分保、等保、關保、密碼應用對比詳解

一、中國網絡安全發展的關鍵時間節點：

 1、等(deng)級保護標準(國家標準：GB)：

• 1994年2月，國務(wu)院發布《中(zhong)華人民共和國計算機(ji)信息(xi)(xi)系統(tong)安(an)全(quan)保護條例》（國務(wu)院147號令），規(gui)定“計算機(ji)信息(xi)(xi)系統(tong)實行安(an)全(quan)等級保護”的制度框(kuang)架。

• 2007年6月,公(gong)安(an)(an)部、國(guo)家(jia)(jia)保密局、國(guo)家(jia)(jia)密碼管(guan)理(li)(li)局、國(guo)務院信(xin)息(xi)化工作(zuo)辦(ban)公(gong)室制(zhi)定了《信(xin)息(xi)安(an)(an)全(quan)等(deng)級保護管(guan)理(li)(li)辦(ban)法》（公(gong)通字[2007]43號），形成信(xin)息(xi)安(an)(an)全(quan)等(deng)級保護的基本理(li)(li)論框架(jia)。

• 2008年6月，《GB/T 22239-2008 信(xin)息安全(quan)(quan)技術 信(xin)息系統安全(quan)(quan)等級保(bao)護基本要(yao)求》標(biao)準正式(shi)頒布。

• 2014年2月(yue)，中央網絡安(an)全和信息化領導小組成(cheng)立。中共(gong)中央總書記、國(guo)家(jia)主席(xi)、中央軍委主席(xi)習(xi)近平親(qin)自(zi)擔任(ren)(ren)組長(chang)；李克強、劉云山任(ren)(ren)副組長(chang)。

• 2017年6月1日，《中華人(ren)民(min)共和國(guo)網絡安全(quan)法》正式實施。明(ming)確了“國(guo)家實(shi)行網絡安全等級保護(hu)制度”，同時第七十四(si)條明確規定“違反本(ben)法(fa)(fa)規(gui)定(ding)，給他人造成(cheng)損害的，依法(fa)(fa)承擔民事(shi)責任。違反本(ben)法(fa)(fa)規(gui)定(ding)，構(gou)成(cheng)違反治安管理行為的，依法(fa)(fa)給予治安管理處罰；構(gou)成(cheng)犯罪的，依法(fa)(fa)追(zhui)究(jiu)刑事(shi)責任。”自此，公安(an)(an)執法部門有了安(an)(an)全執法依據。

• 2019年12月1日，GB/T 22239-2008 等(deng)級(ji)保(bao)護基(ji)本(ben)要(yao)(yao)求(qiu)更新為(wei)《GB/T 22239-2019 信息(xi)安(an)全(quan)技(ji)(ji)術(shu) 網絡安(an)全(quan)等(deng)級(ji)保(bao)護基(ji)本(ben)要(yao)(yao)求(qiu)》，針對信息(xi)技(ji)(ji)術(shu)的發展對標(biao)準(zhun)要(yao)(yao)求(qiu)進行了更新。

2、分級(ji)保護標(biao)準(保密標(biao)準：BMB)：

• 1997年《中(zhong)共中(zhong)央(yang)關(guan)于加強(qiang)新形勢下保(bao)密(mi)(mi)工作(zuo)的(de)決定》明(ming)確了在新形勢下保(bao)密(mi)(mi)工作(zuo)的(de)指導思想和(he)基本任務，提出要建立與(yu)《保(bao)密(mi)(mi)法(fa)》相配套(tao)的(de)保(bao)密(mi)(mi)法(fa)規體(ti)(ti)系(xi)和(he)執法(fa)體(ti)(ti)系(xi)，建立現代化的(de)保(bao)密(mi)(mi)技術防范(fan)體(ti)(ti)系(xi)。

• 2004年12月23日(ri)中央保密(mi)(mi)委員會下發(fa)了《關(guan)于加強信(xin)息(xi)安全保障(zhang)工作中保密(mi)(mi)管(guan)理若(ruo)干意見》明確提出(chu)要建立健全涉密(mi)(mi)信(xin)息(xi)系統分級保護制度。

• 2005年12月28日(ri)，國(guo)家保(bao)密(mi)局(ju)下(xia)發了《涉及(ji)國(guo)家秘密(mi)的信息(xi)系統分級(ji)保(bao)護管理辦(ban)法》。

3、關鍵信(xin)息基(ji)礎設施網(wang)絡安全保護(國家標準：GB，今年7月正(zheng)式發布)

• 2016年(nian)12月，全國信安標委秘(mi)書(shu)處邀(yao)請專家研討《關鍵(jian)信息(xi)基礎設施網絡安全框架》標準，并討論關鍵(jian)信息(xi)基礎設施安全保(bao)護現狀；

• 2018年06月(yue)，全(quan)國(guo)信安(an)標(biao)委(wei)秘書處發布《信息安(an)全(quan)技(ji)術 關鍵信息基礎設施(shi)網絡安(an)全(quan)保護要求(qiu)》征求(qiu)意見稿。

• 2019年11月5日(ri)，《信息安全(quan)技(ji)術(shu) 關鍵信息基礎設施網(wang)絡(luo)安全(quan)保護基本(ben)要求》(報(bao)批稿)完稿。

• 2019年12月(yue)3日(ri)，《信(xin)息(xi)(xi)安全技(ji)術 關鍵(jian)信(xin)息(xi)(xi)基礎設施網(wang)絡安全保護基本要求》（報批稿）試(shi)點(dian)工作(zuo)啟動。

• 2021年(nian)7月份，公布《關(guan)鍵信息(xi)基礎設施(shi)安全(quan)保護條(tiao)例》，自2021年(nian)9月1日起施(shi)行。

  
  

4、信息系統(tong)密碼應用基本要(yao)求(國家標準：GB，于今年3月(yue)份(fen)正式發布)

• 2018年2月，國家保(bao)密局正式發布實施密碼(ma)行業標準《GM:T 0054-2018信息系統密碼(ma)應用(yong)基本要(yao)求》。

• 2018年2月，經國密(mi)局批準，行標（GM/T 0054-2018 《信息系(xi)統密碼(ma)應用(yong)基(ji)本要求》）升(sheng)國標《信息安全技(ji)術 信息系(xi)統密碼(ma)應用(yong)基(ji)本要求》。2018年7月獲得國家標準化管理委員會的立項批(pi)準。

• 2019年6月，全國信安(an)(an)標委秘書處發布《信息安(an)(an)全技術 信息系(xi)統密碼應用基本要求(qiu)》征求(qiu)意(yi)見稿(gao)。

• 2021年(nian)3月，國家正式發(fa)布國家標準GB/T 39786-2021《信息安全技術 信息系統密碼應用基本要求》，于2021年(nian)10月1日起實(shi)施。

