基于公有云的等保2.0

解決方案政策背景國務(wù)院147號令第一次提出等級保護(hù)的概念；第九條：計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)19941999GB

17859強(qiáng)制性標(biāo)準(zhǔn)：規(guī)定了我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個等級。2004公通字[2004]66號文進(jìn)一步明確了信息安全等級保護(hù)制度的基本內(nèi)容2007公通字［2007］43號等級保護(hù)管理辦法發(fā)布，明確如何建設(shè)、如何監(jiān)管和如何選擇服務(wù)商等；為開展信息安全等級保護(hù)工作提供了規(guī)范保障2017網(wǎng)絡(luò)安全法第二十一條“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度”，深化等保制度重要舉措。2003中辦發(fā)27號文信息安全保障綱領(lǐng)性文件；第二條：實(shí)行信息安全等級保護(hù)。2019等保2.0相關(guān)標(biāo)準(zhǔn)系列《通用要求》《測評要求》。。。等級保護(hù)發(fā)展歷程針對日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，為貫徹落實(shí)習(xí)主席關(guān)于推進(jìn)全球互聯(lián)網(wǎng)治理體系變革的“四項(xiàng)原則”和構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體的“五點(diǎn)主張”，經(jīng)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組批準(zhǔn)，國家互聯(lián)網(wǎng)信息辦公室于2016年12月27日發(fā)布。《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》由中華人民共和國第十二屆全國人民代表大會常務(wù)委員會第二十四次會議于2016年11月7日通過，現(xiàn)予公布，自2017年6月1日起施行。《中華人民共和國網(wǎng)絡(luò)安全法》網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。不履行=違法政策解讀序標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱標(biāo)準(zhǔn)性質(zhì)狀態(tài)發(fā)布日期1

JR/T0071.1—2020金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指引第1部分：基礎(chǔ)和術(shù)語推薦性行業(yè)標(biāo)準(zhǔn)

現(xiàn)行

2020-11-11

2

JR/T0071.2—2020金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指引第2部分：基本要求推薦性行業(yè)標(biāo)準(zhǔn)

現(xiàn)行

2020-11-11

3

JR/T0071.3—2020金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指引第3部分：崗位能力要求和評價指引推薦性行業(yè)標(biāo)準(zhǔn)

現(xiàn)行

2020-11-11

4

JR/T0071.4—2020金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指引第4部分：培訓(xùn)指引推薦性行業(yè)標(biāo)準(zhǔn)

現(xiàn)行

2020-11-11

5

JR/T0071.5—2020金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指引第5部分：審計(jì)要求推薦性行業(yè)標(biāo)準(zhǔn)

現(xiàn)行

2020-11-11

6

JR/T0071.6—2020金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指引第6部分：審計(jì)指引推薦性行業(yè)標(biāo)準(zhǔn)

現(xiàn)行

2020-11-11

7

JR/T0072—2020金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)測評指南推薦性行業(yè)標(biāo)準(zhǔn)

現(xiàn)行

2020-11-11

《國家衛(wèi)生計(jì)生委辦公廳關(guān)于印發(fā)遠(yuǎn)程醫(yī)療信息系統(tǒng)建設(shè)技術(shù)指南的通知》國衛(wèi)辦規(guī)劃發(fā)〔2014〕69號《國務(wù)院辦公廳關(guān)于印發(fā)全國醫(yī)療衛(wèi)生服務(wù)體系規(guī)劃綱要（2015—2020年）的通知》國辦發(fā)〔2015〕14號《關(guān)于印發(fā)電子病歷應(yīng)用管理規(guī)范（試行）的通知》國衛(wèi)辦醫(yī)發(fā)〔2017〕8號《國家衛(wèi)生計(jì)生委辦公廳關(guān)于印發(fā)醫(yī)院信息化建設(shè)應(yīng)用技術(shù)指引（2017年版）的通知》國衛(wèi)辦規(guī)劃函〔2017〕1232號《全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范（試行）》2018年4月行業(yè)等保2.0政策金融行業(yè)等保政策醫(yī)療等保政策教育行業(yè)—等保政策《教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級保護(hù)工作的通知》（教辦廳函[2009]80號）1《教育部辦公廳關(guān)于開展教育系統(tǒng)信息安全等級保護(hù)工作專項(xiàng)檢查的通知》（教辦廳函[2010]80號）2《關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見》（教技[2014]4號）3《教育部公安部關(guān)于全面推進(jìn)教育行業(yè)信息安全等級保護(hù)工作的通知》（教技[2015]2號）4教育部辦公廳關(guān)于印發(fā)《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動方案》的通知（教技廳〔2017〕3號）5教育部關(guān)于印發(fā)《教育信息化2.0行動計(jì)劃》的通知（教技〔2018〕6號）6教育部辦公廳關(guān)于印發(fā)《2019年教育信息化和網(wǎng)絡(luò)安全工作要點(diǎn)》的通知（教技廳〔2019〕2號）7目前已有行業(yè)出現(xiàn)了剛性政策文件醫(yī)療行業(yè)，衛(wèi)建委明確要求如要申報三級醫(yī)院資質(zhì)，醫(yī)院HIS，LIS等關(guān)鍵信息系統(tǒng)必須過三級等保。教育行業(yè)，明確要求全面推行信息安全等保工作。財(cái)政明確做好信息系統(tǒng)安全等級保護(hù)定級、測評、整改以及網(wǎng)絡(luò)安全保障等工作。交通行業(yè)，根據(jù)等保技術(shù)要求，按照等保二級標(biāo)準(zhǔn)進(jìn)行整改、建設(shè)。公安網(wǎng)安總隊(duì)每年有等保通過數(shù)量考核任務(wù)。網(wǎng)絡(luò)安全等級保護(hù)建設(shè)將覆蓋所有關(guān)鍵信息基礎(chǔ)設(shè)施，12月20日，公安部召開2020中國網(wǎng)絡(luò)安全等級保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)大會，推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè)。關(guān)鍵信息基礎(chǔ)設(shè)施主要涵蓋14大行業(yè)：（1）能源；（2）金融；（3）交通；（4）水利；（5）醫(yī)療衛(wèi)生；（6）環(huán)境保護(hù)；（7）工業(yè)制造（原材料、裝備、消費(fèi)品、電子制造）；（8）市政；（9）電信與互聯(lián)網(wǎng)；（10）廣播電視；（11）教育；（12）新聞網(wǎng)站；（13）商業(yè)平臺；（14）政府部門。意味著以上行業(yè)必須要做“等?！本W(wǎng)絡(luò)安全等級保護(hù)政策要求國家、部委要求行業(yè)要求隨著等保2.0等政策強(qiáng)驅(qū)動，以及“云大物移工”等新興業(yè)態(tài)、模式創(chuàng)新的帶動，2019年中國網(wǎng)絡(luò)安全市場將達(dá)到608.1億元，2019-2021年復(fù)合增速為23.24%，增速遠(yuǎn)高于全球水平9.1%，到2021年，中國網(wǎng)絡(luò)安全市場規(guī)模將增長至926.8億元。等保2.0帶來的新增需求達(dá)到百億量級，產(chǎn)品端：新增安全產(chǎn)品市場空間193億元。服務(wù)端：等保咨詢服務(wù)體量將暴增，新增市場空間59億元。市場分析國內(nèi)安全市場洞察分析行業(yè)行業(yè)指導(dǎo)意見重點(diǎn)突破單位優(yōu)先級醫(yī)療衛(wèi)生《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》《三級綜合醫(yī)院評審標(biāo)準(zhǔn)考評辦法》衛(wèi)健委、醫(yī)院、醫(yī)療單位★★★★★政府單位《電子政務(wù)信息安全等級保護(hù)實(shí)施指南(試行)》政府單位、公檢法司★★★★★教育《教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指南（試行）》教育局、學(xué)?！铩铩铩铩镓?cái)政省財(cái)政廳關(guān)于進(jìn)一步做好財(cái)政信息化網(wǎng)絡(luò)安全保障工作的通知財(cái)政局★★★★交通《關(guān)于進(jìn)一步開展交通運(yùn)輸行業(yè)信息安全等級保護(hù)工作的通知》交通運(yùn)輸局、公路局、機(jī)場★★★★水利《水利網(wǎng)絡(luò)安全管理辦法（試行）》（2019）水利局、水文站★★★新聞媒體廣播電視播出相關(guān)信息系統(tǒng)安全等級保護(hù)定級指南廣播電視臺、報社★★★工業(yè)制造制定工業(yè)信息安全領(lǐng)域的配套法規(guī)政策-工信部工廠、制造業(yè)★★新聞網(wǎng)站、商業(yè)平臺環(huán)境保護(hù)、市政、電信與互聯(lián)網(wǎng)、新聞網(wǎng)站、商業(yè)平臺互聯(lián)網(wǎng)接入單位、網(wǎng)站經(jīng)營★★能源《電力行業(yè)信息安全等級保護(hù)管理辦法》電力公司，發(fā)電站★金融《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實(shí)施指引》銀行、保險單位★項(xiàng)目名稱預(yù)算公告日期荔波縣人民醫(yī)院網(wǎng)絡(luò)安全等級保護(hù)建設(shè)設(shè)備及軟件165萬元2021-01-08荔波縣中醫(yī)院網(wǎng)絡(luò)安全等級保護(hù)建設(shè)采購項(xiàng)目165萬元2021-01-08貴陽市第一人民醫(yī)院內(nèi)網(wǎng)終端威脅防御系統(tǒng)及醫(yī)院網(wǎng)絡(luò)安全加固、三級等保建設(shè)采購項(xiàng)目217.6萬元2020-12-29長順縣醫(yī)療集團(tuán)中心醫(yī)院信息系統(tǒng)安全等級保護(hù)測評軟件和硬件設(shè)備采購項(xiàng)目152萬元2020-12-29正安縣衛(wèi)生健康局采購信息平臺三級等保項(xiàng)目100萬元2020-12-21湄潭縣財(cái)政局網(wǎng)絡(luò)安全三級等級保護(hù)項(xiàng)目110萬元2020-12-18云巖區(qū)人民醫(yī)院網(wǎng)絡(luò)安全等級保護(hù)采購項(xiàng)目66萬元2020-12-17貴州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)安全等級保護(hù)2.0整改建設(shè)項(xiàng)目187萬元2020-12-16思南縣人民醫(yī)院網(wǎng)絡(luò)安全等級保護(hù)(三級等保)整改項(xiàng)目105.35萬元2020-12-16安順市西秀區(qū)人民法院網(wǎng)絡(luò)安全建設(shè)160萬元2020-12-03近期公開招標(biāo)的等保項(xiàng)目近10個中，主要集中在醫(yī)療、財(cái)政、法院、教育等行業(yè)，預(yù)算金額超過1428萬元。網(wǎng)絡(luò)安全法、等保2.0正式實(shí)施后，市場需求較大。省內(nèi)安全市場洞察分析信安標(biāo)委牽頭，網(wǎng)信辦、工信部、公安部等部委共同制定的針對網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求的國家標(biāo)準(zhǔn)；對網(wǎng)絡(luò)安全分等級實(shí)行安全保護(hù)，針對不同等級的安全保護(hù)對象采用不同的合規(guī)標(biāo)準(zhǔn)；公安機(jī)關(guān)（網(wǎng)安大隊(duì)）負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)和行政處罰。什么是等級保護(hù)等級保護(hù)標(biāo)準(zhǔn)動作等級保護(hù)網(wǎng)絡(luò)安全法2019年5月10日《信息安全技術(shù)-網(wǎng)絡(luò)安全等級保護(hù)基本要求》正式公布，并于2019年12月1日開始實(shí)施，這標(biāo)志著等級保護(hù)工作正式步入新的階段——等保2.0時代到來等保2.0正式發(fā)布第二十一條國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。第三十一條國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。（新的階段任務(wù)）第三十三條建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。2017年6月1日正式實(shí)施2019年12月1日正式實(shí)施等級保護(hù)發(fā)展歷程《網(wǎng)絡(luò)安全法》之等級保護(hù)十二屆全國人大常委會第十五次會議公開征求意見十二屆全國人大常委會第十五次會議十二屆全國人大常委會第十五次會議2015.6.262016.8.42016.11.72016.10.312016.7.5公開征求意見發(fā)布一審三審二審2015.7.62015.8.52016.6.282017.6.1正式實(shí)施

