等保测评介绍及解决方案最终

《等保测评介绍及解决方案最终》由会员分享，可在线阅读，更多相关《等保测评介绍及解决方案最终（53页珍藏版）》请在装配图网上搜索。

1、12021/7/1主要内容测评介绍等保必要性等保介绍解决方案22021/7/132021/7/1等级保护发展等级保护发展 等保等保1.0发展情况1994-2003政策环境营造1994年，国务院颁布中华人民共和国计算机信息系统安全保护条例，规定计算机信息系统实行安全等级保护。2003年，中央办公厅、国务院办公厅颁发国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确指出“实行信息安全等级保护”。2004-2006工作开展准备2004-2006年，公安部联合四部委开展涉及65117家单位，共115319个信息系统的等级保护基础调查和等级保护试点工作，为全面开展等级保护工作奠

2、定基础。2007-2010工作正式启动2007年6月，四部门联合出台信息安全等级保护管理办法。2007年7月，四部门联合颁布关于开展全国重要信息系统安全等级保护定级工作的通知。2007年7月20日，召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议，标志着信息安全等级保护制度正式开始实施。2010-2016工作规模推进2010年4月，公安部出台关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知，提出等级保护工作的阶段性目标。2010年12月，公安部和国务院国有资产监督管理委员会联合出台关于进一步推进中央企业信息安全等级保护工作的通知，要求中央企业贯彻执行等级保护工作。420

3、21/7/1等级保护发展历程等级保护发展历程 等保等保2.0发展情况 修订等保1.02016年10月公安部网络安全保卫局组织对原有国家标准 GB/T 22239-2008等系列标准进行了修订。2.0系列标准编制工作2017年1月至2月，全国信息安全标准化技术委员会发布 网络安全等级保护基本要求系列标准、网络安全等级保护测评要求 系列标准等“征求意见稿”。2017年5月，国家公安部发布GA/T 13892017 网络安全等级保护定级指南、GA/T 1390.22017 网络安全等级保护基本要求 第 2 部分：云计算安全扩展要求等4个公共安全行业等级保护标准。等保2.0网络安全等级保护条例征求意见

4、稿发布。7月再次调整分类结构和强化可信计算。充分体现一个中心，三重防御的思想（和GB/T 25070保持一致）充分强化可信计算技术使用的要求（和GB/T 25070保持一致），等保2.0标准在2019年5月13号正式发布，12月1号正式实施，进入等保2.0时代。52021/7/162021/7/1等级保护依据的法律、法规p网络安全法第二十一条明确要求：“国家实行网络安全等级保护制度”。p网络安全等级保护条例第三条【确立制度】国家实行网络安全等级保护制度，对网络实施分等级保护、分等级监管（征求意见稿）。p关键信息基础设施安全保护条例（征求意见稿）。p关于开展信息安全等级保护安全建设整改工作的指导

5、意见（公信安 2009 1429号）。p中央关于加强社会治安防控体系建设的意见、公安改革若干重大问题的框架意见要求“健全完善信息安全等级保护制度”。p中央领导批示要求：健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度。72021/7/1等级保护2.0的法规、标准体系网络安全等级保护条例（制订中-征求意见稿）（总要求/上位文件）计算机信息系统安全保护等级划分准则（GB 17859-1999)（上位标准）网络安全等级保护 基本要求(GB/T 22239-2019)网络安全等级保护 安全设计技术要求(GB/T 25070-2019)网络安全等级保护 测评要求(GB/T 28448-

6、2019)网络安全等级保护 测评过程指南(GB/T 28449-2018)网络安全等级保护 定级指南(GB/T 22240)（修订）网络安全等级保护 实施指南(GB/T 25058)（修订）82021/7/1等级保护等级划分 第一级 自主保护级：此类信息系统受到破坏后，此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成会对公民、法人和其他组织的合法权益造成 一般损害一般损害，不损害不损害 国国家安全、社会秩序和公共利益。家安全、社会秩序和公共利益。第二级 指导保护级：此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成此类信息系统受到破坏后，会对公民、法人和其他组织的合法

