网络安全等级保护工作须知

1、网络安全等级保护工作须知一、为什么要落实网络安全等级保护工作1、法律有明确规定。中华人民共和国网络安全法第二十一条规定，国家实行网络安全等级保护制度。因此，不落实网络安全等级保护制度就是违法。（中华人民共和国网络安全法节选见附件1）2、有效提高自身网络安全。实践证明，对网络信息系统分等级保护能够有效提高安全防护水平，降低单位网站被篡改、系统瘫痪、数据泄露或被勒索的风险（相关案例见附件2）o3、有效保障和控制网络安全建设成本。在网络信息系统规划、建设和使用过程中同步建设安全设施，保证网络安全与网络信息系统建设相协调，可有效保障和控制网络安全建设成本，避免不必要的支出。二、网络安全等级保护基本知识

2、1、等级保护对象。指网络安全等级保护工作中的对象，通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，等级保护对象覆盖全社会和所有网络信息系统，包括：非涉密的基础信息网络、信息系统、大数据应用/平台/资源、物联网、云平台/系统、工业控制系统和采用移动互联技术的系统等。2、三同步原则。各单位应遵循网络安全与网络信息系统”同步规划、同步建设、同步使用”的原则，确保网络安全落实到位。3、级别。根据网络信息系统在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公

3、共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，从第一级开始，从低到高分为五个安全保护等级。4、工作流程。包括定级备案、安全建设、等级测评、安全整改和监督检查。三、如何落实网络安全等级保护工作1、自定级。单位确定网络安全等级保护对象后，参照GA/T13892017信息安全技术网络安全等级保护定级指南自行确定网络系统的等级，填写网络安全等级保护自定级报告（模板见附件3）。如主管部门对定级对象有定级指导意见的，按指导意见确定等级（原则上大数据安全保护等级为第三级以上；国家关键信息基础设施的安全保护等级应不低于第三级）。2、确定等级。安全保护等级初步确定为第一级的等级保护对象，具运营使

4、用单位应当依据标准进行自主定级；安全保护等级初步确定为第二级以上的等级保护对象，其运营使用单位应当依据标准进行初步定级、专家评审、主管部门审批、公安机关备案审查，最终确定其安全保护等级，具体流程为：自定级后，其运营使用单位应填写网络安全等级专家评审申请报告（模板见附件4）,组织网络安全专家对自定级情况进行评审，专家人员不少于3名，由专家组出具评审报告（模板见附件5）,其运营使用单位可向当地信息安全等级保护工作领导小组办公室或当地公安机关咨询网络安全定级评审专家（联系人及联系方式见附件6）。按主管部门指导意见定级的，报行业主管部门或上级主管部门审核批准。3、备案。第二级以上网络系统，具运营使用单

5、位应向属地公安机关办理备案，备案流程可登陆宁波市公安局官网查询（）。公安机关认为定级不准确的，不予备案，并退回单位重新定级。4、安全建设。根据GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求，对应保护对象的级别进行规划设计，按照GB/T22239-2019信息安全技术网络安全等级保护基本要求同步开展建设。5、等级测评。其运营使用单位应委托有测评资质的第三方测评机构，机构名单可登陆中国网络安全等级保护网查询（，浙江8家测评机构名单见附件7）,对保护对象开展等级测评。6、安全整改。单其运营使用位根据测评机构出具的测评报告，对照测评结果进行整改，确保符合安全标准。7、监督检查

6、。公安机关对单位网络安全等级保护制度落实情况进行监督检查，在检查时，各单位应提供本单位网络信息系统底数清单和台帐，一个网络信息系统对应一本台帐。网络信息系统台帐应包括：网络安全等级保护自定级报告、网络安全有关材料（网络安全组织机构建立情况、网络系统使用的主要设备、操作系统、数据库、防病毒软件以及网络拓扑图）、信息系统安全等级保护备案表、专家评审报告或主管部门审核批准网络安全等级意见、测评后符合系统安全等级保护的技术测评报告（后三项为第二级以上网络系统需提供）。落实过程中遇到问题可及时与本地等保办联系。附件1:中华人民共和国网络安全法节选第二十一条国家实行网络安全等级保护制度。网络运营者应当按照

7、网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安

8、全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。附件2:相关案例1、2020年1月1日17时许，宁波某进出口有限公司的网站被土耳其黑客组织篡改，并张贴该组织标语，造成恶劣影响。经属地公安机关对该公司现场检查后发现，该公司未落实网络安全保护义务及网络安全等级保护制度，根据网络安全法有关规定，对该公司作出罚款一万元的行政处罚，对该公司行政主管人员周某作出罚款五千元的行政处罚。2、2019年2月17日上午，高新区某医院遭勒索病毒攻击，造成信息系统瘫痪，严重影响了患者就医秩序，直至2月19日才恢复诊疗服务经属地公安机关现场检查后发现，该医院未落实网络安全保护义务

