中小企业等保建设白皮书

中小企业等保建设白皮书（以下简称为“报告”）为谷安研究院与安全牛联合研究成果，并授权安全牛独家发布，版权为安全牛拥有，其性质是安全牛面向客户所提供的行业参考性资料，其数据和结论仅代表谷安研究院与安全牛的观点。报告购买后仅限于内部使用，未经安全牛审核、确认及书面授权，购买报告的客户不得以任何方式，在任何媒体上（包括互联网）公开引用本报告的观点和数据，不得以任何方式将报告的内容提供给其他单位或个人。否则引起的一切法律后果由该客户自行承担，同时安全牛亦认为其行为侵犯了安全牛的著作权，安全牛有权依法追究其法律责任。报告中未注明来源的所有图片、表格及文字内容的版权归安全牛所有。有侵权行为的个人、法人或其它组织，必须立即停止侵权并对其因侵权造成的一切后果承担全部责任和相应赔偿。否则安全牛将依据中华人民共和国《著作权法》、《计算机软件保护条例》等相关法律、法规追究其经济和法律责任。本声明未涉及的问题参见国家有关法律法规，当本声明与国家法律法规冲突时，以国家法律法规为准。本报告中部分图表在标注有数据来源的情况下，版权归属原数据所有公司。安全牛取得数据的途径来源于厂商调研、用户调研、第三方购买、国家机构、公开资料。如不同意安全牛引用，请作者来电或来函联系，我们协调给予处理 ( 或删除 )。报告有偿提供给限定客户，应限于客户内部使用，仅供客户在开展相关工作过程中参考。如客户引用报告内容进行对外使用，所产生的误解和诉讼由客户自行负责，安全牛不承担责任。版权声明免责声明 《中华人民共和国网络安全法》中明确写到我国“国家实行网络安全等级保护制度。”2019年12月，等保2.0正式落地。这是对我国政企的要求，也明确了国家网络安全的基本治理方法路线。因此，全国各政企等保合规建设迫在眉睫。 相对于大型企业的充足技术力量和物质基础的支撑，中小机构在进行等保合规建设当中存在一些掣肘难行之处。中小机构的等保建设有自身的特点，普适性的等保合规方案对其并不适用。在预算不多的情况下，部署安全设备免不了存在顾此失彼的现象；在人员能力有限的情况下，多元安全设备的使用也会成为信息化的负担。对于中小机构，因为自身能力的局限性，等保合规建设存在无从下手的情况，等保测评俨然成为了机构办公的负担。然而，我们需要认识到，等保存在的意义恰恰是为网络安全综合能力不强的企业，构建自身网络安全建设形成指引。但这个指引还不足以指导中小企业选择合适的等保合规建设方案。本文将对等保 2.0 的要求进行初步解读，并通过实际案例介绍，为中小机构的等保合规建设提供一些借鉴。前 言 ■ 第一章 等保介绍及发展概述 .....................................................1 1.1 等保简介 ..............................................................................................................1 1.2 等保的发展历程 .....................................................................................................1 1.2.1国外相关制度研究 ..........................................................................................1 1.2.2等保1.0 到等保2.0 ........................................................................................2 1.3 等保实施 ..............................................................................................................3 1.3.1等保相关政策法规标准 ....................................................................................3 1.3.2等保定级 .......................................................................................................4 1.3.3等保的意义 ...................................................................................................6 ■ 第二章 等保合规要求下的网络安全能力建设 ................................7 2.1 安全通信网络 ........................................................................................................8 2.1.1网络架构 .......................................................................................................8 2.1.2通信传输 .......................................................................................................9 2.1.3 可信验证 .......................................................................................................9 2.2 安全区域边界 .........................................................................................................9 2.2.1边界防护 .......................................................................................................10 2.2.2访问控制 .......................................................................................................10 2.2.3 入侵防范 .......................................................................................................10 2.2.4 恶意代码和垃圾邮件防范 .................................................................................10 2.2.5 安全审计 .......................................................................................................11 2.2.6 可信验证 .......................................................................................................11 2.3安全计算环境 .........................................................................................................11目 录 2.3.1身份鉴别 .......................................................................................................12 2.3.2访问控制 .......................................................................................................12 2.3.3安全审计 .......................................................................................................12 2.3.4入侵防范 .......................................................................................................12 2.3.5恶意代码防范 ................................................................................................13 2.3.6可信验证 .......................................................................................................13 2.3.7数据完整性 ...................................................................................................13 2.3.8数据保密性 ...................................................................................................13 2.3.9数据恢复备份 .....................................................................................