网络安全等级保护与商用密码应用安全性评估工作指南

微信扫码，打开到小程序

网络安全等级保护 + 密评 工作指南 为什么要做网络安全等级保护 1. 国家网络安全监管要求 2. 行业网络安全监管要求 3. 企业自身网络安全需求 4. 不做等保会面临的处罚 1. 国家网络安全监管要 求 1. 《中华人民共和国网络安全法》 2017 年 6 月 2. 《中华人民共和国密码法》 2020 年 1 月 3. 《中华人民共和国数据安全法》 2021 年 9 月 4 《中华人民共和国个人信息保护法》 2021 年 11 月 5. 《关键信息基础设施安全保护条例》 2021 年 11 月 6. 《商用密码管理条例》 2023 年 7 月 。。。。 网络安全法要求的法定义务 《中华人民共和国网络安全 法》 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络 安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、 破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。 第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络 安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者 导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负 责的主管人员处五千元以上五万元以下罚款。 企业自身网络安全需求 1. 提高网络安全防护能 力 2. 对外合作发展业务需 求 不做等保会面临的处罚 约谈 罚款 责令整改 目前主要针对一些未产生严重 后果但存在较大安全风险 而引 发市场关注的不合规行为，对 其企业法人代表或安全负责人 进行约谈。 对单位的罚款从一万到五十万 不等，对未按要求管理用户发 布的信息 的几家科技公司罚款 较重，分别给 予了两个 50 万 的“最高罚”以及一 个“从重罚”。 最主要的处罚措施为责令整 改， 在我们梳理的 60 个案例 中， 有 33 个案例均涉及责令 整改。 等级保护涉及等级保护相关标准 《信息安全技术 信息系统安全等级保护定级指南 GB/T 22240-2020 》 行业相关指引、要求 等级保护整 改工作 安全等级 差距分析 现 状 分 析 方 法 指 导 《网络安全等级保护实施指南 GB/T 25058-2019 》 《网络安全等级保护安全设计 技术要求 GB/T25070- 2019 》 《网络安全等级保护测评过 程指南 GB T 28449-2018 ∕ 》 《网络安全等级保护测评要 求 GBT28448-2019 》 网络安全等级保护行业细则（如：广电行标） 《信息安全技术 网络安全等级保护基本要求 GBT22239-2019 》 《计算机信息系统安全保护等级划分准则 GB17859-1999 》 《行业信息安全等级保护工作 的指导意见》 等级保护工作 - 咨询及测评 时间不确定因素：公安备案耗时和企业整改耗时 定级备案 资料准备 专家评审 网安备案 初测 安全整改 复测 测评报告 监督检查 定级报告， 备案表，信 息安全部、 技术部组织 架构人员登 记信息表， 相关证件原 件扫描件等 就信息系 统定级情 况组织开 展定级评 审会议， 论证信息 系统定级 的合理性 区网安大 队接受备 案材料， 对备案材 料进行审 核，并办 理信息系 统备案证 明 依据等级保 护测评要求 开展等级保 护测评工作， 出具整改意 见 漏洞扫描 被测方依 据整改意 见并结合 企业的自 身情况进 行信息系 统整改 依据等级保 护测评要求 开展等级保 护测评工作 等级测评报 告编制、出 具 测评报告提 交网安大队 公安机关 对企业进 行监督检 查，企业 按复测周 期提供测 评证书 5 工作日左右 1 工作日 15 工作 日左右 10 工作日 左右 不定 5 工作日左右 15 工作日左 右 复测： 三级一年 二级两年 信息系统如何定级 根据信息和信息系统遭到破坏后或泄露后，对国家安全、社会秩序、公共 利益及公民、法人和其他组织的合法权益的危害程度来进行定级。 侵害程度 侵害客体 特别严重损害 严重损害 一般损害 公民、法 人和其他 组织的合 法权益 社会 秩序、 公共 利益 国 家 安 全 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其 他组织的合法权 益 第一级 第二级 第二级 社会秩序、公共 利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 客户方准备定级材料 技术准备 1. 