误区1:等保2.0和等保三级
最近经常有人问等保3.0,或者说他们要做等保3.0,顿时懵了!!!
哪有等保3.0,等保2.0于2019年12月1日才刚刚正式实施。
《GB/T22239-2019等保2.0标准文件》
后来仔细一想,这是等保2.0与3级等保搞混淆了。
等保2.0是一个安全标准,经历了1.0和2.0试运行稿,最终落地到现在的等保2.0,即很多人熟悉的“一个中心三重防护”,如下图所示。
而根据等保标准,网络安全可以分为5个级别(等保1.0和等保2.0都一样),项目中遇到最多的是等保3级。
所以,等保2.0和等保3级,你还会搞混淆吗?
误区2:等保1级和5级怎么做?
虽然等保分为5个级别,但实现项目落地的都是2、3和4级,最低的1级单位可以自行备案,但是有的地方不接受,不需要指定时间做等保测评,1级只是建议。5级基本不会做,其实原因很简单,等保5级信息系统受到破坏后,会对国家安全造成特别严重损害,这类系统一般都涉及国家秘密,走另一套安全体系-分级保护,不会用等级保护体系。
误区3:等保3级花多少钱,或买哪些设备?
三级等保花几十万到几百万,甚至上千万的都有,需要看客户业务规模和重要性,另外需要看客户预算,安全是个无底洞,有多少钱都能给你花完。所以问三级等保大概花多少钱,只能说从几十万都几百万不等。
另外一个可能大家比较关注的问题,就是三级等保需要买哪些设备。由于国内很多单位技术能力有限,有时直接上安全设备可能真是最简单的方式,但作为信息安全从业者,也要知道等保不完全等于安全设备,即使上了几百万安全设备,存在admin,123456这些弱口令高危漏洞,依然一票否决,等保评测肯定过不了。
最后,也给大家一个等保二级、三级参考产品清单:
二级等保要求及所需设备
三级等保要求及所需设备