筆者最近工作原因不斷接觸等保相關(guān)工作，也產(chǎn)生了很多感觸、之前做過(guò)幾次分享，在此總結(jié)一下，如有疑問(wèn)或者難題歡迎留言探討，廢話不多說(shuō)先把導(dǎo)圖上了：

        一、測(cè)評(píng)對(duì)象：
    從測(cè)評(píng)對(duì)象上來(lái)講，等保更全面的覆蓋了互聯(lián)網(wǎng)新興行業(yè)包括云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工控系統(tǒng)，由于筆者行業(yè)經(jīng)驗(yàn)有限，物聯(lián)網(wǎng)、工控可能并不了解，但云計(jì)算方面大致研讀了一下，在責(zé)任劃分上比較清晰，比如使用了Iaas服務(wù)，那么物理層以上的歸自己測(cè)評(píng)，Pass服務(wù)則應(yīng)用級(jí)以上自己測(cè)評(píng)，如果采購(gòu)了Saas服務(wù)則賬戶體系等由自己測(cè)評(píng)，總歸一句話：自己那攤子事自己測(cè)評(píng)。
        二、測(cè)評(píng)流程
    測(cè)評(píng)流程分為：確定定級(jí)對(duì)象——初步確定等級(jí)——專家評(píng)審簽字——主管部門簽字——公安備案審查——最終確定定級(jí)
    定級(jí)對(duì)象：其中定級(jí)對(duì)象根據(jù)系統(tǒng)面向?qū)ο螅ㄈ缑嫦騼?nèi)部還是面向社會(huì)群眾）、系統(tǒng)內(nèi)存儲(chǔ)與傳輸數(shù)據(jù)的敏感程度（如是否有真實(shí)的用戶手機(jī)號(hào)、身份證等信息）以及存儲(chǔ)的量級(jí)等，在定性過(guò)程中其實(shí)可以考慮更同行業(yè)、同類型系統(tǒng)去對(duì)比
    專家評(píng)審：近期卡的稍微嚴(yán)格了一些，建議聘請(qǐng)三位外部專家（具備評(píng)測(cè)資格資質(zhì)的）共同評(píng)級(jí)并簽字，備案期間會(huì)檢查；
    公安備案審查：近期臨近十月一，由于之前發(fā)文說(shuō)十月一之后公安部將不再接收等保1的報(bào)告，所以最近定級(jí)備案、等保測(cè)評(píng)的比較多，目前北京地區(qū)貌似海淀非?；鸨?，其他分局還好。
        三、測(cè)評(píng)差異項(xiàng)
    總體來(lái)講更加務(wù)實(shí)一些，之前演講時(shí)做了幾條總結(jié)：
    刪除過(guò)時(shí)攻防姿勢(shì)，新增應(yīng)對(duì)新型攻擊要求；
    刪除審計(jì)結(jié)果報(bào)表，重視審計(jì)過(guò)程記錄；
    網(wǎng)絡(luò)邊界的訪問(wèn)控制細(xì)粒度強(qiáng)化；
    個(gè)人信息保護(hù)要求強(qiáng)化，強(qiáng)化賬戶系統(tǒng)；
    可信計(jì)算技術(shù)建立系統(tǒng)到應(yīng)用的信任鏈；
    降低內(nèi)部人員專人專項(xiàng)，加強(qiáng)外部人員安全管控；
    加強(qiáng)外部與自研服務(wù)系統(tǒng)安全檢測(cè)，加強(qiáng)漏洞風(fēng)險(xiǎn)管理；
    管理制度方面其實(shí)大部分企業(yè)都是對(duì)內(nèi)一套對(duì)外一套，對(duì)內(nèi)務(wù)實(shí)對(duì)外務(wù)虛；
        四、高風(fēng)險(xiǎn)項(xiàng)
    等保高風(fēng)險(xiǎn)項(xiàng)很快隨之而出，其實(shí)該部分內(nèi)容相對(duì)還是很實(shí)用且在基礎(chǔ)安全中需要關(guān)注的點(diǎn)，大概分為兩塊：1、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備；2、應(yīng)用系統(tǒng)。整體來(lái)講在細(xì)則上可以做一些總結(jié)提煉：
    1、弱口令、默認(rèn)口令、
    2、遠(yuǎn)程管理防護(hù)
    3、雙因素認(rèn)證
    4、惡意代碼防范
    5、審計(jì)措施
    6、不必要服務(wù)處置
    7、已知重大漏洞修復(fù)、測(cè)試發(fā)現(xiàn)漏洞修復(fù)
    8、用戶權(quán)限管控
    9、訪問(wèn)策略管控
    10、數(shù)據(jù)完整性、保密性（傳輸、存儲(chǔ)）、備份恢復(fù)
    11、數(shù)據(jù)采集、存儲(chǔ)、使用、訪問(wèn)以及敏感信息處理
        五、其他實(shí)時(shí)性問(wèn)題
    其實(shí)實(shí)時(shí)性的問(wèn)題更加準(zhǔn)確且能預(yù)測(cè)企業(yè)需求，比如筆者近期接到的一些通知，其實(shí)在其他單位也很快收到了相同的通告，并以此去分享處理方式方法，相互協(xié)助幫忙更加實(shí)用一些，也希望各位能多分享自己最近接觸到的事件。