网络安全等级保护测评高风险判定指引(2019定稿)教程文件

网络安全等级保护测评高风险判定指引(2019定稿)

网络安全等级保护测评高风险判定指引

信息安全测评联盟

2019年6月

目录

1适用范围 (1)

2术语和定义 (1)

3参考依据 (2)

4安全物理环境 (3)

4.1物理访问控制 (3)

4.1.1机房出入口控制措施 (3)

4.2防盗窃和防破坏 (3)

4.2.1机房防盗措施 (3)

4.3防火 (4)

4.3.1机房防火措施 (4)

4.4温湿度控制 (5)

4.4.1机房温湿度控制措施 (5)

4.5电力供应 (6)

4.5.1机房短期的备用电力供应措施 (6)

4.5.2机房电力线路冗余措施 (6)

4.5.3机房应急供电措施 (7)

4.6电磁防护 (8)

4.6.1机房电磁防护措施 (8)

5安全通信网络 (9)

5.1网络架构 (9)

5.1.1网络设备业务处理能力 (9)

5.1.2网络区域划分 (9)

5.1.3网络访问控制设备不可控 (10)

5.1.4互联网边界访问控制 (11)

5.1.5不同区域边界访问控制 (12)

5.1.6关键线路、设备冗余 (12)

5.2通信传输 (13)

5.2.1传输完整性保护 (13)

5.2.2传输保密性保护 (14)

6安全区域边界 (15)

6.1边界防护 (15)

6.1.1互联网边界访问控制 (15)

6.1.2网络访问控制设备不可控 (16)

6.1.3违规内联检查措施 (17)

6.1.4违规外联检查措施 (17)

6.1.5无线网络管控措施 (18)

6.2访问控制 (19)

6.2.1互联网边界访问控制 (19)

6.2.2通信协议转换及隔离措施 (20)

6.3入侵防范 (21)

6.3.1外部网络攻击防御 (21)

6.3.2内部网络攻击防御 (22)

6.4恶意代码和垃圾邮件防范 (23)

6.4.1网络层恶意代码防范 (23)

6.5安全审计 (24)

6.5.1网络安全审计措施 (24)

7安全计算环境 (24)

7.1网络设备、安全设备、主机设备等 (24)

7.1.1身份鉴别 (24)

7.1.1.1设备弱口令 (24)

7.1.1.2远程管理防护 (25)

7.1.1.3双因素认证 (27)

7.1.2访问控制 (28)

7.1.2.1默认口令处理 (28)

7.1.3安全审计 (28)

7.1.3.1设备安全审计措施 (28)

7.1.4入侵防范 (30)

7.1.4.1不必要服务处置 (30)

7.1.4.2管理终端管控措施 (30)

7.1.4.3已知重大漏洞修补 (31)

7.1.4.4测试发现漏洞修补 (32)

7.1.5恶意代码防范 (33)

7.1.5.1操作系统恶意代码防范 (33)

7.2应用系统 (34)

7.2.1身份鉴别 (34)

7.2.1.1口令策略 (34)

7.2.1.2弱口令 (35)

7.2.1.3登录失败处理 (36)

7.2.1.4双因素认证 (37)

7.2.2访问控制 (38)

7.2.2.1登录用户权限控制 (38)

7.2.2.2默认口令处理 (39)

7.2.2.3访问控制策略 (39)

7.2.3安全审计 (40)

7.2.3.1安全审计措施 (40)

7.2.4入侵防范 (41)

7.2.4.1数据有效性检验功能 (41)

7.2.4.2已知重大漏洞修补 (42)

7.2.4.3测试发现漏洞修补 (43)

7.2.5数据完整性 (44)

7.2.5.1传输完整性保护 (44)

7.2.6数据保密性 (45)

7.2.6.1传输保密性保护 (45)

7.2.6.2存储保密性保护 (46)

7.2.7数据备份恢复 (46)

7.2.7.1数据备份措施 (46)

7.2.7.2异地备份措施 (47)

7.2.7.3数据处理冗余措施 (48)

7.2.7.4异地灾难备份中心 (49)

7.2.8剩余信息保护 (49)

7.2.8.1鉴别信息释放措施 (49)

7.2.8.2敏感数据释放措施 (50)

7.2.9个人信息保护 (51)

7.2.9.1个人信息采集、存储 (51)

7.2.9.2个人信息访问、使用 (52)

8安全区域边界 (53)

8.1集中管控 (53)

8.1.1运行监控措施 (53)

8.1.2日志集中收集存储 (53)

8.1.3安全事件发现处置措施 (54)

9安全管理制度 (55)

9.1管理制度 (55)

9.1.1管理制度建设 (55)

10安全管理机构 (56)

10.1岗位设置 (56)

10.1.1网络安全领导小组建立 (56)

11安全建设管理 (56)

11.1产品采购和使用 (56)

11.1.1网络安全产品采购和使用 (56)

11.1.2密码产品与服务采购和使用 (57)

11.2外包软件开发 (58)

11.2.1外包开发代码审计 (58)

11.3测试验收 (59)

11.3.1上线前安全测试 (59)

12安全运维管理 (60)

12.1漏洞和风险管理 (60)

12.1.1安全漏洞和隐患的识别与修补 (60)

12.2网络和系统安全管理 (61)

12.2.1重要运维操作变更管理 (61)

12.2.2运维工具的管控 (62)

12.2.3运维外联的管控 (63)

12.3恶意代码防范管理 (64)

12.3.1外来接入设备恶意代码检查 (64)

12.4变更管理 (65)

12.4.1需求变更管理 (65)

12.5备份与恢复管理 (66)

12.5.1数据备份策略 (66)

12.6应急预案管理 (67)

12.6.1应急预案制定 (67)

12.6.2应急预案培训演练 (67)

附件基本要求与判例对应表 (69)

网络安全等级保护测评高风险判定指引

1适用范围

本指引是依据GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》有关条款，对测评过程中所发现的安全性问题进行风险判断的指引性文件。指引内容包括对应要求、判例内容、适用范围、补偿措施、整改建议等要素。

需要指出的是，本指引无法涵盖所有高风险案例，测评机构须根据安全问题所实际面临的风险做出客观判断。

本指引适用于网络安全等级保护测评活动、安全检查等工作。信息系统建设单位亦可参考本指引描述的案例编制系统安全需求。

2术语和定义

1、可用性要求较高的系统

指出现短时故障无法提供服务，可能对社会秩序、公共利益等造成严重损害的系统，即可用性级别大于等于99.9%，年度停机时间小于等于8.8小时的系统；一般包括但不限于银行、证券、非金融支付机构、互联网金融等交易类系统，提供公共服务的民生类系统、工业控制类系统等。