9、及网络安全等级保护制度，根据网络安全法有关规定，对该医院作出行政警告的处罚。3、2019年4月2日，海曙区某证券投资咨询有限公司计算机信息系统被非法侵入，窃取大量公民个人信息上万条后泄露给他人。经属地公安机关现场检查后发现，该公司未按规定落实网络安全等级保护制度，根据网络安全法有关规定，对该公司作出行政警告的处罚。4、2019年中旬，北仑某企业发生一起QQ诈骗案，涉案金额480万，嫌疑人使用了海曙区某服装有限公司的IP地址作为攻击跳板。经属地公安机关对该服装有限公司现场检查后发现，该公司网络安全保护意识淡薄，未落实网络安全等级保护制度，对刑事案件的发生负有一定的行政管理责任。根据网络安全法有关

10、规定，对该公司作出行政警告的处罚。5、2019年2月中旬，我市先后有五家医疗机构遭勒索病毒攻击。同年12月16日，我市杭州湾新区一家大型制造业企业遭勒索病毒攻击。这些单位的核心业务系统被加密，正常经营秩序受到严重影响，黑客勒索巨额比特币赎金。附件3:网络安全等级保护定级报告模版网络安全等级保护定级报告一、XXX网络信息系统描述简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三

11、是该定级对象是否承载着单一或相对独立的业务，业务情况描述。二、XXX网络信息系统安全保护等级确定（定级方法参见国家标准信息系统安全等级保护定级指南）（一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以

12、及侵害程度，确定业务信息安全等级。（二）系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。（三）安全保护等级的确定网络信息系统的安全保护等级由业务信息安全

13、等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。网络信息系统名称安全保护等级业务信息安全等级系统服务安全等级XXX息系统XXX附件4:网络安全等级专家评审申请报告模版X市邮政金融网信息系统网络安全等级专家评审申请报告（示例，试用参考版本）申报单位：（盖章）申报日期：受理单位：宁波市信息安全等级保护工作领，小组办公室受理日期：二零二X年XX月填写说明11单位基本情况22申请评审的信息系统汇总表33信息系统划分43.1 管理机构43.2 网络结构43.3 业务应用53.4 信息系统划分结果54邮政金融网中间业务系统自定级报告65邮政综合计算机网系统自定级报告106系统使用

14、的安全产品清单及认证、销售许可证明10填写说明1、填报依据。根据中华人民共和国网络安全法、浙江省信息安全等级保护管理办法（省政府令223号）和浙江省信息安全等级评审实施细则之规定制作本表。2、填报范围。本报告由基础信息网络与重要信息系统的运营、使用单位或主管部门填写。3、申报方式。本报告一式五份，由申请单位向受理申请机构提交。同时将电子版本申请材料发本地信息安全等级保护工作领导小组办公室。4、单位基本情况表：单位负责人，是指主管本单位信息安全工作的领导；责任部门，是指单位内负责信息系统安全工作的部门；隶属关系，是指信息系统运营使用单位与上级行政机构的从属关系。5、系统自定级报告：是指依据定级报

15、告模版编写的定级报告。所有信息系统均应该填写。6、系统使用的安全产品清单及认证、销售许可证明：是指该信息系统具体使用的信息安全产品名称、型号、数量、购置日期、生产单位、销售单位、是否取得计算机安全专用产品销售许可证、销售许可证号、在同类型（功能）产品中该产品的使用率等信息。7、信息系统定级评审专家意见表：由参加评审的专家组填写。8、重要提示。本报告模板第8、9页的蓝色标记部分，属于定级工作的核心内容，各单位定级工作中要详细分析、准确描述。9、解释：本表由宁波市信息安全等级保护工作领导小组办公室负责解释。联系人：顾成良，87062739,联系地址：宁波市郭州区中兴路658号宁波市公安局，邮编：3

16、15040。1单位基本情况单位名称单位地址邮政编码单位负责人姓名职务/职称办公电话电子邮件责任部门责任部门联系人姓名职务/职称办公电话电子邮件移动电话隶属关系1中央2省（自治区、直辖市）3地（区、市、州、盟）4县（区、市、旗）9其他单位类型1党委机关2政府机关3事业单位4企业9其他行业类别11电信12广电13经营性公众互联网21铁路22银行23海关24税务25民航26电力27证券28保险31国防科技工业32公安33人事劳动和社会保障34财政35审计36商业贸易37国土资源38能源39交通40统计41工商行政管理42邮政43教育44文化45卫生46农业47水利48外交49发展改革50科技51宣传

17、52质量监督检验检疫99其他2申请评审的网络信息系统汇总表系统编号定级系统名称自定级别0001邮政金融网中间业务系统30002综合计算机网23网络信息系统划分3.1 管理机构X省邮政储汇局成立于1986年。主要负责对全省37个市县局邮政储蓄、汇兑以及代理保险等金融业务进行管理、指导。邮政局高度重视邮政信息化建设，建立了覆盖全省各市的邮政金融中间业务系统和省局办公综合计算机网络系统。在整个网络信息系统中，省邮政储蓄局和地方局承担了不同的安全管理责任。省邮政储蓄局负责省数据中心核心系统的运行、维护等安全责任，各市分支机构直接负责所在地的系统的运行、维护和安全责任。3.2 网络结构省邮政金融系统包括

