0x01 為什么要找內(nèi)網(wǎng)入口:

我們滲透的最終目的大多數(shù)都是目標內(nèi)網(wǎng),有些核心敏感數(shù)據(jù)(比如,個人機上的一些數(shù)據(jù)),我們從邊界機器是拿不到的,所以,只能深入內(nèi)部,當然,這里所指的內(nèi)部文件數(shù)據(jù),并不僅限于數(shù)據(jù)庫,郵件這類數(shù)據(jù),可能由于各種各樣的需求,我們還需要某些個人的數(shù)據(jù)或者組織的各種業(yè)務數(shù)據(jù),技術(shù)的各種數(shù)據(jù)等等,一般情況下,滲透web的目的,很大程度上也是希望能從web邊界直接進入到目標內(nèi)部(內(nèi)網(wǎng)),對于apt來講,價值比較高的東西基本也全部在內(nèi)部,不得不承認的是,有時候公開信息調(diào)研確實也能找到部分敏感信息,但那個含金量和時效性就遠遠不如內(nèi)網(wǎng)中的了,至于如何深入到目標內(nèi)部,很大程度上也取決于,我們能不能盡可能多的找到目標可能的內(nèi)網(wǎng)入口

0x02 第一種,通過vpn進入目標內(nèi)網(wǎng)[一般都會提供一個web端的443端口表單驗證]:

vpn,想必大家都已經(jīng)非常熟悉了,在前面也已經(jīng)詳細說明過它的用途,除了能幫我們翻墻當跳板之外,對于一些大型目標組織或是跨國公司,他們大部分都會選擇利用vpn的方式來協(xié)作辦公,通過vpn在公網(wǎng)上開辟一條專有通道,以方便公司內(nèi)部的各種業(yè)務處理,但有個前提,你要想進入這條通道,必須有正確的vpn賬號密碼和vpn服務器地址,登陸成功后,才能處在目標的內(nèi)網(wǎng)中,重點也就在這里,怎么搞到目標的vpn賬號密碼呢,嘿嘿……方法比較多,例如,發(fā)信釣魚,搜集目標泄露過的各種配置文件,社工撞庫……

0x03 利用各類郵件程序自身的漏洞嘗試從web邊界進入目標內(nèi)網(wǎng)

下面就簡單介紹一種常見的web郵件程序,[這里為什么一定要是郵件程序呢,不同于普通的web網(wǎng)站,普通的web服務器有時候即使拿到shell,但有可能機器并不在內(nèi)網(wǎng)或者該機器上根本沒有內(nèi)網(wǎng)網(wǎng)卡,但郵件服務器一般都被會用來處理內(nèi)部實際業(yè)務,從個人經(jīng)驗來看,web郵件程序的機器,絕大部分都在內(nèi)網(wǎng)]:

owa 微軟自家的exchange服務,企業(yè)為了便于統(tǒng)一協(xié)作管理,一般都會直接把exchange服務部署在域內(nèi),郵箱名稱和郵箱密碼大部分也直接是域內(nèi)的系統(tǒng)賬號密碼,可以直接拿來登陸域內(nèi)系統(tǒng),當然,vpn也是可以嘗試的,關鍵還是看目標具體是怎么部署的了,至于,如何搞到目標的owa的賬號密碼,嘿嘿……后面再總結(jié)吧,包括命令行郵件導出成pst文件,如果目標部署的有exchange server 一般直接訪問下/owa/auth即可看到,服務被部署好以后管理員沒有特殊情況基本就不怎么會關注/owa/auth目錄下的文件了,所以當你拿到權(quán)限后,在這兒放個webshell,還是很靠譜的,一般都是web的443端口,另外,對于owa本身幾乎是沒什么漏洞的