2、核心网络设备

指部署在核心网络节点的关键设备，一般包括但不限于核心交换机、核心路由器、核心边界防火墙等。

3、数据传输完整性要求较高的系统

指数据在传输过程中遭受恶意破坏或篡改，可能造成较大的财产损失，或造成严重破坏的系统，一般包括但不限于银行、证券、非金融支付机构、互联网金融等交易类系统等。

4、不可控网络环境

指互联网、公共网络环境、内部办公环境等无管控措施，可能存在恶意攻击、数据窃听等安全隐患的网络环境。

5、可被利用的漏洞

指可被攻击者用来进行网络攻击，可造成严重后果的漏洞，一般包括但不限于缓冲区溢出、提权漏洞、远程代码执行、严重逻辑缺陷、敏感数据泄露等。

3参考依据

GB/T 22239-2019 信息安全技术网络安全等级保护基本要求

GB/T 28448-2019 信息安全技术网络安全等级保护测评要求

GB/T 25069-2010 信息安全技术术语

4安全物理环境

4.1物理访问控制

4.1.1机房出入口控制措施

对应要求：机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

判例内容：机房出入口区域无任何访问控制措施，机房无电子或机械门锁，机房入口也无专人值守；办公或外来人员可随意进出机房，无任何管控、监控措施，存在较大安全隐患，可判高风险。

适用范围：所有系统。

满足条件（同时）：

1、机房出入口区域无任何访问控制措施；

2、机房无电子或机械门锁，机房入口也无专人值守；

3、办公或外来人员可随意进出机房，无任何管控、监控措施。

补偿措施：如机房无电子门禁系统，但有其他防护措施，如机房出入配备24小时专人值守，采用摄像头实时监控等，可酌情降低风险等级。

整改建议：机房出入口配备电子门禁系统，通过电子门禁鉴别、记录进入的人员信息。

4.2防盗窃和防破坏

4.2.1机房防盗措施

对应要求：应设置机房防盗报警系统或设置有专人值守的视频监控系统。

判例内容：机房无防盗报警系统，也未设置有专人值守的视频监控系统，出现盗窃事件无法进行告警、追溯的，可判高风险。

适用范围：3级及以上系统。

满足条件（同时）：

1、3级及以上系统所在机房；

2、机房无防盗报警系统；

3、未设置有专人值守的视频监控系统；

4、机房环境不可控；

5、如发生盗窃事件无法进行告警、追溯。

补偿措施：如果机房有专人24小时值守，并且能对进出人员进出物品进行登记的（如部分IDC机房有要求设备进出需单登记），可酌情降低风险等级。

整改建议：建议机房部署防盗报警系统或设置有专人值守的视频监控系统，如发生盗窃事件可及时告警或进行追溯，确保机房环境的安全可控。

4.3防火

4.3.1机房防火措施

对应要求：机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。

判例内容：机房内无防火措施（既无自动灭火，也无手持灭火器/或手持灭火器药剂已过期），一旦发生火情，无任何消防处置措施，可判高风险。

适用范围：所有系统。

满足条件（同时）：

机房内无任何防火措施（既无自动灭火，也无手持灭火器/或手持灭火器药剂已过期）。

补偿措施：无。

整改建议：建议机房设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火，相关消防设备如灭火器等应定级检查，确保防火措施有效。

4.4温湿度控制

4.4.1机房温湿度控制措施

对应要求：应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内。

判例内容：机房无有效的温湿度控制措施，或温湿度长期高于或低于设备允许的温湿度范围，可能加速设备损害，提高设备的故障率，对设备的正常运行带来安全隐患，可判高风险。

适用范围：所有系统。

满足条件（同时）：

1、机房无温湿度调节措施；

2、机房温湿度长期处于设备运运行的范围之外。

补偿措施：对于一些特殊自然条件或特殊用途的系统，可酌情降低风险等级。

整改建议：建议机房设置温、湿度自动调节设备，确保机房温、湿度的变化在设备运行所允许的范围之内。

4.5电力供应

4.5.1机房短期的备用电力供应措施

对应要求：应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求。

判例内容：对于可用性要求较高的系统，如银行、证券等交易类系统，提供公共服务的民生类系统、工控类系统等，机房未配备短期备用电力供应设备（如UPS）或配备的设备无法在短时间内满足断电情况下的正常运行要求的，可判高风险。

