三、网络安全防护建设过程中的十问：

1、去网安部门做了备案，拿到备案证明，是否等于通过等保？备案后多久需要完成等保测评？

备案证明并不等同于通过等保，备案只是说明你的某个业务系统准备做对应等级的网络安全防护，通过等级保护测评会由相关部门发放等保测评通过的通知或证书。一般通过三级以上等保测评的通知或证书上都会有证书的有效期，到有效期后需要重新对信息系统进行等保测评；但如果信息系统没有新的业务或者网络改造调整等对等保测评项可能有影响的变因，则一般不需要再次进行网络安全整改。

一个二级或三级的系统现场测评周期一般一周左右，具体时间还要根据信息系统数量及信息系统的规模，以及双方的配合度等有所增减。小规模安全整改（管理制度、策略配置、技术整改）2-3 周，出具报告时间一周，整体持续周期 1-2 个月。如果整改不及时或牵涉到购买设备，时间不好说，但总的要求一般为一年内要完成。

2、通过等级保护测评以后，是不是不会再出安全事故？

通过等级保护测评只能说明在测评的时候，业务系统达到了对应等级的防护强度，不等于业务系统的“保命符”。毕竟骇客攻击的时候不会去看系统通没通过等级保护测评，骇客看的是攻破业务系统本身的难度与其自身的实力的差距，以及攻破业务系统对于其所带来的经济或其他价值所产生的“性价比”。

通过等级保护测评后，以下方面有可能导致出现安全事故：

骇客能力超过了业务系统所对应等级的防护强度

网络安全防护设计存在不足、网络安全设备未有效使用或策略设置不当、设备厂商出现漏洞被骇客利用、设备规则库未及时更新或无法满足业务系统所需性能等

安全管理制度落实不到位、安全管理人员缺乏培训(安全能力、安全意识不足)、应急演练不足(出现安全事件时不能及时有效应对)等

3、拿到等保测评通过证书后，一但出现安全事故是否可以规避或减轻追责？

拿到等级测评通过证书不等于拿到了“免死金牌”。按照标准完成了等级保护测评，可以在一定程度地规避风险，不等于抛弃网络安全责任，也不是将安全责任交给等级保护测评机构或其他第三方。出现安全事故后，安全责任的追责基本为以下几种情况。

等保工作没有开展，出了网络安全事故，安全责任肯定是甲方自己去承担。

等保工作开展了，高危风险没有及时去整改，出了问题，安全责任主要责任也是甲方的。

等保工作开展了，测评机构测评不合规，对已有高危风险未检测出而导致的安全问题，主要责任应当由测评机构承担，甲方负有次要责任。

等保工作开展了，发现的高危风险及其他风险也及时整改了，出了网络安全事故，主要责任不属于甲方。

4、我已经上了安全设备，为什么还会出现出安全事故？

采购部署了安全设备，也不是就把安全漏洞都给完全修复了。网络安全防护是修“防洪堤”的工程，我们需要保障其合理适度的基础上，及时根据系统现状做查漏补缺和技术升级。如果设备上了以后没有做好以下的几个方面，安全事故发生的几率就会加大。

网络安全建设规划不当：网络架构不合理；系统安全区域划分不合理；安全设备部署位置不当；安全设备功能及策略规划不合理等

网络安全运维管理不足：网络设备规则库未及时更新；性能不能满足业务系统需求未及时更换；信息系统设备及网络安全设备管理权限不清晰、责任划分不明确等

安全管理执行不到位：安全管理制度浮于形式；网络安全人员培训不足，对新型威胁及行业发展动态了解缺乏；应急响应方案设计不当；应急演练进行过少，出现网络安全事件时反应不当、反应不及时等。

