網(wǎng)絡(luò)安全等級(jí)保護(hù)

1、網(wǎng)絡(luò)安全等級(jí)保護(hù)目錄 相關(guān)法律法規(guī) 等保適配行業(yè) 等級(jí)保護(hù)流程 成功案例產(chǎn)品介紹移動(dòng)云SaaS平臺(tái)介紹移動(dòng)云作為移動(dòng)公司對(duì)外云服務(wù)的統(tǒng)一業(yè)務(wù)品牌和入口，由政企分公司統(tǒng)一運(yùn)營(yíng)打造全國(guó)性平臺(tái)移動(dòng)云作為統(tǒng)一入口，為SAAS服務(wù)提供業(yè)務(wù)統(tǒng)一受理、使用、計(jì)費(fèi)、支付、出帳、結(jié)算等渠道移動(dòng)云SaaS產(chǎn)品訂購(gòu)方式線上訂購(gòu)：所有SaaS產(chǎn)品通過(guò)移動(dòng)云官網(wǎng)（）一鍵式訂購(gòu)產(chǎn)品資費(fèi)：以官網(wǎng)資費(fèi)價(jià)格為準(zhǔn)（附產(chǎn)品詳情頁(yè)面鏈接），集團(tuán)客戶(hù)可在目錄價(jià)基礎(chǔ)上有一定折扣（最低折扣為5折）資費(fèi)詳情產(chǎn)品展示訂購(gòu)流程登錄選應(yīng)用選套餐提交訂單，完成訂購(gòu)什么是網(wǎng)絡(luò)安全等級(jí)保護(hù)網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)網(wǎng)絡(luò)（含信息系統(tǒng)、數(shù)據(jù)）實(shí)施分等級(jí)保護(hù)、分

2、等級(jí)監(jiān)管。目前根據(jù)網(wǎng)絡(luò)、信息系統(tǒng)、網(wǎng)絡(luò)上的數(shù)據(jù)和信息的重要性劃分為了五個(gè)安全保護(hù)等級(jí)，從一級(jí)到五級(jí)，逐級(jí)增強(qiáng)。不同級(jí)別的網(wǎng)絡(luò)、信息系統(tǒng)、網(wǎng)絡(luò)上的數(shù)據(jù)應(yīng)具備不同的安全保護(hù)措施。等級(jí)保護(hù)的國(guó)家政策、法規(guī)頒布時(shí)間文件名稱(chēng)文號(hào)主要內(nèi)容意義1994年2月18日中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例國(guó)務(wù)院147號(hào)令計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門(mén)制定”。第一次提出信息系統(tǒng)要實(shí)行等級(jí)保護(hù)，公安部主管全國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作。2003年國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)中辦發(fā)200327號(hào)文抓緊建立信息安全等級(jí)保護(hù)制度，制定

3、信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。 標(biāo)志著我國(guó)信息安全保障工作有了總體綱領(lǐng)，我國(guó)實(shí)行信息安全等級(jí)保護(hù)制度。2004年關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)公通字200466號(hào)文加快信息安全等級(jí)保護(hù)管理與技術(shù)標(biāo)準(zhǔn)的制定和完善，其他現(xiàn)行的相關(guān)標(biāo)準(zhǔn)規(guī)范中與等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)不相適應(yīng)的，應(yīng)當(dāng)進(jìn)行調(diào)整。將出臺(tái)一系列等級(jí)保護(hù)相關(guān)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)。2007年6月22日網(wǎng)絡(luò)安全等級(jí)保護(hù)管理辦法公通字200743號(hào)規(guī)定了信息安全等級(jí)保護(hù)的五個(gè)動(dòng)作 （定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查）明確了等級(jí)保護(hù)工作如何開(kāi)展2017年6月1日起施行中華人民共和國(guó)網(wǎng)絡(luò)安全法中華人民共和國(guó)主席令 第五十三號(hào)中

