等保的定级网络拓扑图怎么画？用什么画？

等保的网络拓扑图应该画成什么样？

在对网络安全等级保护定级对象进行定级时，定级专家的主要工作是根据定级对象的重要程度，判断业务信息和系统服务遭到破坏后受侵害的客体和对客体的侵害程度，最后做出准确的定级。

网络拓扑图不是定级的重点。

但是一般专家要根据定级报告和PPT介绍，通过经验、咨询、诱导，勾勒出整个系统的容貌、覆盖的用户数、服务区域、业务数据类型和规模等等。找出业主忽略的地方，对标标准。

有些专家还会对系统建设做一些建议，因为有些系统在定级的时候都还没开始建设，实际上网络拓扑图可能都画不出来。专家会建议应添加什么防护，哪个地方多余了，如何规避风险等等。

虽然不是重点，但是不可或缺。一般从这个图，就可以判断业主的运维人员的专业度。

我遇到的一些网络拓扑图有以下一些错误。

所以我有时候会把下面这个图，说照这个画一个。

网络安全等级保护测评中心

还有这个

内容来源：今日头条 summer课堂天億网络安全

这个图是怎么画出来的？首先我们来看看等保最基本的思路。

以“一个中心，三重防护”为网络安全技术设计的总体思路，其中一个中心即安全管理中心，三重防护即安全计算环境、安全区域边界、安全通信网络。建立以计算环境安全为基础，以区域边界安全、通信网络安全为保障，以安全管理中心为核心的信息安全整体保障体系。

读懂这句话，对整个网络拓扑图就很清晰了。我归纳有以下几个重点。

区域边界要体现。虽然现在都在说零信任，但是基本的区域边界安全还是要的。网络拓扑图应当按区域画出，比如互联网区、内网区、数据中心区、应用服务器区、云平台数据区、运维管理区、安全管理区等
安全通信网络。将各个区域之间互通情况，中间网络或安全设备边界设备（路由、防火墙、交换机、阻断设备、流量监测设备）画出
安全计算环境。把数据中心区的系统的整体部署架构画出
安全管理中心。将一些旁路，或者部署在主机侧的Agent主控中心画在里面
拟物或者扁平都无所谓，但是最好图标风格一致。不要网络用Cisco拟物，服务器用AWS扁平
横平竖直，大小一致，均衡
使用颜色或者虚实线展示多一个维度的信息。比如从外到内，区域边界颜色同色系从浅到深。虚线画出逻辑流量走向图
专有名词大小写一定要规范，显得专业度更高，比如NGINX、MySQL、Web等等

好了，你知道应该长什么样了，那用什么画？

有些人用PPT画图，用PPT画没有毛病，画得清楚即可，但是灵活度不够，画完就是一张死的图。

有些人用Visio、Edraw等。Visio们太大，免费版功能较少。

我原来用过Mermaid，写起来还算简单，但是自动化排版出来实在难看。

Placeholders are like variables - they can reference a shape’s property and replace text in a label or tooltip with the value of the named property.

我很想把错误示范和典型的三级等保网络拓扑都配个图，但是太麻烦了。