等保2.0实施方案
一、等保 2.0 基础概述1. 定义与法律依据等保 2.0 即网络安全等级保护 2.0 制度2019 年 12 月 1 日正式实施核心国标《GB/T 22239-2019 网络安全等级保护基本要求》依据《网络安全法》第 21 条属于全国强制合规制度所有政企、事业单位信息系统必须落地。2. 与等保 1.0 核心升级区别对比维度等保 1.02008 旧标准等保 2.02019 现行标准覆盖对象仅传统服务器、内网业务系统全覆盖传统系统 云、大数据、物联网、工控、移动 APP、小程序、第三方接口平台核心架构物理、网络、主机、应用、数据 5 层分散防护统一标准架构一个中心、三重防护强制纵深防御法律效力行业推荐无强制处罚写入法律未备案、未测评可责令停业、行政处罚安全维度偏重技术设备防护技术 管理 数据安全三位一体新增数据加密、脱敏、个人信息保护硬性条款管理要求制度仅纸面要求无落地强制记录全流程留痕培训、演练、权限变更、漏洞修复必须留存纸质 / 系统台账测评规则打分宽松高风险可延后整改核心控制点缺失一票否决三级及以上高危漏洞零容忍3. 完整标准体系通用基础GB/T22239-2019基本要求测评核心、GB/T22240定级指南、GB/T28448测评打分要求、GB/T28449测评实施流程专项扩展标准云计算、物联网、工控、移动互联、大数据 5 套扩展标准上位法规《网络安全法》《数据安全法》《个人信息保护法》《网络安全等级保护条例》4. 五级保护等级定性2.0 统一划分一级 自主保护级仅企业内部小型工具无对外服务无需公安备案、无需第三方测评企业自行自查。二级 指导保护级中小企业官网、普通 OA、无海量隐私数据系统必须备案每 2 年 1 次测评公安指导监管。三级 监督保护级主流政务、医疗、电商、APP、存储百万级个人信息系统强制备案每年 1 次测评常态化抽查核心项一票否决。四级 强制保护级省级核心政务、电网、铁路、金融清算等关键基础设施每半年 1 次测评多部门联合监管高风险无整改缓冲期。五级 专控保护级国防、涉密国家级系统国家专项管控普通企业不涉及。二、等保 2.0 核心标准架构一个中心三重防护1. 安全管理中心总控大脑三级及以上强制建设统一汇总日志、运维审计、账号管控、风险告警实现三权分立审计管理、设备管理、安全策略管理。核心组件堡垒机、集中日志审计平台、统一身份 IAM、态势感知四级标配。2. 三重技术防护纵深防御三道防线安全通信网络网络分区、链路冗余、全网传输加密、网络设备日志采集管控数据传输链路安全。安全区域边界互联网出口、内网分区、数据库区部署防火墙、WAF、IPS、数据库审计、单向网闸管控内外访问入口。安全计算环境服务器、数据库、中间件、业务软件、终端、APP管控系统内部账号、权限、漏洞、数据安全。3. 配套底座安全物理环境机房门禁、监控、供电、消防、动环监测、防静电、介质销毁所有等级均有基线要求等级越高管控越严。4. 五大安全管理域全等级通用管理要求安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理制度 人员 全流程台账。三、等保 2.0 二级 / 三级 / 四级全维度建设标准一安全物理环境配套资源要求项目二级标准配置三级强制配置四级高配配置门禁单因子刷卡 / 密码门禁双人双锁人脸 刷卡双因子分级门禁三道分级生物识别门禁人脸 指纹监控普通摄像头录像留存≥30 天机房全覆盖高清监控留存≥90 天音视频双录入侵报警联动自动锁门供电基础 UPS续航≥30 分钟双路市电 长效 UPS双市电 UPS 柴油发电机三级冗余环境监测简易温湿度人工记录动环主机漏水、烟感、温湿度、断电短信告警全机房 7×24 自动监测异常实时推送监管消防干粉灭火器耐火隔墙 气体灭火系统分区自动灭火消防联动门禁其他纸质出入登记本带锁机柜、介质碎纸销毁设备电磁屏蔽机房 / 屏蔽机柜外来人员全程陪同审计二安全通信网络配套资源二级基础 VLAN 内外网隔离外网业务 HTTPS 加密网络设备基础日志本地存储无链路冗余硬性要求。三级2.0 核心强制四区逻辑隔离互联网区、应用区、数据库区、运维区内网跨区域通信加密交换机、防火墙日志全部上送审计平台留存≥6 个月业务双线链路自动切换网络设备分权账号禁止共用管理员账号。四级业务内网与办公网物理完全隔离全网国密 SM2/SM3/SM4 加密全流量采集分析设备每季度网络架构安全评审禁止私自新增网络节点。三安全区域边界硬件资源清单2.0 测评必查二级标配下一代防火墙 NGFWWAF、IPS、数据库审计均为可选。三级强制全套设备缺失直接大面积扣分互联网出口NGFW 防火墙 Web 应用防火墙 WAF内网分区IPS 入侵防御系统数据库前端数据库审计系统高危端口禁止对外映射边界策略每月清理。四级全套高配外网防火墙 单向物理隔离网闸 内网分区防火墙三重边界WAFIPS 流量清洗 APT 攻击检测所有安全设备双机热备冗余第三方接口全签名加密校验。