基于网络安全法的等级保护规划

基于网络安全法的等级保护规划

摘要：从1994年2月18日国务院147号令发布，规定计算信息系统实行安全等级保护，到2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，并于2017年6月1日起正式实施，网络安全等级保护制度已然上升为法律要求。如何落实网络安全等级保护制度，确保信息系统满足《中华人民共和国网络安全法》中的相关要求，成为广大网络运营者急需了解和掌握的内容。文章从定级备案、整改建设和等级测评3个层面，结合网络安全法相关要求进行了解读说明。

关键词：等级保护；网络安全法；信息安全

目录

1. 定级备案 (3)

2. 建设整改 (4)

3. 等级测评 (7)

4. 结语 (8)

2017年6月1日《中华人民共和国网络安全法》（以下简称“网络安全法”）正式实施。第二十一条提出“国家实行网络安全等级保护制度”，第三十一条提出“关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。至此，网络安全等级保护制度上升为法律要求，网络运营者必须按照网络安全等级保护制度，采取相应的管理措施和技术防范措施，履行相应的网络安全保护义务。本文从网络安全等级保护定级备案、建设整改和等级测评3个方面，结合网络安全法相关内容阐述作为网络运营者需要履行的安全保护义务及工作

要求。

1.定级备案

系统定级作为网络安全等级保护工作的第一步，定级结果直接影响到后续工作的顺利开展。作为网络运营者应当依据《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240—2008）（以下简称《定级指南》）分析业务信息和系统服务遭到破坏后，所

侵害的客体，以及对相应客体的侵害程度，确定信息系统安全保护级别，并及时到当地市级以上公安机关办理备案手续。另外，针对关键信息基础设施，从网络安全法第三十一条可以看出，关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露，可能会严重危害国家安全、国计民生、公共利益。根据《定级指南》，可能严重危害到国家安全、国计民生、公共利益的信息系统，安全保护等级至少在3级及以上。所以，作为关键信息基础设施，其安全保护

等级不得低于3级。

网络运营者一定要仔细分析信息系统业务信息和系统服务遭到破坏后，所侵害的客体以及对相应客体的侵害程度，准确定级[1]。网络运营者在初步确定网络安全保护等级后，应

当及时组织相关专家对定级结果的合理性进行评审，避免出现所定级别过低或过高的现象，并及时向主管部门报批系统定级结果。

2.建设整改

在确定网络安全保护等级后，网络运营者在开展建设整改工作时，首先应当确保已完全履行了网络安全法第二十一条所规定的全部安全保护义务。网络安全法第二十一条具体内容如下。

第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务：保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于6个月。

（四）采取数据分类、重要数据备份和加密等措施。

（五）法律、行政法规规定的其他义务。

第一条是安全管理方面的要求，虽说安全技术是信息安全控制的重要手段，许多信息系统的安全性保障都要依靠技术手段来实现，但光有安全技术还不行，要让安全技术发挥应有的作用，必然要有适当的管理程序。否则，安全技术只能趋于僵化和失败[2]。所以强调网络运营者必须要有针对性地建立自己的网络安全管理体系，且至少包含管理制度和操作规范两个层面。管理制度是网络运营者制定的有关管理组织架构、人员配备、行为规范和管理责任等方面的规则。操作规程是网络运维者制定的相关人员在进行日常操作时应当遵守的程序和步骤。除此以外还需确定网络安全负责人，落实网络运营者第一责任人的责任。

第二条是安全技术防范方面的要求，强调网络运营者须采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。防范计算机病毒方面比较常见的技术措施有防病毒软件和防毒墙，防病毒软件主要防范服务器操作系统层面的恶意病毒，防毒墙一般以硬件形式部署网络边界处，对来自外部网络的恶意代码在网络层进行检测阻拦，将恶意代码或病毒程序阻挡在网络边界外。网络攻击防范技术措施，较为常见的有防火墙设备，用于实现网络或安全域边界的隔离保护；另外除普通防火墙外，还有Web应用防火墙，用于实现对来

自应用层的攻击行为进行防范保护。网络侵入防范技术常见的有入侵检测（IDS）、入侵防

御（IPS）等设备，IDS设备主要用于对入侵行为的检测报警不具备阻拦功能，IPS可对入侵

行为进行阻拦，但对业务系统可用性要求较高的单位，一般都选用IDS，因为IPS有可能会发生误报对业务系统正常运行造成影响。作为网络运营者应结合此项要求，至少配备防范计算机病毒和网络攻击、网络侵入等方面中的一项或多项技术措施。

第三条是安全监测和审计方面的要求，强调网络运营者必须具备监测、记录网络运行状态、网络安全事件的技术措施。这块比较常见的措施有网络审计系统、主机审计系统、数据库审计系统和运维审计系统分别对信息系统各个层面进行监测记录，另外近几年逐渐出现大数据日志分析平台，主要将信息系统中各个层面的日志信息进行统一汇总分析。对于日志

留存方面，还提出按照规定留存相关的网络日志不少于6个月，即相关的网络日志存储周期

要大于6个月。作为网络运营者至少应当具备监测并记录网络运行状态和安全事件的技术措施，另外还要具备相关日志的备份措施，保障相关日志存储周期大于6个月。

第四条是数据保护方面的要求，网络运营者须根据数据的重要性对数据进行分类实施保护，重要数据须具备备份措施和数据加密措施。重要数据的备份要支持在发生安全事件后数据的有效恢复，另外对于重要数据的加密要从数据传输和存储两个方面去考虑实施。

