乐于分享
好东西不私藏

等保2.0完整全套实施方案(附等保国标下载)

等保2.0完整全套实施方案(附等保国标下载)

一、等保2.0 基础概述

1. 定义与法律依据

等保2.0 即网络安全等级保护2.0 制度2019 年 12 月 1 日正式实施,核心国标《GB/T 22239-2019 网络安全等级保护基本要求》,依据《网络安全法》第 21 条,属于全国强制合规制度,所有政企、事业单位信息系统必须落地。

2. 与等保 1.0 核心升级区别

对比维度

等保1.0(2008 旧标准)

等保2.0(2019 现行标准)

覆盖对象

仅传统服务器、内网业务系统

全覆盖:传统系统+ 云、大数据、物联网、工控、移动 APP、小程序、第三方接口平台

核心架构

物理、网络、主机、应用、数据5 层分散防护

统一标准架构:一个中心、三重防护(强制纵深防御)

法律效力

行业推荐,无强制处罚

写入法律,未备案、未测评可责令停业、行政处罚

安全维度

偏重技术设备防护

技术+ 管理 + 数据安全三位一体,新增数据加密、脱敏、个人信息保护硬性条款

管理要求

制度仅纸面要求,无落地强制记录

全流程留痕,培训、演练、权限变更、漏洞修复必须留存纸质/ 系统台账

测评规则

打分宽松,高风险可延后整改

核心控制点缺失一票否决,三级及以上高危漏洞零容忍

3. 完整标准体系(必用文件)

1.通用基础:GB/T22239-2019(基本要求,测评核心)、GB/T22240(定级指南)、GB/T28448(测评打分要求)、GB/T28449(测评实施流程)

2.专项扩展标准:云计算、物联网、工控、移动互联、大数据5 套扩展标准

3.上位法规:《网络安全法》《数据安全法》《个人信息保护法》《网络安全等级保护条例》

4. 五级保护等级定性(2.0 统一划分)

1.一级自主保护级:仅企业内部小型工具,无对外服务,无需公安备案、无需第三方测评,企业自行自查。

2.二级指导保护级:中小企业官网、普通OA、无海量隐私数据系统;必须备案,2 年 1 次测评,公安指导监管。

3.三级监督保护级(主流):政务、医疗、电商、APP、存储百万级个人信息系统;强制备案,每年1 次测评,常态化抽查,核心项一票否决。

4.四级强制保护级:省级核心政务、电网、铁路、金融清算等关键基础设施;每半年1 次测评,多部门联合监管,高风险无整改缓冲期。

5.五级专控保护级:国防、涉密国家级系统,国家专项管控,普通企业不涉及。

二、等保2.0 核心标准架构:一个中心,三重防护

1. 安全管理中心(总控大脑,三级及以上强制建设)

统一汇总日志、运维审计、账号管控、风险告警,实现三权分立:审计管理、设备管理、安全策略管理。核心组件:堡垒机、集中日志审计平台、统一身份IAM、态势感知(四级标配)。

2. 三重技术防护(纵深防御三道防线)

1.安全通信网络:网络分区、链路冗余、全网传输加密、网络设备日志采集;管控数据传输链路安全。

2.安全区域边界:互联网出口、内网分区、数据库区部署防火墙、WAF、IPS、数据库审计、单向网闸;管控内外访问入口。

3.安全计算环境:服务器、数据库、中间件、业务软件、终端、APP;管控系统内部账号、权限、漏洞、数据安全。

3. 配套底座:安全物理环境

机房门禁、监控、供电、消防、动环监测、防静电、介质销毁,所有等级均有基线要求,等级越高管控越严。

4. 五大安全管理域(全等级通用管理要求)

安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理(制度+ 人员 + 全流程台账)。

三、等保2.0 二级 / 三级 / 四级全维度建设标准(含配套安全资源)

(一)安全物理环境配套资源要求

项目

二级标准配置

三级强制配置

四级高配配置

门禁

单因子刷卡/ 密码门禁

双人双锁,人脸+ 刷卡双因子分级门禁

三道分级生物识别门禁(人脸+ 指纹)

监控

普通摄像头,录像留存≥30 天

机房全覆盖高清监控,留存≥90 天

音视频双录,入侵报警联动自动锁门

供电

基础UPS(续航≥30 分钟)

