网站信息安全等保测评等级保护是我国信息安全保障的一项基本制度，是国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。《网络安全法》于2017年6月1日正式施行，这是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。目前现在很多企业被上级主管部门要求开展等保工作。 一、网站等保测评费用如下; 等级保护测评一般是按照等级保护级别和测评的对象的个数，目前我们现在讨论的测评对象就是网站，因此网站等保费用，就是按照网站个数以及网站定级级别来收费。由于不同地区，对于网站等保收费不一样，具体地区的等级保护测评费用，可以咨询客户了解情况。而对于需要提供整改服务的企业，是需要另外收取等保整改费用的，整改费用需要按照整改内容来收费的，一般分为主机整改、数据库整改、中间件整改、云主机整改、应用系统整改等。对于整改费用不同网站也需费用都不一样，因为采用的服务器和网站后台软件等等往往是不一样的。 二、网站等保测评步骤如下： 等级保护一般分为5步走，分别是定级、备案、测评、整改、监督检查。其中第三、第四步，在实际情况中，顺序会有所调整。一般来说是先测评后整改，但是也有一些公司是先找网络安全服务商帮忙先进行网络安全风险评估，然后进行整改，再进行等保测评。 等级保护分为五个等级，分别为第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。系统的重要程度从1-5级逐级升高。随着等保级别提升，相关的网络安全技术和安全设备的要求也相应提高，因此测评的范围，测评的深度也提升，导致相关的工作量和要求的测评人员的技术要求也相应提高。因此等保费用也会有所不同。 三、网站等保测评注意事项 购买第三方网站系统时，进行验收或者购买前请让对方提供等保备案证明。特别是一些行业规定了该行业网站需要通过等保二级或者三级的公司或者事业单位需要重点关注这一部分，因为等保测评和等保整改费用需要考虑进去。 云等保是唯一网络自主研发的一套融合多种安全组件、云化接入、零成本学习、分钟级部署，适用部署与IDC、阿里云、腾讯云、华为云、AWS等多种计算环境的信息系统，满足企业二级、三级等保合规要求。如需了解可以咨询客服免费获取云等保、网站等保方案。

这几年来对云等保级保护的强调重点和要求，以及出台相关的政策来看，等级保护已不是仅仅属于网络运营者以及关键信息技术设施运营者们的事，而是上升到法律层面受相关律法的制约，其重要性不言而喻。云等保等级保护制度的实施和落地，不仅有助于中国数字化的进一步发展，同时也带来了网络空间安全的新时代。 云等保是唯一网络自主研发的一套融合多种安全组件、云化接入、零成本学习、分钟级部署，适用部署与IDC、阿里云、腾讯云、华为云、AWS等多种计算环境的信息系统，满足企业二级、三级等保合规要求。 云等保定级流程 定级是开展网络安全等级保护工作的 “基本出发点”，虚拟化技术使得传统的网络边界变得模糊，使得使用云计算技术的平台/系统在定级时如何合理进行边界拆分显得困难。 云计算等级保护对象的合理定级对云计算系统/平台责任方在落实等级保护制度时有着决定性的作用。网络安全等级保护2.0基本的定级流程如下图： 　　网络安全等级保护2.0在定级过程中网络安全运营者自主定级，然后组织安全专家和业务专家对定级结果的合理性进行评审，提供专家评审意见。 大致的专家评审流程如下： 由等级保护对象责任主体(网络安全运营者)，阐述定级对象; 向评审专家汇报等级保护对象的定级情况，分别从定级依据、自主定级过程、初步确定等级概述、各信息系统的系统描述、风险着眼点、业务信息安全和系统服务安全等方面进行阐述; 专家听取等级保护对象拟定级情况汇报后，讨论和质询，最终对定级级别形成了意见评审表，现场打印由专家签字，专家评审工作完成。 在开展等级保护对象定级时，网络运营者应基于系统业务情况、服务对象和自身信息系统建设实际情况进行合理的定级。为保证定级的合理性，系统责任方首先需明确等级保护对象和安全保护级别。 云计算形态 在确定云计算定级对象时，首先需明确定级的等级保护对象的形态为云计算形态，否则不应该当做云计算系统/平台来定级。 根据GB/T 31167—2014《信息安全技术 云计算服务安全指南》对云计算的定义：“以按需自助获取、管理资源的方式，通过网络访问可扩展的、灵活的物理或虚拟共享资源池的模式。”