18、金融网中间业务系统和综合计算机网两个逻辑上隔离的网络系统。金融网中间业务系统包括省级数据中心和部分市局域网络，涉及的操作系统为HPUX,WINDOWS和SCOUNIXEo综合计算机网是省局的办公网，包括四台电子汇兑主机，两台报刊发机服务器和两台综合网网管服务器，操作系统涉及Linux和WINDOWS,数据库为ORACLE,另外在综合网网管服务器上安装NETVIEW。具体网络结构如下：3.3 业务应用邮政金融网中间业务系统主要是承担：中国移动代收费、中国联通代收费、代理国债、批量工资代发、批量水电气等费用代扣、代收烟草款等业务。综合计算机网是部门办公业务网，主要承担：公文收发、邮件处理、日常办公

19、、财务管理等工作。邮政网的两个业务系统均不涉及国家秘密信息。3.4 网络信息系统划分结果从管理机构的不同考虑，应将省局信息系统和地方信息系统分别进行划分，形成省局信息系统和地方分支机构信息系统。省局信息系统中，由于邮政金融网中间业务系统和综合计算机网各自拥有一套独立的软硬件，且分别承载不同业务，系统业务之间不存在依赖性，故划分为两个独立的系统。各市的网络和数据中心还要作为整个系统的分系统另行定级。信息系统划分结果如下：系统编号信息系统名称0001邮政金融网中间业务系统0002综合计算机网4邮政金融网中间业务系统自定级报告X省邮政金融网中间业务系统描述（一）该中间业务于2006年7月1日X省邮政

20、储蓄局科技立项，省邮政信息技术局自主研发。目前该系统由技术局运行维护部负责运行维护。省邮政局是该信息系统业务的主管部门，省邮政局委托技术局为该信息系统定级的责任单位。（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、力口工、存储、传输、检索等处理的人机系统。整个网络分为两部分，（图略），第一部分为省数据中心，第二部分为市局局域网。在省数据中心的核心设备部署了华为的Switch三层交换机，在省数据中心的网络中配置了两台与外部网络互联的边界设备：天融信NGFW4防火墙和Cisco200潞由器。省数据中心网络中剩下的一部分就是与下面各个

21、地市的互联。其中主要设备部署的是整个省数据中心网络中的所有设备系统都按照统一的设备管理策略，只能现场配置，不可远程拨号登录。整个信息系统的网络系统边界设备可定为NGFW屿Cisco2008Cisco2008外联的其它系统都划分为外部网络部分，而NGFW4*以内的部分包括与各地市互联的部分都可归为中心的内部网络，与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。在此次定级过程中，将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑，统一进行定级、备案。各市的网络和数据中心还要作为整个系统的分系统分别进行定级、备案。（三）该信息系统业务主要包含：中国移动

22、代收费、中国联通代收费、代理国债、批量工资代发、批量水电气等费用代扣、代收烟草款等业务，弁新增加了代收国税、地税，代办保险等业务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中：通过网络与第三方机构的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。业务处理系统以省集中结构模式，负责各类中间业务的业务处理，包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。二、X省邮政金融网中间业务系统安全保护等级的确定（一）业务信息安全保护等级的确定1、业务信息描述金融网中间业务信息包括：代收费情况信息，缴费公民、法人和其他组织

23、的的个人（单位）信息，欠费情况，以及代收费的银行、电信、燃气、税务、保险等部门的信息等。属于公民、法人和其他组织的专有信息。2、业务信息受到破坏时所侵害客体的确定（侵害的客体包括：1国家安全，2社会秩序和公共利益，3公民、法人和其他组织的合法权益等共三个客体）该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为：影响正常工作的开展，

24、导致业务能力下降，造成不良影响，引起法律纠纷等。3、信息受到破坏后对侵害客体的侵害程度（即上述分析的结果的表现程度）上述结果的程度表现为严重损害，即工作职能收到严重影响，业务能力显著先将，出现较严重的法律问题，较大范围的不良影响等。4、确定业务信息安全等级查定级指南表2知，业务信息安全保护等级为第二级。业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益A级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级（二）系统服务安全保护等级的确定1、系统服务描述系统服务主要包括：中国移动代收费、中国联通代收费、代理国债、

25、批量工资代发等，属于为国计民生、经济建设等提供服务的信息系统，其服务范围为全省范围内的普通公民、法人等。2、系统服务受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益但不损害国家安全。侵害的客观方面表现为：1、邮政中间业务无法正常办理，办理能力下降，对公民、法人和其他组织的合法权益造成侵害（影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等）；2、优越邮政系统覆盖面广，可以对社会秩序公共利益造成侵害（造成社会不良影响，引起公共利益的损害等）。根据定级指南的要求，出现上述两个侵害客体时，优先考虑社会秩序和公共利益，另外一个不做考虑。3、服务受到破坏后对侵害客体的侵害程度（即上述分析的结果的表现程度）上述结果的程度表现为：对社会秩序和公共利益造成严重损害，即会出现较大范围的社会不良影响和较大程度的公共利益的损害等。4、确定系统服务安全等级查定级指南表3知，由于侵害的客体有两个，侵害的程度也有两个，则系统服务安全保护等级为第