《關鍵信息基礎設施安全保護條例》“關保條例

”以八章共五十五條的篇幅對關鍵信息

基礎設施安全保護做了相較于《網絡安全法》更為

詳細的規定，其中包括總則，支持與保障，關鍵信

息基礎設施范圍，運營者安全保護，產品和服務安

全，監測預警、應急處置和檢測評估，法律責任以

及附則，構建了關鍵信息基礎設施安全保護的整體

框架。《網絡安全法》2017年6月

1

日正式施行，其中第二十一條規定，

國家實行網絡安全等級保護制度。同時第三十一條

規定，對可能嚴重危害國家安全、國計民生、公共

利益的關鍵信息基礎設施，在網絡安全等級保護制

度的基礎上，實行重點保護。等級保護由基本制度、

基本國策，上升為法律。不做等保就是不合法。《網絡安全等級保護條例》主要是依據《網絡安全法》《保守國家秘密法》制

定的。從《網絡安全等級保護條例》看等保

1.0

到等保2.0

的重要變化:核心法律依據的效力位階提高

;等級分類的界定有所調整(第三級)

;測評周

期變化(第三級以上的網絡運營者應當每年開展一次網絡安全等級測評)。《國家安全法》第二十五條

國家建設網絡與信息安全保障體系，提升網絡與信息安全保護能力，加強網絡和信息技術的創新研究和開發應用，實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控；網絡安全領域國家相關法律要求《網絡安全法》第五十九條?網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的，

由有關主管

部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬

元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。《網絡安全法》第七十二條?國家機關政務網絡的運營者不履行本法規定的網絡安全保護義務的，

由其上級機關或者有

關機關責令改正；對直接負責的主管人員和其他直接責任人員依法給予處分。《刑法》第二百八十?

不履行信息網絡安全管理義務罪。造成違法信息大量傳播、用戶信息泄漏，造成嚴重后果

的。處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。等保檢查不合規結果的部分處罰條例六條2020年8月，桂林市公安局網安支隊聯合七星分局網安大隊，某著名企業開展日常檢

查。檢查時發現該公司網站存在安全漏洞，網頁遭

到篡改。經查該公司存在相關網絡日志留存不足六

個月、對網絡安全重視程度不夠、

網絡安全意識淡

薄等行為。依據《網絡安全法》第

二十一條、第五十九條之規定，對廣西某著名企業依法處以警告行政處罰。桂林市公安局網安支隊接上級通報，陽朔縣某協會

網站被黑客入侵，植入木馬病毒。經查，該協會沒

有采取完善的網絡安全監測、

防護技術措施，長時

間不管理

、

不更新，導致網站被植入木馬

。

依據

《網絡安全法》第二十一條、第五

十九條之規定，對陽朔縣某協會依法處以警告行政

處罰并責令整改。近日某著名企業網站存在安全漏洞，網頁遭篡改成賭博網站。經現場檢查，發現其公司網絡運營者對網絡安全重視程度不夠、

網絡安全意

識淡薄，且不履行網絡安全義務等導致其網站被篡改成賭博網站。依據《網絡安全法》第二十一條、第五十九條之規定，對某著名企業給予行政罰款10000元行政處罰，對網站

負責人給予行政罰款5000元的行政處等保檢查不合規結果的處罰案例某著名企業網頁被篡改案某著名企業網頁被篡改案某協會網站被黑客植入木馬案變化項等保1.0等保2.0名稱變化信息系統安全等級保護網絡安全等級保護（與網絡安全法相銜接

）定級對象信息系統信息系統、基礎信息網、云平臺、大數據平臺、

工控、物聯網系統和某著名企業互聯網。安全要求基本安全要求安全通用要求+安全擴展要求1.

等保2.0測評原來60分即可合格，現在要求70分，且不能有高風險項。2.等保1.0關注網絡層的安全防護,等保2.0現在更關注基于應用層面的動態安全防護。3.

等保1.0重視網絡邊界的防御，等保2.0對整體安全的建設都做了相應的要求，比如三重防御一個中心（通信安全、

區域邊界、計算環境安全及管理中心）、物理安全等。4.等保2.0強調對新型攻擊的檢查和防御，可以通過沙箱、威脅情報、蜜罐、大數據等安全技術來滿足此類要。如解決現在0day

漏洞、APT攻擊、勒索病毒等高風險等保2.0對比1.0的升級內容定級備案整改測評復核業主方確定安全保護等級，填

寫定級備案表、編寫定

級報告準備備案材料，到當地公安機關備案建設符合等級要求的安

全技術和管理體系準備和接受測評機構測

評等保三級每年核查一次

等保二級每兩年核查一

次網安支隊當地網安受理備案材料

確定定級合理公安機關監督檢查運營、

使用單位是否按要求開

展等級保護工作安全集成商協助業主確認定級對象

為業主提供定級咨詢服

務，輔導建設單位準備

定級報告，并組織專家

評審輔導業主單位準備備案

材料和提交備案申請依據相應等級要求對當

前實際情況進行差距分

析，針對不符合項以及行業特性要求進行個性

化的整改方案設計，協助業主單位完成建設整

改工作在測評階段會協助運營、

業主單位配合測評中心

開展等級測評工作，并

保障順利通過等保測評

獲得測評報告根據業主單位需要配合

完成自查工作，協助運營、業主單位接受檢查

和進行整改測評機構對定級和等保前期咨詢協助業主完成備案對等級保護對象的建設

情況按照等保建設標準

進行差距評估，給出評

估報告指導業主方，按照測評建議完成建設要求等保2.0的工作流程及內容業務推動?（等保升級）2020年開始等保按照2.0等保

1.0標準是2008年發布的,已經十多年了。這期間,網絡安全形勢發生了翻天覆地的變化,比如說原來關注三四層的安全防護,現在更關注基于應用層面的安全防護的標準執行，咱們這邊之前按照

1.0的標準建設的等保

，今年有進行2.0升級的計劃嗎？?

