网络安全等保三级建设整改方案-网络安全等级保护第三级建设整改方案 信息安全等级保护（三级） 建 设 方 案 0 网 1 目录 第一章 项目概述...........................................................................8 1.1 项目概述.................................

漏洞扫描系统 主机杀毒 运维堡垒主机 云平台安全建设拓扑图 法院等级保护 高校等级保护 广播电视等级保护 监狱等级保护 医院等级保护解决方案 医院整体拓扑图 内网终端接入域 核心业务域（三级系统域） 乡镇、社区卫生中心 外联域 财务 系统 FTP 内网核心域 HIS 系统 EMR 系统 LIS 系统 HIP 系统 PACS 系统 OA 系统 手麻 检测 探针 负载均衡 堡垒机 SSL VPN 流量编排 等保二级 合规模板 出口边界 安全模板 等保三级 合规模板 杀软 /EDR Web 服务 杀软 /EDR Web 服务 杀软 /EDR Web 服务 IT 基础设施（于环境、物理环境） 数据库 VM 二级区域 数据库 VM 三级区域 数据库 VM 其他区域 用户可根据实际业务需求情况，自定义模板或安全组件 安全运营服务 公共服务数据库 DMZ 区 DNS 服务器区 办公网区 安全等保部署全景图 WEB 应用防火墙 WEB 服务 器 数据库実计 网页防篡改  二级标准配置   三级标准配置 三级扩展配置 防病毒 服务器 CA 多业务硬件安全资源池 防火墙 IDS/IPS ISP1 ISP2 终端安全 管理 EAD 网络版杀毒 软件宠户端 防火墙 LLB 流量 清洗

数字化转型成熟度等级适用于根据组织现状和业务目标明确转型工作所要达成的成熟度等级目 标，并根据目标等级的分级特征和要求制定详细的转型工作路径和各细项目标。成熟度等级分为五个 等级，自低向高分别为一级、二级、三级、四级和五级，见图2。 五级 四级 三 级 二级 一级 图 2 数字化转型成熟度等级 数字化转型成熟度等级中的各级特征如下。 a) 一级：组织应具备转型意识，开始对实施数字化 务等业务领域基于内外部需求开展数字化转型探索工作。 b) 二级：组织应对数字化转型的组织、技术、数据和资源进行规划，完成局部业务的数据收集、整 合与应用，初步具备基于数据的运营和优化能力。 c) 三级：组织应具备数字化转型总体规划并有序实施，完成关键业务的系统集成和数据交互，在 运营、生产和服务领域实现基于数据的效率提升。 d) 四级：组织应将数据作为支撑运营、生产和服务关键领域业务能力提升优化的核心要素，构建 1 组织 组织能力域包括组织建设、转型战略、流程管理、变革管理4个能力子域。各能力子域的成熟度等级要求，应符合表2的规定。 表 2 组织的成熟度要求 成熟度等级要求 能力子域 一级 二级 三级 四级 五级 组织建设 a) 应在重点部门或领域，明 确主要人员的数字化转 型职责 ； b) 应针对数字化转型需求， 配备必要的人员； c) 应积极培育主要人员的 数字化意识；

传统规则引擎 DeepSeek 智能 体 召回率 68% 92% 误报率 23% 8% 响应延迟 120ms 45ms 支持药物种 类 1,200 6,800 该技术方案已通过国家医疗信息安全三级等保认证，支持国产 化芯片适配，在保证系统稳定性的前提下，可帮助三甲医院将门诊 病历自动化处理效率提升 3 倍，同时将临床决策支持系统的误诊率 降低至人类专家水平的 1.2 倍以内。通过持续学习机制，模型每周 本项目旨在通过将 DeepSeek 智能体技术深度整合至医疗系统 核心业务流程，构建一套覆盖诊疗辅助、资源调度与数据治理的全 链路提效方案。基于医疗行业特有的高容错性需求与复杂决策场 景，我们设定了三级目标体系：基础层实现关键流程的自动化处 理，中间层建立多模态数据分析能力，应用层则聚焦临床决策支持 系统的精准度提升。 在运营效率方面，预计首年部署期内可实现门诊流程耗时缩减 40%，具体表现为智能分诊系统将患者等待时间从平均 从医疗质量提升维度，项目将重点攻克两个技术瓶颈：一是利 用 DeepSeek-NLP 构建的病程进展预测模型，在肿瘤化疗领域实 现不良反应早期预警准确率从现有 62%提升至 82%；二是通过手 术室智能排程系统，使三级医院择期手术取消率从 9.3%降至 5%以 下。经济效益方面，预计整套方案可使三甲医院年运营成本降低 2300-2800 万元，主要来源于以下方面：  人力成本优化：自动化报告生成减少 3.5

