清華五道口：金融保險網絡安全合規技術白皮書（2022)（57頁）.pdf

1、金金融融保保險險網網絡絡安安全全合合規規技技術術白白皮皮書書（2 20 02 22 2 年年）清清華華大大學學金金融融科科技技研研究究院院 金金融融安安全全研研究究中中心心北北京京華華清清信信安安科科技技有有限限公公司司2 20 02 22 2 年年 1 10 0 月月目目錄錄1.保險行業網絡安全概述.11.1.網絡安全形勢分析.21.2.安全合規形勢分析.32.網絡安全等級保護概述.52.1.基本概念.52.1.1.等級保護基本概念.52.1.2.等級保護體系框架.52.1.3.等級保護工作內涵.62.1.4.等級保護工作流程.62.1.5.等級保護工作必要性.82.2.政策和標準體系.92

2、.2.1.國家政策和標準.92.2.1.1.網絡安全等級保護政策體系.102.2.1.2.網絡安全等級保護標準體系.112.2.2.保險行業政策和標準.133.等級保護實施方案.153.1.方案概述.153.1.1.實施框架.153.1.2.實施原則.153.2.等級保護定級.173.2.1.定級方法論.183.2.2.定級流程.213.2.3.定級環節工作內容.213.2.4.定級環節主要工作成果.223.3.等級保護備案.223.3.1.備案流程.233.3.2.備案工作內容.233.3.3.備案工作成果.243.4.建設整改.243.4.1.建設整改流程.263.4.2.建設整改工作內容

3、.273.4.3.建設整改環節交付成果.323.5.等級保護測評.333.5.1.測評方案.343.5.2.測評輔助.453.5.3.輔助測評工作內容.463.5.4.輔助測評主要工作成果.473.6.運行與檢查.473.6.1.自查與監管檢查.483.6.2.運行檢查工作成果.483.7.其它安全運維工作.483.7.1.定期漏洞掃描.493.7.2.定期滲透測試.503.7.3.應急響應.513.7.4.安全加固.523.7.5.安全培訓.53第 1 頁金融保險網絡安全合規技術白皮書（2022）編寫人員名單總編輯周道許主編田新遠執行主編徐制宇編輯劉志勇李 玲傅裕興第 2 頁1 1.金金融融

4、保保險險網網絡絡安安全全合合規規1 1.1 1.網網絡絡安安全全形形勢勢分分析析隨著網絡攻擊方式的不斷演進，網絡安全形勢不容樂觀。具體表現為：一方面，網絡攻擊事件頻發，對社會穩定、生產運行、人民生活造成深遠影響；另一方面，新技術、新場景的網絡威脅日益增多，利用安全漏洞實施鏈式攻擊更加頻繁。即便是安全防御提升，加大了網絡攻擊難度，但網絡攻擊者通過多種手段設法“規避”、“繞過”網絡安全防線，達到網絡攻擊入侵目的。尤其是在利益驅動下，網絡攻擊目標更加精準，攻擊者趨于瞄準“高價值”目標。近年來，政企數字化轉型，推動了數字安全概念升級、落地。數字時代的安全，不僅要防范網絡中斷和系統癱瘓等風險、保障“線上

5、”網絡系統安全，更要進一步保障“線下”經濟社會運行秩序穩定。進入數字化時代，網絡高級可持續威脅攻擊更為頻繁，網絡攻擊目標、手法、產生的破壞力都匪夷所思。在此背景下，網絡安全逐漸成為常態性因素，向著范圍更大、防護面更廣的數字安全體系演進?；诖?，網絡安全廠商必須為政企客戶構建數字安全體系，并使其成為保障數字化發展的新引擎。廠商和客戶均要通過探索差異化、多元化創新模式，夯實技術創新機制，推動服務創新發展，通過創新技術在網絡安全領域的融合應用，全面增強網絡安全風險感知、監測預警、實時阻斷、追蹤溯源、應急響應等核心能力。第 3 頁1 1.2 2.安安全全合合規規形形勢勢分分析析隨著網絡安全法、數據安全

6、法、個人信息保護法、關鍵信息基礎設施安全保護條例等多部重磅法律條例的頒布，標志著我國在網絡安全、數據安全、個人信息保護、關鍵信息基礎設施保護等重點領域迎來了有法可依、有章可循的新時代。與之同時，行業監管部門積極落實國家網絡安全監管要求，先后制定出臺聯合規章和管理規定，并且持續加大網絡安全執法力度。網絡安全法配套文件逐漸出臺后，金融保險行業監管部門開始出臺實施細則以指導具體實踐，適應新的業務使用場景。2019 年 4 月 16 日，中國人民銀行發布的 2019 年規章制定工作計劃，已經修訂/制定 12 項規章，其中個人金融信息保護、客戶身份識別、消費者權益保護等相關法律法規備受關注，包括個人金融

7、信息（數據）保護試行辦法和中國人民銀行金融消費者權益保護實施辦法。2019 年 3 月 7 日，國務院國有資產監督管理委員會發布了新版中央企業負責人經營業績考核辦法。新的考核辦法中增加了對網絡安全事件的考核要求，極大的增強了相關企業負責人的網絡安全意識并增加網絡安全相關的投入。數字化轉型衍生出網絡安全的新挑戰、新需求，驅動網絡安全產品與解決方案不斷迭代升級。數字安全的革新，帶來的就是安全技術和產品創新。智能化、主動防御、安全運營將成為競爭力的核心。智能化、主動防御、安全運營創新技術具有多種優勢，不僅可實現安全威脅的態勢感知、關聯檢測、主動捕獲、即時對抗，還支持場景全局化、輕量化、定制化聯動部署

8、?？梢灶A見，智能化、主動防御、安全運營類產品將迎來規?；瘧?，在數字化時代的攻防對抗與核心數字資產防護中彰顯其重要價值。第 4 頁后疫情時代，金融保險行業均在尋求業務轉型和創新式發展，許多組織正在籌劃新一輪基礎性建設。如果網絡安全被排除在預算之外，那么未來幾年網絡威脅將不可避免的持續增長。故此，金融保險行業應切實考慮將網絡安全產品采購納入計劃，使網絡安全成為數字化轉型的推動力量，以確保為組織轉型升級保駕護航。本白皮書僅在網絡安全法和網絡安全等級保護制度框架下討論金融保險企業面臨的網絡安全合規問題和實施實踐。第 5 頁2 2.網網絡絡安安全全等等級級保保護護概概述述2 2.1 1.基基本本概概念

9、念2 2.1 1.1 1.等等級級保保護護基基本本概概念念網絡安全等級保護是指對網絡（含信息系統、數據）實施分等級保護、分等級監管，對網絡中使用的網絡安全產品實行按等級管理，對網絡中發生的安全事件分等級響應、處置?！熬W絡”是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統，包括網絡設施、信息系統、數據資源等。2 2.1 1.2 2.等等級級保保護護體體系系框框架架網絡安全已經上升到國家安全戰略高度，沒有網絡安全就沒有國家安全，就沒有經濟社會的穩定運行。在此背景下，網絡運營者、行業主管部門和網絡安全職能部門有責任和義務開展網絡安全頂層設計

10、，落實有關網絡安全保護措施，提高網絡安全綜合保護能力。下圖為網絡安全等級保護體系框架。第 6 頁2 2.1 1.3 3.等等級級保保護護工工作作內內涵涵網絡安全等級保護是對網絡進行分等級保護、分等級監管，是將信息網絡、信息系統、網絡上的數據和信息，按照重要性和遭受損壞后的危害性分成五個安全保護等級（從第一級到第五級，逐級增高）；等級確定后，第二級（含）以上網絡到公安機關備案，公安機關對備案材料和定級準確性進行審核，審核合格后頒發備案證明；備案單位根據網絡的安全等級，按照國家標準開展安全建設整改，建設安全設施、落實安全措施、落實安全責任、建立和落實安全管理制度；選擇符合國家要求的測評機構開展等級