因此，在判断是否为云计算形态时，可根据是否同时满足下列五大特征： 云计算特征 描　　述 按需自助 无需人工干预，客户能根据需要获得所需计算资源，如自主确定资源占用时间和数量等。 泛在网络访问 无处不在的网络接入、从任何UF接入，云计算的泛在接入特征使客户可以在不同的环境下访问服务，增加了服务的可用性。 资源池化 集中化的设备，对资源进行集中池化后，这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配。 快速弹性 动态的业务性能弹性，客户可以根据需要快速、灵活、方便地获取和释放计算资源，能够在任何时候获得所需资源量。 可度量的服务 云提供商提供控制和监控资源，指导资源配置优化、容量规划和访问控制等任务，同时可以监视、控制、报告资源的使用情况。 此外，需注意云计算的本质是服务，如果不能将计算资源规模化/大范围的进行共享，如果不能真正以服务的形式提供，就根本算不上云计算。 在针对云计算系统/平台作为定级对象时，需注意： 云服务商侧的云计算平台/系统作为定级对象时，首先需满足云计算形态，能够为云服务客户提供云计算服务; 云服务客户侧的等级保护对象作为定级对象时，需使用了云计算平台提供的服务。 注意：云计算涉及多类角色，在等级保护2.0中仅包括云服务商和云服务客户，其中云服务商指提供云计算服务的参与方，云服务商管理、运营、支撑云计算的计算基础设施及软件，通过网络交付云计算的资源。 云服务客户，即云服务消费者(云租户)，消费云计算平台提供的服务。 云计算架构及安全责任划分 根据定级指南对云计算系统/平台的定级规定，在确定云计算定级对象时，需根据不同服务模式将云计算平台/系统划分为不同的定级对象。因此，如何进行合理的划分，必须明确云服务客户与云服务商的安全责任边界，了解云平台架构，确定云服务商和云服务客户各自需保护的对象。 1) 云计算架构 云计算架构可分为服务类和管理类，其中服务类基于云平台提供的云服务分为基础设施资源层(IaaS服务)、数据和开发平台层(Pass服务)以及应用服务层(SaaS服务)，管理类包括云服务运维控制和云服务运营管理。 在服务类方面，PaaS基于IaaS实现，SaaS的服务层次又在PaaS之上，三者分别面对不同的需求。从用户角度而言，这三层服务间的关系相互独立(提供的服务完全不同，且面对的用户也不尽相同)。但从技术角度而言，云服务这三层之间的关系并不是独立的，存在一定依赖关系，比如一个SaaS层的产品和服务不仅需要使用到SaaS层本身的技术，而且还依赖PaaS层所提供的开发和部署平台或者直接部署于IaaS层所提供的计算资源上，还有，PaaS层的产品和服务也很有可能构建于IaaS层服务之上。 云计算总体架构可描述为下图。 　　2) 云安全责任划分 不同的云计算服务模式(IaaS、PaaS、SaaS)下，云服务商和云服务客户安全责任存在一定差异，云服务商在不同的服务模式下承担的安全责任如下图： 　　在基础设施即服务(IaaS)模式下，云服务商基础设施包括支撑云服务的物理环境、云服务商自研的软硬件以及运维运营包括计算、存储、数据库以及虚拟机镜像等各项云服务的系统设施，同时云服务商还需负责底层基础设施和虚拟化技术，并与云服务客户共同分担网络访问控制策略的防护; 在平台即服务(PaaS)模式下，云服务商除防护底层基础设施安全外，还需对其提供的虚拟机、云应用开发平台及网络访问控制等进行安全防护，并对其提供的数据库、中间件进行基础的安全加固; 在软件即服务(SaaS)模式下，云服务商需对整个云计算环境提供安全防护责任。 云计算定级对象 在云计算环境下，基于云计算形态、云安全责任边界以及云计算的架构，云计算等级保护对象有： 1) 云计算平台 ，即云服务商提供的云基础设施及其上的服务层软件的组合; 考虑到云计算的本质是服务，不同的云平台为云服务客户提供不同的云服务，所以云服务商可根据不同的云计算服务模式将云计算平台划分为不同的定级对象。有云计算基础服务平台(IaaS平台)、 云计算数据和开发平台(PaaS平台)以及云计算应用服务平台(SaaS平台)。 　　2) 云服务客户业务应用系统 云服务客户侧的等级保护对象，利用云计算平台提供的云计算服务，根据其部署的云计算平台模式，确定定级对象边界。通常情况云服务客户业务应用系统包括云服务客户部署在云计算平台上的业务应用和云服务商为云服务客户通过网络提供的应用服务。 