4、第二十一條明確規(guī)定：國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)。等級(jí)保護(hù)上升到法律條款。網(wǎng)絡(luò)安全法中華人民共和國(guó)網(wǎng)絡(luò)安全法是為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展，制定的法律。由全國(guó)人民代表大會(huì)常務(wù)委員會(huì)于2016年11月7日發(fā)布，自2017年6月1日起施行。中華人民共和國(guó)主席令（第五十三號(hào)）公布。第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露

5、或者被竊取、篡改。為什么要落實(shí)等保國(guó)家政策、法律要求中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中華人民共和國(guó)網(wǎng)絡(luò)安全法監(jiān)管部門(mén)要求網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法-P2P系統(tǒng)非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)認(rèn)證管理規(guī)定-支付系統(tǒng)金融行業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指引-網(wǎng)銀系統(tǒng)征信機(jī)構(gòu)管理辦法-征信系統(tǒng)電子招標(biāo)投標(biāo)系統(tǒng)技術(shù)規(guī)范-電子招標(biāo)投標(biāo)平臺(tái)降低信息安全風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)安全防護(hù)能力哪些機(jī)構(gòu)需要落實(shí)等級(jí)保護(hù)要求哪些機(jī)構(gòu)需要落實(shí)等級(jí)保護(hù)要求只要是部署在中國(guó)境內(nèi)的非涉密系統(tǒng)（涉密系統(tǒng)為分級(jí)保護(hù)，由國(guó)家保密工作部門(mén)負(fù)責(zé)），都需要符合等保要求。電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)

6、，經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要網(wǎng)絡(luò)。鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國(guó)防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國(guó)土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門(mén)的生產(chǎn)、調(diào)度、管理、辦公等重要網(wǎng)絡(luò)；市（地）級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公網(wǎng)絡(luò)。其他重要網(wǎng)絡(luò)。實(shí)施等級(jí)保護(hù)的受益實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)，能夠有效地提高各單位信息和網(wǎng)絡(luò)安全建設(shè)的整體水平，有利于在信息化建設(shè)過(guò)程中保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于為網(wǎng)絡(luò)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù)，有效控制信息安全

7、建設(shè)成本；有利于優(yōu)化信息安全資源的配置，對(duì)網(wǎng)絡(luò)分級(jí)實(shí)施保護(hù)，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要網(wǎng)絡(luò)的安全；有利于明確國(guó)家、法人和其他組織、公民的信息安全責(zé)任，加強(qiáng)信息安全管理。 通過(guò)實(shí)施等級(jí)保護(hù)測(cè)評(píng)可以保障公司各網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行，以及公司重要信息完整、可靠、不泄漏，同時(shí)也滿(mǎn)足了政府以及上級(jí)監(jiān)管機(jī)構(gòu)的管理要求，最終為企業(yè)和公司進(jìn)一步躋身本行業(yè)的領(lǐng)先地位打下夯實(shí)基礎(chǔ)。等保工作流程網(wǎng)絡(luò)定級(jí)網(wǎng)絡(luò)備案建設(shè)整改安全整改報(bào)告編制監(jiān)督檢查項(xiàng)目備案等級(jí)測(cè)評(píng)網(wǎng)絡(luò)定級(jí)網(wǎng)絡(luò)的安全保護(hù)等級(jí)應(yīng)當(dāng)按照網(wǎng)絡(luò)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及網(wǎng)絡(luò)遭受破壞后對(duì)國(guó)家安全、社會(huì)秩序、

8、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度將網(wǎng)絡(luò)劃分為五個(gè)安全保護(hù)等級(jí)，從第一級(jí)到第五級(jí)逐級(jí)增高。受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第三級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)網(wǎng)絡(luò)定級(jí)網(wǎng)絡(luò)定級(jí)針對(duì)定級(jí)的準(zhǔn)確與否，組織專(zhuān)家對(duì)定級(jí)結(jié)果進(jìn)行評(píng)審，出具專(zhuān)家評(píng)審意見(jiàn)。網(wǎng)絡(luò)備案根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)管理辦法規(guī)定，網(wǎng)絡(luò)安全保護(hù)等級(jí)為第二級(jí)（一級(jí)系統(tǒng)由于不重要，可以不進(jìn)行備案，也不需要進(jìn)行等級(jí)測(cè)評(píng)）以上的網(wǎng)絡(luò)運(yùn)營(yíng)使用單位或主管部門(mén)，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)，到所在轄區(qū)公安機(jī)關(guān)