owa的一般入口如下:https://remote.bmtjfa.au/owa/auth/logon.aspx機器在域內(nèi)的情況https://mail.advancedptsm/owa/auth/logon.aspx機器不在域內(nèi)的情況如果沒有刪的話,可以訪問下面的路徑爆出服務器信息:https://mail.xxx/owa/auth/test.aspxMirapoint郵件系統(tǒng):ShellShock漏洞,漏洞地址如下:http://xxxx/cgi-bin/search.cgihttp://xxxx/cgi-bin/madmin.cgiKerioConnect 郵件系統(tǒng):一般后臺只能內(nèi)網(wǎng)訪問,入口如下:https://mail.xxx:4040/admin/login/Zimbra 郵件系統(tǒng): 本地包含,入口:https://webmail.xxx:7071/zimbraAdmin/查看zimbra版本:https://webmail.xxx/help/zh_CN/standard/version.htmAtmail 郵件系統(tǒng): 敏感信息泄露問題[數(shù)據(jù)庫賬號密碼]:http://xxx/config/dbconfig.iniLotus Domino Webmail:越權(quán)訪問,inurl:.nsf/WebHelp/!OpenPageTurboMail郵件系統(tǒng): 默認配置不當可進入任意郵箱,默認有四個root域賬號,一個管理員,三個普通用戶由于設置缺陷,導致普通用戶可以查看任意用戶的密碼U-mail:sql注入,可寫shellWinMail:非授權(quán)訪問/權(quán)限繞過ExtMail :老版本注入SquirrelMail0x04 找目標的oa系統(tǒng)或者圖書館之類的網(wǎng)站以及各種邊界網(wǎng)絡設備的web管理端[一般像這些東西跟內(nèi)網(wǎng)的聯(lián)系比較大]:

oa本來就是為了方便員工遠程辦公,處理公司各種業(yè)務用的,但,這也給我們提供了通往目標內(nèi)部的入口至于,為什么非要選則圖書館,目的很顯然,既然是圖書館,你肯定會想到內(nèi)部的什么圖書管理系統(tǒng),實際經(jīng)驗也證明,大多數(shù)圖書館的站,都會處在內(nèi)網(wǎng)中找各種網(wǎng)絡設備的web管理端,主要是想登進去以后,看看有沒有可以上傳shell的地方,也許可以利用得到

0x05 在你能力足夠的情況下,直接搞路由也是可以的[比如,cisco,端口鏡像,抓包分析,說實話自己對路由并不是非常擅長]:

路由作為一種邊界設備,搞它的意義就不用再多說了吧

0x06 暴露在邊界的目標打印機,智能點兒的打印機都會自帶一些web服務[通常是java]:

打印機,就更不用說了,典型的內(nèi)部設備,一般是先找到配置管理界面,部署war包

0x07 如果實在外部搞不定,條件允許的情況下,嘗試實地滲透也是可以的,比如,通過無線進入目標內(nèi)部

這也算是一種相對比較高效的滲透方式,老外非常干這個,但前提是,你可能需要很多次的蹲點,才能確認目標,實地滲透對你的心里素質(zhì)要求可能會更高一些,另外,現(xiàn)場的環(huán)境和有限的時間也多多少少會影響到你

一些小結(jié):

時間原因,暫時就想到這些,都是一些平時的經(jīng)驗加上一點自己的想法,其實,就整個信息搜集來講,對你的社工能力其實是個不小的考驗,我自己在這方面確實是弱項,后續(xù)會慢慢加強

是指在網(wǎng)絡環(huán)境下提供網(wǎng)絡信息瀏覽服務的某類計算機程序。一般可以為向其發(fā)出請求的瀏覽器等提供文檔、網(wǎng)站文件或者數(shù)據(jù)文件。是目前使用范圍最廣的服務器之一，是推進世界信息迅速流動的主要原因之一。Web服務器Web服務器Web客戶端Web服務器

Web服務器簡介

Web服務器通常是指網(wǎng)站服務器，也被稱為WWW(WORLD WIDE WEB)服務器。因為目前WWW是互聯(lián)網(wǎng)中的多媒體查詢工具，在目前發(fā)展最快使用量最大的因特網(wǎng)服務器。而借助WWW工具，近年來因特網(wǎng)發(fā)展迅速，用戶量暴增，Web服務器的作用也變得更大。

