一、是否普通的门户宣传网站系统需要进行等保备案？

　　《网络安全法》第21条明确规定，我国实施网络安全等级保护制度，要求所有系统，包括门户网站在内，都必须进行等级保护备案。等保共分五个等级，从一级（最低）到五级（最高）不等。一级系统为自主防护级，不在公安机关受理范围之内，但并不意味着一级系统不需要进行网络安全防护工作。根据《信息安全技术网络安全等级保护基本要求》（GBT22239-2019），一级系统应具备以下要求和能力：能够抵御来自个人或拥有极少资源的威胁源发起的恶意攻击、一般自然灾害，以及造成关键资源损害的其他相当严重威胁；在自身受损后，能够部分恢复功能。

　　02

　　是否需要对不向互联网公开的内部系统进行等保备案？

　　内网系统通常是指不直接面向互联网的系统，其不暴露在公共网络上，主要用于内部使用或者局域网内部的系统。根据《网络安全法》和相关法律法规，等保备案是指将涉及网络安全的信息系统和技术进行备案登记，以保障信息系统安全和网络安全的重要制度。对于内网系统，尽管其不直接暴露在互联网上，但仍需根据具体情况进行等保备案的评估和登记。具体是否需要备案，需结合内网系统的具体情况、涉及的信息内容、可能存在的安全风险等因素综合评估。

　　内部系统也需要备案登记。内部核心业务系统通常比暴露在互联网上的网站系统更为关键，因为它们存储着重要且敏感的数据。例如医院信息管理系统（HIS）、支付系统、学籍管理系统、工业控制系统等内部、闭环系统，都应进行备案登记检测。

　　03

　　是否需要备案非核心业务系统？

　　这是我们需要的。在工作中，我们经常遇到一些系统遭受篡改的事件，比如OA系统被篡改并植入了敏感页面；NC财务软件也被勒索软件加密。攻击者通常会先进行侦察，利用漏洞和钓鱼攻击来进入OA系统、邮件系统和wiki知识库系统，他们还会利用社会工程学的方式进行攻击，从而获取账号、口令和配置信息，然后再对核心业务系统进行攻击。

　　若发现业务辅助系统或测试系统遭到篡改，系统所有者同样需要承担法律责任。

　　针对提供服务的系统，需要及时与供应链企业建立联系，关注预警信息并及时修复漏洞，同时修改默认和弱口令。完成这些规定操作后，基本上可以保证系统的安全性。

　　04

　　是否需要专家评审来确定每个级别系统的等级？专家定级评审和测评是否同义？

　　必须邀请3位或3位以上的专家进行评审，评审组必须是奇数。

　　专家评审阶段包括以下几个环节：熟悉系统情况、审阅定级报告、评估定级准确性，并提出安全防护建议。

　　05

　　请问二级系统是否需要进行安全保障评估工作？

　　目前法律法规尚未强制要求必须进行测评工作。但建议在条件允许的情况下，初次进行测评，进行系统性的体检，以发现风险点并借鉴完善制度。

　　06

　　完成等保备案后，获得备案证明是否代表等保工作已经完成？

　　等级保护备案是网络安全工作的起步，而非终点，之后需要与公安配合进行自查和现场检查。关键在于按照相应等级进行防护工作，防止篡改、攻击和数据泄露，确保系统的保密、完整和可用。

　　备案后的规定程序：自我审查、实地检查、每年进行三级系统评估、整改与建设。系统调整应及时进行更改，系统下线时应及时进行撤销。

　　07

　　有人可能会认为备案后就不会发生网络安全事件，但真的是这样吗？

　　进行备案和测评可以减少网络安全事件的发生，但并非绝对可靠，无法完全杜绝网络安全事件的发生。如果技术人员未按规范操作配置，出现操作疏忽或经验不足等情况，可能导致未经授权的es或Redis访问、使用弱口令，以及未及时更新Nday漏洞，这些都可能给系统带来网络安全隐患。

　　08

　　系统放在云端是否就意味着系统是安全的？

　　1、将系统部署在云端后，用户可以摆脱对底层架构和物理环境的关注。若不配备相关安全产品，与本地机房或数据中心无异，系统将处于“赤裸裸”的状态。

　　2、系统的核心在于应用程序（代码）和数据库。若代码书写不规范、设计存在逻辑漏洞、配置不当、缺乏访问控制、身份验证、安全审计等，都会对系统安全造成影响。

　　3、同时，也要考虑云平台的安全性，特别是单位（组织）搭建的私有云系统。若主机不稳定、不安全，那么业务的稳定运行将面临困难，因果关系无法忽视。

　　09

　　在使用SaaS服务的系统中，如果发生网络安全问题，是否可以免责？

　　在使用SaaS系统时，单位（组织）要求系统提供方证明其系统是安全的，特别是私有化部署的系统。单位（组织）需要妥善保管账号和密码，并管理系统中的数据。企业邮箱是一种SaaS服务，单位（组织）应该要求邮件系统厂商设置双重认证、限制登录失败次数、提醒异地登录以及增加验证码等安全措施。同时，单位（组织）应该要求系统用户妥善保管账号和密码，避免将其发布到qq群公告或微信群，并在发送邮件时避免发送错误或外发敏感文件，从而导致敏感数据泄露。在接收邮件时，要防止钓鱼邮件攻击，避免账号和密码泄需，以及避免终端电脑被控制。

　　综合考虑，提供系统的方和使用系统的人均应对系统的安全负责。

　　10

　　如果系统的开发与运维由第三方公司负责，系统使用者是否就不再需要承担责任了呢？

　　根据使用者负责原则，系统的使用者应承担主要责任。调查发现，在许多单位的工作中，系统（包括网站）常被植入后门文件或篡改页面。大多数情况下，这些单位仅与第三方公司签订了系统建设、维护或托管协议，却未明确网络安全防护需求，也未对系统进行安全性验收测试，更未进行必要的网络安全投入。有些网站甚至是10多年前开发的，但第三方公司已倒闭，漏洞修复工作也未得到进行。每年仅投入几百、几千元用于服务器空间租用或网站维护。对于简单的宣传网站，建议将其改为静态页面，并定期对服务器和中间件进行升级和打补丁，这样可以显著降低网络安全隐患的风险。

　　用户有责任妥善保管后台账号和密码，并定期使用漏洞扫描工具对网站进行扫描，如果发现漏洞要及时修复，这样被攻击的风险就会大大降低。