1、金金融融保保险险网网络络安安全全合合规规技技术术白白皮皮书书（2 20 02 22 2 年年）清清华华大大学学金金融融科科技技研研究究院院 金金融融安安全全研研究究中中心心北北京京华华清清信信安安科科技技有有限限公公司司2 20 02 22 2 年年 1 10 0 月月目目录录1.保险行业网络安全概述.11.1.网络安全形势分析.21.2.安全合规形势分析.32.网络安全等级保护概述.52.1.基本概念.52.1.1.等级保护基本概念.52.1.2.等级保护体系框架.52.1.3.等级保护工作内涵.62.1.4.等级保护工作流程.62.1.5.等级保护工作必要性.82.2.政策和标准体系.92

2、.2.1.国家政策和标准.92.2.1.1.网络安全等级保护政策体系.102.2.1.2.网络安全等级保护标准体系.112.2.2.保险行业政策和标准.133.等级保护实施方案.153.1.方案概述.153.1.1.实施框架.153.1.2.实施原则.153.2.等级保护定级.173.2.1.定级方法论.183.2.2.定级流程.213.2.3.定级环节工作内容.213.2.4.定级环节主要工作成果.223.3.等级保护备案.223.3.1.备案流程.233.3.2.备案工作内容.233.3.3.备案工作成果.243.4.建设整改.243.4.1.建设整改流程.263.4.2.建设整改工作内容

3、.273.4.3.建设整改环节交付成果.323.5.等级保护测评.333.5.1.测评方案.343.5.2.测评辅助.453.5.3.辅助测评工作内容.463.5.4.辅助测评主要工作成果.473.6.运行与检查.473.6.1.自查与监管检查.483.6.2.运行检查工作成果.483.7.其它安全运维工作.483.7.1.定期漏洞扫描.493.7.2.定期渗透测试.503.7.3.应急响应.513.7.4.安全加固.523.7.5.安全培训.53第 1 页金融保险网络安全合规技术白皮书（2022）编写人员名单总编辑周道许主编田新远执行主编徐制宇编辑刘志勇李 玲傅裕兴第 2 页1 1.金金融融

4、保保险险网网络络安安全全合合规规1 1.1 1.网网络络安安全全形形势势分分析析随着网络攻击方式的不断演进，网络安全形势不容乐观。具体表现为：一方面，网络攻击事件频发，对社会稳定、生产运行、人民生活造成深远影响；另一方面，新技术、新场景的网络威胁日益增多，利用安全漏洞实施链式攻击更加频繁。即便是安全防御提升，加大了网络攻击难度，但网络攻击者通过多种手段设法“规避”、“绕过”网络安全防线，达到网络攻击入侵目的。尤其是在利益驱动下，网络攻击目标更加精准，攻击者趋于瞄准“高价值”目标。近年来，政企数字化转型，推动了数字安全概念升级、落地。数字时代的安全，不仅要防范网络中断和系统瘫痪等风险、保障“线上

5、”网络系统安全，更要进一步保障“线下”经济社会运行秩序稳定。进入数字化时代，网络高级可持续威胁攻击更为频繁，网络攻击目标、手法、产生的破坏力都匪夷所思。在此背景下，网络安全逐渐成为常态性因素，向着范围更大、防护面更广的数字安全体系演进。基于此，网络安全厂商必须为政企客户构建数字安全体系，并使其成为保障数字化发展的新引擎。厂商和客户均要通过探索差异化、多元化创新模式，夯实技术创新机制，推动服务创新发展，通过创新技术在网络安全领域的融合应用，全面增强网络安全风险感知、监测预警、实时阻断、追踪溯源、应急响应等核心能力。第 3 页1 1.2 2.安安全全合合规规形形势势分分析析随着网络安全法、数据安全

6、法、个人信息保护法、关键信息基础设施安全保护条例等多部重磅法律条例的颁布，标志着我国在网络安全、数据安全、个人信息保护、关键信息基础设施保护等重点领域迎来了有法可依、有章可循的新时代。与之同时，行业监管部门积极落实国家网络安全监管要求，先后制定出台联合规章和管理规定，并且持续加大网络安全执法力度。网络安全法配套文件逐渐出台后，金融保险行业监管部门开始出台实施细则以指导具体实践，适应新的业务使用场景。2019 年 4 月 16 日，中国人民银行发布的 2019 年规章制定工作计划，已经修订/制定 12 项规章，其中个人金融信息保护、客户身份识别、消费者权益保护等相关法律法规备受关注，包括个人金融

7、信息（数据）保护试行办法和中国人民银行金融消费者权益保护实施办法。2019 年 3 月 7 日，国务院国有资产监督管理委员会发布了新版中央企业负责人经营业绩考核办法。新的考核办法中增加了对网络安全事件的考核要求，极大的增强了相关企业负责人的网络安全意识并增加网络安全相关的投入。数字化转型衍生出网络安全的新挑战、新需求，驱动网络安全产品与解决方案不断迭代升级。数字安全的革新，带来的就是安全技术和产品创新。智能化、主动防御、安全运营将成为竞争力的核心。智能化、主动防御、安全运营创新技术具有多种优势，不仅可实现安全威胁的态势感知、关联检测、主动捕获、即时对抗，还支持场景全局化、轻量化、定制化联动部署

8、。可以预见，智能化、主动防御、安全运营类产品将迎来规模化应用，在数字化时代的攻防对抗与核心数字资产防护中彰显其重要价值。第 4 页后疫情时代，金融保险行业均在寻求业务转型和创新式发展，许多组织正在筹划新一轮基础性建设。如果网络安全被排除在预算之外，那么未来几年网络威胁将不可避免的持续增长。故此，金融保险行业应切实考虑将网络安全产品采购纳入计划，使网络安全成为数字化转型的推动力量，以确保为组织转型升级保驾护航。本白皮书仅在网络安全法和网络安全等级保护制度框架下讨论金融保险企业面临的网络安全合规问题和实施实践。第 5 页2 2.网网络络安安全全等等级级保保护护概概述述2 2.1 1.基基本本概概念

9、念2 2.1 1.1 1.等等级级保保护护基基本本概概念念网络安全等级保护是指对网络（含信息系统、数据）实施分等级保护、分等级监管，对网络中使用的网络安全产品实行按等级管理，对网络中发生的安全事件分等级响应、处置。“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，包括网络设施、信息系统、数据资源等。2 2.1 1.2 2.等等级级保保护护体体系系框框架架网络安全已经上升到国家安全战略高度，没有网络安全就没有国家安全，就没有经济社会的稳定运行。在此背景下，网络运营者、行业主管部门和网络安全职能部门有责任和义务开展网络安全顶层设计

