等级保护测评基础干货及面试题

整理一下网络安全等保测评的干货，面试题和日常测评重点，欢迎各位大佬一起探讨。

什么是等级保护

等保的全称是信息安全等级保护，是《网络安全法》规定的必须强制执行的，保障公民、社会、国家利益的重要工作。

什么是等保测评

等保测评是经公安部认证的具有资质的测评机构，依据国家信息安全等级保护规范规定和技术标准，对信息系统安全等级保护状况进行检测评估的活动。

等保测评中心思想

一个中心三重防御

一个中心指 安全管理中心

三重防御指 安全计算环境 安全区域边界 安全网络通信

等保2.0强化可信计算安全技术要求的使用，把“安全管理中心”从管理层面提升到技术层面，独立出来进行要求，包括“系统管理、审计管理、安全管理、集中管控“，从被动防御转变为主动防御

等保1.0 和2.0要求

目前我们遵守的制度就是等保2.0 这个制度是19年更新，是在1.0算基础上做了一个升级嘛 最早1.0的标准，安全扩展要求是等保2.0标准的亮点，其实是通用安全标准 2.0的对象多了像云计算、大数据、物联网、移动互联网、工控信息系统等 2.0相当于细化1.0的标准，不开展等级保护等于违法

通用要求包括安全通用要求，云计算安全扩展要求，移动互联安全扩展要求，物联网安全扩展要求，工业控制系统安全扩展要求。网络安全等级保护2.0通用要求的核心是优化。

新增重点内容：新型网络攻击防护从内到外、突出运维审计、安全管理中心、独立安全区域、邮件安全防护、运行状态监控、安全审计时间要求、集中日记审计、可信运算要求、安全事件识别分析、个人信息防护。

等保2.0的关键需求

完善的网络安全分析能力 未知威胁的检测能力

等保二级是指导保护级 比如政府单位，一旦信息系统被破坏，会危害（社会秩序与公共利益）很大那种 稍微涉及到敏感信息的单位，如地市级以上的单位 一般都是3级及以上

二级要求：

NGFW 必选项 网闸

可选项:堡垒机 安全审计服务器 日志管理服务器 WAF IDS IPS 上网行为管理

三级要求：

基于上面的二级，还有、

HIPS 防病毒网关 数据防泄漏 EDR XDR SOC NDR

1. 交换机是根据MAC地址进行数据包的转发，它会学习和记录不同设备的MAC地址，并根据这些地址来进行数据包的转发，可以实现局域网内部的高效通信。

2. 路由器是根据IP地址和路由表进行数据包的转发，它可以识别不同网络段，并根据路由表选择最佳路径进行数据包的传输，从而实现不同网络之间的通信。

等保步骤

定级----备案----差距评估------- 建设整改-----等级测评----监督检查

系统定级

首先明确等级保护的定级对象:主要包括基础网络设施、信息系统（例如：云计算平台、物联网系统、工业控制系统、移动互联系统、其他系统）以及数据资源对象。

首先我们打破一个误区：等级保护对象≠定级对象。一个等级保护对象可能包含多个定级对象。GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》给出了确定定级对象的方法论。

（1）起支撑、传输作用的信息基础设施（网络设施、信息系统）可以作为定级对象，但不是将整个信息基础设施作为一个定级对象，而是要根据实际情况将信息基础设施划分成若干安全域或保护单元去定级（实施等级保护时，通常落实到每一个安全域中，宜将相同安全等级的应用业务系统部署在相同的安全域）。

（2）用于办公、生产、管理等的业务系统，分别单独确定为定级对象，如门户网站、邮件要作为独立的定级对象。通常后台数据库管理系统安全级别较高，也要作为独立的定级对象。

了解定级对象的基本特征：

1.*确定的安全责任主体；
​
2.*承载相对独立的业务应用；
​
3.*具有信息系统的基本要素，应避免将某个单一组件作为定级对象。

3.业务信息安全所所侵害的客体

网络运营者依据《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》，确定等级保护对象，明确定级对象，梳理等级保护对象受到破坏时所侵害的客体来确定等级保护对象业务信息等级和系统服务等级：

b.备案
需要帮助客户准备备案材料：

1、机房拓扑及说明

2、安全管理制度及信息安全组织架构

3、信息系统建设或实施方案

4、安全产品清单及销售许可证

5、上级领导部门审批意见

6、定级备案表

7、定级报告

8、安防承诺书

上述材料需甲方提供电子版与纸质版材料，准备好后提交给当地网安。

1-5项需甲方自行提供，6-8项测评机构可以提供模板。

由省厅进行审核 ，网警会返回一个备案证 相当于允许等保公司这一次为该企业进行等保测试 下发一个授权书

接下来客户会提交一个系统表，是我们需要了解的所有设备的拓扑图、管理制度、安全设备的认证等 三级及以上的要求就是这样，二级不需要

等级保护测评过程分为4个基本活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。

c.初测
初测就是做物理环境安全----首先是二级三级必须有防风，防雨，防震，避免在建筑顶层和地下室，防水防潮

1、物理位置的选择

a) 房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；
b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。
然后访问控制二三级必须要有电子门禁和出入记录，三级防护以上要采取门禁系统和专人值守对进出人员进行记录