Web服務器是一種被動程序，只有當Web瀏覽器客戶端連接到服務器并且請求文件時，Web服務器才會處理該請求并且將文件反饋回瀏覽器上，并且指導該瀏覽器如何正確打開查看類型文件。在應用層面，Web服務器常用HTTP（超文本傳輸協(xié)議）與瀏覽器進行信息交互，所以也常被稱為HTTP服務器。

HTTP的安全性遠不及HTTPS

不過，HTTP協(xié)議有著他自身的問題，安全性較差十分容易被仿造網(wǎng)站和釣魚網(wǎng)址以假亂真，因此目前主推的協(xié)議為安全套接字層超文本傳輸協(xié)議，即HTTPS。HTTPS在HTTP的基礎上加入了SSL協(xié)議，SSL協(xié)議利用證書驗證服務器的真實性，而且還將瀏覽器和Web服務器之間的通信信息進行加密，安全性大漲。

除此之外，被稱為Web服務器還有很多。比如，在網(wǎng)絡環(huán)境下為客戶提供某種服務的專用計算機的網(wǎng)絡服務器；在Internet上具有獨立IP，可以向客戶機提供WWW、Email和FTP等服務的計算機，也可以被稱為Web服務器。

一般來講，大多數(shù)的應用程序服務器是包含了Web服務器的，也就是說Web服務器是應用程序服務器的一部分。不過，應用程序服務器的部署卻很少有和Web服務器功能融合在一起的。相反，Web服務器通常會獨立配置，這樣會有助于有提高Web請求的響應速度，也給應用程序服務器留出足夠的空間。

Web服務器工作原理

盡管和應用程序服務器有著扯不清的關系，Web服務器的工作原理卻并不復雜。一般來講，Web服務器的工作過程包括了四步，建立連接、發(fā)送請求、發(fā)出響應和關閉連接。

建立連接是指Web服務器與瀏覽器之間建立連接，該連接一般會通過各種網(wǎng)絡協(xié)議達成。而用戶也可以通過打開虛擬文件socket來確認是否連接建立成功；發(fā)送請求即瀏覽器利用socket向服務器發(fā)出用戶所需要的各種請求。

發(fā)出響應則是服務器在接收到請求之后，利用HTTP協(xié)議將認為處理的結(jié)果傳輸給用戶的Web瀏覽器之中，同時在瀏覽器上展示其所請求的界面；最后，當發(fā)出的響應結(jié)束后，Web服務器會斷開與瀏覽器之間的里歐按揭。而這四步可以有多進程和多線程單一或混合出現(xiàn)的狀態(tài)，這也是我們所能瀏覽的網(wǎng)頁信息越來越豐富的原因之一。

在操作系統(tǒng)層面，Windows、Linux和Unix三個是通常用來架設Web服務器的操作系統(tǒng)。

Linux的安全性十分適合架設服務器

相比之下，Linux無疑是安全性最高的一個，其可以支持多種硬件平臺，網(wǎng)絡功能也要教其余二者更強。這也決定了Linux系統(tǒng)在IT領域不可替代的地位。Linux系統(tǒng)可以根據(jù)用戶的不同需求隨時進行相應的修改、調(diào)整以及復制其他程序的源代碼并進行發(fā)布。同時，作為開源系統(tǒng)，Linux的市場價格普遍低廉，部分源代碼甚至支持免費下載。這些優(yōu)勢決定了Linux系統(tǒng)是架設服務器的理想操作系統(tǒng)，安全性高效率良好。

除系統(tǒng)外，Web服務器的優(yōu)化還可以從寬帶方面入手。可以根據(jù)服務器的用戶和系統(tǒng)特點進行相應的優(yōu)化處理，減少Web服務器網(wǎng)絡數(shù)據(jù)傳輸量，降低傳輸頻率，增加網(wǎng)絡寬帶的利用率，提升網(wǎng)絡客戶端的網(wǎng)頁加載速度，減少Web服務器的資源浪費程度。