11、測評；公安機關對第二級網絡進行指導，對第三、第四級網絡定期開展監督、檢查。2 2.1 1.4 4.等等級級保保護護工工作作流流程程網絡安全等級保護工作主要包括五個環節，分別是定級、備案、建設整改、等級測評和監督檢查。第 7 頁定定級級網絡運營者自行開展網絡的安全等保擬定，并組織召開專家評審會，專家對初步定級結果的合理性進行評審，出具專家評審意見，并將初步定級結果上報行業主管部門進行審核。備備案案網絡運營者將網絡定級材料遞交公安機關進行備案，公安機關對定級材料進行審核，并給符合要求（定級準確、符合要求、材料齊全）的網絡發放備案證明。建建設設整整改改網絡運營者根據網絡的安全保護等級，按照對應等級的

12、國家標準開展差距分析和安全建設整改工作。等等級級測測評評網絡運營者選擇符合國家規定條件的測評機構，對第二級以上的網絡開展等級測評，測評機構在測評完成后對符合要求的網絡運營者出具測評報告。監監督督檢檢查查公安機關對網絡運營者開展網絡安全等級保護工作的情況和網絡的安全狀況開展執法檢查工作。網絡運營者需要每年開展網絡安全等級保護自查工作。第 8 頁2 2.1 1.5 5.等等級級保保護護工工作作必必要要性性網絡安全等級保護是黨中央、國務院決定在網絡安全領域實施的基本國策。網絡安全等級保護制度是國家網絡安全工作的基本制度，是實現國家對重要網絡、信息系統、數據資源實施重點保護的重大措施，是維護國家關鍵信

13、息基礎設施的重要手段。2017 年 6 月，中華人民共和國網絡安全法規定國家實行網絡安全等級保護制度，標志著從 1994 年的中華人民共和國計算機信息系統安全保護條例（國務院令第 147 號）上升到國家法律；標志著國家實施十余年的信息安全等級保護制度從 1.0 時代邁入 2.0 時代；標注著以保護國家關鍵信息基礎設施安全為重點的網絡安全等級保護制度依法全面實施。金融行業是網絡安全等級保護制度和關鍵信息基礎設施安全保護條例施行的重點行業之一，而保險行業作為金融行業的重要分支，網絡安全等級保護工作的開展勢在必行。網絡安全等級保護工作開展的意義如下：降降低低網網絡絡安安全全風風險險，提提升升網網絡絡

14、系系統統的的安安全全防防護護能能力力實施網絡安全等級保護制度有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協調，為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務，有效控制信息安全建設成本。第 9 頁 滿滿足足國國家家、行行業業、主主管管單單位位法法律律政政策策的的要要求求網絡安全等級保護是我國關于網絡安全的基本政策，不按照要求開展等級保護工作等于違法。另外金融作為國家重要領域，陸續發布大量的安全合規與安全監管要求，因此金融保險行業的安全合規工作勢在必行。保保障障重重要要方方面面的的網網絡絡系系統統安安全全優化信息安全資源配置，對網絡系統分級實施保護，重點

15、保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面重要信息系統的安全。貫貫徹徹網網絡絡安安全全意意識識明確國家、法人和其他組織、公民的信息安全責任，加強信息安全管理，推動信息安全產業的發展，逐步探索出一條適應我國社會主義市場經濟發展的信息安全模式。2 2.2 2.政政策策和和標標準準體體系系2 2.2 2.1 1.國國家家政政策策和和標標準準網絡安全已經上升到國家安全戰略高度，沒有網絡安全就沒有國家安全，就沒有經濟社會的穩定運行。最近幾年我國加快了網絡安全相關法律法規和標準規范的制定和更新，一系列法律、法規和標準、文件密集發布、實施，構筑起較為完善的網絡安全監管體系。為組織開展網絡安全等

16、級保護工作，公安部根據中華人民共和國計算機信息系統安全保護條例（國務院令第 147 號）及國務院“三定”授權，會同國家第 10 頁保密局、國家密碼管理局、原國務院信息辦和國家發改委、財政部、教育部、國資委等部門出臺了一系列政策文件。公安部對網絡安全等級保護相關具體的工作出臺了一系列指導意見和規范。這些政策文件和標準文件共同構成了網絡安全等級保護政策標準體系。2 2.2 2.1 1.1 1.網網絡絡安安全全等等級級保保護護政政策策體體系系網絡安全等級保護政策體系如下圖所示。中中華華人人民民共共和和國國計計算算機機信信息息系系統統安安全全保保護護條條例例（國國務務院院令令第第 1 14 47 7

17、號號）該文件第一次提出“計算機信息系統實行安全等級保護”的概念。國國家家信信息息化化領領導導小小組組關關于于加加強強信信息息安安全全保保障障工工作作的的意意見見（中中辦辦發發 2 20 00 03 3 2 27 7 號號）第 11 頁該文件要求實行網絡安全等級保護：信息化發展的不同階段和不同的信息系統有著不同的安全需求，必須從實際出發，綜合平衡安全成本和風險，優化信息安全資源的配置，確保重點。要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立網絡安全等級保護制度，制定網絡安全等級保護的管理辦法和技術指南。信信息息安安全全等等級級保保護護管管理理辦辦法法（公公

18、通通字字 2 20 00 07 7 4 43 3 號號）該文件主要內容包括網絡安全等級保護制度的基本內容、工作流程、工作要求、等級保護五個環節（定級、備案、建設整改、等級測評、監督檢查）的要求等，為開展網絡安全等級保護工作提供了規范保障。五五個個環環節節政政策策文文件件另外在網絡安全等級保護的五個環節（定級、備案、建設整改、等級測評、監督檢查）均有相應的政策文件，本書僅給出政策文件名稱（如上圖所示）。2 2.2 2.1 1.2 2.網網絡絡安安全全等等級級保保護護標標準準體體系系國家為了推行網絡安全等級保護工作的開展，由公安部牽頭組織制定了一系列的網絡安全等級保護標準，形成了較為完善的網絡安全

19、等級保護標準體系，為開展網絡安全等級保護工作提供了標準保障。網絡安全等級保護的五個環節（定級、備案、建設整改、等級測評、監督檢查）與相關標準文件的關系如下圖所示。第 12 頁 基基礎礎標標準準計算機信息系統安全保護等級劃分準則（GB17859-1999）是強制性國家標準，同時也是等級保護的基礎性標準。在此基礎上制定了技術類標準、管理類標準和產品類標準，是相關標準制定的基石。第 13 頁 等等保保工工作作開開展展類類標標準準等保工作開展類標準要求主要用于指導網絡運營者開展網絡安全等級保護工作，一系列的標準可以對定級、備案、建設整改、等保測評和監督檢查工作進行指導和參考，主要標準如下：信息安全技術

20、 網絡安全等級保護基本要求（GB/T 22239-2019）信息安全技術 網絡安全等級保護實施指南（GB/T 25058-2019）信息安全技術 網絡安全等級保護定級指南（GB/T 22240-2020）信息安全技術 網絡安全等級保護安全設計技術要求（GB/T25070-2019）信息安全技術 網絡安全等級保護測評要求（GB/T 28448-2019）信息安全技術 網絡安全等級保護測評過程指南（GB/T28449-2018）2 2.2 2.2 2.保保險險行行業業政政策策和和標標準準除上述國家級的法律法規和標準體系外，銀保監會針對保險行業也發布了一系列網絡安全相關監管文件，共同構成了我國金融保