2.0相比

1.0的測評標準也不一樣了，1.0時候60分即可通過，2.0標準要70分且不能有高風險項，同時對網絡安全的建設標準

有了更高的要求，如果不進行升級建設的話后邊復核會無法通過的。事件推動?

1、（突發安全事件）最近發生的xxx事件影響挺大的，對xxx的業務造成的損失以及業內造成的不良影響挺大的，咱們單位有做

相關問題的排查嗎？?2、（監管單位通報）近期xxx單位下發了《xxx》文件進行安全檢查，咱們準備好應對策略了嗎？?

1、（法律規章制度）Xxx政策在xxx時間開始已經開始實施了，現在xxx部門已經開始進行安全建設檢查了，咱們單位是不是也

收到相關的通知？?2、（建設指導）最近xxx單位下發了關于網絡安全等保的建設指導，并且有具體的建設結果考核，咱們單位的建設方案制定好了

嗎？?

3、（整改檢查）近期主管單位組織了網絡安全主題檢查活動，其中等保是檢查重點，咱們有收到檢查的通知嗎？等保2.0項目推廣話術政策推動建設背景?確定客戶做等保的起因和建設預期（要做幾級、是否為合規而作）

，是上級建設指導還是業務發展的安全需要。輸出文字內容，便于后期定制方案。資金來源?明確資金來源，資金形式。便于確定項目時間、采購形式等。網絡狀況?了解現狀，拿到拓撲。便于了解項目規模和后期定制方案。項目周期?了解建設進展，以及項目周期。便于把控項目全局，不同階段采取不

同策略，明確定級、備案、差評、建設、復審時間點。競爭情況?明確項目局勢，了解參與方。

明確敵我，把控全局。等保2.0項目需求五要素0102030405計算環境安全?

重要核心設備、安全設

備、操作系統、數據庫

性能允提下，開

啟用戶操作類、安全事

件類和重要用戶操作、行為操作審計策略或使

用第三方日志審計工具。?

重要核心設備、操作系

統等需要采用兩種或兩

種以上鑒別技術對用戶

身份進行鑒別。安全管理中心?

部署日志服務器，統一

收集各設備的審計數據，

進行集中分析，并根據

法律法規的要求留存日

志。?

對網絡鏈路、安全設備、

網絡設備和服務器等的

運行狀況進行集中監測。通信安全?

互聯網出口需具備安全

訪問控制措施，且策略

配置得當；?

口令、密鑰、個人敏感

信息再傳輸過程中需加

密，不可明文直接傳輸。邊界安全?

網絡邊界需具備相關措

施，保障入網終端、設

備經過授權并管理在冊，

終端需制定告警、權限

管控、阻斷等措施。?

邊界需部署相關防護和

檢測設備，提供安全檢

測和攻擊防御，確保威

脅不會進入內網，也保

障內網出現威脅不進一

步擴散。高危風險項舉例（高危風險項具有一項否決能力）安全區域邊界

下一代防火墻

入侵檢測/防御

上網行為管理

安全沙箱

動態防御系統

身份認證管理

流量安全分析

WEB應用防護

準入控制系統建設要點?

強化安全邊界防護及入侵防

護?

優化訪問控制策略

安全通信網絡

下一代防火墻

VPN

路由器

交換機建設要點?

構建安全的網絡通信架構?

保障信息傳輸安全

安全計算環境

入侵檢測/防御

數據庫審計

動態防御系統

網頁防篡改

漏洞風險評估

數據備份

終端安全

安全管理中心

大數據安全

IT運維管理

堡壘機

漏洞掃描

網站監測預警

等保安全一體機

等保建設咨詢服務建設要點?

強調系統及應用安全?

加強身份鑒別機制與入侵防

范建設要點?

對安全進行統一管理與把控?

集中分析與審計?

定期識別漏洞與隱患等保2.0技術保護方案規劃序號等保所需產品等保二級等保三級13安全流量分析可選可選14等保一體機可選可選15垃圾郵件網關可選必備16沙箱系統可選可選17態勢感知可選可選18終端準入系統可選必備19VPN網關可選可選20虛擬化安全系統可選必備21網閘可選可選22動態防御系統可選可選23網站監測預警系

統可選可選24備份與恢復系統可選必備序號等保所需產品等保二級等保三級1防火墻必備必備2入侵防御必備必備3日志審計必備必備4漏洞掃描必備必備5上網行為管理必備必備6WFA應用防火墻可選必備7堡壘機可選必備8數據庫審計可選可選9網站防篡改可選必備10運維管理系統可選可選11網絡版殺毒軟件必備必備12未知威脅防御可選可選等保2.0網絡安全設備配置建議

考核錄用人員專業

技能，簽署協

議。

離崗人員及時回收

權限、