第五条是法律、行政法规规定的其他义务。除网络安全法规定范围内的其他义务，如行

业主管部门对行业内的网络安全要求、地方政府部门对网络安全的相关要求等。

除网络安全法第二十一条规定的内容外，网络运营者还应当按照网络安全法第二十五条规定的要求，建立网络安全事件应急预案，应急预案至少应当覆盖能够及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全事件。另外，网络运营者应定期组织应急演练，确保应急预案制度的有效执行。

第二十五条网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

作为关键信息基础设施的网络运营者除履行好网络安全法第二十一条和第二十五条规定的义务外，还应当履行网络安全法第三十四条规定网络运营者须履行的安全保护义务。

第三十四条除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列

安全保护义务。

（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查。

（二）定期对从业人员进行网络安全教育、技术培训和技能考核。

（三）对重要系统和数据库进行容灾备份。

（四）制定网络安全事件应急预案，并定期进行演练。

（五）法律、行政法规规定的其他义务。

（1）网络运营者需设立专门的网络安全管理部门以及安全管理负责人，来负责制定本

单位网络安全保护策略，并落实执行各项网络安全工作；另外对安全管理负责人和关键岗

位人员进行背景审查，以确定其从事安全管理负责人和关键岗位的可靠性。（2）网络运营

者须定期对从业人员进行相关培训和考核，以提高从业人员的网络安全意识和网络安全技能，

从而更好地保障网络系统的安全稳定运行。（3）网络运营者须提供对重要系统和数据库系

统的容灾备份措施，确保在发生安全事件时，备份系统能够替代主系统正常运行。（4）网

络运营者须针对系统内可能发生的安全事件建立应急预案，并定期组织演练工作，以提高应急人员处理应急事件的能力，确保在发生安全事件时能够快速有效地处理[3]。（5）除以上规定义务外，法律、行政法规规定的其他义务，如行业网络安全方面的相关技术要求等。

一般信息系统网络运营者在满足网络安全第二十一条和第二十五条要求的基础上，关键信息基础设施网络运营者在满足网络安全法第二十一条、第二十五条和第三十四条规定的基础上分别按照各自所定的安全保护级别，参照《信息安全技术信息系统安全等级保护基本

要求》（GB/T22239—2008）和《信息安全技术信息系统等级保护安全设计技术要求》（GB/T 25070—2010）等标准，再进一步开展建设整改工作。

3.等级测评

信息系统在完成建设整改上线运行后，为保障信息系统长期的安全稳定运行，网络运营者必须要不断地对信息系统开展检测、整改工作。网络安全法第三十八条中提出“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险，每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门”。另外，在《信息安全等级保护管理办法》公通字〔2007〕43号第

十四条中同样也提出“信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评”。

由于关键信息基础设施的安全保护等级均在3级及以上，所以网络运营者针对关键信息

基础设施，应当每年均委托具备公安部门认可的测评机构，开展等级测评工作[4]，并将测

评结果和整改措施报送给负责关键信息基础设施安全保护工作的部门。

4.结语

网络安全法正式实施，等级保护上升为法律要求。网络运营者若拒不履行或履行不当，可能会导致单位和个人承担相应的法律责任。为避免产生相应的法律后果，保障信息系统的安全稳定运行，网络运营者应当积极开展落实网络安全等级保护工作。为适应当前安全形势，迎合信息技术的快速发展，目前部分网络安全等级保护相关标准制度，国家相关部门正在进一步改编修订中，网络运营者应当积极主动关注网络安全等级保护制度最新变化，及时根据相关要求调整安全策略，确保信息系统的各项安全保障措施满足最新安全形势需要。

[参考文献]

[1]朱继锋，赵英杰，杨贺，等.等级保护思想的演化[J].信息安全与通信保密，2011（4）：31-33.

[2]宁家骏.依法强化关键信息基础设施安全保护[J].中国信息安全，2016（11）：11-14.

[3]顾伟.关键信息基础设施保护制度的国际接轨与中国特色—《网络安全法》亮点解读[J].信息安全与通信保密，2016（11）：8-10.

[4]王春晖《. 网络安全法》严惩通讯信息诈骗等网络违法犯罪之我见[J].通信世界，2016（30）：23-26.

深信服等级保护(三级)建设方案

朔州市交警队 等级保护（三级）建设方案 深信服科技（深圳）有限公司 2017年8月

目录 1项目概述 (1) 2等级保护建设流程 (2) 3方案参照标准 (4) 4信息系统定级备案 (5) 4.1信息系统定级 (5) 4.2信息系统备案 (7) 5系统安全需求分析 (8) 6安全风险与差距分析 (12) 6.1物理安全风险与差距分析 (12) 6.2计算环境安全风险与差距分析 (12) 6.3区域边界安全风险与差距分析 (14) 6.4通信网络安全风险与差距分析 (15) 7技术体系方案设计 (17) 7.1方案设计目标 (17) 7.2方案设计框架 (17) 7.3安全域的划分 (18) 7.3.1安全域划分的依据 (18) 7.3.2安全域划分与说明 (19)

7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (21) 7.4.3区域边界安全设计 (28) 7.4.4通信网络安全设计 (30) 7.4.5安全管理中心设计 (33) 8安全管理体系设计 (37) 9系统集成设计 (39) 9.1软硬件产品部署图 (39) 9.2安全产品部署说明 (42) 9.3产品选型 (45) 9.2.1选型建议 (45) 9.2.2选型要求 (45)