21、險行業完善的網絡安全監管體系。金融保險行業主要的政策和標準文件如下：關于開展保險業信息系統安全等級保護定級工作的通知（保監廳發200745 號）中國保險監督管理委員會關于印發加強網絡保險監管工作方案的通知（保監稽查20141 號）中國銀保監會關于印發監管數據安全管理辦法（試行）的通知（銀第 14 頁保監發202043 號）中國銀保監會辦公廳關于印發保險中介機構信息化工作監管辦法的通知（銀保監辦發20213 號）互聯網保險業務監管辦法(2020 年 12 月 7 日中國銀行保險監督管理委員會令 2020 年第 13 號公布 自 2021 年 2 月 1 日起施行)中國銀保監會辦公廳關于銀行業保險

22、業數字化轉型的指導意見（銀保監辦發20222 號）中國銀保監會辦公廳關于印發銀行保險機構信息科技外包風險監管辦法的通知（銀保監辦發2021141 號）關于印發保險公司信息系統安全管理指引（試行）的通知（保監發201168 號）金融行業網絡安全等級保護實施指引（JR/T 0071.2-2020）金融行業網絡安全等級保護測評指南（JR/T 0072-2020）第 15 頁3 3.等等級級保保護護實實施施方方案案3 3.1 1.方方案案概概述述3 3.1 1.1 1.實實施施框框架架構建“等級化的安全體系”是等級保護工作的基本理念，旨在根據不同用戶在等級保護不同等級、不同階段的業務特性、安全需求及安

23、全應用重點，在等級保護的框架下構建一個安全、可靠、靈活、可持續改進的網絡安全體系。等級保護的各個階段有著不同的工作重點，具體如下圖所示：3 3.1 1.2 2.實實施施原原則則在整個等級保護咨詢服務全生命周期內應遵循以下原則：業業務務主主導導網絡安全等級保護是圍繞系統所承載業務的保護。對網絡進行等級保護的根本目的不是保護系統的主機和終端，而是網絡所承載的業務，這種以業務為核心第 16 頁的思想將貫穿整個等級保護的各個階段，因此明確系統業務、分析業務環境、劃分業務邊界、導出業務安全需求是網絡系統等級保護的首要任務，也是決定等級保護工作質量的最關鍵階段。業業務務影影響響最最小小化化在業務系統等級保

24、護合規實施過程中，要盡可能采取一切措施將對業務的影響降至最低，并為現場測試檢查提供應急服務。標標準準與與實實際際相相結結合合等級保護合規實施需在深入研究國家所頒布的文件和技術標準基礎上進行，但絕不僵化硬搬標準的條例，將結合網絡的具體實際情況，制定符合系統業務安全要求和單位特點的等級保護實施方案。保保守守秘秘密密由于等級保護工作大部分設計對國家、對行業、對企業比較重要的網絡或數據，因此需要對保密工作高度重視，建立嚴格的保密制度。在項目開始之前要實施機構與用戶簽署保密協議，并在商務階段以合同的形式從法律角度上對用戶網絡系統的信息保密做出莊嚴承諾。第 17 頁 保保護護重重點點等級保護合規實施過程中

25、的風險評估不是事無巨細，對整個單位的所有區域進行面面俱到的保護，而是重點考慮關鍵業務、關鍵業務流程、關鍵信息資產、關鍵區域，保證等級保護工作重點突出、有的放矢、目標明確。靈靈活活實實施施由于網絡安全等級保護是與具體環境極其相關的，不可能設計一種通用的等級保護實現方法，也不存在對所有單位都適用的單一解決方案。我們的等級保護過程和方法易于修改，實施靈活，可以滿足各類單位的需要。它的每個單獨過程都可以進行剪裁，以滿足單位獨特的業務環境。3 3.2 2.等等級級保保護護定定級級網絡定級是實施網絡安全等級保護的基礎和前提。等級確定的正確與否，直接關系到網絡系統的定位、后續的安全規劃、安全建設、安全實施和

26、等級保護工作相關各方的資源投入，因此在定級階段如何通過對網絡系統的調查和分析，科學、合理地劃分網絡系統的子系統，并依據各種因素確定網絡系統的安全保護等級，對整個等級保護工作能否順利進行至關重要。網絡的定級工作需按照“網絡運營者擬定網絡安全保護等級、專家評審、主管部門核準、公安機關審核”的原則進行。網絡運營者是網絡安全等級保護的責任主體，根據所屬網絡的重要程度和遭到破壞后的危害程度，科學合理確定網絡的安全保護等級。保險行業的定級工作開展可參照以下政策和標準文件：第 18 頁關于開展全國重要信息系統安全等級保護定級工作的通知（公信安2007861 號）關于開展保險業信息系統安全等級保護定級工作的通

27、知（保監廳發200745 號）保險公司信息系統安全管理指引（試行）（保監發201168 號）信息安全技術 網絡安全等級保護實施指南（GB/T 25058-2019）信息安全技術 網絡安全等級保護定級指南（GB/T 22240-2020）3 3.2 2.1 1.定定級級方方法法論論 定定級級要要素素網絡的安全保護等級由兩個定級要素決定，分別是等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。1 1.受受侵侵害害的的客客體體等級保護對象受到破壞時所侵害的客體包括以下 3 個方面：一是公民、法人及其他組織的合法權益；二是社會秩序、公共利益；三是國家安全。2 2.對對客客體體的的侵侵害害程程度

28、度對客體的侵害程度由客觀方面的不同外在表現綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現的，因此，對客體的侵害外在表現為對等級保護對象的破壞，通過危害方式、危害后果和危害程度加以描述。等級保護對象受到破壞后對客體造成侵害的程度有 3 種：一是造成一般損害；二是造成嚴重損害；第 19 頁三是造成特別嚴重損害。定定級級方方法法網絡安全包括業務信息安全和系統服務安全，與之相關的受侵害客體和對客體的侵害程度可能不同，因此，網絡定級也應由業務信息安全和系統服務安全兩方面確定。從業務信息安全角度反映的網絡的安全保護等級稱為業務信息安全等級。從系統服務安全角度反映的網絡的安全保護等級稱為系統服務安

29、全等級。確定網絡安全保護等級的一般流程如下：確定作為定級對象的網絡系統；確定業務信息安全受到破壞時所侵害的客體；根據不同的受侵害客體，從多個方面綜合評定業務信息安全被破壞對客體的侵害程度，根據業務信息的重要性和受到破壞后的危害性確定業務信息安全等級；確定系統服務安全受到破壞時所侵害的客體；根據不同的受侵害客體，從多個方面綜合評定系統服務安全被破壞對客體的侵害程度，根據系統服務的重要性和受到破壞后的危害性確定系統服務安全等級；由業務信息安全等級和系統服務安全等級的較高者確定定級對象的安全保護等級。第 20 頁業務信息安全保護等級矩陣表如下：業業務務信信息息安安全全被被破破壞壞時時所所侵侵害害的的