7、权益造成 严重损害严重损害，会对社会，会对社会秩序、公共利益造成秩序、公共利益造成 一般损害一般损害，不损害不损害 国家安全。国家安全。第三级 监督保护级：此类信息系统受到破坏后，会对国家安全、社会秩序造成此类信息系统受到破坏后，会对国家安全、社会秩序造成 损害损害,对对公共利益造成公共利益造成 严重损害严重损害，对，对公民、法人和其他组织的合法权益造成公民、法人和其他组织的合法权益造成 特别严重的损害特别严重的损害。无需备案，对测评周期无要求无需备案，对测评周期无要求公安部门备案，建议两年测评一次公安部门备案，建议两年测评一次公安部门备案，要求每年测评一次公安部门备案，要求每年测评一次920

8、21/7/1等级保护等级划分 第四级 强制保护级：此类信息系统受到破坏后，会对国家安全造成此类信息系统受到破坏后，会对国家安全造成 严重损害严重损害，对对社会秩序、公共社会秩序、公共利益造成利益造成 特别严重损害特别严重损害。第五级 专控保护级：此类信息系统受到破坏后会对国家安全造成此类信息系统受到破坏后会对国家安全造成 特别严重损害特别严重损害。公安部门备案，要求半年一次公安部门备案，要求半年一次公安部门备案，依据特殊安全需求进行公安部门备案，依据特殊安全需求进行102021/7/1我国关键信息基础设施是指关系国家核心利益、人民群众生命财产安全和社会生产生活秩序，一旦遭到破坏、丧失功能或数据

9、泄露，可能严重危害国家安全、国计民生和公共利益的网络基础设施、重要业务系统和生产控制系统以及重要数据资源。关键信息基础设施关键信息基础设施关键信息基础设施的安全保护等级关键信息基础设施的安全保护等级不低于三级不低于三级112021/7/1等级保护政策内容l 由测评公司、咨询公司提供预测评服务，根据技术要求与测评要求提出整改意见与方案l 物理安全，由院方根据预测评整改意见进行机房建设与整改l 网络安全，主机安全、应用安全、数据安全，由专业安全厂商根据预测评整改意见提供相关安全产品与部署方案，由集成商实现安全产品部署与现有操作系统、数据库等系统的安全设置。l 管理要求，由院方根据预测评整改意见完善

10、管理方面的建设，其中涉及必要的技术手段由安全厂商提供 对信息系统中使用的信息安全产品实行按等级管理 对信息系统中发生的信息安全事件分等级响应、处置122021/7/1主要内容怎么做等保等保必要性什么是等保解决方案132021/7/1 开展等保的最重要原因是为了通过等级保护测评工作，发现单位系统内、外部存在的开展等保的最重要原因是为了通过等级保护测评工作，发现单位系统内、外部存在的安全风险和脆弱性，通过整改之后，提高信息系统的信息安全防护能力，降低系统被各种安全风险和脆弱性，通过整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。攻击的风险。梳理出了不同等级的系统后，我们就要对不

11、同系统进行不同等级的安全防护建设，保梳理出了不同等级的系统后，我们就要对不同系统进行不同等级的安全防护建设，保证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用，不造成重大损失或影响。用，不造成重大损失或影响。降低信息安全风险，提高信息系统的安全防护能力；降低信息安全风险，提高信息系统的安全防护能力；142021/7/1等级保护是我国关于信息安全的基本政策等级保护是我国关于信息安全的基本政策20072007年年6 6月发布的关于印发信息安全等级保护管理办法的通知（公通字月发布的关于印发信

12、息安全等级保护管理办法的通知（公通字200743 200743 号）规定了号）规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。全等级保护工作的操作办法。20162016年年1111月月7 7日第十二届全国人民代表大会常务委员会第二十四次会议通过中华人民共和国网络日第十二届全国人民代表大会常务委员会第二十四次会议通过中华人民共和国网络安全法，网络安全法第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当安全法，网络安全法第二十一条明确

