最近经常有人问我等保3.0，或者说他们要做等保3.0，顿时懵了！！！

哪有等保3.0，等保2.0于2019年12月1日才刚刚正式实施。

GB/T22239-2019等保2.0标准文件

后来仔细一想，这哥们是等保2.0与3级等保搞混淆了。

等保2.0是一个安全标准，经历了1.0和2.0试运行稿，最终落地到现在的等保2.0，即很多人熟悉的“一个中心三重防护”，如下图所示。

等保标准的变化

而根据等保标准，网络安全可以分为5个级别（等保1.0和等保2.0都一样），项目中遇到最多的是等保3级。

等保5个级别

所以，等保2.0和等保3级，你还会搞混淆吗？

虽然等保分为5个级别，但实现项目落地的都是2、3和4级，最低的1级单位可以自行备案，但是有的地方不接受（在北京做项目的时候经历过给客户备案一级的），不需要指定时间做等保测评，1级只是建议。5级并不会做，至少以笔者十年安全领域经验，从来没有遇到项目做级。其实原因很简单。等保5级信息系统受到破坏后，会对国家安全造成特别严重损害，这类系统一般都涉及国家秘密，走另一套安全体系-分级保护，不会用等级保护体系。

以前文章也介绍过，三级等保花几十万到几百万，甚至上千万的都有，需要看客户业务规模和重要性，另外需要看客户预算，安全是个无底洞，有多少钱都能给你花完。所以问三级等保大概花多少钱，我只能说从几十万都几百万不等，相当于废话。

另外一个可能大家比较关注的问题，就是三级等保需要买哪些设备。其实这个问题，近些年被安全厂商严重带偏了，把买设备和过等保划上了等号，实际情况还真是这样，早年很多安全厂商，直接打出买设备包过等保的宣传口号。

其实，本质上讲，等级保护只是一种参考思路，跟买安全设备不能划等号。举个例子，等保中安全物理环境，其实只要你做好相关防护就行，比如可以请个保安24小时看守，也能买把锁，或者可以建设门禁系统，但经过安防厂商各种宣传，感觉不装门禁就一定不合规。

当然，由于国内很多单位技术能力有限，有时直接上安全设备可能真是最简单粗暴的方式，但作为信息安全从业者，也要知道等保不完全等于安全设备，即使上了几百万安全设备，存在admin，123456这些弱口令高危漏洞，依然一票否决，等保评测肯定过不了。

最后，也给大家一个等保二级、三级参考产品清单：