清華五道口：金融保險網(wǎng)絡安全合規(guī)技術白皮書

金融保險網(wǎng)絡安全合規(guī)技術白皮書1.保險行業(yè)網(wǎng)絡安全概述 11.1.網(wǎng)絡安全形勢分析 21.2.安全合規(guī)形勢分析 32.網(wǎng)絡安全等級保護概述 52.1.基本概念 52.1.1.等級保護基本概念 52.1.2.等級保護體系框架 52.1.3.等級保護工作內(nèi)涵 62.1.4.等級保護工作流程 62.1.5.等級保護工作必要性 82.2.政策和標準體系 92.2.1.國家政策和標準 9.網(wǎng)絡安全等級保護政策體系 10.網(wǎng)絡安全等級保護標準體系 112.2.2.保險行業(yè)政策和標準 133.等級保護實施方案 153.1.方案概述 153.1.1.實施框架 153.1.2.實施原則 153.2.等級保護定級 173.2.1.定級方法論 183.2.2.定級流程 213.2.3.定級環(huán)節(jié)工作內(nèi)容 213.2.4.定級環(huán)節(jié)主要工作成果 223.3.等級保護備案 223.3.1.備案流程 233.3.2.備案工作內(nèi)容 233.3.3.備案工作成果 243.4.建設整改 243.4.1.建設整改流程 263.4.2.建設整改工作內(nèi)容 273.4.3.建設整改環(huán)節(jié)交付成果 323.5.等級保護測評 333.5.1.測評方案 343.5.2.測評輔助 453.5.3.輔助測評工作內(nèi)容 463.5.4.輔助測評主要工作成果 473.6.運行與檢查 473.6.1.自查與監(jiān)管檢查 483.6.2.運行檢查工作成果 483.7.其它安全運維工作 483.7.1.定期漏洞掃描 493.7.2.定期滲透測試 503.7.3.應急響應 513.7.4.安全加固 523.7.5.安全培訓 53《金融保險網(wǎng)絡安全合規(guī)技術白皮書（2022）》編寫人員名單周道許田新遠徐制宇劉志勇李玲傅裕興1.金融保險網(wǎng)絡安全合規(guī)1.1.網(wǎng)絡安全形勢分析1.2.安全合規(guī)形勢分析本白皮書僅在網(wǎng)絡安全法和網(wǎng)絡安全等級保護制度框架下討論金融保險企2.網(wǎng)絡安全等級保護概述2.1.基本概念）；公安機關對網(wǎng)絡運營者開展網(wǎng)絡安全等級保護工作的情況和網(wǎng)絡的安全狀網(wǎng)絡安全等級保護是黨中央、國務院決定在網(wǎng)絡安全領金融行業(yè)是網(wǎng)絡安全等級保護制度和關鍵信息基礎設施安全保護條例施行實施網(wǎng)絡安全等級保護制度有利于在信息化建設過程中同步建設信息安全2.2.政策和標準體系.《國家信息化領導小組關于加強信息安全保等保工作開展類標準要求主要用于指導網(wǎng)絡運營者開展網(wǎng)絡安全等級保護>《信息安全技術網(wǎng)絡安全等級保護安全設計技術要求》（GB/T3.等級保護實施方案3.1.方案概述3.2.等級保護定級業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級系統(tǒng)服務安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級系統(tǒng)服務安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級3.3.等級保護備案根據(jù)網(wǎng)安部門或第三方咨詢機構(gòu)提供的備案材料模板和備案要求指導性文3.4.建設整改網(wǎng)絡安全等級保護安全建設整改工作是網(wǎng)絡安全等級保護制度的核心和落改工作與定級/備案工作同時開展，可以在一定程度上縮短項目實施周期。建設的目標是通過等級化風險評估判斷網(wǎng)絡系統(tǒng)的安全保護現(xiàn)狀與國家等級保護基.《信息安全技術網(wǎng)絡安全等級保護安全設計技術要求》（GB/T分析的方法分析等級測評結(jié)果中存在的安全問題可能對被測系統(tǒng)安全造成的影第三方安全機構(gòu)的滲透測試專家根據(jù)現(xiàn)場漏洞掃描和非現(xiàn)場人工驗證的結(jié)求、客戶特殊安全要求，最終形成《網(wǎng)絡系統(tǒng)等級保護安全建設方案-初稿》?？蛻粝嚓P人員進行《網(wǎng)絡系統(tǒng)等級保護安全建設方案-初稿》的評審與溝通。對3.5.等級保護測評）；）；技術/管理技術要求安全物理環(huán)境安全通信網(wǎng)絡48安全區(qū)域邊界安全計算環(huán)境安全管理中心4技術/管理管理要求安全管理制度566安全管理機構(gòu)9安全管理人員7安全建設管理安全運維管理測評方法工具測試簡要描述利用技術工具，從網(wǎng)絡的不同接入點對網(wǎng)絡內(nèi)的主機、服務器、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備等進行脆弱性檢查和分析達成目標發(fā)掘系統(tǒng)的安全漏洞工作條件1-2人工作環(huán)境，電源和網(wǎng)絡接入環(huán)境，客戶人員、網(wǎng)絡、系統(tǒng)配合工作結(jié)果工具測試結(jié)果記錄測評方法配置檢查簡要描述通過登陸系統(tǒng)控制臺的方式，人工核查和分析主機、服務器、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備、應用系統(tǒng)的安全配置情況達成目標發(fā)現(xiàn)配置的安全隱患工作條件1-2人工作環(huán)境，客戶人員、網(wǎng)絡、系統(tǒng)配合工作結(jié)果配置檢查結(jié)果記錄測評方法人員訪談簡要描述通過交流、討論的方式，對技術和管理方面進行脆弱性檢查和分析達成目標發(fā)掘技術和管理方面存在的安全問題工作條件1-2人工作環(huán)境，客戶人員配合工作結(jié)果人員訪談結(jié)果記錄測評方法文檔審查簡要描述通過文檔審核與分析，檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄的完整性和內(nèi)部一致性達成目標發(fā)掘技術和管理方面存在的安全問題工作條件1-2人工作環(huán)境，客戶人員、各類文檔資料配合工作結(jié)果文檔審查結(jié)果記錄項目名稱實地查看簡要描述通過現(xiàn)場查看人員行為、技術設施和物理環(huán)境狀況，檢查人員的安全意識、業(yè)務操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況。達成目標發(fā)掘技術和管理方面存在的安全問題工作條件1-2人工作環(huán)境，客戶人員配合工作結(jié)果實地查看結(jié)果記錄3