13、规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。授权的访问，防止网络数据泄露或者被窃取、篡改。简单总结下就是国家法律法规、相关政策制度要求我们去开展等级保护工作，不做就不合规，就简单总结下就是国家法律法规、相关政策制度要求我们去开展等级保护工作，不做就不合规，就违法。违法。满足国家相关法律法规和制度的要求；满足国家相关法律法规和制度的要求；152021/7/1 很多行业主管单位要求

14、行业客户开展等级保护工作，目前已经下发行业要求文件的有：很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育等行业，还有一些主管单位发过相关文件或通知要求去做。金融、电力、广电、医疗、教育等行业，还有一些主管单位发过相关文件或通知要求去做。另外信息安全主管单位要求我们去开展等级保护工作，主要有：公安、网信办、经信委、另外信息安全主管单位要求我们去开展等级保护工作，主要有：公安、网信办、经信委、通管局等行业主管单位。通管局等行业主管单位。所以不做等保的话，没法向相关主管单位和行业领导们交待。所以不做等保的话，没法向相关主管单位和行业领导们交待。

15、满足相关主管单位和行业要求；满足相关主管单位和行业要求；162021/7/1 每年都会出现一些的信息安全事件，一旦发生比较大的安全事件，主管单位就要去现场调查，每年都会出现一些的信息安全事件，一旦发生比较大的安全事件，主管单位就要去现场调查，首先就会看我们到底有没开展等级保护工作，那么如果你没有，最直接的一个结论就是你的信息安全首先就会看我们到底有没开展等级保护工作，那么如果你没有，最直接的一个结论就是你的信息安全工作没有开展好，没有开展到位，国家最基本的信息安全等级保护工作都没做，你说你买了很多防火工作没有开展好，没有开展到位，国家最基本的信息安全等级保护工作都没做，你说你买了很多防火墙，很

16、多安全设备，都不如你实实在在拿出备案证明，拿出测评报告说服力强。墙，很多安全设备，都不如你实实在在拿出备案证明，拿出测评报告说服力强。出了问题难免就会被通报批评，被勒令下线整改，那么开展了等级保护工作和没有开展等级保出了问题难免就会被通报批评，被勒令下线整改，那么开展了等级保护工作和没有开展等级保护工作被通报的内容就显然不同了。最简单的例子：一个主观上重视安全工作但是因为技术还不够好护工作被通报的内容就显然不同了。最简单的例子：一个主观上重视安全工作但是因为技术还不够好而被攻击造成破坏和一个主观上都不重视安全工作被攻击造成破坏的情况，孰轻孰重，一目了然。怎而被攻击造成破坏和一个主观上都不重视安

17、全工作被攻击造成破坏的情况，孰轻孰重，一目了然。怎么叫主观上重视呢？等保工作有没有开展就是衡量的一个重要标准，因为等级保护是国家基本信息安么叫主观上重视呢？等保工作有没有开展就是衡量的一个重要标准，因为等级保护是国家基本信息安全制度要求。全制度要求。四、合理地规避或降低风险。四、合理地规避或降低风险。172021/7/1依据依据中华人民共和国网络安全法中华人民共和国网络安全法第二十一条第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或全等级保护制度的要求，履

18、行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。者未经授权的访问，防止网络数据泄露或者被窃取、篡改。第五十九条第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，网络安全等后果的，处一万元以上十万元以下罚款处一万元以上十万元以下罚款，对直接负责的主管人员处，对直接负责的主管人员处五千元以上五万元五千元以上五万元以下罚款。以下罚款

19、。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元处十万元以上一百万元以以下罚款，对直接负责的主管人员处下罚款，对直接负责的主管人员处一万元以上十万元一万元以上十万元以下罚款。以下罚款。182021/7/1案例一：重庆永川某私立医院服务器突然陷入瘫痪，医院业务全面案例一：

20、重庆永川某私立医院服务器突然陷入瘫痪，医院业务全面“停摆停摆 重庆永川某医院未履行等级保护义务，被罚款10000元，医院业务全面“停摆”，重庆永川公安接警后立即按照“净网2019”工作要求，启动网络安全应急响应预案，组织网安刑侦民警、勘验民警、管理民警、技术支持专家赶赴现场对该案件进行调查核实。经过民警和技术专家调查核实，该私立医院因未按照网络安全等级保护制度的要求履行安全保护义务。医院HIS、LIS、PACS、EMR等后台系统业务以及微信公众号后台、医院网站等主要系统业务全部放置在同一套服务器中，医院未安装边界防护设备、未安装日志行为审计设备，未设置数据安全备份策略等其他网络安全技术措施，使