10、，落实有关网络安全保护措施，提高网络安全综合保护能力。下图为网络安全等级保护体系框架。第 6 页2 2.1 1.3 3.等等级级保保护护工工作作内内涵涵网络安全等级保护是对网络进行分等级保护、分等级监管，是将信息网络、信息系统、网络上的数据和信息，按照重要性和遭受损坏后的危害性分成五个安全保护等级（从第一级到第五级，逐级增高）；等级确定后，第二级（含）以上网络到公安机关备案，公安机关对备案材料和定级准确性进行审核，审核合格后颁发备案证明；备案单位根据网络的安全等级，按照国家标准开展安全建设整改，建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度；选择符合国家要求的测评机构开展等级

11、测评；公安机关对第二级网络进行指导，对第三、第四级网络定期开展监督、检查。2 2.1 1.4 4.等等级级保保护护工工作作流流程程网络安全等级保护工作主要包括五个环节，分别是定级、备案、建设整改、等级测评和监督检查。第 7 页定定级级网络运营者自行开展网络的安全等保拟定，并组织召开专家评审会，专家对初步定级结果的合理性进行评审，出具专家评审意见，并将初步定级结果上报行业主管部门进行审核。备备案案网络运营者将网络定级材料递交公安机关进行备案，公安机关对定级材料进行审核，并给符合要求（定级准确、符合要求、材料齐全）的网络发放备案证明。建建设设整整改改网络运营者根据网络的安全保护等级，按照对应等级的

12、国家标准开展差距分析和安全建设整改工作。等等级级测测评评网络运营者选择符合国家规定条件的测评机构，对第二级以上的网络开展等级测评，测评机构在测评完成后对符合要求的网络运营者出具测评报告。监监督督检检查查公安机关对网络运营者开展网络安全等级保护工作的情况和网络的安全状况开展执法检查工作。网络运营者需要每年开展网络安全等级保护自查工作。第 8 页2 2.1 1.5 5.等等级级保保护护工工作作必必要要性性网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。网络安全等级保护制度是国家网络安全工作的基本制度，是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施，是维护国家关键信

13、息基础设施的重要手段。2017 年 6 月，中华人民共和国网络安全法规定国家实行网络安全等级保护制度，标志着从 1994 年的中华人民共和国计算机信息系统安全保护条例（国务院令第 147 号）上升到国家法律；标志着国家实施十余年的信息安全等级保护制度从 1.0 时代迈入 2.0 时代；标注着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。金融行业是网络安全等级保护制度和关键信息基础设施安全保护条例施行的重点行业之一，而保险行业作为金融行业的重要分支，网络安全等级保护工作的开展势在必行。网络安全等级保护工作开展的意义如下：降降低低网网络络安安全全风风险险，提提升升网网络络

14、系系统统的的安安全全防防护护能能力力实施网络安全等级保护制度有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调，为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本。第 9 页 满满足足国国家家、行行业业、主主管管单单位位法法律律政政策策的的要要求求网络安全等级保护是我国关于网络安全的基本政策，不按照要求开展等级保护工作等于违法。另外金融作为国家重要领域，陆续发布大量的安全合规与安全监管要求，因此金融保险行业的安全合规工作势在必行。保保障障重重要要方方面面的的网网络络系系统统安安全全优化信息安全资源配置，对网络系统分级实施保护，重点

15、保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面重要信息系统的安全。贯贯彻彻网网络络安安全全意意识识明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理，推动信息安全产业的发展，逐步探索出一条适应我国社会主义市场经济发展的信息安全模式。2 2.2 2.政政策策和和标标准准体体系系2 2.2 2.1 1.国国家家政政策策和和标标准准网络安全已经上升到国家安全战略高度，没有网络安全就没有国家安全，就没有经济社会的稳定运行。最近几年我国加快了网络安全相关法律法规和标准规范的制定和更新，一系列法律、法规和标准、文件密集发布、实施，构筑起较为完善的网络安全监管体系。为组织开展网络安全等

16、级保护工作，公安部根据中华人民共和国计算机信息系统安全保护条例（国务院令第 147 号）及国务院“三定”授权，会同国家第 10 页保密局、国家密码管理局、原国务院信息办和国家发改委、财政部、教育部、国资委等部门出台了一系列政策文件。公安部对网络安全等级保护相关具体的工作出台了一系列指导意见和规范。这些政策文件和标准文件共同构成了网络安全等级保护政策标准体系。2 2.2 2.1 1.1 1.网网络络安安全全等等级级保保护护政政策策体体系系网络安全等级保护政策体系如下图所示。中中华华人人民民共共和和国国计计算算机机信信息息系系统统安安全全保保护护条条例例（国国务务院院令令第第 1 14 47 7

17、号号）该文件第一次提出“计算机信息系统实行安全等级保护”的概念。国国家家信信息息化化领领导导小小组组关关于于加加强强信信息息安安全全保保障障工工作作的的意意见见（中中办办发发 2 20 00 03 3 2 27 7 号号）第 11 页该文件要求实行网络安全等级保护：信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立网络安全等级保护制度，制定网络安全等级保护的管理办法和技术指南。信信息息安安全全等等级级保保护护管管理理办办法法（公公

18、通通字字 2 20 00 07 7 4 43 3 号号）该文件主要内容包括网络安全等级保护制度的基本内容、工作流程、工作要求、等级保护五个环节（定级、备案、建设整改、等级测评、监督检查）的要求等，为开展网络安全等级保护工作提供了规范保障。五五个个环环节节政政策策文文件件另外在网络安全等级保护的五个环节（定级、备案、建设整改、等级测评、监督检查）均有相应的政策文件，本书仅给出政策文件名称（如上图所示）。2 2.2 2.1 1.2 2.网网络络安安全全等等级级保保护护标标准准体体系系国家为了推行网络安全等级保护工作的开展，由公安部牵头组织制定了一系列的网络安全等级保护标准，形成了较为完善的网络安全

19、等级保护标准体系，为开展网络安全等级保护工作提供了标准保障。网络安全等级保护的五个环节（定级、备案、建设整改、等级测评、监督检查）与相关标准文件的关系如下图所示。第 12 页 基基础础标标准准计算机信息系统安全保护等级划分准则（GB17859-1999）是强制性国家标准，同时也是等级保护的基础性标准。在此基础上制定了技术类标准、管理类标准和产品类标准，是相关标准制定的基石。第 13 页 等等保保工工作作开开展展类类标标准准等保工作开展类标准要求主要用于指导网络运营者开展网络安全等级保护工作，一系列的标准可以对定级、备案、建设整改、等保测评和监督检查工作进行指导和参考，主要标准如下：信息安全技术

