误区1：等保2.0和等保3.0认知混乱。等保2.0于2019年12月1日正式实施。根据等保标准，网络安全可分为五个等级(等保1.0和等保2.0一样)，项目中遇到的等保三级最多。误区二：等保一级和五级怎么办？虽然等保分为五个层次，但实现项目落地的是2.3和4个层次。最低一级单位可以自行备案，但有些地方不接受(在北京做项目的时候经历过一级客户备案)，不需要指定时间进行等保评估。一级只是建议。5级不会做，至少根据作者十年的安全经验，从来没有遇到过项目等级。其实原因很简单。5级信息系统受损后，将对国家安全造成极大的危害。这类系统一般涉及国家秘密，采用另一套安全系统——分级保护，不采用分级保护系统。

误区三：等保三级要多少钱，要买什么设备？三级保险要看客户业务规模和重要性，还要看客户成本预算，按需配置；

1.安全防护设备包括WAF、抗DDOS、安全审计系统、综合日志审计、运维审计、IPS/IDS、杀毒软件、漏扫等。

其中，如果企业选择开源系统WAF，安全从业人员必须制定自己的标准，并按照手动方式进行升级；综合日志审计中存在的许多问题是：是否集中了所有日志？日志分析是否进行？日志是否保存；对于漏扫层面，一般可以使用Nessus主推工具。

2.渗透层包括基准线安全和应用安全。

在云自然环境中，强烈推荐基线检测脚本；在安全层面，当检查人员检测到系统漏洞时，可以及时调整。

等待保险是国家要求的，几乎稍微(有外部网站或服务器托管、CRM、ERP、OA、电子邮件系统等应用部署应用软件)的公司和行业需要按规定进行等待保险评估，以确保用户数据的安全。

具体流程

1.系统分级:专家。主管部门评估您需要等待多个级别(共5个级别，大分企业涉及二级或三级保险)。

二、备案：带上定级材料到有关部门备案。

3.初步测试：到评估机构出具报告。

4.整改:初试不及格，按要求进行整改加固。

6.监督检测:配合相关部门进行年审，二级保险每两年一次，三级保险每年一次。

看似简单，其实材料准备不足的哪一步都会被打回重提。