21、医院业务在互联网上长期处于“裸奔”状态。黑客通过互联网攻破医院系统后植入勒索病毒，导致医院业务全面“停摆”。针对此案，公安部门按照公安部“一案双查”工作要求，对医院未按照网络安全等级保护制度的要求履行安全保护义务的行为进行查处，并按照中华人民共和国网络安全法第五十九条之规定，对医院处以罚款一万元，对直接负责的主管人员处以罚款五千元的行政处罚。192021/7/1案例二：新乡市封丘县图书馆致命网站遭受攻击案例二：新乡市封丘县图书馆致命网站遭受攻击 河南网警发布一条公告：新乡市封丘县图书馆未按中国人民共和国网络安全法的要求，未采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施，致命

22、网站遭受攻击。封丘县公安局依据中华人民共和国网络安全法第五十九条第一款之规定，对封丘县图书馆给予罚款2万元、对直接责任人海某给予罚款5000元的行政处罚；并建议依法依规追究相关人员责任。1月13日，封丘县文化广电旅游局经研究决定，给予负责网络安全工作的直接责任人海某行政警告处分。202021/7/1案例三：山西忻州市某省直事业单位网站不履行网络安全保护义务被处罚案例三：山西忻州市某省直事业单位网站不履行网络安全保护义务被处罚 2017年6月至7月间，山西忻州市某省直事业单位网站存在SQL注入漏洞，严重威胁网站信息安全，连续被国家网络与信息安全信息通报中心通报。根据中华人民共和国网络安全法第二十

23、一条第二款之规定，网络运营者应当按照网络安全等级保护制度的要求，采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；第五十九条第一款之规定，网络运营者不履行第二十一条规定的网络安全保护义务的，由有关主管部门责令改正，依法予以处置。山西忻州市网警认为该单位之行为已违反网络安全法相关规定，忻州市、县两级公安机关网安部门对该单位进行了现场执法检查，依法给予行政警告处罚并责令其改正。执法机构：山西忻州市、县两级公安机关网安部门 处罚行为：未按照网络安全等级保护制度的要求，采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施 处罚措施：警告并责令其改正 法律依据：网络安全法

24、第21条、第59条212021/7/1案例四：安徽网警依法查处一起违反网络安全等级保护制度案件案例四：安徽网警依法查处一起违反网络安全等级保护制度案件 2017年8月12日，蚌埠怀远县教师进修学校网站因网络安全防等级保护制度落实不到位，遭黑客攻击入侵。蚌埠市公安局网安支队调查案件时发现，该网站自上线运行以来，始终未进行网络安全等级保护的定级备案、等级测评等工作，未落实网络安全等级保护制度，未履行网络安全保护义务。根据网络安全法第五十六条之规定，省公安厅网络安全保卫总队约谈怀远县教师进修学校法定代表人、怀远县人民政府分管副县长。蚌埠市局网安支队依法对网络运营单位怀远县教师进修学校处以一万五千元罚

25、款，对负有直接责任的副校长处以五千元罚款。执法机构：安徽省公安厅网络安全保卫总队；蚌埠市局网安支队处罚行为：网站因网络安全防等级保护制度落实不到位，遭黑客攻击入侵。处罚措施：约谈怀远县教师进修学校法定代表人、怀远县人民政府分管副县长；对网络运营单位怀远县教师进修学校处以一万五千元罚款，对负有直接责任的副校长处以五千元罚款。法律依据：网络安全法第21条、56条、第59条第1款。222021/7/1案例五案例五:国内首例高校违法案例诞生，因未落实等保制度致学生信息泄露国内首例高校违法案例诞生，因未落实等保制度致学生信息泄露 2017年9月28日，淮南市网络与信息安全信息通报中心接到国家网络与信息安