适用范围：对可用性要求较高的3级及以上系统。

满足条件（同时）：

1、3级及以上系统；

2、系统可用性要求较高；

3、无法提供短期备用电力供应或备用电力供应无法满足系统短期正常运行。

补偿措施：如机房配备多路供电，且供电方同时断电概率较低的情况下，可酌情降低风险等级。

整改建议：建议配备容量合理的后备电源，并定期对UPS进行巡检，确保在在外部电力供应中断的情况下，备用供电设备能满足系统短期正常运行。

4.5.2机房电力线路冗余措施

对应要求：应设置冗余或并行的电力电缆线路为计算机系统供电。

判例内容：机房未配备冗余或并行电力线路供电来自于同一变电站，可判高风险。

适用范围：对可用性要求较高的3级及以上系统。

满足条件（同时）：

1、3级及以上系统；

2、系统可用性要求较高；

3、机房未配备冗余或并行电力线路供电来自于同一变电站。

补偿措施：如机房配备大容量UPS，且足够保障断电情况下，一定时间内系统可正常运行或保障数据存储完整的，可酌情降低风险等级。

整改建议：建议配备冗余或并行的电力线路，电力线路应来自于不同的变电站；对于可用性要求较高的系统（4级系统），建议变电站来自于不同的市电。

4.5.3机房应急供电措施

对应要求：应提供应急供电设施。

判例内容：系统所在的机房必须配备应急供电措施，如未配备，或应急供电措施无法使用，可判高风险。

适用范围：4级系统。

满足条件（同时）：

1、4级系统；

2、机房未配备应急供电措施，或应急供电措施不可用/无法满足系统正常允许需求。

补偿措施：如果系统采用多数据中心方式部署，且通过技术手段能够实现应用级灾备，一定程度上可降低单一机房发生故障所带来的可用性方面影响，可酌情降低风险等级。

整改建议：建议配备应急供电设施，如备用发电设备。

4.6电磁防护

4.6.1机房电磁防护措施

对应要求：应对关键设备或关键区域实施电磁屏蔽。

判例内容：对于涉及大量核心数据的系统，如机房或关键设备所在的机柜未采取电磁屏蔽措施，可判高风险。

适用范围：对于数据防泄漏要求较高的4级系统。

满足条件（同时）：

1、4级系统；

2、系统存储数据敏感性较高，有较高的保密性需求；

3、机房环境复杂，有电磁泄露的风险。

补偿措施：如该4级系统涉及的信息对保密性要求不高，或者机房环境相对可控，可酌情降低风险等级。

整改建议：建议机房或重要设备或重要设备所在的机柜采用电磁屏蔽技术，且相关产品或技术获得相关检测认证资质的证明。

5安全通信网络

5.1网络架构

5.1.1网络设备业务处理能力

对应要求：应保证网络设备的业务处理能力满足业务高峰期需要。

判例内容：对可用性要求较高的系统，网络设备的业务处理能力不足，高峰时可能导致设备宕机或服务中断，影响金融秩序或引发群体事件，若无任何技术应对措施，可判定为高风险。

适用范围：对可用性要求较高的3级及以上系统。

满足条件（同时）：

1、3级及以上系统；

2、系统可用性要求较高；

3、核心网络设备性能无法满足高峰期需求，存在业务中断隐患，如业务高峰期，核心设备性能指标平均达到80%以上。

补偿措施：针对设备宕机或服务中断制定了应急预案并落实执行，可酌情降低风险等级。

整改建议：建议更换性能满足业务高峰期需要的设备，并合理预计业务增长，制定合适的扩容计划。

5.1.2网络区域划分

对应要求：应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。

判例内容：应按照不同网络的功能、重要程度进行网络区域划分，如存在重要区域与非重要网络在同一子网或网段的，可判定为高风险。

适用范围：所有系统。

满足条件（任意条件）：

1、涉及资金类交易的支付类系统与办公网同一网段；

2、面向互联网提供服务的系统与内部系统同一网段；

3、重要核心网络区域与非重要网络在同一网段。

补偿措施：无。

整改建议：建议根据各工作职能、重要性和所涉及信息的重要程度等因素，划分不同的网络区域，并做好各区域之间的访问控制措施。

5.1.3网络访问控制设备不可控

对应要求：应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

判例内容：互联网边界访问控制设备无管理权限，且无其他边界防护措施的，难以保证边界防护的有效性，也无法根据业务需要或所发生的安全事件及时调整访问控制策略，可判定为高风险。

适用范围：所有系统。

满足条件（同时）：

1、互联网边界访问控制设备无管理权限；

2、无其他任何有效访问控制措施；

3、无法根据业务需要或所发生的安全事件及时调整访问控制策略。

补偿措施：无。

整改建议：建议部署自有的边界访问控制设备或租用有管理权限的边界访问控制设备，且对相关设备进行合理配置。

5.1.4互联网边界访问控制

对应要求：应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

判例内容：互联网出口无任何访问控制措施，或访问控制措施配置失效，存在较大安全隐患，可判定为高风险。

适用范围：所有系统。

满足条件（任意条件）：

1、互联网出口无任何访问控制措施。

2、互联网出口访问控制措施配置不当，存在较大安全隐患。

3、互联网出口访问控制措施配置失效，无法起到相关控制功能。

补偿措施：边界访问控制设备不一定一定要是防火墙，只要是能实现相关的访问控制功能，形态为专用设备，且有相关功能能够提供相应的检测报告，可视为等效措施，判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现，可根据系统重要程度，设备性能压力等因素，酌情判定风险等级。

整改建议：建议在互联网出口部署专用的访问控制设备，并合理配置相关控制策略，确保控制措施有效。

5.1.5不同区域边界访问控制

对应要求：应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

判例内容：办公网与生产网之间无访问控制措施，办公环境任意网络接入均可对核心生产服务器和网络设备进行管理，可判定为高风险。

适用范围：所有系统。

满足条件（同时）：

1、办公网与生产网之间无访问控制措施；

2、办公环境任意网络接入均可对核心生产服务器和网络设备进行管理。

补偿措施：边界访问控制设备不一定一定要是防火墙，只要是能实现相关的访问控制功能，形态为专用设备，且有相关功能能够提供相应的检测报告，可视为等效措施，判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现，可根据系统重要程度，设备性能压力等因素，酌情判定风险等级。

整改建议：建议不同网络区域间应部署访问控制设备，并合理配置访问控制策略，确保控制措施有效。

5.1.6关键线路、设备冗余

对应要求：应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。

判例内容：对可用性要求较高的系统，若网络链路为单链路，核心网络节点、核心网络设备或关键计算设备无冗余设计，一旦出现故障，可能导致业务中断，可判定为高风险。

适用范围：对可用性要求较高的3级及以上系统。

满足条件（同时）：

1、3级及以上系统；

2、系统可用性要求较高；

3、关键链路、核心网络设备或关键计算设备无任何无冗余措施，存在单点故障。

补偿措施：

1、如系统采取多数据中心部署，或有应用级灾备环境，能在生产环境出现故障情况下提供服务的，可酌情降低风险等级。

2、对于系统可用性要求不高的其他3级系统，如无冗余措施，可酌情降低风险等级。

3、如核心安全设备采用并联方式部署，对安全防护能力有影响，但不会形成单点故障，也不会造成重大安全隐患的，可酌情降低风险等级。

整改建议：建议关键网络链路、核心网络设备、关键计算设备采用冗余设计和部署（如采用热备、负载均衡等部署方式），保证系统的高可用性。

5.2通信传输

5.2.1传输完整性保护

对应要求：应采用密码技术保证通信过程中数据的完整性。

判例内容：对数据传输完整性要求较高的系统，数据在网络层传输无完整性保护措施，一旦数据遭到篡改，可能造成财产损失的，可判定为高风险。

适用范围：对数据传输完整性要求较高的3级及以上系统。

满足条件（同时）：

1、3级及以上系统；

2、系统数据传输完整性要求较高；

3、数据在网络层传输无任何完整性保护措施。

补偿措施：如应用层提供完整性校验等措施，或采用可信网络传输，可酌情降低风险等级。

整改建议：建议采用校验技术或密码技术保证通信过程中数据的完整性。

5.2.2传输保密性保护

对应要求：应采用密码技术保证通信过程中数据的保密性。

判例内容：口令、密钥等重要敏感信息在网络中明文传输，可判定为高风险。

适用范围：3级及以上系统。

满足条件（同时）：

1、3级及以上系统；

2、设备、主机、数据库、应用等口令、密钥等重要敏感信息在网络中明文传输；

3、该网络管控措施不到位，存在口令被窃取并远程登录的风险。

补偿措施：

信息安全技术 网络安全等级保护测评要求 第1部分：安全通用要求-编制说明

信息安全技术网络安全等级保护测评要求 第1部分：安全通用要求 编制说明 1 概述 1.1 任务来源 《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。 根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。 1.2 制定本标准的目的和意义 《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。 《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》

