等级保护安全设计技术要求及安全建设总体设计 2 3 4 5 安全建设案例 介绍 安全建设总体 设计 设计技术要求 关键技术解析 设计技术要求 核心思想 设计技术要求 主要内容 目 录 页 1 n 《设计技术要求》遵照 GB17859 以及《基本要求》等标准的技术要求部分 ，对信息 ，不包括物理安全、 安全管理制度等要 求。 n 《基本要求》是在 GB17859 等标准基础上 ，根据现有技术的发展水平 ，提出和规定 了不同安全等级信息系统的最低保护要求 ，包括基本技术要求和基本管理要求。 n 《计算机信息系统安全保护等级划分准则》（ GB17859-1999 ） 是根据国务院 147 号 令要求制定的强制性标准 ，是等级保护的基础性标准 ，是其他标准制定的依据。 该标准以访问控制为核心构建基本保护环境和相关安全服务。 1. 设计技术要求核心思 想 01 要 。 信息系统安全影响国家安 全 重 02 安全漏洞和安全威胁永远存在。 03 攻防失衡，攻击占有巨大优势。 04 主动防御、守住底线。 1. 设计技术要求核心思 想 1. 设计技术要求核心思想 u 《设计技术要求》重在设计 PPDR 模型中的防护机制； 控制规则 ↓ t 访问控制

第一次提出等级保护的概念； 第九条：计算机信息系统实 行安全等级保护 国务院 147 号令 《通用要求》 《测评要求》 。。。 等保 2.0 相关标准系 列 第二十一条“国家实行网络安 全等级保护制度”，深化等保 制度重要举措。 网络安全法 发展历程 适用对象 主管部门 标准体系 等级级别 定级依据 资质要求 测评周期 等 级 保 护 非涉密 信息系统 公安机关 国家标准 （ GB 、 G 第五级 《网络安全等级保护条例》 2.0 等级保护安全框 架 等级保护的基本要求、测 评要求和安全设计技术要 求框架统一，即：安全管 理中心支持下的三重防护 结构框架 通用安全要求 + 新型应 用安全扩展要求，将云 计算、移动互联、物联 网、工业控制系统等列 入标准规范 将可信验证列入各级别和 各环节的主要功能要求 定级对象 等保进入 2.0 时代，保护对象从传统的网络和信息系统，向“云移物工大”上扩展，基础 参照信息系统当前等级要求 和标准，对信息系统进行整 改加固。 委托具备测评资质的测评机 构进行等级测评，形成正式 的测评报告。 监督检查 向当地公安机关网监部门提交测评报告，配合完成对网络安全等级保护实施情况的检查。 工作流程 工作流程 定级 名称 变化 《信息安全技术 信息系统 安全等级保护基本要求》 《信息安全技术 网络 安全等级保护基本要求》 上升到网络空间安全层面

级保护制度”，深 化等保制度重要 举措。 2003 中办发 27 号文 信息安全保障纲 领性文件； 第二条：实行信 息安全等级保护。 2019 等保 2.0 相关标准系 列 《通用要求》 《测评要求》 。。。 等级保护发展历程 针对日益严峻的网络安全形势，为贯彻落实习主席关于推进全球互联网治理体系变革的“四项原则”和构建网络空间命运共 同体的“五点主张”，经中央网络安全和信息化领导小组批准，国家互联网信息办公室于 2020-11-11 2 JR/T 0071.2—2020 金融行业网络安全等级保护实施指引 第 2 部分：基本要求 推荐性行业标准 现行 2020-11-11 3 JR/T 0071.3—2020 金融行业网络安全等级保护实施指引 第 3 部分：岗位能力要求和评价指引 推荐性行业标准 现行 2020-11-11 4 JR/T 0071.4—2020 金融行业网络安全等级保护实施指引 金融行业网络安全等级保护实施指引 第 4 部分：培训指引 推荐性行业标准 现行 2020-11-11 5 JR/T 0071.5—2020 金融行业网络安全等级保护实施指引 第 5 部分：审计要求 推荐性行业标准 现行 2020-11-11 6 JR/T 0071.6—2020 金融行业网络安全等级保护实施指引 第 6 部分：审计指引 推荐性行业标准 现行 2020-11-11 7 JR/T

工作的通知》，要求中 央企业贯彻执行等级保 护工作。 5 等级保护发展历程 等保 2.0 发展情况 修订等保 1.0 2016 年 10 月公安部网络安 全保卫局组织对原有国家标 准 GB/T 22239-2008 等系列 标 准进行了修订。 2.0 系列标准 编制工作 2017 年 1 月至 2 月，全国信息 安全标准化技术委员会发布《 网络安全等级保护基本要求》 系列标准、《 系列标准、《 网络安全等级保 护测评要求 》系列标准等“征求 意见稿”。 2017 年 5 月，国家公安部发布 《 GA/T 1389—2017 网络安 全等级保护定级指南》、 《 GA/T 1390.2—2017 网络 安全等级保护基本要求 第 2 部分：云计算安全扩展要求》 等 4 个公共安全行业等级保护 标准。 等保 2.0 《网络安全等级保护条例》征 求意见稿发布。 7 月再次调整 分类结构和强化可信计算。充 分体现一个中心，三重防御的 思想（和 GB/T 25070 保持一 致）充分强化可信计算技术使 用的要求（和 GB/T 25070 保 持一致），等保 2.0 标准在 2019 年 5 月 13 号正式发布， 12 月 1 号正式实施，进入等 保 2.0 时代。 6 7 等级保护依据的法律、法规  《网络安全法》第二十一条明确要求：“国家实行网络安全等级保护制度”。  《网络安全等级保护条例》第三条【确立

