最近在和一些客戶交流，很驚訝地發(fā)現(xiàn)，都2020年了 ，還有人不知道《中華人民共和國網(wǎng)絡安全法》第21條明確規(guī)定：國家實行網(wǎng)絡安全等級保護制度。換句話說，不做等保就等于在違法。

不可能所有人都知道這個事，這是對所有人來說是這樣。但是對于我們這些從事網(wǎng)絡安全工作，從事IT工作，負責信息化的同志來說這是思想上認識嚴重不足，對網(wǎng)絡安全工作對等保這項工作重視不夠，長此以往，早晚要出事。上周一哥與一個縣級客戶交流，還是一個縣級比較權威的信息化管理部門，他說他們幾年前做過三級等保，后來就沒做了，覺得沒什么用，不知道是不是隨口說說的，還是給自己沒做等保找臺階下。但是這種想法真的很危險，三級等保根據(jù)要求是每年都要進行測評，沒有及時開展等保測評這項工作，理論上你已經(jīng)在違法了，可能你還不以為然，那只是你還差一個導火索。

至于為什么覺得沒用，可能當時給你們做等保測評的公司比較水，隨便做了做，完了你們做等保的時候也沒用心，整個就是走了一個過場，所以有可能你覺得沒用。一哥在此鄭重說明下：如果你能按照等級保護的要求把信息系統(tǒng)好好捋一捋，最終得分在90分以上，結論優(yōu)，那么你的信息系統(tǒng)相對來說是很安全的。你們捫心自問下，自己的等保做了多少分，結論是啥？所以不是等保沒用，而是你沒用心去做，去落實。

另外該客戶還說了一件事，云平臺安全了，花了很多錢去做安全建設該有的安全措施也都有，放在云上面的應用不會有什么問題，也是安全的。補充一句他說的云是政府建的私有政務云。一哥想說的是這可能就代表著目前當下不少客戶的真實想法，就是這種認知，網(wǎng)絡安全工作能做好嗎？因為你就是這種認知水平，所以你認為不用做等保，或者等保不重要。難道你不知道這個應用是你自己開發(fā)的？應用上有漏洞，可能會導致各種各樣的問題嗎？網(wǎng)頁篡改，數(shù)據(jù)泄露，暗鏈，SQL注入等等都有可能發(fā)生。安全技術措施有了，管理跟不上，一樣也是不安全的，這個你也不了解嗎？身為主管部門的人我不認為你能把你們當?shù)氐木W(wǎng)絡安全工作管好，這個社會需要有能力有想法的人上，不行就讓位，不要誤了事，耽誤了自己，害了自己，拖累了別人。

給你們看幾個近期的案例，話不多說了，自己去悟。如果這個都悟不明白，還是換崗吧。

2020年3月，工作中發(fā)現(xiàn)，山西省原平市第一人民醫(yī)院門戶網(wǎng)站存在安全風險漏洞，原平市公安局網(wǎng)安大隊立即前往該醫(yī)院調查取證。經(jīng)調查發(fā)現(xiàn)，原平市第一人民醫(yī)院未履行網(wǎng)絡安全等級保護制度，網(wǎng)絡安全意識淡薄，未確定網(wǎng)絡安全責任人，未制定網(wǎng)絡安全應急事件預案，未采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施，嚴重影響網(wǎng)站信息安全，同時該網(wǎng)站未辦理等級保護備案手續(xù)。

2020年4月，原平市公安局網(wǎng)安大隊根據(jù)《網(wǎng)絡安全法》第二十一條、五十九條之規(guī)定，決定對原平市第一人民醫(yī)院處以行政警告處罰，并責令其限期整改。

2020年4月，廣州警方在工作中發(fā)現(xiàn)，廣州某學校對其所屬兩個辦公系統(tǒng)進行網(wǎng)絡安全等級保護備案之后，并未依法完成等級保護測評工作，未完成法定網(wǎng)絡安全等級保護義務。同時該校作為此二系統(tǒng)的網(wǎng)絡安全主責單位，卻對系統(tǒng)的安全情況不知悉，也未對系統(tǒng)安全風險及時排查整改。針對該校的違法行為，廣州警方對其作出行政處罰，并責令其限時完成等級保護測評。

近日，瀘水市公安局網(wǎng)絡安全大隊依法查處一起網(wǎng)絡運營者不按規(guī)定履行網(wǎng)絡安全義務案，開出首張違反《網(wǎng)絡安全法》罰單

公司系統(tǒng)遭黑客攻擊

2020年4月14日，瀘水市某公司系統(tǒng)被黑客攻擊，本地數(shù)據(jù)庫所有數(shù)據(jù)丟失。該公司在發(fā)現(xiàn)系統(tǒng)被攻擊后，未及時向公安機關網(wǎng)安部門報告，擅自聯(lián)系第三方公司技術員對信息系統(tǒng)進行處理，并于當天新建了一個數(shù)據(jù)庫。

未履行網(wǎng)絡安全保護義務而違法

獲取線索后，瀘水市網(wǎng)安部門立即聯(lián)合轄區(qū)派出所到現(xiàn)場對線索進行核實，對該公司開展網(wǎng)絡安全檢查，并簽訂了《網(wǎng)絡安全責任書》。經(jīng)檢查，該公司網(wǎng)絡安全意識淡薄，網(wǎng)絡安全管理制度不健全，未落實網(wǎng)絡安全保護技術措施，未采取數(shù)據(jù)備份和加密等措施，未按照網(wǎng)絡安全等級保護制度的要求履行定級、備案、等級測評、安全建設整改、安全自查等安全保護義務。瀘水市公安局向該公司下發(fā)了《網(wǎng)絡安全等級保護限期整改通知書》，但該公司未在規(guī)定期限內(nèi)整改。

該公司的行為違反了《中華人民共和國網(wǎng)絡安全法》第二十一條、第二十五條的規(guī)定，不按規(guī)定履行網(wǎng)絡安全保護義務導致危害網(wǎng)絡安全的不良后果，且不及時整改。按照《中華人民共和國網(wǎng)絡安全法》第五十九條第一款的規(guī)定，5月18日，瀘水市公安局依法給予該公司罰款15000元，公司主要負責人罰款5000元的行政處罰，并責令該公司立即整改到位。

網(wǎng)絡安全等級保護制度是由《中華人民共和國網(wǎng)絡安全法》規(guī)定的法定職責，目的是通過按國家標準進行安全整改，開展等級測評驗證，定期檢查動態(tài)更新防護能力等各項工作措施來達到網(wǎng)絡安全法定要求，從而保障信息系統(tǒng)的安全穩(wěn)定運行。

等級保護備案工作是整個網(wǎng)絡安全等級保護工作的起點，而不是等級保護工作的終點，等級保護的各網(wǎng)絡運營者應依法完成等級保護全部流程，切實履行安全網(wǎng)絡安全主體責任。

好了，案例也看了，話也說了，真心希望對你們有所幫助，有所觸動。等級保護制度是國家網(wǎng)絡安全基本國策，是國家網(wǎng)絡安全的基石，屬于各網(wǎng)絡運營者的基礎功和必修課。如果這一點你都不能很好地認識與認真貫徹，建議你早點去干點其他的，你太危險了，你危險你單位也很危險，特別是那些自以為是的，打開窗戶或者出去走走，世界早已變了，只是你還沒變，都2020年了，你還不知道不做等保就是在違法？