會有證書的有效期，到有效期后需要重新對信息系統進行等保測評；但如果信息系統沒有新的業務或者網絡改造調整等對等保測評項可能有影響的變因，則一般不需要再次進行網絡安全整改。

一個二級或三級的系統現場測評周期一般一周左右，具體時間還要根據信息系統數量及信息系統的規模，以及雙方的配合度等有所增減。小規模安全整改（管理制度、策略配置、技術整改）2-3 周，出具報告時間一周，整體持續周期 1-2 個月。如果整改不及時或牽涉到購買設備，時間不好說，但總的要求一般為一年內要完成。

2、通過等級保護測評以后，是不是不會再出安全事故？

通過等級保護測評只能說明在測評的時候，業務系統達到了對應等級的防護強度，不等于業務系統的“保命符”。畢竟駭客攻擊的時候不會去看系統通沒通過等級保護測評，駭客看的是攻破業務系統本身的難度與其自身的實力的差距，以及攻破業務系統對于其所帶來的經濟或其他價值所產生的“性價比”。

通過等級保護測評后，以下方面有可能導致出現安全事故：

• 駭客能力超過了業務系統所對應等級的防護強度

• 網絡安全防護設計存在不足、網絡安全設備未有效使用或策略設置不當、設備廠商出現漏洞被駭客利用、設備規則庫未及時更新或無法滿足業務系統所需性能等

• 安全管理制度落實不到位、安全管理人員缺乏培訓(安全能力、安全意識不足)、應急演練不足(出現安全事件時不能及時有效應對)等

  
  

3、拿到等保測評通過證書后，一但出現安全事故是否可以規避或減輕追責？

拿到等級測評通過證書不等于拿到了“免死金牌”。按照標準完成了等級保護測評，可以在一定程度地規避風險，不等于拋棄網絡安全責任，也不是將安全責任交給等級保護測評機構或其他第三方。出現安全事故后，安全責任的追責基本為以下幾種情況。

• 等保工作沒有開展，出了網絡安全事故，安全責任肯定是甲方自己去承擔。

• 等保工作開展了，高危風險沒有及時去整改，出了問題，安全責任主要責任也是甲方的。

• 等保工作開展了，測評機構測評不合規，對已有高危風險未檢測出而導致的安全問題，主要責任應當由測評機構承擔，甲方負有次要責任。

• 等保工作開展了，發現的高危風險及其他風險也及時整改了，出了網絡安全事故，主要責任不屬于甲方。

  
  

4、我已經上了安全設備，為什么還會出現出安全事故？

采購部署了安全設備，也不是就把安全漏洞都給完全修復了。網絡安全防護是修“防洪堤”的工程，我們需要保障其合理適度的基礎上，及時根據系統現狀做查漏補缺和技術升級。如果設備上了以后沒有做好以下的幾個方面，安全事故發生的幾率就會加大。

• 網絡安全建設規劃不當：網絡架構不合理；系統安全區域劃分不合理；安全設備部署位置不當；安全設備功能及策略規劃不合理等

• 網絡安全運維管理不足：網絡設備規則庫未及時更新；性能不能滿足業務系統需求未及時更換；信息系統設備及網絡安全設備管理權限不清晰、責任劃分不明確等

• 安全管理執行不到位：安全管理制度浮于形式；網絡安全人員培訓不足，對新型威脅及行業發展動態了解缺乏；應急響應方案設計不當；應急演練進行過少，出現網絡安全事件時反應不當、反應不及時等。

5、應該如何選擇安全廠商的產品？

網絡安全建設實踐過程中，我們應從等保合規和業務系統實際安全風險兩個角度區選擇產品：

• 當信息系統相較無特殊安全風險時，產品的選擇基本遵從等保合規的角度出發，選擇有相關認證證書的產品優先。如“計算機信息系統安全專用產品銷售許可證”，“中國國家信息安全產品認證證書”，“計算機軟件著作權登記證書”，“信息技術產品安全分級評估”，“涉密信息系統產品檢測證書”，“軍用信息安全產認證證書”等；大部分主流安全廠商常規合規產品基本都能滿足，如啟明星辰、天融信、網御星云、奇安信(原360企業安全)、深信服等。