第二十一條

國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

第三十一條

國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。

第五十九條

網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。

第五十九條（續(xù)）

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致后果的，處十萬元以上一百萬元以下罰款，對直接負(fù)責(zé)主管人員處一萬元以上十萬元以下罰款。等級保護(hù)由基本制度、基本國策，上升為法律網(wǎng)絡(luò)安全支持與促進(jìn)網(wǎng)絡(luò)運(yùn)行安全法律責(zé)任附則監(jiān)測預(yù)警與應(yīng)急處置總則第一章網(wǎng)絡(luò)信息安全第四章第二章第五章第三章第六章第七章法律層面網(wǎng)絡(luò)安全基本國策網(wǎng)絡(luò)安全等級制度上升

第三十三條

建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。配套法規(guī)之《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》總則關(guān)鍵信息基礎(chǔ)設(shè)施范圍和認(rèn)定運(yùn)營單位責(zé)任義務(wù)保護(hù)和促進(jìn)附則法律責(zé)任第一章第二章第五章第四章第三章第六章

第二條

本條例所稱關(guān)鍵信息基礎(chǔ)設(shè)施，是指支撐國家經(jīng)濟(jì)社會運(yùn)行，一旦遭到破壞、喪失功能、數(shù)據(jù)泄露，會嚴(yán)重危害國家安全、國計(jì)民生和公共利益的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)、數(shù)字資產(chǎn)等

第九條

根據(jù)對經(jīng)濟(jì)社會運(yùn)行的重要程度、信息化水平，以及遭到破壞后產(chǎn)生的危害影響，確定關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)和領(lǐng)域范圍如下：（一）公共通信和信息服務(wù)，包括電信、互聯(lián)網(wǎng)、廣播電視等（二）金融，包括銀行、證券、保險等（三）能源，包括電力、石油、石化、天然氣等（四）交通，包括民航、鐵路等（五）水利（六）公共服務(wù)，包括醫(yī)療衛(wèi)生等（七）國防科技工業(yè)（八）國家機(jī)關(guān)

第六條

在網(wǎng)絡(luò)安全等級保護(hù)制度基礎(chǔ)上，進(jìn)一步采取技術(shù)保護(hù)措施和其他必要措施，及時有效應(yīng)對網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)攻擊和違法犯罪活動，保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行，維護(hù)數(shù)據(jù)的完整性、可用性和保密性。關(guān)鍵信息基礎(chǔ)設(shè)施重點(diǎn)保護(hù)網(wǎng)絡(luò)安全等級保護(hù)配套法規(guī)之《網(wǎng)絡(luò)安全等級保護(hù)條例》根據(jù)《行政法規(guī)制定程序條例》第五條：行政法規(guī)的名稱一般稱“條例”，國務(wù)院各部門和地方人民政府制定的規(guī)章不得稱“條例”《信息安全等級保護(hù)管理辦法》是依據(jù)行政法規(guī)制定的部門規(guī)范性文件，而《網(wǎng)絡(luò)安全等級保護(hù)條例》屬于依據(jù)國家法律制定的行政法規(guī)，自身法律效力或法律依據(jù)的效力位階均高于等保1.0受侵害的客體對響應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級信息安全等級保護(hù)管理辦法第三級：每年至少一次第四級：每半年至少一次第五級：依據(jù)特殊安全需求測評網(wǎng)絡(luò)安全等級保護(hù)條例第三級以上的網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)每年開展一次網(wǎng)絡(luò)安全等級測評保護(hù)等級法律效力測評周期安全需求層級第一層安全需求基本合規(guī)《網(wǎng)絡(luò)安全法》《等級保護(hù)條例》及系列標(biāo)準(zhǔn)《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例》及系列標(biāo)準(zhǔn)行業(yè)相關(guān)文件及標(biāo)準(zhǔn)持續(xù)安全運(yùn)營需求第一層第二層第三層安全需求第二層安全需求業(yè)務(wù)剛需系統(tǒng)覆蓋范圍廣，設(shè)備數(shù)量及種類多，需要強(qiáng)化集中安全運(yùn)維

。業(yè)務(wù)承載重要敏感數(shù)據(jù)多，數(shù)據(jù)安全隱患突出，需要加強(qiáng)保護(hù)。第三層安全需求長治久安系統(tǒng)上線后，進(jìn)入運(yùn)營期，需要建立安全運(yùn)維的長效機(jī)制需要對事件快速發(fā)現(xiàn)及處置，迅速減少損失，降低影響需要滿足網(wǎng)信、公安、上級主管部門定期檢查測評的安全要求?；榛A(chǔ)，互相促進(jìn)，持續(xù)提升業(yè)務(wù)特定安全需求合規(guī)安全需求2016年至今未按規(guī)定定期開展等級測評?！毒W(wǎng)絡(luò)安全法》第21條，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行安全保護(hù)義務(wù)。支付寶、芝麻信用收集使用個人信息的方式，不符合《個人信息安全規(guī)范》?！毒W(wǎng)絡(luò)安全法》第41條，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。長沙醫(yī)學(xué)院附屬第一醫(yī)院協(xié)同辦公系統(tǒng)”存在越權(quán)及任意文件上傳的網(wǎng)絡(luò)安全隱患漏洞?！毒W(wǎng)絡(luò)安全法》第21、第59條，按照規(guī)定落實(shí)網(wǎng)絡(luò)安全等級保護(hù)要求。招生信息管理系統(tǒng)存在越權(quán)漏洞，后臺登錄密碼弱口令，學(xué)院未落實(shí)網(wǎng)絡(luò)安全等級保護(hù)要求?！毒W(wǎng)絡(luò)安全法》第21、第59條，按照規(guī)定落實(shí)網(wǎng)絡(luò)安全等級保護(hù)要求。山西忻州市某省直事業(yè)單位網(wǎng)站存在SQL注入漏洞，嚴(yán)重威脅網(wǎng)站信息安全，連續(xù)被國家網(wǎng)絡(luò)與信息安全信息通報中心通報。《網(wǎng)絡(luò)安全法》第21，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)。某電信企業(yè)機(jī)房用于出租服務(wù)的一臺服務(wù)器存在接入賭博網(wǎng)站。被處以警告，責(zé)令限期整改并沒收違法所得的行政處罰。汕頭某公司未及時履行網(wǎng)絡(luò)安全義務(wù)網(wǎng)警依據(jù)網(wǎng)安法責(zé)令改正國家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)約談支付寶、芝麻信用有關(guān)負(fù)責(zé)人長沙醫(yī)學(xué)院違反《網(wǎng)絡(luò)安全法》被依法行政警告淮南職業(yè)技術(shù)學(xué)院4000余名學(xué)生信息遭泄露山西忻州市某省直事業(yè)單位網(wǎng)站存在SQL注入漏洞南寧公安對違規(guī)IDC企業(yè)開出廣西區(qū)內(nèi)首張罰單多行業(yè)未落實(shí)《網(wǎng)絡(luò)安全法》被開“罰單”13教育醫(yī)療政府企業(yè)金融罰單IDC《網(wǎng)絡(luò)安全法》的頒布和網(wǎng)絡(luò)安全等級保護(hù)制度核心標(biāo)準(zhǔn)體系的升級將安全監(jiān)管要求推向了新高度未過等保的違法案例國內(nèi)首例高校違法案例醫(yī)療行業(yè)違法案例企業(yè)單位違法案例政府事業(yè)單位違法案例等保2.0與等保1.0的區(qū)別等保1.0核心依據(jù)是行政條例和規(guī)章，等保2.0核心依據(jù)為《網(wǎng)絡(luò)安全法》。這意味著不滿足等保等同于違法?！毒W(wǎng)絡(luò)安全法》第二十一條國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求。

履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾

、破壞或者未經(jīng)授權(quán)的訪問。防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。范疇對比等保1.0等保2.0名稱《信息系統(tǒng)安全等級保護(hù)基本要求》

《網(wǎng)絡(luò)安全等級保護(hù)基本要求》法律地位《信息安全等級保護(hù)管理辦法》（行政條例及規(guī)章）《網(wǎng)絡(luò)安全法》（法律）名稱變化定級對象變化《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》

上升到了網(wǎng)絡(luò)空間安全層面《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》信息系統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)等安全要求安全通用要求與安全擴(kuò)展要求安全要求變化等級保護(hù)2.0主要變化控制措施分類結(jié)構(gòu)變化等保五個規(guī)定動作五個規(guī)定動作+新的安全要求（風(fēng)險評估、安全監(jiān)測、通報預(yù)警、應(yīng)急處置、自主可控等）內(nèi)容變化技術(shù)（物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)）+管理技術(shù)（物理環(huán)境、一個中心三重防護(hù)）+管理技術(shù)要求等保1.0等保2.0物理安全安全物理環(huán)境網(wǎng)絡(luò)安全安全通信網(wǎng)絡(luò)主機(jī)安全安全區(qū)域邊界應(yīng)用安全安全計(jì)算環(huán)境數(shù)據(jù)安全安全管理中心管理要求等保1.0等保2.0安全管理制度安全管理制度安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)人員安全管理安全管理人員系統(tǒng)建設(shè)管理安全建設(shè)管理系統(tǒng)運(yùn)維管理安全運(yùn)維管理等級保護(hù)外延進(jìn)一步豐富和完善進(jìn)一步提升適用性和可操作性網(wǎng)絡(luò)安全法確立等級保護(hù)制度地位等級保護(hù)政策體系進(jìn)一步細(xì)化完善21條規(guī)定：國家實(shí)行等級保護(hù)制度；31條規(guī)定：國家對關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。等級保護(hù)對象不斷擴(kuò)充（云計(jì)算、工業(yè)控制、物聯(lián)網(wǎng)、移動安全）；工作內(nèi)容更加完善（供應(yīng)鏈安全、通報預(yù)警等）保護(hù)要求更加適應(yīng)新威脅形勢（針對高級威脅、增加可信計(jì)算）。核心標(biāo)準(zhǔn)全部修訂，內(nèi)容精簡、結(jié)構(gòu)統(tǒng)一、測評要求細(xì)化、充分考慮可操作性；適應(yīng)新技術(shù)發(fā)展變化，增加擴(kuò)展要求。等級保護(hù)管理?xiàng)l例/關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例發(fā)布征求意見稿；配套管理規(guī)范、實(shí)施細(xì)則正在陸續(xù)出臺。新等保2.0的核心變化應(yīng)對新威脅新等保更加強(qiáng)調(diào)增強(qiáng)未知威脅檢測能力，強(qiáng)調(diào)安全檢測能力和安全響應(yīng)能力的建設(shè)。應(yīng)對新風(fēng)險新等保體系更體現(xiàn)了動態(tài)的、積極防御的安全理念；安全規(guī)劃、能力建設(shè)、態(tài)勢感知、集中監(jiān)控管理成為新等保體系的重要思想。應(yīng)對新技術(shù)針對云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)，不斷擴(kuò)大等級保護(hù)外延，新的信息技術(shù)同樣催生新的安全技術(shù)。等保2.0變化之處等保2.0與1.0的主要差異安全要求項(xiàng)一級二級三級四級安全通用要求55135211228云計(jì)算安全擴(kuò)展要求11294649移動互聯(lián)安全擴(kuò)展要求5141921物聯(lián)網(wǎng)安全擴(kuò)展要求472021工業(yè)控制系統(tǒng)安全擴(kuò)展要求9152122等保2.0控制項(xiàng)的變化——擴(kuò)展要求分類安全控制點(diǎn)備注安全物理環(huán)境物理位置選擇取消限制機(jī)房場地不可在頂層或地下室物理訪問控制