20、 网络安全等级保护基本要求（GB/T 22239-2019）信息安全技术 网络安全等级保护实施指南（GB/T 25058-2019）信息安全技术 网络安全等级保护定级指南（GB/T 22240-2020）信息安全技术 网络安全等级保护安全设计技术要求（GB/T25070-2019）信息安全技术 网络安全等级保护测评要求（GB/T 28448-2019）信息安全技术 网络安全等级保护测评过程指南（GB/T28449-2018）2 2.2 2.2 2.保保险险行行业业政政策策和和标标准准除上述国家级的法律法规和标准体系外，银保监会针对保险行业也发布了一系列网络安全相关监管文件，共同构成了我国金融保

21、险行业完善的网络安全监管体系。金融保险行业主要的政策和标准文件如下：关于开展保险业信息系统安全等级保护定级工作的通知（保监厅发200745 号）中国保险监督管理委员会关于印发加强网络保险监管工作方案的通知（保监稽查20141 号）中国银保监会关于印发监管数据安全管理办法（试行）的通知（银第 14 页保监发202043 号）中国银保监会办公厅关于印发保险中介机构信息化工作监管办法的通知（银保监办发20213 号）互联网保险业务监管办法(2020 年 12 月 7 日中国银行保险监督管理委员会令 2020 年第 13 号公布 自 2021 年 2 月 1 日起施行)中国银保监会办公厅关于银行业保险

22、业数字化转型的指导意见（银保监办发20222 号）中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知（银保监办发2021141 号）关于印发保险公司信息系统安全管理指引（试行）的通知（保监发201168 号）金融行业网络安全等级保护实施指引（JR/T 0071.2-2020）金融行业网络安全等级保护测评指南（JR/T 0072-2020）第 15 页3 3.等等级级保保护护实实施施方方案案3 3.1 1.方方案案概概述述3 3.1 1.1 1.实实施施框框架架构建“等级化的安全体系”是等级保护工作的基本理念，旨在根据不同用户在等级保护不同等级、不同阶段的业务特性、安全需求及安

23、全应用重点，在等级保护的框架下构建一个安全、可靠、灵活、可持续改进的网络安全体系。等级保护的各个阶段有着不同的工作重点，具体如下图所示：3 3.1 1.2 2.实实施施原原则则在整个等级保护咨询服务全生命周期内应遵循以下原则：业业务务主主导导网络安全等级保护是围绕系统所承载业务的保护。对网络进行等级保护的根本目的不是保护系统的主机和终端，而是网络所承载的业务，这种以业务为核心第 16 页的思想将贯穿整个等级保护的各个阶段，因此明确系统业务、分析业务环境、划分业务边界、导出业务安全需求是网络系统等级保护的首要任务，也是决定等级保护工作质量的最关键阶段。业业务务影影响响最最小小化化在业务系统等级保

24、护合规实施过程中，要尽可能采取一切措施将对业务的影响降至最低，并为现场测试检查提供应急服务。标标准准与与实实际际相相结结合合等级保护合规实施需在深入研究国家所颁布的文件和技术标准基础上进行，但绝不僵化硬搬标准的条例，将结合网络的具体实际情况，制定符合系统业务安全要求和单位特点的等级保护实施方案。保保守守秘秘密密由于等级保护工作大部分设计对国家、对行业、对企业比较重要的网络或数据，因此需要对保密工作高度重视，建立严格的保密制度。在项目开始之前要实施机构与用户签署保密协议，并在商务阶段以合同的形式从法律角度上对用户网络系统的信息保密做出庄严承诺。第 17 页 保保护护重重点点等级保护合规实施过程中

25、的风险评估不是事无巨细，对整个单位的所有区域进行面面俱到的保护，而是重点考虑关键业务、关键业务流程、关键信息资产、关键区域，保证等级保护工作重点突出、有的放矢、目标明确。灵灵活活实实施施由于网络安全等级保护是与具体环境极其相关的，不可能设计一种通用的等级保护实现方法，也不存在对所有单位都适用的单一解决方案。我们的等级保护过程和方法易于修改，实施灵活，可以满足各类单位的需要。它的每个单独过程都可以进行剪裁，以满足单位独特的业务环境。3 3.2 2.等等级级保保护护定定级级网络定级是实施网络安全等级保护的基础和前提。等级确定的正确与否，直接关系到网络系统的定位、后续的安全规划、安全建设、安全实施和

26、等级保护工作相关各方的资源投入，因此在定级阶段如何通过对网络系统的调查和分析，科学、合理地划分网络系统的子系统，并依据各种因素确定网络系统的安全保护等级，对整个等级保护工作能否顺利进行至关重要。网络的定级工作需按照“网络运营者拟定网络安全保护等级、专家评审、主管部门核准、公安机关审核”的原则进行。网络运营者是网络安全等级保护的责任主体，根据所属网络的重要程度和遭到破坏后的危害程度，科学合理确定网络的安全保护等级。保险行业的定级工作开展可参照以下政策和标准文件：第 18 页关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861 号）关于开展保险业信息系统安全等级保护定级工作的通

27、知（保监厅发200745 号）保险公司信息系统安全管理指引（试行）（保监发201168 号）信息安全技术 网络安全等级保护实施指南（GB/T 25058-2019）信息安全技术 网络安全等级保护定级指南（GB/T 22240-2020）3 3.2 2.1 1.定定级级方方法法论论 定定级级要要素素网络的安全保护等级由两个定级要素决定，分别是等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。1 1.受受侵侵害害的的客客体体等级保护对象受到破坏时所侵害的客体包括以下 3 个方面：一是公民、法人及其他组织的合法权益；二是社会秩序、公共利益；三是国家安全。2 2.对对客客体体的的侵侵害害程程度

28、度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度有 3 种：一是造成一般损害；二是造成严重损害；第 19 页三是造成特别严重损害。定定级级方方法法网络安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，网络定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的网络的安全保护等级称为业务信息安全等级。从系统服务安全角度反映的网络的安全保护等级称为系统服务安

29、全等级。确定网络安全保护等级的一般流程如下：确定作为定级对象的网络系统；确定业务信息安全受到破坏时所侵害的客体；根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度，根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级；确定系统服务安全受到破坏时所侵害的客体；根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度，根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级；由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。第 20 页业务信息安全保护等级矩阵表如下：业业务务信信息息安安全全被被破破坏坏时时所所侵侵害害的的

30、客客体体对对相相应应客客体体的的侵侵害害程程度度一一般般损损害害严严重重损损害害特特别别严严重重损损害害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务安全保护等级矩阵表如下：系系统统服服务务安安全全被被破破坏坏时时所所侵侵害害的的客客体体对对相相应应客客体体的的侵侵害害程程度度一一般般损损害害严严重重损损害害特特别别严严重重损损害害公民、法人和其他组织的合法权益第一级第二级第二级第 21 页系系统统服服务务安安全全被被破破坏坏时时所所侵侵害害的的客客体体对对相相应应客客体体的的侵侵害害程程度度一一般般损损害害严严重重损损害