双路市电+ 长效 UPS

双市电+ UPS + 柴油发电机三级冗余

环境监测

简易温湿度人工记录

动环主机(漏水、烟感、温湿度、断电短信告警)

全机房7×24 自动监测,异常实时推送监管

消防

干粉灭火器

耐火隔墙+ 气体灭火系统

分区自动灭火,消防联动门禁

其他

纸质出入登记本

带锁机柜、介质碎纸销毁设备

电磁屏蔽机房/ 屏蔽机柜,外来人员全程陪同审计

(二)安全通信网络配套资源

1.二级基础VLAN 内外网隔离;外网业务 HTTPS 加密;网络设备基础日志本地存储;无链路冗余硬性要求。

2.三级(2.0 核心强制)四区逻辑隔离(互联网区、应用区、数据库区、运维区);内网跨区域通信加密;交换机、防火墙日志全部上送审计平台(留存≥6 个月);业务双线链路自动切换;网络设备分权账号,禁止共用管理员账号。

3.四级业务内网与办公网物理完全隔离;全网国密SM2/SM3/SM4 加密;全流量采集分析设备;每季度网络架构安全评审,禁止私自新增网络节点。

(三)安全区域边界硬件资源清单(2.0 测评必查)

1.二级标配:下一代防火墙NGFW;WAF、IPS、数据库审计均为可选。

2.三级强制全套设备(缺失直接大面积扣分)互联网出口:NGFW 防火墙 + Web 应用防火墙 WAF;内网分区:IPS 入侵防御系统;数据库前端:数据库审计系统;高危端口禁止对外映射,边界策略每月清理。

3.四级全套高配外网防火墙+ 单向物理隔离网闸 + 内网分区防火墙三重边界;WAF+IPS + 流量清洗 + APT 攻击检测;所有安全设备双机热备冗余;第三方接口全签名加密校验。

(四)安全计算环境(主机、数据库、软件、数据安全资源)

通用软件系统2.0 强制红线(全等级适用)

1.禁止明文存储/ 传输身份证、手机号、银行卡等敏感个人信息;

2.修复Fastjson、Log4j、Shiro、Struts2 等高危开源组件漏洞;

3.代码不得硬编码数据库账号、密钥、接口秘钥;

4.修复SQL 注入、XSS、文件上传、垂直 / 水平越权、CSRF 等 Web 通用漏洞;

5.会话自动超时、登录5 次锁定账号、接口防刷限流。

分等级硬件/ 软件资源

1.二级服务器、终端统一杀毒软件;本地单机备份;日志留存≥3 个月;口令复杂度策略,无双因素认证强制要求;季度漏洞扫描。

2.三级(2.0 硬性约束)管理员后台双因素认证;漏洞扫描每月执行,高危漏洞7 日内闭环;备份一体机实现本地+ 异地双备份,每季度备份恢复演练;数据库透明加密、敏感数据脱敏;主机、应用、数据库日志统一归集留存≥6 个月;终端准入管控,禁止外来设备接入生产网。

3.四级硬件国密加密机、硬件令牌多因子认证;三地异地多副本备份,月度恢复演练;每周漏洞扫描,高危漏洞24 小时修复;数据全生命周期加密、销毁溯源;代码安全审计平台常态化检测。

(五)安全管理中心配套平台(2.0 三级起强制)

1.二级:无强制管理中心,运维直连服务器,日志本地存储。

2.三级必配三大核心平台① 运维堡垒机:所有服务器、数据库远程运维必经堡垒,全程录像审计;② 集中日志审计平台:汇总全网设备、应用、主机日志;③ 统一身份管理平台:账号生命周期、权限审批统一管控。

3.四级新增安全态势感知SOC 平台、自动化漏洞闭环管理平台、安全事件工单处置系统,风险自动联动边界设备阻断攻击。

(六)安全管理体系软资源(制度+ 台账,2.0 重点扣分项)

1.制度文件全套(2.0 标准要求)安全总体策略、机房管理制度、账号权限管理、变更管理、漏洞管理、数据备份恢复、应急响应预案、第三方接口安全管理、介质销毁管理。

二级:精简基础制度3-5 份;

三级:全套完整制度,每年评审修订;

四级:分级管控安全策略,重大业务变更前置专家安全评审。

2.测评必查台账记录(必须真实可追溯,临时补录无效)机房出入登记、权限变更审批单、漏洞扫描修复台账、备份执行+ 演练报告、安全培训签到课件、年度应急演练完整材料、第三方服务商安全协议、介质销毁记录。