1项目概述 随着信息化的发展，朔州市交警队的业务开展也越来越依托于网络平台，但纵观当前的安全形势，各种安全事件层出不穷，而朔州市交警队目前的网络中，安全设备较少，以前买的安全设备由于网络带宽升级，使用耗损等，其性能也渐渐不能满足朔州市交警队目前的网络安全需求，严重制约了朔州市交警队的信息化脚步。因此朔州市交警队希望加快信息化建设，以实现电子办公，执法信息网络公开化等。 通过对朔州市交警队信息化现状调研、分析，结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求，逐步完善信息安全组织、落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使得单位信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展。

信息系统安全等级保护定级地报告材料-中国网络安全等级保护网

信息系统安全等级保护定级报告 （起草参考实例） 一、X省邮政金融网中间业务系统描述 （一）该中间业务于*年*月*日由*省邮政局科技立项，省邮政信息技术局自主研发。目前该系统由技术局运行维护部负责运行维护。省邮政局是该信息系统业务的主管部门，省邮政局委托技术局为该信息系统定级的责任单位。 （二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部分，（图略），第一部分为省数据中心，第二部分为市局局域网。 在省数据中心的核心设备部署了华为的S**三层交换机，…… 在省数据中心的网络中配置了两台与外部网络互联的边界设备：天融信 NGFW 4**防火墙和Cisco 2**路由器…… 省数据中心网络中剩下的一部分就是与下面各个地市的互联。其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略，只能现场配置，不可远程拨号登录。 整个信息系统的网络系统边界设备可定为NGFW 4** 与Cisco 2**。Cisco 2** 外联的其它系统都划分为外部网络部分，

而NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络，与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。在此次定级过程中，将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑，统一进行定级、备案。各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。 （三）该信息系统业务主要包含：中国移动代收费、中国联通代收费、代理国债、批量工资代发、批量水电气等费用代扣、代收烟草款等业务，并新增加了代收国税、地税，代办保险等业务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中：通过网络与第三方机构的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。 业务处理系统以省集中结构模式，负责各类中间业务的业务处理，包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。二、X省邮政金融网中间业务系统安全保护等级的确定（一）业务信息安全保护等级的确定 1、业务信息描述 金融网中间业务信息包括：代收费情况信息，缴费公民、法人和其他组织的的个人（单位）信息，欠费情况，以及代收费的银行、电信、燃气、税务、保险等部门的信息等。属于公民、法人和其他组织的专有信息。

信息安全等级保护建设方案

信息安全等级保护（二级）建设方案 2016年3月 目录 1. 项目概述 (3) 1.1. 项目建设目标 (3) 1.2. 项目参考标准 (4) 1.3. 方案设计原则 (5)

2. 系统现状分析 (6) 2.1. 系统定级情况说明 (6) 2.2. 业务系统说明 (6) 2.3. 网络结构说明 (7) 3. 安全需求分析 (8) 3.1. 物理安全需求分析 (8) 3.2. 网络安全需求分析 (8) 3.3. 主机安全需求分析 (8) 3.4. 应用安全需求分析 (8) 3.5. 数据安全需求分析 (9) 3.6. 安全管理制度需求分析 (9) 4. 总体方案设计 (9) 4.1. 总体设计目标 (9) 4.2. 总体安全体系设计 (9) 4.3. 总体网络架构设计 (12) 4.4. 安全域划分说明 (12) 5. 详细方案设计技术部分 (13) 5.1. 物理安全 (13) 5.2. 网络安全 (13) 5.2.1. 安全域边界隔离技术 (13) 5.2.2. 入侵防范技术 (13) 5.2.3. 网页防篡改技术 (13) 5.2.4. 链路负载均衡技术 (13) 5.2.5. 网络安全审计 (14) 5.3. 主机安全 (14) 5.3.1. 数据库安全审计 (14) 5.3.2. 运维堡垒主机 (14) 5.3.3. 主机防病毒技术 (15) 5.4. 应用安全 (15) 6. 详细方案设计管理部分 (16) 6.1. 总体安全方针与安全策略 (16) 6.2. 信息安全管理制度 (17) 6.3. 安全管理机构 (17) 6.4. 人员安全管理 (17) 6.5. 系统建设管理 (18) 6.6. 系统运维管理 (18) 6.7. 安全管理制度汇总 (20) 7. 咨询服务和系统测评 (21) 7.1. 系统定级服务 (21) 7.2. 风险评估和安全加固服务 (21) 7.2.1. 漏洞扫描 (21) 7.2.2. 渗透测试 (21) 7.2.3. 配置核查 (21) 7.2.4. 安全加固 (21) 7.2.5. 安全管理制度编写 (23)

三级等保安全建设方案

目录 三级等保安全设计思路 (2) 1、保护对象框架 (2) 2、整体保障框架 (2) 3 、安全措施框架 (3) 4、安全区域划分 (4) 5、安全措施选择 (5) 6、需求分析 (6) 6.1、系统现状 (6) 6.2、现有措施 (6) 6.3 具体需求 (6) 6.3.1 等级保护技术需求 (6) 6.3.2 等级保护管理需求 (7) 7、安全策略 (7) 7.1 总体安全策略 (7) 7.2 具体安全策略 (8) 8、安全解决方案 (8) 8.1 安全技术体系 (8) 8.1.1 安全防护系统 (8) 8.2 安全管理体系 (8) 9、安全服务 (8) 9.1 风险评估服务 (9) 9.2 管理监控服务 (9) 9.3 管理咨询服务 (9) 9.4 安全培训服务 (9) 9.5 安全集成服务 (9) 10、方案总结 (10) 11、产品选型 (11)