9、網(wǎng)安部門(mén)辦理備案手續(xù)。網(wǎng)絡(luò)備案網(wǎng)絡(luò)備案 公安機(jī)關(guān)網(wǎng)安部門(mén)對(duì)定級(jí)準(zhǔn)確、材料齊全的定級(jí)備案單位，下發(fā)網(wǎng)絡(luò)安全等級(jí)保護(hù)備案證明或備案證明證書(shū)編號(hào)建設(shè)整改建設(shè)整改工作要求對(duì)已有的信息系統(tǒng)，其運(yùn)營(yíng)、使用單位根據(jù)已經(jīng)確定的信息安全保護(hù)等級(jí)，按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，采購(gòu)和使用相應(yīng)等級(jí)的信息安全產(chǎn)品，建設(shè)安全設(shè)施，落實(shí)安全技術(shù)措施，完成系統(tǒng)整改。整改過(guò)程一般通過(guò)咨詢(xún)機(jī)構(gòu)或者測(cè)評(píng)機(jī)構(gòu)協(xié)助進(jìn)行差距分析，并提供整改建議。建設(shè)整改工作內(nèi)容信息系統(tǒng)運(yùn)營(yíng)使用單位在開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作中，應(yīng)按照國(guó)家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求，堅(jiān)持管理和技術(shù)并重的原則，將技術(shù)措施和管理措施有機(jī)結(jié)合，建立信息系統(tǒng)綜合防護(hù)

10、體系，提高信息系統(tǒng)整體安全保護(hù)能力。要依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求，落實(shí)信息安全責(zé)任制，建立并落實(shí)各類(lèi)安全管理制度，滿(mǎn)足等保技術(shù)安全要求。 安全物理環(huán)境技術(shù)要求管理要求系統(tǒng)安全防護(hù)要求安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心安全管理機(jī)構(gòu)安全管理制度安全管理人員安全建設(shè)管理安全運(yùn)維管理 建設(shè)整改 技術(shù)方面的整改包括采購(gòu)和使用相應(yīng)等級(jí)的信息安全產(chǎn)品，建設(shè)安全設(shè)施，落實(shí)安全技術(shù)措施。 等級(jí)保護(hù)2.0建設(shè)“一個(gè)中心”管理、“三重防護(hù)”體系，分別對(duì)計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)體系進(jìn)行管理，實(shí)施多層隔離和保護(hù)，以防止某薄弱環(huán)節(jié)影響整體安全。建設(shè)整改建設(shè)整改-管理方面序號(hào)安全域管理制度1安全管理制度

11、信息安全手冊(cè)2安全管理機(jī)構(gòu)信息安全組織架構(gòu)及崗位職責(zé)說(shuō)明書(shū) 信息安全審核管理制度 3安全管理人員人員安全管理制度第三方人員安全管理制度人員安全培訓(xùn)管理制度4安全建設(shè)管理IT項(xiàng)目管理制度 軟件開(kāi)發(fā)管理制度 5安全運(yùn)維管理 機(jī)房管理制度、辦公環(huán)境安全管理制度 、資產(chǎn)管理制度 、 設(shè)備管理制度、風(fēng)險(xiǎn)評(píng)估管理制度、防病毒及補(bǔ)丁管理制度、信息系統(tǒng)備份管理制度計(jì)算機(jī)終端安全管理制度賬號(hào)、口令和權(quán)限管理制度、系統(tǒng)訪問(wèn)管理制度、變更管理制度、計(jì)算機(jī)遠(yuǎn)程接入管理制度、網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)設(shè)備安全配置管理制度、信息交換管理制度、IT系統(tǒng)安全監(jiān)控管理制度、信息系統(tǒng)日志審計(jì)管理制度、外包服務(wù)管制度、安全事故管理制度