5、应该如何选择安全厂商的产品？

网络安全建设实践过程中，我们应从等保合规和业务系统实际安全风险两个角度区选择产品：

当信息系统相较无特殊安全风险时，产品的选择基本遵从等保合规的角度出发，选择有相关认证证书的产品优先。如“计算机信息系统安全专用产品销售许可证”，“中国国家信息安全产品认证证书”，“计算机软件著作权登记证书”，“信息技术产品安全分级评估”，“涉密信息系统产品检测证书”，“军用信息安全产认证证书”等；大部分主流安全厂商常规合规产品基本都能满足，如启明星辰、天融信、网御星云、奇安信(原360企业安全)、深信服等。

当信息系统有特殊安全风险时，产品除了满足等保合规的基础上，也要考虑特殊安全风险的防护，而这些特殊防护需求的安全防护设备是一些主流厂商没有或者不具优势的。如业务系统数据库中有公民个人信息，而业务系统有外包开发或对外提供公民个人数据印证等情况，则涉及到数据脱敏相关设备；信息系统覆盖范围大、信息端口多，存在非法设备内联网络的风险，则涉及到网络准入相关设备；如业务系统操作者操作责任关联现实身份较强，涉及到操作失误后操作者身份的认定，身份鉴别需求较高，则涉及到CA数字证书相关设备等。

6、网络完全建设时，是采购同一厂商的产品比较好，还是采购不同厂商的产品比较好？

网络安全建设时，采购同一厂商同一品牌的产品好处在于后期安全运维难度较小、后续安全服务保障更好，会一定程度的降低安全管理人员的能力需求和运维压力；缺点是该厂商出现安全漏洞时安全风险加大，厂商服务不到位时替换成本较高，依赖性强等。

采购不同厂商的产品好处在于差异化防护，有效避免个别厂商出现安全漏洞时的安全风险，对厂商服务的依赖性降低，可以比较不同厂商的产品和服务，增加选择空间；缺点是对安全管理人员的能力及精力需求较高，出现安全事故时可能无法判定出现安全风险的设备，互相推诿攻击等。

故而采购设备时应综合考虑①单位信息安全管理人员编制数量；②单位信息安全管理人员能力及培养规划；③意向厂商产品业内认可度；④意向厂商本地化服务能力或经销商本地化服务能力等因素，综合判断后来选择采购方式。

7、在预算有限的情况下，该如何合理的进行网络安全防护建设？

在预算有限的情况下，我们需要先对单位的信息系统现状、未来3~5年单位的信息系统建设规划、单位业务系统安全风险点进行综合调研后，做好安全建设规划。先对网络架构进行优化，明确不同安全区域间的安全风险及安全防护策略需求，区分重点安全防护风险以匹配对应产品，非高风险防护产品列入后续安全建设规划(避免重复建设)，购买性能合适的产品(避免设备性能不足影响安全防护效果，性能过高造成资金浪费)。

8、在对产品性能指标不太了解的情况下，该选择什么性能的产品？

对各种产品性能指标了解不足的情况下，选择产品可以通过咨询相关产品技术人员、业内专家、实际产品测试等方式选择。通用等保合规产品的主要选型要素如下：

下一代防火墙：主要为吞吐量、应用层吞吐量、并发连接数、每秒新建连接数，主要考虑设备部署位置实际业务数据带宽。需注意的是吞吐量参数不等同于实际可管理带宽能力，不同厂商的相同吞吐量设备，因厂商设备硬件配置差异、软件优化差异等存在一定差异；特别是当下一代防火墙开启入侵防御、病毒查杀、VPN等功能后，其实际防护流量大幅下降的情况下。在无法有效判断的情况下，可以考虑设备测试后再行采购。

上网行为管理：主要为可管理带宽(推荐带宽)、最大可管理人数，主要考虑互联网出口带宽及互联网访问人数。

堡垒主机、日志审计：主要为授权管理设备数，主要考虑需管理的网络设备及系统数量。

9、供应商提供一份产品采购清单后，承诺一定可以通过等保测评，是否可信？

基本不可信。等级保护测评是有其测评标准、测评项权重及算分标准的，在对业务系统进行全面的测试、判定高风险项并改善、通过算分得出判定结论前，是无法判定业务系统通过的。不过由于等级保护是按照标准要求来进行测评的，故而有经验的专业网络安全建设商或测评人员可以依照以往客户建设/测评经验以及对产品及信息系统的了解，初步判断系统中的高风险项、风险点推荐匹配产品，以期达成或超过预期的分数。从而在等级保护测评时，就算有部分风险点未得以改善的情况下，也可以达成或超过通过等级保护测评的分数。

