关于“等级保护”建设，从“最低配置套餐”说开去

随着国家主管机关对网络安全推动力度的加大，以及黑客们日益频繁的网络攻击，更重要的是2017年6月1日《网络安全法》的正式实施，市面上“等级保护”的合规需求日益增强。

但，其实相当多一部分客户并不是学网络安全的，甚至也不是计算机专业毕业的，在这种情况下，单位的等级保护工作怎么做？

于是，从前年底（没记错的话），市面上出现了多个版本的“等级保护套餐”，对于不少客户而言，这的确是一股东风！解决了很多客户对等级保护迷茫、不知所措的问题。

但是，现在也有一些预算不充足，或者对网络安全法、等级保护认识不足的信息系统运营单位，认准了市面上的“等级保护最低配置套餐”，认为这个就能过等级保护测评、多给推荐安全产品或安全服务的都是在忽悠。那么，游侠和大家聊一下，为什么不能全信这个套餐。

举个例子，场景是某市某局某网站：

网上多个版本的三级最低套餐都写的是“防火墙+IDS+网络版杀毒软件”，那么，针对网站这种Web应用，这三样，哪个能防范SQL注入、XSS跨站、文件上传等的攻击？以及Struts2、心脏出血等大杀器的攻击？传统的网络防火墙对应用层攻击就是个打酱油的；IDS纯粹旁路看热闹；多数市局网站也就1-3台服务器，往往还是Linux，请各位认真回答：有几个客户买了网络版Linux杀毒？10%？更低？

在这种场景下，如果成本极度紧张，个人建议装一套EDR（Endpoint Detection and Response，端点检测与响应）就搞定了！功能如下：

1、搞定了防火墙不能防范应用层攻击的问题；

2、化解了IDS不能阻断的尴尬；

3、解决了杀毒软件不擅长系统加固、挖矿防范的纠结。

买套EDR装在服务器上，比买那个“最低配置套餐”省钱多了！部署省心，还有正规厂家服务，管理员可以安心睡觉了是不是？

本来想多写一些的，但是考虑到今天是周末，大家可能都在吃肉、喝酒，就少写一点吧。给大家一点实践中的参考：

如果是内网，切不可像此前想的那样“我内网我安全”，此前永恒之蓝爆发，一些内网用户受损失很大，因为联网的计算机都打了补丁、升级了……但内网就……迷信“我内网我安全”是万万不可的！

如果是Web应用，买Web应用防火墙、EDR、网页防篡改，都比买台防火墙、IDS靠谱！（也许还得算上IPS）。一些下一代防火墙里面的WAF模块？呵呵……当然，比没有还是强一些的。

做等级保护，最重要的还是“根据业务谈加固”，任何不看场景的套餐都是耍流氓。也不要相信一些测评机构“保过”的话，为啥？看看下图：

有多家等级保护测评机构整改，甚至被取消资质！为什么？因为国家主管机构的管理越来越严格，以前找熟悉测评机构喝顿酒,适当给点测评费,就能盖章通过的日子一去不复返了。换种说法就是：市场正规了。

当然，“套餐”的积极作用也是不能抹杀的！游侠自己也经常给一些客户发各种套餐的链接、文章，因为等级保护建设往往具有较大的相似性，可借鉴性较强。