12、、信息安全預(yù)警管理制度、業(yè)務(wù)連續(xù)性管理制度、基礎(chǔ)設(shè)施故障管理制度建設(shè)整改網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法第十九條規(guī)定：測(cè)評(píng)機(jī)構(gòu)提供測(cè)評(píng)服務(wù)不受地域、行業(yè)、領(lǐng)域的限制。測(cè)評(píng)項(xiàng)目采取登記管理。測(cè)評(píng)機(jī)構(gòu)在實(shí)施測(cè)評(píng)項(xiàng)目之前，須將測(cè)評(píng)項(xiàng)目信息及時(shí)、準(zhǔn)確地填報(bào)到網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目登記管理系統(tǒng)。測(cè)評(píng)機(jī)構(gòu)應(yīng)于測(cè)評(píng)項(xiàng)目合同簽訂后或測(cè)評(píng)活動(dòng)實(shí)施前5個(gè)工作日內(nèi)，通過(guò)項(xiàng)目管理系統(tǒng)填報(bào)測(cè)評(píng)項(xiàng)目基本情況，不得于測(cè)評(píng)項(xiàng)目完成后進(jìn)行補(bǔ)錄。由于項(xiàng)目實(shí)施變更導(dǎo)致已登記信息與實(shí)際情況不符的，應(yīng)及時(shí)修改并說(shuō)明理由。網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法第二十條條規(guī)定：省級(jí)以上等保辦對(duì)測(cè)評(píng)機(jī)構(gòu)填報(bào)的信息應(yīng)在5個(gè)工作日內(nèi)進(jìn)行審核確認(rèn)。逾

13、期未審核確認(rèn)的，項(xiàng)目管理系統(tǒng)默認(rèn)審核通過(guò)。網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法第二十二條規(guī)定：屬于異地測(cè)評(píng)項(xiàng)目的，測(cè)評(píng)機(jī)構(gòu)應(yīng)從項(xiàng)目管理系統(tǒng)中生成測(cè)評(píng)項(xiàng)目基本情況表，并于測(cè)評(píng)項(xiàng)目實(shí)施前報(bào)送或傳至被測(cè)評(píng)網(wǎng)絡(luò)備案公安機(jī)關(guān)。項(xiàng)目備案項(xiàng)目備案 等保1.0信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求GB/T 28448-2012信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南GB/T 28449-2012 等保2.0信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T 22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求GB/T 28448-2019信

14、息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南GB/T 28449-2018等級(jí)測(cè)評(píng)等級(jí)測(cè)評(píng) 項(xiàng)目備案成功后，進(jìn)入現(xiàn)場(chǎng)測(cè)評(píng)階段，通過(guò)現(xiàn)場(chǎng)測(cè)評(píng)驗(yàn)證客戶(hù)系統(tǒng)是否符合等級(jí)保護(hù)相應(yīng)級(jí)別的安全要求。等級(jí)測(cè)評(píng)過(guò)程測(cè)評(píng)準(zhǔn)備方案編制現(xiàn)場(chǎng)測(cè)評(píng)分析與報(bào)告編制項(xiàng)目啟動(dòng)、信息收集和分析、工具和表單準(zhǔn)備測(cè)評(píng)對(duì)象確定、測(cè)評(píng)指標(biāo)確定、 測(cè)試工具接入點(diǎn)確定、測(cè)評(píng)內(nèi)容確定、 測(cè)評(píng)實(shí)施手冊(cè)開(kāi)發(fā)、測(cè)評(píng)方案編制現(xiàn)場(chǎng)測(cè)評(píng)方法確定（一般包括：訪談、檢查、工具測(cè)試等）、 現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成、測(cè)評(píng)報(bào)告編制訪談 訪談是指測(cè)評(píng)人員通過(guò)與網(wǎng)絡(luò)有關(guān)人員（個(gè)人/群體）