26、全信息通报中心通报：淮南职业技术学院系统存在高危漏洞，系统存储的4000余名学生身份信息已经造成泄露。经查，确认淮南职业技术学院招生信息管理系统存在越权漏洞，后台登录密码弱口令，学院未落实网络安全管理制度，未建立网络安全防护技术措施、网络日志留存少于六个月，未采取数据分类、重要数据备份和加密措施，致使系统存储的4353名学生的身份信息泄露。2017年10月12日,安徽省淮南市网警巡查执法官方微博发布通报称，关于淮南职业技术学院未落实网络安全等级保护制度，导致4000余名学生身份信息泄露一事，淮南市公安局网安支队依法对该学院处以立即整改和行政警告的处罚措施。执法机构：淮南市公安局网安支队处罚行为

27、：淮南职业技术学院招生信息管理系统存在越权漏洞，后台登录密码弱口令，未落实网络安全管理制度，未建立网络安全防护技术措施、网络日志留存少于六个月，未采取数据分类、重要数据备份和加密措施，致使系统存储的多名学生身份信息泄露。处罚措施：责令整改，警告法律依据：网络安全法第21条、第59条第1款。232021/7/1主要内容测评介绍等保政策等保介绍测评介绍解决方案242021/7/1什么是等级测评？信息系统等级测评是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。等级测评是标准符合性评判活动，即依据信息安全等级保护的

28、国家标准或行业标准，按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。252021/7/1等保测评流程一 定级二 备案三 建设整改q备案是等级保护的核心 q建设整改是等级保护工作落实的关键四 等级测评q等级测评是评价安全保护状况的方法q定级是等级保护的首要环节262021/7/1重要行业关键信息系统划分及定级建议等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重

29、损害专门监督检查272021/7/1管理办法规定的五个等级：p第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。p第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。等级保护-定级282021/7/1p第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。新修订定级指南对公民、法人和其他组织的合法权益造成特别严重损害。p第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。p第五级，信

30、息系统受到破坏后，会对国家安全造成特别严重损害。等级保护-定级292021/7/1实际操作中参考确定信息系统等级：p第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。p第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。等级保护-定级302021/7/1p第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作

31、业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。p第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。等级保护-定级312021/7/1测评目标 需要实施安全等级保护的信息系统为：需要实施安全等级保护的信息系统为：-党政系统党政系统(党委、政府党委、政府)；-金融系统金融系统(银行、保险、证券银行、保险、证券)；-财税系统财税系统(财政、税务、工商财政、税务、工商)；-经贸系统

32、经贸系统(商业贸易、海关商业贸易、海关)；-电信系统电信系统(邮电、电信、广播、电视邮电、电信、广播、电视)；-能源系统能源系统(电力、热力、燃气、煤炭、油料电力、热力、燃气、煤炭、油料)；-交通运输系统交通运输系统(航空、航天、铁路、公路、水运、海运航空、航天、铁路、公路、水运、海运)；-供水系统供水系统(水利及水源供给水利及水源供给)；-社会应急服务系统社会应急服务系统(医疗、消防、紧急救援医疗、消防、紧急救援)；-HIS-HIS、LISLIS、PACSPACS、EMREMR、门户网站、门户网站、OAOA系统（医院）系统（医院）322021/7/1系统定级定级定级依据依据依据如下标准：GA

33、/T 13892017：信息安全技术网络安全等级保护定级指南GB 17859-1999：计算机信息系统安全保护等级划分准则332021/7/1信息系统定级依据教育行业信息系统安全等级保护定级指南（2014年）（教育部办公厅）学校信息系统可分为：重点建设类高等学校信息系统（I 类）、高等学校信息系统（类）、中小学校（含中职中专院校）信息系统（类）；一类信息系统的部分系统，定义为三级等保，（学校门户网站、财务管理系统、校园一卡通系统、教务管理系统）二类信息系统，均定义为二级等保，三类信息系统，均定义为一级等保，电力行业信息系统安全等级保护定级工作指导意见（国家电力监管委员会）342021/7/1信