防盜竊和防破壞

防雷擊

防火

防水和防潮

防靜電

溫濕度控制

電力供應(yīng)

電磁防護(hù)

安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)

通信傳輸加強(qiáng)了通信傳輸?shù)谋Ｃ苄砸螅艽a技術(shù)）可信驗(yàn)證新增要求，各個級別和層面增加了可信驗(yàn)證控制點(diǎn)。要求級別為“可”而非“應(yīng)”安全區(qū)域邊界邊界防護(hù)防護(hù)要求加強(qiáng)明確提出從內(nèi)到外的攻擊檢測；無線網(wǎng)絡(luò)提出要求，要有邊界防護(hù)設(shè)備；訪問控制新增對信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對內(nèi)容的訪問控制入侵防范明確提出從內(nèi)到外的攻擊檢測，新型網(wǎng)絡(luò)攻擊行為分析惡意代碼和垃圾郵件防范二級以下沒有垃圾郵件防范要求安全審計(jì)

可信驗(yàn)證新增要求，各個級別和層面增加了可信驗(yàn)證控制點(diǎn)。要求級別為“可”而非“應(yīng)”分類安全控制點(diǎn)備注安全計(jì)算環(huán)境身份鑒別

訪問控制

安全審計(jì)

入侵防范

惡意代碼防范

可信驗(yàn)證新增要求，各個級別和層面增加了可信驗(yàn)證控制點(diǎn)。要求級別為“可”而非“應(yīng)”數(shù)據(jù)完整性

數(shù)據(jù)保密性三四級要求數(shù)據(jù)備份恢復(fù)二、三、四級均要求異地備份（34級異地實(shí)時備份）；三級及以上明確要求系統(tǒng)熱冗余剩余信息保護(hù)

個人信息保護(hù)相對等保1.0新增要求安全管理中心系統(tǒng)管理二級以上有要求審計(jì)管理二級以上有要求安全管理三四級要求集中管控三四級要求，相對等保1.0新增要求，明確提出集中監(jiān)控、管理、日志統(tǒng)一分析等；日志6個月；防病毒和補(bǔ)丁統(tǒng)一推送；各類網(wǎng)絡(luò)安全事件進(jìn)行統(tǒng)一識別、報警和分析等保2.0通用要求變化等保與分保的區(qū)別適用對象主管部門標(biāo)準(zhǔn)體系等級級別定級依據(jù)資質(zhì)要求測評周期等級保護(hù)非涉密信息系統(tǒng)公安機(jī)關(guān)國家標(biāo)準(zhǔn)（GB、GB/T）5個級別第一級（自主保護(hù)）第二級（指導(dǎo)保護(hù)）第三級（監(jiān)督保護(hù)）第四級（強(qiáng)制保護(hù)）第五級（?？乇Ｗo(hù)）重要業(yè)務(wù)系統(tǒng)與承載業(yè)務(wù)運(yùn)行的網(wǎng)絡(luò)、設(shè)備、系統(tǒng)及單位屬性、遭到破壞后所影響的主、客體關(guān)系等測評：公安部備案的具有測評資質(zhì)的機(jī)構(gòu)。安全產(chǎn)品：等保三級以上系統(tǒng)，應(yīng)優(yōu)先考慮國內(nèi)安全產(chǎn)品，除非國外安全產(chǎn)品無法使用國內(nèi)產(chǎn)品替代時，才允許使用國外安全產(chǎn)品。二級→每2年(建議)三級以上→每年四級-半年分級保護(hù)涉密信息系統(tǒng)國家保密工作部門（國家保密局、各省保密局、各地地市保密局）國家保密標(biāo)準(zhǔn)（BMB，強(qiáng)制執(zhí)行）3個級別秘密級機(jī)密級(一般、增強(qiáng))絕密級信息的重要性，以信息最高密級確定受保護(hù)的級別。集成：保密局發(fā)的涉密集成資質(zhì)單項(xiàng)：保密局發(fā)的涉密單項(xiàng)資質(zhì)安全產(chǎn)品：保密局發(fā)的涉密檢測報告密碼產(chǎn)品：國密局發(fā)的密碼資質(zhì)防病毒軟件：公安部的檢測報告軍隊(duì)：軍用安全產(chǎn)品檢測報告全部禁止使用國外安全產(chǎn)品秘密、機(jī)密→每2年絕密→每年等保三級必配推薦：防火墻/UTM、IDS/IPS、日志審計(jì)、網(wǎng)絡(luò)審計(jì)、堡壘機(jī)、漏掃、VPN、終端安全管理、數(shù)據(jù)庫審計(jì)、網(wǎng)絡(luò)版殺毒軟件、安全管理平臺選配推薦：抗DDOS、網(wǎng)閘、防毒墻、WAF、網(wǎng)絡(luò)準(zhǔn)入、4A賬號管理、負(fù)載均衡、態(tài)勢感知、終端數(shù)據(jù)防泄漏、負(fù)載均衡、VSG視頻安全防護(hù)系統(tǒng)、網(wǎng)頁防篡改等保二級必配推薦：防火墻/UTM、IDS/IPS、日志審計(jì)、堡壘機(jī)、網(wǎng)絡(luò)版殺毒軟件選配推薦：WAF、數(shù)據(jù)庫審計(jì)、防毒墻、上網(wǎng)行為管理、網(wǎng)閘、VPN、終端數(shù)據(jù)防泄漏、負(fù)載均衡、VSG視頻安全防護(hù)系統(tǒng)、態(tài)勢感知DAC、網(wǎng)頁防篡改新等級保護(hù)介紹-法律地位計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（國務(wù)院令第147號）商用密碼管理?xiàng)l例（國務(wù)院令第273號）信息安全等級保護(hù)管理辦法（公通字[2007]43號)電子政務(wù)等級保護(hù)相關(guān)制度（發(fā)改委）...地方人民政府地方人大及常委會國務(wù)院全國人大及其常委會法律行政法規(guī)地方性法規(guī)地方政府規(guī)章規(guī)范性文件部門規(guī)章國務(wù)院各部委憲法、刑法（部分條款）國家安全法（部分條款）保守國家秘密法電子簽名法...等級保護(hù)1.0等級保護(hù)2.0計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（國務(wù)院令第147號）商用密碼管理?xiàng)l例（國務(wù)院令第273號）網(wǎng)絡(luò)安全等級保護(hù)條例關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)制度（國家互聯(lián)網(wǎng)信息辦公室）電子政務(wù)等級保護(hù)相關(guān)制度（發(fā)改委）...憲法、刑法（部分條款）國家安全法（部分條款）保守國家秘密法電子簽名法網(wǎng)絡(luò)安全法...新時代發(fā)展啟動新等級保護(hù)介紹-制度發(fā)展新等級保護(hù)-標(biāo)準(zhǔn)體系新等級保護(hù)標(biāo)準(zhǔn)變化網(wǎng)絡(luò)安全等級保護(hù)定級指南（修訂）網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指南（修訂）網(wǎng)絡(luò)安全等級保護(hù)基本要求（修訂）網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求（修訂）網(wǎng)絡(luò)安全等級保護(hù)測評要求（修訂）網(wǎng)絡(luò)安全等級保護(hù)測試評估技術(shù)指南（新立）網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)能力要求和評估規(guī)范（新立）網(wǎng)絡(luò)安全等級保護(hù)測評過程指南（修訂）網(wǎng)絡(luò)安全等級保護(hù)安全管理中心技術(shù)要求（新立）等保合規(guī)實(shí)現(xiàn)-安全管理體系建設(shè)方針策略信息安全工作的綱領(lǐng)性文件。