15、進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)表明網(wǎng)絡(luò)安全保護(hù)措施是否落實(shí)的一種方法。在訪談的范圍上，應(yīng)基本覆蓋所有的安全相關(guān)人員類(lèi)型，在數(shù)量上可以抽樣。檢查 檢查是指測(cè)評(píng)人員通過(guò)對(duì)測(cè)評(píng)對(duì)象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取證據(jù)以證明網(wǎng)絡(luò)安全等級(jí)保護(hù)措施是否得以有效實(shí)施的一種方法。在檢查范圍上，應(yīng)基本覆蓋所有的對(duì)象種類(lèi)（設(shè)備、文檔、機(jī)制等），數(shù)量上可以抽樣。測(cè)試 測(cè)試是指測(cè)評(píng)人員通過(guò)對(duì)測(cè)評(píng)對(duì)象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)等活動(dòng)，查看、分析響應(yīng)輸出結(jié)果，獲取證據(jù)以證明網(wǎng)絡(luò)安全等級(jí)保護(hù)措施是否得以有效實(shí)施的一種方法。在測(cè)試范圍上，應(yīng)基本覆蓋不同類(lèi)型的機(jī)制，在數(shù)量上可以抽樣。等級(jí)測(cè)評(píng)等保2.0要求等保二

16、級(jí)等保三級(jí)技術(shù)要求安全物理環(huán)境1522安全通信網(wǎng)絡(luò)48安全區(qū)域邊界1120安全計(jì)算環(huán)境2334安全管理中心412管理要求安全管理制度67安全管理機(jī)構(gòu)914安全管理人員712安全建設(shè)管理2534安全運(yùn)維管理3148要求項(xiàng)/135211等級(jí)測(cè)評(píng)測(cè)評(píng)過(guò)程中會(huì)發(fā)現(xiàn)一些與標(biāo)準(zhǔn)不符的要求項(xiàng)，測(cè)評(píng)師會(huì)根據(jù)具體情況出具“整改建議” ，被測(cè)評(píng)機(jī)構(gòu)可以根據(jù)整改建議進(jìn)行安全整改。編號(hào)層面要求點(diǎn)測(cè)評(píng)項(xiàng)要求問(wèn)題描述風(fēng)險(xiǎn)描述關(guān)聯(lián)資產(chǎn)風(fēng)險(xiǎn)級(jí)別改善建議1安全物理環(huán)境電磁防護(hù)b)應(yīng)對(duì)關(guān)鍵設(shè)備實(shí)施電磁屏蔽。1、機(jī)房整體未實(shí)施電磁屏蔽措施。2、核心數(shù)據(jù)庫(kù)服務(wù)器、關(guān)鍵磁介質(zhì)未放置在屏蔽機(jī)房或電子屏蔽容器內(nèi)?？赡茉斐擅舾行畔⑿孤?，或受

17、到強(qiáng)電磁場(chǎng)干擾，影響設(shè)備正常運(yùn)行；上述問(wèn)題的存在，使攻擊者可能通過(guò)截取并分析泄漏的電磁信號(hào)等途徑，獲取到本系統(tǒng)的相關(guān)敏感/重要數(shù)據(jù)，從而可能對(duì)用戶(hù)和企業(yè)的聲譽(yù)、經(jīng)濟(jì)利益帶來(lái)?yè)p失。北京世紀(jì)互聯(lián)M5機(jī)房中風(fēng)險(xiǎn)機(jī)房整體實(shí)施電磁屏蔽措施，或核心數(shù)據(jù)庫(kù)服務(wù)器、關(guān)鍵磁介質(zhì)放置在屏蔽機(jī)房或電子屏蔽容器內(nèi)。2安全通信網(wǎng)絡(luò)邊界防護(hù)b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；1、網(wǎng)絡(luò)層無(wú)網(wǎng)絡(luò)準(zhǔn)入認(rèn)證措施且，無(wú)法精確的對(duì)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制。存在非授權(quán)用戶(hù)連接入系統(tǒng)訪問(wèn)系統(tǒng)資源的風(fēng)險(xiǎn)。網(wǎng)絡(luò)架構(gòu)低風(fēng)險(xiǎn)建議網(wǎng)絡(luò)層部署網(wǎng)絡(luò)準(zhǔn)入認(rèn)證系統(tǒng)對(duì)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制和檢查。

