公告日期 荔波县人民医院网络安全等级保护建设设备及软件 165 万元 2021-01-08 荔波县中医院网络安全等级保护建设采购项目 165 万元 2021-01-08 贵阳市第一人民医院内网终端威胁防御系统及医院 网络安全加固、三级等保建设采购项目 217.6 万元 2020-12-29 长顺县医疗集团中心医院信息系统安全等级保护测 评软件和硬件设备采购项目 152 万元 2020-12-29 配套管理规范、实施细则正在陆续出台。 新等保 2.0 的核心变化  应对新威胁 新等保更加强调增强未知威胁 检测能力，强调安全检测能力 和安全响应能力的建设。  应对新风险 新等保体系更体现了动态的、积极 防御的安全理念；安全规划、能力 建设、态势感知、集中监控管理成 为新等保体系的重要思想。  应对新技术 针对云计算、大数据、物联网等 新技术，不断扩大等级保护外延， 新的信息技术同样催生新的安全 技术。 网络安全主管（部门） 决策、监督 管理 执行 云 服 务 客 户 第 25页 建设“一个中心”管理下的“三重防护”体系，分别对计算环境、区 域边界、通信网络体系进行管理，实施立体防范注重全方位 主动防御动态防御整体防控和精准防护。 等保一个中心、三重防护 安全区域边界 安全通信网络 网络架构 通信传输 可信验证 安全计算环境 系统管理 审计管理 安全管理 安全管理中心 边界防护 访问控制

全保护条例》、《网络 安全等级保护条例》提 出了新的监管要求。 等级保护 2.0 安全体系 国家网络安全等级保护制度 总体安全策略 定级备案 安全建设 等级测评 安全整改 监督检查 网络安全综合防御体系 安全管理中心 通信网络 区域边界 计算环境 风险管理体系 安全技术体系 安全管理体系 网络信任体系 等级保护对象 网络基础设施、信息系统、云计算平台、大数据平台、物联网、工业控制系统等 保护政策标准开展等级保护工作； 1 2 3 4 确定等级保护对象； 依然采用“一个中心、三重防护” 的 理念； 建立安全技术体系和安全管理体系， 构建具备相应等级安全保护能力的 网络安全综合防御体系。 5 开展组织管理、机制建设、安全规划、 通报预警、应急处置、态势感知、能 力建设、监督检查、技术检测、队伍 建设、教育培训和经费保障等工作 。 等级保护 2.0 实施的变化 实施的变化 安全物理环境 安全通信网络 安全区域边界 安全计算环境 安全管理中心 安全管理制度 安全管理机构 安全管理人员 安全建设管理 安全系统运维 技 术 管 理 技 术 管 理 充分体现“一个中心，三重防御”的安全保护体系 云计算安全扩展要求解读 应用平台 软件平台 虚拟化计算资源 资源抽象控制 硬件 设施 范围和控制 云服务客户 Iaa S Paa S SaaS IaaS

主动风险预防 变更风控管控 混沌工程演练 高可用SLA规划 应用高可用设计 持续高可用治理 运维数据治理 可用性指标构建 运维故障分析 用户授权可控制 作业过程可信赖 潜在风险可识别 立体防御体系 主动智能安全 全面安全运营 全链路 运维监控 确定性 故障恢复 预见性 风险治理 智能化 应用运维 全视角 运维安全 体系化 安全运营 高可用 架构设计 应用运维现代化 当前 在十多年服务上百家金融客户IT数字化转型的过程 中，华为云对如何进行云安全保障进行了持续的探 索，并基于大量项目实践总结出了云原生时代的三 个安全运营理念的转变。 1. 从边界安全防护向立体防御体系转变 立体防御体系由“1个中心，7层防线”的架构设计 而来。1个中心是指构建一个统筹调度的安全大脑， 提供对不同安全事件的分析、调度与处置。此外， 从下面7个维度落实对云平台的全面防护：物理安 从被动安全向智能安全转变 传统的网络安全防护大都以防御者视角为出发点，通 过为内网建立起“围墙”抵御入侵，因此需要众多安 全设备产品层层叠加，这是一种典型的被动防御、局 部防御。如今，网络攻击手段越来越复杂，边界逐渐 模糊化，传统的防御手段已经难以适应这种变化。 随着AI技术的快速发展，我们可以将其应用于金融云 安全领域，使得金融云安全防御变得主动和智能，例 如，能够在恶意行为发生之前快速识别和预防，在不