二、目前網絡安全主要的幾大標準及其差異：

1、分級保護標準(簡稱：分保)

a)管理(li)對(dui)象：所(suo)有涉及國家秘(mi)密的信息系統，重點是黨政機(ji)關、軍隊和軍工(gong)單位。

b)標準要求文件：

BMB17《涉及(ji)國家秘密的信(xin)息系統(tong)分級保護技(ji)術要求》

BMB20《涉及(ji)國家秘密的信息系統分級保護管理規范(fan)》

c)系統定級(ji)：根(gen)據其涉密(mi)(mi)(mi)(mi)信息系(xi)統(tong)處理信息的(de)最(zui)高密(mi)(mi)(mi)(mi)級(ji)(ji)(ji)，可以劃(hua)分為秘密(mi)(mi)(mi)(mi)級(ji)(ji)(ji)、機(ji)(ji)密(mi)(mi)(mi)(mi)級(ji)(ji)(ji)和機(ji)(ji)密(mi)(mi)(mi)(mi)級(ji)(ji)(ji)（增強）、絕密(mi)(mi)(mi)(mi)級(ji)(ji)(ji)三個(ge)等級(ji)(ji)(ji)。

 d)分級保護標準框架：

e)分級保(bao)護(hu)部分涉(she)及產品(pin)(僅供參(can)考(kao))：屏蔽機(ji)(ji)房(fang)、手機(ji)(ji)屏蔽柜、保(bao)(bao)密(mi)(mi)(mi)文件(jian)柜、紅黑隔離(li)電(dian)源(yuan)、微(wei)機(ji)(ji)視頻信(xin)息(xi)保(bao)(bao)護系(xi)統(tong)、手機(ji)(ji)屏蔽儀、主機(ji)(ji)監(jian)(jian)控與審計(ji)系(xi)統(tong)、光盤刻錄(lu)監(jian)(jian)控和審計(ji)系(xi)統(tong)、打印監(jian)(jian)控和審計(ji)系(xi)統(tong)、三合一（違(wei)規外聯監(jian)(jian)控、涉(she)密(mi)(mi)(mi)移動存儲(chu)介質(zhi)使(shi)用管控、非涉(she)密(mi)(mi)(mi)信(xin)息(xi)單(dan)向導入）系(xi)統(tong)、涉(she)密(mi)(mi)(mi)專用優盤、存儲(chu)介質(zhi)信(xin)息(xi)消除工具(ju)、計(ji)算機(ji)(ji)終端保(bao)(bao)密(mi)(mi)(mi)檢查(cha)系(xi)統(tong)、惡意代碼輔助檢測系(xi)統(tong)、保(bao)(bao)密(mi)(mi)(mi)碎(sui)紙機(ji)(ji)、存儲(chu)介質(zhi)銷(xiao)毀機(ji)(ji)、身份鑒別系(xi)統(tong)等等。

2、等級保護標準(簡稱：等保)

a)管理對象(xiang)：

運營商(shang)和服務提供商(shang):電(dian)信、廣(guang)(guang)電(dian)行業的公用通信網(wang)、廣(guang)(guang)播電(dian)視傳輸(shu)網(wang)等基礎(chu)信息(xi)網(wang)絡，經營性公眾互(hu)(hu)聯網(wang)信息(xi)服務單(dan)位(wei)(wei)、互(hu)(hu)聯網(wang)接入服務單(dan)位(wei)(wei)、數據中(zhong)心(xin)等單(dan)位(wei)(wei)的重要(yao)信息(xi)系統。

重(zhong)要行(xing)業:鐵路、銀行(xing)、海關、稅務、民(min)航(hang)、電力(li)、證券、保險、外(wai)交、科(ke)技(ji)、發展改革、國防(fang)科(ke)技(ji)、公安(an)、人(ren)事勞動和社會保障(zhang)、財政(zheng)、審(shen)計、商務、水(shui)利、國土資源(yuan)、能源(yuan)、交通、文化、教育(yu)、統計、工商行(xing)政(zheng)管理、郵政(zheng)等行(xing)業、部門的生產、調度、管理、辦公等重(zhong)要信息系統。

重(zhong)要(yao)機關:市（地）級以上黨政機關的重(zhong)要(yao)網站和辦(ban)公信息系統。

b)標準文件：

GB-T 25070-2019 《信息安(an)全技術 網絡安(an)全等級保護安(an)全設計(ji)技術要求》

GB-T 28448-2019 《信息安全(quan)技術 網絡安全(quan)等級保護(hu)測評要求》

GB-T 22240-2020 《信(xin)息安全技術(shu) 網絡安全等(deng)級保護定級指南(nan)》

GB-T 22239-2019 《信息安全技術 網絡安全等級保護(hu)基本(ben)要求》

GB_T 25058-2019 《信息安(an)全技術 網絡安(an)全等級(ji)保(bao)護實施指南》

c) 系統定級：

信(xin)息系統的(de)安全防護共分為以(yi)下五個等級(ji)：

第一級（自主保護級 ）

信(xin)息系統受到破壞后(hou)，會(hui)對公民、法人和其他組織的合法權(quan)益造成損害，但不損害國家安全、社會(hui)秩(zhi)序和公共利益。

第(di)二級(ji)（指導(dao)保護級(ji) ）

信息系統(tong)受到破壞后(hou)，會(hui)對公(gong)民、法(fa)人和其他組織的合法(fa)權益(yi)(yi)產生嚴重損害(hai)，或者對社會(hui)秩序和公(gong)共利益(yi)(yi)造(zao)成損害(hai)，但不損害(hai)國家安全。

第三級（監督保護(hu)級 ）

信息系(xi)統受(shou)到破壞后，會對社會秩(zhi)序(xu)和(he)公共(gong)利益造成嚴重損害(hai)，或者(zhe)對國家安(an)全造成損害(hai)。

第(di)四級(ji)(ji)（強制保護級(ji)(ji) ）

信息系統受到破(po)壞(huai)后(hou)，會對(dui)社會秩(zhi)序和公共利(li)益造(zao)成特(te)別嚴重(zhong)損害，或者對(dui)國家安全(quan)造(zao)成嚴重(zhong)損害。

第五級(ji)（專控保護級(ji) ）

信息系統受(shou)到破壞后，會對國家安全(quan)造成(cheng)特別(bie)嚴重損害(hai)。

d) 等級保護(hu)標(biao)準體(ti)系框架：

e) 等級保(bao)護涉及產(chan)品(僅供參考)：

3、關鍵信息基礎設施網絡安全保護(簡稱：關基、關保)

a)管理(li)對象：電信、廣播電視(shi)、能(neng)源、金融、交通運輸、水利、應急管理(li)、衛生健康、社會(hui)保障、國防(fang)科技等行業(ye)和(he)領(ling)域中(zhong)一(yi)旦(dan)遭到破(po)壞或者喪失(shi)功能(neng)，會(hui)嚴重(zhong)危害(hai)國家安(an)全(quan)、經濟安(an)全(quan)、社會(hui)穩定、公眾(zhong)健康和(he)安(an)全(quan)的業(ye)務。

b)標準文件：《信(xin)息安全技術(shu) 關鍵(jian)信(xin)息基礎設施網絡安全保(bao)護基本要求(qiu)》2019年(nian)11月(yue)報批，未正(zheng)式(shi)發布