30、客客體體對對相相應應客客體體的的侵侵害害程程度度一一般般損損害害嚴嚴重重損損害害特特別別嚴嚴重重損損害害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級系統服務安全保護等級矩陣表如下：系系統統服服務務安安全全被被破破壞壞時時所所侵侵害害的的客客體體對對相相應應客客體體的的侵侵害害程程度度一一般般損損害害嚴嚴重重損損害害特特別別嚴嚴重重損損害害公民、法人和其他組織的合法權益第一級第二級第二級第 21 頁系系統統服服務務安安全全被被破破壞壞時時所所侵侵害害的的客客體體對對相相應應客客體體的的侵侵害害程程度度一一般般損損害害嚴嚴重重損損害

31、害特特別別嚴嚴重重損損害害社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級3 3.2 2.2 2.定定級級流流程程等級保護定級流程如下圖所示：3 3.2 2.3 3.定定級級環環節節工工作作內內容容等級保護定級工作具體內容如下：等等級級保保護護導導入入培培訓訓企業需要深入了解等級保護標準思想內涵、定級方法和工作思路，建議進行等級保護導入培訓，普及等級保護的基礎知識，詳解等保項目開展流程、方法、注意事項等內容。網網絡絡系系統統業業務務調調研研通過對網絡系統所承載業務及業務流程的分析，分析網絡系統內信息資產和網絡系統所提供服務的重要性，協助用戶判斷網絡系統中業務信息和所提供的服務機密

32、性、完整性或可用性等安全屬性遭到破壞后，對國家安全利益、經濟建設、第 22 頁公共利益或單位利益所造成的影響程度。為網絡系統定級打下扎實基礎。網網絡絡系系統統輔輔助助定定級級依據信息安全技術 網絡安全等級保護定級指南（GB/T 22240-2020）所提出的 4 個定級要素，靈活運用指南中所提出的確定網絡系統安全保護等級的步驟和方法，在網絡系統業務安全性分析的基礎上編寫定級報告。定定級級結結果果專專家家評評審審針對定級結果需要邀請公安部、保密局、工信部的等保專家，對 定級報告進行審定，提供指導意見。以此確保定級結果的準確性，規避定級報告在備案過程被網安部門駁回的風險。3 3.2 2.4 4.定

33、定級級環環節節主主要要工工作作成成果果定級環節完成后需行程如下工作成果：等級保護培訓課程資料 網絡系統基本調研表 定級報告3 3.3 3.等等級級保保護護備備案案成功完成網絡系統備案工作是開展后續測評工作的必要前提。網絡安全等級保護備案工作包括網絡備案、受理、審核和備案信息管理等。第二級（含）以上網絡，在安全保護等級確定后 30 日內，由其網絡運營者或者其主管部門到所在地設區的地市級以上公安機關辦理備案手續。第 23 頁金融保險行業的備案工作開展可參照以下政策和標準文件：信息安全等級保護備案實施細則（公信安20071360 號）信息安全技術 網絡安全等級保護實施指南（GB/T 25058-20

34、19）保險公司信息系統安全管理指引（試行）（保監發201168 號）3 3.3 3.1 1.備備案案流流程程等級保護備案工作流程如下圖所示：3 3.3 3.2 2.備備案案工工作作內內容容等級保護備案工作具體內容如下：備備案案材材料料準準備備根據網安部門或第三方咨詢機構提供的備案材料模板和備案要求指導性文件填寫備案資料，并由公司管理層和第三方安全技術專家進行內容審核和修改，敲定所有備案材料的終稿。備備案案材材料料提提交交網網安安備案材料和定級材料一起提交網安。備備案案號號下下發發第 24 頁備案材料提交網安后，等待備案證明頒發通知，該周期一般二至四周。3 3.3 3.3 3.備備案案工工作作成

35、成果果等級保護備案功能做主要工作成果如下：備案表 備案證明 其他備案所需的所有材料3 3.4 4.建建設設整整改改網絡安全等級保護安全建設整改工作是網絡安全等級保護制度的核心和落腳點。網絡系統定級、等級測評和監督檢查等工作最終都要服從和服務于安全建設整改工作，該環節工作一般需要專業的網絡安全公司協助，建議選擇獲得公安部信息安全等級保護安全建設服務機構能力評估合格證書的安全機構。在網絡安全等級保護建設整改工作中參照等保建設最佳實踐，可以酌情考慮將建設整改工作與定級/備案工作同時開展，可以在一定程度上縮短項目實施周期。建設整改工作分為規劃設計階段和實施實現階段。規規劃劃設設計計階階段段：安全規劃設

36、計是等級保護實施過程中的另一個重要階段，安全規劃設計階段的目標是通過等級化風險評估判斷網絡系統的安全保護現狀與國家等級保護基本要求之間的差距，確定安全需求，根據網絡系統當前情況和安全需求等，設計第 25 頁合理的、滿足等級保護要求的總體安全方案，并制定出安全實施計劃等，以指導后續的網絡系統安全建設工程實施。實實施施實實現現階階段段：在深入分析系統業務安全需求的基礎上，為用戶提供并建立一套符合相應等級保護要求的全方位的整體系統安全解決實施方案，方案中不僅包括安全技術體系的實施而且包括安全組織體系的設計和安全管理體系的建立。對于新建網絡，應按照國家網絡安全等級保護政策標準要求，落實網絡安全與信息化

37、建設“三同步”要求，即“同步設計、同步建設、同步實施”網絡安全等級保護措施，落實安全責任，落實安全管理措施和技術保護措施。對于已在運行的網絡系統，應按照國家網絡安全等級保護政策、標準要求開展等級測評和風險評估，發現安全問題、隱患及與國家和行業標準的差距，開展安全整改，直至符合國家和行業標準的要求。保險行業的建設整改工作開展可參照以下政策和標準文件：關于開展信息安全等級保護安全建設整改工作的指導意見（公信安20091429 號）金融行業網絡安全等級保護實施指引（JR/T 0071.2-2020）金融行業網絡安全等級保護測評指南（JR/T 0072-2020）信息安全技術 網絡安全等級保護實施指南

38、（GB/T 25058-2019）信息安全技術 網絡安全等級保護基本要求（GB/T 22239-2019）第 26 頁信息安全技術 網絡安全等級保護安全設計技術要求（GB/T25070-2019）信息安全技術 信息系統通用安全技術要求（GB/T 20271-2006）信息安全技術 信息系統安全管理要求（GB/T 20269-2006）信息安全技術 信息系統安全工程管理要求（GB/T 20282-2006）信息安全技術 信息系統物理安全技術要求（GB/T 21052-2007）信息安全技術 網絡基礎安全技術要求（GB/T 20270-2006）信息安全技術 信息系統安全等級保護體系框架（GA/T

39、 708-2007）信息安全技術 信息系統安全等級保護基本模型（GA/T 709-2007）信息安全技術 信息系統安全等級保護基本配置（GA/T 710-2007）3 3.4 4.1 1.建建設設整整改改流流程程等級保護建設整改流程如下圖所示：第 27 頁3 3.4 4.2 2.建建設設整整改改工工作作內內容容等級保護建設整改工作具體內容如下：詳詳細細調調研研準準備備階階段段 調研計劃書編制：調研計劃書包含調研對象、調研目標、工作開展依據、調研方法、調研工作內容和調研計劃安排等。調研表單準備：根據客戶網絡系統的實際情況，準備調研過程中所需要第 28 頁的表單，主要包括網絡系統詳細調研表、等級保

40、護調研現場記錄表等。調研工具準備：根據客戶網絡系統的實際情況，準備調研過程中所需要的工具，主要包括漏洞掃描工具、滲透測試工具、安全策略驗證測試工具等?，F現場場調調研研實實施施階階段段現場調研實施階段，嚴格依據測評中心對網絡系統的測評方法開展現場調研工作。調研內容包括技術層面和管理層面，技術層面調研內容包括：安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心，管理層面調研內容包括：安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理。最終形成網絡系統詳細調研表和等級保護調研現場記錄表。安全物理環境：通過人員訪談、安全策略檢查和工具測試的方式對業務系統的物理安全保

