無論是多部網絡安全法律法規的出臺，還是最近的“滴滴被安全審查”事件，我們聽得最多的一個詞，就是“等保。”

??

只要你接觸安全類工作，聽得最多的一個詞，一定是“等保。”

那么，到底什么是“等保”呢?

等保，全稱叫“信息安全等級保護”，它是一種強制性的標準。簡單地說，一些特定的行業或者企業，如果沒有過等保，就不讓經營。

比如互聯網醫療行業，想取得線上診療資質，就必須過等保。

211、985大學的互聯網+教育，比如學生管理系統、學校官網等，也必須過等保。

之所以很多行業，需要過等保，只有一個目的：保護信息安全。

試想一下，如果互聯網金融行業，不過等保，會是什么后果。

?[[417358]]?

一些沒有實力的企業，很輕易的進入互聯網金融行業，隨意搞一個漏洞百出的軟件，用戶所填寫的姓名、手機號、身份證，甚至是人臉信息，很容易被竊取。

這些可能還不算什么，更嚴重的，還可能威脅國家安全。

等保的作用就體現出來了。

經過定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段，全方位測評企業的信息系統安全，不合格不讓經營。

雖然過等保不能保證信息系統的絕對安全。但無疑會提高遭遇攻擊，以及信息泄露的門檻。

????

等保到底在“保”什么?

等保評級，會從七個維度進行測評。

1. 物理安全

物理安全包含物理位置的選擇、物理訪問控制、防火、防盜、防破壞、防雷擊、防水防潮、防靜電、溫濕度控制、電力供應電磁防護。

簡單的舉個例子，網站的服務器不能隨意放置，機房必須具備防震、防風、風雨等功能，最次的也要符合當地的抗震設防標準。而且位置不能在地下室、也不能在頂層。

再比如機房的入口有沒有安排專門的人員值守、控制、鑒別和記錄進出的人員等等。

這些都是物理安全的評測范圍。

2. 網絡安全

網絡安全包括結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護幾項。

這一部分比較容易理解。業務高峰期，必須擁有足夠的帶寬，保證服務器不會宕機。對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行記錄等等。

3. 主機安全

主機安全包括身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制等。

這一部分要求企業應對登錄操作系統和數據庫的用戶，進行身份標識和鑒別，啟用訪問控制功能，控制用戶對資源的訪問。

還要能夠檢測和記錄對重要服務器的入侵行為，如入侵的源IP、攻擊類型、攻擊目的、攻擊事件等等。

4. 應用與數據安全

包含應用安全和數據安全及備份恢復。

要求企業提供異地數據備份、本地數據備份等，還規定了備份頻率，滿足災難恢復策略的要求。

5. 制度與人員安全

這一部分是總體要求，對于安全相關的各類活動都要有相應的制度規范，比如機房管理、保密制度等。

6. 系統建設管理

這一部分企業能做的不多。雖然企業可以自己組織專家組為系統定級，但由于成本和復雜度等因素，一般會聘請第三方專家來為系統定級。

第三方專家對總體安全策略、安全技術框架、安全管理策略、總體建設規劃等進行論證和審定。

7. 系統運維管理

等保要求企業要制定專門的人員，對機房供配電、空調等設施進行維護管理，保護機房安全。具體所需要的要求也非常多。

以上七個部分的內容，只是簡單的提了一下，實際上真正的等保測評非常復雜，而且事無巨細。

??

等保一共分五個等級，一般來說企業做最多的是二級等保和三級等保。畢竟很少有企業會涉及到國家安全層面。