等保2.0 | 二、三级系统所需安全设备及常见问题详情

等级保护二级系统

（一）物理和环境安全层面安全措施需求如下：

1、防盗报警系统

2、灭火设备和火灾自动报警系统

3、水敏感检测仪及漏水检测报警系统

4、精密空调

5、备用发电机

（二）网络和通信安全及设备和计算安全层面需要部署的安全产品如下：

1、防火墙或者入侵防御系统

2、上网行为管理系统

3、网络准入系统

4、审计平台或者统一监控平台（可满足主机、网络和应用层面的监控需求，在条件不允许的情况下，至少要使用数据库审计）

5、防病毒软件

（三）应用及数据安全层面需要部署的安全产品如下：

1、VPN

2、网页防篡改系统（针对网站系统）

3、数据异地备份存储设备

4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）。

等级保护三级系统

（一）物理和环境安全层面安全措施需求如下：

1、需要使用彩钢板、防火门等进行区域隔离

2、视频监控系统

3、防盗报警系统

4、灭火设备和火灾自动报警系统

5、水敏感检测仪及漏水检测报警系统

6、精密空调

7、除湿装置

8、备用发电机

9、电磁屏蔽柜

（二）网络和通信安全及设备和计算安全层面需要部署的安全产品如下：

1、入侵防御系统

2、上网行为管理系统

3、网络准入系统

4、统一监控平台（可满足主机、网络和应用层面的监控需求）

5、防病毒软件

6、堡垒机

7、防火墙

8、审计平台（满足对操作系统、数据库、网络设备的审计，在条件不允许的情况下，至少要使用数据库审计）

（三）应用及数据安全层面需要部署的安全产品如下：

1、VPN

2、网页防篡改系统（针对网站系统）

3、数据异地备份存储设备

4、主要网络设备、通信线路和数据处理系统的硬件冗余（关键设备双机冗余）

5、数据加密软件（满足加密存储，且加密算法需获得保密局认可）

为什么要做等保

主要有三大原因：法律法规要求、行业要求、企业系统安全需求。

但严格来说，最主要的原因是：法律法规要求——《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。做了等保，某些安全防护薄弱的企业，其相应的安全防护能力会有一定程度的改善。

反过来理解，如果达到了法律法规要求的条件，不做等保就是违法！！！

各等级的等保年审时限是多久

“信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。”

三级——每年一次。四级——半年一次。五级——视特殊要求而定（事实上，五级还没有在真实场景中出现过，或许只是理论上的等级）。其中二级比较模糊，没有强制明文要求，一般都是2年一次。

不做等保会怎么样

事实上，由于某些行业特殊性，如果等保没做，有可能拿不到营业执照或者无法正常开业，也有可能受行业监管部门处罚。不做等保有可能遭遇罚款，事态严重的，有可能遭网监等相关部门勒令停止运营，万一发生了敏感事故，这个安全责任必须自己去承担，不论你的安全工作平时做的有多么好。这一点看来，一般是IT部门或者运维部门的主管首先担责。轻则罚款关机，重则牢狱之灾也是有的。