41、障情況進行調研。主要涉及對象為機房環境和機房內的相關設備。在內容上，安全物理環境的調研內容涉及 10 個單元，分別為：物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護。安全通信網絡：通過人員訪談、安全策略檢查和工具測試的方式對業務系統的網絡整體安全保障情況進行調研。主要涉及對象為網絡互聯設備、網絡安全設備和網絡拓撲結構。在內容上，安全通信網絡的調研內容涉及 3 個單元，分別為：網絡架構、通信傳輸、可信驗證。安全區域邊界：通過人員訪談、安全策略檢查和工具測試的方式對業務系統的網絡邊界安全保障情況進行調研。主要涉及對象為網絡互聯設備、網絡

42、安全設備和網絡拓撲結構。在內容上，安全區域邊界的調研內容涉及 6 個單元，分第 29 頁別為：邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計和可信驗證。安全計算環境：通過人員訪談、安全策略檢查和工具測試的方式對業務系統的網絡設備安全保障情況、安全設備安全保障情況、主機安全保障情況、數據庫安全保障情況和應用安全保障情況進行調研。主要涉及對象為網絡設備、安全設備、服務器操作系統、數據庫和應用系統。在內容上，安全計算環境的調研內容涉及 11 個單元，分別為：身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護和個人信息保護

43、。安全管理中心：通過人員訪談、安全策略檢查和工具測試的方式對業務系統的安全運維管理設備安全保障情況進行調研。主要涉及對象為安全防護設備、安全運維管理類設備和安全審計設備。在內容上，安全管理中心的調研內容涉及4 個單元，分別為：系統管理、審計管理、安全管理和集中管控。安全管理制度：通過人員訪談、文檔審查和實地察看的方式對業務系統的安全管理制度情況進行調研。在內容上，安全管理制度的調研內容涉及 4 個單元，分別為：安全策略、管理制度、制定和發布和評審和修訂。安全管理機構：通過人員訪談、文檔審查和實地察看的方式對業務系統的安全管理機構情況進行調研。在內容上，安全管理機構的調研內容涉及 5 個單元，分

44、別為：崗位設置、人員配備、授權和審批、溝通和合作和審核和檢查。安全管理人員：通過人員訪談、文檔審查和實地察看的方式對業務系統的安全管理人員情況進行調研。在內容上，安全管理人員的調研內容涉及 4 個單第 30 頁元，分別為：人員錄用、人員離崗、安全意識教育和培訓和外部人員訪問管理。安全建設管理：通過人員訪談、文檔審查和實地察看的方式對業務系統的安全建設管理情況進行調研。在內容上，安全建設管理的調研內容涉及 10 個單元，分別為：定級和備案、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、等級測評和服務供應商選擇。安全運維管理：通過人員訪談、文檔審查和實地察

45、看的方式對業務系統的安全運維管理情況進行調研。在內容上，安全運維管理的調研內容涉及 14 個單元，分別為：環境管理、資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理和外包運維管理。另外依據測評機構對漏洞掃描、滲透測試的要求，在第三方專業安全公司的協助下采用專業工具和人工驗證的方式開展漏洞掃描工作，采用人工的方式開展滲透測試工作。分分析析/報報告告編編制制階階段段 等保專家分析結果根據網絡系統詳細調研表和等級保護調研現場記錄表進行調研結果與等級保護測評要求的符合性分析，根據等級保護的相

46、關規范和標準，采用風險分析的方法分析等級測評結果中存在的安全問題可能對被測系統安全造成的影響。最終形成網絡系統調研差距分析報告。滲透測試專家形成報告第 31 頁第三方安全機構的滲透測試專家根據現場漏洞掃描和非現場人工驗證的結果，對結果進行分析，最終形成漏洞掃描報告和滲透測試報告。等保專家形成報告第三方安全機構根據網絡系統調研差距分析報告、漏洞掃描報告和滲透測試報告，對這些報告中的內容和結果進行綜合分析，結合等級保護要求、客戶特殊安全要求，最終形成網絡系統等級保護安全建設方案-初稿。方案內容包括：項目背景及需求分析、網絡系統等級保護建設目標（等級保護要求、客戶具體目標等）、網絡系統安全現狀和差距

47、分析、網絡系統安全建設方案、網絡系統建設前后對比分析、網絡系統安全建設所需安全產品、安全產品部署設計、安全產品安全策略方案。整整改改方方案案確確定定階階段段 此階段，第三方安全機構的項目經理、等保專家會以現場會議的方式與客戶相關人員進行網絡系統等級保護安全建設方案-初稿的評審與溝通。對安全建設方案的可行性、適用性等進行討論。最終由第三方安全機構的等保專家形成網絡系統等級保護安全建設方案-終稿。產產品品/策策略略/制制度度實實施施階階段段 安全產品采購：依據前期的工作，并結合等級保護要求和成本要求，制定最優的產品采購方案，并付諸實施。安全產品策略配置：安全產品采購完成后，需要根據等級保護要求，在

48、第三方安全機構現場協助下進行安全產品策略配置。第 32 頁 安全策略調整優化：根據網絡系統等級保護安全建設方案-終稿，現場協助客戶相關人員進行安全策略調整優化。包括：安全通信網絡安全策略調整優化、安全區域邊界安全策略調整優化、安全計算環境（網絡產品、安全產品、服務器操作系統、數據庫系統、應用系統等）安全策略調整優化、安全管理中心安全策略調整優化。保證技術層面各項指標達到等級保護要求和客戶的特殊安全需求。安全管理制度編寫：根據網絡系統等級保護安全建設方案-終稿，根據實際工作情況，編寫所缺少的管理制度文檔和日常工作相關文檔。保證管理層面各項指標達到等級保護要求。漏洞整改：根據網絡系統等級保護安全建

49、設方案-終稿、漏洞掃描報告和滲透測試報告，建議在第三方安全機構的協助下對漏洞進行修復。保證達到等級保護要求，同時也保障網絡系統的安全性。整整改改成成果果檢檢查查階階段段 根據整改情況，形成等級保護調研現場記錄表-更新版，以便于后續測評中心進場開展測評工作。3 3.4 4.3 3.建建設設整整改改環環節節工工作作成成果果等級保護建設整改工作成果如下：網絡系統詳細調研表 等級保護調研現場記錄表 網絡系統調研差距分析報告第 33 頁 漏洞掃描報告 滲透測試報告 網絡系統等級保護安全建設方案-終稿 網絡系統等級保護安全建設方案-終稿 等級保護調研現場記錄表-更新版3 3.5 5.等等級級保保護護測測評

50、評在建設整改工作完成及備案號下發后即可以再來一等級保護測評工作，根據等級保護制度規定，等級保護測評工作需由網絡安全等級測評與檢測評估機構服務認證證書持證測評機構進行。通過網絡安全等級保護測評，一可以發現網絡存在的安全問題，掌握網絡的安全狀況、排查網絡的安全隱患和薄弱環節、明確網絡安全建設整改需求，二可以衡量網絡的安全保護管理措施和技術措施是否符合等級保護的基本要求、是否具備了相應的安全保護能力。測評過程分為預測評和正式測評。保險行業的測評工作開展可參照以下政策和標準文件：信息安全技術 網絡安全等級保護測評要求（GB/T 28448-2019）信息安全技術 網絡安全等級保護測評過程指南（GB/T