（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。 伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。 作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。 此外，《测评要求》还需要吸收近年来的测评实践，更新整体测评方法和测评结论形成方法。 1.3 与其他标准的关系 图1 等级保护标准相互关系 从上图可以看出，在等级保护对象实施安全保护过程中，首先利用《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）（简称“《定级指南》”）确定等级保护对象的安全保护等级，然后根据《信息安全技术网络安全等级保护基本要求》系列标准选择安全控制措施，随后利用《信息安全技术信息系统安全等级保护实施指南》（简称“《实施指南》”）或其他相关标准确定其特殊安全需求，进行等级保护对象的安全规划和建设工作，此后利用《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-20XX）（简称“《测评过程指南》”）来规范测评过程和各项活动，利用《信息安全技术网络安全等级保护测评要求》系列标准来判断安全控制措施的有效性。同时，等级保护整个实施过程又是由《实施指南》来指导的。 在等级保护的相关标准中，《测评要求》系列标准是《基本要求》系列标准的姊妹篇，《测评要求》针对《基本要求》中各要求项，提供了具体测评方法、步

《信息系统安全等级保护定级报告》.doc

《信息系统安全等级保护定级报告》 一、潜江新闻网信息系统描述 (一)该信息系统于年月由潜江新闻网自主研发。目前该系统由潜江新闻网技术部负责运行维护。潜江市委宣传部是该信息系统的主管部门，潜江新闻网为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备，设施构成的，是按照一定的应用目标和新闻信息进行采集，加工，存储，发布，检索等处理的人机系统。同时在潜江新闻网技术部建立了独立机房，数据中心的核心设备部署了交换机,配置了两台与外部网络互联的浪潮服务器、专业级防火墙和路由器等…… (三)该信息系统业务主要包含:新闻发布，采集系统，网友报料，论坛，视频发布系统等模块功能。 二、信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》） （一）业务信息安全保护等级的确定 、业务信息描述 潜江新闻网新闻信息系统主要以发布潜江市域内对内外宣传新闻，发布潜江市各项政府公告及政策，收集网上百姓心声等各项信息业务。 、业务信息受到破坏时所侵害客体的确定

侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵,修改,增加,删除等不明侵害(形式可以包括丢失,破坏,损坏等),会对公民,法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致社公不安,造成不良影响,引起法律纠纷等. 、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。 （二）系统服务安全保护等级的确定 、系统服务描述 描述信息系统的服务范围、服务对象等。 、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 、系统服务安全等级的确定

等级保护测评试题

一、单选题 1、下列不属于网络安全测试范畴的是（C） A．结构安全 B.便捷完整性检查 C.剩余信息保护 D.网络设备防护 2、下列关于安全审计的内容说法中错误的是（D） A．应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录 B．审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 C．应能够根据记录数据进行分析，并生成审计报表 D．为了节约存储空间，审计记录可以随意删除、修改或覆盖 3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个（A） A．exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标（A） A.ping扫描 B.操作系统扫描 C.端口扫描 D.漏洞扫描 ping扫描：用于发现攻击目标 操作系统识别扫描：对目标主机运行的操作系统进行识别 端口扫描：用于查看攻击目标处于监听或运行状态的。。。。。。 5、路由器工作在（C） A.应用层 B.链接层 C.网络层 D.传输层 6、防火墙通过____控制来阻塞邮件附件中的病毒。（A） A.数据控制 B.连接控制 C.ACL控制 D.协议控制 7、与10.110.12.29 mask 255.255.255.224属于同一网段的主机IP地址是（B） A.10.110.12.0 B.10.110.12.30 C.10.110.12.31 D.10.110.12.32 8、查看路由器上所有保存在flash中的配置数据应在特权模式下输入命令：（A） A.show running-config B.show buffers C. show starup-config D.show memory 9、路由器命令“Router（config）#access-list 1 permit 192.168.1.1”的含义是：（B） A．不允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 B．允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 C．不允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则结束 D．允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则检查下一条语句。

信息系统安全等级保护定级报告示例

信息系统安全等级保护定级报告 一、XX平台系统描述 （一）2014年8月，XX正式上线，XX隶属于北京XX科技有限公司，该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台，将出借人和借款人衔接，为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构，也是为该信息系统定级的责任单位。 （二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。 该系统相关的用户数据中心网络，资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中，将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑，统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。 （三）该系统业务主要包含：用户身份安全信息、业务平台数据、购买服务等业务，并新增加了法务审核，风险控制等等业

务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中：通过网络与第三方支付平台的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。 业务处理系统以内部财务结算模式，负责各类买入转让还款的业务处理，包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下： 二、XX平台系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》） （一）业务信息安全保护等级的确定 1、业务信息描述 北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业，XX为旗下借贷平台主要是通过线上平台，将出借人和借款人衔接，为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务，解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面表现为：一旦信息系统的业务信息遭到入侵、

《信息系统安全等级保护定级报告》.doc

《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 （一）该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门，信息股为该信息系统定级的责任单位。 （二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 （三）该信息系统业务主要包含：等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 （一）业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含：九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是社会秩序和公众利 —9 —

益。 侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对社会秩序和公众利益造成影响和损害，可以表现为：发布虚假信息，影响公共利益，造成不良影响，引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害，即工作职能受到严重影响，造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 （二）系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统，其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为：一可以对公民、法人和其他组织的合法权益造成侵害（影响正常工作的开展，造成不良影响，引起法律纠纷等）；—10 —

网络安全防护检查报告

编号： 网络安全防护检查报告 数据中心 测评单位： 报告日期： 目录 第1章系统概况 (2) 1.1 网络结构 (2) 1.2 管理制度 (2) 第2章评测方法和工具 (4) 2.1 测试方式 (4) 2.2 测试工具 (4) 2.3 评分方法 (4) 2.3.1 符合性评测评分方法 (5) 2.3.2 风险评估评分方法 (5) 第3章测试内容 (7) 3.1 测试内容概述 (7) 3.2 扫描和渗透测试接入点 (8) 3.3 通信网络安全管理审核 (8) 第4章符合性评测结果 (9) 4.1 业务安全 (9) 4.2 网络安全 (9)