(七)人力与第三方配套服务资源

1.二级:运维兼职安全管理员;每2 年一次等保测评;按需季度漏洞扫描。

2.三级:专职安全管理员,关键岗位双人制衡;每年等保测评+ 年度渗透测试;每年至少 1 次应急演练、2 次全员安全培训。

3.四级:独立安全部门、专职安全团队;关键岗位强制轮岗、离岗审计;每半年等保测评、月度漏洞扫描、季度红蓝对抗攻防演练、重大上线前专家安全评审。

四、等保2.0 标准实施全生命周期流程(定级→备案→整改→测评→运维)

阶段1:资产梳理与系统定级(前置基础)

1.梳理系统边界:业务软件、服务器、数据库、第三方接口、小程序、云资源全部纳入;

2.判定系统破坏影响,就高不就低确定保护等级;

3.输出材料:系统拓扑图、资产清单、定级报告;三级及以上组织≥3 名行业安全专家评审。

阶段2:公安备案(测评准入门槛,2.0 强制)

1.全国互联网安全服务平台线上填报备案表;

2.线下向属地网安支队提交营业执照、法人证件、定级报告、拓扑、安全制度初稿;

3.审核通过领取备案证明,无备案不得开展第三方正式测评;系统重大改版30 日内更新备案信息。

阶段3:差距评估与安全建设整改(测评通过率核心)

1.对照GB/T22239-2019 开展预测评,出具差距整改清单,区分高 / 中 / 低风险;

2.硬件部署:机房改造、防火墙/ WAF / 堡垒机 / 日志审计等安全设备上线调试;

3.系统加固:服务器、数据库、业务软件漏洞修复、加密改造、权限梳理;

4.管理完善:全套安全制度编制、补齐全流程运维台账、组织安全培训与应急演练;

5.内部自测:漏洞扫描、渗透测试,闭环全部高风险问题。

阶段4:第三方正式测评(GB/T28449 标准四步流程)

1.测评准备:筛选公安备案持证测评机构,签订保密协议,交付全套系统资料;

2.编制专属测评方案,明确抽样范围、测试工具、人员分工;

3.现场测评:文档核查、人员访谈、机房现场勘查、工具漏洞扫描+ 渗透测试;

4.报告编制:按国标打分,划分风险等级,出具加盖资质公章的正式测评报告;

达标:结论为符合/ 基本符合,可提交网安备查;

不达标:出具差距清单,限期整改后复测。

阶段5:常态化持续运维与周期复测

1.二级:每2 年复测一次;三级每年复测;四级每半年复测;

2.系统迭代、新增第三方接口、扩容改造后,同步开展安全加固;

3.每月漏洞扫描、定期备份有效性校验、每年应急演练;

4.公安日常随机抽查测评报告、运维台账、安全设备运行状态。

五、等保2.0 测评高频一票否决项(严禁出现)

1.身份证、手机号、银行卡等敏感数据明文存储/ 明文传输;

2.对外Web 系统无 WAF 防护,存在可直接利用高危漏洞;

3.三级系统管理员仅单密码登录,未部署双因素认证;

4.无数据备份,或备份从未执行恢复演练、备份文件损坏;

5.业务软件存在垂直/ 水平越权、任意文件上传高危漏洞;

6.核心系统硬编码数据库密码、接口密钥,可直接抓包获取;

7.开发测试环境未隔离,外网可访问测试数据库;

8.三级系统缺失堡垒机、日志审计、异地备份任一强制安全设备;

9.日志留存时长不达标,支持管理员手动删除、篡改审计日志;

10.无任何应急演练、权限审批、漏洞修复台账,制度仅纸面文件无落地记录。

六、等保2.0 整体验收达标标准

1.技术层面:对应等级所有强制安全硬件、平台全部稳定在线运行,无高风险漏洞;

2.数据层面:敏感数据加密存储传输,备份策略、恢复演练完整可验证;

3.应用软件层面:Web、APP、后台系统全部修复高危漏洞,权限、审计、防攻击功能全部生效;

4.管理层面:全套安全制度完整,所有运维台账真实、连续、可追溯;

5.测评结论:第三方出具报告结论为符合/ 基本符合,满足属地公安监管核查要求。

等保国家标准方案免费获取方法

关注公众号,后台回复关键词等保国标