51、28449-2018）信息安全技術 網絡安全等級保護實施指南（GB/T 25058-2019）金融行業網絡安全等級保護實施指引（JR/T 0071.2-2020）第 34 頁金融行業網絡安全等級保護測評指南（JR/T 0072-2020）3 3.5 5.1 1.測測評評方方案案 測測評評內內容容對客戶已經定級備案的系統進行十個安全層面的等級保護安全測評（安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理）。安全測評分為預測評和正式測評。預測評主要針對客戶已定級備案系統執行國家標準的安全測評，預測評交付預測評

52、問題清單；差距整改完畢后協助完成系統配置方面的整改。最后進行正式測評，正式測評將按照國家標準和國家公安承認的測評要求、測評過程、測評報告，協助對客戶已定級備案的系統執行系統安全正式測評，正式測評交付具有國家承認的正式測評報告。網絡系統安全等級保護測評包括兩個方面的內容：一是安全控制測評，主要測評信息安全等級保護要求的基本安全控制在網絡系統中的實施配置情況；二是系統整體測評，主要測評分析網絡系統的整體安全性。其中，安全控制測評是網絡系統整體安全測評的基礎。安全控制測評使用測評單元方式組織，分為安全技術測評和安全管理測評兩大類。安全技術測評包括：安全物理環境、安全通信網絡、安全區域邊界、安全計算環

53、境和安全管理中心五個層面上的安全控制測評；安全管理測評包括：安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理五個方面的安全控制測評。具體如下圖所示。第 35 頁系統整體測評涉及到網絡系統的整體拓撲、局部結構，也關系到網絡系統的具體安全功能實現和安全控制配置，與特定網絡系統的實際情況緊密相關。在安全控制測評的基礎上，重點考慮安全控制間、層面間以及區域間的相互關聯關系，分析評估安全控制間、層面間和區域間是否存在安全功能上的增強、補充和削弱作用以及網絡系統整體結構安全性、不同網絡系統之間整體安全性。測測評評對對象象依照信息安全等級保護的要求、參考業界權威的安全風險評估標準與模型，

54、從網絡系統的核心資產出發，以威脅和弱點為導向，對比信息安全等級保護的具體要求，全方面對網絡系統進行全面評估。測評對象種類主要考慮以下幾個方面：整體網絡拓撲結構；機房環境、配套設施；第 36 頁 網絡設備：包括路由器、核心交換機、匯聚層交換機等；安全設備：包括防火墻、IDS/IPS、防病毒網關等；主機系統（包括操作系統和數據庫系統）；業務應用系統；重要管理終端（針對三級以上系統）；安全管理員、網絡管理員、系統管理員、業務管理員；涉及到系統安全的所有管理制度和記錄。根據網絡系統的測評強度要求，在執行具體的核查方法時，在廣度上要做到從測評范圍中抽取充分的測評對象種類和數量；在執行具體的檢測方法，在深

55、度上要做到對功能等各方面的測試。測測評評指指標標等級保護 2.0 對各級系統（二級、三級、四級）的測評項數如下表所示：技技術術/管管理理層層面面二二級級三三級級四四級級技技術術要要求求安安全全物物理理環環境境152224安安全全通通信信網網絡絡4811安安全全區區域域邊邊界界112021安安全全計計算算環環境境233436安安全全管管理理中中心心41213第 37 頁技技術術/管管理理層層面面二二級級三三級級四四級級管管理理要要求求安安全全管管理理制制度度566安安全全管管理理機機構構91415安安全全管管理理人人員員71214安安全全建建設設管管理理253435安安全全運運維維管管理理314

56、852總總計計134210227 測測評評流流程程等級保護測評實施過程包括以下四個階段：第 38 頁測測評評準準備備階階段段 測評項目組組建：明確項目經理、測評人員及職責分工。項目計劃書編制：項目計劃書包含項目概述、工作依據、技術思路、工作內容和項目組織等。網絡系統調研：通過查閱被測系統已有資料或使用調查表格的方式，了解整個系統的構成和保護情況，明確被測系統的范圍（特別是網絡系統的邊界），了解被測系統的詳細構成，包括網絡拓撲、業務應用、業務流程、設備信息（服務器、數據庫、網絡設備、安全設備、數據庫等）、管理制度等。第 39 頁 工具和表單準備：根據被測系統的實際情況，準備測評工具和各類測評表單

57、。方方案案編編制制階階段段 測評對象確定：根據已經了解到的被測系統信息，分析整個被測系統及其涉及的業務應用系統，確定出本次測評的測評對象。測評指標確定：根據已經了解到的被測系統定級結果，確定出本次測評的測評指標。測評工具接入點確定：確定需要進行工具測試的測評對象，選擇測試路徑，根據測試路徑確定測試工具的接入點。測評內容確定：確定現場測評的具體實施內容，即單元測評內容。測評實施手冊開發：編制測評實施手冊，詳細描述現場測評的工具、方法和操作步驟等，具體指導測評人員如何進行測評活動?，F現場場測測評評階階段段現場測評實際上就是單項測評，分別從技術上的安全物理環境、安全通信網絡、安全區域邊界、安全計算環

58、境和安全管理中心五個層面和管理上的安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理五個方面分別進行。安全物理環境：通過人員訪談、安全策略檢查和工具測試的方式對業務系統的物理安全保障情況進行測評。主要涉及對象為機房環境和機房內的相關設備。在內容上，安全物理環境的測評內容涉及 10 個單元，分別為：物理位置選第 40 頁擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護。安全通信網絡：通過人員訪談、安全策略檢查和工具測試的方式對業務系統的網絡整體安全保障情況進行測評。主要涉及對象為網絡互聯設備、網絡安全設備和網絡拓撲結構。在內容上

59、，安全通信網絡的測評內容涉及 3 個單元，分別為：網絡架構、通信傳輸、可信驗證。安全區域邊界：通過人員訪談、安全策略檢查和工具測試的方式對業務系統的網絡邊界安全保障情況進行測評。主要涉及對象為網絡互聯設備、網絡安全設備和網絡拓撲結構。在內容上，安全區域邊界的測評內容涉及 6 個單元，分別為：邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計和可信驗證。安全計算環境：通過人員訪談、安全策略檢查和工具測試的方式對業務系統的網絡設備安全保障情況、安全設備安全保障情況、主機安全保障情況、數據庫安全保障情況和應用安全保障情況進行測評。主要涉及對象為網絡設備、安全設備、服務器操作系統、數據庫和

60、應用系統。在內容上，安全計算環境的測評內容涉及 11 個單元，分別為：身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護和個人信息保護。安全管理中心：通過人員訪談、安全策略檢查和工具測試的方式對業務系統的安全運維管理設備安全保障情況進行測評。主要涉及對象為安全防護設備、安全運維管理類設備和安全審計設備。在內容上，安全管理中心的測評內容涉及第 41 頁4 個單元，分別為：系統管理、審計管理、安全管理和集中管控。安全管理制度：通過人員訪談、文檔審查和實地察看的方式對業務系統的安全管理制度情況進行測評。在內容上，安全管理制度的測評內容涉

61、及 4 個單元，分別為：安全策略、管理制度、制定和發布和評審和修訂。安全管理機構：通過人員訪談、文檔審查和實地察看的方式對業務系統的安全管理機構情況進行測評。在內容上，安全管理機構的測評內容涉及 5 個單元，分別為：崗位設置、人員配備、授權和審批、溝通和合作和審核和檢查。安全管理人員：通過人員訪談、文檔審查和實地察看的方式對業務系統的安全管理人員情況進行測評。在內容上，安全管理人員的測評內容涉及 4 個單元，分別為：人員錄用、人員離崗、安全意識教育和培訓和外部人員訪問管理。安全建設管理：通過人員訪談、文檔審查和實地察看的方式對業務系統的安全建設管理情況進行測評。在內容上，安全建設管理的測評內容

