12024年11月22日等保合規性測試用例與修復方案背景介紹總結與建議測試用例與修復方案等保實施與測評要求解讀01020304目錄目錄2信息安全現狀法律法規行業要求背景介紹-信息安全現狀3計算機病毒產生全球出現首例計算機病毒4攻擊手段演變篡改、偽造、拒絕服務、惡意軟件、安全漏洞最初的攻擊手段計算機病毒、破解口令和利用操作系統已知漏洞當今安全事件類型數據泄露、網絡攻擊、網絡犯罪20世紀

80s20世紀

90s21世紀近幾年背景介紹-信息安全現狀信息安全現狀法律法規行業要求背景介紹-法律法規5法律法規6網絡安全法個人信息保護法/民法典背景介紹-法律法規※網絡安全等級保護制度關鍵信息基礎設施保護條例數據安全法數據分類分級保護制度個人信息保護制度0170205國家實行網絡安全等級保護制度網絡安全法：網絡安全等級保護制度0304制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任防范計算機病毒和網絡攻擊、網絡侵入監測、記錄網絡運行狀態、網絡安全事件數據分類、重要數據備份和加密等措施法律、行政法規規定的其他義務背景介紹-法律法規(續1)制度防范審計數據其他058010208關鍵信息基礎設施安全保護條例專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作03建立健全網絡安全管理、

評價考核制度，擬訂關鍵信息基礎設施安全保護計劃組織推動網絡安全防護能力建設，開展網絡安全監測、檢測和風險評估組織網絡安全教育、培訓按照規定報告網絡安全事件和重要事項背景介紹-法律法規（續2）制度防范預案培訓04按照國家及行業網絡安全事件應急預案，制定本單位應急

預案，定期開展應急演練，處置網絡安全事件認定網絡安全關鍵崗位，組織開展網絡安全工作考核，提出獎勵和懲處建議考核06履行個人信息和數據安全保護責任，建立健全個人信息和數據安全保護制度07對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理責任報告環節9背景介紹-法律法規（續3）等保范圍適用于所有網絡運營者：自主定級，自主保護等保等級分為五級，十個通用要求及四個拓展要求，三級及以上系統必須進行滲透測試級別認定初步定級->專家評審->行業主管

(監管)部門核準->結果提交公安機關備案審核。關保范圍被認定關鍵信息基礎設施的運營者：重點保護,監管保護關保等級包括等級保護測評和密碼測評、能力域級別評價三部分。能力域從五個部分評

價，且等保不低于三級關基認定行業主管部門、

監督管理部門根據認定規則認定本行業的關基設施，及時將認定結果通知運營者，并通報國務院公安部門等級保護制度與關鍵信息基礎設施保護制度信息安全現狀法律法規行業要求背景介紹-行業要求10國能安全[2014]

317號電力行業網絡與信息安全管理辦法11.國能安全[2014]

318號電力行業信息安全等級保護管理辦法國家發展改革委第14號令電力行業網絡與信息安全管理辦法.GB/T

37138-2018電力信息系統等級保護實施指南背景介紹-行業要求電力行業網絡與信息安全管理辦法12背景介紹-行業要求(續1)國能安全[2014]317號第八條 電力企業應當按照電力監控系統安全防護規定及國家信息安全等級保護制度的要求，對本單位的網絡與信息系統進行安全保護。第九條 電力企業應當選用符合國家有關規定、滿足網絡與信息安全要求的信息技術產品和服務，開展信息系統安全建設或改建工作。電力監控系統安全防護規定13背景介紹-行業要求（續2）國家發展改革委第14號令第二條 電力監控系統安全防護工作應當落實國家信息安全等級保護制度，按照國家信息安全等級保護的有關要求，堅持“安全分區、網絡專用、橫向隔離、縱向認證”的原則，保障電力監控系統的安全。第四條 本規定適用于發電企業、電網企業以及相關規劃設計、施工建設、安裝調試、研究開發等單位。電力行業信息安全等級保護管理辦法國能安全[2014]318號第八條電力企業應當按照電力監控系統安全防護規定及國家信息安全等級保護制度的要求，對本單位的網絡與信息系統進行安全保護。第九條電力信息系統的安全保護等級確定后，運營、使用單位應當按照國家信息安全等級保護管理規范和技術標準，使用符合國家有關規定，滿足信息系統安全保護等級需求的信息技術產品，開展電力信息系統安全建設或者改建工作。14背景介紹-行業要求（續3）電力信息系統等級保護實施指南GB/T

