这是一个创建于 438 天前的主题,其中的信息可能已经有所发展或是发生改变。
有人做过软件的等级安全保护吗?具体流程是怎么样的?怎么会这么贵?
 |
1
twofox 2023-08-24 08:48:58 +08:00  1
原来要这么贵吗。我做过等保漏洞修复
流程基本是,给一个测试账号,他们会通过脚本、人工的方式去测试你的系统是否有不安全的地方,然后出报告 我就是根据这份报告然后去修复的,处理过好几个客户的等保报告吧 报告一般也就几个方面的问题:1.密码安全:弱密码、定期更换密码。2. 组件安全问题:例如组件、中间件是否有安全漏洞,组件配置是否安全(例如 rabbitMQ 的明文、tomcat 是否允许 TRACE 请求) 3. 传输安全:前端传输 URL 参数,是否包含明文的用户名和密码 4.数据越权:是否通过更换 url 上的用户 ID 进行越权查看其他用户的数据 |
|
2
twofox 2023-08-24 08:59:04 +08:00
噢,可能你是 APP 端,方式有可能不一样。我是 web 端
|
 |
3
foxhunt 2023-08-24 09:02:54 +08:00
等保二级、三级价格不一样的
不同地区价格也不一样 不同检测机构的报告也不一样 二级管 2 年,三级管 1 年 过期后再来一次 等保做完了,再做密保,比等保还贵 |
 |
6
MXMF 2023-08-24 09:05:53 +08:00
我们公司做的等保二级,费用分两部分,一部分等保测评的费用,一部分是等保安全服务的部分,加起来是差不多得 10 万块了。
直接找做等保测评的机构,他们会告诉你流程和你需要做什么;前段时间刚过了年审,测评机构会给一个报告,报告里面有一些修改的东西,改好之后 他们测评完成 出测评报告,打印出来超级厚。 |
 |
7
asmoker 2023-08-24 09:08:50 +08:00 via Android
要自己跑公安局提交报告哒
寻租是真挣钱😅😅😅 |
 |
8
PlanV 2023-08-24 09:09:54 +08:00
做过三级等保,全部选择最低要求,能不买产品就不买产品,花了三万多
|
|
10
foxhunt 2023-08-24 09:11:54 +08:00 2
这个东西就是花钱买给自己系统做 个整体的安全评估,做个整改
一般来讲,过期后分局也不会主动找 但一旦系统被黑或是有数据泄露,就会追究主体负责人的责任 这时候,有等保,至少说明你系统是通过检验了,只是敌人太狡猾 没等保,说明你本身安全意识不足,没有按照某某进行安全防护 当然,等保过期就是另一回事了 感觉就是个保护伞 |
 |
11
syubo2810 2023-08-24 09:12:42 +08:00
每个地方价格不一样的,杭州这边的话我们公司做评测二级 4w ,三级 7w ,防护自己买另算
|
 |
12
shanch 2023-08-24 09:12:43 +08:00
今年度的等保测评正在做,合同是 5 万多
|
 |
13
lizhenda 2023-08-24 09:12:55 +08:00
为啥要做等保,是体制或国企采购的软件吗?
|
 |
14
tlwstc 2023-08-24 09:15:26 +08:00
这不是巧了,刚谈完合同,17W ,三级等保的第二年复测,去年更贵。。
|
 |
16
magzza 2023-08-24 09:25:38 +08:00
我们这边二级谈下来 3W 够了
|
|
17
MXMF 2023-08-24 09:28:05 +08:00
记不大清楚了,1 个月,这个你网上搜索一下等保测评的机构,然后他们会有客服和你对接,你不明白的直接问客服就可以了。这种机构还挺多的,记得过沟通两家,对比一下,你这边信息就了解的差不多了
|
 |
18
leoleoleo 2023-08-24 09:29:00 +08:00
上海这儿,一个系统三级等保价格基本上在 15 万左右,纯技术服务加测评费用,安服公司帮你做前期的检查和咨询,帮你走完测评机构的流程啥的,不带整改需要采购的安全产品,三级等保就是每年交一次保护费。
|
 |
19
SWBMESSI 2023-08-24 09:32:09 +08:00
看地区吧,这东西差不多就是这样。 做这类东西要一些资质
|
 |
21
hack 2023-08-24 09:39:21 +08:00
看区域看等级定价格,测评机构路过
|
 |
22
max1 2023-08-24 09:44:25 +08:00
就是个保护费,和买安全设备一样
|
 |
24
ydq765 2023-08-24 09:53:25 +08:00
振付项目都要做了现在,本来就没多少钱,三级等保硬件跟服务费占了大头,无语
|
 |
25
allpass202308 2023-08-24 10:04:03 +08:00
什么情况要做? 是不是不对外的业务(只存公司人员和业务数据)就不用做?