c)什(shen)么(me)是關(guan)鍵信息基(ji)礎設施(shi)(CII:critical information infrastructure)？

支(zhi)撐關(guan)鍵業務(wu)持(chi)續、穩定運行不可或缺的(de)網(wang)絡設(she)施、信(xin)(xin)息(xi)(xi)(xi)系(xi)(xi)統。在(zai)形(xing)態(tai)構成(cheng)上，可以(yi)是(shi)單個(ge)網(wang)絡設(she)施、信(xin)(xin)息(xi)(xi)(xi)系(xi)(xi)統，也可以(yi)是(shi)由多(duo)個(ge)網(wang)絡設(she)施、信(xin)(xin)息(xi)(xi)(xi)系(xi)(xi)統組成(cheng)的(de)集合。在(zai)本質上，屬(shu)于關(guan)鍵業務(wu)的(de)信(xin)(xin)息(xi)(xi)(xi)化(hua)部(bu)分，為關(guan)鍵業務(wu)提(ti)供信(xin)(xin)息(xi)(xi)(xi)化(hua)支(zhi)撐。

d)關鍵信(xin)息基礎(chu)設(she)施安全防護(hu)能力(li)等級有(you)幾個？

關(guan)鍵信息(xi)基礎設施安全防護能(neng)力(li)依據5個能力域完(wan)成程(cheng)度的(de)高低(di)進行分級評估(gu)，包括3個能力等級，從能(neng)(neng)(neng)力(li)(li)(li)等(deng)級(ji)(ji)1到能(neng)(neng)(neng)力(li)(li)(li)等(deng)級(ji)(ji)3，逐級(ji)(ji)增高，能(neng)(neng)(neng)力(li)(li)(li)等(deng)級(ji)(ji)之(zhi)間為遞(di)進關(guan)系(xi)，高一級(ji)(ji)的能(neng)(neng)(neng)力(li)(li)(li)要求(qiu)包括所(suo)有低等(deng)級(ji)(ji)能(neng)(neng)(neng)力(li)(li)(li)要求(qiu)。

能(neng)力(li)域明確了運營者在關鍵信息基(ji)礎設(she)施(shi)安全防護所需具備的能(neng)力(li)，包括識(shi)別認定、安全防護、檢測評(ping)估、監測預警、事(shi)件處(chu)置(zhi)5個方(fang)面的關鍵能(neng)力(li)，每(mei)個安全能(neng)力(li)包含(han)若(ruo)(ruo)干(gan)能(neng)力(li)指標(biao)，每(mei)個能(neng)力(li)指標(biao)包含(han)若(ruo)(ruo)干(gan)評(ping)價內容。

能力等級及特征如(ru)下表。

表 安全能力等級及特征

關鍵信息基礎設施安全防護能力等級	等級特征
能力等級1	能(neng)識別(bie)相關風(feng)險，防(fang)護措施成體系，能(neng)夠開展檢測(ce)評估活動，具備監測(ce)預警能(neng)力；能(neng)夠按規定接受和(he)報送相關信息(xi)；在突(tu)發(fa)事件發(fa)生后能(neng)應對并按計(ji)劃恢復。
能力(li)等級(ji)2	能清晰識別相關風險，防(fang)護措(cuo)施有效，能夠檢測(ce)評估出主要安(an)全風險，主動監測(ce)預警和(he)態勢感知，事件(jian)響(xiang)應較為(wei)及時(shi)，業務(wu)能夠及時(shi)恢復。
能(neng)力(li)等級3	識別(bie)認定完整清晰，防(fang)護措施(shi)體系化、自動化高，能夠及時(shi)檢測評估出主要安全風(feng)險，使用自動化工具進(jin)行監(jian)測預警和(he)態勢(shi)感知(zhi)，信息共享和(he)協同程度(du)高，事件響應及時(shi)有效，業務(wu)可近實時(shi)恢(hui)復。

e)  關鍵(jian)信息(xi)基礎設施安全防護能力評價內容及方法是什么？

關鍵信息(xi)基礎設(she)施安全防(fang)護能力評(ping)價(jia)包括能力域級(ji)(ji)別評(ping)價(jia)、等(deng)級(ji)(ji)保(bao)護測評(ping)和密碼測評(ping)三部分。關鍵(jian)信息基礎設施(shi)安全防護能力評價前，關鍵信息基礎設施應(ying)首先通過相應(ying)等(deng)級的等(deng)級保護(hu)測評和相關密(mi)碼測評。然(ran)后(hou)，組織應按(an)照評(ping)價(jia)內容和(he)評(ping)價(jia)操作(zuo)方法(fa)開展評(ping)價(jia)工作(zuo)，給出(chu)對每(mei)項評(ping)價(jia)指標(biao)的(de)判定(ding)結(jie)果和(he)所(suo)處級別(bie)，得出(chu)每(mei)個能力(li)域級別(bie)，綜合5個能力(li)域級別(bie)以及等級保護測(ce)評(ping)結(jie)果得出(chu)關鍵信息基礎設施(shi)安全防護能力(li)級別(bie)。

關鍵信息基礎設施安全(quan)防護能力應(ying)綜合考慮5個能力域級別與等級保護測評結果。對應(ying)(ying)能(neng)(neng)力等(deng)(deng)(deng)級(ji)(ji)(ji)1的關(guan)(guan)鍵信息(xi)基礎設施等(deng)(deng)(deng)級(ji)(ji)(ji)保護測(ce)評結果(guo)(guo)應(ying)(ying)至少為(wei)(wei)中(zhong)；對應(ying)(ying)能(neng)(neng)力等(deng)(deng)(deng)級(ji)(ji)(ji)2的關(guan)(guan)鍵信息(xi)基礎設施等(deng)(deng)(deng)級(ji)(ji)(ji)保護測(ce)評結果(guo)(guo)應(ying)(ying)至少為(wei)(wei)良；對應(ying)(ying)能(neng)(neng)力等(deng)(deng)(deng)級(ji)(ji)(ji)3的關(guan)(guan)鍵信息(xi)基礎設施等(deng)(deng)(deng)級(ji)(ji)(ji)保護測(ce)評結果(guo)(guo)應(ying)(ying)為(wei)(wei)優。

4、密碼應用基本要求

a)管(guan)理要(yao)求：信息系統中(zhong)的身(shen)份鑒別、數據(ju)加(jia)密(mi)(mi)、數據(ju)簽名等(deng)密(mi)(mi)碼(ma)(ma)技術(shu)功能由密(mi)(mi)碼(ma)(ma)算法、密(mi)(mi)碼(ma)(ma)技術(shu)、密(mi)(mi)碼(ma)(ma)產品、密(mi)(mi)碼(ma)(ma)服務等(deng)提(ti)供。從信息系統的物(wu)理和(he)環境安全、網絡和(he)通(tong)信安全、設備和(he)計(ji)算安全、應用(yong)和(he)數據(ju)安全的各個層面(mian)提(ti)供全面(mian)整(zheng)體的密(mi)(mi)碼(ma)(ma)應用(yong)安全技術(shu)支(zhi)撐，從而保障信息系統的用(yong)戶身(shen)份真實性(xing)(xing)、重要(yao)數據(ju)的機密(mi)(mi)性(xing)(xing)和(he)完整(zheng)性(xing)(xing)、操作行為(wei)的不可否認性(xing)(xing)。

b)標(biao)準文件：行標（GM/T 0054-2018 《信息系統密碼應用基本要(yao)求(qiu)》）升國標GM/T 39786 2021《信(xin)息(xi)安全(quan)技術 信(xin)息(xi)系統密碼應(ying)用基本要求(qiu)》，現(xian)已正式發布。

c)系統定級：

• 第一(yi)級(ji)，是信息系統密碼應用安全要求等(deng)級(ji)的最低(di)等(deng)級(ji)，信息系統管理(li)者可按照業(ye)務實際情(qing)況自(zi)主應用密碼技術(shu)應對可能的安全威脅。

