等保2.0--安全计算环境

应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。

定期漏洞扫描工作，这次不是只扫描就 OK 了，对于发现的漏洞要进行验证，确认漏洞的真实性，然后对于真实漏洞进行整改。很刺激对吧，要验证了哦。

应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

这明显说的就是 IDPS 嘛，同行 NGFW 也具备同样能力。什么？你们没有防火墙，抱歉，我只能帮你到这里了，自求多福吧。这条可以直接否了你的本次测评。

应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地。

在老标准的基础上，等保 2.0 标准明确提出实时备份至异地，不过好在是对于重要数据，这点各家根据实际情况来权衡吧。没有的话肯定是 GG 了，有的话看情况，不能做到实时，但是有异地备份，这算是基本符合，不会被判定否决，可以后期列入整改计划，逐渐完善。

中小企业或者云上系统，可以把这锅甩给云供应商；大型企业和自建机房/私有云的公司，建议尽可能完善，不求有功，但求无过。其实基本上等同于双活，只是没提切换延时的要求。

应仅采集和保存业务必需的用户个人信息

应禁止未授权访问和非法使用用户个人信息。

这两条都是关于个人信息保护的要求，基本就如字面意思。稍微解释一下，一方面是采集个人信息时，只能采集所需的必要信息，对于这类信息你可以收集，但是若未授权不得随意访问和修改信息，也就是说，信息可以放在你们这，但是我不同意，你就不能看，除非协助公安和相关部门处理特殊事宜时的强制配合。

另一方面，信息收集过来后，不可以随便向其收集发送各种推销、广告以及恶意链接，这些操作都不可以。也就是说，对于一些常规流氓操作进行了约束和控制，虽然不知道效果如何，但起码提出了相应要求。这方面，对于那些需要采集个人信息的系统，是比较难搞的一项要求。靠技术展示基本不大可能，所以就要尽可能的解释，从管理制度、操作规范、员工培训、惩罚制度、保密协议、流程管控方面来说明，你们做得如何好，基本这样就差不多了。

但是，未来几年，数据安全是趋势，信息安全和隐私保护都在立法阶段，后续的监控也会越来越严，因此建议还是要从实际出发，不要只考虑眼前的测评，多想想以后怎么跟监管解释吧。