34、息系统定级依据卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫生部办公厅）1、HIS系统2、LIS系统3、EMR系统4、PACS系统5、办公系统6、门户网站系统信息安全技术 信息安全等级保护基本要求GB/T 22239-2008（国家标准管理委员会）1、门户网站2、电子政务网络3、邮件系统4、应急管理系统5、数字城管系统6、公共资源交易系统7、大数据云计算中心352021/7/1信息系统定级依据其他行业标准：其他行业标准：证券期货业信息系统安全等级保护基本要求证券期货业信息系统安全等级保护基本要求JR/T 0060-2010 JR/T 0060-2010 （中国证券监督管理委员会

35、公告）（中国证券监督管理委员会公告）金融行业信息系统信息安全等级保护实施指引金融行业信息系统信息安全等级保护实施指引JR/T 0071-2012 JR/T 0071-2012（中国人民银行发布中国人民银行发布）烟草行业信息系统安全等级保护实施规范烟草行业信息系统安全等级保护实施规范YC/T 495-2014YC/T 495-2014 （国家烟草专卖局）（国家烟草专卖局）税务系统信息安全等级保护基本要求税务系统信息安全等级保护基本要求（试行）（试行）（国家税务总局）（国家税务总局）362021/7/1测评流程 资产调研 现场评估对测评对象的网络架构、系统构成、主要业务、管理制度进行前期调研。启动

36、会议 报告交付 末次会议 报告交付 整改加固对管理制度及措施、人员组织、网络架构、系统配置、安全漏洞进行全面评估。提供整改加固建议，协助对信息系统整改加固的有效性进行判断。召开现场测评启动会议，为现场评估工作的顺利展开提供帮助。召开现场测评末次会议，总结现场测评发现的问题。交付正式的等级保护测评报告，测评工作宣告结束。工期：工期：30-6030-60天天372021/7/1交付成果XX信息系统信息安全等级保护测评报告共3份（用户单位、测评机构、公安部门）XX单位信息系统信息安全等级保护建设整改方案382021/7/1主要内容测评介绍等保政策解决方案等保介绍测评介绍392021/7/140202

37、1/7/1网络安全结构安全访问控制安全审计边界安全检查入侵防范恶意代码防范设备防护要点：主要设备冗余空间、安全路径控制、整体网络带宽、带宽优先级、重要网段部署要点：端口控制、防地址欺骗协议过滤、会话控制最大流量数及最大连接数要点：审计记录审计报表审计记录的保护要点：非授权设备接入非授权网络联出要点：记录、报警、阻断要点：记录、报警、阻断要点：组合鉴别技术特权用户权限分离412021/7/1分类基本要求说明及技术方案产品部署网络安全结构安全（G3）a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；主要设备、部件冗余方案及网络设备保证b)应保证网络各个部分的带宽满足业务高峰期需

38、要；带宽预留方案及网络设备保证c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；策略路由、静态路由、动态路由协议认证方案及网络设备保证d)应绘制与当前运行情况相符的网络拓扑结构图；根据实际情况绘制、更新拓扑图（纸质或管理软件生成）e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；合理划分网段整体方案保证f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；防火墙策略防火墙g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵

39、的时候优先保护重要主机。辅助防火墙设备部署QOS策略防火墙、流控系统422021/7/1分类基本要求说明及技术方案产品部署网络安全访问控制（G3）a)应在网络边界部署访问控制设备，启用访问控制功能；防火墙做边界访问控制防火墙b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；防火墙策略防火墙c)应对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；IPS实现4-7层协议安全控制下一代防火墙/WAFd)应在会话处于非活跃一定时间或会话结束后终止网络连接；防火墙会话老化，设置会话超时时间防火墙e)应限制网络

40、最大流量数及网络连接数；防火墙策略防火墙f)重要网段应采取技术手段防止地址欺骗；ip、mac绑定防火墙、交换机组合方案保证g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；第一层次基于IP的访问控制，基本防火墙能力第二层次基于用户身份的访问控制，下一代防火墙支持，配合AAA系统使用防火墙h)应限制具有拨号访问权限的用户数量。拨号接入设备控制（可能包括PPTP等VPN方式）防火墙/VPN432021/7/1分类基本要求说明及技术方案产品部署网络安全安全审计（G3）a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；技术点解析：