三级等保安全设计思路 1、保护对象框架 保护对象是对信息系统从安全角度抽象后的描述方法，是信息系统内具有相似安全保护需求的一组信息资产的组合。 依据信息系统的功能特性、安全价值以及面临威胁的相似性，信息系统保护对象可分为计算区域、区域边界、网络基础设施、安全措施四类。具体内容略。 建立了各层的保护对象之后，应按照保护对象所属信息系统或子系统的安全等级，对每一个保护对象明确保护要求、部署适用的保护措施。 保护对象框架的示意图如下： 图1. 保护对象框架的示意图 2、整体保障框架 就安全保障技术而言，在体系框架层次进行有效的组织，理清保护范围、保护等级和安全措施的关系，建立合理的整体框架结构，是对制定具体等级保护方案的重要指导。 根据中办发[2003]27号文件，“坚持积极防御、综合防范的方针，全面提高提高信息安全防护能力”是国家信息保障工作的总体要求之一。“积极防御、综合防范” 是指导等级保护整体保障的战略方针。 信息安全保障涉及技术和管理两个相互紧密关联的要素。信息安全不仅仅取决于信息安全技术，技术只是一个基础，安全管理是使安全技术有效发挥作用，从而达到安全保障目标的重要保证。 安全保障不是单个环节、单一层面上问题的解决，必须是全方位地、多层次地从技术、管理等方面进行全面的安全设计和建设，积极防御、综合防范”战略要求信息系统整体保障综合采用覆盖安全保障各个环节的防护、检测、响应和恢复等多种安全措施和手段，对系统进行动态的、综合的保护，在攻击者成功

基于网络安全法的等级保护规划

基于网络安全法的等级保护规划 摘要：从1994年2月18日国务院147号令发布，规定计算信息系统实行安全等级保护，到2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，并于2017年6月1日起正式实施，网络安全等级保护制度已然上升为法律要求。如何落实网络安全等级保护制度，确保信息系统满足《中华人民共和国网络安全法》中的相关要求，成为广大网络运营者急需了解和掌握的内容。文章从定级备案、整改建设和等级测评3个层面，结合网络安全法相关要求进行了解读说明。 关键词：等级保护；网络安全法；信息安全

目录 1. 定级备案 (3) 2. 建设整改 (4) 3. 等级测评 (7) 4. 结语 (8)

2017年6月1日《中华人民共和国网络安全法》（以下简称“网络安全法”）正式实施。第二十一条提出“国家实行网络安全等级保护制度”，第三十一条提出“关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。至此，网络安全等级保护制度上升为法律要求，网络运营者必须按照网络安全等级保护制度，采取相应的管理措施和技术防范措施，履行相应的网络安全保护义务。本文从网络安全等级保护定级备案、建设整改和等级测评3个方面，结合网络安全法相关内容阐述作为网络运营者需要履行的安全保护义务及工作 要求。 1.定级备案 系统定级作为网络安全等级保护工作的第一步，定级结果直接影响到后续工作的顺利开展。作为网络运营者应当依据《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240—2008）（以下简称《定级指南》）分析业务信息和系统服务遭到破坏后，所 侵害的客体，以及对相应客体的侵害程度，确定信息系统安全保护级别，并及时到当地市级以上公安机关办理备案手续。另外，针对关键信息基础设施，从网络安全法第三十一条可以看出，关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露，可能会严重危害国家安全、国计民生、公共利益。根据《定级指南》，可能严重危害到国家安全、国计民生、公共利益的信息系统，安全保护等级至少在3级及以上。所以，作为关键信息基础设施，其安全保护 等级不得低于3级。 网络运营者一定要仔细分析信息系统业务信息和系统服务遭到破坏后，所侵害的客体以及对相应客体的侵害程度，准确定级[1]。网络运营者在初步确定网络安全保护等级后，应 当及时组织相关专家对定级结果的合理性进行评审，避免出现所定级别过低或过高的现象，并及时向主管部门报批系统定级结果。

信息系统安全等级保护定级报告示例

信息系统安全等级保护定级报告 一、XX平台系统描述 （一）2014年8月，XX正式上线，XX隶属于北京XX科技有限公司，该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台，将出借人和借款人衔接，为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构，也是为该信息系统定级的责任单位。 （二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。 该系统相关的用户数据中心网络，资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中，将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑，统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。 （三）该系统业务主要包含：用户身份安全信息、业务平台数据、购买服务等业务，并新增加了法务审核，风险控制等等业

务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中：通过网络与第三方支付平台的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。 业务处理系统以内部财务结算模式，负责各类买入转让还款的业务处理，包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下： 二、XX平台系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》） （一）业务信息安全保护等级的确定 1、业务信息描述 北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业，XX为旗下借贷平台主要是通过线上平台，将出借人和借款人衔接，为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务，解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面表现为：一旦信息系统的业务信息遭到入侵、