Web服務器主要產(chǎn)品

在三種系統(tǒng)中，Web服務器也有著不同的產(chǎn)品。目前最常使用的三種是Apache，Nginx和IIS

在Windows系統(tǒng)中，微軟旗下的Web服務器產(chǎn)品Internet Information Services （IIS）是目前最主流的產(chǎn)品之一，很多網(wǎng)站都是基于此建立的。IIS是一種Web服務組件，它包含了多種功能和應用，如用于瀏覽網(wǎng)頁的Web服務器，文件傳輸?shù)牡腇TP服務器，新聞服務的NNTP服務器及郵件發(fā)送用的SMTP服務器。這些功能使得網(wǎng)絡中的信息流動變得簡單。

網(wǎng)絡信息服務IIS（Internet Information Services ）

IIS允許在公共Intranet或Internet上發(fā)布信息，該服務器提供的圖形界面管理工具Internet服務管理器頗具人氣，在監(jiān)視配置和控制Internet服務器方面都有著很好的表現(xiàn)。其提供的ISAPI(Intranet Server API）能夠作為編程接口擴展Web服務器功能，Internet數(shù)據(jù)庫連接器則可以實現(xiàn)對數(shù)據(jù)庫的更新及查詢。

在Linux和Unix系統(tǒng)中，Apache和Nginx使用頻率最高的兩款Web服務器產(chǎn)品。其中Apache是目前世界上使用最多的Web服務器，市場占有率高達60%。目前很多全球知名的網(wǎng)站都是Apache的作品，其源代碼開放、開發(fā)隊伍穩(wěn)定、支持跨平臺的應用和卓越的可移植性讓其頗受青睞。

Apache和Nginx在Web服務器領域地位很高

Nginx則是一款輕量級的Web 服務器，具有占有內(nèi)存少的特色，而且并發(fā)能力在同類型Web服務器中十分突出，我國不少大型網(wǎng)站如騰訊、百度、淘寶、京東、網(wǎng)易等均采用了Nginx網(wǎng)站。

二者相比之下，Nginx屬于輕量級產(chǎn)品，內(nèi)存和資源占用少抗并發(fā)能力強，高度模塊化設計和高性能模塊出品速度快等優(yōu)勢；而Apache則具有模塊眾多，bug少，穩(wěn)定性超強等特點，兩種Web服務器各有千秋。

Web服務器安全措施

Web服務器的特點決定了其必然是網(wǎng)絡的重點關注對象，而事實上，Web服務器已經(jīng)成為了病毒、木馬等問題的高發(fā)區(qū)，一些網(wǎng)站很容易遭到篡改、資料竊取等問題，因此安全問題必須引起重視。

在安全策略方面，應當加強Web服務器的安全設置，加強對網(wǎng)絡環(huán)境的安全防范，合理利用防火墻保護Web服務器地址；此外，網(wǎng)絡管理員應當加強對網(wǎng)絡日常安全的維護與管理，定期查看服務器狀態(tài)并更新系統(tǒng)，變被動防御為主動出擊。

對付黑客需要勤于安全

想要主動出擊，漏洞測試是必不可少的。網(wǎng)站功能的復雜化，往往會使得一些特定功能的代碼成為黑客攻擊的對象。因此在網(wǎng)站新增功能時，從編碼的設計、編寫、到測試，都需要認識到是否存在著安全漏洞。這對員工的素質(zhì)要求較高，但是安全效果突出。

監(jiān)控方面，由于Web服務器可能不止一個，因此管理員的任務往往會十分艱巨，因此需要對整套監(jiān)控系統(tǒng)實現(xiàn)自動化，對于被攻擊頻率較高的部分及時檢查，避免漏洞被利用。而企業(yè)在選擇Web服務器提供商的時候所關注點也不應該僅有性能方面，能否提供全天候監(jiān)控也十分重要。

用蜜罐系統(tǒng)防御

以假亂真的蜜罐服務器也是一個不錯的選擇。為降低被攻擊頻次，用戶可以將真正的Web服務器進行偽裝，并且給攻擊者提供錯誤的方向。這一偽裝的蜜罐服務器需要有以假亂真的能力，甚至開發(fā)者可以故意開一些后門來引導攻擊者，讓其誤以為得手，以達到保護真正Web服務器的目的。