31、害特特别别严严重重损损害害社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级3 3.2 2.2 2.定定级级流流程程等级保护定级流程如下图所示：3 3.2 2.3 3.定定级级环环节节工工作作内内容容等级保护定级工作具体内容如下：等等级级保保护护导导入入培培训训企业需要深入了解等级保护标准思想内涵、定级方法和工作思路，建议进行等级保护导入培训，普及等级保护的基础知识，详解等保项目开展流程、方法、注意事项等内容。网网络络系系统统业业务务调调研研通过对网络系统所承载业务及业务流程的分析，分析网络系统内信息资产和网络系统所提供服务的重要性，协助用户判断网络系统中业务信息和所提供的服务机密

32、性、完整性或可用性等安全属性遭到破坏后，对国家安全利益、经济建设、第 22 页公共利益或单位利益所造成的影响程度。为网络系统定级打下扎实基础。网网络络系系统统辅辅助助定定级级依据信息安全技术 网络安全等级保护定级指南（GB/T 22240-2020）所提出的 4 个定级要素，灵活运用指南中所提出的确定网络系统安全保护等级的步骤和方法，在网络系统业务安全性分析的基础上编写定级报告。定定级级结结果果专专家家评评审审针对定级结果需要邀请公安部、保密局、工信部的等保专家，对 定级报告进行审定，提供指导意见。以此确保定级结果的准确性，规避定级报告在备案过程被网安部门驳回的风险。3 3.2 2.4 4.定

33、定级级环环节节主主要要工工作作成成果果定级环节完成后需行程如下工作成果：等级保护培训课程资料 网络系统基本调研表 定级报告3 3.3 3.等等级级保保护护备备案案成功完成网络系统备案工作是开展后续测评工作的必要前提。网络安全等级保护备案工作包括网络备案、受理、审核和备案信息管理等。第二级（含）以上网络，在安全保护等级确定后 30 日内，由其网络运营者或者其主管部门到所在地设区的地市级以上公安机关办理备案手续。第 23 页金融保险行业的备案工作开展可参照以下政策和标准文件：信息安全等级保护备案实施细则（公信安20071360 号）信息安全技术 网络安全等级保护实施指南（GB/T 25058-20

34、19）保险公司信息系统安全管理指引（试行）（保监发201168 号）3 3.3 3.1 1.备备案案流流程程等级保护备案工作流程如下图所示：3 3.3 3.2 2.备备案案工工作作内内容容等级保护备案工作具体内容如下：备备案案材材料料准准备备根据网安部门或第三方咨询机构提供的备案材料模板和备案要求指导性文件填写备案资料，并由公司管理层和第三方安全技术专家进行内容审核和修改，敲定所有备案材料的终稿。备备案案材材料料提提交交网网安安备案材料和定级材料一起提交网安。备备案案号号下下发发第 24 页备案材料提交网安后，等待备案证明颁发通知，该周期一般二至四周。3 3.3 3.3 3.备备案案工工作作成

35、成果果等级保护备案功能做主要工作成果如下：备案表 备案证明 其他备案所需的所有材料3 3.4 4.建建设设整整改改网络安全等级保护安全建设整改工作是网络安全等级保护制度的核心和落脚点。网络系统定级、等级测评和监督检查等工作最终都要服从和服务于安全建设整改工作，该环节工作一般需要专业的网络安全公司协助，建议选择获得公安部信息安全等级保护安全建设服务机构能力评估合格证书的安全机构。在网络安全等级保护建设整改工作中参照等保建设最佳实践，可以酌情考虑将建设整改工作与定级/备案工作同时开展，可以在一定程度上缩短项目实施周期。建设整改工作分为规划设计阶段和实施实现阶段。规规划划设设计计阶阶段段：安全规划设

36、计是等级保护实施过程中的另一个重要阶段，安全规划设计阶段的目标是通过等级化风险评估判断网络系统的安全保护现状与国家等级保护基本要求之间的差距，确定安全需求，根据网络系统当前情况和安全需求等，设计第 25 页合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划等，以指导后续的网络系统安全建设工程实施。实实施施实实现现阶阶段段：在深入分析系统业务安全需求的基础上，为用户提供并建立一套符合相应等级保护要求的全方位的整体系统安全解决实施方案，方案中不仅包括安全技术体系的实施而且包括安全组织体系的设计和安全管理体系的建立。对于新建网络，应按照国家网络安全等级保护政策标准要求，落实网络安全与信息化

37、建设“三同步”要求，即“同步设计、同步建设、同步实施”网络安全等级保护措施，落实安全责任，落实安全管理措施和技术保护措施。对于已在运行的网络系统，应按照国家网络安全等级保护政策、标准要求开展等级测评和风险评估，发现安全问题、隐患及与国家和行业标准的差距，开展安全整改，直至符合国家和行业标准的要求。保险行业的建设整改工作开展可参照以下政策和标准文件：关于开展信息安全等级保护安全建设整改工作的指导意见（公信安20091429 号）金融行业网络安全等级保护实施指引（JR/T 0071.2-2020）金融行业网络安全等级保护测评指南（JR/T 0072-2020）信息安全技术 网络安全等级保护实施指南

38、（GB/T 25058-2019）信息安全技术 网络安全等级保护基本要求（GB/T 22239-2019）第 26 页信息安全技术 网络安全等级保护安全设计技术要求（GB/T25070-2019）信息安全技术 信息系统通用安全技术要求（GB/T 20271-2006）信息安全技术 信息系统安全管理要求（GB/T 20269-2006）信息安全技术 信息系统安全工程管理要求（GB/T 20282-2006）信息安全技术 信息系统物理安全技术要求（GB/T 21052-2007）信息安全技术 网络基础安全技术要求（GB/T 20270-2006）信息安全技术 信息系统安全等级保护体系框架（GA/T

39、 708-2007）信息安全技术 信息系统安全等级保护基本模型（GA/T 709-2007）信息安全技术 信息系统安全等级保护基本配置（GA/T 710-2007）3 3.4 4.1 1.建建设设整整改改流流程程等级保护建设整改流程如下图所示：第 27 页3 3.4 4.2 2.建建设设整整改改工工作作内内容容等级保护建设整改工作具体内容如下：详详细细调调研研准准备备阶阶段段 调研计划书编制：调研计划书包含调研对象、调研目标、工作开展依据、调研方法、调研工作内容和调研计划安排等。调研表单准备：根据客户网络系统的实际情况，准备调研过程中所需要第 28 页的表单，主要包括网络系统详细调研表、等级保