赋能打通全链路智能化测试闭环，通过智能需求分析、 智能用例生成、缺陷根因分析等能力实现高效精准验证；另一方面强 化对 AI 系统自身的深度测试，形成“以 AI 测 AI”的自我进化闭环。 （4） 运维智能化聚焦“主动防御-智能进化”的体系构建。以 AI for OPS 为核心实现故障预测、根因定位、自愈执行的闭环管控， 通过日志智能分析、异常模式挖掘、演练自动化提升系统韧性；以 Ops for AI 深度赋能 编写者，更是规则定义者与优化推动者；系统则通过学习人类反馈和 业务需求，不断迭代检测能力，最终形成动态适应技术栈与业务场景 的“智能护城河”。随着大模型推理能力的增强与行业知识库的完善， 此类体系将从“被动防御”转向“主动预防”，在复杂系统中实现从 代码生成到质量保障的全链路智能化，为软件工程的稳定性、安全性 与可持续性提供长期保障。 软件工程智能化标准体系建设指南（2025 年） 19 （3） 点，关联历史用例库与需求矩阵，动态构建可溯源的质量知识图谱， 自动生成针对性优化策略。同时，引入强化学习机制对测试效能进行 动态优化——通过分析历史测试数据，预测未来测试周期的瓶颈分布， 实现质量问题从“被动响应”到“主动防御”的系统性治理。 （5） 变更智能感知与持续闭环验证解决回归测试“最后一公里” 问题 持续交付场景中，传统回归测试因用例冗余、覆盖盲区及资源浪 费难以保障效能。构建基于代码变更影响分析（CIA）与机器学习预

 S.C.R.A. 平台 IT ：灵活性、敏捷性和可靠性  全球网络  数据中心（虚拟化、云计算、桌面云）  SOA 及 PaaS IT 安全内控： 提高安全内控能 力  主动立体防御体 系  IT 安全内控体系 IT 组织：集中管控、服务转型  流程  组织 43 诚挚邀请各位领导 莅临华为总部参观与指导 !

法律法规、行业标准规范以及顶层设计理论的指 导，结合当前电信行业数据安全的实际情况，采取“管理与管控并重”的策略，针对电信行业数据全生命 周期的特点，构建一个从内到外的数据安全纵深防御体系。该体系将覆盖威胁防御、风险管控、数据追踪 溯源以及数据共享与交换等多个层面，致力于打造一个集数据智能与一体化的全方位数据安全能力，提供 符合电信行业特点的数据安全一站式全景化产品解决方案。 通过运用大 析智能化、交互 便捷化、效果可视化”，从而全面提升企业自身的数据安全防御和风险感知能力。 案例亮点 case HigHligHts 1 充分结合电信行业数据安全现状，满足行业现在与发展需求。 2 管理管控双管齐下，构建纵深防御体系，实现一站式解决方案。 3 运用新型技术，解决行业数据安全管控难题，提升防御与感知能力。 48 智慧行业应用类-智慧通信 案例详细信息 case

的预置位和巡航进行设置控制应具有唯一性和权限性，同一时间只 允许一个高权限用户操作；对门禁、照明、给排水和空调通风系统 的开启进行控制。  系统联动 通过前端数据采集设备与平台软件可以对各子系统进行关联： 当周界防御或火灾报警设备被触发时，有预置功能的摄像机还能自 动转到预置点，按需设置联动录像功能；预设的报警能弹出窗口， 并配合电子地图显示；当温湿度传感器检测到异常时，自动开启空 调或调节空调参数，操作时可以联动相应位置的摄像机，对整个操 50 毫秒为最短遮断时间， 大于 50 毫秒报警，小于 50 毫秒不报警。  红外对射应具备开关量报警节点。 4.6.2 电子围栏 红外对射只能对入侵事件进行报警，无法对不法份子进行有效 的防御，电子围栏的出现为周界防范提供了强力保障。 1) 技术介绍 电子围栏起源于畜牧业高度发达的澳大利亚和新西兰等国家， 并在欧美国家广泛应用，应用了最新的周界安防理念，即阻挡、威 慑和报警。随着