最后，當這些工作都做了的情況下，必要的攻防測試可以讓用戶的Web服務器變的更為牢不可破。通過這些測試，一方面可以增加Web服務器管理團隊對突發(fā)事件的應對能力，另一方面也可以借助這些攻擊找到Web服務器的漏洞和薄弱環(huán)節(jié)，以便于及時彌補。

Web服務器是互聯(lián)網(wǎng)的核心之一，其撐起了世界信息交流溝通的重任，盡管他十分脆弱，也很容易被壞人盯上，但這不也從側(cè)面證明了其不可替代的作用嗎？

信息安全等級保護是我國信息安全保障的一項基本制度，是國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。

參考規(guī)章制度

◆ 《信息安全等級保護管理辦法》公通字[2007]43號http://djbh/webdev/file/webFiles/File/zcbz/201226163721.pdf

◆ 《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》GB/T 22240—2008http://djbh/webdev/file/webFiles/File/jsbz/2012323103010.pdf

◆ 《信息安全等級保護備案實施細則》公信安[2007]1360號http://djbh/webdev/file/webFiles/File/djba/201221595343.pdf

定級流程

《信息安全等級保護管理辦法》第二章 等級劃分與保護 第六條 國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

第三章 等級保護的實施與管理 第十條 信息系統(tǒng)運營、使用單位應當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的，應當經(jīng)主管部門審核批準。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。

對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。

確定定級對象

各行業(yè)主管部門、運營使用單位要組織開展對所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照 《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》的要求，確定定級對象。

《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》

5.2 確定定級對象 一個單位內(nèi)運行的信息系統(tǒng)可能比較龐大，為了體現(xiàn)重要部分重點保護，有效控制信息安全建設成本，優(yōu)化信息安全資源配置的等級保護原則，可將較大的信息系統(tǒng)劃分為若干個較小的、可能具有不同安全保護等級的定級對象。 作為定級對象的信息系統(tǒng)應具有如下基本特征：

a) 具有唯一確定的安全責任單位。作為定級對象的信息系統(tǒng)應能夠唯一地確定其安全責任單位。如果一個單位的某個下級單位負責信息系統(tǒng)安全建設、運行維護等過程的全部安全責任，則這個下級單位可以成為信息系統(tǒng)的安全責任單位；如果一個單位中的不同下級單位分別承擔信息系統(tǒng)不同方面的安全責任，則該信息系統(tǒng)的安全責任單位應是這些下級單位共同所屬的單位。

b) 具有信息系統(tǒng)的基本要素。作為定級對象的信息系統(tǒng)應該是由相關的和配套的設備、設施按照一定的應用目標和規(guī)則組合而成的有形實體。應避免將某個單一的系統(tǒng)組件，如服務器、終端、網(wǎng)絡設備等作為定級對象。

c) 承載單一或相對獨立的業(yè)務應用。定級對象承載“單一”的業(yè)務應用是指該業(yè)務應用的業(yè)務流程獨立，且與其他業(yè)務應用沒有數(shù)據(jù)交換，且獨享所有信息處理設備。定級對象承載“相對獨立”的業(yè)務應用是指其業(yè)務應用的主要業(yè)務流程獨立，同時與其他業(yè)務應用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務應用共享一些設備，尤其是網(wǎng)絡傳輸設備。

確定信息系統(tǒng)級別

各信息系統(tǒng)主管部門和運營使用單位要按照《管理辦法》和《定級指南》，初步確定定級對象的安全保護等級。

確定系統(tǒng)服務等級

系統(tǒng)服務安全是指確保信息系統(tǒng)可以及時、有效地提供服務，以完成預定的業(yè)務目標。系統(tǒng)服務安全被破壞導致業(yè)務能力下降的程度可以從信息系統(tǒng)服務覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務量等不同方面確定。

個人理解，一旦信息系統(tǒng)的服務內(nèi)容可被其他系統(tǒng)或手工替代，系統(tǒng)服務等級可稍微降級計算。

確定業(yè)務信息等級

業(yè)務信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等。業(yè)務信息安全被破壞導致的財物損失可以從直接的資金損失大小、間接的信息恢復費用等方面進行確定。