制度辦法在安全策略的指導(dǎo)下，制定的各項(xiàng)安全管理和技術(shù)制度、辦法和準(zhǔn)則，用來規(guī)范單位各部門處室安全管理工作。流程細(xì)則細(xì)化的實(shí)施細(xì)則、管理技術(shù)標(biāo)準(zhǔn)等內(nèi)容，用來支撐第二層對應(yīng)的制度與管理辦法的有效實(shí)施。記錄表單記錄活動實(shí)行以符合等級1,2,和3的文件要求的客觀證據(jù)，闡明所取得的結(jié)果或提供完成活動的證據(jù)。運(yùn)行記錄方針策略實(shí)施細(xì)則與流程制度與管理辦法高效的安全管理機(jī)構(gòu)安全管理員安全審計(jì)員系統(tǒng)管理員網(wǎng)絡(luò)管理員數(shù)據(jù)庫管理員機(jī)房管理員網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組網(wǎng)絡(luò)安全主管（部門）決策、監(jiān)督管理執(zhí)行云服務(wù)客戶建設(shè)“一個中心”管理下的“三重防護(hù)”體系，分別對計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)體系進(jìn)行管理，實(shí)施立體防范注重全方位主動防御動態(tài)防御整體防控和精準(zhǔn)防護(hù)。等保一個中心、三重防護(hù)安全區(qū)域邊界安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)通信傳輸可信驗(yàn)證安全計(jì)算環(huán)境系統(tǒng)管理審計(jì)管理安全管理安全管理中心邊界防護(hù)訪問控制入侵防范惡意代碼和垃圾郵件防范安全審計(jì)可信驗(yàn)證身份鑒別訪問控制安全審計(jì)入侵防范惡意代碼防范可信驗(yàn)證集中管控?cái)?shù)據(jù)完整性數(shù)據(jù)保密性數(shù)據(jù)備份和恢復(fù)剩余信息保護(hù)個人信息保護(hù)安全管理制度網(wǎng)絡(luò)安全法律法規(guī)政策體系網(wǎng)絡(luò)安全等級保護(hù)政策標(biāo)準(zhǔn)體系縱深防御安全技術(shù)體系安全服務(wù)體系安全通信網(wǎng)絡(luò)安全管理中心安全區(qū)域邊界安全計(jì)算環(huán)境安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理安全管理體系安全咨詢服務(wù)安全技術(shù)服務(wù)應(yīng)急響應(yīng)服務(wù)安全評估態(tài)勢感知預(yù)警通報研判處置安全運(yùn)營下的持續(xù)保障安全監(jiān)測網(wǎng)絡(luò)安全總體策略云計(jì)算安全移動互聯(lián)安全物聯(lián)網(wǎng)安全大數(shù)據(jù)安全安全培訓(xùn)服務(wù)工控系統(tǒng)安全等保2.0定級指南《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》中，云平臺定級的要點(diǎn)如下：等保2.0定級流程確定定級對象自主定級專家評審主管部門審批公安機(jī)關(guān)審核硬件資源HostOS虛擬機(jī)監(jiān)視器/硬件模擬虛擬機(jī)VM應(yīng)用1GuestOS虛擬機(jī)VMGuestOS應(yīng)用3虛擬機(jī)VM應(yīng)用2GuestOS平臺定級對象租戶定級對象責(zé)任分離，分別定級，各自備案定級要素責(zé)任主體一分為二：云服務(wù)商、云租戶均需獨(dú)立定級備案；國家關(guān)鍵信息基礎(chǔ)設(shè)施（重要云計(jì)算平臺）的安全保護(hù)等級應(yīng)不低于第三級（例如政務(wù)云、工業(yè)云等），金融云需要達(dá)到四級；云平臺其承載或?qū)⒁休d的等級保護(hù)對象的重要程度確定其安全保護(hù)等級，原則上應(yīng)不低于其承載的等級保護(hù)對象的安全保護(hù)等級；對于大型云計(jì)算平臺，應(yīng)將云計(jì)算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級對象；等級保護(hù)流程和各方職責(zé)GB/T22240—2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》，云上租戶和云服務(wù)商的等級保護(hù)對象要分開定級，根據(jù)云上服務(wù)模式再分別定級。對于大型云計(jì)算平臺，宜將云計(jì)算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級對象；對于高級別的云租戶系統(tǒng)不能部署到低級別的云平臺上；對于已過等?；蛴?jì)劃過等保測評的云租戶，不應(yīng)部署在未過等保測評的云計(jì)算平臺上。云服務(wù)商云服務(wù)客戶備案地點(diǎn)負(fù)責(zé)云計(jì)算平臺備案，備案地點(diǎn)為運(yùn)維管理端所在地負(fù)責(zé)云上業(yè)務(wù)信息系統(tǒng)備案，備案地點(diǎn)工商注冊地或?qū)嶋H經(jīng)營所在地備案系統(tǒng)大型云計(jì)算平臺應(yīng)將云計(jì)算基礎(chǔ)設(shè)施與輔助系統(tǒng)（運(yùn)維系統(tǒng)、運(yùn)營系統(tǒng)）分別定級在云端的業(yè)務(wù)應(yīng)用系統(tǒng)備案等級關(guān)鍵信息基礎(chǔ)設(shè)施云計(jì)算平臺≥3級；不低于承載的等級保護(hù)對象的安全保護(hù)等級GBT22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南備案時間對外提供服務(wù)前云計(jì)算平臺完成備案后05/監(jiān)督檢查公有云租戶上云系統(tǒng)測評步驟：確定定級對象，初步確認(rèn)定級對象，專家評審，主管部門審核、公安機(jī)關(guān)備案審查。定級持定級報告和備案表到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門進(jìn)行備案備案參照信息系統(tǒng)當(dāng)前等級要求和標(biāo)準(zhǔn)，對信息系統(tǒng)進(jìn)行整改加固建義整改委托具備測評資質(zhì)的測評機(jī)構(gòu)對信息系統(tǒng)進(jìn)行等級測評，形成正式的測評報告等級測評向當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門提交測評報告，配合完成對信息安全等級保護(hù)實(shí)施情況的檢查。監(jiān)督檢查客戶確定系統(tǒng)或者子系統(tǒng)的安全等級，準(zhǔn)備定級報告材料準(zhǔn)備備案材料，到當(dāng)?shù)毓簿W(wǎng)監(jiān)備案基于等保制度要求進(jìn)行建設(shè)和整改加固準(zhǔn)備和接受測評機(jī)構(gòu)的測評，形成測評報告向當(dāng)?shù)毓簿W(wǎng)監(jiān)遞交測評報告，接受并配合完成定期檢查公有云可協(xié)調(diào)優(yōu)質(zhì)合作伙伴為客戶提供輔導(dǎo)服務(wù)可協(xié)調(diào)優(yōu)質(zhì)合作伙伴為客戶提供輔導(dǎo)服務(wù)提供符合等保合規(guī)要求的安全產(chǎn)品技術(shù)提供云平臺相關(guān)合規(guī)資質(zhì)材料-咨詢機(jī)構(gòu)輔導(dǎo)客戶準(zhǔn)備定級報告并組織專家評審輔導(dǎo)客戶準(zhǔn)備備案材料，并完成備案輔導(dǎo)客戶進(jìn)行相關(guān)系統(tǒng)的安全加固，并協(xié)助完成安全管理體系的搭建協(xié)助并指導(dǎo)客戶進(jìn)行測評整改協(xié)助客戶接受定期檢查并指導(dǎo)整改測評機(jī)構(gòu)提供等保定級指導(dǎo)提供等保備案指導(dǎo)-對系統(tǒng)等級進(jìn)行測評，并出具測評報告-公安機(jī)關(guān)-審核受理備案材料--監(jiān)督檢查客戶單位等級保護(hù)工作的開展情況角色01/系統(tǒng)定級02/備案03/建議整改04/等保測評用戶本地建設(shè)信息系統(tǒng)測評網(wǎng)絡(luò)安全等級保護(hù)測評流程參與方：被測評單位（甲方），等保測評單位，等保整改單位、公安機(jī)關(guān)測評分?jǐn)?shù)：不論二級還是三級，均要求達(dá)到70分以上（縣級以上）公安機(jī)關(guān)審核等保測評等保年檢定級不準(zhǔn)材料不齊不合格不合格二次測評合格系統(tǒng)定級系統(tǒng)備案備案證書差距分析安全整改建設(shè)提交測評報告專家評審/報批《信息系統(tǒng)安全等級保護(hù)定級指南》三級以上一年一次協(xié)助檢查

按照《公安機(jī)關(guān)信息安全等級保護(hù)檢查工作規(guī)范》開展自查工作，準(zhǔn)備相關(guān)迎檢材料協(xié)助等級測評

協(xié)助客戶開展等級測評工作，對評估過程的給予支持。1.系統(tǒng)定級-定級對象分析及確定定級對象確定等級保護(hù)劃分方法的選擇等級保護(hù)對象劃分定級情況等級保護(hù)定級對象詳細(xì)描述系統(tǒng)對象分析識別單位的基本信息、等級保護(hù)對象基本信息識別等級保護(hù)對象的管理框架識別等級保護(hù)對象的網(wǎng)絡(luò)及設(shè)備部署識別等級保護(hù)對象的業(yè)務(wù)特性、處理的信息資產(chǎn)、用戶范圍和用戶類型等級保護(hù)對象描述01考慮管理機(jī)構(gòu)、業(yè)務(wù)類型、物理位置等因素02參考行業(yè)定級指導(dǎo)意見等定級對象的運(yùn)營、使用單位應(yīng)按照相關(guān)管理規(guī)定，將初步定級結(jié)果提交公安機(jī)關(guān)進(jìn)行備案審查，審查不通過，其運(yùn)營使用單位應(yīng)組織重新定級；審查通過后最終確定定級對象的安全保護(hù)等級。2.定級/備案-系統(tǒng)定級流程確定定級對象初步確定等級專家評審主管部門審核公安機(jī)關(guān)備案審查最終確定的等級基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、大數(shù)據(jù)和使用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)等根據(jù)所侵害的客體、侵害程度進(jìn)行綜合判定大數(shù)據(jù)：根據(jù)數(shù)據(jù)規(guī)模、數(shù)據(jù)價值等因素確定；基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺：根據(jù)其承載或?qū)⒁休d的等級保護(hù)對象確定定級對象的運(yùn)營、使用單位應(yīng)組織信息安全專家和業(yè)務(wù)專家，對初步定級結(jié)果的合理性進(jìn)行評審，出具專家評審意見。定級對象的運(yùn)營、使用單位應(yīng)將初步定級結(jié)果上報行業(yè)主管部門或上級主管部門進(jìn)行審核。備案受理審核發(fā)證信息系統(tǒng)運(yùn)行使用單位公安機(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門《信息系統(tǒng)安全等級保護(hù)備案表》《信息系統(tǒng)安全等級保護(hù)備案證明》《XX信息系統(tǒng)定級報告》針對等級測評結(jié)果中存在的所有安全問題，結(jié)合關(guān)聯(lián)資產(chǎn)和威脅分別分析安全危害，找出可能對信息系統(tǒng)、單位、社會及國家造成的最大安全危害（損失），并根據(jù)最大安全危害嚴(yán)重程度進(jìn)一步確定信息系統(tǒng)面臨的風(fēng)險等級，結(jié)果為“高”、“中”或“低”。并以列表形式給出等級測評發(fā)現(xiàn)安全問題以及風(fēng)險分析和評價情況。其中，最大安全危害（損失）結(jié)果應(yīng)結(jié)合安全問題所影響業(yè)務(wù)的重要程度、相關(guān)系統(tǒng)組件的重要程度、安全問題嚴(yán)重程度以及安全事件影響范圍等進(jìn)行綜合分析。風(fēng)險分析時更突出危害分析（關(guān)注最大安全危害），側(cè)重后果描述。3.差距分析-報告編制活動-安全問題風(fēng)險分析資產(chǎn)脆弱性威脅安全問題嚴(yán)重程度

客戶整改要求（客戶訴求）安全匯總整改分類建設(shè)整改

安全配置整改

安全代碼整改

設(shè)備采購

安全管理建設(shè)

落實(shí)整改措施

安全技術(shù)建設(shè)

安全管理建設(shè)安全服務(wù)/運(yùn)營建設(shè)操作系統(tǒng)安全配置網(wǎng)絡(luò)設(shè)備/安全設(shè)備配置中間件配置修訂安全配置類SQL注入漏洞命令執(zhí)行漏洞代碼修改類APT防護(hù)設(shè)備WAF設(shè)備采購類設(shè)備采購類安全管理制度流程優(yōu)化類記錄缺失類安全管理類分區(qū)分域的思想——縱深防御的思想——風(fēng)險管理的思想安全整改風(fēng)險分析云平臺和租戶需要分別關(guān)注自身安全責(zé)任——云平臺和租戶需要分別關(guān)注自身安全責(zé)任——自身安全性

1云平臺本身的安全性應(yīng)該符合要求，比如登錄身份鑒別

2自身安全功能云平臺自身應(yīng)該具備安全功能可以滿足相關(guān)安全要求

3安全資源云平臺應(yīng)該可以提供一個安全資源池供租戶來使用

4提供接口云平臺應(yīng)該為租戶自行建設(shè)的安全系統(tǒng)提供接口或環(huán)境云平臺運(yùn)營方應(yīng)該做到哪些才能符合等級保護(hù)云計(jì)算擴(kuò)展要求？利用平臺資源

