网络安全等级保护(第三级)建设方案(等保 2.0) 网络安全等级保护(第三级) 建设方案 目 录 1 概述...........................................................................................................................8 1.1 项目概况....... 2.1 安全策略和管理制度........................................................................16 网络安全等级保护（第三级）建设/整改方案 v2.0 3.2.2 安全管理机构和人员..................................................................... 安全管理中心设计............................................................................34 1 网络安全等级保护（第三级）建设/整改方案 v2.0 5.3 安全管理体系设计方案......................................................................

特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 信息安全等级保护管理办法  第三级：每年至少一次  第四级：每半年至少一次  第五级：依据特殊安全需求测评 网络安全等级保护条例  第三级以上的网络运营者应当每 年开展一次网络安全等级测评 保护 等级 法律 效力 测评 周期 标准体系 等级级别 定级依据 资质要求 测评周期 等 级 保 护 非涉密 信息系统 公安机关 国家标准 （ GB 、 G B/T ） 5 个级别 第一级（自主保护） 第二级（指导保护） 第三级（监督保护） 第四级（强制保护） 第五级（专控保护） 重要业务系统与承 载业务运行的网络、 设备、系统及单位 属性、遭到破坏后 所影响的主、客体 关系等 测评：公安部备案的具有测评资质的机构。 租户 定级 对象 责任分离，分别定级，各自备案 定级 要素  责任主体一分为二：云服务商、云租户均需独立定级备案；  国家关键信息基础设施（重要云计算平台）的安全保护等级 应 不低于第三级（例如政务云、工业云等），金融云需要 达到四级；  云平台其承载或将要承载的等级保护对象的重要程度确定其 安全保护等级，原则上应不低于其承载的等级保护对象的安 全保护等级；  对于大型

码应用安全性评估。 第二十条：重要领域网络和信息系统包括：基础信息网络、涉及国计民生 和基础信息资源的重要信息系统、重要工业控制 系统、面向社会服务的政务 信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系 统（等保三级对应密评三级）。 第九条：国家政务信息化项目， 应当按规定履行审批程序并向国家发展改革委 备案。备案文件应当包括项目名称、等级保护或者分级保护备案情况、密码应用方 控记录数据存储完整性。 层面 指标要求 第三级 物理和环 境安全 （ 10 分） 身份鉴别 宜 电子门禁记录数据存储完整性 宜 视频监控记录数据存储完整性 宜 测评准备 测评过程 测评结果 二、密评方案工作指南物理和环境安全层要求与分析 《应急处置预案设计》 《密码应用实施方案》 《密码应用方案》 方案编制 方案评审 层面 指标要求 第三级 网络和 通信安 n 系统的应用服务器、数据库服务器等设备的操作日志均使用密码技术进行完整 性保护。 n 验证重要可执行程序完整性、来源真实性。 二、密评方案工作指南设备和计算要求与分析 层面 指标要求 第三级 设备 和 计算 （ 15 分） 身份鉴别 应 远程管理通道安全 应 系统资源访问控制信 息完整性 宜 重要信息资源安全标 记完整性 宜 日志记录完整性 宜 重要可执行程序完整

定级 系统被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 密评试点机构目录（全国共 48 家） 密评试点机构目录（全国共 48 家） 密评对象 2 1 重点面向金融、政务等重要 领域中的网络与信息系统 重点面向关键信息基础设施 的，由保密行政管理部门或者密码管理部门 按照各自职责分工责令改正，拒不改正的， 给予警告，并通报向其上级主管部门，建议 对其主管人员和其他直接责任人员依法给予 处分。 1 2 3 4 5 第三级以上网络运营者应在网络规划、建设和运行阶段，按照密 码应用安全性评估管理办法和相关标准，委托密码应用安全性测评机 构开展密码应用安全性评估。网络通过评估后，方可上线运行，并在 投入运行后 投入运行后，每年至少组织一次评估。密码应用安全性评估结果应当 报受理备案的公安机关和所在地设区市的密码管理部门备案。 网络安全等级保护条例 非涉密网络应当按照国家密码管理法律法规和标准的要求，使用密 码技术、产品和功能。第三级以上网络应当采用密码保护，并使用国 家密码管理部门认可的密码技术、产品和功能。 采购人应当按照国家有关规定组织政务信息 系统项目验收，根据项目特点制定完整的项目验 收方案。验收方案应当包括项目所有功能的实现

和重要信息系统的安全。 等级保护的 5 个级别 《 GB 17859-1999 计算机信息系统安全保护等级划分准则》中定义了 5 个系统级别： 第五级 访问验证保护级 第四级 结构化保护级 第三级 安全标记保护级 第二级 系统审计保护级 第一级 用户自主保护级 信息系统定级 备案 安全建设整改 等级测评 监督检查 等级保护的 5 个规定动作 等级保护相关法律法规 《国家信息化领导小组关于加 核评价、社会治安综合治理 考核等。 受侵害的客体 对响应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第三级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 关键信息基础设施安全保护条例 第十八条 下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者 数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键 ■基础信息网络 ■ 云计算平台 ■工业控制系统 ■ 物联网系统 ■移动互联网 ■大数据平台 测评周期的变化  第三级系统每年一次  第四级系统每半年一次  第三级以上系统每年一次 测评结果的变化  60 分以上基本符合  75 分以上基本符合 等级保护控制层面的变化  安全控制层面划分上有较大变化 , 从传统 IT 防护变为体系化防护。