40、护调研现场记录表等。调研工具准备：根据客户网络系统的实际情况，准备调研过程中所需要的工具，主要包括漏洞扫描工具、渗透测试工具、安全策略验证测试工具等。现现场场调调研研实实施施阶阶段段现场调研实施阶段，严格依据测评中心对网络系统的测评方法开展现场调研工作。调研内容包括技术层面和管理层面，技术层面调研内容包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心，管理层面调研内容包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理。最终形成网络系统详细调研表和等级保护调研现场记录表。安全物理环境：通过人员访谈、安全策略检查和工具测试的方式对业务系统的物理安全保

41、障情况进行调研。主要涉及对象为机房环境和机房内的相关设备。在内容上，安全物理环境的调研内容涉及 10 个单元，分别为：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。安全通信网络：通过人员访谈、安全策略检查和工具测试的方式对业务系统的网络整体安全保障情况进行调研。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构。在内容上，安全通信网络的调研内容涉及 3 个单元，分别为：网络架构、通信传输、可信验证。安全区域边界：通过人员访谈、安全策略检查和工具测试的方式对业务系统的网络边界安全保障情况进行调研。主要涉及对象为网络互联设备、网络

42、安全设备和网络拓扑结构。在内容上，安全区域边界的调研内容涉及 6 个单元，分第 29 页别为：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计和可信验证。安全计算环境：通过人员访谈、安全策略检查和工具测试的方式对业务系统的网络设备安全保障情况、安全设备安全保障情况、主机安全保障情况、数据库安全保障情况和应用安全保障情况进行调研。主要涉及对象为网络设备、安全设备、服务器操作系统、数据库和应用系统。在内容上，安全计算环境的调研内容涉及 11 个单元，分别为：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护和个人信息保护

43、。安全管理中心：通过人员访谈、安全策略检查和工具测试的方式对业务系统的安全运维管理设备安全保障情况进行调研。主要涉及对象为安全防护设备、安全运维管理类设备和安全审计设备。在内容上，安全管理中心的调研内容涉及4 个单元，分别为：系统管理、审计管理、安全管理和集中管控。安全管理制度：通过人员访谈、文档审查和实地察看的方式对业务系统的安全管理制度情况进行调研。在内容上，安全管理制度的调研内容涉及 4 个单元，分别为：安全策略、管理制度、制定和发布和评审和修订。安全管理机构：通过人员访谈、文档审查和实地察看的方式对业务系统的安全管理机构情况进行调研。在内容上，安全管理机构的调研内容涉及 5 个单元，分

44、别为：岗位设置、人员配备、授权和审批、沟通和合作和审核和检查。安全管理人员：通过人员访谈、文档审查和实地察看的方式对业务系统的安全管理人员情况进行调研。在内容上，安全管理人员的调研内容涉及 4 个单第 30 页元，分别为：人员录用、人员离岗、安全意识教育和培训和外部人员访问管理。安全建设管理：通过人员访谈、文档审查和实地察看的方式对业务系统的安全建设管理情况进行调研。在内容上，安全建设管理的调研内容涉及 10 个单元，分别为：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商选择。安全运维管理：通过人员访谈、文档审查和实地察

45、看的方式对业务系统的安全运维管理情况进行调研。在内容上，安全运维管理的调研内容涉及 14 个单元，分别为：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。另外依据测评机构对漏洞扫描、渗透测试的要求，在第三方专业安全公司的协助下采用专业工具和人工验证的方式开展漏洞扫描工作，采用人工的方式开展渗透测试工作。分分析析/报报告告编编制制阶阶段段 等保专家分析结果根据网络系统详细调研表和等级保护调研现场记录表进行调研结果与等级保护测评要求的符合性分析，根据等级保护的相

46、关规范和标准，采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。最终形成网络系统调研差距分析报告。渗透测试专家形成报告第 31 页第三方安全机构的渗透测试专家根据现场漏洞扫描和非现场人工验证的结果，对结果进行分析，最终形成漏洞扫描报告和渗透测试报告。等保专家形成报告第三方安全机构根据网络系统调研差距分析报告、漏洞扫描报告和渗透测试报告，对这些报告中的内容和结果进行综合分析，结合等级保护要求、客户特殊安全要求，最终形成网络系统等级保护安全建设方案-初稿。方案内容包括：项目背景及需求分析、网络系统等级保护建设目标（等级保护要求、客户具体目标等）、网络系统安全现状和差距

47、分析、网络系统安全建设方案、网络系统建设前后对比分析、网络系统安全建设所需安全产品、安全产品部署设计、安全产品安全策略方案。整整改改方方案案确确定定阶阶段段 此阶段，第三方安全机构的项目经理、等保专家会以现场会议的方式与客户相关人员进行网络系统等级保护安全建设方案-初稿的评审与沟通。对安全建设方案的可行性、适用性等进行讨论。最终由第三方安全机构的等保专家形成网络系统等级保护安全建设方案-终稿。产产品品/策策略略/制制度度实实施施阶阶段段 安全产品采购：依据前期的工作，并结合等级保护要求和成本要求，制定最优的产品采购方案，并付诸实施。安全产品策略配置：安全产品采购完成后，需要根据等级保护要求，在

48、第三方安全机构现场协助下进行安全产品策略配置。第 32 页 安全策略调整优化：根据网络系统等级保护安全建设方案-终稿，现场协助客户相关人员进行安全策略调整优化。包括：安全通信网络安全策略调整优化、安全区域边界安全策略调整优化、安全计算环境（网络产品、安全产品、服务器操作系统、数据库系统、应用系统等）安全策略调整优化、安全管理中心安全策略调整优化。保证技术层面各项指标达到等级保护要求和客户的特殊安全需求。安全管理制度编写：根据网络系统等级保护安全建设方案-终稿，根据实际工作情况，编写所缺少的管理制度文档和日常工作相关文档。保证管理层面各项指标达到等级保护要求。漏洞整改：根据网络系统等级保护安全建

49、设方案-终稿、漏洞扫描报告和渗透测试报告，建议在第三方安全机构的协助下对漏洞进行修复。保证达到等级保护要求，同时也保障网络系统的安全性。整整改改成成果果检检查查阶阶段段 根据整改情况，形成等级保护调研现场记录表-更新版，以便于后续测评中心进场开展测评工作。3 3.4 4.3 3.建建设设整整改改环环节节工工作作成成果果等级保护建设整改工作成果如下：网络系统详细调研表 等级保护调研现场记录表 网络系统调研差距分析报告第 33 页 漏洞扫描报告 渗透测试报告 网络系统等级保护安全建设方案-终稿 网络系统等级保护安全建设方案-终稿 等级保护调研现场记录表-更新版3 3.5 5.等等级级保保护护测测评

