等保备案时，网络拓扑图到底要不要“动一动”？

别急着画新图，先看它“还活着吗”？

很多企业朋友在准备等保2.0备案材料时，翻出去年甚至前年的网络拓扑图，直接打包提交——结果被测评机构一句“图与现状严重不符”打了回来。其实，等保不是“交完材料就完事”，而是“系统什么样，图就得什么样”。网络拓扑图不是装饰画，它是整个安全体系的“骨架示意图”，一旦服务器迁移了、云服务加了、防火墙策略调了、甚至办公网和生产网之间多接了一条网线……图没同步更新，等于给监管递了一张“失真地图”。

更新记录？不是可选项，是必填项！

等保测评中，《网络安全等级保护基本要求》明确指出：安全管理制度应包含网络结构变更管理流程。而网络拓扑图作为关键资产清单和边界描述依据，其更新必须有据可查。你不需要手写“我改了”，但得有一份清晰的《拓扑图更新记录表》：什么时间、谁操作、改了哪台设备/哪个区域/新增了什么链路、变更原因（比如“为满足信创改造，核心数据库迁移至国产云平台”）——这些不是形式主义，而是证明你真的在“持续运营”安全，而不是“一次性应付”。

九蚂蚁实战提醒：图可以简，但不能“装睡”

我们帮上百家企业过等保，发现最常踩的坑不是技术不行，而是“图懒”。有人用Visio画得巨复杂，连空调电源都标上；也有人拿手机拍机房贴纸凑数。真正有效的拓扑图，要“三清”：区域划分清（如互联网区、DMZ、内网核心区）、设备角色清（WAF在哪、日志审计在哪、数据库是否隔离）、数据流向清（用户请求怎么进来、敏感数据怎么出去）。图可以简化，但绝不能“假装没变”。

如果你正卡在拓扑图这关，或者不确定当前版本是否经得起现场核查——九蚂蚁提供免费拓扑图合规性快检服务，3个工作日内给你一份带问题标注+优化建议的反馈，不推销、不套路，就帮你把这张“安全底图”真正立住。