备案表 2.定级报告 3.专家汇报 PPT 4.系统拓扑图 5.系统使用网络 IP 地址 6.《网络与信息安全承诺书》 7.《网络安全等级保护应急联系登记表》 行政准备 1.专家评审意见（专家资质） 2.工商营业执照 3.法人代表身份证 4.前来交表同志身份证复印件、身份证原件 5.法人授权委托书 6.公司、个人房产证、租房合同复印件并加盖公章或由物业部门开具的房屋租赁或入驻证明原件 7.系统服务器所在地说明，如租赁云端服务器需提供托管协议，及提供商等级保护备案证明复印 件 备案表 定级报告 专家评审汇报 PPT 客户方准备定级材料 等级保护工作 - 咨询及测评 定级备案 资料准备 专家评审 网安备案 初测 安全整改 复测 测评报告 监督检查 定级报告， 备案表，信 息安全部、 技术部组织 架构人员登 记信息表， 相关证件原 件扫描件等 就信息系 统定级情 况组织开 展定级评 审会议， 论证信息 系统定级 的合理性 区网安大 队接受备 案材料， 对备案材 料进行审 核，并办 理信息系 统备案证 明 依据等级保 护测评要求 开展等级保 护测评工作， 出具整改意 见 漏洞扫描 被测方依 据整改意 见并结合 企业的自 身情况进 行信息系 统整改 依据等级保 护测评要求 开展等级保 护测评工作 等级测评报 告编制、出 具 测评报告提 交网安大队 公安机关 对企业进 行监督检 查，企业 按复测周 期提供测 评证书 5 工作日左右 1 工作日 15 工作 日左右 10 工作日 左右 不定 5 工作日左右 15 工作日左 右 复测： 三级一年 二级两年 专家评审 邀请专 家 主要工作内容 • 邀请三位专家（至少有一位 高级测评师） • 收费标准为 1500 元 / 人 • 尽量提前一周预约专家时间 召开会 议 主要工作内容 • 定级评审意见专家签字 • 提供专家证书复印件 • 支付专家费用 等级评 审 主要工作内容 • 由项目负责人介绍公司及等级 备案情况 • 专家现场评审 时间不确定因素：公安备案耗时和企业整改耗时 等级保护工作 - 咨询及测评 定级备案 资料准备 专家评审 网安备案 初测 安全整改 复测 测评报告 监督检查 定级报告， 备案表，信 息安全部、 技术部组织 架构人员登 记信息表， 相关证件原 件扫描件等 就信息系 统定级情 况组织开 展定级评 审会议， 论证信息 系统定级 的合理性 区网安大 队接受备 案材料， 对备案材 料进行审 核，并办 理信息系 统备案证 明 依据等级保 护测评要求 开展等级保 护测评工作， 出具整改意 见 漏洞扫描 被测方依 据整改意 见并结合 企业的自 身情况进 行信息系 统整改 依据等级保 护测评要求 开展等级保 护测评工作 等级测评报 告编制、出 具 测评报告提 交网安大队 公安机关 对企业进 行监督检 查，企业 按复测周 期提供测 评证书 5 工作日左右 1 工作日 15 工作 日左右 10 工作日 左右 不定 5 工作日左右 15 工作日左 右 复测： 三级一年 二级两年 1. 客户准备好所有的纸质版材料（或电子版材料），携带资料到各区网安办公地备案。 2. 警官对系统定级无异议，受理材料，即为备案成功。一般为十五个工作日下发备案证明 或者备案号码。 客户方至网安备案 等级保护工作 - 咨询及测评 定级备案 资料准备 专家评审 网安备案 初测 安全整改 复测 测评报告 监督检查 定级报告， 备案表，信 息安全部、 技术部组织 架构人员登 记信息表， 相关证件原 件扫描件等 就信息系 统定级情 况组织开 展定级评 审会议， 论证信息 系统定级 的合理性 区网安大 队接受备 案材料， 对备案材 料进行审 核，并办 理信息系 统备案证 明 依据等级保 护测评要求 开展等级保 护测评工作， 出具整改意 见 漏洞扫描 被测方依 据整改意 见并结合 企业的自 身情况进 行信息系 统整改 依据等级保 护测评要求 开展等级保 护测评工作 等级测评报 告编制、出 具 测评报告提 交网安大队 公安机关 对企业进 行监督检 查，企业 按复测周 期提供测 评证书 5 工作日左右 1 工作日 15 工作 日左右 10 工作日 左右 不定 5 工作日左右 15 工作日左 右 复测： 三级一年 二级两年 初次测评 1. 备案成功后，测评机构凭备案证明进行入场测评工作 2. 初次测评为标准的网络安全等级保护测评工作，分为两个方向测评：安全管理方向和安全技术方 向 细分测评大项为：一 . 物理安全 二 . 网络安全 三 . 