62、涉及 10 個單元，分別為：定級和備案、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、等級測評和服務供應商選擇。安全運維管理：通過人員訪談、文檔審查和實地察看的方式對業務系統的安全運維管理情況進行測評。在內容上，安全運維管理的測評內容涉及 14 個單元，分別為：環境管理、資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理和外包運維管理。第 42 頁分分析析與與報報告告編編制制階階段段 單項測評結果分析：針對測評指標中的單個測評項，結合具體測評對

63、象，客觀、準確地分析測評證據。單元測評結果判定：將單項測評結果進行匯總，分別統計不同測評對象的單項測評結果，從而判定單元測評結果，并以表格的形式逐一列出。整體測評：針對單項測評結果的不符合項，采取逐條判定的方法，從安全控制間、層面間和區域間出發考慮，給出整體測評的具體結果，并對系統結構進行整體安全測評。風險分析：據等級保護的相關規范和標準，采用風險分析的方法分析等級測評結果中存在的安全問題可能對被測系統安全造成的影響。等級測評結論形成：在測評結果匯總的基礎上，找出系統保護現狀與等級保護基本要求之間的差距，并形成等級測評結論。測評報告編制：根據等級測評結論，編制測評報告，包括概述、被測系統描述、

64、測評對象說明、測評指標說明、測評內容和方法說明、單元測評、整體測評、測評結果匯總、風險分析和評價、等級測評結論、整改建議等。測測評評方方法法在等級保護測評過程目中，將采用以下測評方法：工工具具測測試試利用技術工具（漏洞掃描工具、滲透測試工具、壓力測試工具等）對系統進行測試，包括基于網絡探測和基于主機審計的漏洞掃描、滲透測試等。第 43 頁測測評評方方法法工工具具測測試試簡簡要要描描述述利用技術工具，從網絡的不同接入點對網絡內的主機、服務器、數據庫、網絡設備、安全設備等進行脆弱性檢查和分析達達成成目目標標發掘系統的安全漏洞工工作作條條件件1-2 人工作環境，電源和網絡接入環境，客戶人員、網絡、系

65、統配合工工作作結結果果工具測試結果記錄配配置置檢檢查查利用上機驗證的方式檢查主機、服務器、數據庫、網絡設備、安全設備、應用系統的配置是否正確，是否與文檔、相關設備和部件保持一致，對文檔審核的內容進行核實（包括日志審計等），測評其實施的正確性和有效性，檢查配置的完整性，測試網絡連接規則的一致性，從而測試系統是否達到可用性和可靠性的要求。測測評評方方法法配配置置檢檢查查簡簡要要描描述述通過登陸系統控制臺的方式，人工核查和分析主機、服務器、數據庫、網絡設備、安全設備、應用系統的安全配置情況達達成成目目標標發現配置的安全隱患工工作作條條件件1-2 人工作環境，客戶人員、網絡、系統配合工工作作結結果果配

66、置檢查結果記錄第 44 頁人人員員訪訪談談與被測系統有關人員（個人/群體）進行交流、討論等活動，獲取相關證據，了解有關信息。在訪談范圍上，不同等級網絡系統在測評時有不同的要求，一般應基本覆蓋所有的安全相關人員類型，在數量上可以抽樣。測測評評方方法法人人員員訪訪談談簡簡要要描描述述通過交流、討論的方式，對技術和管理方面進行脆弱性檢查和分析達達成成目目標標發掘技術和管理方面存在的安全問題工工作作條條件件1-2 人工作環境，客戶人員配合工工作作結結果果人員訪談結果記錄文文檔檔審審查查檢查制度、策略、操作規程、制度執行情況記錄等文檔（包括安全方針文件、安全管理制度、安全管理的執行過程文檔、系統設計方案

67、、網絡設備的技術資料、系統和產品的實際配置說明、系統的各種運行記錄文檔）的完整性，以及這些文件之間的內部一致性。測測評評方方法法文文檔檔審審查查簡簡要要描描述述通過文檔審核與分析，檢查制度、策略、操作規程、制度執行情況記錄的完整性和內部一致性達達成成目目標標發掘技術和管理方面存在的安全問題第 45 頁工工作作條條件件1-2 人工作環境，客戶人員、各類文檔資料配合工工作作結結果果文檔審查結果記錄實實地地查查看看通過實地的觀察人員行為、技術設施和物理環境狀況判斷人員的安全意識、業務操作、管理程序等方面的安全情況，測評其是否達到了相應等級的安全要求。項項目目名名稱稱實實地地查查看看簡簡要要描描述述通

68、過現場查看人員行為、技術設施和物理環境狀況，檢查人員的安全意識、業務操作、管理程序和系統物理環境等方面的安全情況。達達成成目目標標發掘技術和管理方面存在的安全問題工工作作條條件件1-2 人工作環境，客戶人員配合工工作作結結果果實地查看結果記錄 輸輸出出文文檔檔 等級保護測評實施方案（資產收集、測評表）等級保護問題清單3 3.5 5.2 2.測測評評輔輔助助輔助測評工作流程如下圖所示：第 46 頁3 3.5 5.3 3.輔輔助助測測評評工工作作內內容容輔助測評工作具體內容如下：預預測測評評輔輔助助測評機構對網絡系統進行預測評，主要依照等級保護測評項對網絡系統進行查驗性測評，另外通過專業的工具對網

69、絡系統進行掃描驗證，發掘漏洞。在測評中心進場之前準備測評工作所需的所有相關材料，并全程輔助、配合，并詳細記錄測評機構提出的問題，根據測評中心給出的預測評問題清單，給出預測評問題及整改建議。小小幅幅度度整整改改由于預測評之前已對網絡系統進行安全整改，所以在預測評后，需要整改的內容較少，客戶僅需根據測評機構的預測評結果對網絡系統進行小幅度整改。正正式式測測評評輔輔助助測評中心正式對網絡系統進行測評，客戶需全程輔助測評，建議在第三方安全機構的協助下解決正式測評過程中的專業問題。測測評評報報告告進進度度跟跟進進測評中心根據現場的測評情況進行資料整理，與測評中心持續進行溝通，保證測評報告的質量和進度。備

70、備案案證證明明進進度度跟跟進進測評報告完成后，將測評報告提交網安，并與網安持續進行溝通，第 47 頁以期最短時間獲取備案證明。3 3.5 5.4 4.輔輔助助測測評評主主要要工工作作成成果果輔助測評工作主要成果如下：預測評問題及整改建議 測評報告 備案證明3 3.6 6.運運行行與與檢檢查查網絡系統順利通過測評，最終順利獲取備案證明和測評報告后，在后續運行過程中還會面臨網安、行業主管部門、上級單位的檢查。除此之外，網絡運營者需按照中華人民共和國網絡安全法和網絡安全等級保護制度的相關要求，對網絡安全工作情況、等級保護工作落實情況進自查，掌握網絡安全狀況、安全管理制度及技術保護措施的落實情況等，及