3)云计算技术构建的业务应用系统 存在一类系统为云计算形态，但无租户概念，对于此类系统应将业务应用和为此业务应用独立提供底层云计算服务、硬件资源的组合打包定级。 此外，对于大型的云平台(公有云)可将辅助服务系统(如CDN系统、运维、运营系统)进行单独的定级，该类系统可能为传统信息系统，也可能为云服务客户业务应用系统。 综上，在云计算环境中，对云计算系统/平台的定级大致可以分为下列几类： 　　表中A、D类系统，大致情形如下： 假设某云服务商L的云平台为云服务客户提供基础设施服务(或数据和开发服务)，此时可确定其定级对象为云计算基础服务平台(IaaS)服务平台，T单位将业务系统部署在云服务商L提供的基础设施服务上，T单位的业务应用系统为A类云客户应用系统; 假设某云服务商L的云平台为云服务客户提供数据和开发服务，此时可确定其定级对象为云计算数据和开发平台(PaaS平台)，T单位利用云服务商L提供的数据和开发服务，部署其业务系统，此时T单位的业务应用系统为A类云客户应用系统; 假设某云服务商L的云平台为云服务客户提供应用服务，此时可确定其定级对象为云计算应用服务平台(SaaS平台)，T单位使用云服务商L提供的应用，拥有业务和数据管理权限，此时T单位的业务应用系统为D类云客户应用系统; 表中的B、C、D三类系统，大致情形如下： 假设某云服务商L的云平台为云服务客户提供基础设施服务，此时可确定其定级对象为云计算基础服务平台(IaaS)服务平台，X单位和G单位分别利用云服务商L提供的基础设施，搭建云平台，并为客户M提供PaaS、SaaS服务。 注意该情形中： ①　对于云服务商L来讲，X单位和G单位为其云服务客户; ②　对于客户M来讲，此时X单位和G单位的角色变为云服务商。 X单位的系统定级类型为表中的B类系统，而G单位的系统定级类型为表中的C类系统。 客户M的系统可能为表中的A类系统或D类系统。D类系统是客户N直接使用云服务商云平台提供的SaaS服务，该类系统是否作为定级对象，需根据使用场景进行判定，若客户N仅使用该SaaS服务，无管理权限、未对数据进行处理，则无需定级，该类系统定级情形可参见邮件系统。 表中云计算技术构建的业务应用系统，情形如下: P单位自建或购买第三方云计算技术，自行搭建云计算平台，单独为其业务系统提供服务，此时P单位的定级对象为云计算技术构建的业务应用系统。 典型案列 常见的云计算定级场景：A云服务商为云服务客户B提供基础设施服务(计算/网络/存储)，常见的A为阿里云、华为云、电信云等公有云厂商。 集团或大型企业为B，在购买了公有云服务商A的基础资源后，利用A提供的IaaS服务为客户C提供SaaS服务。SaaS化应用系统的安全责任主体为B。 C可能为个人用户，也可能为B的分支机构或服务个体。 　　此场景中： A类：云服务商的IaaS平台为定级对象; B类：面向用户提供SaaS服务，定级为云服务客户业务系统B; C类：根据用户场景进行定级。若C为B的分支机构或其他企业用户，数据安全责任主体为C，此时，C需对业务应用进行定级，且级别不得高于B对业务系统确定的安全等级，否则C无需定级。 注意：在实际关于云计算平台/系统的定级时，要合理区分SaaS云计算平台和SaaS云服务客户系统。

云等保标准三级如何确定呢根据公安部等保有关规定如下： 参照等级保护定级指南，从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度，取两个方面较高的等级。当确定系统级别后，可开展专家评审对系统定级合理性进行审核。如有行业主管部门制订的定级依据，可直接参照采纳行业定级标准定级。 等保二级：适用于用户量和敏感数据较少，如发生安全问题，不会对企业自身及用户造成特别严重影响的。如普通企业的门户网站，企业内部用的OA系统，不涉及用户敏感数据系统等。 等保三级：适用于存有用户敏感信息，信息外泄会造成特别严重影响，甚至会社会秩序和公共利益造成损失的。如政务、教育、医疗、物流、金融等等核心相关业务。 以上由唯一网络南兴装备股份有限公司002757全资子公司小编整理关于云等保 标准 三级内容，等保流程具体更多问题可以关注留言我们哦。 唯一网络提供免费获取评估云等保合规解决方案，后期 1对1专家指导，30天 过审， 100% 通过率，低于业界 60% 的费用。点击咨询客服