確定信息系統(tǒng)級別

SAG的級別，其中S為業(yè)務信息等級，A為系統(tǒng)服務等級，G取兩者中大的。

專家評審與審批

《信息安全等級保護管理辦法》

第十條 信息系統(tǒng)運營、使用單位應當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的，應當經(jīng)主管部門審核批準?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。

初步確定信息系統(tǒng)安全保護等級后，可以聘請專家進行評審。信息系統(tǒng)運營使用單位有上級行業(yè)主管部門的，所確定的信息系統(tǒng)安全保護等級應當報上級行業(yè)主管部門審批同意。

專家評審

《信息安全等級保護管理辦法》

第十條 對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。

《信息安全等級保護備案實施細則》

第十二條 公安機關公共信息網(wǎng)絡安全監(jiān)察部門對定級不準的備案單位，在通知整改的同時，應當建議備案單位組織專家 進行重新定級評審，并報上級主管部門審批。 備案單位仍然堅持原定等級的，公安機關公共信息網(wǎng)絡安全監(jiān)察部門可以受理其備案，但應當書面告知其承擔由此引發(fā)的責任和后果，經(jīng)上級公安機關公共信息網(wǎng)絡安全監(jiān)察部門同意后， 同時通報備案單位上級主管部門。

主管單位審批

沒有主管單位的，或者感覺系統(tǒng)就是自己用不需要主管單位批準的完全可以省略這一步。目前大部分的主管單位其實不想摻合各下屬單位定級備案，怕負責任吧。

完善定級備案材料

主要是定級保護和備案表， 《信息安全等級保護管理辦法》 第十六條 辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應當填寫《信息系統(tǒng)安全等級保護備案表》，第三級以上信息系統(tǒng)應當同時提供以下材料：

◆ 系統(tǒng)拓撲結(jié)構(gòu)及說明；

◆ 系統(tǒng)安全組織機構(gòu)和管理制度；

◆ 系統(tǒng)安全保護設施設計實施方案或者改建實施方案；

◆ 系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；

◆ 測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告；

◆ 信息系統(tǒng)安全保護等級專家評審意見；

◆ 主管部門審核批準信息系統(tǒng)安全保護等級的意見。

備案流程

《信息安全等級保護管理辦法》 第十五條 已運營（運行）或新建的第二級以上信息系統(tǒng)，應當在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。

隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，應當向當?shù)卦O區(qū)的市級以上公安機關備案。

《信息安全等級保護備案實施細則》

第六條 信息系統(tǒng)運營、使用單位或者其主管部門（以下簡 稱“備案單位”）應當在信息系統(tǒng)安全保護等級確定后30日內(nèi)，到公 安機關公共信息網(wǎng)絡安全監(jiān)察部門辦理備案手續(xù)。辦理備案手續(xù) 時，應當首先到公安機關指定的網(wǎng)址下載并填寫備案表，準備好 備案文件，然后到指定的地點備案。

第七條 備案時應當提交《信息系統(tǒng)安全等級保護備案表》 （以下簡稱《備案表》）（一式兩份）及其電子文檔。第二級以上 信息系統(tǒng)備案時需提交《備案表》中的表一、二、三；第三級以 上信息系統(tǒng)還應當在系統(tǒng)整改、測評完成后30日內(nèi)提交《備案表》 表四及其有關材料。

第八條 公安機關公共信息網(wǎng)絡安全監(jiān)察部門收到備案單位 提交的備案材料后，對屬于本級公安機關受理范圍且備案材料齊 全的，應當向備案單位出具《信息系統(tǒng)安全等級保護備案材料接 收回執(zhí)》；備案材料不齊全的，應當當場或者在五日內(nèi)一次性告知 其補正內(nèi)容；對不屬于本級公安機關受理范圍的，應當書面告知 備案單位到有管轄權(quán)的公安機關辦理。