|
 |
26
realpg 2023-08-24 10:07:25 +08:00
真便宜
以前三级基本要 30 万的 |
 |
27
christin 2023-08-24 10:55:07 +08:00
我们公司前段时间刚跑完三级等保,大半夜高频测试,把服务器打崩了,还得起来排查问题,我服了。
|
 |
28
caotian 2023-08-24 10:55:55 +08:00
杭州刚续了三级, 测评费 5 万/年, 朋友在的公司优惠价. 已经续了两年了, 差不多都这个价. 阿里云的安全产品看需求啦, 最低的要求一两万就行, 安全产品多就是分数会高一点, 不买没这块加分. 比如上个堡垒机一下子就几万, 但是等保没要求一定要堡垒机. 我做的必须要求到位的是 web 防火墙和数据库审计, web 防火墙一年几千块的版本就够了, 数据库审计 mysql 的很贵, 似乎要几万一年,但是我用的 mongodb 数据库, 这个审计是实时按量收费的, 一天几十块钱
|
 |
29
tisswb 2023-08-24 11:15:24 +08:00
问问阿里云客服吧,记得阿里云的服务器默认带三级等保的,如果要求不严格,可以从客服哪里找一份用一用
|
 |
30
Worldispow 2023-08-24 11:18:31 +08:00
@tisswb 等保分很多的,软件、机房等等,阿里云的是基础设施,软件还需要自己去做。
|
 |
31
winRain 2023-08-24 11:31:08 +08:00
看你等保的审核范围,如果比较小的话,有那种一台机器 6000 就能全部搞定的(按台收费)
|
 |
32
GodoIT 2023-08-24 11:40:24 +08:00
V 友啊!你们整这个等保,能透露下自己的行业吗?我看着就感到迷惑。什么行业有这么特殊的要求,需要“交保护费”?
|
 |
33
mmei737201 2023-08-24 11:42:06 +08:00
等保本来价格就很贵的,主要分为产品费用和等保测评费用两部分。等保测评费可以多对比几家,如果只是为了过等保,产品可以只买 3 个月的。
|
|
34
mmei737201 2023-08-24 11:45:48 +08:00
等保整个流程下来的时间大概是 1-2 个月。
|
 |
35
simplove 2023-08-24 11:56:45 +08:00
@mmei737201 确实,当时为了过等保在腾讯云上面光是买杂七杂八的主机,防火墙之类就花了 3 万多,等保一过马上就删了。。。
我的理解是过了等保,说明我们在腾讯云这里部署的这套系统是 OK 的,满足等保要求。 如果我要把这套系统再部署到其它地方,比如某地市的机房,在一年有效期内,是不是就不用再做等保了?还是说要再做一次等保。 |
 |
36
harry90 2023-08-24 12:29:11 +08:00
保护费要老实交 总不能让人家学古惑仔提着刀找你吧 文明收保护费
|
 |
37
poopoopoopoo 2023-08-24 13:05:11 +08:00
一年要搞上百家三级 就是收保护费 交了钱就发证 其他都是次要 安全产品买了可以退款
|
 |
38
xmumiffy 2023-08-24 13:08:56 +08:00 via Android
就是交钱发证的保护费
|
 |
39
dko 2023-08-24 13:41:20 +08:00
上海反正是涨价了,去年 8 月份之前都是三级 5 万 二级 2 万,这行业很透明的
|
 |
40
sj1531122 2023-08-24 14:10:06 +08:00
能做这个的公司还是很有背景的,我之前经历过先那等保证书,后测试的。
|
 |
41
Vraw5 2023-08-24 14:55:41 +08:00
等保是个系统工程,从空调机房到规章制度,反正非常细,但这些有等保测评公司给你文档你自己替换公司名就好。北京这边,三级一般 15 万左右吧,所有的软硬件设备、测评费一些全部下来,和阿里云对接算过,各地价格浮动主要还是测评费的高低。要是对等保有要求的话可以去做,二级没必要,有要求的都要求三级了,都是上了放那当样子的,该直连服务器的还是直连,堡垒机能用一下就算好的了。后面每年一次是测评,那个费用自己谈吧。
另外有等保测评资格的每省就那几家 |
 |
42
openaq 2023-08-24 18:05:18 +08:00
保护费罢了
|
 |
43
zong400 2023-08-24 18:06:45 +08:00
等保一般是甲方要求才做的吧,2 级 3 级差很远,费用粗略划分为测评费和整改费,整改费就看你们系统和测评报告差异多少,整改这些要增加什么设备或者服务,例如堡垒机,网络安全设备这些,先了解清楚要求是几级。
|
 |
44
hanguofu 2023-08-24 19:18:26 +08:00 via Android
保存用户的实名信息需要做等保吗?
