等级保护安全设计技术要求及安全建设总体设计 2 3 4 5 安全建设案例 介绍 安全建设总体 设计 设计技术要求 关键技术解析 设计技术要求 核心思想 设计技术要求 主要内容 目 录 页 1 n 《设计技术要求》遵照 GB17859 以及《基本要求》等标准的技术要求部分 ，对信息 ，不包括物理安全、 安全管理制度等要 求。 n 《基本要求》是在 GB17859 等标准基础上 ，根据现有技术的发展水平 ，提出和规定 了不同安全等级信息系统的最低保护要求 ，包括基本技术要求和基本管理要求。 n 《计算机信息系统安全保护等级划分准则》（ GB17859-1999 ） 是根据国务院 147 号 令要求制定的强制性标准 ，是等级保护的基础性标准 ，是其他标准制定的依据。 该标准以访问控制为核心构建基本保护环境和相关安全服务。 1. 设计技术要求核心思 想 01 要 。 信息系统安全影响国家安 全 重 02 安全漏洞和安全威胁永远存在。 03 攻防失衡，攻击占有巨大优势。 04 主动防御、守住底线。 1. 设计技术要求核心思 想 1. 设计技术要求核心思想 u 《设计技术要求》重在设计 PPDR 模型中的防护机制； 控制规则 ↓ t 访问控制

填写等级测评结论扩展 表（云计算安全）或等级测评结论扩展表（大数据安全），否则删除等级测评 结论扩展表。】 测评结论和重大风险隐患 被测对象名称 安全保护等级 第 Z 级（SXAY） 扩展要求 应用情况 云计算 移动互联 物联网 工业控制系统 大数据 其他_______ 被测对象描述 【填写 程中发现的重大风险隐患及整改建议如下： （1）存在空口令、弱口令、通用口令或无身份鉴别措施，导致非授权人员可直 接访问系统，造成身份冒用、恶意篡改或窃取重要数据等严重后果。 整改建议：为每个可登录的账户设置符合要求的口令，禁用或删除弱口令账户； 设置的口令长度应不低于 8 位，并由大小写字母、特殊字符和数字无规律排列 而成；同时应定期排查空口令、弱口令、通用口令的使用情况，及时发现并阻 止账户口令违规行为，确保账户安全。 合得分。需要 注意的是，表中以第四级为例给出了云计算安全扩展主要要求，测评机构应根 据被测对象安全保护等级情况，参照表中内容给出相应等级的云计算安全扩展 主要要求。 3、如果云服务客户业务应用系统同时部署在不同模式的云计算平台上时，可以 使用多个等级测评结论扩展表（云计算安全）来展示。 4.当被测对象不涉及相关扩展要求时，删除该结论扩展表。 【说明结束】 等级测评结论扩展表（云计算安全）

工作的通知》，要求中 央企业贯彻执行等级保 护工作。 5 等级保护发展历程 等保 2.0 发展情况 修订等保 1.0 2016 年 10 月公安部网络安 全保卫局组织对原有国家标 准 GB/T 22239-2008 等系列 标 准进行了修订。 2.0 系列标准 编制工作 2017 年 1 月至 2 月，全国信息 安全标准化技术委员会发布《 网络安全等级保护基本要求》 系列标准、《 系列标准、《 网络安全等级保 护测评要求 》系列标准等“征求 意见稿”。 2017 年 5 月，国家公安部发布 《 GA/T 1389—2017 网络安 全等级保护定级指南》、 《 GA/T 1390.2—2017 网络 安全等级保护基本要求 第 2 部分：云计算安全扩展要求》 等 4 个公共安全行业等级保护 标准。 等保 2.0 《网络安全等级保护条例》征 求意见稿发布。 7 月再次调整 分类结构和强化可信计算。充 分体现一个中心，三重防御的 思想（和 GB/T 25070 保持一 致）充分强化可信计算技术使 用的要求（和 GB/T 25070 保 持一致），等保 2.0 标准在 2019 年 5 月 13 号正式发布， 12 月 1 号正式实施，进入等 保 2.0 时代。 6 7 等级保护依据的法律、法规  《网络安全法》第二十一条明确要求：“国家实行网络安全等级保护制度”。  《网络安全等级保护条例》第三条【确立

