对于大多数网络运营者来说，做等保已经不是陌生的事情了。等级保护2.0制度实施一周年了，《网络安全等级保护测评高风险判定指引》近日也正式实施。为了提醒用户提高对等保工作的重视，我们整理了开展等保工作常见的误区和雷区。企业可以对照自查，检测等保工作做得如何？

等级保护工作十大工作误区

1.不做等保只要不出事就行？

根据《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

因此，不做等保就属于不履行相关的法律义务。国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例，所以等保工作需要被重视起来，及时开展。

2.等保就是做个测评就可以？

等级保护工作不仅只是一个测评，而是包含定级、备案、测评、建设整改和监督审查五项内容，测评只是其中一项也是开始，更重要的是通过测评寻找出差距，分析出目前系统存在的风险，及时查漏补缺，进行安全建设整改，提高信息系统的安全防护能力，降低系统受到攻击破坏的概率。

3.系统定级越低越好？

系统的最终定级是根据受侵害的客体以及对客体侵害的程度来确定的，以事实为根据，而不是主观随意定级。定级低了，表面上要求更容易满足，但相应的防护措施也相对不足，一旦遭受攻击，反而得不偿失。

4.系统定完级就一直会被监管了

所有非涉密系统都属于等级保护范畴，没有定级不代表不需要被监管。定级后或者被监管，主管单位会在重点时刻对我们的重要信息系统进行一定扫描及保护，会及时告知发现的一些问题，避免发生网络安全攻击事件；同时一些重要的政策要求或者行业会议，也会通知参会，方便及时了解最新的网络安全形势，有利于网络安全工作的开展。

5.已经托管到云的系统不需要做等保？

根据“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，该系统责任主体还是属于网络运营者自己，所以还是得承担相应的网络安全责任，该进行系统定级的还是得定级，该做等保的还是得做等保。

系统上云或托管后，并不是安全责任主体转移，只是系统所在机房地址的变更，当然在公有云模式下，Iaas、Paas、Saas不同模式相应的安全责任会有些区别，但是并不是没有责任。

6.云系统到哪里进行系统定级备案？

云系统由于部署在各类云平台上面，而云平台的实际物理地址往往和云系统网络运营者不在同一地址，大型云平台还有许多物理节点，很难确定云平台的具体物理地址，因此从方便属地公安机关监管的角度出发，应该在系统实际运维团队所在地市网安部门进行系统备案。

7.一个单位只要做一个等保测评就可以？

等保测评是按照信息系统来的，以一个信息系统为测评整体，并不是按照一个单位去做的。

一个完整的信息系统包括承载其的物理机房、服务器、主机、应用、数据库、网络设备及安全设备等，测评除了这些具体的实体对象，还包括相对应的安全管理制度。

8.等保测评只要做一次就可以？

等保工作是一个持续的工作，等保测评也是一个周期性的工作，三级及以上系统要求每年测评一次，二级系统部分行业明确要求每两年测评一次，没有明确要求的行业一般建议两年做一次测评。

9.内网不需要做等保？业务系统不对外，不需要做等保？

从技术角度而言，内网不代表安全，并且纯粹的物理内网并不多见，或多或少都以直接或间接的方式与互联网有联系。

从法律法规的角度来说，所有非涉密系统都属于等级保护范畴，和系统在外网还是内网没有关系。

其次在内网的系统往往其网络安全技术措施做的并不好，甚至不少系统已经中毒或已经有黑客潜伏，所以不论系统在内网还是外网都得及时开展等保工作。

10.等保测评做完要花很多钱去整改？

整改花多少钱取决于信息系统等级、系统现有安全防护措施状况以及网络运营者对测评分数的期望值，不一定要花很多钱。

整改的内容大体分为：安全制度完善、安全加固等安全服务以及安全设备的添置。

在安全制度及安全加固上网络运营者自己可以做很多整改工作或者委托供应商进行加固。这些内容整改好，加上一定的安全技术措施，大致上可以满足基本符合的要求，所以花多少钱要看怎么去做或者对网络安全的期望值是多少。

等级保护工作十大工作误区已经是老生常谈的事情了。在这里，葫芦娃集团还是要提醒你，等保不是免责的安全牌，理解、使用网络安全等级保护制度标准，结合业务的特点开展体系化的网络安全管理工作才是正确的举措。

除此之外，在做等保时，还需要注意一些雷区千万不能“踩”，如果你的单位未注意以下雷区，等保测评就会是“差”。

等级保护工作八大工作雷区

1.云计算平台不在国内的不能选

二级及以上云计算平台其云计算基础设施需位于中国境内。如果选择了境外的云平台，那么等保肯定过不了。

2.内部只有一个网段的不符合

二级及以上系统，应将重要网络区域和非重要网络区域划分在不同网段或子网。生产网络和办公网络，对外和对内的服务器区混在一起的都是高危风险。

3.不受控的无线网络随意接入内部网络

三级及以上系统，无线网络和重要内部网络互联不受控制，或控制不当，通过无线网络接入后可以访问内部重要资源，这是高风险项，所以在三级及以上系统中要对非法接入行为进行管控，建议大家上安全准入设备，不仅仅只针对无线网络管控。

4.无法对外部网络攻击行为进行检测、防止或限制

二级系统在网络边界至少部署入侵检测系统，三级及以上系统在网络边界应至少部署以下一种防护技术措施：入侵防御、WAF、反垃圾邮件系统或APT等。

5.未配备日志审计的不符合

二级及以上系统无法在网络边界或关键网络节点对发生的网络安全事件进行日志审计，包括网络入侵事件、病毒攻击事件等。对关键网络设备、关键主机设备、关键安全设备等未开启审计功能同时也没有使用堡垒机等技术手段的也是不符合要求的。也就是以后只要做等保，日志审计将是一个标配，否则就是不符合。

6.重要数据存储保密性没有保护措施的不符合

三级及以上系统应采用密码技术保证重要数据（如鉴别数据、重要业务数据和重要个人信息）在存储过程中的保密性。如果这些重要数据是明文方式存储又没有部署数据库防火墙、数据库防泄漏等产品的是高风险项。

7.没有数据备份措施的不符合

二级及以上系统应提供重要数据的本地数据备份和恢复措施，建议大家配备数据备份一体机，及时对自己的重要数据进行备份。另外重要数据、源代码等备份到互联网网盘、代码托管平台等不可控环境的也可以直接判为不符合，所以大家注意了，不要随便把自己的数据备份到不可控的外部环境。

8.违规采集、存储、访问和使用个人信息的不符合

二级及以上系统在未授权的情况下采集、存储用户个人隐私信息或采集、保存法律法规、主管部门严令静止采集、存储的个人隐私信息。未授权使用或非法使用个人信息都是高风险。

以上就是开展等保工作需要注意的十大误区和八大雷区，如果你正在或将要做等保，这些内容一定要知道。

【版权提示】葫芦娃集团尊重并保护版权。部分图片/素材来源于网络，如有侵权请及时告知我们处理。