4.3 主机安全 (9) 4.4 中间件安全 (10) 4.5 安全域边界安全 (10) 4.6 集中运维安全管控系统安全 (10) 4.7 灾难备份及恢复 (11) 4.8 管理安全 (11) 4.9 第三方服务安全 (12) 第5章风险评估结果 (13) 5.1 存在的安全隐患 (13) 第6章综合评分 (14) 6.1 符合性得分 (14) 6.2 风险评估 (14) 6.3 综合得分 (14) 附录A 设备扫描记录 (15)

所依据的标准和规范有： ?《YD/T 2584-2013 互联网数据中心IDC安全防护要求》 ?《YD/T 2585-2013 互联网数据中心IDC安全防护检测要求》?《YD/T 2669-2013 第三方安全服务能力评定准则》 ?《网络和系统安全防护检查评分方法》 ?《2014年度通信网络安全防护符合性评测表－互联网数据中心IDC》 还参考标准 ?YD/T 1754-2008《电信和互联网物理环境安全等级保护要求》?YD/T 1755-2008《电信和互联网物理环境安全等级保护检测要求》 ?YD/T 1756-2008《电信和互联网管理安全等级保护要求》 ?GB/T 20274 信息系统安全保障评估框架 ?GB/T 20984-2007 《信息安全风险评估规范》

如何做网络安全等级保护

一、网络安全等级保护制度是什么 网络安全等级保护制度不是新事物, 是计算机信息系统安全等级保护制度的升级版。1994年颁布的《中华人民共和国计算机信息系统安全保护条例》最早明确了对计算机信息系统实行安全等级保护, 由公安机关作为主管部门负责监管实施。此后, 公安部同其他相关部门逐步完善了等级保护制度和管理的具体内容, 主导完善了《计算机信息系统安全保护等级划分准则》(GB-17859-1999)等一系列国家标准。随着社会的发展, 网络的外延不断扩展, 出现了云计算、大数据、物联网、工业控制系统等形态, 计算机信息系统等级保护制度已经不能适应, 因此, 2017年6月1日颁布的《中华人民共和国网络安全法》确认并更新了等级保护制度的内容。并且随着网络安全法的发布，信息安全建设已经逐渐提升到国家安全战略的层面，后期哪个单位未落实等级保护制度，一旦出现问题将会受到主管部门的严厉处罚。 二、哪些单位需要做等级保护 《中华人民共和国网络安全法》强调在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护，明确关键信息基础设施的运营者负有更多的安全保护义务，并配以国家安全审查、重要数据强制本地存储等法律措施，确保关键信息基础设施的运行安全。那么哪些单位需要做等级保护呢？ （一）政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等； （二）金融行业：金融监管机构、各大银行、证券、保险公司等； （三）电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等； （四）能源行业：电力公司、石油公司、烟草公司； （五）企业单位：大中型企业、央企、上市公司等； （六）其它有信息系统定级需求的行业与单位。

信息系统安全等级保护定级报告实例

信息系统安全等级保护定级报告 （起草参考实例） 一、支付通网上支付服务系统描述 （一）该中间业务于*年*月*日由*省邮政局科技立项，省邮政信息技术局自主研发。目前该系统由技术局运行维护部负责运行维护。省邮政局是该信息系统业务的主管部门，省邮政局委托技术局为该信息系统定级的责任单位。 （二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部分，（图略），第一部分为省数据中心，第二部分为市局局域网。 在省数据中心的核心设备部署了华为的S**三层交换机，…… 在省数据中心的网络中配置了两台与外部网络互联的边界设备：天融信 NGFW 4**防火墙和Cisco 2**路由器…… 省数据中心网络中剩下的一部分就是与下面各个地市的互联。其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略，只能现场配置，不可远程拨号登录。 整个信息系统的网络系统边界设备可定为NGFW 4** 与 Cisco 2**。Cisco 2** 外联的其它系统都划分为外部网络部分，而NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络，与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。在此次定级过程中，将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑，统一进行定级、备案。各市的网络和数据中心还要作

为整个系统的分系统分别进行定级、备案。 （三）该支付服务系统业务主要包含：网络表够电、IC卡购电、抄表购电等便民缴费服务。用户不必受网点营业时间限制，足不出户在线完成各类行业IC卡的充值及信用卡还款、手机充值、游戏点卡、航空客票购买等增值服务。支付宝账号充值和订单支付服务。为银行和银行卡用户提供服务通道，借助支付通平台和支付通终端提供的通路，银行卡用户可在线办理银行卡余额查询、转账等银行卡业务。信息订阅：针对支付通平台用户提供各类信息订阅，为用户提供合作商户及支付通的各类优惠打折信息订阅，主要是通过手机短信或彩信、网页显示方式推送给用户。支付宝账号充值和订单支付服务。后续还会有诸如歌华宽带、速通卡业务、各类手机账单缴费业务、账单支付业务等。 涵盖了网上购物、保险、教育、旅游、交通等行业的电子商务业务的网络支付服务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中：通过网络与第三方机构的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。 业务处理系统以省集中结构模式，负责各类中间业务的业务处理，包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。 二、X省邮政金融网中间业务系统安全保护等级的确定 （一）业务信息安全保护等级的确定 1、业务信息描述 金融网中间业务信息包括：代收费情况信息，缴费公民、法人和其他组织的的个人（单位）信息，欠费情况，以及代收费的银行、电信、燃气、税务、保险等部门的信息等。属于公民、法人和其他组织的专有信息。

信息系统安全等级保护测评报告

报告编号：（ -16-1303-01）信息系统安全等级测评报告

说明： 一、每个备案信息系统单独出具测评报告。 二、测评报告编号为四组数据。各组含义和编码规则如下： 第一组为信息系统备案表编号，由2段16位数字组成，可以从公 +安机关颁发的信息系统备案证明（或备案回执）上获得。第1段即备案证明编号的前11位（前6位为受理备案公安机关代码，后5位为受理备案的公安机关给出的备案单位的顺序编号）；第2段即备案证明编号的后5位（系统编号）。 第二组为年份，由2位数字组成。例如09代表2009年。 第三组为测评机构代码，由四位数字组成。前两位为省级行政区划数字代码的前两位或行业主管部门编号：00为公安部，11为，12为，13为，14为，15为，21为，22为，23为，31为，32为，33为，34为，35为，36为，37为，41为，42为，43为，44为，45为，46为，50为，51为，52为，53为，54为，61为，62为，63为，64为，65为，66为兵团。90为国防科工局，91为电监会，92为教育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号。 第四组为本年度信息系统测评次数，由两位构成。例如02表示该信息系统本年度测评2次。