• 第二(er)級，是在第一級的(de)等級要(yao)求上，要(yao)求信息系統具備身份鑒別、數據安全保護的(de)非體系化密碼保障能力，可應對當前(qian)部分安全威脅；

• 第三級，是在第二(er)級的等級要(yao)求(qiu)上，要(yao)求(qiu)更強(qiang)的身份鑒別、數據(ju)安全、訪問(wen)控制(zhi)等方面(mian)密碼應用(yong)技術(shu)能力與管理能力，要(yao)求(qiu)信息系(xi)(xi)統建設有規(gui)范、可靠、完整的密碼保(bao)障體系(xi)(xi)，是體系(xi)(xi)化密碼應用(yong)引導(dao)性要(yao)求(qiu)；

• 第(di)四級(ji)，是(shi)在(zai)第(di)三級(ji)的(de)(de)等級(ji)要求(qiu)上，要求(qiu)更強的(de)(de)身份(fen)鑒別、數據安全(quan)、訪問控制(zhi)等方面密(mi)(mi)碼應(ying)(ying)用(yong)技術能力與管理能力，信息系統建(jian)設(she)有規范、可(ke)靠、完整(zheng)、主(zhu)動(dong)防御的(de)(de)密(mi)(mi)碼保(bao)障體(ti)系，是(shi)體(ti)系化密(mi)(mi)碼應(ying)(ying)用(yong)的(de)(de)強制(zhi)要求(qiu)；

d)基本(ben)要(yao)求(qiu)框架(jia)：

5、幾大標準關系圖解：

三、網絡安全防護建設過程中的十問：

1、去網安部門做了備案，拿到(dao)備案證(zheng)明，是否等于通過等保？備案后(hou)多(duo)久需要(yao)完成(cheng)等保測(ce)評？

備(bei)案證(zheng)明并不等(deng)同于通過(guo)等(deng)保，備(bei)案只是說明你的(de)(de)某個業務系統(tong)準備(bei)做對(dui)(dui)應等(deng)級(ji)的(de)(de)網絡安全(quan)防護(hu)，通過(guo)等(deng)級(ji)保護(hu)測(ce)(ce)評(ping)會(hui)由相關部門發放等(deng)保測(ce)(ce)評(ping)通過(guo)的(de)(de)通知或證(zheng)書。一(yi)般(ban)通過(guo)三(san)級(ji)以(yi)上(shang)等(deng)保測(ce)(ce)評(ping)的(de)(de)通知或證(zheng)書上(shang)都會(hui)有(you)(you)證(zheng)書的(de)(de)有(you)(you)效期，到(dao)有(you)(you)效期后需要重新對(dui)(dui)信(xin)息系統(tong)進(jin)行(xing)等(deng)保測(ce)(ce)評(ping)；但如果(guo)信(xin)息系統(tong)沒有(you)(you)新的(de)(de)業務或者網絡改造調整(zheng)等(deng)對(dui)(dui)等(deng)保測(ce)(ce)評(ping)項可能有(you)(you)影響的(de)(de)變(bian)因，則一(yi)般(ban)不需要再次進(jin)行(xing)網絡安全(quan)整(zheng)改。

一(yi)(yi)(yi)個(ge)二級(ji)或三級(ji)的(de)系統現(xian)場(chang)測評周(zhou)期一(yi)(yi)(yi)般(ban)一(yi)(yi)(yi)周(zhou)左右，具體(ti)時(shi)(shi)間(jian)還要根據(ju)信息(xi)系統數量及信息(xi)系統的(de)規模，以及雙方的(de)配(pei)合度(du)等有(you)所增減(jian)。小規模安全整改(gai)（管理制度(du)、策略配(pei)置、技術整改(gai)）2-3 周(zhou)，出具報告時(shi)(shi)間(jian)一(yi)(yi)(yi)周(zhou)，整體(ti)持續周(zhou)期 1-2 個(ge)月。如(ru)果整改(gai)不(bu)及時(shi)(shi)或牽(qian)涉到購(gou)買(mai)設備，時(shi)(shi)間(jian)不(bu)好(hao)說，但(dan)總的(de)要求一(yi)(yi)(yi)般(ban)為一(yi)(yi)(yi)年內要完成。

2、通過等級保護(hu)測(ce)評以后，是不(bu)是不(bu)會再出安(an)全事故？

通(tong)過等(deng)級保護(hu)(hu)測評只能說明在(zai)測評的(de)(de)(de)(de)時(shi)候(hou)，業(ye)務(wu)系(xi)統(tong)達到了對應等(deng)級的(de)(de)(de)(de)防護(hu)(hu)強度(du)，不(bu)等(deng)于業(ye)務(wu)系(xi)統(tong)的(de)(de)(de)(de)“保命符”。畢竟駭客攻(gong)(gong)擊的(de)(de)(de)(de)時(shi)候(hou)不(bu)會去看系(xi)統(tong)通(tong)沒通(tong)過等(deng)級保護(hu)(hu)測評，駭客看的(de)(de)(de)(de)是(shi)攻(gong)(gong)破業(ye)務(wu)系(xi)統(tong)本(ben)身(shen)的(de)(de)(de)(de)難度(du)與其(qi)自身(shen)的(de)(de)(de)(de)實力的(de)(de)(de)(de)差距，以及攻(gong)(gong)破業(ye)務(wu)系(xi)統(tong)對于其(qi)所(suo)帶來的(de)(de)(de)(de)經(jing)濟或其(qi)他價值(zhi)所(suo)產生的(de)(de)(de)(de)“性(xing)價比”。

通過等級(ji)保護測評后，以下方面有可能導(dao)致出現安全事故：

• 駭客能力超過了業務系統(tong)所對應(ying)等級的防(fang)護強(qiang)度

• 網(wang)絡(luo)安全防護(hu)設(she)(she)計存(cun)在不(bu)足、網(wang)絡(luo)安全設(she)(she)備未(wei)有效使用(yong)(yong)或策(ce)略設(she)(she)置不(bu)當(dang)、設(she)(she)備廠商(shang)出現漏(lou)洞被駭客利用(yong)(yong)、設(she)(she)備規(gui)則庫未(wei)及時更(geng)新或無法(fa)滿足業務(wu)系統所需性(xing)能等

• 安(an)全管理(li)制度落實不(bu)到位、安(an)全管理(li)人員缺(que)乏培訓(安(an)全能(neng)力、安(an)全意(yi)識(shi)不(bu)足)、應急演練(lian)不(bu)足(出現安(an)全事件時(shi)不(bu)能(neng)及時(shi)有效應對)等

  
  