1租戶應(yīng)該利用平臺提供的安全資源，滿足相關(guān)要求

2自建安全系統(tǒng)針對本地備份、獨(dú)立密鑰管理等，建設(shè)自己的安全系統(tǒng)

3應(yīng)用安全租戶應(yīng)用系統(tǒng)自身的安全問題應(yīng)該自己保障和解決租戶在利用云平臺資源需要做哪些安全合規(guī)工作？需求1需求2云平臺及云租戶等級保護(hù)對象劃分服務(wù)模式安全層面保護(hù)（測評）對象安全計(jì)算環(huán)境云產(chǎn)品（服務(wù)）云產(chǎn)品（服務(wù)）數(shù)據(jù)SaaS安全計(jì)算環(huán)境虛擬機(jī)、數(shù)據(jù)庫服務(wù)器、中間件、容器、云應(yīng)用開發(fā)平臺、云產(chǎn)品（服務(wù)）等PaaSIaaS安全計(jì)算環(huán)境云操作系統(tǒng)、虛擬機(jī)監(jiān)視器、云業(yè)務(wù)管理系統(tǒng)、云產(chǎn)品（服務(wù)）虛擬化網(wǎng)絡(luò)/安全設(shè)備、虛擬機(jī)鏡像云產(chǎn)品（服務(wù)）服務(wù)器（虛擬機(jī)）、宿主機(jī)、終端、運(yùn)管平臺服務(wù)器網(wǎng)絡(luò)設(shè)備、安全設(shè)備配置文件、鑒別信息、系統(tǒng)數(shù)據(jù)、審計(jì)數(shù)據(jù)、鏡像文件、快照數(shù)據(jù)、個人信息安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)、物理鏈路、通信數(shù)據(jù)安全區(qū)域邊界物理網(wǎng)絡(luò)邊界、虛擬網(wǎng)絡(luò)邊界安全管理中心云管理平臺、云平臺監(jiān)控系統(tǒng)安全管理安全相關(guān)人員、機(jī)房、介質(zhì)以及管理文檔和制度安全物理環(huán)境物理機(jī)房、云計(jì)算基礎(chǔ)設(shè)施部署的相關(guān)機(jī)房及技術(shù)設(shè)施云計(jì)算平臺不同服務(wù)模式下的保護(hù)對象說明服務(wù)模式安全層面保護(hù)（測評）對象IaaS安全計(jì)算環(huán)境云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)業(yè)務(wù)數(shù)據(jù)虛擬機(jī)、數(shù)據(jù)庫、中間件等虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備安全通信網(wǎng)絡(luò)虛擬網(wǎng)絡(luò)架構(gòu)安全區(qū)域邊界虛擬網(wǎng)絡(luò)邊界防護(hù)服務(wù)（措施）安全管理中心安全管理平臺安全管理安全相關(guān)人員、介質(zhì)以及管理文檔平臺側(cè)安全云計(jì)算平臺等級測評結(jié)論/云服務(wù)符合性評價PaaS安全計(jì)算環(huán)境容器、數(shù)據(jù)庫業(yè)務(wù)應(yīng)用系統(tǒng)業(yè)務(wù)數(shù)據(jù)安全管理中心安全管理平臺安全管理全相關(guān)人員、介質(zhì)以及管理文檔平臺側(cè)安全云計(jì)算平臺等級測評結(jié)論/云服務(wù)符合性評價SaaS安全計(jì)算環(huán)境業(yè)務(wù)數(shù)據(jù)業(yè)務(wù)應(yīng)用系統(tǒng)平臺側(cè)安全云計(jì)算平臺等級測評結(jié)論/云服務(wù)符合性評價云租戶業(yè)務(wù)系統(tǒng)不同服務(wù)模式下的保護(hù)對象說明測評結(jié)果及格分?jǐn)?shù)為70分，存在高風(fēng)險安全問題則直接判定為“差”，存在中風(fēng)險安全問題不能得“優(yōu)”上云系統(tǒng)怎么過等級保護(hù)在《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GBT22239-2019）附錄D：云計(jì)算應(yīng)用場景說明中，根據(jù)云服務(wù)商與云租戶在不同服務(wù)模式中控制資源的不同，劃分了責(zé)任邊界，責(zé)任劃分情況如下圖所示：云服務(wù)商與云租戶的安全責(zé)任如何劃分等級保護(hù)一票否決制公安行業(yè)—定級對象安全保護(hù)等級建議序號定級對象部署網(wǎng)絡(luò)安全保護(hù)等級建議序號定級對象部署網(wǎng)絡(luò)安全保護(hù)等級建議1境外非政府組織信息系統(tǒng)公安信息網(wǎng)、互聯(lián)網(wǎng)第三級22營房管理系統(tǒng)公安信息網(wǎng)第二級2邪教組織人員信息管理系統(tǒng)公安信息網(wǎng)第三級23警務(wù)信息一體化管理平臺公安信息網(wǎng)第三級3經(jīng)偵應(yīng)用云公安信息網(wǎng)第三級24指紋自動識別系統(tǒng)公安信息網(wǎng)第二級4互聯(lián)網(wǎng)經(jīng)偵專業(yè)工作平臺互聯(lián)網(wǎng)第三級25鐵路刑偵情報信息共享應(yīng)用系統(tǒng)公安信息網(wǎng)第三級5全國治安綜合業(yè)務(wù)應(yīng)用系統(tǒng)公安信息網(wǎng)第三級26鐵路公安機(jī)關(guān)固定資產(chǎn)及裝備管理信息系統(tǒng)公安信息網(wǎng)第三級6金融案（事）件網(wǎng)上報送與職能分析系統(tǒng)公安信息網(wǎng)第二級27鐵路公安被裝管理信息系統(tǒng)公安信息網(wǎng)第三級7全國煙花爆竹流向管理系統(tǒng)系統(tǒng)公安信息網(wǎng)第二級28網(wǎng)安大數(shù)據(jù)云平臺公安信息網(wǎng)上的VPN專網(wǎng)第三級8全國人口管理信息系統(tǒng)公安信息網(wǎng)第三級29網(wǎng)安綜合應(yīng)用系統(tǒng)公安信息網(wǎng)、互聯(lián)網(wǎng)第三級9一體化平臺公安信息網(wǎng)上的VPN專網(wǎng)第三級30公安審計(jì)信息化系統(tǒng)公安信息網(wǎng)第三級10全國刑偵信息專業(yè)應(yīng)用系統(tǒng)（部級）公安信息網(wǎng)第三級31公安部機(jī)關(guān)計(jì)算機(jī)保密技術(shù)防范系統(tǒng)（公安網(wǎng)部分）公安信息網(wǎng)第三級11全國公安機(jī)關(guān)現(xiàn)場勘驗(yàn)信息系統(tǒng)公安信息網(wǎng)第三級32公安部機(jī)關(guān)計(jì)算機(jī)保密技術(shù)防范系統(tǒng)（互聯(lián)網(wǎng)部分）互聯(lián)網(wǎng)第三級12全國公安機(jī)關(guān)DNA數(shù)據(jù)庫應(yīng)用系統(tǒng)公安信息網(wǎng)第二級33公安信訪綜合信息系統(tǒng)互聯(lián)網(wǎng)第二級13公安部電信詐騙案件偵辦平臺公安信息網(wǎng)第二級34公安部實(shí)戰(zhàn)指揮平臺公安信息網(wǎng)、互聯(lián)網(wǎng)第三級14部級出入境邊防檢查信息系統(tǒng)VPN專網(wǎng)第三級35政治部網(wǎng)站、人事訓(xùn)練局網(wǎng)站和政治部辦公自動化公安信息網(wǎng)第二級15部級出入境管理信息系統(tǒng)公安信息網(wǎng)第三級36全國公安政治工作信息系統(tǒng)公安信息網(wǎng)第三級16出入境管理數(shù)據(jù)交換系統(tǒng)公安信息網(wǎng)第三級37全國公安教育訓(xùn)練網(wǎng)絡(luò)學(xué)院公安信息網(wǎng)第二級17出入境綜合數(shù)據(jù)應(yīng)用平臺公安信息網(wǎng)第三級38公安部機(jī)關(guān)工資管理系統(tǒng)公安信息網(wǎng)第三級18出入境視頻監(jiān)控系統(tǒng)公安信息網(wǎng)第三級39宣傳信息管理系統(tǒng)公安信息網(wǎng)第二級19出入境生物特征識別比對系統(tǒng)公安信息網(wǎng)第三級40宣傳局網(wǎng)站公安信息網(wǎng)第二級20警衛(wèi)移動通信管理系統(tǒng)公安信息網(wǎng)第二級41互聯(lián)網(wǎng)交通安全綜合服務(wù)管理平臺公安信息網(wǎng)、互聯(lián)網(wǎng)第三級21系統(tǒng)門戶系統(tǒng)公安信息網(wǎng)第二級

注：定級要求基本是涉及到公民信息、警務(wù)信息與指揮調(diào)度信息的系統(tǒng)必須三級，涉及警員信息的系統(tǒng)必須三級，涉及跨省的業(yè)務(wù)信息系統(tǒng)必須三級，涉及公安部本級定出來的系統(tǒng)，各省有分系統(tǒng)的必須三級，涉及各業(yè)務(wù)局主核心系統(tǒng)的（不管有沒以上信息）也必須三級檢察行業(yè)—幾類主要業(yè)務(wù)系統(tǒng)及定級建議1.檢察統(tǒng)一業(yè)務(wù)應(yīng)用系統(tǒng)2.0承載多個檢察業(yè)務(wù)子系統(tǒng)，業(yè)務(wù)應(yīng)用軟件2.0包括：流程辦案、輔助辦案、知識服務(wù)、數(shù)據(jù)應(yīng)用、電子卷宗、接口服務(wù)。定三級。2.政法協(xié)同類應(yīng)用主要是政法委組織開發(fā)的一些應(yīng)用，在各地檢察院部署，實(shí)現(xiàn)公檢法司的辦案協(xié)同。定三級。3.網(wǎng)站群主要是檢察工作網(wǎng)的網(wǎng)站群以及門戶網(wǎng)站等。定三級。4.視頻會議系統(tǒng)各地檢察院建設(shè)情況不同，主要實(shí)現(xiàn)省市縣三級檢察機(jī)關(guān)視頻會議。定二級或三級。法院行業(yè)—定級對象安全保護(hù)等級建議序號定級對象建議安全保護(hù)等級1人民法院業(yè)務(wù)專網(wǎng)一級業(yè)務(wù)專網(wǎng)及最高人民法院核心節(jié)點(diǎn)保護(hù)等級為第三級