4.10.2安全建设目标和原则 4.10.2.1安全建设目标 基于上述共享信息平台将面临的风险和需求，XXX智慧安监工程的安全总体目标是： 结合当前信息安全技术的发展水平，规划一套科学合理的深层防御安全保障体系，形成有效的安全防护能 力、隐患发现能力、应急反应能力和系统恢复能力，从物理、网络、系统、应用和管理等方面保证系统安全、高 效、可靠运行，保证信息的机密性、完整性、可用性和操作的不可否认性，避免各种潜在的威胁。 2安全策略 根据信息系统各自的业务特点和安全要求，按“分域防护、分级保护”的原则，划分不同的安全域和业务保护 安全等级，制定与之适应的安全防护措施和安全机制，通过集成相关的安全产品和安全服务，构造多层防御的安 全保障体系，确保系统安全、高效、可靠运行。 具体的安全策略是： （1）安全保障体系的规划、建设要遵守国家、政府部门相关的安全法律、法规、制度、标准和技术指南。 （2）实施“分域保护”，按“ 可燃有毒气体报警设施台账。相关企业重大危险源周边报警装置、有毒可燃气体报警设备位置、设备 型号等信息管理。 监控设施台账。相关企业上报重大危险源周边视频监控设备位置、型号等信息管理。 （3）危险源可视化监控。为了有效防御重大事故的发生，高效处理应急情况，提升企业生产的安全管理水 平，安监局或管委会建设重大危险源视频监控系统。该系统通过重大危险源现场视频信息的采集，保证网络信息 安全的前提下，经由网络传输到视频系

根据 GB/T22239.2《网络安全等保护基本要求第二部分：云计 算扩展要求》的要求和 CDT132 安全技术体系进行总体规划和设计， 以“持续保护，不止合规”为指导，从体系化、实战化、常态化防御思 想出发，根据物理安全、IT 基础架构安全（网络安全、主机安全）、 虚拟化安全、数据安全、应用安全和安全管理等几个层面构建云平 台安全框架。 主要建设思路如下： 1) 以分区分域为基础构建安全防护架体系 内外网运维管理区、广域网接入区实现安全域隔离，缩小攻 击面，并构建构建出口边界安全。 b. 数据中心核心安全：通过权限分离、安全虚拟化、租户隔离 等技术构建云平台安全架构；通过访问控制、入侵防御、安 61 企业数字化转型及企业数字化平台建设方案 全设计保障网络通信安全；通过集成零信任架构的用户权限 控制、准入控制、恶意文件查杀等技术保障设备和计算安全 通过 webshell 检测、sql 一般云服务架构会内建以下基础的安全服务，以便 XXXX 公司 能快速的搭建自己的安全防护架构，快速提升整体安全水位，减少 安全风险。相应服务模块有： （1）云防火墙。提供云上统一策略管控，集成入侵防御 （IPS），实现业务上云后东西向、南北向流量可视、可管、可控。 （2）DDoS 防护。保障企业服务器在遭受大量 DDoS 攻击时， 避免造成服务不可用，不影响业务运行。 （3）WEB 应用防火墙。保障网站和

层主要包括云计算平台的网络设备、 安全设备、服务器等基础设施资源。在 IAAS 层安全防护方面， 应结合行政审批中心云模块化思路，按照事前防护、事中监控、 事后审计的安全防护策略，建立纵深网络安全防御机制，提高 行政审批中心云 IAAS 层的安全性、健壮性，以及服务连续性和 稳定性。设计时要考虑以下几个方面： 1、合理划分安全区域，突出重点：根据云系统应用功能、 用户访问特性、安全等级等要求部署多个区域，然后根据系统 行政审批中心云安全池建设包括硬安全池、软安全池和安 全池化集中管理三层设计。 （一）硬安全池 通过硬安全池对进出行政审批中心云的所有流量进行访问 控制、入侵防御、病毒防护、流量控制等 L2~7 层处理，实现对 行政审批中心云南北向的集中安全防御。 247 郎丰利 大数据云平台建设和运营整体解决方案 V3.0 郎丰利 图 3-3 硬安全池 1、在行政审批中心云核心交换机单臂部署深度业务交换网 全模块、入侵防御安全模块、防毒墙安全模块、Web 防御安全 模块、流控与分析安全模块。  防火墙主要做安全域的隔离，根据不同的权限配置访问 248 郎丰利 大数据云平台建设和运营整体解决方案 V3.0 郎丰利 控制策略；  入侵防御对 4-7 层的数据进行深度解析与防御；  防毒墙主要从网络边界入手，切断病毒传播途径，实现 网关级的病毒过滤控制；  Web 防御对 Web 类业务进行专业的业务防护，可以针