3、拿到等保測評通過證(zheng)書(shu)后，一但出(chu)現安全事故是否可以規避或(huo)減(jian)輕追責？

拿到(dao)等(deng)級(ji)測評通過(guo)證(zheng)書(shu)不(bu)等(deng)于(yu)拿到(dao)了“免(mian)死金牌”。按照(zhao)標準完(wan)成了等(deng)級(ji)保護(hu)測評，可以在一定程(cheng)度地規避風險(xian)，不(bu)等(deng)于(yu)拋(pao)棄網(wang)絡安全(quan)(quan)(quan)責任(ren)，也不(bu)是將安全(quan)(quan)(quan)責任(ren)交給等(deng)級(ji)保護(hu)測評機構或其他第三方(fang)。出現安全(quan)(quan)(quan)事故后，安全(quan)(quan)(quan)責任(ren)的追(zhui)責基本(ben)為以下幾種情況(kuang)。

• 等保工作沒(mei)有(you)開展，出(chu)了網絡安全事故，安全責任肯定(ding)是(shi)甲(jia)方(fang)自(zi)己去(qu)承擔(dan)。

• 等保工作開展了，高危(wei)風險(xian)沒(mei)有及時(shi)去整改，出了問題，安全(quan)責任主要責任也是甲方的(de)。

• 等保工作開(kai)展了，測評(ping)機構測評(ping)不(bu)合規，對已有高危風險未(wei)檢測出(chu)而導(dao)致的(de)安全(quan)問題，主要(yao)責任(ren)應(ying)當由測評(ping)機構承擔，甲(jia)方負有次要(yao)責任(ren)。

• 等保(bao)工作開(kai)展了(le)，發現的高危(wei)風(feng)險(xian)(xian)及(ji)其他風(feng)險(xian)(xian)也及(ji)時整改了(le)，出了(le)網絡(luo)安全事(shi)故，主(zhu)要責任不屬于(yu)甲方。

  
  

4、我已經上了安全設備，為什么還會出現出安全事故(gu)？

采購部(bu)署了(le)安(an)全設備(bei)，也不是(shi)(shi)就(jiu)把安(an)全漏(lou)洞都(dou)給(gei)完全修(xiu)復了(le)。網絡安(an)全防(fang)護是(shi)(shi)修(xiu)“防(fang)洪堤”的工程，我們需要(yao)保障其合理適度的基礎上(shang)，及時根據系(xi)統現狀做查漏(lou)補缺和技術升級。如果設備(bei)上(shang)了(le)以后沒有(you)做好(hao)以下的幾(ji)個方面，安(an)全事故發生的幾(ji)率就(jiu)會(hui)加大。

• 網(wang)絡安(an)全建(jian)設規劃不(bu)當(dang)：網(wang)絡架構不(bu)合理(li)(li)；系統安(an)全區域(yu)劃分(fen)不(bu)合理(li)(li)；安(an)全設備(bei)(bei)部署位置不(bu)當(dang)；安(an)全設備(bei)(bei)功能(neng)及策略(lve)規劃不(bu)合理(li)(li)等(deng)

• 網(wang)絡(luo)安全運維管理不(bu)(bu)足(zu)：網(wang)絡(luo)設(she)備(bei)(bei)規(gui)則庫未及(ji)時更新(xin)；性能不(bu)(bu)能滿足(zu)業務系(xi)(xi)統需求未及(ji)時更換；信息系(xi)(xi)統設(she)備(bei)(bei)及(ji)網(wang)絡(luo)安全設(she)備(bei)(bei)管理權(quan)限不(bu)(bu)清(qing)晰、責任劃(hua)分(fen)不(bu)(bu)明確等

• 安全管(guan)理執行不(bu)到位(wei)：安全管(guan)理制度浮于形式；網絡(luo)安全人員培訓不(bu)足(zu)，對新型威脅及行業發展(zhan)動態了解缺乏；應(ying)(ying)急響應(ying)(ying)方(fang)案設計不(bu)當(dang)(dang)；應(ying)(ying)急演(yan)練進行過少，出(chu)現網絡(luo)安全事件(jian)時反(fan)應(ying)(ying)不(bu)當(dang)(dang)、反(fan)應(ying)(ying)不(bu)及時等。

5、應該(gai)如何選擇安全廠商(shang)的產品？

網絡(luo)安全建設實(shi)踐過(guo)程(cheng)中，我們應從(cong)等保(bao)合規和業務系(xi)統實(shi)際安全風險兩(liang)個角度區選擇產品：

• 當信(xin)息(xi)系統相較無特殊安全風(feng)險時，產品的(de)(de)選(xuan)(xuan)擇基本遵(zun)從(cong)等保合規(gui)的(de)(de)角(jiao)度(du)出發，選(xuan)(xuan)擇有相關(guan)認證證書的(de)(de)產品優先。如“計算機信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)系統安(an)(an)(an)(an)全(quan)專(zhuan)用產品(pin)(pin)銷(xiao)售許(xu)可證”，“中國國家信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)安(an)(an)(an)(an)全(quan)產品(pin)(pin)認(ren)證證書”，“計算機軟件著(zhu)作權(quan)登記證書”，“信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)技術產品(pin)(pin)安(an)(an)(an)(an)全(quan)分(fen)級評估”，“涉密信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)系統產品(pin)(pin)檢測證書”，“軍(jun)用信(xin)(xin)(xin)(xin)息(xi)(xi)(xi)安(an)(an)(an)(an)全(quan)產認(ren)證證書”等；大部分(fen)主流(liu)安(an)(an)(an)(an)全(quan)廠商常規合(he)規產品(pin)(pin)基本都能滿(man)足(zu)，如啟明(ming)星(xing)辰(chen)、天融(rong)信(xin)(xin)(xin)(xin)、網御星(xing)云、奇(qi)安(an)(an)(an)(an)信(xin)(xin)(xin)(xin)(原(yuan)360企業(ye)安(an)(an)(an)(an)全(quan))、深(shen)信(xin)(xin)(xin)(xin)服等。

• 當信息系統有特(te)(te)殊(shu)安全風(feng)險時(shi)，產品除(chu)了滿足等(deng)保合規的(de)基礎上，也(ye)要(yao)考慮特(te)(te)殊(shu)安全風(feng)險的(de)防護，而這些(xie)特(te)(te)殊(shu)防護需求(qiu)的(de)安全防護設備是一些(xie)主流廠商沒有或者不具(ju)優勢(shi)的(de)。如業(ye)務(wu)(wu)系(xi)(xi)(xi)統數據庫中有公民(min)個人(ren)信(xin)息(xi)，而(er)業(ye)務(wu)(wu)系(xi)(xi)(xi)統有外包開發(fa)或(huo)對外提供公民(min)個人(ren)數據印證等情況，則涉(she)及(ji)(ji)(ji)到(dao)(dao)(dao)數據脫敏相(xiang)(xiang)關(guan)設(she)(she)(she)備(bei)；信(xin)息(xi)系(xi)(xi)(xi)統覆蓋范圍大、信(xin)息(xi)端(duan)口多，存在非法設(she)(she)(she)備(bei)內聯網絡(luo)的風險，則涉(she)及(ji)(ji)(ji)到(dao)(dao)(dao)網絡(luo)準入相(xiang)(xiang)關(guan)設(she)(she)(she)備(bei)；如業(ye)務(wu)(wu)系(xi)(xi)(xi)統操(cao)作(zuo)者操(cao)作(zuo)責任(ren)關(guan)聯現實身(shen)份較強，涉(she)及(ji)(ji)(ji)到(dao)(dao)(dao)操(cao)作(zuo)失誤后(hou)操(cao)作(zuo)者身(shen)份的認定，身(shen)份鑒(jian)別需求較高(gao)，則涉(she)及(ji)(ji)(ji)到(dao)(dao)(dao)CA數字(zi)證書相(xiang)(xiang)關(guan)設(she)(she)(she)備(bei)等。