37138-20184.2.5

電力信息系統安全產品供應商電力信息系統安全產品供應商負責按照國家及電力信息系統安全等級保護的管理規范和技術標準,開發符合等級保護相關要求的網絡安全產品,接受安全測評;按照國家有關要求銷售網絡安全產品并提供相關服務。15背景介紹-行業要求（續4）背景介紹總結與建議測試用例與修復方案等保實施與測評要求解讀01020304目錄目錄16網絡安全等級保護國標體系文件17等保解讀-國標文件編號名稱發布日期GB/T

22240—2020信息安全技術網絡安全等級保護定級指南2020GB/T

22239—2019信息安全技術網絡安全等級保護基本要求2019GB/T

25058—2019信息安全技術網絡安全等級保護實施指南2019GB/T

25070—2019信息安全技術網絡安全等級保護安全設計技術要求2019GB/T

28448—2019信息安全技術網絡安全等級保護測評要求2019GB/T

28449—2018信息安全技術網絡安全等級保護測評過程指南2018GB/T

36627—2018信息安全技術網絡安全等級保護測試評估技術指南2018GB/T

36958—2018信息安全技術網絡安全等級保護安全管理中心技術要求2018GB∕T

25058-2019信息安全技術網絡安全等級保護實施指南一：基本原則等級保護的核心是將等級保護對象劃分等級﹐按標準進行建設、管理和監督。安全等級18背景介紹-實施指南保護實施過程中應遵循以下基本原則:

a)自主保護原則;c)同步建設原則;b)重點保護原則;

d)動態調整原則;二：等級劃分GB∕T

25058-2019信息安全技術網絡安全等級保護實施指南19背景介紹-實施指南（續1）三：角色和職責等級保護對象實施網絡安全等級保護過程中涉及的各類角色和職責如下:

1)等級保護管理部門:國務院公安部門、各網安支隊、網安大隊。主管部門；能源局運營、使用單位：發電、電網類企業網絡安全服務機構：如奇安信等網絡安全等級測評機構：如公安三所、公安部等保測評中心等網絡安全產品供應商：如深信服、安恒等。背景介紹-實施指南（續2）20GB∕T

25058-2019信息安全技術網絡安全等級保護實施指南四：實施的基本流程：等級保護對象定級與備案階段；：總體安全規劃階段；：安全設計與實施階段；：安全運行與維護階段；：定級對象終止階段。GB∕T

25058-2019信息安全技術網絡安全等級保護實施指南五：安全技術體系架構根據GB/T

22239,行業基本要求和安全需求設計安全技術體系架構。安全技術防護體系由從外到內的“縱深防御”體系構成：物理環境安全防護：保護服務器、網絡設備以及其他設備設施免遭地震、火災,水災、盜竊等事故導致的破壞;通信網絡安全防護：保護暴露于外部的通信線路和通信設備;網絡邊界安全防護：對等級保護對象實施邊界安全防護,內部不同級別定級對象盡量分別部署在相應保護等級的內部安全區域,低級別定級對象部署在高等級安全區域時應遵循“就高保護”原則;內部安全區域即：計算環境安全防護將實施“主機設備安全防護”和“應用和數據安全防護”“安全管理中心”對整個等級保護對象實施統一的安全技術管理。等級保護對象的安全技術體系架構見下圖：背景介紹-實施指南（續3）21GB/T28448—2019信息安全技術網絡安全等級保護測評要求七：安全測評通用要求22背景介紹-測評要求通用要求各層面安全物理環境安全管理制度安全通信網絡安全管理機構安全區域邊界安全管理人員安全計算環境安全建設管理安全管理中心安全運維管理背景介紹總結與建議測試用例與修復方案等保實施與測評要求解讀01020304目錄目錄23GB/T28448—2019信息安全技術網絡安全等級保護測評要求安全計算環境中適用于應用軟件的安全防護控制點統計：測試用例與修復方案-測試用例控制點身份鑒別訪問控制安全審計入侵防御數據完整性數據保密性總計三級數量(個)1516754451二級數量(個)139754038二、三級差別27000413詳情見安全測試規范文檔：等保測評要求合規項24背景介紹總結與建議測試用例與修復方案等保實施與測評要求解讀01020304目錄目錄2