如何判断系统是否需要入网安评?一份自查指南与法律依据
入网安评
系统上线前要不要做入网安评?很多人卡在“以为自己不用做,结果结题/验收时被卡死”。其实判断标准很清晰——关键看系统是否“接入网络”且涉及“重要数据或核心业务”。别被“等保定级”绕晕,入网安评是接入网络前的强制安全门槛,和等保定级测评不是一回事。这玩意儿到底是必须做还是选做?我系统又不大,需要搞这个吗?
一、入网安评到底是啥?
简单说,就是你的系统在接入网络之前,找个有资质的第三方机构来给它做一次全面的"安全体检"。看看有没有漏洞、配置对不对、数据安不安全。过了,给你出报告,你才能正式上线运行。
它跟等保测评不是一回事。等保是"持续合规",每年都要做;入网安评更像是"上线门槛",是系统准入的前置条件。打个比方——等保是年度体检,入网安评是入职体检,没过入职体检你连门都进不去。
二、那到底什么情况下必须做?
第一类:依法必评——没得商量
1.等保三级及以上的系统。 根据《网络安全法》第二十一条,国家实行网络安全等级保护制度。等保2.0明确规定:三级及以上系统在建成后、投入运行前,必须完成测评并通过备案。而入网安评是这个流程里的核心环节,相当于上线前的最后一道关卡。你说我系统定的是二级?那恭喜,暂时不用强制做。但注意——如果你的系统后来升级了、用户量上去了、数据变敏感了,等级可能会调,到时候就得补。
2.关键信息基础设施,也就是CII。 《关键信息基础设施安全保护条例》写得很清楚:CII运营者在接入网络前,必须进行安全评估。金融、能源、交通、医疗、电信这些行业,基本都在范围内。怎么判断自己是不是CII?看《网络安全法》第三十八条——一旦被认定为关键信息基础设施,每年至少做一次检测评估,还要把结果报给主管部门。不做?罚款10万到100万,直接负责人罚1万到10万。
3.行业监管明确要求的。 银保监会、证监会、卫健委……各个行业都有自己的安全规定。比如金融系统新上线一个核心模块,行业监管可能直接要求你提供入网安评报告。这种不是建议,是硬性门槛。
第二类:主动应评——不强制但强烈建议
1.新系统上线或旧系统重建后。 这是最典型的场景。系统还没接入生产网络、没跑真实业务之前,做一次安全体检,总比上线之后被黑客打脸强吧?
2.系统发生重大变更后。 比如从单体架构改成微服务了,从本地部署迁到云上了,新增了核心业务模块——这些都可能引入新的安全风险,得重新评估。
3.参与重大项目或合作方要求。 现在很多大项目招标,甲方会要求你提供入网安评报告作为合作准入门槛。特别是跟国企、政府合作,人家供应链安全管得严,你没有这份报告,连投标资格都没有。
三、不想花冤枉钱?先自己查一遍
找第三方之前,建议先做一轮自查。能自己发现的问题先fix掉,测评的时候才不会被戳一堆低级漏洞,报告也好看。
自查清单
1.网络边界这块,重点查防火墙策略、高危端口开放情况、VPN接入认证。用netstat -ano看端口,核对防火墙规则就行。红线条件是:3389这类高危端口对全网开放,这种必须马上关。
2.操作系统这块,查补丁更新情况、可疑进程、异常账户。systeminfo看补丁,tasklist查进程,net user查账户。如果近30天的高危漏洞还没修复,那就是红线,赶紧打补丁。
3.应用系统这块,重点查SQL注入、XSS、弱口令、文件上传漏洞。用漏洞扫描器跑一遍,再加上手工测试。如果存在可利用的高危漏洞,别犹豫,先修了再说。
4.数据库这块,查敏感字段加密、权限配置、日志留存。抽查表结构,验证加密状态。如果手机号、身份证号还是明文存储的——这就是红线,必须加密。
5.数据安全这块,查传输加密、备份策略、最小权限原则。检查TLS配置,核对备份记录。如果没有备份,或者备份没有异地存放,这也是红线。
6.管理制度这块,查安全责任制、培训记录、应急预案。翻翻文件、看看签到表、访谈一下员工。如果没有应急预案,或者半年都没演练过——这也得补上。
四、法律依据放这儿,谁问都不怕
《网络安全法》第二十一条说的是:网络运营者须履行等级保护义务。第二十三条说的是:网络关键设备和安全专用产品须经安全认证或检测合格方可销售或提供。第三十八条说的是:CII运营者每年至少进行一次检测评估。第五十九条说的是:不履行义务的,罚款1万到10万(一般系统),10万到100万(CII)。
《关键信息基础设施安全保护条例》 多条都在强调:CII接入网络前必须安全评估。
《网络安全审查办法》 第二条和第五条说的是:采购可能影响国家安全的网络产品或服务,须申报安全审查。
《数据安全法》第二十七条 说的是:开展数据处理活动应建立健全全流程数据安全管理制度。
《个人信息保护法》第五十一条 说的是:个人信息处理者应定期进行合规审计。
等保2.0,也就是GB/T 22239-2019,全程都在说一件事:三级及以上系统上线前须通过测评备案。
还有个容易忽略的——《刑法修正案(九)》第二百八十六条之一:不履行网络安全管理义务,致使用户信息泄露造成严重后果的,最高三年有期徒刑。这不是罚款的事了,是要坐牢的。
入网安评这东西,说白了就是花几千到几万块,买一个"出了事我尽到义务了"的证据。没有它,系统出了安全问题,责任全是你的。有了它,至少能证明你在上线前已经尽力了。
标签:入网安评、入网安全评估