18、3安全通信網(wǎng)絡(luò)邊界防護(hù)d) 應(yīng)限制無(wú)線網(wǎng)絡(luò)的使用，確保無(wú)線網(wǎng)絡(luò)通過(guò)受控的邊界防護(hù)設(shè)備接入內(nèi)部網(wǎng)絡(luò)。目前無(wú)線網(wǎng)絡(luò)到有線網(wǎng)絡(luò)之間沒(méi)有訪問(wèn)控制設(shè)備。存在利用無(wú)線網(wǎng)絡(luò)進(jìn)行入侵的風(fēng)險(xiǎn)。網(wǎng)絡(luò)架構(gòu)高風(fēng)險(xiǎn)建議無(wú)線網(wǎng)絡(luò)邊界到有線網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備（防火墻、網(wǎng)關(guān)等）。4安全通信網(wǎng)絡(luò)入侵防范c) 應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析；1、網(wǎng)絡(luò)層未部署回溯系統(tǒng)或抗APT攻擊系統(tǒng)對(duì)新型網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和分析。無(wú)法及時(shí)對(duì)新型的網(wǎng)絡(luò)攻擊行為進(jìn)行分析，可能導(dǎo)致當(dāng)網(wǎng)絡(luò)被入侵無(wú)法及時(shí)處理而造成網(wǎng)絡(luò)被破壞的風(fēng)險(xiǎn)。網(wǎng)絡(luò)架構(gòu)低風(fēng)險(xiǎn)建議網(wǎng)絡(luò)層部署回溯系統(tǒng)或抗APT攻擊系統(tǒng)對(duì)新型網(wǎng)絡(luò)攻擊進(jìn)行檢

19、測(cè)和分析。建設(shè)整改測(cè)評(píng)及格分?jǐn)?shù)為70分測(cè)評(píng)結(jié)論應(yīng)表述為“優(yōu)”、“良”、“中”或者“差”，結(jié)論判定及綜合得分計(jì)算方式見(jiàn)下表：測(cè)評(píng)結(jié)論判別依據(jù)綜合得分計(jì)算公式優(yōu)被測(cè)對(duì)象中存在安全問(wèn)題，但不會(huì)導(dǎo)致被測(cè)對(duì)象面臨中、高等級(jí)安全風(fēng)險(xiǎn)，且系統(tǒng)綜合得分90分以上（含90分）。綜合得分計(jì)算公式參見(jiàn)“等級(jí)測(cè)評(píng)報(bào)告模板2019版”。良被測(cè)對(duì)象中存在安全問(wèn)題，但不會(huì)導(dǎo)致被測(cè)對(duì)象面臨高等級(jí)安全風(fēng)險(xiǎn)，且系統(tǒng)綜合得分80分以上（含80分）。中被測(cè)對(duì)象中存在安全問(wèn)題，但不會(huì)導(dǎo)致被測(cè)對(duì)象面臨高等級(jí)安全風(fēng)險(xiǎn)，且系統(tǒng)綜合得分70分以上（含70分）。差被測(cè)對(duì)象中存在安全問(wèn)題，而且會(huì)導(dǎo)致被測(cè)對(duì)象面臨高等級(jí)安全風(fēng)險(xiǎn)，或被測(cè)對(duì)象綜合得分低