测评机构评价申报表-中国网络安全等级保护网

CSPEC-PGWJ01 信息安全等级测评机构 能力评估申报表 申报单位名称： 申报日期：年月日

填表说明 1.《申报表》必须如实填写,不虚报、错报、漏报。 2.《申报表》须由申报单位盖章，并经法定代表人或被授权人签名方为有效,授权签名的同时提供授权书。 3.《申报表》个别项目填写时可增加A4纸附页。 4.《申报表》有选择项的，在其前面“□”内打“√”。 5.《申报表》在“□其他”项内打“√”的，应在下划线上有文字说明。 6.《申报表》中的项目，如果申报单位没有内容填写的，应写“无”。 7.部分栏目内容填写说明： 1)“四、单位内部管理情况”的“内部管理制度”中，在内容相同的情况下，申报单位内部管理制度的名称与备选项可以不完全相同。“组织管理情况”是指单位内部管理制度建立、落实执行情况。 2)“五、信息安全测评工作开展情况报告”，是指该单位近年来从事信息安全测评工作的实际业绩，需列举已完成的信息安全测评项目的成功范例。 3)“六、信息安全测评能力报告”，是指该单位从事信息系统安全测评所具备的能力情况，包括技术人员的专业知识、实践经验和测试工具的使用能力，信息系统安全测评活动的质量保证能力，还应包括该单位从事信息安

全理论与技术研究、产品开发、标准制定、项目研讨、学术交流及技术培训等活动的情况。

单位声明 本单位申报成为信息安全等级保护测评机构，依据《信息安全等级保护测评机构及测评人员管理细则》和《信息安全等级测评机构能力规范》的要求，自愿提供申报所需的信息和资料，并保证本《申报表》所填写信息真实、有效，如有不实之处，愿承担由此造成的一切后果及相关的法律责任。 申报单位法定代表人/被授权人签名： 申报单位盖章：

云平台安全等级保护建设项目安全技术方案详细设计

云平台安全等级保护建设项目安全技术方案详细设计天融信在本项目的整改方案设计中，针对XX的三级等级保护整改建设，依据一个中心三重防护的思路展开详细设计。具体设计面向以下的几个方面：

1.1.1信息安全拓扑设计

1.1.1.1 互联网接入区安全设计 互联网接入区作为云平台发布门户网站，用户接入，以及将来与各下属单位数据中心通过虚拟专网连接的重要接入区域，是XX的对外唯一通路。担负着重要的边界防护使命。?本期方案计划部署如下安全产品： ●抗DDoS系统：部署两台千兆级别的抗DDoS系统，以 A/S模式，透明方式部署；对入站方向的DDoS攻击流 量进行清洗，保护内网直接对外服务的网站。

●防病毒过滤网关：部署两台千兆级别的防病毒过滤网 关，以A/S模式，透明方式部署；对入站方向的HTTP、SMTP、POP3、IMAP等流量进行防病毒过滤清洗，主要保护内网中直接对外提供服务的网站，邮件系统，以及各办公终端。 ●入侵防御系统：部署两台千兆级别的入侵防御系统， 以A/S模式，透明方式部署；对入站方向的数据包进行包还原，检测攻击行为，攻击特征，若发现攻击行为则进行阻断。 ●接入防火墙：利用现有Cisco ASA5555防火墙，以A/S 模式，路由方式部署；负责入站方向IP包的访问控制，对DMZ区的WEB网站进行端口访问控制；另外开启VPN 功能，对接下属机构数据中心，进行虚拟专网连接，同时第三方运维人员可借由VPN远程登入。此处接入防火墙作为纵深防御体系的第一道屏障，与内网各重要边界防火墙异构。

1.1.1.2 DMZ区安全设计 A/S DMZ区承载XX的对外服务网站，担负着XX门户的重要使命。本区域中的安全设计主要针对WEB网站防护，网页防篡改等。 ?本期方案计划部署如下安全产品： ●WEB应用防火墙：部署两台千兆级别的WEB应用防火 墙，以A/S模式，反向代理方式部署；对WEB访问流 量进行针对性防护。 ●网页防篡改系统：部署一套网页防篡改软件系统（需

xx项目等级保护(三级)建设方案

××项目 等级保护（三级）建设方案 深信服科技（深圳）有限公司 2019年12月

目录 1项目概述 (5) 2等级保护建设流程 (5) 3方案参照标准 (7) 4信息系统定级 (7) 4.1.1定级流程 (7) 4.1.2定级结果 (9) 5系统现状分析 (10) 5.1机房及配套设备现状分析 (10) 5.2计算环境现状分析 (10) 5.3区域边界现状分析 (10) 5.4通信网络现状分析............................................................................................................................................... 错误！未定义书签。 5.5安全管理中心现状分析 (10) 6安全风险与差距分析 (10) 6.1物理安全风险与差距分析 (10) 6.2计算环境安全风险与差距分析 (11) 6.3区域边界安全风险与差距分析 (13) 6.4通信网络安全风险与差距分析 (14) 6.5安全管理中心差距分析 (15) 7技术体系方案设计 (16) 7.1方案设计目标 (16) 7.2方案设计框架 (16) 7.3安全域的划分 (17) 7.3.1安全域划分的依据 (17) 7.3.2安全域划分与说明 (18)

7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (20) 7.4.2.1身份鉴别 (20) 7.4.2.2访问控制 (21) 7.4.2.3系统安全审计 (21) 7.4.2.4入侵防范 (22) 7.4.2.5主机恶意代码防范 (23) 7.4.2.6软件容错 (23) 7.4.2.7数据完整性与保密性 (23) 7.4.2.8备份与恢复 (25) 7.4.2.9资源控制 (26) 7.4.2.10客体安全重用 (27) 7.4.2.11抗抵赖 (27) 7.4.2.12不同等级业务系统的隔离与互通 (27) 7.4.3区域边界安全设计 (28) 7.4.3.1边界访问控制入侵防范恶意代码防范与应用层防攻击 (28) 7.4.3.2流量控制 (29) 7.4.3.3边界完整性检查 (31) 7.4.3.4边界安全审计 (31) 7.4.4通信网络安全设计 (33) 7.4.4.1网络结构安全 (33) 7.4.4.2网络安全审计 (34) 7.4.4.3网络设备防护 (35) 7.4.4.4通信完整性与保密性 (35) 7.4.4.5网络可信接入 (36) 7.4.5安全管理中心设计 (37) 7.4.5.1系统管理 (37)