但不损害国家安全。 等保系统定级 等保工作简介 第一级 自主保护级 信息系统受到破坏后， 会对公民、法人和其 他组织的合法权益造 成损害，但不损害国 家安全、社会秩序和 公共利益。 第三级 监督保护级 信息系统受到破坏后， 会对社会秩序和公共 利益造成严重损害， 或者对国家安全造成 损害。 第四级 强制保护级 信息系统受到破坏后， 会对社会秩序和公共 利益造成特别严重损 系统、交通运输、水利枢纽、城市设施等重要工亚控制系统。 面向社会服务的政务信息系统： 04 · 党政机关和使用财政性资金的事业单位和团体组织使用的面 向社会服务的信息系统。 需要做密评的系统和单位 第四级 是在第三级的等级要求上，要求更 强的身份鉴别、数据安全、访问控 制等方面密码应用技术能力与管理 能力，信息系统建设有规范、可靠、 完整、主动防御的密码保障体系， 是体系化密码应用的强制要求； 应对可能的安全威胁。 是在第一级的等级要 求上，要求信息系统 具备身份鉴别、数据 安全保护的非体系化 密码保障能力，可应 对当前部分安全威胁； 第二级 第三级 密码评估等级划分 输出密码 测评报告 密评机构将出具《密码 应用安全性评估报告》 确定评估 对象 组织相关单位编制 密码应用方案 密评结果 上报 报密码管理部门 审核

工业和信息化部电子第五研究所 （中国赛宝实验室） 1.3 密评对 象 《商用密码管理条例（修订草案征求意见稿）》第三十八条明确密码应用安全 性评估对象为： 关键信息基础设施 网络安全等级保护第三级 及以上网络 国家政务信息系统 工业和信息化部电子第五研究所 （中国赛宝实验室） 1.4 密评主要内 容 商用密码 应用安全 性评估 方案评估 系统评估 信息系统规划阶段 系统建设阶段 非涉密网络应当按照国家密码管理 法律法规和标准的要求，使用密码技术、产品 和服务。第三级以上网络应当采用密码保护， 并使用国家密码管理部门认可的密码技术、产 品和服务。 密码法 网络安全法 网络安全等级保 护条例（征求意 见稿） 第三十八条 非涉密的关键信息基础设施、网络安 全等级保护第三级以上网络、国家政务信息系统等 网络与信息系统，其运营者应当使用商用密码进行 保 第十条 重要领域网络和信息系统投入运行后，责任单位应当委托测评机构定期 开 展商用密码应用安全性评估，评估未通过 , 责任单位应当限期整改并 重新 组织评估。关键信息基础设施、网络安全等级保护第三级及以上信 息系统 ，每年至少评估一次。 第二十二条 本办法自 2017 年 4 月 22 日起施行。 《商用密码应用安全性评估 管理办法（试行）》 工业和信息化部电子第五研究所

标准体系 等级级别 定级依据 资质要求 测评周期 等 级 保 护 非涉密 信息系统 公安机关 国家标准 （ GB 、 G B/T ） 5 个级别 第一级（自主保护） 第二级（指导保护） 第三级（监督保护） 第四级（强制保护） 第五级（专控保护） 重要业务系统与承 载业务运行的网络、 设备、系统及单位 属性、遭到破坏后 所影响的主、客体 关系等。 测评：公安部备案的具有测评资质的机 等级保护与分级保护区别 等级保护 测评周期 受侵害的客体 对响应客体的侵害程度 一般损害 严重损害 特别严重损 害 公民、法人和其他组织的合法权益 第一级 第二级 第三级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 《网络安全等级保护条例》 2.0 等级保护安全框 架 等级保护的基本要求、测 评要求和安全设计技术要 求框架统一，即：安全管 理中心支持下的三重防护

计算系统在实际应用中的表现和潜力： 第一级：基础技术能力评测。目标在于评测量子计算系统的基 本技术参数和性能指标。 第二级：应用技术能力评测。目标在于评测量子计算系统在实 际应用领域的具体表现和效果。 第三级：综合应用与未来前景评测。目标在于评测量子计算系 统的长期应用潜力和未来发展趋势。 由于 NISQ 计算机还不稳定，第一级测试可以帮助定位量子计 量子计算应用能力指标与评测研究报告（2024 于量子 计算机还在难以预期的快速发展，当前评测结果可能不具代表性， 无法给出定论，这时候需要第三级评定。第三级评定针对量子计算 机扩展能力，从理论、材料、工艺等多个维度进行趋势判断。 本文的关注目标是第二级评测，兼顾第一级和第三级。评测不 是目的，是手段，需要第一级评测定位问题，需要第三级研判潜力， 共同推动量子计算发展成熟。 2. 应用能力评测类别与目标 量子计算应用能力评测类别包括基准测试和方案测试两类。基 和真机环境测试三种情况。前两种对应第一级评测，后一种对应第 二级评测，都属于方案测试类别。当量子算法在真机上运行验证时 候，可以考虑硬件黑盒、灰盒或白盒模式。若评测对象是量子计算 系统，则对应第二级评测和第三级评测，既可以做给定基准算法和 基准线路的基准评测，也可以做给定算法方案的方案评测。这时基 准评测为了验证整机性能，方案评测为了验证应用能力。 对于性能指标，第一级评测基本都是单项或集成指标。第二级

系统安全等级状况开展技术评测。三级 信息系统应当每年至少进行一次等级测评；四级信息系统应当每半年至少进行一次等级测评；五 级信息系统应当依据特殊安全需求进行等级测评。 -受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护 工作情况进行检查。三级信息系统每年至少检查一次，四级信息系统每半年至少检查一次。对跨 省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。 定级要素与等级的关系 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他 组织的合法权益 第一级 第二级 第二级 社会秩序、公共利 益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 如何确定信息系统安全等级 确定等级流程 业务信息安全保护等级矩阵表 系统服务安全保护等级矩阵表 系统安全保护等级矩阵表 确定定级对象： 具有唯一确定的安全