信息系统等级测评基本信息表 注：单位代码由受理测评机构备案的公安机关给出。

声明 本报告是票务系统的安全等级测评报告。 本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。 本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。 本报告中给出的测评结论不能作为对信息系统部署的相关系统构成组件（或产品）的测评结论。 在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关容擅自进行增加、修改和伪造或掩盖事实。

信息安全等级保护定级指南

附件2 信息系统安全保护等级定级指南 （试用稿） 公安部 二〇〇五年十二月

目次 1范围 (11) 2术语和定义 (11) 2.1 业务信息（Business Information） (11) 2.2 业务信息安全性（Security of Business Information） (11) 2.3 业务服务保证性（Assurance of Business Service） (11) 2.4 信息系统（Information System） (11) 2.5 业务子系统（Business Subsystem） (11) 3定级对象 (11) 3.1 信息系统的划分 (12) 3.2 信息系统和业务子系统 (12) 4决定信息系统安全保护等级的要素 (12) 4.1 决定信息系统重要性的要素 (13) 4.2 定级要素赋值 (13) 5确定信息系统安全保护等级的步骤 (15) 6信息系统安全保护等级的确定方法 (16) 6.1 确定业务信息安全性等级 (16) 6.2 确定业务服务保证性等级 (16) 6.3 确定信息系统安全保护等级 (18) 7信息系统安全保护等级的调整 (18) 8附录 (20) 8.1 实例1 (20) 8.2 实例2 (21)

信息系统安全保护等级定级指南 1范围 本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。 有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统，该系统的安全保护等级定为5级，不再使用本指南的方法定级。 各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。 2术语和定义 下列术语和定义适用于本指南。 2.1 业务信息（Business Information） 为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。2.2 业务信息安全性（Security of Business Information） 保证业务信息机密性、完整性和可用性程度的表征。 2.3 业务服务保证性（Assurance of Business Service） 保证信息系统完成业务使命程度的表征。业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。 2.4 信息系统（Information System） 基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。 2.5 业务子系统（Business Subsystem） 由信息系统的一部分组件构成，是信息系统中能够承载某项业务工作的子系统。 3定级对象 如果信息系统只承载一项业务，可以直接为该信息系统确定等级，不必划分业务子系统。 如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。

2020年网络安全自查工作情况报告

网络安全自查工作情况报告 一、组织机构建设情况 为妥善地完成网络安全工作，消除网络安全隐患，我局成立了以分管副局长为组长的网络安全工作领导小组，其中办公室、网监科的科长为副组长，各科室负责人为小组成员，以加强对网络安全工作的领导。严格按照上级部门要求，积极完善各项安全制度，保证了网络安全持续稳定运行。 二、基本情况 为保证网络安全工作顺利开展，我局先后投入资金30余万元，购置绿盟数据库审计系统2套、盈高入网准入控制1套。办公电脑均安装了360三件套（卫士、杀毒、浏览器），采取了360企业版安全防护模式，机房配备了入侵检测系统1台、上网行为管理1台、千兆防火墙2台。同时在每个基层单位确定一名信息联络员，具体负责基层单位日常网络安全维护。我局目前是通过乐清市政府电子政务网访问互联网，我局的外网网站在市政府电子政务网的防火墙保护下。 三、网络安全制度建设情况 我局制定了网络安全工作的各项信息管理制度制度。包括人员管理、机房管理、资产和设备管理、数据和信息安全管理、系统建设和运行维护管理等制度，涉及国家秘密、要害部门管理、计算机及信息系统管理、通信及办公自动化设备管理、网络安全监督检查、政府信息公开网络安全审查、涉密事件报告查处、责任考核与奖惩等基本

制度均在上述管理制度中有涉及到。同时，我局加强网络安全教育、宣传，使有关人员了解网络安全的危害，设立责任意识。 四、信息安全产品采购、使用情况。 我局的信息安全产品都采购国产厂商的产品，未采用国外信息安全产品。信息系统和重要数据的均自行维护，信息安全产品售后服务由厂家提供服务。 五、信息系统等级测评和安全建设整改情况。 20xx年10月oa系统通过等保2级，该信息系统未变化，所以无需作备案变更；目前暂无新建信息系统需要定级备案。 六、存在不足 一、重要的网站还未开展信息系统定级备案、等级测评。还缺乏网站的防篡改等技术防护设备。 二、安全防范意识还有薄弱，信息安全制度的落实工作还不扎实。 七、整改方向 一、加快开展重要网站的等级保护备案、测评和整改建设工作。要按照信息安全等级保护管理规范和技术标准，进一步建立信息安全等级保护管理机制，制定并落实信息安全管理制度。根据测评中反映出的安全问题，确定系统安全需求，落实整改措施，以尽快达到等级要求的安全保护能力和水平。 二、要切实增强信息安全制度的落实工作，不定期的对安全制度执行情况进行检查，从而提高人员安全防护意识。

网络安全等级保护(安全通用要求)建设方案

网络安全等级保护建设方案 （安全通用要求） 北京启明星辰信息安全技术有限公司 Beijing Venustech Information Security Technology Co., Ltd. 二零一九年五月

目录 1.项目概述 (4) 1.1.项目概述 (4) 1.2.项目建设背景 (4) 1.2.1.法律依据 (4) 1.2.2.政策依据 (5) 1.3.项目建设目标及内容 (6) 1.3.1.建设目标 (6) 1.3.2.建设内容 (7) 1.4.等级保护对象分析与介绍 (8) 2.方案设计说明 (8) 2.1.设计依据 (8) 2.2.设计原则 (9) 2.2.1.分区分域防护原则 (9) 2.2.2.均衡性保护原则 (9) 2.2.3.技管并重原则 (9) 2.2.4.动态调整原则 (9) 2.2.5.三同步原则 (10) 2.3.设计思路 (10) 2.4.设计框架 (12) 3.安全现状及需求分析 (12) 3.1.安全现状概述 (12) 3.2.安全需求分析 (13) 3.2.1.物理环境安全需求 (13) 3.2.2.通信网络安全需求 (14) 3.2.3.区域边界安全需求 (15) 3.2.4.计算环境安全需求 (17)