20、于70分。報(bào)告編制報(bào)告編制測(cè)評(píng)完成后，被測(cè)評(píng)單位將等級(jí)保護(hù)測(cè)評(píng)報(bào)告遞交到市一級(jí)公安機(jī)關(guān)網(wǎng)安部門(mén)，網(wǎng)安部門(mén)接收測(cè)評(píng)報(bào)告后，測(cè)評(píng)工作完成。公安機(jī)關(guān)負(fù)責(zé)對(duì)等級(jí)保護(hù)網(wǎng)絡(luò)的監(jiān)督、檢查、指導(dǎo)工作。監(jiān)督檢查流程總結(jié)序號(hào)工作內(nèi)容被測(cè)評(píng)方工作內(nèi)容CFCA工作內(nèi)容工時(shí)（工作日）成果1網(wǎng)絡(luò)定級(jí)填寫(xiě)定級(jí)報(bào)告協(xié)助、指導(dǎo)填寫(xiě)定級(jí)報(bào)告5網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)報(bào)告定級(jí)專(zhuān)家評(píng)審意見(jiàn)2網(wǎng)絡(luò)備案填寫(xiě)并提交備案表協(xié)助、指導(dǎo)填寫(xiě)備案表5網(wǎng)絡(luò)安全等級(jí)保護(hù)備案表及其附件定級(jí)備案證明（備案成功后網(wǎng)安部門(mén)提供）3建設(shè)整改根據(jù)等保標(biāo)準(zhǔn)增加軟硬件設(shè)備、對(duì)管理制度進(jìn)行完善。提供建設(shè)整改建議5建設(shè)整改方案、管理制度文檔（建設(shè)整改需要額外收費(fèi)）4項(xiàng)目備案

21、提供所測(cè)評(píng)系統(tǒng)信息提交項(xiàng)目備案材料5項(xiàng)目備案回執(zhí)5等級(jí)測(cè)評(píng)需要機(jī)房管理員、網(wǎng)絡(luò)管理員、主機(jī)（操作系統(tǒng)、數(shù)據(jù)庫(kù)）管理員、應(yīng)用系統(tǒng)管理員、安全管理員配合，進(jìn)行訪談、檢測(cè)、測(cè)試工作。根據(jù)等保相關(guān)標(biāo)準(zhǔn)要求進(jìn)行等級(jí)保護(hù)測(cè)評(píng)工作5現(xiàn)場(chǎng)測(cè)評(píng)記錄6安全整改根據(jù)等級(jí)保護(hù)測(cè)評(píng)安全整改建議內(nèi)容進(jìn)行安全整改協(xié)助進(jìn)行安全整改10等級(jí)保護(hù)測(cè)評(píng)安全整改建議7報(bào)告編制無(wú)根據(jù)最終的整改結(jié)果進(jìn)行報(bào)告編寫(xiě)工作。10信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告8監(jiān)督檢查到定級(jí)備案的網(wǎng)安部門(mén)提交測(cè)評(píng)報(bào)告。協(xié)助指導(dǎo)可能遇到的監(jiān)督檢查工作。1無(wú)流程總結(jié)部分案例介紹客戶(hù)名稱(chēng)客戶(hù)類(lèi)別所屬區(qū)域廣西北部灣銀行金融廣西廣西柳州銀行金融廣西隨行付支付有限公司金融北京搜易貸（北京）金融信息服務(wù)有限公司金融北京北京恒昌利通投資管理有限公司金融北京君惠（北京）征信有限公司金融北京中創(chuàng)國(guó)投（北京）征信有限公司金融北京搜易貸（北京）金融信息服務(wù)有限公司金融北京中企云鏈（北京）金融信息服務(wù)有限公司金融北京恒盛致遠(yuǎn)（北京）金融信息服務(wù)有限公司金融北京匯通天下（北京）金融信息服務(wù)有限公司金融北京北京多樂(lè)金融信息服務(wù)有限公司金融北京中興財(cái)富通（北京）金融信息服務(wù)有限公司金融北京部分案例介紹客