71、時發現安全隱患和存在的突出問題，有針對性地采取技術和管理措施。保險行業的檢查工作開展可參照以下政策和標準文件：公安機關信息安全等級保護檢查工作規范（試行）公安機關網絡安全執法檢查工作指引公安機關互聯網安全監督檢查規定保險公司信息系統安全管理指引（試行）（保監發201168 號）第 48 頁保險中介機構信息化工作監管辦法（銀保監辦發20213 號）互聯網保險業務監管辦法（中國銀行保險監督管理委員會令 2020年第 13 號公布，自 2021 年 2 月 1 日起施行）3 3.6 6.1 1.自自查查與與監監管管檢檢查查在等級保護系統運行過程中，需要根據等級保護制度要求進行安全自查，公安部門、行業

72、主管部門和上級主管機構也會對其所管轄范圍內的企業進行等保工作抽查。該部分主要工作內容包括：出具網絡系統等級保護自查報告、準備抽查工作所需的材料，回答網安檢查過程中提問的相關問題，技術部分安全策略檢查和調整；管理制度部分檢查和調整等等。3 3.6 6.2 2.運運行行檢檢查查工工作作成成果果運行檢查階段主要工作成果如下：網絡系統等級保護自查報告 技術核查和調整管理核查和調整其他檢查過程中臨時所需的材料3 3.7 7.其其它它安安全全運運維維工工作作網絡系統順利通過測評，最終順利獲取備案證明和測評報告，不代表安全工作的結束。為保障客戶網絡系統與業務的正常、安全、穩定運行，需要第 49 頁常態化開展

73、以下安全工作：3 3.7 7.1 1.定定期期漏漏洞洞掃掃描描建議在第三方安全機構的協助下，每季度對網絡系統所涉及的服務器、網絡設備、安全設備和應用系統進行漏洞掃描；根據漏掃結果，出具 漏洞掃描報告，給出漏洞修復建議，并進行漏洞修復。漏洞掃描主要是通過評估工具以本地掃描的方式對評估范圍內的系統和網絡進行安全掃描，查找網絡結構、網絡設備、服務器主機、數據和用戶賬號/口令等安全對象目標存在的安全風險、漏洞和威脅。漏洞掃描項目包括如下內容：信息探測類文件服務后門程序網絡設備與安全設備域名服務其他服務RPC 服務Mail 服務拒絕服務WEB 服務Windwos 遠程訪問其他問題CGI 問題數據庫問題-

74、通過定期漏洞掃描，可以驗證各類操作系統的安全補丁情況，方便及時地提示對操作系統的安全補丁進行更新，發現已有的補丁自動升級系統沒有進行升級的系統補丁，全面加強系統的補丁管理。漏洞掃描是利用安全評估工具對絕大多數評估范圍內的主機、網絡設備等系統環境進行的漏洞掃描。但是，評估范圍內的網絡設備安全策略的弱點和部分主第 50 頁機的安全配置錯誤等并不能被掃描器全面發現，因此還需要對評估工具掃描范圍之外的系統和設備進行人工安全檢查。3 3.7 7.2 2.定定期期滲滲透透測測試試建議在第三方安全機構的協助下，每半年對應用系統進行滲透測試；根據滲透測試結果，出具滲透測試報告，給出風險修復建議，并進行風險修復

75、。滲透測試過程主要依據安全專家已經掌握的安全漏洞信息，模擬黑客的真實攻擊方法對系統和網絡進行非破壞性質的攻擊性測試。這里，所有的滲透測試行為將在客戶的書面明確授權和監督下進行。滲透測試主要針對系統主機進行，因此將占用主機系統及其所在的網絡環境的部分資源。同時需要工作人員的一些配合（某些特定條件下，如為了節省時間破解密碼，滲透測試將首先得到普通用戶權限），對于其他的資源沒有特殊的要求。黑客的攻擊入侵需要利用目標網絡的安全弱點，滲透測試也是同樣的道理。它模擬真正的黑客入侵攻擊方法，以人工滲透為主，輔助以攻擊工具的使用，這樣保證了整個滲透測試過程都在可以控制和調整的范圍之內。由于采用可控制的、非破壞

76、性質的滲透測試，因此不會對滲透測試對象造成嚴重的影響。在滲透測試結束后，系統將保持正常運行狀態。滲透測試流程如下圖所示。第 51 頁3 3.7 7.3 3.應應急急響響應應網絡安全的發展日新月異，無法實現一勞永逸的安全，所以當緊急安全問題發生，一般技術人員又無法迅速解決的時候，及時發現問題、解決問題就必須依靠專業的應急響應服務來實現。建議在第三方安全機構的協助下，對網絡系統面臨的緊急安全事件進行應急響應。緊急安全事故包括：大規模病毒爆發、網絡入侵事件、拒絕服務攻擊、主機或網絡異常事件等。應急響應工作內容：接到應急響應請求時迅速啟動響應預案；接到遠程應急響應請求發出 30 分鐘內指派工程師進行處

77、理，無論能否解第 52 頁決問題每天都會返回處理情況簡報，直到此次響應服務結束；在遠程應急響應 2 小時后還不能解決問題，則立即執行本地應急響應流程，在本地應急響應請求發出后，工程師在 2 小時內到達事故現場，協助現場人員進行問題處理；響應完成后，整理詳細的事故處理報告，內容包括事故原因分析、已造成的影響、處理辦法、處理結果、預防和改進建議等提交給相關人員；遠程應急響應和本地應急響提供 724 響應。3 3.7 7.4 4.安安全全加加固固建議在第三方安全機構的協助下，每半年開展一次安全加固工作。網絡安全是動態的，需要時刻關注最新漏洞和安全動態，制定更新的安全策略以應付外來入侵和蠕蟲病毒等威脅

78、。針對客戶業務系統各臺服務器的漏洞和脆弱性，定期的進行安全加固，可以使系統有效的抵御外來的入侵和蠕蟲病毒的襲擊，使系統可以長期保持在高度可信的狀態。安全加固是針對進行評估后的主機的漏洞和脆弱性采取的一種有效的安全手段，可以幫助系統抵御外來的入侵和蠕蟲病毒的襲擊，使系統可以長期保持在高度可信的狀態。通常對系統和應用服務的安全加固包括如下方面：安裝最新補丁 帳號、口令策略調整 網絡與服務加固第 53 頁 文件系統權限增強 日志審核功能增強 安全性增強安全加固工作流程如下圖所示。3 3.7 7.5 5.安安全全培培訓訓根據信息安全技術的發展和不同層面的信息安全人才需求，企業需要開展定第 54 頁期安

79、全培訓工作，包括課程如下：信信息息安安全全意意識識培培訓訓面向非技術類用戶。目的是通過大量的當前典型安全事件導入，從感性認知層面對目前的信息安全威脅給予直觀、形象的描述，使用戶能對當前的信息安全威脅有一個深刻的認識。同時通過案例介紹的方式對用戶日常工作、生活中經常用到的一些客戶端應用工具、系統的安全威脅進行分析，并闡明具體的防范措施，最終協助建立起適合個人、企業的用戶行為基準。信信息息安安全全技技術術培培訓訓面向信息安全技術類用戶，例如系統管理員、安全技術員等。目的是通過培訓讓其在系統及應用層面上了解常見通用操作系統架構以及其安全性，掌握相關系統的安全配置和管理能力；在網絡層面上了解常見的網絡安全協議掌握網絡安全協議以及路由交換常見安全配置；同時通過實驗了解常見的網絡攻擊技術原理，掌握常見的攻擊防護方法。信信息息安安全全產產品品培培訓訓通過詳細介紹系列安全產品的工作原理、安裝部署和調參排錯方法，同時結合一些產品實驗加強對產品的了解，使相關人員能靈活利用這些安全產品解決組織的實際安全問題。