6、網(wang)絡完全建設時，是(shi)采購同一廠商的產(chan)品比較好(hao)，還是(shi)采購不同廠商的產(chan)品比較好(hao)？

• 網絡(luo)安(an)全建設時，采購同一(yi)廠商同一(yi)品(pin)牌的產品(pin)好處在于后(hou)期安(an)全運(yun)維(wei)難度較小(xiao)、后(hou)續安(an)全服務保障更好，會一(yi)定程度的降低安(an)全管理人員的能力需求(qiu)和運(yun)維(wei)壓力；缺點是該(gai)廠商出現(xian)安全漏洞時(shi)安全風險加(jia)大，廠商服務不到位時(shi)替(ti)換成本較高，依(yi)賴性強等。

采購不同廠(chang)商(shang)的(de)(de)產品好(hao)處在于差異(yi)化(hua)防護(hu)，有效避免個別(bie)廠(chang)商(shang)出(chu)現安全(quan)(quan)漏洞(dong)時的(de)(de)安全(quan)(quan)風險(xian)，對(dui)廠(chang)商(shang)服務的(de)(de)依(yi)賴性降低，可以比較(jiao)不同廠(chang)商(shang)的(de)(de)產品和服務，增加選擇空間；缺點是對(dui)安全(quan)(quan)管(guan)理人(ren)員(yuan)的(de)(de)能(neng)力及精力需求較(jiao)高，出(chu)現安全(quan)(quan)事(shi)故時可能(neng)無(wu)法判(pan)定出(chu)現安全(quan)(quan)風險(xian)的(de)(de)設備，互相推諉(wei)攻擊等。

故而采購(gou)設備時應綜(zong)合考慮①單位信息安全管(guan)理(li)人員編(bian)制數量；②單位信息安全管(guan)理(li)人員能力及培養(yang)規(gui)劃；③意(yi)向廠商(shang)產品業內認可(ke)度(du)；④意(yi)向廠商(shang)本地化(hua)服(fu)務能力或經銷商(shang)本地化(hua)服(fu)務能力等(deng)因素，綜(zong)合判(pan)斷后來(lai)選擇(ze)采購(gou)方式。

7、在預(yu)算有(you)限的情況下，該如何(he)合理的進行(xing)網(wang)絡安(an)全防護建設？

在預(yu)算(suan)有限的情況下，我們需要(yao)先對單(dan)(dan)位的信(xin)息系統現狀、未來(lai)3~5年單(dan)(dan)位的信(xin)息系統建(jian)設(she)(she)規(gui)(gui)劃(hua)、單(dan)(dan)位業務系統安(an)(an)(an)(an)全(quan)風(feng)(feng)險(xian)點(dian)進(jin)(jin)行(xing)綜合(he)調(diao)研(yan)后，做好安(an)(an)(an)(an)全(quan)建(jian)設(she)(she)規(gui)(gui)劃(hua)。先對網絡(luo)架構進(jin)(jin)行(xing)優(you)化(hua)，明確不同安(an)(an)(an)(an)全(quan)區(qu)域間的安(an)(an)(an)(an)全(quan)風(feng)(feng)險(xian)及安(an)(an)(an)(an)全(quan)防護策略需求，區(qu)分(fen)重點(dian)安(an)(an)(an)(an)全(quan)防護風(feng)(feng)險(xian)以匹配(pei)對應產(chan)品(pin)，非(fei)高風(feng)(feng)險(xian)防護產(chan)品(pin)列入后續安(an)(an)(an)(an)全(quan)建(jian)設(she)(she)規(gui)(gui)劃(hua)(避(bi)免重復建(jian)設(she)(she))，購(gou)買性能合(he)適的產(chan)品(pin)(避(bi)免設(she)(she)備性能不足影(ying)響安(an)(an)(an)(an)全(quan)防護效(xiao)果，性能過高造成資金浪費)。

8、在(zai)對(dui)產品(pin)性(xing)能指標(biao)不太了(le)解的情況下，該選擇什(shen)么性(xing)能的產品(pin)？

對(dui)各(ge)種(zhong)產(chan)品(pin)性能指標了解不足的情(qing)況下，選擇(ze)產(chan)品(pin)可(ke)以通(tong)過咨詢相關產(chan)品(pin)技術人員、業內專家、實際產(chan)品(pin)測試等方(fang)式(shi)選擇(ze)。通(tong)用等保合規產(chan)品(pin)的主(zhu)要(yao)(yao)選型要(yao)(yao)素如下：

• 下(xia)一(yi)代防(fang)火墻：主(zhu)要為吞(tun)(tun)吐(tu)(tu)量(liang)(liang)(liang)、應用層(ceng)吞(tun)(tun)吐(tu)(tu)量(liang)(liang)(liang)、并發連接數(shu)、每秒新建連接數(shu)，主(zhu)要考(kao)慮設備部署(shu)位置(zhi)(zhi)實(shi)際業務數(shu)據(ju)帶寬。需注(zhu)意(yi)的(de)是(shi)吞(tun)(tun)吐(tu)(tu)量(liang)(liang)(liang)參數(shu)不等同(tong)(tong)(tong)于(yu)實(shi)際可管(guan)理(li)帶寬能(neng)(neng)力(li)，不同(tong)(tong)(tong)廠商(shang)的(de)相同(tong)(tong)(tong)吞(tun)(tun)吐(tu)(tu)量(liang)(liang)(liang)設備，因廠商(shang)設備硬件配置(zhi)(zhi)差異、軟件優化差異等存在一(yi)定差異；特別是(shi)當(dang)下(xia)一(yi)代防(fang)火墻開啟(qi)入侵(qin)防(fang)御(yu)、病毒查殺、VPN等功能(neng)(neng)后(hou)，其實(shi)際防(fang)護流量(liang)(liang)(liang)大幅下(xia)降的(de)情況下(xia)。在無法(fa)有效(xiao)判斷的(de)情況下(xia)，可以考(kao)慮設備測試后(hou)再(zai)行(xing)采購(gou)。

• 上網行為管(guan)理：主要(yao)為可(ke)管(guan)理帶寬(kuan)(推薦帶寬(kuan))、最大可(ke)管(guan)理人(ren)數，主要(yao)考慮(lv)互聯網出口帶寬(kuan)及互聯網訪問人(ren)數。

• 堡(bao)壘主(zhu)機、日(ri)志(zhi)審計：主(zhu)要為授權管理設備數，主(zhu)要考慮需管理的(de)網絡設備及系(xi)統數量(liang)。