50、评在建设整改工作完成及备案号下发后即可以再来一等级保护测评工作，根据等级保护制度规定，等级保护测评工作需由网络安全等级测评与检测评估机构服务认证证书持证测评机构进行。通过网络安全等级保护测评，一可以发现网络存在的安全问题，掌握网络的安全状况、排查网络的安全隐患和薄弱环节、明确网络安全建设整改需求，二可以衡量网络的安全保护管理措施和技术措施是否符合等级保护的基本要求、是否具备了相应的安全保护能力。测评过程分为预测评和正式测评。保险行业的测评工作开展可参照以下政策和标准文件：信息安全技术 网络安全等级保护测评要求（GB/T 28448-2019）信息安全技术 网络安全等级保护测评过程指南（GB/T

51、28449-2018）信息安全技术 网络安全等级保护实施指南（GB/T 25058-2019）金融行业网络安全等级保护实施指引（JR/T 0071.2-2020）第 34 页金融行业网络安全等级保护测评指南（JR/T 0072-2020）3 3.5 5.1 1.测测评评方方案案 测测评评内内容容对客户已经定级备案的系统进行十个安全层面的等级保护安全测评（安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理）。安全测评分为预测评和正式测评。预测评主要针对客户已定级备案系统执行国家标准的安全测评，预测评交付预测评

52、问题清单；差距整改完毕后协助完成系统配置方面的整改。最后进行正式测评，正式测评将按照国家标准和国家公安承认的测评要求、测评过程、测评报告，协助对客户已定级备案的系统执行系统安全正式测评，正式测评交付具有国家承认的正式测评报告。网络系统安全等级保护测评包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在网络系统中的实施配置情况；二是系统整体测评，主要测评分析网络系统的整体安全性。其中，安全控制测评是网络系统整体安全测评的基础。安全控制测评使用测评单元方式组织，分为安全技术测评和安全管理测评两大类。安全技术测评包括：安全物理环境、安全通信网络、安全区域边界、安全计算环

53、境和安全管理中心五个层面上的安全控制测评；安全管理测评包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面的安全控制测评。具体如下图所示。第 35 页系统整体测评涉及到网络系统的整体拓扑、局部结构，也关系到网络系统的具体安全功能实现和安全控制配置，与特定网络系统的实际情况紧密相关。在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，分析评估安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及网络系统整体结构安全性、不同网络系统之间整体安全性。测测评评对对象象依照信息安全等级保护的要求、参考业界权威的安全风险评估标准与模型，

54、从网络系统的核心资产出发，以威胁和弱点为导向，对比信息安全等级保护的具体要求，全方面对网络系统进行全面评估。测评对象种类主要考虑以下几个方面：整体网络拓扑结构；机房环境、配套设施；第 36 页 网络设备：包括路由器、核心交换机、汇聚层交换机等；安全设备：包括防火墙、IDS/IPS、防病毒网关等；主机系统（包括操作系统和数据库系统）；业务应用系统；重要管理终端（针对三级以上系统）；安全管理员、网络管理员、系统管理员、业务管理员；涉及到系统安全的所有管理制度和记录。根据网络系统的测评强度要求，在执行具体的核查方法时，在广度上要做到从测评范围中抽取充分的测评对象种类和数量；在执行具体的检测方法，在深

55、度上要做到对功能等各方面的测试。测测评评指指标标等级保护 2.0 对各级系统（二级、三级、四级）的测评项数如下表所示：技技术术/管管理理层层面面二二级级三三级级四四级级技技术术要要求求安安全全物物理理环环境境152224安安全全通通信信网网络络4811安安全全区区域域边边界界112021安安全全计计算算环环境境233436安安全全管管理理中中心心41213第 37 页技技术术/管管理理层层面面二二级级三三级级四四级级管管理理要要求求安安全全管管理理制制度度566安安全全管管理理机机构构91415安安全全管管理理人人员员71214安安全全建建设设管管理理253435安安全全运运维维管管理理314

56、852总总计计134210227 测测评评流流程程等级保护测评实施过程包括以下四个阶段：第 38 页测测评评准准备备阶阶段段 测评项目组组建：明确项目经理、测评人员及职责分工。项目计划书编制：项目计划书包含项目概述、工作依据、技术思路、工作内容和项目组织等。网络系统调研：通过查阅被测系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况，明确被测系统的范围（特别是网络系统的边界），了解被测系统的详细构成，包括网络拓扑、业务应用、业务流程、设备信息（服务器、数据库、网络设备、安全设备、数据库等）、管理制度等。第 39 页 工具和表单准备：根据被测系统的实际情况，准备测评工具和各类测评表单

57、。方方案案编编制制阶阶段段 测评对象确定：根据已经了解到的被测系统信息，分析整个被测系统及其涉及的业务应用系统，确定出本次测评的测评对象。测评指标确定：根据已经了解到的被测系统定级结果，确定出本次测评的测评指标。测评工具接入点确定：确定需要进行工具测试的测评对象，选择测试路径，根据测试路径确定测试工具的接入点。测评内容确定：确定现场测评的具体实施内容，即单元测评内容。测评实施手册开发：编制测评实施手册，详细描述现场测评的工具、方法和操作步骤等，具体指导测评人员如何进行测评活动。现现场场测测评评阶阶段段现场测评实际上就是单项测评，分别从技术上的安全物理环境、安全通信网络、安全区域边界、安全计算环

58、境和安全管理中心五个层面和管理上的安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面分别进行。安全物理环境：通过人员访谈、安全策略检查和工具测试的方式对业务系统的物理安全保障情况进行测评。主要涉及对象为机房环境和机房内的相关设备。在内容上，安全物理环境的测评内容涉及 10 个单元，分别为：物理位置选第 40 页择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。安全通信网络：通过人员访谈、安全策略检查和工具测试的方式对业务系统的网络整体安全保障情况进行测评。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构。在内容上

59、，安全通信网络的测评内容涉及 3 个单元，分别为：网络架构、通信传输、可信验证。安全区域边界：通过人员访谈、安全策略检查和工具测试的方式对业务系统的网络边界安全保障情况进行测评。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构。在内容上，安全区域边界的测评内容涉及 6 个单元，分别为：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计和可信验证。安全计算环境：通过人员访谈、安全策略检查和工具测试的方式对业务系统的网络设备安全保障情况、安全设备安全保障情况、主机安全保障情况、数据库安全保障情况和应用安全保障情况进行测评。主要涉及对象为网络设备、安全设备、服务器操作系统、数据库和

60、应用系统。在内容上，安全计算环境的测评内容涉及 11 个单元，分别为：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护和个人信息保护。安全管理中心：通过人员访谈、安全策略检查和工具测试的方式对业务系统的安全运维管理设备安全保障情况进行测评。主要涉及对象为安全防护设备、安全运维管理类设备和安全审计设备。在内容上，安全管理中心的测评内容涉及第 41 页4 个单元，分别为：系统管理、审计管理、安全管理和集中管控。安全管理制度：通过人员访谈、文档审查和实地察看的方式对业务系统的安全管理制度情况进行测评。在内容上，安全管理制度的测评内容涉