《GB∕T 28448-信息安全技术网络安全等级保护测评要求》试卷答案

《GB∕T 28448-2019信息安全技术网络安全等级保护测评 要求》试卷 姓名：分数： 一、填空题（每空3分，共30分） 1.安全测评通用要求中安全物理环境的测评对象是__________和__________。 2.机房__________设在地下室。 3.二级测评通用要求对机房设置防盗报警系统或有专人值守的视频监控系统__________ （有或没有）作要求。 4.三级测评通用要求机房电力供应设置__________电力电缆线路。 5.三级测评通用要求网络设备的业务处理能力满足业务高峰期的要求，可通过查看网络设 备的__________使用率和__________使用率。 6.边界防护中，__________级测评要求内外网的非法互联进行检测和限制。 7.云计算安全测评扩展要求云计算基础设施位于__________。 8.工业控制系统与企业其他系统之间应划分为__________个区域。 二、不定项选择（每题5分，共30分） 1.三级测评通用要求机房出入口应__________。 A．安排专人值守B．放置灭火器

C．安装玻璃门D．配置电子门禁系统 2.三级测评通用要求防雷击除了将各类机柜、设施和设备等通过接地系统安全接地，还要 求设置__________。 A．照明灯具B．过压保护器 C．防雷保安器D．空气清新剂 3.身份鉴别要求采用__________等两种或两种以上的鉴别技术。 A．动态口令B．数字证书 C．生物技术D．设备指纹 4.三级测评通用要求安全计算环境中，访问控制的粒度应达到主体为__________。A．端口级B．用户级 C．进程级D．应用级 5.安全管理中心是《GB∕T 28448-2019信息安全技术网络安全等级保护测评要求》新增加 的内容，三级测评通用要求安全管理中心内容包括__________。 A．系统管理B．审计管理 C．安全管理D．集中管控 6.工业控制系统内使用广域网进行进行控制指令或相关数据交换的应采用加密认证技术 手段实现__________加密传输。 A．身份认证B．访问控制 C．数据D．以上都不是

等级保护技术方案范本

等级保护技术方案

信息系统等级保护建设 指导要求 （三级）

目录 1. 范围.......................................................................... 错误!未定义书签。 2. 项目背景 .................................................................. 错误!未定义书签。 2.1. 前言 ................................................................. 错误!未定义书签。 2.2. 开展信息安全等级保护的法规、政策和技术依据错误!未定义 书签。 2.2.1信息安全等级保护有关法规、政策、文件错误!未定义书 签。 2.2.2信息安全等级保护技术标准体系及其关系错误!未定义书 签。 3. 方案设计要求 .......................................................... 错误!未定义书签。 3.1. 方案设计思想.................................................. 错误!未定义书签。 3.1.1构建符合信息系统等级保护要求的安全体系结构错误! 未定义书签。 3.1.2建立科学实用的全程访问控制机制 ....... 错误!未定义书签。 3.1.3加强源头控制，实现基础核心层的纵深防御错误!未定义 书签。 3.1.4面向应用，构建安全应用支撑平台 ....... 错误!未定义书签。 3.2. 建设原则.......................................................... 错误!未定义书签。 3.3. 建设内容.......................................................... 错误!未定义书签。 3.3.1信息系统定级整改规划........................... 错误!未定义书签。 3.3.2信息系统安全等级保护整体架构设计（三级）错误!未 定义书签。

信息安全等级保护(三级)建设方案

信息安全等级保护（三级）建设方案

目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统（IPS） (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)

如何结合网络安全法开展等级保护工作

如何结合网络安全法开展等级保护工作 摘要：从1994年2月18日国务院147号令发布，规定计算信息系统实行安全等级保护，到2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共日和国网络安全法》，并于2017年6月1日起正式实施，网络安全等级保护制度已然上升为法律要求。作为网络运营者如何落实网络安全等级保护制度，确保信息系统满足《中华人民共和国网络安全法》中的相关要求，成为广大网络运营者急需了解掌握的内容，本文从定级备案、整改建设和等级测评三个层面，结合网络安全法相关要求进行解读说明。 2017年6月1日《中华人民共和国网络安全法》（以下简称“网络安全法”）正式实施。第二十一条提出“国家实行网络安全等级保护制度”，第三十一条提出“关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。至此，网络安全等级保护制度上升为法律要求，网络运营者必须按照网络安全等级保护制度，采取相应的管理措施和技术防范措施，履行相应的网络安全保护义务。本文从网络安全等级保护定级备案、建设整改和等级测评三个方面，结合网络安全法相关内容阐述作为网络运营者需要履行的安全保护义务及工作要求。 1. 定级备案 系统定级作为网络安全等级保护工作的第一步，定级结果直接影响到后续工作的顺利开展。作为网络运营者应当依据《信息安全技术信息系统安全等级保护定级指南》 （GB/T22240-2008）（以下简称“定级指南”）分析业务信息和系统服务遭到破坏后，所侵害的客体，以及对相应客体的侵害程度，确定信息系统安全保护级别，并及时到当地市级以上公安机关办理备案手续。另外，针对关键信息基础设施，从网络安全法第三十一条可以看出关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露，可能会严重危害国家安全、国计民生、公共利益，通过查看定级指南，可能严重危害到国家安全、国计民生、公共利益的信息系统，安全保护等级至少在三级及以上，所以作为关键信息基础设施，其安全保护等级不得低于三级。