9、供(gong)應商提供(gong)一份產(chan)品采購(gou)清單后，承諾一定可以通過等保(bao)測(ce)評，是否(fou)可信？

基本不可(ke)信(xin)。等(deng)級保護(hu)測(ce)評(ping)(ping)是有(you)其(qi)測(ce)評(ping)(ping)標準(zhun)(zhun)、測(ce)評(ping)(ping)項(xiang)權重及算分(fen)(fen)(fen)標準(zhun)(zhun)的(de)(de)，在(zai)對(dui)業務(wu)系統(tong)進(jin)行(xing)全面(mian)的(de)(de)測(ce)試、判定(ding)高(gao)風險項(xiang)并(bing)改(gai)善(shan)、通(tong)過算分(fen)(fen)(fen)得(de)出判定(ding)結論前，是無(wu)法判定(ding)業務(wu)系統(tong)通(tong)過的(de)(de)。不過由(you)于等(deng)級保護(hu)是按照標準(zhun)(zhun)要求來(lai)進(jin)行(xing)測(ce)評(ping)(ping)的(de)(de)，故而(er)有(you)經(jing)驗(yan)的(de)(de)專業網絡安全建設(she)商(shang)或測(ce)評(ping)(ping)人員可(ke)以(yi)依照以(yi)往(wang)客(ke)戶建設(she)/測(ce)評(ping)(ping)經(jing)驗(yan)以(yi)及對(dui)產品及信(xin)息系統(tong)的(de)(de)了解，初步(bu)判斷(duan)系統(tong)中的(de)(de)高(gao)風險項(xiang)、風險點(dian)推(tui)薦匹配產品，以(yi)期(qi)(qi)達(da)成或超(chao)過預期(qi)(qi)的(de)(de)分(fen)(fen)(fen)數。從而(er)在(zai)等(deng)級保護(hu)測(ce)評(ping)(ping)時(shi)，就算有(you)部分(fen)(fen)(fen)風險點(dian)未(wei)得(de)以(yi)改(gai)善(shan)的(de)(de)情(qing)況(kuang)下，也可(ke)以(yi)達(da)成或超(chao)過通(tong)過等(deng)級保護(hu)測(ce)評(ping)(ping)的(de)(de)分(fen)(fen)(fen)數。

這也是先測評再(zai)整(zheng)改還是先整(zheng)改再(zai)測評的關鍵(jian)點所在(zai)。

• 先測(ce)(ce)(ce)(ce)評再整改：可(ke)以根據等(deng)級保護測(ce)(ce)(ce)(ce)評機(ji)構現場初測(ce)(ce)(ce)(ce)后的專業建(jian)議進行整改，有的放矢。但如單(dan)位本(ben)身(shen)風險較大(da)、較多(duo)的情(qing)況(kuang)，涉及(ji)到設(she)備采購，需要方(fang)案立項(xiang)、申請預算、招(zhao)投(tou)標、合同供(gong)貨等(deng)流(liu)程后，等(deng)保測(ce)(ce)(ce)(ce)評機(ji)構再次測(ce)(ce)(ce)(ce)試通(tong)(tong)過才可(ke)以取得測(ce)(ce)(ce)(ce)評通(tong)(tong)過證書。適合于(yu)對(dui)通(tong)(tong)過測(ce)(ce)(ce)(ce)評時間不迫切(qie)，本(ben)身(shen)網(wang)(wang)絡安(an)全建(jian)設(she)了解不足、無(wu)專業人員(yuan)協助網(wang)(wang)絡安(an)全建(jian)設(she)規(gui)劃的單(dan)位。

• 先(xian)整改再測評(ping)(測評(ping)、整改同時(shi)進行(xing))：通過(guo)專(zhuan)(zhuan)業人員/專(zhuan)(zhuan)家的指導協(xie)助(zhu)，提前(qian)對網(wang)絡(luo)(luo)安全風險點進行(xing)加固，爭取等級(ji)保護測評(ping)機構現場測評(ping)時(shi)一次通過(guo)。但需要單(dan)(dan)位(wei)本身對網(wang)絡(luo)(luo)安全建設(she)標(biao)(biao)準由一定(ding)的了解，指導協(xie)助(zhu)的專(zhuan)(zhuan)業人員不光對政策(ce)標(biao)(biao)準有(you)足夠的研(yan)究，且對網(wang)絡(luo)(luo)安全建設(she)有(you)足夠的項(xiang)目(mu)經驗。適(shi)合(he)于(yu)通過(guo)測評(ping)時(shi)間有(you)要求(qiu)，自身對網(wang)絡(luo)(luo)安全建設(she)標(biao)(biao)準有(you)一定(ding)的研(yan)究或有(you)適(shi)合(he)的專(zhuan)(zhuan)業人員協(xie)助(zhu)的單(dan)(dan)位(wei)。

10、為什么不同(tong)(tong)供應商提供的(de)(de)方案清(qing)單會有不同(tong)(tong)，有的(de)(de)所采購的(de)(de)產(chan)品不同(tong)(tong)，有的(de)(de)同(tong)(tong)一產(chan)品采購的(de)(de)數量(liang)不同(tong)(tong)？

由于等級保(bao)護測(ce)(ce)評機構時根據(ju)標(biao)準要(yao)(yao)求(qiu)測(ce)(ce)評項進行(xing)測(ce)(ce)評，測(ce)(ce)評的(de)(de)(de)只是有沒有實現相關的(de)(de)(de)安全(quan)(quan)(quan)防護要(yao)(yao)求(qiu)，而非部署什么(me)產品，其(qi)提(ti)供(gong)的(de)(de)(de)整(zheng)改建(jian)議也以差距分析、需整(zheng)改項為主。故而即使(shi)有等級保(bao)護測(ce)(ce)評機構的(de)(de)(de)整(zheng)改建(jian)議，不(bu)同供(gong)應(ying)商提(ti)供(gong)網絡安全(quan)(quan)(quan)建(jian)設清單(dan)的(de)(de)(de)時候，根據(ju)其(qi)對政策標(biao)準、信息系統了解(jie)的(de)(de)(de)不(bu)同，以及其(qi)對產品、安全(quan)(quan)(quan)區域間安全(quan)(quan)(quan)防護能力理(li)解(jie)的(de)(de)(de)差異。以下一代防火墻的(de)(de)(de)部署為例：