3.2.5.安全管理中心安全需求 (18) 3.2.6.安全管理制度需求 (18) 3.2.7.安全管理机构需求 (19) 3.2.8.安全管理人员需求 (19) 3.2.9.安全建设管理需求 (20) 3.2.10.安全运维管理需求 (21) 3.3.合规差距分析 (22) 4.技术体系设计方案 (22) 4.1.技术体系设计目标 (22) 4.2.技术体系设计框架 (23) 4.3.安全技术防护体系设计 (23) 4.3.1.安全计算环境防护设计 (23) 4.3.2.安全区域边界防护设计 (28) 4.3.3.安全通信网络防护设计 (31) 4.3.4.安全管理中心设计 (34) 5.管理体系设计方案 (35) 5.1.管理体系设计目标 (35) 5.2.管理体系设计框架 (35) 5.3.安全管理防护体系设计 (35) 5.3.1.安全管理制度设计 (36) 5.3.2.安全管理机构设计 (36) 5.3.3.安全管理人员设计 (37) 5.3.4.安全建设管理设计 (38) 5.3.5.安全运维管理设计 (39) 6.产品选型与投资概算 (47) 7.部署示意及合规性分析 (48) 7.1.部署示意及描述 (48) 7.2.合规性分析 (48)

信息安全等级保护初级测评师模拟试题

信息安全等级测评师模拟考试 考试形式：闭卷考试时间：120分钟 一、单选题（每题1.5分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（C ） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A ） A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（A ） A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是（D ） （1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5） B.（3）、（4）、（5） C.（2）、（3）、（4）、（5） D.全部

信息系统安全等级保护定级报告

信息系统安全等级保护定级报告 一、中国农业大学www服务系统描述 (一) 该系统由中国农业大学网络中心搭建并负责运行维 护。中国农业大学网络中心为该信息系统的主管部门 和定级的责任单位。 (二) 该系统是由三台核心服务器系统及其相关配套的设 备、设施构成的。该系统在校园网内，有两个出口， 第一个出口处部署了流控设备和控制网关，再通过 Extreme6808三层交换机接入教育网，在校园网和教 育网的边界设备是思科防火墙设备;第二个出口处部 署了阿姆瑞特防火墙设备，该出口通过该防火墙直接 接入公网。 (三) 该系统的主要业务是为学校各部门、学院、重点实验 室、优秀社团提供网站动、静态数据存储、网站浏览 和虚拟主机服务。 (四) 二、中国农业大学www服务系统安全保护等级确定 (一)信息安全保护等级的确定 1(业务信息描述 www服务系统传输、存贮的信息主要是学校各部 门、学院、重点实验室、优秀社团网站的动、静态信息。 2(业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是公民、 法人和其他组织的合法权益。

侵害的客观方面表现为:一旦信息系统的业务信息 遭到入侵、修改、增加、删除等不明侵害，会对公民、 法人和其他组织的合法权益造成影响和损害，可以表 现为:影响正常工作的开展，导致业务能力下降，泄 露公民隐私，有的甚至给公民造成经济或其它损失。 3(信息受到破坏后对侵害客体的侵害程度 上述结果的程度表现为严重损害。 4(确定业务信息安全等级 查《定级指南》表2知，业务信息安全保护等级为 第二级。 对相应客体的侵害程度业务信息安全被破坏时所侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级 (二) 系统服务安全保护等级的确定 1(系统服务描述 该系统服务的主要功能是为用户提供网站数据存 贮和浏览服务。其服务范围为学校各部门、学院、重 点实验室、优秀社团。 2(系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后，客观方面表现的侵害结果 为:1可能对公民、法人和其他组织的合法权益造成侵害; 2可能对公共利益造成侵害。根据《定级指南》的要求， 出现上述两个侵害客体时，优先考虑社会秩序和公共利 益，另外一个不做考虑。

人民医院信息系统网络安全等级保护整改报告.doc

人民医院信息系统网络安全等级保护整 改报告 人民医院信息系统网络安全等级保护整改报告 商城县公安局网监大队： 我院在接到贵单位发来的《信息系统安全等保限期整改通知书》后，院领导高度重视，责成信息科按照要求进行整改，现在整改情况报告如下。 一、我院网络安全等级保护工作概况 根据上级主管部门和行业主管部门要求，我院高度重视并开展了网络安全等级保护相关工作，工作内容主要包含信息系统梳理、定级、备案、等级保护测评、安全建设整改等。我院目前运行的主要信息系统有：综合业务信息系统。综合业务信息系统是商城县人民医院核心医疗业务信息系统的集合，系统功能模块主要包括医院信息系统(his)、检验信息系统(lis)、电子病历系统(emrs)、医学影像信息系统(pacs)，其中医院信息系统(his)、检验信息系统(lis)、电子病历系统(emrs)由福建弘扬软件股份有限公司开发建设并提供技术支持，医学影像信息系统(pacs)由深圳中航信息科技产业股份有限公司开发建设并提供技术支持。 我院已于2018年11月完成了综合业务信息系统的定级、备案、等级保护测评、专家评审等工作，系统安全保护等级为第二级（s2a2g2），等级保护测评机构为河南天祺信息安全技术有限公司，等级保护测评结论为基

本符合，综合得分为76.02分。在测评过程中，信息科已根据测评人员建议对能够立即整改的安全问题进行了整改，如：服务器安全加固、访问控制策略调整、安装防病毒软件、增加安全产品等。目前我院正在进行门户网站的网络安全等级保护测评工作。 二、安全问题整改情况 此次整改报告中涉及到的信息系统安全问题是我院于2018年11月委托河南天祺公司对医院信息系统进行测评反馈的内容，主要包括应用服务器、数据库服务器操作系统漏洞和oracle漏洞等。针对应用服务器系统漏洞，我院及时与安全公司进行沟通，沟通后通过关闭部分系统服务和端口，更新必要的系统升级包等措施进行了及时的处理。针对oracle数据库存在的安全漏洞问题，我们与安全公司和软件厂商进行了沟通，我院his 系统于2012年底投入使用，数据库版本为oracle 11g，投入运行时间较早，且部署于内网环境中未及时进行漏洞修复。 经过软件开发厂商测试发现修复oracle数据库漏洞会影响his系统正常运行，并存在未知风险，为了既保证信息系统安全稳定运行又降低信息系统面临的安全隐患，我们主要采取控制数据库访问权限，切断与服务器不必要的连接、限制数据库管理人员权限等措施来降低数据库安全漏洞造成的风险。具体措施为：第一由不同技术人员分别掌握数据库服务器和数据库的管理权限；第二数据库服务器仅允许有业务需求的应用服务器连接，日常管理数据库采用本地管理方式，数据库不对外提供远程访问；第三对数据库进行了安全加固，设置了强密码、开启了日志审计功能、禁用了数据库默认用户等。