四安全计算环境主机、数据库、软件、数据安全资源通用软件系统 2.0 强制红线全等级适用禁止明文存储 / 传输身份证、手机号、银行卡等敏感个人信息修复 Fastjson、Log4j、Shiro、Struts2 等高危开源组件漏洞代码不得硬编码数据库账号、密钥、接口秘钥修复 SQL 注入、XSS、文件上传、垂直 / 水平越权、CSRF 等 Web 通用漏洞会话自动超时、登录 5 次锁定账号、接口防刷限流。分等级硬件 / 软件资源二级服务器、终端统一杀毒软件本地单机备份日志留存≥3 个月口令复杂度策略无双因素认证强制要求季度漏洞扫描。三级2.0 硬性约束管理员后台双因素认证漏洞扫描每月执行高危漏洞 7 日内闭环备份一体机实现本地 异地双备份每季度备份恢复演练数据库透明加密、敏感数据脱敏主机、应用、数据库日志统一归集留存≥6 个月终端准入管控禁止外来设备接入生产网。四级硬件国密加密机、硬件令牌多因子认证三地异地多副本备份月度恢复演练每周漏洞扫描高危漏洞 24 小时修复数据全生命周期加密、销毁溯源代码安全审计平台常态化检测。五安全管理中心配套平台2.0 三级起强制二级无强制管理中心运维直连服务器日志本地存储。三级必配三大核心平台① 运维堡垒机所有服务器、数据库远程运维必经堡垒全程录像审计② 集中日志审计平台汇总全网设备、应用、主机日志③ 统一身份管理平台账号生命周期、权限审批统一管控。四级新增安全态势感知 SOC 平台、自动化漏洞闭环管理平台、安全事件工单处置系统风险自动联动边界设备阻断攻击。六安全管理体系软资源制度 台账2.0 重点扣分项制度文件全套2.0 标准要求安全总体策略、机房管理制度、账号权限管理、变更管理、漏洞管理、数据备份恢复、应急响应预案、第三方接口安全管理、介质销毁管理。二级精简基础制度 3-5 份三级全套完整制度每年评审修订四级分级管控安全策略重大业务变更前置专家安全评审。测评必查台账记录必须真实可追溯临时补录无效机房出入登记、权限变更审批单、漏洞扫描修复台账、备份执行 演练报告、安全培训签到课件、年度应急演练完整材料、第三方服务商安全协议、介质销毁记录。七人力与第三方配套服务资源二级运维兼职安全管理员每 2 年一次等保测评按需季度漏洞扫描。三级专职安全管理员关键岗位双人制衡每年等保测评 年度渗透测试每年至少 1 次应急演练、2 次全员安全培训。四级独立安全部门、专职安全团队关键岗位强制轮岗、离岗审计每半年等保测评、月度漏洞扫描、季度红蓝对抗攻防演练、重大上线前专家安全评审。四、等保 2.0 标准实施全生命周期流程定级→备案→整改→测评→运维阶段 1资产梳理与系统定级前置基础梳理系统边界业务软件、服务器、数据库、第三方接口、小程序、云资源全部纳入判定系统破坏影响就高不就低确定保护等级输出材料系统拓扑图、资产清单、定级报告三级及以上组织≥3 名行业安全专家评审。阶段 2公安备案测评准入门槛2.0 强制全国互联网安全服务平台线上填报备案表线下向属地网安支队提交营业执照、法人证件、定级报告、拓扑、安全制度初稿审核通过领取备案证明无备案不得开展第三方正式测评系统重大改版 30 日内更新备案信息。阶段 3差距评估与安全建设整改测评通过率核心对照 GB/T22239-2019 开展预测评出具差距整改清单区分高 / 中 / 低风险硬件部署机房改造、防火墙 / WAF / 堡垒机 / 日志审计等安全设备上线调试系统加固服务器、数据库、业务软件漏洞修复、加密改造、权限梳理管理完善全套安全制度编制、补齐全流程运维台账、组织安全培训与应急演练内部自测漏洞扫描、渗透测试闭环全部高风险问题。阶段 4第三方正式测评GB/T28449 标准四步流程测评准备筛选公安备案持证测评机构签订保密协议交付全套系统资料编制专属测评方案明确抽样范围、测试工具、人员分工现场测评文档核查、人员访谈、机房现场勘查、工具漏洞扫描 渗透测试报告编制按国标打分划分风险等级出具加盖资质公章的正式测评报告达标结论为符合 / 基本符合可提交网安备查不达标出具差距清单限期整改后复测。阶段 5常态化持续运维与周期复测二级每 2 年复测一次三级每年复测四级每半年复测系统迭代、新增第三方接口、扩容改造后同步开展安全加固每月漏洞扫描、定期备份有效性校验、每年应急演练公安日常随机抽查测评报告、运维台账、安全设备运行状态。五、等保 2.0 测评高频一票否决项严禁出现身份证、手机号、银行卡等敏感数据明文存储 / 明文传输对外 Web 系统无 WAF 防护存在可直接利用高危漏洞三级系统管理员仅单密码登录未部署双因素认证无数据备份或备份从未执行恢复演练、备份文件损坏业务软件存在垂直 / 水平越权、任意文件上传高危漏洞核心系统硬编码数据库密码、接口密钥可直接抓包获取开发测试环境未隔离外网可访问测试数据库三级系统缺失堡垒机、日志审计、异地备份任一强制安全设备日志留存时长不达标支持管理员手动删除、篡改审计日志无任何应急演练、权限审批、漏洞修复台账制度仅纸面文件无落地记录。六、等保 2.0 整体验收达标标准技术层面对应等级所有强制安全硬件、平台全部稳定在线运行无高风险漏洞数据层面敏感数据加密存储传输备份策略、恢复演练完整可验证应用软件层面Web、APP、后台系统全部修复高危漏洞权限、审计、防攻击功能全部生效管理层面全套安全制度完整所有运维台账真实、连续、可追溯测评结论第三方出具报告结论为符合 / 基本符合满足属地公安监管核查要求。