这也是先测评再整改还是先整改再测评的关键点所在。

先测评再整改：可以根据等级保护测评机构现场初测后的专业建议进行整改，有的放矢。但如单位本身风险较大、较多的情况，涉及到设备采购，需要方案立项、申请预算、招投标、合同供货等流程后，等保测评机构再次测试通过才可以取得测评通过证书。适合于对通过测评时间不迫切，本身网络安全建设了解不足、无专业人员协助网络安全建设规划的单位。

先整改再测评(测评、整改同时进行)：通过专业人员/专家的指导协助，提前对网络安全风险点进行加固，争取等级保护测评机构现场测评时一次通过。但需要单位本身对网络安全建设标准由一定的了解，指导协助的专业人员不光对政策标准有足够的研究，且对网络安全建设有足够的项目经验。适合于通过测评时间有要求，自身对网络安全建设标准有一定的研究或有适合的专业人员协助的单位。

10、为什么不同供应商提供的方案清单会有不同，有的所采购的产品不同，有的同一产品采购的数量不同？

由于等级保护测评机构时根据标准要求测评项进行测评，测评的只是有没有实现相关的安全防护要求，而非部署什么产品，其提供的整改建议也以差距分析、需整改项为主。故而即使有等级保护测评机构的整改建议，不同供应商提供网络安全建设清单的时候，根据其对政策标准、信息系统了解的不同，以及其对产品、安全区域间安全防护能力理解的差异。以下一代防火墙的部署为例：

同样要达成“网络区域边界”要求中的“边界防护”“访问控制”“入侵防范”，是采用“下一代防火墙+开启入侵防御模块”(设备+模块)仅采购一台设备的方式，还是采用“下一代防火墙+入侵防御系统”(设备+设备)采购两台设备的方式，就需要结合业务系统的实际情况以及相关厂商设备的功能性能实现来决定。在这需要说明一点，厂商的网络安全设备都是由硬件+软件组成，其实际性能取决于所配置硬件的基础算力和软件算法优化的程度决定的。采用“设备+模块”必然对设备的性能有所影响。而采用“设备+设备”由于两台设备的硬件都是为自身软件服务，性能上有保障。另外由于采用“开启入侵防御模块”的方式，其软件模块在安全防护功能的实现深度上必然不如单独的“入侵防御系统设备”。不过采用“设备+模块”的方式由于出口网络仅串联一台设备，故而其出现单点故障的几率和产品性价比上要优于采用“设备+设备”的方式。

结论：采用“设备+模块”的方式，在产品性能及安全功能实现细节上要逊于“设备+设备”的方式，但在设备故障几率和价格上要优于“设备+设备”的方式。“设备+模块”的方式适用于网络安全防护流量较小、安全预算较少、对安全防护能力要求较低的单位；而“设备+设备”的方式适用于网络安全防护流量较大、安全预算充足、对安全防护能力要求较高的单位。

互联网出口、上/下级网络联网出口、服务器前端都部署下一代防火墙是不是为了多上设备坑预算，等保标准又没有明确要部署。实际上不同位置的实现的功能效果及部署策略都是不同的，互联网出口的防火墙主要过滤和防御来自互联网的未知来源威胁，访问的业务相对较复杂，需要设置的防护策略相对较复杂、较难屏蔽安全风险因素；而上下级网络由于相对较安全，其访问来源可控，访问业务较明确，需要设置的防护策略相对较简单明了、比较容易屏蔽来自上下级网络的安全风险因素；而服务器前端部署防火墙，由于服务器业务访问的地址、端口、协议等相对比较清晰简明，在做安全防护策略时可以有针对性的屏蔽非业务访问，有效堵截攻击者的攻击手段。