高級法院一級節(jié)點(diǎn)保護(hù)等級為第三級二級業(yè)務(wù)專網(wǎng)及中級法院二級節(jié)點(diǎn)保護(hù)等級為第二級三級業(yè)務(wù)專網(wǎng)及基層法院三級節(jié)點(diǎn)保護(hù)等級為第二級2案件(涉密案件除外)信息管理系統(tǒng)最高人民法院案件信息管理系統(tǒng)保護(hù)等級為第三級高級法院案件信息管理系統(tǒng)保護(hù)等級為第三級中級法院和基層法院案件信息管理系統(tǒng)保護(hù)等級為第二級3信訪信息管理系統(tǒng)最高人民法院信訪信息管理系統(tǒng)保護(hù)等級為第三級高級法院信訪信息管理系統(tǒng)保護(hù)等級為第三級中級法院和基層法院信訪信息管理系統(tǒng)保護(hù)等級為第二級4執(zhí)行信息管理系統(tǒng)執(zhí)行信息管理系統(tǒng)的保護(hù)等級為第三級5行政辦公信息管理系統(tǒng)最高人民法院行政辦公信息管理系統(tǒng)保護(hù)等級為第三級高級法院行政辦公信息管理系統(tǒng)保護(hù)等級為第三級中級法院和基層法院民事行政辦公信息管理系統(tǒng)保護(hù)等級為第二級6專項(xiàng)管理應(yīng)用系統(tǒng)（包括人事管理、法官管理、法警管理、檔案管理、紀(jì)檢監(jiān)察管理、人大聯(lián)絡(luò)、物資裝備管理、財(cái)務(wù)管理等）最高人民法院和高級人民法院使用的專項(xiàng)管理系統(tǒng)保護(hù)等級為第三級中級法院和基層法院使用的專項(xiàng)管理系統(tǒng)保護(hù)等級為第二級7內(nèi)部網(wǎng)站最高人民法院內(nèi)部網(wǎng)站保護(hù)等級為第三級高級法院內(nèi)部網(wǎng)站保護(hù)等級為第三級中級法院和基層法院內(nèi)部網(wǎng)站保護(hù)等級為第二級8互聯(lián)網(wǎng)站最高人民法院互聯(lián)網(wǎng)站保護(hù)等級為第三級地方各級法院互聯(lián)網(wǎng)站保護(hù)等級均為第二級9其他各級法院使用的其他非涉密應(yīng)用系統(tǒng)保護(hù)等級一般應(yīng)在第二級(含)以上，具體可參照案件(涉密案件除外)信息管理系統(tǒng)保護(hù)等級確定金融行業(yè)等保2.0定級建議金融行業(yè)增強(qiáng)性安全要求（F類），在結(jié)合金融行業(yè)相關(guān)規(guī)定的基礎(chǔ)上對等級保護(hù)要求進(jìn)行補(bǔ)充和完善技術(shù)部分管理部分國家等級保護(hù)2.0標(biāo)準(zhǔn)基本要求設(shè)計(jì)要求實(shí)施指南測評過程指南安全通用要求云計(jì)算安全擴(kuò)展要求移動互聯(lián)安全擴(kuò)展要求物聯(lián)網(wǎng)安全擴(kuò)展要求工業(yè)控制系統(tǒng)安全擴(kuò)展要求大數(shù)據(jù)應(yīng)用場景說明定級指南測評要求安全管理中心技術(shù)要求測試評估技術(shù)指南測評機(jī)構(gòu)能力要求和評估規(guī)范金融行業(yè)增強(qiáng)標(biāo)準(zhǔn)金融行業(yè)實(shí)施指引金融行業(yè)測評要求金融行業(yè)增強(qiáng)性安全要求F2二級增強(qiáng)性安全要求F3三級增強(qiáng)性安全要求F4四級增強(qiáng)性安全要求金融行業(yè)

等級保護(hù)2.0標(biāo)準(zhǔn)金融行業(yè)等保2.0|一個增強(qiáng)、兩個覆蓋、三大特點(diǎn)兩個全覆蓋一是覆蓋各地區(qū)、各單位、各部門、各企業(yè)、各機(jī)構(gòu)，也就是覆蓋全社會。除個人及家庭自建網(wǎng)絡(luò)的全覆蓋。二是覆蓋所有保護(hù)對象，包括網(wǎng)絡(luò)、信息系統(tǒng)，以及新的保護(hù)對象，云計(jì)算平臺、物聯(lián)網(wǎng)、工控系統(tǒng)、大數(shù)據(jù)、移動互聯(lián)等各類新技術(shù)應(yīng)用。三個特點(diǎn)等級保護(hù)2.0基本要求、測評要求、安全設(shè)計(jì)技術(shù)要求即：安全管理中心支持下的三重防護(hù)結(jié)構(gòu)框架。通用安全要求+新型應(yīng)用安全擴(kuò)展要求，將云計(jì)算、移動互聯(lián)、物聯(lián)網(wǎng)等列入標(biāo)準(zhǔn)規(guī)范。把可信驗(yàn)證列入各級別和各環(huán)節(jié)的主要功能要求。一個增強(qiáng)金融行業(yè)增強(qiáng)性安全要求（F類），在結(jié)合金融行業(yè)相關(guān)規(guī)定的基礎(chǔ)上對等級保護(hù)要求進(jìn)行補(bǔ)充和完善F2：表示二級增強(qiáng)性安全要求F3：表示三級增強(qiáng)性安全要求F4：表示四級增強(qiáng)性安全要求醫(yī)療行業(yè)—等保定級建議安全保護(hù)等級原則上不低于第三級衛(wèi)生統(tǒng)計(jì)網(wǎng)絡(luò)直報系統(tǒng)、傳染性疾病報告系統(tǒng)、衛(wèi)生監(jiān)督信息報告系統(tǒng)、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)國家、省、地市三級衛(wèi)生信息平臺，新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等各級數(shù)據(jù)中心三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)（如HIS、LIS、PACS）衛(wèi)健委的網(wǎng)站系統(tǒng)；承載醫(yī)療大數(shù)據(jù)的平臺；承載互聯(lián)網(wǎng)醫(yī)療的平臺工作原則

遵循標(biāo)準(zhǔn)，重點(diǎn)保護(hù)

遵循國家信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范，結(jié)合衛(wèi)生行業(yè)信息系統(tǒng)特點(diǎn)，優(yōu)先保護(hù)重要衛(wèi)生信息系統(tǒng)，優(yōu)先滿足重點(diǎn)信息安全需求

。行業(yè)指導(dǎo)，屬地管理

衛(wèi)生行業(yè)各單位要按照“誰主管、誰負(fù)責(zé)，誰運(yùn)營、誰負(fù)責(zé)”的要求，落實(shí)信息安全責(zé)任。

同步建設(shè)，動態(tài)完善在信息系統(tǒng)規(guī)劃設(shè)計(jì)與建設(shè)過程中，同步開展信息安全等級保護(hù)工作。因信息和信息系統(tǒng)的業(yè)務(wù)類型、應(yīng)用范圍等條件改變導(dǎo)致安全需求發(fā)生變化時，應(yīng)當(dāng)重新調(diào)整信息系統(tǒng)安全保護(hù)等級，及時完善安全保障措施。

工作要求

高度重視，加強(qiáng)領(lǐng)導(dǎo)明確職責(zé)與任務(wù)，突出重點(diǎn)，將信息安全等級保護(hù)工作列入重要議事日程和工作績效考核指標(biāo)，一級抓一級，層層抓落實(shí)

保障經(jīng)費(fèi)，加強(qiáng)監(jiān)管衛(wèi)生行業(yè)各單位要建立經(jīng)費(fèi)投入機(jī)制，將信息安全等級保護(hù)建設(shè)整改、等級測評、信息安全服務(wù)、技術(shù)培訓(xùn)等費(fèi)用納入信息化建設(shè)預(yù)算，并加強(qiáng)對資金使用的監(jiān)管?！缎l(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》衛(wèi)辦發(fā)〔2011〕85號《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護(hù)工作的通知》衛(wèi)辦綜函〔2011〕1126號建立健全工作機(jī)制

各省級衛(wèi)生行政部門要盡快確定信息安全等級保護(hù)工作聯(lián)絡(luò)員，建立健全信息安全技術(shù)專家委員會限時報送備案情況

各省級衛(wèi)生行政部門要于2011年12月30日前將本地區(qū)已定級備案的衛(wèi)生信息系統(tǒng)情況報送我部完成定級備案工作

衛(wèi)生行業(yè)各單位要于2012年5月30日前完成本單位信息系統(tǒng)的定級備案工作開展安全建設(shè)整改工作

衛(wèi)生行業(yè)各單位要根據(jù)信息系統(tǒng)定級備案情況開展等級測評工作，查找安全差距和風(fēng)險隱患，并結(jié)合自身安全需求，制訂安全建設(shè)整改方案。要于2015年12月30日前完成信息安全等級保護(hù)建設(shè)整改工作，并通過等級測評。2018年《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》，要求承載健康大數(shù)據(jù)的平臺（如各級衛(wèi)健委全民健康平臺和大型三甲醫(yī)院集成平臺）必須要通過等保三級；2018年《關(guān)于印發(fā)互聯(lián)網(wǎng)診療管理辦法（試行）等3個文件的通知》，要求所有承載互聯(lián)網(wǎng)醫(yī)療的業(yè)務(wù)系統(tǒng)必須通過等保三級；2018年《電子病歷系統(tǒng)功能應(yīng)用水平分級評價方法及標(biāo)準(zhǔn)（試行）》，4級及以上級別電子病歷系統(tǒng)有額外安全需求，各省落地基本以等保三級建設(shè)為主；云計(jì)算概念云計(jì)算云計(jì)算-讓用戶像使用水和電一樣便捷地使用計(jì)算資源。41云計(jì)算是一種按使用量付費(fèi)的模型，可以隨時隨地、便捷地、按需地從可配置的計(jì)算資源共享池中獲取所需的計(jì)算資源（包括網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用程序及服務(wù)），資源可以快速供給和釋放，只需投入較少的管理工作云計(jì)算定義按需自助服務(wù)提供可計(jì)量服務(wù)快速彈性伸縮資源池化無處不在的網(wǎng)絡(luò)接入云計(jì)算特點(diǎn)公有云私有云共享單車自購車混合云基于服務(wù)商公共資源池的標(biāo)準(zhǔn)服務(wù)自建的專屬資源池什么是云主機(jī)：從用戶角度講：一臺你部署、系統(tǒng)應(yīng)用或文件存儲等功能。放在云上的服務(wù)器，部署企業(yè)應(yīng)用平臺（例如OA、交易平臺、CRM、ERP、開發(fā)測試等）部署企業(yè)門戶網(wǎng)站如何使用：訂購成功后，可以通過VNC，W看不見的服務(wù)器,實(shí)現(xiàn)用戶網(wǎng)站indows遠(yuǎn)程桌面或者SSH直接使用。云主機(jī)電腦主機(jī)（CPU+內(nèi)存）+數(shù)據(jù)盤（G）云計(jì)算的分類IaaS(基礎(chǔ)設(shè)施即服務(wù))-租用計(jì)算、存儲、網(wǎng)絡(luò)、安全等基礎(chǔ)計(jì)算資源PaaS(平臺即服務(wù))-在云上部署用戶創(chuàng)建的應(yīng)用軟件SaaS(軟件即服務(wù))-通過網(wǎng)絡(luò)使用提供商的應(yīng)用軟件數(shù)據(jù)操作系統(tǒng)OS網(wǎng)絡(luò)虛擬化服務(wù)器存儲運(yùn)行時環(huán)境中間件應(yīng)用軟件安全云廠商/云安全廠商解決方案對標(biāo)云等保詳圖管理要求安全建設(shè)安全運(yùn)維云廠商/云安全解決方案全面契合云等保要求云服務(wù)商選擇供應(yīng)鏈管理云計(jì)算環(huán)境管理運(yùn)維地點(diǎn)位于境內(nèi)運(yùn)維數(shù)據(jù)位于境內(nèi)供應(yīng)鏈信息通告供應(yīng)商變更通告SLA協(xié)議保密協(xié)議背景調(diào)查技術(shù)要求安全物理環(huán)境安全計(jì)算環(huán)境物理位置選擇數(shù)據(jù)保密性數(shù)據(jù)備份恢復(fù)數(shù)據(jù)完整性虛機(jī)遷移完整性虛機(jī)遷移加密KMS支持審計(jì)數(shù)據(jù)隔離數(shù)據(jù)存儲副本可用和一致數(shù)據(jù)遷移支持安全管理中心集中管控云安全管理中心網(wǎng)頁防篡改云安全態(tài)勢感知數(shù)據(jù)庫審計(jì)數(shù)據(jù)加密安全通信網(wǎng)絡(luò)安全區(qū)域邊界網(wǎng)絡(luò)拓?fù)淅L制網(wǎng)絡(luò)架構(gòu)訪問控制入侵防范安全審計(jì)集中管控訪問控制入侵防范安全審計(jì)身份鑒別資源控制鏡像和快照保護(hù)個人信息保護(hù)剩余信息保護(hù)網(wǎng)絡(luò)隔離虛擬邊界隔離虛擬入侵防范安全策略編排管理業(yè)務(wù)網(wǎng)分離邊界ACL網(wǎng)絡(luò)ACL虛機(jī)ACL虛機(jī)策略遷移隨動網(wǎng)絡(luò)攻擊檢測異常流量檢測Web內(nèi)容監(jiān)測特權(quán)操作審計(jì)CSP和租戶數(shù)據(jù)獨(dú)自審計(jì)CSP和租戶組件狀態(tài)獨(dú)自監(jiān)測設(shè)備通信驗(yàn)證管理終端雙向身份驗(yàn)證授權(quán)機(jī)制權(quán)限分離云租戶審計(jì)權(quán)限隔離失效告警非授權(quán)操作檢測告警惡意代碼檢測防范（IPS）虛機(jī)故障屏蔽資源統(tǒng)一調(diào)度內(nèi)存獨(dú)占NIC帶寬設(shè)置內(nèi)存隔離完整性校驗(yàn)操作系統(tǒng)鏡像加固非法訪問防止內(nèi)存和存儲完全清除數(shù)據(jù)完全刪除數(shù)據(jù)存于境內(nèi)基礎(chǔ)設(shè)施位于境內(nèi)運(yùn)維審計(jì)可信根驗(yàn)證東西向入侵防御綜合安全審計(jì)W入侵防范安全加固主機(jī)入侵防御web漏洞掃描樣例