信息系统安全等级保护定级报告

信息系统安全等级保护定级报告 一、中国农业大学www服务系统描述 (一) 该系统由中国农业大学网络中心搭建并负责运行维 护。中国农业大学网络中心为该信息系统的主管部门 和定级的责任单位。 (二) 该系统是由三台核心服务器系统及其相关配套的设 备、设施构成的。该系统在校园网内，有两个出口， 第一个出口处部署了流控设备和控制网关，再通过 Extreme6808三层交换机接入教育网，在校园网和教 育网的边界设备是思科防火墙设备;第二个出口处部 署了阿姆瑞特防火墙设备，该出口通过该防火墙直接 接入公网。 (三) 该系统的主要业务是为学校各部门、学院、重点实验 室、优秀社团提供网站动、静态数据存储、网站浏览 和虚拟主机服务。 (四) 二、中国农业大学www服务系统安全保护等级确定 (一)信息安全保护等级的确定 1(业务信息描述 www服务系统传输、存贮的信息主要是学校各部 门、学院、重点实验室、优秀社团网站的动、静态信息。 2(业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是公民、 法人和其他组织的合法权益。

侵害的客观方面表现为:一旦信息系统的业务信息 遭到入侵、修改、增加、删除等不明侵害，会对公民、 法人和其他组织的合法权益造成影响和损害，可以表 现为:影响正常工作的开展，导致业务能力下降，泄 露公民隐私，有的甚至给公民造成经济或其它损失。 3(信息受到破坏后对侵害客体的侵害程度 上述结果的程度表现为严重损害。 4(确定业务信息安全等级 查《定级指南》表2知，业务信息安全保护等级为 第二级。 对相应客体的侵害程度业务信息安全被破坏时所侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级 (二) 系统服务安全保护等级的确定 1(系统服务描述 该系统服务的主要功能是为用户提供网站数据存 贮和浏览服务。其服务范围为学校各部门、学院、重 点实验室、优秀社团。 2(系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后，客观方面表现的侵害结果 为:1可能对公民、法人和其他组织的合法权益造成侵害; 2可能对公共利益造成侵害。根据《定级指南》的要求， 出现上述两个侵害客体时，优先考虑社会秩序和公共利 益，另外一个不做考虑。

网站系统信息安全等级保护建设整改方案

网站系统信息安全等级保护建设整改方案 随着互联网应用和门户网站系统的不断发展和完善，网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施，另一方面要加强系统自身抵抗威胁的能力，同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求，网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施，综合提升网站系统的安全保障能力。 根据国家等级保护有关要求，省级政府门户网站系统的信息安全保护等级应定为三级，建立符合三级等级保护相关要求的安全防护措施，能够形成在同一安全策略的指导下，网站系统应建立综合的控制措施，形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析，形成网站系统的安全需求，从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 根据网站系统的应用情况，针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析，具体需求如下： 1、业务流程安全需求 针对网站类业务重点需要关注发布信息的准确性，采集分析和汇总信息的可控性，以及服务平台的可用性，系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击，应加强对于这些威胁的对抗和防护能力，通过严格控制业务流程中的各个环节，包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求，同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面，由于几个层面涉及的主要功能和软件实现存在一定的差异性，因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成，针对业务系统此层面是一个访问入口，从安全需求方面应当减少入口对于系统的攻击可能性，对于指定的接入和入口可以通过建立可信机制进行保护，对于非指定的接口可以通过控制权限进行防护；展现层是系统内容的展示区域，要确保系统展示信息的完整性，降低被篡改的风险；应用层是对数据信息进行处理的核心部分，应加强系统自身的安全性和软件编码的安全性，减少系统自身的脆弱性；基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务，该层次重点是确保系统组件自身的安全性，同时要加强与应用之间接口的安全性；信息资源层是由业务数据库和平台数据库共同构成，此层次重点的安全在于数据库安全；基础支撑运行环境层，支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境，该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁，应加强资产的综合管理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息，以及前台的交互信息和后台的数据交换信息，针对这些信息各个环节中的访问关系不同，信息的敏感和重要程度不同，可能面

网络安全等级保护(安全通用要求)建设方案

网络安全等级保护建设方案（安全通用要求） 北京启明星辰信息安全技术有限公司 Beijing Venustech Information Security Technology Co., Ltd. 二零一九年五月

目录 1.项目概述 (4) 1.1.项目概述 (4) 1.2.项目建设背景 (4) 1.2.1.法律依据 (4) 1.2.2.政策依据 (4) 1.3.项目建设目标及内容 (6) 1.3.1.建设目标 (6) 1.3.2.建设内容 (7) 1.4.等级保护对象分析与介绍 (7) 2. ...................................................................................................................................................................................................................方案设计说明7 2.1.设计依据 (7) 2.2.设计原则 (8) 2.2.1.分区分域防护原则 (8) 2.2.2.均衡性保护原则 (8) 2.2.3.技管并重原则 (8) 2.2.4.动态调整原则 (8) 2.2.5.三同步原则 (9) 2.3.设计思路 (9) 2.4.设计框架 (10) 3. ............................................................................................................................................................................................... 安全现状及需求分析10 3.1.安全现状概述 (10) 3.2.安全需求分析 (11) 3.2.1.物理环境安全需求 (11) 3.2.2.通信网络安全需求 (12) 3.2.3.区域边界安全需求 (13) 3.2.4.计算环境安全需求 (14) 3.2.5.安全管理中心安全需求 (15) 3.2.6.安全管理制度需求 (15) 3.2.7.安全管理机构需求 (15) 3.2.8.安全管理人员需求 (16) 3.2.9.安全建设管理需求 (16) 3.2.10.安全运维管理需求 (17) 3.3.合规差距分析 (18) 4. ...................................................................................................................................................................................................... 技术体系设计方案18 4.1.技术体系设计目标 (18) 4.2.技术体系设计框架 (19)