控制 数据集中控制：系统、租户的数据安全防护难度加大 云与虚拟化：攻击从终端转向云端，安全边界趋于模糊 自动化安全管理：安全自动化管理要求更高、防护盲点 数据泄漏威胁：数据集中、共享与多样化加大了泄漏风险 安全监管合规：国家标准、行业规范、监管要求 云安全新需求 1. 纵深防御（ DiD ）、软件定义信息安全 （ SDIS ）、安全设备虚拟化（ SDV ），结合 后形成更安全、敏捷、经济的云平台安全体 面国家网络 安全的基本原则。 • 标志着我国关键信息基础设施保护工作进入正轨，在关键基础设施的保护范围、保护要求、保护责 任等方面做出了系统性的要求。 • 体现了全面加强了对公民个人信息的保护。 • 保障网络数据安全进入了国家网络安全的视野。 背景 网络安全等级保护基本要求 （ 2.0 ）将于 2019 年 12 月 1 日实 施。 信息系统安全等级保护简介 什么是等级保护 • 规范和 划分准则、基本要求、操作系统、数据库、网络、服务器、终端等技术要求，使用符合本系统安 全保护等级要求的信息安全产品，同步建设符合本系统安全保护等级要求的信息安全设施。运营 使用单位应当按照安全管理要求、安全工程管理要求等管理规范，建立安全组织，制定并落实符 合本系统安全保护等级的安全管理制度。 -信息系统建设完成后，运营使用单位应当选择符合本系统安全保护等级要求的检测机构，依 据《信

6 能力域 ...............................................................................3 7 成熟度要求 ...........................................................................4 7.1 组织 .......... 雷润林、夏秀燕、袁婷婷、申屠祖斌、汪航舰、邱中勋、唐小林。 1 GB/T 43439—2023 信息技术服务 数字化转型 成熟度模型与评估 1 范围 本文件确立了数字化转型的成熟度模型的构成，规定了成熟度要求，描述了对应的成熟度评估方法。 本文件适用于数字化转型的战略制定、业务规划和工作实施，以及对转型过程开展成熟度评估。 2 规范性引用文件 下 列 文 件 中 的 内 容 通 过 文 中 的 规 43439—2023 图 1 数字化转型成熟度模型框架 5 成熟度等级 数字化转型成熟度等级适用于根据组织现状和业务目标明确转型工作所要达成的成熟度等级目 标，并根据目标等级的分级特征和要求制定详细的转型工作路径和各细项目标。成熟度等级分为五个 等级，自低向高分别为一级、二级、三级、四级和五级，见图2。 五级 四级 三 级 二级 一级 图 2 数字化转型成熟度等级 数字化转型成熟度等级中的各级特征如下。

行网络安全等级保 护制度”，从法规上 升到法律层面 《基本要求》 《安全设计技术要 求》 《测评要求》 正式发布 第九条“计算机信息 系统实行安全等级 保护”首次提出了等 级保护的概念 信息安全保障纲领 性文 件 ，明确指出 “实行信息安全等级 保护“主要任务 进一步明确了信息 安全等级保护制度 的职责分工和工作 的要求等基本内容 明确了信息安全等 级保护的五个动作， 进一步扩大 安全防护要求不断提高 网络安全法确立等级保护制度地位 等级保护政策体系进一步细化完善 21 条规定：国家实行等级保护制 度； 31 条规定：国家对关键信息基础 设施，在网络安全等级保护制度的 基础上，实行重点保护。  等级保护范 围扩大（除了个人及家庭自建网络 之外的领域全覆盖）  等级保护对象扩展（云计算、工业控制、物联 网、移动安全）； 保护要求更高（针对高级威胁检测、供 保护要求更高（针对高级威胁检测、供 应链安全、邮件 安全、通 报预警等） 增加对可信计算的相关要求。 等级保护管理条例 / 关键信息基础 设施保护条例发布征求意见稿； 配套管理规范 、实施细 则正在陆续 出台。 等保 2.0 8 等保定级对象 基础信息网络 工业控制系统 云计算平台 物联网 大数据  大数据、大数据应用、大数据平台、基础设施单独或组合可以构成定级对象，当涉及不同责任主体时，应当分别定级