原生自帶樣例云安全廠商樣例云租戶負(fù)責(zé)樣例

個性配置數(shù)據(jù)中心等保解決方案-等級保護(hù)安全體系框架網(wǎng)絡(luò)安全總體戰(zhàn)略目標(biāo)技術(shù)支撐體系安全運(yùn)營體系安全通信網(wǎng)絡(luò)安全運(yùn)營和管理中心安全計(jì)算環(huán)境合規(guī)要求、業(yè)務(wù)安全需求總體安全策略安全區(qū)域邊界新技術(shù)安全防護(hù)體系安全管理體系網(wǎng)絡(luò)架構(gòu)通信完整性通信保密性可信驗(yàn)證邊界防護(hù)入侵防范病毒\垃圾郵件防范訪問控制安全審計(jì)身份鑒別安全審計(jì)入侵防范病毒防范訪問控制備份恢復(fù)安全管理制度安全管理機(jī)構(gòu)安全建設(shè)管理安全運(yùn)維管理日常安全運(yùn)營重要時期保障專家分析等保咨詢及培訓(xùn)技術(shù)體系總體策略管理體系總體策略運(yùn)營體系總體策略安全管理人員可信驗(yàn)證數(shù)據(jù)完整性剩余/個人信息保護(hù)可信驗(yàn)證安全基礎(chǔ)設(shè)施安全物理環(huán)境機(jī)房位置防水\防潮溫濕度電力供應(yīng)防靜電\電磁防盜\防火數(shù)據(jù)保密性物理訪問控制統(tǒng)一身份管理統(tǒng)一認(rèn)證管理統(tǒng)一授權(quán)管理統(tǒng)一密鑰管理以“一個中心、三重防護(hù)、三個體系”為核心指導(dǎo)思想，構(gòu)建集識別、防護(hù)、檢測、響應(yīng)于一體的全面的安全保障體系。安全框架云平臺vs云租戶等保設(shè)計(jì)框架機(jī)房設(shè)施硬件安全云計(jì)算平臺云服務(wù)客戶IaaS服務(wù)物理網(wǎng)絡(luò)設(shè)備aSVaNETaSAN操作系統(tǒng)/虛擬機(jī)監(jiān)視器資源抽象控制安全安全計(jì)算環(huán)境云服務(wù)客戶安全管理中心安全管理中心安全區(qū)域邊界系統(tǒng)管理安全物理環(huán)境物理安全設(shè)備安全通信網(wǎng)絡(luò)云計(jì)算平臺邊界防護(hù)云服務(wù)客戶邊界防護(hù)云計(jì)算平臺

安全通信審計(jì)管理安全管理集中管控云計(jì)算平臺安全管理中心系統(tǒng)管理審計(jì)管理安全管理集中管控安全技術(shù)安全管理云服務(wù)客戶管理制度安全管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理云計(jì)算平臺管理制度安全管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理網(wǎng)絡(luò)和主機(jī)安全數(shù)據(jù)安全應(yīng)用安全云服務(wù)客戶1軟件平臺安全網(wǎng)絡(luò)和主機(jī)安全數(shù)據(jù)安全應(yīng)用安全云服務(wù)客戶2軟件平臺安全網(wǎng)絡(luò)和主機(jī)安全數(shù)據(jù)安全應(yīng)用安全云服務(wù)客戶N軟件平臺安全應(yīng)用安全HCIaCMP云服務(wù)客戶

安全通信安全服務(wù)體系安全服務(wù)體系產(chǎn)品服務(wù)內(nèi)容產(chǎn)品資源支撐云安全服務(wù)等保服務(wù)安全運(yùn)營下一代防火墻云主機(jī)安全云堡壘機(jī)漏洞掃描數(shù)據(jù)庫審計(jì)日志審計(jì)WEB應(yīng)用防火墻網(wǎng)頁防篡改安全管理中心SSLVPN等保咨詢等保建設(shè)等保整改等保測評安全咨詢服務(wù)持續(xù)威脅管理服務(wù)脆弱性閉環(huán)管理服務(wù)熱點(diǎn)事件應(yīng)急服務(wù)重保支撐服務(wù)本地建設(shè)+云安全服務(wù)工具+服務(wù)形成擴(kuò)展檢測和響應(yīng)安全運(yùn)營服務(wù)云等保三級節(jié)點(diǎn)等保合規(guī)套餐包+云等保服務(wù)標(biāo)準(zhǔn)化云安全產(chǎn)品本地資源節(jié)點(diǎn)指定測評機(jī)構(gòu)合作伙伴國內(nèi)主流安全廠商生態(tài)圈安全運(yùn)維服務(wù)合規(guī)本地安全建設(shè)/整改本地安全建設(shè)/整改+等保服務(wù)安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心安全管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理技術(shù)要求管理要求堅(jiān)持“安全即服務(wù)”理念，推動網(wǎng)絡(luò)安全能力內(nèi)化與運(yùn)營一體化，將安全能力轉(zhuǎn)換為產(chǎn)品和服務(wù)對外輸出，形成完整運(yùn)營體系。服務(wù)體系安全規(guī)劃一個中心，三重防護(hù)即“一個安全管理中心，通信網(wǎng)絡(luò)、區(qū)域邊界和計(jì)算環(huán)境安全防護(hù)”的保障理念，根據(jù)等級保護(hù)要求夯實(shí)“公有云”安全防護(hù)底座。全方位安全服務(wù)通過構(gòu)建安全管理體系、安全服務(wù)體系、安全技術(shù)體系，為“公有云”平臺安全服務(wù)、云上安全服務(wù)、云安全全網(wǎng)聯(lián)動服務(wù)。保障應(yīng)用和數(shù)據(jù)安全、設(shè)備和計(jì)算安全、網(wǎng)絡(luò)和通信安全、云業(yè)務(wù)安全，是安全持續(xù)優(yōu)化發(fā)展，真正地做到事前檢查、事中防護(hù)、事后響應(yīng)。數(shù)據(jù)全生命周期安全治理根據(jù)客戶實(shí)際需求，按需建設(shè)覆蓋數(shù)據(jù)全生命周期的安全防護(hù)與監(jiān)測預(yù)警手段，實(shí)現(xiàn)集中化安全運(yùn)營管理，確保數(shù)據(jù)安全合規(guī)與風(fēng)險可管可控。建設(shè)標(biāo)準(zhǔn)國家網(wǎng)絡(luò)安全法律法規(guī)政策國家網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)安全服務(wù)體系安全咨詢安全加固策略管理安全演練安全事件分析與處置安全管理體系安全管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理資產(chǎn)梳理威脅感知分析定位輔助決策應(yīng)急響應(yīng)系統(tǒng)聯(lián)動重保與應(yīng)急響應(yīng)安全運(yùn)營體系物理環(huán)境

物理位置環(huán)境物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮防靜電溫濕度控制電力供應(yīng)業(yè)務(wù)與管理分離大數(shù)據(jù)平臺接入互聯(lián)網(wǎng)邊界防護(hù)網(wǎng)絡(luò)隔離云行為審計(jì)云威脅檢測自定義策略運(yùn)維權(quán)限控制身份認(rèn)證數(shù)據(jù)清理流程數(shù)據(jù)隔離業(yè)務(wù)數(shù)據(jù)加密邊界安全網(wǎng)絡(luò)安全主機(jī)安全存儲安全安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)區(qū)域劃分通信傳輸保密通信傳輸完整可信驗(yàn)證安全區(qū)域邊界邊界防護(hù)邊界訪問控制邊界入侵防范邊界安全審計(jì)惡意代碼防范可信驗(yàn)證安全計(jì)算環(huán)境用戶身份鑒別訪問控制安全審計(jì)惡意代碼防護(hù)入侵防范數(shù)據(jù)完整性保護(hù)