|
 |
46
hefish 2023-08-24 19:41:02 +08:00
具体咨询本地的机构吧。
又不是谁都能做的,目前资质好像还不跨省。。。一般区域内都有最低限价的。 苏南地区二级是 5 万,三级 8 万, 苏北地区要稍微便宜一些。 |
 |
47
PaulSamuelson 2023-08-24 21:22:39 +08:00
有开过实体店的么?开店不也要过消防。
|
 |
48
spacezip 2023-08-24 22:00:39 +08:00
价格透明得 除非几个系统凑一起做
自建机房安全设备齐全 策略得完整 云上得买全安全包 糊弄的公司容易被摘帽子 |
 |
49
AnroZ 2023-08-25 10:38:17 +08:00
啊,这么贵么。近期有个项目需要做二级等保,地点杭州,不知道各位大佬有没有推荐的代理咨询机构。
|
 |
50
asdasdwasdafsad 2023-08-25 11:57:41 +08:00
我朋友公司做等保的,需要的话,可以帮你问问价格
|
 |
51
zanelee 2023-08-25 12:00:34 +08:00
三级 8W ,二级 3-5W 听我们项目经理说过一次。不同地方报价也不一样。有的地方公司多点可能有竞争可以谈一谈价格。最简单的具体流程就是,他们会检查你服务器系统配置,什么连服务器的终端是不是堡垒机,堡垒机的密码强度规则超时处理日志,服务器的密码强度规则,超时处理,日志留存规范等等。再给他们个测试账号测试应用系统,最后然后评分。第一次评完分数不够会给你个整改项目,对应改一下,把分数搞到 70 分以上,有的地方政府项目要求 80 分以上。全国的等保公司也不多,我感觉这东西就是找个公司背书一下。因为说什么日志留存 6 个月,有的等保公司就是让你把 logrotate 的留存配置改成 26 周。。。。。但是我应用不接 logrortate 不是啥用没有,还是留不住。有的公司就需要你搭一个日志管理系统接上
|
|
52
dko 2023-08-25 15:23:23 +08:00
@dragonszy 直接找测评机构吧,不用找二道贩子了: http://www.djbh.net/webdev/web/LevelTestOrgAction.do?p=nlbdLv3&id=402885cb35d11a540135d168e41e000c ,上海现在就 4 家了
|
|
53
dko 2023-08-25 15:24:36 +08:00
@dragonszy 涨价之后三级 10 万二级 8 万这样子,不过可以砍价。如果你们的符合项差的太多或者是第一次做,建议先找个专家咨询下,不然到时候不符合项太多,整改起来比较麻烦
|
|
54
dko 2023-08-25 15:26:01 +08:00
@dragonszy 再补充一下,建议哪个地区找对应地区的测评机构,虽然现在放开了异地接单,但是属地保护这种事情你懂的,外地的测评机构做完之后,报告要交到市局网安审核的。
|
|
55
mmei737201 2023-08-28 10:39:21 +08:00
@simplove 不能转,我说的买三个月只是一个短期的方案,这个后面估计也会查,就看运气如何了。保险起见还是正常买。一年一年的买。有些确实不是很重要的系统,为了对付检查可以只买三个月,重要的还是不要这么操作,只是有些安全产品可买可不买,并不是所有的都需要买,根据自己的系统情况买就是了。还有测评费用可以多对比,每个城市的等保测评机构不会高于 5 家,可以都对比在选择。
|
Select Language