61、及 4 个单元，分别为：安全策略、管理制度、制定和发布和评审和修订。安全管理机构：通过人员访谈、文档审查和实地察看的方式对业务系统的安全管理机构情况进行测评。在内容上，安全管理机构的测评内容涉及 5 个单元，分别为：岗位设置、人员配备、授权和审批、沟通和合作和审核和检查。安全管理人员：通过人员访谈、文档审查和实地察看的方式对业务系统的安全管理人员情况进行测评。在内容上，安全管理人员的测评内容涉及 4 个单元，分别为：人员录用、人员离岗、安全意识教育和培训和外部人员访问管理。安全建设管理：通过人员访谈、文档审查和实地察看的方式对业务系统的安全建设管理情况进行测评。在内容上，安全建设管理的测评内容

62、涉及 10 个单元，分别为：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商选择。安全运维管理：通过人员访谈、文档审查和实地察看的方式对业务系统的安全运维管理情况进行测评。在内容上，安全运维管理的测评内容涉及 14 个单元，分别为：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。第 42 页分分析析与与报报告告编编制制阶阶段段 单项测评结果分析：针对测评指标中的单个测评项，结合具体测评对

63、象，客观、准确地分析测评证据。单元测评结果判定：将单项测评结果进行汇总，分别统计不同测评对象的单项测评结果，从而判定单元测评结果，并以表格的形式逐一列出。整体测评：针对单项测评结果的不符合项，采取逐条判定的方法，从安全控制间、层面间和区域间出发考虑，给出整体测评的具体结果，并对系统结构进行整体安全测评。风险分析：据等级保护的相关规范和标准，采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。等级测评结论形成：在测评结果汇总的基础上，找出系统保护现状与等级保护基本要求之间的差距，并形成等级测评结论。测评报告编制：根据等级测评结论，编制测评报告，包括概述、被测系统描述、

64、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。测测评评方方法法在等级保护测评过程目中，将采用以下测评方法：工工具具测测试试利用技术工具（漏洞扫描工具、渗透测试工具、压力测试工具等）对系统进行测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透测试等。第 43 页测测评评方方法法工工具具测测试试简简要要描描述述利用技术工具，从网络的不同接入点对网络内的主机、服务器、数据库、网络设备、安全设备等进行脆弱性检查和分析达达成成目目标标发掘系统的安全漏洞工工作作条条件件1-2 人工作环境，电源和网络接入环境，客户人员、网络、系

65、统配合工工作作结结果果工具测试结果记录配配置置检检查查利用上机验证的方式检查主机、服务器、数据库、网络设备、安全设备、应用系统的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等），测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性，从而测试系统是否达到可用性和可靠性的要求。测测评评方方法法配配置置检检查查简简要要描描述述通过登陆系统控制台的方式，人工核查和分析主机、服务器、数据库、网络设备、安全设备、应用系统的安全配置情况达达成成目目标标发现配置的安全隐患工工作作条条件件1-2 人工作环境，客户人员、网络、系统配合工工作作结结果果配

66、置检查结果记录第 44 页人人员员访访谈谈与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，不同等级网络系统在测评时有不同的要求，一般应基本覆盖所有的安全相关人员类型，在数量上可以抽样。测测评评方方法法人人员员访访谈谈简简要要描描述述通过交流、讨论的方式，对技术和管理方面进行脆弱性检查和分析达达成成目目标标发掘技术和管理方面存在的安全问题工工作作条条件件1-2 人工作环境，客户人员配合工工作作结结果果人员访谈结果记录文文档档审审查查检查制度、策略、操作规程、制度执行情况记录等文档（包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案

67、、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档）的完整性，以及这些文件之间的内部一致性。测测评评方方法法文文档档审审查查简简要要描描述述通过文档审核与分析，检查制度、策略、操作规程、制度执行情况记录的完整性和内部一致性达达成成目目标标发掘技术和管理方面存在的安全问题第 45 页工工作作条条件件1-2 人工作环境，客户人员、各类文档资料配合工工作作结结果果文档审查结果记录实实地地查查看看通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序等方面的安全情况，测评其是否达到了相应等级的安全要求。项项目目名名称称实实地地查查看看简简要要描描述述通

68、过现场查看人员行为、技术设施和物理环境状况，检查人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况。达达成成目目标标发掘技术和管理方面存在的安全问题工工作作条条件件1-2 人工作环境，客户人员配合工工作作结结果果实地查看结果记录 输输出出文文档档 等级保护测评实施方案（资产收集、测评表）等级保护问题清单3 3.5 5.2 2.测测评评辅辅助助辅助测评工作流程如下图所示：第 46 页3 3.5 5.3 3.辅辅助助测测评评工工作作内内容容辅助测评工作具体内容如下：预预测测评评辅辅助助测评机构对网络系统进行预测评，主要依照等级保护测评项对网络系统进行查验性测评，另外通过专业的工具对网

69、络系统进行扫描验证，发掘漏洞。在测评中心进场之前准备测评工作所需的所有相关材料，并全程辅助、配合，并详细记录测评机构提出的问题，根据测评中心给出的预测评问题清单，给出预测评问题及整改建议。小小幅幅度度整整改改由于预测评之前已对网络系统进行安全整改，所以在预测评后，需要整改的内容较少，客户仅需根据测评机构的预测评结果对网络系统进行小幅度整改。正正式式测测评评辅辅助助测评中心正式对网络系统进行测评，客户需全程辅助测评，建议在第三方安全机构的协助下解决正式测评过程中的专业问题。测测评评报报告告进进度度跟跟进进测评中心根据现场的测评情况进行资料整理，与测评中心持续进行沟通，保证测评报告的质量和进度。备

70、备案案证证明明进进度度跟跟进进测评报告完成后，将测评报告提交网安，并与网安持续进行沟通，第 47 页以期最短时间获取备案证明。3 3.5 5.4 4.辅辅助助测测评评主主要要工工作作成成果果辅助测评工作主要成果如下：预测评问题及整改建议 测评报告 备案证明3 3.6 6.运运行行与与检检查查网络系统顺利通过测评，最终顺利获取备案证明和测评报告后，在后续运行过程中还会面临网安、行业主管部门、上级单位的检查。除此之外，网络运营者需按照中华人民共和国网络安全法和网络安全等级保护制度的相关要求，对网络安全工作情况、等级保护工作落实情况进自查，掌握网络安全状况、安全管理制度及技术保护措施的落实情况等，及