數(shù)據(jù)保密性數(shù)據(jù)備份與恢復(fù)可信驗(yàn)證安全管理中心系統(tǒng)管理安全管理審計(jì)管理集中管控安全展示公有云底座公有云平臺安全技術(shù)體系依據(jù)《國家網(wǎng)絡(luò)信息安全等級保護(hù)制度》和《國家信息安全管理運(yùn)營體系》的要求，構(gòu)建網(wǎng)絡(luò)安全保障體系，利用“一個中心，三重防護(hù)”即“一個安全管理中心，通信網(wǎng)絡(luò)、區(qū)域邊界和計(jì)算環(huán)境安全防護(hù)”的保障理念要求加固安全防護(hù)能力。安全規(guī)劃定級備案安全方案設(shè)計(jì)產(chǎn)品采購和使用自行軟件開發(fā)外包軟件開發(fā)工程實(shí)施測試驗(yàn)收系統(tǒng)交付等級測評服務(wù)商選擇安全建設(shè)措施日常安全運(yùn)營重大事件保障互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)基礎(chǔ)安全評估風(fēng)險管控代碼安全檢測網(wǎng)站云監(jiān)測安全預(yù)警通告全流量訂閱分析Web失陷檢測應(yīng)急響應(yīng)滲透測試等保咨詢及培訓(xùn)服務(wù)SOC基礎(chǔ)運(yùn)營駐場運(yùn)維監(jiān)控分析安全運(yùn)維安全威脅情報重要時期安全保障互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)重保工作部署現(xiàn)場安全檢查事件分析研判應(yīng)急處置現(xiàn)場安全值守滲透測試應(yīng)急演練SOC運(yùn)營分析安全巡檢安全運(yùn)營服務(wù)安全監(jiān)測安全防護(hù)安全檢測安全響應(yīng)網(wǎng)站安全監(jiān)測掛馬；篡改；黑鏈；敏感內(nèi)容；平穩(wěn)度/DNS資產(chǎn)監(jiān)測資產(chǎn)掃描；資產(chǎn)核查漏洞管理漏洞掃描；漏洞驗(yàn)證全面防護(hù)入侵防護(hù)；內(nèi)容防護(hù)；web威脅防護(hù)流量清洗流量清洗；安全審計(jì)行為審計(jì)；日志審計(jì)威脅情報情報信息態(tài)勢感知入侵態(tài)勢；異常流量態(tài)勢；惡意攻擊態(tài)勢；木馬病毒態(tài)勢；未知威脅態(tài)勢威脅檢測日志威脅分析；失陷主機(jī)確認(rèn)應(yīng)急響應(yīng)快速應(yīng)急處置；攻擊溯源專業(yè)服務(wù)滲透測試；紅藍(lán)對抗演練；安全培訓(xùn)；重保服務(wù)既可以為政府監(jiān)管單位提供不同級別的安全監(jiān)測/檢測服務(wù)包，也可以為各政企事業(yè)單位提供不同種類級別的監(jiān)測/防護(hù)/檢測/響應(yīng)安全服務(wù)包，用戶可按需購買。安全運(yùn)營服務(wù)序號服務(wù)名稱服務(wù)內(nèi)容服務(wù)輸出物服務(wù)頻次1等保測評（三級）（1）協(xié)助定級備案：協(xié)助更換新的備案證明；

（2）差距測評：根據(jù)系統(tǒng)特點(diǎn)，利用基線檢查、漏洞掃描、滲透測試、客戶訪談、資料查詢等手段，給出整改建議；

（3）驗(yàn)收測評：經(jīng)過持續(xù)整改，滿足等保對應(yīng)級別要求后，編制完善的網(wǎng)絡(luò)安全等級保護(hù)測評報告；

（4）對接網(wǎng)安：配合和執(zhí)行公安局網(wǎng)安中心的各項(xiàng)工作指導(dǎo)；《信息系統(tǒng)調(diào)研表》、《等保測評方案》、《問題匯總及安全整改建議單》、《安全管理制度集》、《網(wǎng)絡(luò)安全等級保護(hù)測評報告》、協(xié)助獲取備案證書等每年一次2安全風(fēng)險評估采用專業(yè)安全掃描工具與人工檢查相結(jié)合的方式，對核心網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用服務(wù)中存在的安全漏洞，提供漏洞評估報告和修復(fù)建議輸出《XXX信息系統(tǒng)風(fēng)險評估報告》每月一次3滲透測試服務(wù)利用人工方式通過各種主流攻擊技術(shù)對客戶授權(quán)指定的應(yīng)用系統(tǒng)進(jìn)行測試，提供滲透測試報告和改進(jìn)建議輸出《XXX信息系統(tǒng)滲透測試報告》每月一次4安全加固支撐針對安全漏洞和安全配置評估中發(fā)現(xiàn)的安全漏洞和配置缺陷，提供加固意見和方案，協(xié)助客戶完成安全漏洞和配置修復(fù)

每月一次5重要時期安全服務(wù)重大節(jié)假日和重大活動前加強(qiáng)進(jìn)行應(yīng)用系統(tǒng)評估與巡檢服務(wù)輸出《XXX信息系統(tǒng)節(jié)假日評估報告》按需6應(yīng)急響應(yīng)遠(yuǎn)程或現(xiàn)場方式及時響應(yīng)和處理信息安全事件，協(xié)助客戶降低影響，分析問題產(chǎn)生的原因，提供應(yīng)急響應(yīng)報告和改進(jìn)建議。輸出《XXX信息系統(tǒng)應(yīng)急事件分析報告》按需7安全演練根據(jù)實(shí)際環(huán)境，提供專項(xiàng)應(yīng)急演練方案，準(zhǔn)備演練場景，以模擬演練的方式檢驗(yàn)應(yīng)急預(yù)案和應(yīng)急流程是否完善，提高應(yīng)急處理能力輸出《XXX信息系統(tǒng)應(yīng)急演練方案》《XXX信息系統(tǒng)應(yīng)急演練總結(jié)報告》按需8安全培訓(xùn)常見安全技術(shù)培訓(xùn)，包括對各類主流操作系統(tǒng)，網(wǎng)絡(luò)、終端及機(jī)房管理等安全專業(yè)知識和安全意識培訓(xùn)輸出《XXX單位網(wǎng)絡(luò)信息安全培訓(xùn)材料》按需9網(wǎng)站實(shí)時監(jiān)測服務(wù)通過專業(yè)的網(wǎng)站安全監(jiān)控平臺，對應(yīng)用網(wǎng)站脆弱性進(jìn)行實(shí)時監(jiān)控輸出《XXX信息系統(tǒng)網(wǎng)站監(jiān)測分析報告》每月一次10網(wǎng)站安全防護(hù)（云WAF）網(wǎng)站安全防護(hù)系統(tǒng)（云WAF）采用云化形式，即可實(shí)現(xiàn)專家級貼心防護(hù)，可視化展示，數(shù)據(jù)化報表能力。該防護(hù)系統(tǒng)能夠識別并攔截SQL注入、命令/代碼注入、Webshell木馬上傳等常見Web攻擊，能夠過濾惡意CC請求，防止惡意爬蟲掃描，為Web業(yè)務(wù)的穩(wěn)定運(yùn)行提供安全服務(wù)保障輸出《XXX信息系統(tǒng)安全防護(hù)報告》每月一次安全技術(shù)安全運(yùn)營安全管理安全建設(shè)管理安全運(yùn)行管理安全合規(guī)管理安全意識教育監(jiān)督考核管理安全管理機(jī)構(gòu)業(yè)務(wù)連續(xù)性管理安全管理制度安全管理人員日常安全運(yùn)營重保時期風(fēng)險管控安全預(yù)警通告互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)web失陷檢測互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)安全威脅情報事件分析研判現(xiàn)場安全值守應(yīng)急演練網(wǎng)站云監(jiān)測滲透測試應(yīng)急處置現(xiàn)場安全檢查安全管理中心安全基礎(chǔ)設(shè)施統(tǒng)一身份管理基礎(chǔ)信任能力網(wǎng)絡(luò)邊界訪問控制入侵防護(hù)防惡意代碼防垃圾郵件網(wǎng)絡(luò)準(zhǔn)入非法外聯(lián)檢測APT檢測抗DDoS安全審計(jì)無線邊界保護(hù)遠(yuǎn)程接入安全統(tǒng)一認(rèn)證管理統(tǒng)一授權(quán)管理統(tǒng)一密鑰管理安全計(jì)算環(huán)境設(shè)備身份鑒別安全配置核查服務(wù)器加固設(shè)備準(zhǔn)入上網(wǎng)行為審計(jì)主機(jī)審計(jì)設(shè)備安全應(yīng)用業(yè)務(wù)安全防病毒安全評估移動終端管理漏洞檢測訪問控制運(yùn)維安全管理應(yīng)用身份鑒別應(yīng)用訪問控制代碼安全應(yīng)用漏洞檢測應(yīng)用業(yè)務(wù)審計(jì)應(yīng)用防篡改數(shù)據(jù)安全數(shù)據(jù)安全防護(hù)數(shù)據(jù)庫防火墻數(shù)據(jù)庫審計(jì)數(shù)據(jù)備份與恢復(fù)個人信息保護(hù)數(shù)據(jù)加密安全通信網(wǎng)絡(luò)通信網(wǎng)絡(luò)網(wǎng)絡(luò)隔離網(wǎng)絡(luò)訪問控制流量管理通信校驗(yàn)鏈路加密網(wǎng)絡(luò)擴(kuò)展安全運(yùn)營平臺全流量訂閱分析安全運(yùn)維態(tài)勢感知風(fēng)險管理威脅分析響應(yīng)處置知識管理威脅情報監(jiān)控分析安全區(qū)域邊界物理訪問控制防盜竊和防破壞防火溫濕度控制物理位置防水和防潮防雷擊防靜電安全物理環(huán)境新技術(shù)安全防護(hù)體系基礎(chǔ)安全評估滲透測試代碼安全檢測SOC運(yùn)營分析應(yīng)急響應(yīng)駐場運(yùn)維安全巡檢SOC基礎(chǔ)運(yùn)營安全控制措施全景圖安全技術(shù)體系

安全計(jì)算環(huán)境用戶終端安全區(qū)域邊界應(yīng)用與數(shù)據(jù)計(jì)算節(jié)點(diǎn)計(jì)算節(jié)點(diǎn)安全網(wǎng)絡(luò)通信安全管理中心系統(tǒng)管理安全管理審計(jì)管理構(gòu)建安全管理中心支持下的三重防護(hù)框架參考模型安全通信網(wǎng)絡(luò)數(shù)據(jù)中心用戶接入網(wǎng)用戶匯聚節(jié)點(diǎn)數(shù)據(jù)匯聚節(jié)點(diǎn)用戶接入網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)運(yùn)維網(wǎng)絡(luò)IPsec/SSLVPN網(wǎng)絡(luò)準(zhǔn)入堡壘主機(jī)網(wǎng)絡(luò)安全審計(jì)IPsec/SSLVPN1、安全審計(jì)2、傳輸加密3、網(wǎng)絡(luò)健壯IPsec/SSLVPN網(wǎng)絡(luò)安全審計(jì)安全防護(hù)控制點(diǎn)關(guān)鍵控制點(diǎn)可選控制點(diǎn)安全防護(hù)基本要求安全隔離網(wǎng)閘日志審計(jì)應(yīng)用網(wǎng)絡(luò)系統(tǒng)設(shè)備數(shù)據(jù)檢測響應(yīng)網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)準(zhǔn)入控制傳輸加密數(shù)據(jù)泄露檢測應(yīng)用安全防護(hù)網(wǎng)絡(luò)入侵防御數(shù)據(jù)脫敏網(wǎng)頁防篡改數(shù)據(jù)庫防護(hù)可信計(jì)算服務(wù)資產(chǎn)發(fā)現(xiàn)威脅情報網(wǎng)絡(luò)威脅檢測源代碼審計(jì)補(bǔ)丁管理安全加固識別容災(zāi)備份惡意代碼