• 當信息系統有特殊安全風險時，產品除了滿足等保合規的基礎上，也要考慮特殊安全風險的防護，而這些特殊防護需求的安全防護設備是一些主流廠商沒有或者不具優勢的。如業務系統數據庫中有公民個人信息，而業務系統有外包開發或對外提供公民個人數據印證等情況，則涉及到數據脫敏相關設備；信息系統覆蓋范圍大、信息端口多，存在非法設備內聯網絡的風險，則涉及到網絡準入相關設備；如業務系統操作者操作責任關聯現實身份較強，涉及到操作失誤后操作者身份的認定，身份鑒別需求較高，則涉及到CA數字證書相關設備等。

6、網絡完全建設時，是采購同一廠商的產品比較好，還是采購不同廠商的產品比較好？

• 網絡安全建設時，采購同一廠商同一品牌的產品好處在于后期安全運維難度較小、后續安全服務保障更好，會一定程度的降低安全管理人員的能力需求和運維壓力；缺點是該廠商出現安全漏洞時安全風險加大，廠商服務不到位時替換成本較高，依賴性強等。

采購不同廠商的產品好處在于差異化防護，有效避免個別廠商出現安全漏洞時的安全風險，對廠商服務的依賴性降低，可以比較不同廠商的產品和服務，增加選擇空間；缺點是對安全管理人員的能力及精力需求較高，出現安全事故時可能無法判定出現安全風險的設備，互相推諉攻擊等。

故而采購設備時應綜合考慮①單位信息安全管理人員編制數量；②單位信息安全管理人員能力及培養規劃；③意向廠商產品業內認可度；④意向廠商本地化服務能力或經銷商本地化服務能力等因素，綜合判斷后來選擇采購方式。

7、在預算有限的情況下，該如何合理的進行網絡安全防護建設？

在預算有限的情況下，我們需要先對單位的信息系統現狀、未來3~5年單位的信息系統建設規劃、單位業務系統安全風險點進行綜合調研后，做好安全建設規劃。先對網絡架構進行優化，明確不同安全區域間的安全風險及安全防護策略需求，區分重點安全防護風險以匹配對應產品，非高風險防護產品列入后續安全建設規劃(避免重復建設)，購買性能合適的產品(避免設備性能不足影響安全防護效果，性能過高造成資金浪費)。

8、在對產品性能指標不太了解的情況下，該選擇什么性能的產品？

對各種產品性能指標了解不足的情況下，選擇產品可以通過咨詢相關產品技術人員、業內專家、實際產品測試等方式選擇。通用等保合規產品的主要選型要素如下：

• 下一代防火墻：主要為吞吐量、應用層吞吐量、并發連接數、每秒新建連接數，主要考慮設備部署位置實際業務數據帶寬。需注意的是吞吐量參數不等同于實際可管理帶寬能力，不同廠商的相同吞吐量設備，因廠商設備硬件配置差異、軟件優化差異等存在一定差異；特別是當下一代防火墻開啟入侵防御、病毒查殺、VPN等功能后，其實際防護流量大幅下降的情況下。在無法有效判斷的情況下，可以考慮設備測試后再行采購。

• 上網行為管理：主要為可管理帶寬(推薦帶寬)、最大可管理人數，主要考慮互聯網出口帶寬及互聯網訪問人數。

• 堡壘主機、日志審計：主要為授權管理設備數，主要考慮需管理的網絡設備及系統數量。

9、供應商提供一份產品采購清單后，承諾一定可以通過等保測評，是否可信？

基本不可信。等級保護測評是有其測評標準、測評項權重及算分標準的，在對業務系統進行全面的測試、判定高風險項并改善、通過算分得出判定結論前，是無法判定業務系統通過的。不過由于等級保護是按照標準要求來進行測評的，故而有經驗的專業網絡安全建設商或測評人員可以依照以往客戶建設/測評經驗以及對產品及信息系統的了解，初步判斷系統中的高風險項、風險點推薦匹配產品，以期達成或超過預期的分數。從而在等級保護測評時，就算有部分風險點未得以改善的情況下，也可以達成或超過通過等級保護測評的分數。