71、时发现安全隐患和存在的突出问题，有针对性地采取技术和管理措施。保险行业的检查工作开展可参照以下政策和标准文件：公安机关信息安全等级保护检查工作规范（试行）公安机关网络安全执法检查工作指引公安机关互联网安全监督检查规定保险公司信息系统安全管理指引（试行）（保监发201168 号）第 48 页保险中介机构信息化工作监管办法（银保监办发20213 号）互联网保险业务监管办法（中国银行保险监督管理委员会令 2020年第 13 号公布，自 2021 年 2 月 1 日起施行）3 3.6 6.1 1.自自查查与与监监管管检检查查在等级保护系统运行过程中，需要根据等级保护制度要求进行安全自查，公安部门、行业

72、主管部门和上级主管机构也会对其所管辖范围内的企业进行等保工作抽查。该部分主要工作内容包括：出具网络系统等级保护自查报告、准备抽查工作所需的材料，回答网安检查过程中提问的相关问题，技术部分安全策略检查和调整；管理制度部分检查和调整等等。3 3.6 6.2 2.运运行行检检查查工工作作成成果果运行检查阶段主要工作成果如下：网络系统等级保护自查报告 技术核查和调整管理核查和调整其他检查过程中临时所需的材料3 3.7 7.其其它它安安全全运运维维工工作作网络系统顺利通过测评，最终顺利获取备案证明和测评报告，不代表安全工作的结束。为保障客户网络系统与业务的正常、安全、稳定运行，需要第 49 页常态化开展

73、以下安全工作：3 3.7 7.1 1.定定期期漏漏洞洞扫扫描描建议在第三方安全机构的协助下，每季度对网络系统所涉及的服务器、网络设备、安全设备和应用系统进行漏洞扫描；根据漏扫结果，出具 漏洞扫描报告，给出漏洞修复建议，并进行漏洞修复。漏洞扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描，查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。漏洞扫描项目包括如下内容：信息探测类文件服务后门程序网络设备与安全设备域名服务其他服务RPC 服务Mail 服务拒绝服务WEB 服务Windwos 远程访问其他问题CGI 问题数据库问题-

74、通过定期漏洞扫描，可以验证各类操作系统的安全补丁情况，方便及时地提示对操作系统的安全补丁进行更新，发现已有的补丁自动升级系统没有进行升级的系统补丁，全面加强系统的补丁管理。漏洞扫描是利用安全评估工具对绝大多数评估范围内的主机、网络设备等系统环境进行的漏洞扫描。但是，评估范围内的网络设备安全策略的弱点和部分主第 50 页机的安全配置错误等并不能被扫描器全面发现，因此还需要对评估工具扫描范围之外的系统和设备进行人工安全检查。3 3.7 7.2 2.定定期期渗渗透透测测试试建议在第三方安全机构的协助下，每半年对应用系统进行渗透测试；根据渗透测试结果，出具渗透测试报告，给出风险修复建议，并进行风险修复

75、。渗透测试过程主要依据安全专家已经掌握的安全漏洞信息，模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。这里，所有的渗透测试行为将在客户的书面明确授权和监督下进行。渗透测试主要针对系统主机进行，因此将占用主机系统及其所在的网络环境的部分资源。同时需要工作人员的一些配合（某些特定条件下，如为了节省时间破解密码，渗透测试将首先得到普通用户权限），对于其他的资源没有特殊的要求。黑客的攻击入侵需要利用目标网络的安全弱点，渗透测试也是同样的道理。它模拟真正的黑客入侵攻击方法，以人工渗透为主，辅助以攻击工具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内。由于采用可控制的、非破坏

76、性质的渗透测试，因此不会对渗透测试对象造成严重的影响。在渗透测试结束后，系统将保持正常运行状态。渗透测试流程如下图所示。第 51 页3 3.7 7.3 3.应应急急响响应应网络安全的发展日新月异，无法实现一劳永逸的安全，所以当紧急安全问题发生，一般技术人员又无法迅速解决的时候，及时发现问题、解决问题就必须依靠专业的应急响应服务来实现。建议在第三方安全机构的协助下，对网络系统面临的紧急安全事件进行应急响应。紧急安全事故包括：大规模病毒爆发、网络入侵事件、拒绝服务攻击、主机或网络异常事件等。应急响应工作内容：接到应急响应请求时迅速启动响应预案；接到远程应急响应请求发出 30 分钟内指派工程师进行处

77、理，无论能否解第 52 页决问题每天都会返回处理情况简报，直到此次响应服务结束；在远程应急响应 2 小时后还不能解决问题，则立即执行本地应急响应流程，在本地应急响应请求发出后，工程师在 2 小时内到达事故现场，协助现场人员进行问题处理；响应完成后，整理详细的事故处理报告，内容包括事故原因分析、已造成的影响、处理办法、处理结果、预防和改进建议等提交给相关人员；远程应急响应和本地应急响提供 724 响应。3 3.7 7.4 4.安安全全加加固固建议在第三方安全机构的协助下，每半年开展一次安全加固工作。网络安全是动态的，需要时刻关注最新漏洞和安全动态，制定更新的安全策略以应付外来入侵和蠕虫病毒等威胁

78、。针对客户业务系统各台服务器的漏洞和脆弱性，定期的进行安全加固，可以使系统有效的抵御外来的入侵和蠕虫病毒的袭击，使系统可以长期保持在高度可信的状态。安全加固是针对进行评估后的主机的漏洞和脆弱性采取的一种有效的安全手段，可以帮助系统抵御外来的入侵和蠕虫病毒的袭击，使系统可以长期保持在高度可信的状态。通常对系统和应用服务的安全加固包括如下方面：安装最新补丁 帐号、口令策略调整 网络与服务加固第 53 页 文件系统权限增强 日志审核功能增强 安全性增强安全加固工作流程如下图所示。3 3.7 7.5 5.安安全全培培训训根据信息安全技术的发展和不同层面的信息安全人才需求，企业需要开展定第 54 页期安

79、全培训工作，包括课程如下：信信息息安安全全意意识识培培训训面向非技术类用户。目的是通过大量的当前典型安全事件导入，从感性认知层面对目前的信息安全威胁给予直观、形象的描述，使用户能对当前的信息安全威胁有一个深刻的认识。同时通过案例介绍的方式对用户日常工作、生活中经常用到的一些客户端应用工具、系统的安全威胁进行分析，并阐明具体的防范措施，最终协助建立起适合个人、企业的用户行为基准。信信息息安安全全技技术术培培训训面向信息安全技术类用户，例如系统管理员、安全技术员等。目的是通过培训让其在系统及应用层面上了解常见通用操作系统架构以及其安全性，掌握相关系统的安全配置和管理能力；在网络层面上了解常见的网络安全协议掌握网络安全协议以及路由交换常见安全配置；同时通过实验了解常见的网络攻击技术原理，掌握常见的攻击防护方法。信信息息安安全全产产品品培培训训通过详细介绍系列安全产品的工作原理、安装部署和调参排错方法，同时结合一些产品实验加强对产品的了解，使相关人员能灵活利用这些安全产品解决组织的实际安全问题。