据《信息系统安全等级保护测评指南》等技术标准对信息系统安全等级状况开展技术评测。三级 信息系统应当每年至少进行一次等级测评；四级信息系统应当每半年至少进行一次等级测评；五 级信息系统应当依据特殊安全需求进行等级测评。 -受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护 工作情况进行检查。三级信息系统每年至少检查一次，四级信息系统每半年至少检查一次。对跨 省或者全国统 定级要素与等级的关系 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他 组织的合法权益 第一级 第二级 第二级 社会秩序、公共利 益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 如何确定信息系统安全等级 确定等级流程 业务信息安全保护等级矩阵表 系统服务安全保护等级矩阵表 系统安全保护等级矩阵表 确定定级对象： 具有唯一确定的安全 ）一级，小型私营、个体企业、中小学，乡镇所属信息系统，县级单位一般的信息系统 2 ）二级，县级某些单位重要信息系统；地市级以上国家机关、企事业单位内部一般信息系 统（例如非涉及工作、商业秘密，敏感信息的办公系统和管理系统） 3 ）三级，地市级以上国家机关、企事业单位内部重要信息系统（例如涉及工作、商业秘 密，敏感信息的办公系统和管理系统）。跨省或全国联网运行的用于生产、调度、管理、控 制等方面的重要系统及在省、地市的分支系统

透彻感知、 全面互联、 融合共享、 智能应用、 泛在服 务 水利部智慧水利 总体要求 水利部智慧水利 总体目标 基础大平台 ：江河水系、 工程设施、 运行体系的采集与网络体系 水利大数据 ：三级物理分布、 逻辑统一、 跨层级跨领域的服务体 系 应用大系统 ：覆盖九大业务 + 水利监督等主要业务的应用体系 网络大安全 ：多层级、 一体化、 主动感知、 智能防御网络安全体系 水利部智慧水利 科学预测、智能决策 全面在线、基本移动 被动采集、离线收集 一数多源、相互隔离 条块建设、各自为政 信息汇聚、分析展示 初步在线、部分移动 1 个统一数字化工作平 台 1 套省市县三级协同工 作机制 1 总目标 4 项任务 “ 1161” 水管理平台是水利数字化转型的重要抓手 数据采集 数据共享 业务系统 平台功能 工作模式 水管理平台总体设计 43 个和移动端 25 个模块整合开发 ，目前主要面 向省级用户 ，以新建大屏、整合已建系统为主 ；也包括水资源管理、 标准化监管、 公 文交换等 20 个涉及市、 县用户的应用 ，已实现省市县三级按权限分级使用。 水管理平台建设 进展成效（ 1161 ） ：六大核心业务应 用 已印发 ： 1 个平台总体方案 1 个数据规范总方 案 1 个工作部署 已编制试点下发 ： 《五统一建设指南》

家安全、社会秩序和公共利益。 第二级 指导保护级： 此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成 严重损害，会对社会秩 序、公共利益造成 一般损害， 不损害 国家安全。 第三级 监督保护级： 此类信息系统受到破坏后，会对国家安全、社会秩序造成 损害 , 对公共利益造成 严重损害， 对公民、法人和其他组织的合法权益造成 特别严重的损害。 无需备案，对测评周期无要求 无需备案，对测评周期无要求 财产安全和社会生产生活秩序，一旦遭到破坏、丧失功能或数据泄 露，可能严重危害国家安全、国计民生和公共利益的网络基础设施、 重要业务系统和生产控制系统以及重要数据资源。 关键信息基础设施 关键信息基础设施的安全保护等级 不低于三级 12 等级保护政策内容  由测评公司、咨询公司提供预测评服务，根据技术要求与测 评要求提出整改意见与方案  物理安全，由院方根据预测评整改意见进行机房建设与整改  网络安全，主机安全、应用安全、数据安全，由专业安全厂 重要行业关键信息系统划分及定级建议 等级 对象 侵害客体 侵害程度 监管强度 第一级 一般 系统 合法权益 损害 自主保护 第二级 合法权益 严重损害 指导 社会秩序和公共利益 损害 第三级 重要 系统 社会秩序和公共利益 严重损害 监督检查 国家安全 损害 第四级 社会秩序和公共利益 特别严重损害 强制监督检查 国家安全 严重损害 第五级 极端重要系统 国家安全 特别严重损害