這也是先測評再整改還是先整改再測評的關鍵點所在。

• 先測評再整改：可以根據等級保護測評機構現場初測后的專業建議進行整改，有的放矢。但如單位本身風險較大、較多的情況，涉及到設備采購，需要方案立項、申請預算、招投標、合同供貨等流程后，等保測評機構再次測試通過才可以取得測評通過證書。適合于對通過測評時間不迫切，本身網絡安全建設了解不足、無專業人員協助網絡安全建設規劃的單位。

• 先整改再測評(測評、整改同時進行)：通過專業人員/專家的指導協助，提前對網絡安全風險點進行加固，爭取等級保護測評機構現場測評時一次通過。但需要單位本身對網絡安全建設標準由一定的了解，指導協助的專業人員不光對政策標準有足夠的研究，且對網絡安全建設有足夠的項目經驗。適合于通過測評時間有要求，自身對網絡安全建設標準有一定的研究或有適合的專業人員協助的單位。

10、為什么不同供應商提供的方案清單會有不同，有的所采購的產品不同，有的同一產品采購的數量不同？

由于等級保護測評機構時根據標準要求測評項進行測評，測評的只是有沒有實現相關的安全防護要求，而非部署什么產品，其提供的整改建議也以差距分析、需整改項為主。故而即使有等級保護測評機構的整改建議，不同供應商提供網絡安全建設清單的時候，根據其對政策標準、信息系統了解的不同，以及其對產品、安全區域間安全防護能力理解的差異。以下一代防火墻的部署為例：

• 同樣要達成“網絡區域邊界”要求中的“邊界防護”“訪問控制”“入侵防范”，是采用“下一代防火墻+開啟入侵防御模塊”(設備+模塊)僅采購一臺設備的方式，還是采用“下一代防火墻+入侵防御系統”(設備+設備)采購兩臺設備的方式，就需要結合業務系統的實際情況以及相關廠商設備的功能性能實現來決定。在這需要說明一點，廠商的網絡安全設備都是由硬件+軟件組成，其實際性能取決于所配置硬件的基礎算力和軟件算法優化的程度決定的。采用“設備+模塊”必然對設備的性能有所影響。而采用“設備+設備”由于兩臺設備的硬件都是為自身軟件服務，性能上有保障。另外由于采用“開啟入侵防御模塊”的方式，其軟件模塊在安全防護功能的實現深度上必然不如單獨的“入侵防御系統設備”。不過采用“設備+模塊”的方式由于出口網絡僅串聯一臺設備，故而其出現單點故障的幾率和產品性價比上要優于采用“設備+設備”的方式。

結論：采用“設備+模塊”的方式，在產品性能及安全功能實現細節上要遜于“設備+設備”的方式，但在設備故障幾率和價格上要優于“設備+設備”的方式。“設備+模塊”的方式適用于網絡安全防護流量較小、安全預算較少、對安全防護能力要求較低的單位；而“設備+設備”的方式適用于網絡安全防護流量較大、安全預算充足、對安全防護能力要求較高的單位。

• 互聯網出口、上/下級網絡聯網出口、服務器前端都部署下一代防火墻是不是為了多上設備坑預算，等保標準又沒有明確要部署。實際上不同位置的實現的功能效果及部署策略都是不同的，互聯網出口的防火墻主要過濾和防御來自互聯網的未知來源威脅，訪問的業務相對較復雜，需要設置的防護策略相對較復雜、較難屏蔽安全風險因素；而上下級網絡由于相對較安全，其訪問來源可控，訪問業務較明確，需要設置的防護策略相對較簡單明了、比較容易屏蔽來自上下級網絡的安全風險因素；而服務器前端部署防火墻，由于服務器業務訪問的地址、端口、協議等相對比較清晰簡明，在做安全防護策略時可以有針對性的屏蔽非業務訪問，有效堵截攻擊者的攻擊手段。