2、物理访问控制

机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

个人理解：检查是否由电子门禁设备，如果有是否使用，进入机房的时候用不用进行登记。

3、防盗窃和防破坏

a) 应将设备或主要部件进行固定，并设置明显的不易除去的标识；
b) 应将通信线缆铺设在隐蔽安全处；
c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。
个人理解：物理防盗措施，个人认为机房的设备一般轻易不会有人去偷，所以这里的不易去除是指机房设备运维管理中的标签，纸质的贴纸标签应该就可以符合要求，毕竟现在使用激光刻在上面做标记的企业不多。通信线缆一般都是在防静电地板下放或走顶棚线槽。要注意机房内是否有监控和报警设备，是否24小时有人看守。

防雷击要相关负责人把避雷设施检测报告拿给你

4、防雷击

a) 应将各类机柜、设施和设备等通过接地系统安全接地；
b) 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。
个人理解：机房所在建筑要防雷，机房是否有弱电接地

包括防雷击防静电，检查电线布局，外壳是否老化，是否安装避雷装置。

防火，机房耐火材料等级，火灾报警系统，自动消防系统

5、防火

a) 机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；
b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；
c) 机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。

，温湿度，配置精密空调，20度

6、防水防潮

a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁漏水；
b) 应采取措施防止机房内水蒸气结露和地下积水的转移；
c) 应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。
首先不能采用暖气（液体保温），空调不能漏水；与机房无关的水管不宜从机房内穿过；机房应防止结构渗水、墙面凝水、外部漫水；重要机房应设置漏水报警系统。

7、防静电

a) 主要设备应采用必要的接地防静电措施；
b) 机房应采用防静电地板。
机柜要做好接地防雷和防静电，重要设备要有防雷模块，用线接到机柜。

有精密空调，温度20左右，湿度35-75，还有高精度的温湿度计。

8、温湿度控制

机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

配置ups是必须条件，UPS要有过载保护和防雷模块，要有双路供电，能够维持机房重要设备断电后至少2小时以上供电，有条件要配置备有发电机

9、电力供应

a) 应在机房供电线路上配置稳压器和过电压防护设备；
b) 应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求；
c) 应设置冗余或并行的电力电缆线路为计算机系统供电。
10、电磁防护

a) 电源线和通信线缆应隔离铺设，避免互相干扰；
b) 应对关键设备实施电磁屏蔽。
机柜和设备接地，做好防静电，还要看有没有防静电设备

然后是网络安全，结构安全，外网--DMZ--内网，通过vlan划分办公区域，业务逻辑，核心数据区。

主要网络设备必须满足网络业务高峰期的需要，具备冗余空间。

查看路由器，交换机的配置信息vlan划分，然后是边界的完整性检查，物理边界外部接入设备检查，网络边界防火墙，网闸安全配置在网络边界。

路由器，交换机要做访问控制和安全审计，具体就是日志分析

事件查看， 进程排查，交换机 acl访问控制表的匹配

防火墙是否做了策略配置，查看安全规则，只允许授权的IP，端口访问特定服务，安全选项查看是否勾选包过滤默认允许，是否配置NAT

安全设备还要看默认密码是否得到修改

口令周期和复杂度要求，还要加密协议HTTPS、SSH来进行管理

根据不同的用户分配完成任务的最小权限

系统管理员是否为用户设置密码，本地安全策略看复杂度，时效

上述都要拍照作为记录，

访问控制

复测-报告-备案

2.测评配置

路由器配置信息

show running-config

display current-configuration-

VLAN配置

show vlan

display vlan static

华为路由器

四种模式

（1）用户视图：用于查看路由器的基本配置信息或者远程连接其他主机，在这种模式下不能改变路由器的配置。打开路由器默认为用户模式，如下：

（2）系统视图：可以对路由器进行基本配置，前提是进入到全局模式或其他特殊的配置模式。用户模式下输入:sys

（3）端口视图：允许用户真正修改路由器的配置。其他特殊的配置模式都是全局模式的一个子集。在用户模式下进行配置操作，如进入某个端口：int eth0/0/0

（4）路由协议视图：配置路由协议的参数，在系统视图下输入：isis/ospf/rip

基本命令

（1）更改路由器名称：sysname Router1(新名称)

（2）显示当前配置：display current （3）显示当前接口信息：display interface （4）显示路由表信息：display ip routing-table （5）退出当前模式：quit （6）激活端口：undo shutdown （7）关闭端口：shutdown （8）保存当前配置：save test.cfg(用户模式下 ) //保存配置文件名为test.cfg （9）为端口配置IP地址：

ip address 192.168.1.1 255.255.255.0//地址 子网掩码

ip add 20.1.1.1 30

（10）还原配置：startup saved-configuration test.cfg //下次启动时自动恢复配置test.cfg （11）配置静态路由：ip route-static 192.168.1.0 255.255.255.0 192.168.1.254 //目标网段 子网掩码 下一跳 （12）撤回/删除一条命令：undo 需撤回的命令 （13）退回用户界面：return

华为交换机

命令和路由器一样

3）显示vlan信息：display vlan 4）创建vlan:vlan 10

同时创建多个连续的vlan：vlan batch 10 to 20 //创建vlan10-vlan20

创建多个不连续vlan：vlan10 20 //创建vlan10、vlan20 交换机命名：sysname sw1 //重命名为sw1 进入接口视图：intface vlan10 配置vlan的IP地址：ip address 192.168.1.1 255.255.255.0//ip地址 子网掩码 配置静态路由：ip route-static 192.168.1.0 255.255.255.0 192.168.1.254