• 同(tong)樣要(yao)(yao)(yao)達(da)成(cheng)“網絡區域(yu)邊(bian)界”要(yao)(yao)(yao)求中(zhong)的(de)(de)(de)(de)(de)(de)“邊(bian)界防(fang)(fang)護”“訪(fang)問控(kong)制”“入(ru)侵(qin)(qin)防(fang)(fang)范(fan)”，是采(cai)用“下(xia)一代(dai)防(fang)(fang)火墻+開啟入(ru)侵(qin)(qin)防(fang)(fang)御(yu)(yu)模(mo)塊(kuai)”(設(she)(she)(she)備(bei)(bei)+模(mo)塊(kuai))僅采(cai)購(gou)一臺設(she)(she)(she)備(bei)(bei)的(de)(de)(de)(de)(de)(de)方(fang)(fang)(fang)式，還是采(cai)用“下(xia)一代(dai)防(fang)(fang)火墻+入(ru)侵(qin)(qin)防(fang)(fang)御(yu)(yu)系(xi)統”(設(she)(she)(she)備(bei)(bei)+設(she)(she)(she)備(bei)(bei))采(cai)購(gou)兩臺設(she)(she)(she)備(bei)(bei)的(de)(de)(de)(de)(de)(de)方(fang)(fang)(fang)式，就需(xu)要(yao)(yao)(yao)結合業務(wu)系(xi)統的(de)(de)(de)(de)(de)(de)實(shi)際情況以及相關廠商設(she)(she)(she)備(bei)(bei)的(de)(de)(de)(de)(de)(de)功能(neng)性(xing)(xing)能(neng)實(shi)現來(lai)決(jue)定。在(zai)這(zhe)需(xu)要(yao)(yao)(yao)說明一點，廠商的(de)(de)(de)(de)(de)(de)網絡安全(quan)設(she)(she)(she)備(bei)(bei)都是由硬件(jian)+軟(ruan)件(jian)組成(cheng)，其實(shi)際性(xing)(xing)能(neng)取決(jue)于所(suo)配置(zhi)硬件(jian)的(de)(de)(de)(de)(de)(de)基(ji)礎算(suan)力和軟(ruan)件(jian)算(suan)法(fa)優化(hua)的(de)(de)(de)(de)(de)(de)程度決(jue)定的(de)(de)(de)(de)(de)(de)。采(cai)用“設(she)(she)(she)備(bei)(bei)+模(mo)塊(kuai)”必(bi)然對設(she)(she)(she)備(bei)(bei)的(de)(de)(de)(de)(de)(de)性(xing)(xing)能(neng)有(you)所(suo)影響。而采(cai)用“設(she)(she)(she)備(bei)(bei)+設(she)(she)(she)備(bei)(bei)”由于兩臺設(she)(she)(she)備(bei)(bei)的(de)(de)(de)(de)(de)(de)硬件(jian)都是為自身軟(ruan)件(jian)服務(wu)，性(xing)(xing)能(neng)上(shang)有(you)保障。另外由于采(cai)用“開啟入(ru)侵(qin)(qin)防(fang)(fang)御(yu)(yu)模(mo)塊(kuai)”的(de)(de)(de)(de)(de)(de)方(fang)(fang)(fang)式，其軟(ruan)件(jian)模(mo)塊(kuai)在(zai)安全(quan)防(fang)(fang)護功能(neng)的(de)(de)(de)(de)(de)(de)實(shi)現深度上(shang)必(bi)然不如單(dan)獨的(de)(de)(de)(de)(de)(de)“入(ru)侵(qin)(qin)防(fang)(fang)御(yu)(yu)系(xi)統設(she)(she)(she)備(bei)(bei)”。不過采(cai)用“設(she)(she)(she)備(bei)(bei)+模(mo)塊(kuai)”的(de)(de)(de)(de)(de)(de)方(fang)(fang)(fang)式由于出口網絡僅串(chuan)聯一臺設(she)(she)(she)備(bei)(bei)，故(gu)而其出現單(dan)點故(gu)障的(de)(de)(de)(de)(de)(de)幾率和產品性(xing)(xing)價比上(shang)要(yao)(yao)(yao)優于采(cai)用“設(she)(she)(she)備(bei)(bei)+設(she)(she)(she)備(bei)(bei)”的(de)(de)(de)(de)(de)(de)方(fang)(fang)(fang)式。

結論：采(cai)用(yong)“設(she)(she)(she)(she)備(bei)+模塊”的(de)方(fang)式(shi)，在(zai)產品性(xing)能(neng)(neng)及安全功能(neng)(neng)實現(xian)細節上要(yao)(yao)(yao)遜于“設(she)(she)(she)(she)備(bei)+設(she)(she)(she)(she)備(bei)”的(de)方(fang)式(shi)，但在(zai)設(she)(she)(she)(she)備(bei)故障幾率和價格(ge)上要(yao)(yao)(yao)優于“設(she)(she)(she)(she)備(bei)+設(she)(she)(she)(she)備(bei)”的(de)方(fang)式(shi)。“設(she)(she)(she)(she)備(bei)+模塊”的(de)方(fang)式(shi)適(shi)(shi)用(yong)于網絡(luo)(luo)安全防護(hu)流量(liang)(liang)較小、安全預(yu)算(suan)較少、對(dui)(dui)安全防護(hu)能(neng)(neng)力要(yao)(yao)(yao)求(qiu)較低的(de)單位；而“設(she)(she)(she)(she)備(bei)+設(she)(she)(she)(she)備(bei)”的(de)方(fang)式(shi)適(shi)(shi)用(yong)于網絡(luo)(luo)安全防護(hu)流量(liang)(liang)較大(da)、安全預(yu)算(suan)充足、對(dui)(dui)安全防護(hu)能(neng)(neng)力要(yao)(yao)(yao)求(qiu)較高的(de)單位。

• 互(hu)聯網出(chu)口(kou)(kou)、上(shang)/下級網絡(luo)聯網出(chu)口(kou)(kou)、服務(wu)器前端(duan)(duan)都(dou)部署(shu)下一代防(fang)火(huo)墻是(shi)不是(shi)為了多上(shang)設備(bei)坑預算，等保標準又(you)沒有明(ming)確(que)要(yao)部署(shu)。實(shi)際(ji)上(shang)不同(tong)位置的(de)(de)實(shi)現的(de)(de)功能(neng)效果及部署(shu)策略(lve)都(dou)是(shi)不同(tong)的(de)(de)，互(hu)聯網出(chu)口(kou)(kou)的(de)(de)防(fang)火(huo)墻主要(yao)過(guo)濾和防(fang)御來自互(hu)聯網的(de)(de)未(wei)知來源(yuan)威脅，訪(fang)(fang)問的(de)(de)業務(wu)相(xiang)對(dui)較(jiao)(jiao)復雜(za)，需要(yao)設置的(de)(de)防(fang)護(hu)策略(lve)相(xiang)對(dui)較(jiao)(jiao)復雜(za)、較(jiao)(jiao)難屏(ping)蔽(bi)安全(quan)風險因素；而上(shang)下級網絡(luo)由(you)于相(xiang)對(dui)較(jiao)(jiao)安全(quan)，其訪(fang)(fang)問來源(yuan)可控，訪(fang)(fang)問業務(wu)較(jiao)(jiao)明(ming)確(que)，需要(yao)設置的(de)(de)防(fang)護(hu)策略(lve)相(xiang)對(dui)較(jiao)(jiao)簡單明(ming)了、比(bi)(bi)較(jiao)(jiao)容易屏(ping)蔽(bi)來自上(shang)下級網絡(luo)的(de)(de)安全(quan)風險因素；而服務(wu)器前端(duan)(duan)部署(shu)防(fang)火(huo)墻，由(you)于服務(wu)器業務(wu)訪(fang)(fang)問的(de)(de)地址、端(duan)(duan)口(kou)(kou)、協(xie)議等相(xiang)對(dui)比(bi)(bi)較(jiao)(jiao)清晰簡明(ming)，在(zai)做安全(quan)防(fang)護(hu)策略(lve)時可以有針對(dui)性的(de)(de)屏(ping)蔽(bi)非業務(wu)訪(fang)(fang)問，有效堵截攻(gong)擊者的(de)(de)攻(gong)擊手段。

（來源(yuan)：天億網絡安全）