.........................9 五、 技术要求............................................................................................................12 （一） 冷却系统智能调优技术的基本要求.................................. ....12 （二） 冷却系统智能调优技术相关指标要求.................................................13 （三） 冷却系统智能调优实施要求.................................................................16 六、 运维要求........................... ...............................22 表 目 录 表 1 末端设备智能调优功能指标要求...........................................................13 表 2 冷站设备智能调优功能指标要求...........................................................14

···············9 2.3.2 标准变化的部分····························································9 2.4 基本要求和对应产品技术·······················································14 3 解决方案........................... 例如《信息系统安全等级保护基本要求》 变更为《网络安全等级保护基本要求》。 等保 2.0 对定级指南、基本要求、实施指南、测评过程指南、测评要求、设计 技术要求等标准进行修订和完善，以满足新形势下等级保护工作的需要，其中《信 息安全技术网络安全等级保护测评要求》、《信息安全技术 网络安全安全等级保 护基本要求》、《信息安全技术 网络安全等级保护安全设计要求》已于 2019 年 5 月 10 网络安全等级保护测评要求》、《信息安全技术 网络安 全安全等级保护基本要求》、《信息安全技术网络安全等级保护安全设计要求》发 布 6 智安网络等级保护安全防御体系方案 2 等级保护 2.0 简析 2.1 整体分析 等保 2.0 编订过程中，最重要的一个变化，是从条例法规提升到法律层面， 2017 年 6 月 1 日正式施行的《中华人民共和国网络安全法》明确要求，“国家施行 网络安

视觉应用、稳定扩 散（文本到图像模型）以及在自主系统（自动驾驶汽车、机器人）中使用的强 化学习算法等多样化系统。更广泛的类别，如生成式对抗网络和大语言模型等， 是众多生成式人工智能应用的基础，要求在监管中将其纳入考虑。由于现行立 法在适应这一动态环境方面面临挑战，因此有必要采取细致入微的方法管理这 一广泛、快速发展的系统。由于竞争压力，快速发展的技术渗透到我们的生活 和商业实践中，但与 处理的合法依据、公平性和透明度：组织处理个人数据必须有 合法依据（如用户同意、正当利益等）。它要求向个人明确提供关于数据收 集和处理目的的具体的信息。 ○ 数据最小化：将个人数据的收集和保留限制在所述目的所规定 的范围内。 ○ 数据主体的权利：授予个人对其个人数据的各种权利，包括访 问、更正、删除和限制处理的权利。 ○ 安全措施：要求组织采取适当的技术和措施来保护个人数据免 遭未经授权的访问、披露、更改或破坏。 保护条例》第22条）。 ● 生成式人工智能的《通用数据保护条例》合规性： ©2025 云安全联盟大中华区版权所有 15 欧盟《通用数据保护条例》 要求在处理个人数据（包括用于人工智能 系统的数据）时必须征得数据主体同意。此外，数据保护的要求意味着系统 必须遵守《通用数据保护条例》原则，如合法性、公平性、透明度、目的限 制、数据最小化、准确性、存储限制、完整性和保密性。 1.2.1 合法、透明的数据收集和处理

..................................................................................27 2.2.1 实时性与准确性要求....................................................................29 2.2.2 数据安全与合规性需求........... ..................................................................................136 8.2.1 金融行业监管要求（如 GDPR、银保监会规定）....................138 8.2.2 审计与日志记录.............................................. ............................................................................................177 合规要求..................................................................................................177