無論是多部網(wǎng)絡安全法律法規(guī)的出臺，還是最近的“滴滴被安全審查”事件，我們聽得最多的一個詞，就是“等保?！?/p>

??

只要你接觸安全類工作，聽得最多的一個詞，一定是“等保。”

那么，到底什么是“等?！蹦?

等保，全稱叫“信息安全等級保護”，它是一種強制性的標準。簡單地說，一些特定的行業(yè)或者企業(yè)，如果沒有過等保，就不讓經(jīng)營。

比如互聯(lián)網(wǎng)醫(yī)療行業(yè)，想取得線上診療資質(zhì)，就必須過等保。

211、985大學的互聯(lián)網(wǎng)+教育，比如學生管理系統(tǒng)、學校官網(wǎng)等，也必須過等保。

之所以很多行業(yè)，需要過等保，只有一個目的：保護信息安全。

試想一下，如果互聯(lián)網(wǎng)金融行業(yè)，不過等保，會是什么后果。

?[[417358]]?

一些沒有實力的企業(yè)，很輕易的進入互聯(lián)網(wǎng)金融行業(yè)，隨意搞一個漏洞百出的軟件，用戶所填寫的姓名、手機號、身份證，甚至是人臉信息，很容易被竊取。

這些可能還不算什么，更嚴重的，還可能威脅國家安全。

等保的作用就體現(xiàn)出來了。

經(jīng)過定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段，全方位測評企業(yè)的信息系統(tǒng)安全，不合格不讓經(jīng)營。

雖然過等保不能保證信息系統(tǒng)的絕對安全。但無疑會提高遭遇攻擊，以及信息泄露的門檻。

????

等保到底在“?！笔裁?

等保評級，會從七個維度進行測評。

1. 物理安全

物理安全包含物理位置的選擇、物理訪問控制、防火、防盜、防破壞、防雷擊、防水防潮、防靜電、溫濕度控制、電力供應電磁防護。

簡單的舉個例子，網(wǎng)站的服務器不能隨意放置，機房必須具備防震、防風、風雨等功能，最次的也要符合當?shù)氐目拐鹪O防標準。而且位置不能在地下室、也不能在頂層。

再比如機房的入口有沒有安排專門的人員值守、控制、鑒別和記錄進出的人員等等。

這些都是物理安全的評測范圍。

2. 網(wǎng)絡安全

網(wǎng)絡安全包括結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡設備防護幾項。

這一部分比較容易理解。業(yè)務高峰期，必須擁有足夠的帶寬，保證服務器不會宕機。對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行記錄等等。

3. 主機安全

主機安全包括身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制等。

這一部分要求企業(yè)應對登錄操作系統(tǒng)和數(shù)據(jù)庫的用戶，進行身份標識和鑒別，啟用訪問控制功能，控制用戶對資源的訪問。

還要能夠檢測和記錄對重要服務器的入侵行為，如入侵的源IP、攻擊類型、攻擊目的、攻擊事件等等。

4. 應用與數(shù)據(jù)安全

包含應用安全和數(shù)據(jù)安全及備份恢復。

要求企業(yè)提供異地數(shù)據(jù)備份、本地數(shù)據(jù)備份等，還規(guī)定了備份頻率，滿足災難恢復策略的要求。

5. 制度與人員安全

這一部分是總體要求，對于安全相關的各類活動都要有相應的制度規(guī)范，比如機房管理、保密制度等。

6. 系統(tǒng)建設管理

這一部分企業(yè)能做的不多。雖然企業(yè)可以自己組織專家組為系統(tǒng)定級，但由于成本和復雜度等因素，一般會聘請第三方專家來為系統(tǒng)定級。

第三方專家對總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃等進行論證和審定。

7. 系統(tǒng)運維管理

等保要求企業(yè)要制定專門的人員，對機房供配電、空調(diào)等設施進行維護管理，保護機房安全。具體所需要的要求也非常多。

以上七個部分的內(nèi)容，只是簡單的提了一下，實際上真正的等保測評非常復雜，而且事無巨細。

??

等保一共分五個等級，一般來說企業(yè)做最多的是二級等保和三級等保。畢竟很少有企業(yè)會涉及到國家安全層面。