主机安全 四 . 应用安全 五 . 数据安全 六 . 管 理体系 3. 根据测评总体情况，测评机构出具《目标系统网络安全等级保护整改建议》 等保 2.0 控制类 控制项 二 级 三 级 四 级 技术要求 安全物理环 境 物理位置的选择；物理访问控制；防盗窃和防破坏；防雷击；防火；防水和防潮；防静电；温湿度控制；电力供应；电磁防护。 15 22 24 安全通信环 境 网络架构；通信传输；可信验证 4 8 11 安全区域边 界 边界防护；访问控制；入侵防范；恶意代码和垃圾邮件防范；安全审计；可信验证 11 20 21 安全计算环 境 身份鉴别；访问控制；安全审计；入侵防范；恶意代码防范；可信验证；数据完整性；数据保密性；数据备份和恢复；剩余信息保护； 个人信息保护 23 34 36 安全管理中 心 系统管理；审计管理；安全管理；集中管控 4 12 13 管理要求 安全管理制 度 安全策略；管理制度；制定与发布；评审和修订 6 7 7 安全管理机 构 岗位设置；人员配备；授权和审批；沟通与合作；审核与检查 9 14 15 安全管理人 员 人员录用；人员离岗；安全意识教育和培训；外部人员访问管理 7 12 14 安全建设管 理 定级和备案；安全方案设计；产品采购和使用；自行软件开发；外包软件开发；工程实施；测试验收；系统交付；等级测评；服务供 应商选择 25 34 35 安全运维管 理 环境管理；资产管理；介质管理；设备维护管理；漏洞和风险管理；网络和系统安全管理；恶意代码防范管理；配置管理；密码管理； 变更管理；备份与恢复管理；安全事件处置；应急预案管理；外包运维管理 31 48 52 等级保护测评阶段工作流程 测评准备活动 方案编制活动 现场测评活动 测评报告 项目启动 信息收集和分析 工具和表单准备 测评对象确定 测评检查点确定 测评内容确定 测评方案编制 现场测评准备 现场测评和结果记录 结果确认和资料归还 单项结果判定 单元测评结果判定 整体测评 测评结论形成 测评报告编制 取得备案号 时间不确定因素：企业整改耗时 等级保护工作 - 咨询及测评 定级备案 资料准备 专家评审 网安备案 初测 安全整改 复测 测评报告 监督检查 定级报告， 备案表，信 息安全部、 技术部组织 架构人员登 记信息表， 相关证件原 件扫描件等 就信息系 统定级情 况组织开 展定级评 审会议， 论证信息 系统定级 的合理性 区网安大 队接受备 案材料， 对备案材 料进行审 核，并办 理信息系 统备案证 明 依据等级保 护测评要求 开展等级保 护测评工作， 出具整改意 见 漏洞扫描 被测方依 据整改意 见并结合 企业的自 身情况进 行信息系 统整改 依据等级保 护测评要求 开展等级保 护测评工作 等级测评报 告编制、出 具 测评报告提 交网安大队 公安机关 对企业进 行监督检 查，企业 按复测周 期提供测 评证书 5 工作日左右 1 工作日 15 工作 日左右 10 工作日 左右 不定 5 工作日左右 15 工作日左 右 复测： 三级一年 二级两年 客户方安全建设整改 1. 根据测评机构初次测评提供的《整改建议》，客户进行安全整改 2. 整改分为：安全管理整改和安全技术整改 3. 安全管理可结合企业实际情况进行优化 4. 安全技术整改，可根据实际情况购买安全软硬件，例如：网络版杀毒软件、 IDS 、 IPS 、堡垒机、容 灾等 PS ：云服务器可以购买云端套餐。例如阿里云等保套餐 等级保护 2.0— 技术思路 三重防护 安全通信网络 安全区域边界 安全计算环境 一个中心 安全管理中心 网络结构、网络带宽、网络传输、可 信验证 边界防护、访问控制、入侵防范、安 全审计、恶意代码防范、可信验证 身份鉴别、访问控制、安全审计、入 侵防范、恶意代码防范、可信验证； 数据完整性、保密性、数据备份恢 复、个人信息保护等 安全管理、系统管理、安全审计、集 中管控 加强风险管控 查找和发现互联网资产 互联网资产发现 对通过互联网接入的设备生成清单 互联网资产变化监控 资产风险发现 基础环境评估 前期技术沟通 确定审计对象 确定审计方式 和时间 源代码扫描 人工代码审计 成果收集整理 报告内容沟通 输出及提交报告 回归检查 （二次复查） 提交复查报告 报告内容沟通 整体成果汇报 准备阶 段 代码审计阶段实施 复测阶段实施 成果汇报阶段 复测阶段 客户加固完成 提交漏洞验证结果 手工验证漏洞是否加固 准备阶段 明确渗透测试范围 获得渗透测试授权 研讨渗透测试方案 渗透阶段 信息采集 系统层 端口扫描 漏洞扫描 手工测试，验证漏洞，获取访问权 网络层 域名信息 网络结构 应用层 应用扫描 代码分析 提升权限，获取系统、数据库权限 编写渗透测试报告及加固建议 WEB 失陷检测 3 1 代码安全检测 4 渗透测试 5 2 加强安全运维 7*24 小时电话支持 01 02 03 04 05 安全设备巡检 通过定期对安全设备进行巡检，从运行状 态、日志、告警等多方面进行检查 配置变更 通过升级配置文件可以有效提升产品运 行稳定性和有效性。 