^{12月1日，等级保护2.0 标准正式实施，很多企业都开始了等级测评的相关准备和整改工作。}

^{对于等保2.0内容，大家早已熟知。今天，MailData就针对通用安全部分中，三级和四级系统新增且易被忽略的新要求“安全计算环境”进行主要分析。}

^{对于安全计算环境，虽只有3点内容，但是其内在的要求含义则十分丰富：}

入侵防范

^{1.应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞}

^{企业必须定期执行漏洞扫描工作。但这次不是只扫描就可以，还要对发现的漏洞进行验证，确认漏洞的真实性，然后对于这些真实漏洞进行整改。}

^{重点：要验证！}

^{2.应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。}

^{显然，这说的是IDPS ，或者具有同样能力的NGFW。因此，如果公司没有防火墙，那测评将直接被否掉。}

数据备份恢复

^{1.应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地}

^{在之前等保标准的基础上，等保2.0标准明确提出：实时备份至异地。虽然此项仅指向单位的重要数据，但其包含的“实时备份”和“异地存储”2方面，也值得认真对待。}

^{如果公司已有相关数据备份，虽然不能做到实时备份但有异地备份，可以算是基本符合，不会被判定否决，但会列入后期的整改计划，允许逐渐完善；如果公司完全没有相关备份或无法做到异地备份，那将会无法通过。建议需要进行邮件数据备份的企业，可尽快安装MailData邮件数据归档系统，进行单位邮件数据的实时、异地备份。}

^{当然，中小企业或者云上系统的企业，可以将锅甩给云供应商；但大型企业和自建机房/私有云的公司，则一定要尽可能完善自身的数据备份机制，不求有功，但求无过。}

个人信息保护

^{1. 应仅采集和保存业务必需的用户个人信息}

^{此项明确要求，运营单位在采集个人信息时，只能采集所需的必要信息，对于这类信息运营商可以收集，但是若未授权不得随意访问和修改信息。}

^{2.应禁止未授权访问和非法使用用户个人信息}

^{这条是对信息收集运营商明确做出禁止要求：用户个人信息可以根据业务需求收集，但是未经授权或者相关部门同意，则禁止使用。（相关部门同意指：协助公安和相关部门处理特殊事宜时的强制配合。）}

^{这条规定，很大程度上杜绝了运营商随便向其收集用户发送各种推销、广告以及恶意链接的操作，有利于我国净网活动的开展。}

^{未来几年，数据安全是大趋势。随着我国信息安全和隐私保护立法的不断完善，后续的监控也会越来越严。因此，MailData建议，无论是企业还是事业单位，不要只考虑眼前的测评，还是要从实际出发，切实提高自身的网络安全环境和信息安全水平，才能随时满足国家相关法规，也有利于单位自身的良好发展。}

参考信息：FreeBuf《等保2.0正式实施，这些重点帮你划好了》