41、审计网络设备操作记录，提供有效展示，并确保日志安全存储。应对方案：通过流量分析系统、运维管理系统配合实现网络审计、日志审计、堡垒机b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应能够根据记录数据进行分析，并生成审计报表；d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。边界完整性检查（S3）a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；接入认证、IP/MAC绑定终端准入b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。防私接终端准入442021/7/1分

42、类基本要求说明及技术方案产品部署网络安全入侵防范（G3）a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；攻击检测和防御IDS、IPSb)当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。恶意代码防范（G3）a)应在网络边界处对恶意代码进行检测和清除；攻击、病毒检测和防御防毒墙b)应维护恶意代码库的升级和检测系统的更新。定期升级特征库452021/7/1分类基本要求说明及技术方案产品部署网络安全网络设备防护（G3）a)应对登录网络设备的用户进行身份鉴别；网络运维人

43、员身份管理网络设备安全策略控制设定+堡垒机辅助b)应对网络设备的管理员登录地址进行限制；ACL、安全策略c)网络设备用户的标识应唯一；堡垒机做双因素认证d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；堡垒机做双因素认证e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；设置复杂口令f)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；设置策略控制非法登录次数和超时退出g)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；远程管理使用加密协议，如SSHh)应实现设备特权用户的权限分

44、离。设备上设置用户权限462021/7/1主机安全身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制要点：组合鉴别技术要点：管理用户权限分离敏感标记的设置要点：审计记录审计报表审计记录的保护要点：空间释放信息清除要点：记录、报警、阻断要点：记录、报警、阻断与网络恶意代码库分离要点：监控重要服务器最小化服务检测告警472021/7/1应用安全身份鉴别访问控制安全审计剩余信息保护通信完整性通信保密性防抵赖软件容错资源控制要点身份鉴别访问控制安全审计剩余信息保护通信完整性通信保密性防抵赖软件容错资源控制组合鉴别技术敏感标记的设置审计报表及审计记录的保护敏感信息清楚、存储空间释放加密技术

45、整个报文及会话传输过程加密原发证据的提供出错校验、自动保护资源分配、优先级、最小化服务及检测报警数据安全要点数据完整性数据保密性备份和回复数据完整性数据保密性备份和恢复数据存储、传输，完整性检测和恢复数据存储、传输，加密保护冗余、备份482021/7/1方案-用户互联网接入区SSL VPN网关管理区数据中心区上网行为管理边界FWDDoS防御运维审计系统Web服务器Web防火墙网络管理系统终端安全准入系统日志审计系统接入区接入用户接入用户接入用户IPS/AV防火墙漏洞扫描系统态势感知CIS492021/7/1互联网接入区SSL VPN网关管理区数据中心区管理区FW上网行为管理边界FW核心FW/I

46、PSDDoS防御运维审计系统Web服务区Web服务器Web防火墙网络管理系统终端安全准入系统日志审计系统接入区接入用户接入用户接入用户IPS/AV防火墙漏洞扫描系统态势感知CIS502021/7/1三级系统安全保护环境基本要求与对应产品使用范围基本要求产品类型举例安全通信网络网络结构（VLAN划分）三层交换机MPLS VPN访问控制（权限分离）防火墙入侵防范（检测告警）主机入侵检测产品（HIDS）备份恢复（数据备份）设备冗余、本地备份（介质场外存储）数据完整性、保密性VPN设备剩余信息管理终端综合管理系统身份认证（双因素）证书、令牌、密保卡恶意代码防范（统一管理）网络版主机防病毒软件安全区域边界区域边界访问控制（协议检测）防火墙（IPS）资源控制（优先级控制）带宽管理、流量控制设备区域边界入侵检测IDS区域边界恶意代码防范防病毒网关区域边界完整性保护终端综合管理系统安全通信网络通信网络安全审计上网行为管理数据传输完整性、保密性保护VPN设备安全管理中心集中管控安全管理平台审计管理（网络、主机、应用）安全审计系统512021/7/1做等保、找恒生！一站式服务。522021/7/1谢 谢！532021/7/1