常规报表 服务人员对设备的运行状态、告警情况 及配置策略等一系列优化操作进行处理 后形成报表 告警处置 通过对产品的告警日志定期 进行分析，更精准地发现网 络安全攻击行为 策略维护优化 通过对产品的策略优化，提升 产品使用效率，增强安全防护 效果 检测阶段 抑制阶段 制 定 抑 制 方 案 ， 及 时 采 取 行 动 限 制 事 件 扩 散 和 影 响 的 范 围 ， 限 制 潜 在 的 损 失 与 破 坏 ， 同 时 要 确 保 封 锁 方 法 对 涉 及 相 关 业 务 影 响 最 小。 根除阶段 对事件进行抑制 之后，通过对有 关事件或行为的 分析结果，找出 事件根源，明确 相应的补救措施 并彻底清除 03 04 准备阶段 制 定 应 急 响 应 计 划 。 分 析 并 明 确 应 急 需 求 ， 调 配 应 急 专 家 团队。 01 专 家 第 一 时 间 赶 赴 现 场 ， 明 确 检 测 范 围 及 对 象 ， 明 确 检 测 方 案 并 实 施 ， 输 出 检 测 报 告。 02 恢复阶段 在查明原因、结果、 损失后，协助用户 方对系统及网络进 行安全恢复，清除 安全隐患，强化安 全防护能力，恢复 系统运行。 05 NGSOC 态势感知与安全运营平台 资产管理 安全监控 漏洞管理 事件流程管理 平台巡检 驻场运维及巡检 1 态势感知平台基础运营 2 应急响应 3 注意重要时期的保障 决战阶段 方案 设计 互联 网资 产发 现 远程 安全 检查 现场 安全 检查 （第 一 轮） 现场 安全 检查 （第 二 轮） 核心 系统 专项 安全 检查 攻防 演习 安全 监测 与调 优 重保 单位 工作 部署 应急 值守 事件 处置 与分 析 实战阶段 临战阶段 备战阶段 互联网资产发现与扫描平台 重保指挥调度平台 攻防演练平台 安全态势感知平台 一线重保安全检查团队 二线应急支撑团队 三线专项技术专家团队 平台 保障 流 程 保 障 人员 保障 注重全方位监控 事件监测 威胁研判 事件处置 问题上报 态势感知 威胁监测 日志监测 行为监测 邮件安全监测 攻击诱捕 其他安全监测 …… 全网络流量分析 日志监测分析 样本分析 威胁情报 攻击者画像 …… 边界阻断 WAF 控制 系统、主机下线 应用排查 主机排查 中间件排查 加固与整改 系统上线 按需向相关监管单位上报 警民联动，联合处置 识全貌 能根除 看得见 在已有安全架构的基础上，通过全流量实时安全分析，全面发现真实攻击！ 最佳技术实践——安全物理环境 物理位置选择 物理访问控制 防盗窃和防破坏 防雷击、防火、防水和防潮、防静电、温湿度控制 电力供应 电磁防护 符合 GB 50174 《电子信息系统机房设计规范》的要求 温湿度控制 符合 A 级机房建设标准 ; 满足等级保护三级要求 ; 最佳技术实践——安全通信网络—防护设计 核心链 路双冗 余 通信传 输加密 网络架构 通信传输 可信验证 最佳技术实践——安全区域边界—安全域的划分 最佳技术实践——安全区域边界安全设计 防火墙 抗 D IPS WAF IDS 上网行 为管理 堡垒机 邮件网关 防火墙 边界防护 访问控制 入侵防范 恶意代码和垃圾邮 件防范 安全审计 可信验证 最佳技术实践——计算环境安全设计 漏洞扫描、 杀 毒、 DLP 、 4A 身份鉴别 数据库审计 数据备份 应用系统实现 个人信息采集 保护机制 应用系统采 用密码技术  身份鉴别  访问控制  安全审计  入侵防范  恶意代码防范  数据完整性  数据保密性  数据备份恢复  剩余信息保护  个人信息报告 最佳技术实践——安全管理中心设计 集中管控 系统运维管理、 三员分离 系统管理 审计管理 安全管理 集中管控 掌握网络安全工作四个基本能力 • 信息资产管理能力 • 已知问题的防护能力 • 安全事件的发现能力 • 新发现问题的修复能力 基本应知应会 • 资产信息 • 资产表 • 团队资源表 • 拓扑、数据、业务逻辑图表 • 防护手段 • 基线与加固 • 安全信息监控 • 安全事件处置 等级保护工作 - 咨询及测评 定级备案 资料准备 专家评审 网安备案 初测 安全整改 复测 测评报告 监督检查 定级报告， 备案表，信 息安全部、 技术部组织 架构人员登 记信息表，