项目实施将分阶段重点突破三个技术难点：第一，解决金融领 域专业术语和监管政策的语义理解问题，通过构建包含超过 50 万 条金融实体知识的领域词典；第二，确保模型输出符合金融合规要 求，建立三级内容过滤机制，包括敏感词库匹配、监管规则引擎和 人工审核通道；第三，实现与传统银行 IT 架构的无缝对接，开发 专用 API 网关支持与核心系统、CRM、反洗钱等关键平台的标准 化数据 算法识别变更内容，触发模型增量训练 周期≤4 小时。 合规与风控需求 1. 数据安全： - 输入输出需通过敏感信息脱敏模块（如银行卡号、身份证号的正 则匹配替换）。 - 模型训练数据需满足《金融数据安全分级指南》三级标准，存储 加密采用 AES-256 算法。 2. 审计追踪：全链路日志记录需包含以下字段： 日志保留周期≥6 个月，支持关键词检索和异常行为模式分 析。 3. 兜底策略 ：当模型置信度低于 技术指标 银行场景适配案例 数据接口 REST/gRPC 双协议，QPS ≥500 核心系统交易日志分析 集成维度 技术指标 银行场景适配案例 安全协议 国密 SM4 加密+PCI DSS 三级认证 客户隐私数据查询 部署模式 混合云/本地化部署，镜像包 ≤8GB 分行级智能客服本地化部署 风险控制体系构建了五层防护机制：输入过滤层（敏感词命中 率 99.98%）、意图监控层（异常请求拦截延迟<50ms）、输出审

组织的合法权益”，侵害程度为“特别严重损害”，由等保 1.0 中的定级“第二级” 调整为“第三级”。 10 智安网络等级保护安全防御体系方案 2、测评的变化 在本次等保 2.0 发布后，控制项内容进行精简合并，但总评分要求从 60 分以上 基本符合调整为 75 分以上基本符合，提高了符合要求。同时微调测评时间间隔， 将第三级系统、第四级系统合并为“第三级以上系统每年一次”。 2.3.2.3 标准控制项变化分析 从控制项的变化来看，等保 从控制项的变化来看，等保 2.0 更加精简，但实质上内涵更加丰富完善。 等保二级控制项 等保三级控制项 等保 1.0 175 290 等保 2.0 135 211 11 精 简 智安网络等级保护安全防御体系方案 等保 2.0 第三级安全要求结构： 以等保三级为例，以下是 1.0 到 2.0 各控制点变化情况表。 等保 1.0 原控制点 等保 2.0 新控制点 网络安全 结构安全 术和服务拆分，对技术控制项及管理控制项进行二次分解，智安网络建议在整体控 制项要求中，根据技术和服务形态，形成以下控制点对应的技术和服务初步对应建 议。 安全子类 控制要求 实现机制 等保 2.0 第三级产 品清单 安全物理环境 物理环境选择、物理 访问控制、防盗窃和 防破坏、防雷击、防 火、防水和防潮、防 静电、温湿度控制、 电力供应、电磁防护 机房建设、物理安全 策略 电子门禁系统、视频

批量理赔处理：RabbitMQ（高吞吐优先级队列） o 客户画像更新：Kafka（流式数据处理） 3. 业务系统适配器 开发标准化适配器组件，支持主流保险核心系统接口规范： 4. 数据同步机制 建立三级数据缓存策略： o L1 缓存：Redis 集群存储热点数据（如产品条款），TTL 设置为 15 分钟 o L2 缓存：MongoDB 分片集群存储结构化业务数据，同 步延迟<1s o 持久层：通过 医疗影像数据 合作医院 PACS 系统 DICOM 协议 传输 按需触发 20-50GB 第三方征信数据 央行征信接口 HTTPS API 调 用 定时批处 理 5-10GB 清洗转换阶段实施三级质检机制：原始数据层进行格式校验 （如保单号正则匹配）、业务逻辑层检查（如理赔金额不超过保 额）、关联一致性验证（如被保人必须在客户主表存在）。对非结 构化数据采用多模态处理： - 医疗报告文本使用 传统方式(小时) 智能处理(小时) 材料初审 4.2 0.3 责任认定 8.5 1.2 赔款计算 2.1 0.5 3. 系统集成架构 采用微服务设计模式，关键组件包括： 4. 异常处理机制 建立三级异常拦截体系：  初级：数据完整性校验（18 类校验规则）  中级：逻辑矛盾检测（如治疗时间早于确诊时间）  高级：人工复核队列自动分级（按风险值排序） 该方案在某寿险公司试点中实现核保通过率提升