確定并聯(lián)絡所屬公安機關

《信息安全等級保護備案實施細則》

第三條 地市級以上公安機關公共信息網(wǎng)絡安全監(jiān)察部門受 理本轄區(qū)內(nèi)備案單位的備案。隸屬于省級的備案單位，其跨地（市） 聯(lián)網(wǎng)運行的信息系統(tǒng)，由省級公安機關公共信息網(wǎng)絡安全監(jiān)察部 門受理備案。

第四條 隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng) 運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由公安部公共信息網(wǎng)絡 安全監(jiān)察局受理備案，其他信息系統(tǒng)由北京市公安局公共信息網(wǎng) 絡安全監(jiān)察部門受理備案。

隸屬于中央的非在京單位的信息系統(tǒng)，由當?shù)厥〖壒矙C關 公共信息網(wǎng)絡安全監(jiān)察部門（或其指定的地市級公安機關公共信 息網(wǎng)絡安全監(jiān)察部門）受理備案。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系 統(tǒng)在各地運行、應用的分支系統(tǒng)（包括由上級主管部門定級，在 當?shù)赜袘玫男畔⑾到y(tǒng)），由所在地地市級以上公安機關公共信息網(wǎng)絡安全監(jiān)察部門受理備案。

確定備案材料

《信息安全等級保護管理辦法》

第十六條 辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應當填寫《信息系統(tǒng)安全等級保護備案表》，第三級以上信息系統(tǒng)應當同時提供以下材料：

（一）系統(tǒng)拓撲結(jié)構(gòu)及說明；

（二）系統(tǒng)安全組織機構(gòu)和管理制度；

（三）系統(tǒng)安全保護設施設計實施方案或者改建實施方案；

（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；

（五）測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告；

（六）信息系統(tǒng)安全保護等級專家評審意見；

（七）主管部門審核批準信息系統(tǒng)安全保護等級的意見。

到屬地公安機關備案

《信息安全等級保護管理辦法》

第十七條 信息系統(tǒng)備案后，公安機關應當對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明；發(fā)現(xiàn)不符合本辦法及有關標準的，應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級不準的，應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。

運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應當按照本辦法向公安機關重新備案。

注意幾點

到底幾級需要專家評審？

按《信息安全等級保護管理辦法》第十條 對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。 按《信息安全等級保護管理辦法》 第十六條 第三級以上信息系統(tǒng)備案時應提供信息系統(tǒng)安全保護等級專家評審意見。

所以，如果你們一次備案的系統(tǒng)都是二級的系統(tǒng)，那么可以不用專家評審，如果里面包含三級及以上系統(tǒng)，那么還是要專家評審的。請一次專家好幾百，建議讓專家把二級、三級的系統(tǒng)都評審了。

專家評審時準備什么材料？

規(guī)范一點的專家評審，評審時需要給專家看寫好的各系統(tǒng)定級保護、備案表，同時請信息部門或業(yè)務部門對每個系統(tǒng)進行介紹及說明定級思路。由專家一個系統(tǒng)一個系統(tǒng)或一批系統(tǒng)一批系統(tǒng)的給出建議。建議包括級別準不準，報告和備案表寫的對不對，好不好。

不規(guī)范的，就給專家一個定級意向（就是定級報告的后半部分），專家就判斷定級準不準就行。但專家是要給予系統(tǒng)介紹來判斷定級準不準的，所有系統(tǒng)介紹還是要有。

專家在現(xiàn)場還是會問一個系統(tǒng)的信息數(shù)據(jù)的敏感性，使用范圍等，因此有必要請業(yè)務部門參會。

去公安備案到底要拿什么材料？

除了定級保護和備案表，你還有證明你是你。即企業(yè)法人證明或營業(yè)執(zhí)照副本復印件、辦理人身份證復印件、企業(yè)委托辦理人辦理備案事項的委托書，部分公安機關還要一個企業(yè)的信息安全承諾書。

所以去備案前到相關公安機關網(wǎng)站找到對應辦事點的電話，先打電話問一下。

定三級還是二級？

按《信息安全等級保護管理辦法》第十四條 信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級測評，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行等級測評。

信息系統(tǒng)運營、使用單位及其主管部門應當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應當每年至少進行一次自查，第四級信息系統(tǒng)應當每半年至少進行一次自查，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運?...