网络安全等级保护网络设备、安全设备知识点汇总.docx

2019年网络安全等级保护网络设备、安全设备知识 点汇总 ? 一、防火墙、防毒墙、入侵防御、统一安全威胁网关UTM 1、防火墙（Firewall） 定义:相信大家都知道防火墙是干什么用的，我觉得需要特别提醒一下，防火墙抵御的是外部的攻击，并不能对内部的病毒( 如ARP病毒) 或攻击有什么太大作用。 功能:防火墙的功能主要是两个网络之间做边界防护，企业中更多使用的是企业内网与互联网的NAT、包过滤规则、端口映射等功能。生产网与办公网中做逻辑隔离使用，主要功能是包过滤规则的使用。 部署方式:网关模式、透明模式： 网关模式是现在用的最多的模式，可以替代路由器并提供更多的功能，适用于各种类型企业透明部署是在不改变现有网络结构的情况下，将防火墙以透明网桥的模式串联到企业的网络中间，通过包过滤规则进行访问控制，做安全域的划分。至于什么时候使用网关模式或者使用透明模式，需要根据自身需要决定，没有绝对的部署方式。需不需要将服务器部署在DMZ区，取决于服务器的数量、重要性。

总之怎么部署都是用户自己的选择！ 高可用性:为了保证网络可靠性，现在设备都支持主- 主、主- 备，等各种部署。 2、防毒墙 定义:相对于防毒墙来说，一般都具有防火墙的功能，防御的对象更具有针对性，那就是病毒。 功能:同防火墙，并增加病毒特征库，对数据进行与病毒特征库进行比对，进行查杀病毒。 部署方式:同防火墙，大多数时候使用透明模式部署在防火墙或路由器后或部署在服务器之前，进行病毒防范与查杀。 3、入侵防御(IPS) 定义:相对于防火墙来说，一般都具有防火墙的功能，防御的对象更具有针对性，那就是攻击。 防火墙是通过对五元组进行控制，达到包过滤的效果，而入侵防御IPS，则是将数据包进行检测（深度包检测DPI）对蠕虫、病毒、木马、拒绝服务等攻击进行查杀。 功能:同防火墙，并增加IPS 特征库，对攻击行为进行防御。 部署方式:同防毒墙。

对外网站安全等级保护定级报告

XXXX公司对外网站 安全等级保护定级报告 一、XXXX公司对外网站描述 XXXX公司对外网站于XX年XX月建设投运，该系统由XXXX 公司开发。目前该网站由XXXX负责运行维护。XXXX公司XXXX 部是该信息系统业务的主管部门和该信息系统定级的责任单位。 该网站硬件构成、部署模式、部署位置等的描述。 XXXX公司对外网站系统分为XXXX、XXXX等功能模块。本网站系统与其他网站的接口情况描述。 二、XXXX公司对外网站系统安全保护等级确定 （一）业务信息安全保护等级的确定 1、业务信息描述 XXXX公司对外网站系统业务信息包括：XXXX、XXXX等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 3、信息受到破坏后对侵害客体的侵害程度的确定 信息受到破坏后，会对侵害客体造成一般损害。 4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度，XXXX公司网站系统业务信息安全保护等级为第一级。 （二）系统服务安全保护等级的确定 1、系统服务描述 服务范围、服务对象 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 系统服务受到破坏后，会对侵害客体造成一般损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度，XXXX 公司网站系统服务安全保护等级为第一级。 （三）安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安 全等级的较高者决定，最终确定XXXX公司对外网站系统安全保护

网络安全等级保护2.0—北京在信国通科技有限公司

等级保护2.0－北京在信国通科技有限公司 Q1：什么是等级保护？ 答：等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 Q2：什么是等级保护2.0？ 答：“等级保护2.0”或“等保2.0”是一个约定俗成的说法，指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出，以2019年12月1日，网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。 Q3：“等保”与“分保”有什么区别？ 答：指等级保护与分级保护，主要不同在监管部门、适用对象、分类等级等方面。 监管部门不一样，等级保护由公安部门监管，分级保护由国家保密局监管。 适用对象不一样，等级保护适用非涉密系统，分级保护适用于涉及国家密秘系统。 等级分类不同，等级保护分5个级别：一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)；分级保护分3个级别：秘密级、机密级、绝密级。 Q4：“等保”与“关保”有什么区别？ 答：指等级保护与关键信息基础设施保护，“关保”是在网络安全等级保护制度的基础上，实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全，包括关键信息基础设施的范围、保护的主要内容等。 目前《信息安全技术关键信息基础设施网络安全保护基本要求》正在报批中，相关试点工作已启动。 Q5：什么是等级保护测评？ 答：指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。 Q6：等级保护是否是强制性的,可以不做吗？ 答：《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护