信息安全等级保护测评及服务技术参数

信息安全等级保护测评及服务技术参数 一、资质要求 1.投标人必须是全国等级保护测评机构推荐目录中的推荐机构。非本地机构参与投标时，必须提供湖北省公安厅认定的《等级测评机构异地测评项目备案表》。 2.投标人至少有1名高级测评师，委派参与工程实施的测评人员必须具有公安部颁发的测评资格证（投标时须提供相关的证明材料）。 3.投标方使用的技术装备、设施须符合《信息安全等级保护管理办法》中对信息安全产品的要求。 4.投标人必须拥有ISCCC信息安全服务资质或其他信息安全服务资质（投标时须提供相关的证明材料）。 二、测评系统目录 投标方须按照国家有关技术规范要求，完成表1和表2所列信息系统的等级保护测评及技术服务工作。其中表1所列的三级系统，需要在2016年11月20日之前完成所有的测评，并配合校方完成整改、复测评和备案工作。 表1 三级系统目录 表2 二级系统目录 特别说明：招标方可以根据学校实际情况，对表2中所列系统名称、安全保护等级级别做适当调整。

三、项目任务 投标人在本项目中，须完成以下工作： 1.协助完成定级备案的相关工作 协助完成测评范围所列信息系统的定级备案工作。按照信息安全等级保护要求，提供定级、备案相关的信息安全技术服务，协助校方完成等级保护定级及备案阶段的相关工作，包括但不限于：撰写备案材料和定级相关报告、协助组织定级评审、办理备案相关手续等。 2. 完成测评范围中所有信息系统的测评工作 依据《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》、《GB/T 20984-2007 信息安全技术信息安全风险评估规范》、《GB/T 22080-2008 信息技术安全技术信息安全管理体系要求》、《GB/T 22081-2008 信息技术安全技术信息安全管理实用规则》等标准的要求，完成表1和表2所列信息系统的现场测评工作。 测评内容应包括但不限于以下内容： （1）安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评； （2）安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评； （3）系统整体测评：控制间测评、层面间测评、区域间测评、系统结构安全测评。 3．完成测评服务相关文档 出具的测评服务记录或报告文档包括：测评记录、系统风险评估报告、系统整改加固建议、信息系统等级保护测评报告等。 4．完成安全隐患整改指导与复测评工作 提供安全隐患整改指导与安全加固服务，并协助建立和完善相关制度。 在校方完成相应的整改工作后，对整改项进行复测评，出具复测报告，确保信息系统备案工作的完成。 5．为学校相关人员提供与测评工作相关的培训服务。 6. 完成其他相关的工作。 四、其他要求 1.投标人须在投标之前做充分的现场调研工作，对拟测评的信息系统现状有足够的了

年网络安全检查总结报告

X X X X公司2017年网络安全检查总结报告 根据XXX公司转发《关于印发<2018年全区关键信息基础设施网络安全检查工作方案>的通知》（桂网办发〔2018〕14号）文件精神，XX公司成立了网络信息安全工作领导小组，在分管领导XXXX的领导下，制定了计划，明确责任，具体落实，对公司各系统网络与信息安全进行了一次全面的调查。发现问题，分析问题，解决问题，确保了网络能更好地保持良好运行。 一、高度重视，加强领导。 为进一步加强网络信息系统安全管理工作，XX公司成立了网络安全工作领导小组，做到分工明确，责任具体到人。网络安全工作小组组长为XXX，副组长为XXXX，成员为XXX、XXX、XXX、XXX、XXX。 二、2017年网络安全主要工作情况 （一）网络（网站）安全管理 公司办公室作为网站管理归口部门，配备专员进行日常运营管理，落实责任，明确到人，严格规范网站信息审核、编辑、发布等程序，较好地履行网站信息上传审签制度、信息系统数据保密与防篡改制度。日常维护操作规范，做到了杜绝弱口令并定期更新，严密防护个人电脑，定期备份数据，定期查看安全日志，随时掌握网络（网站）状态，保持正常运行。

（二）技术防护 公司建立一定规模的综合安全防护措施。一是网络出口及个人电脑均部署应用防火墙，并定期更新检测，确保技术更新；二是对网络设备定期进行安全漏洞检查，及时更新操作系统和补丁，配置口令策略；三是对重要系统和数据进行定期备份。 （三）应急管理 公司办公室为应急技术支持部门，确保网络安全事件的快速有效处置。 三、存在问题 （一）企业官网还未开展信息系统定级备案、等级测试，缺乏网站的防篡改等技术防护设备； （二）网络安全员为兼职，管理力度难以得到保障； （三）公司还未针对网络信息安全制定相关制度和管理办法，部分员工防范意识较为薄弱，网络安全工作执行力度不够。 四、整改方向 （一）加快开展企业官网的等级保护备案、测评和整改工作。要按照网络安全等级保护管理规范和技术标准，进一步建立网络安全等级保护管理机制，制定并落实网络安全管理制度。根据测评反映出的安全问题，确定系统安全需求，落实整改措施，以尽快达到等级要求的安全保护能力和水平。 （二）要进一步完善网络安全管理制度，规范网络（网

网络安全等级保护2.0—北京在信国通科技有限公司

等级保护2.0－北京在信国通科技有限公司 Q1：什么是等级保护？ 答：等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 Q2：什么是等级保护2.0？ 答：“等级保护2.0”或“等保2.0”是一个约定俗成的说法，指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出，以2019年12月1日，网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。 Q3：“等保”与“分保”有什么区别？ 答：指等级保护与分级保护，主要不同在监管部门、适用对象、分类等级等方面。 监管部门不一样，等级保护由公安部门监管，分级保护由国家保密局监管。 适用对象不一样，等级保护适用非涉密系统，分级保护适用于涉及国家密秘系统。 等级分类不同，等级保护分5个级别：一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)；分级保护分3个级别：秘密级、机密级、绝密级。 Q4：“等保”与“关保”有什么区别？ 答：指等级保护与关键信息基础设施保护，“关保”是在网络安全等级保护制度的基础上，实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全，包括关键信息基础设施的范围、保护的主要内容等。 目前《信息安全技术关键信息基础设施网络安全保护基本要求》正在报批中，相关试点工作已启动。 Q5：什么是等级保护测评？ 答：指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。 Q6：等级保护是否是强制性的,可以不做吗？ 答：《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护