控制 数据集中控制：系统、租户的数据安全防护难度加大 云与虚拟化：攻击从终端转向云端，安全边界趋于模糊 自动化安全管理：安全自动化管理要求更高、防护盲点 数据泄漏威胁：数据集中、共享与多样化加大了泄漏风险 安全监管合规：国家标准、行业规范、监管要求 云安全新需求 1. 纵深防御（ DiD ）、软件定义信息安全 （ SDIS ）、安全设备虚拟化（ SDV ），结合 后形成更安全、敏捷、经济的云平台安全体 面国家网络 安全的基本原则。 • 标志着我国关键信息基础设施保护工作进入正轨，在关键基础设施的保护范围、保护要求、保护责 任等方面做出了系统性的要求。 • 体现了全面加强了对公民个人信息的保护。 • 保障网络数据安全进入了国家网络安全的视野。 背景 网络安全等级保护基本要求 （ 2.0 ）将于 2019 年 12 月 1 日实 施。 信息系统安全等级保护简介 什么是等级保护 • 规范和 划分准则、基本要求、操作系统、数据库、网络、服务器、终端等技术要求，使用符合本系统安 全保护等级要求的信息安全产品，同步建设符合本系统安全保护等级要求的信息安全设施。运营 使用单位应当按照安全管理要求、安全工程管理要求等管理规范，建立安全组织，制定并落实符 合本系统安全保护等级的安全管理制度。 -信息系统建设完成后，运营使用单位应当选择符合本系统安全保护等级要求的检测机构，依 据《信

目前，业界尚未对“信创云”给出明确的标准定义。 所谓“信创云”，业界普遍认为是基于国产化存储、计算、网络、操作系统等基础软硬件打造，具备高可靠性、 高可扩展性、安全可信等核心特征。尽管每个行业要求不一样，但最重要的是组成信创云的基础软硬件产 品要符合信创标准。 另外，就是要坚持信创云软件的自主研发，能够通过对底层不同类型的计算、存储以及网络等资源进行统 一纳管，有效屏蔽底层资源差异性，保障企业 心技术及应用范围等方面均有所区别  传统架构信创云 从实际需求端来看，传统架构信创云由于与企业原有私有云平台在功能和架构相差不大、应用迁移成本较小等原因是 目前企业的需求重点。具体来看，企业对于传统架构信创云的要求主要 ：需要核心技术自主可控、需要应用迁移成本 较小、需要能够屏蔽底层资源差异性、需要具备优秀的安全保障能力等。  超融合架构信创云 超融合架构信创云主要指的是基于国产超融合软件 + 超融合 《信息安全技术网络安全等级保护基本要 求》 等保 2.0 增加云扩展要求，从一个中 心三个防护维度进行云安全要求 《可信云服务认证》 对数据可销毁性、数据可迁移性、数 据私密性、数据知情权等进行了规范 《云计算服务安全评估办法》 建立云计算服务相关安全管理流程和 制度， 通过系统化的方式确保合规要 求内部落地 《中华人民共和国网络安全 法》 正式执行，按照要求开展商用密码应 用安全性评估，确保云计算平台密码

目前，业界尚未对“信创云”给出明确的标准定义。 所谓“信创云”，业界普遍认为是基于国产化存储、计算、网络、操作系统等基础软硬件打造，具备高可靠性、 高可扩展性、安全可信等核心特征。尽管每个行业要求不一样，但最重要的是组成信创云的基础软硬件产 品要符合信创标准。 另外，就是要坚持信创云软件的自主研发，能够通过对底层不同类型的计算、存储以及网络等资源进行统 一纳管，有效屏蔽底层资源差异性，保障企业 心技术及应用范围等方面均有所区别  传统架构信创云 从实际需求端来看，传统架构信创云由于与企业原有私有云平台在功能和架构相差不大、应用迁移成本较小等原因是 目前企业的需求重点。具体来看，企业对于传统架构信创云的要求主要 ：需要核心技术自主可控、需要应用迁移成本 较小、需要能够屏蔽底层资源差异性、需要具备优秀的安全保障能力等。  超融合架构信创云 超融合架构信创云主要指的是基于国产超融合软件 + 超融合 《信息安全技术网络安全等级保护基本要 求》 等保 2.0 增加云扩展要求，从一个中 心三个防护维度进行云安全要求 《可信云服务认证》 对数据可销毁性、数据可迁移性、数 据私密性、数据知情权等进行了规范 《云计算服务安全评估办法》 建立云计算服务相关安全管理流程和 制度， 通过系统化的方式确保合规要 求内部落地 《中华人民共和国网络安全 法》 正式执行，按照要求开展商用密码应 用安全性评估，确保云计算平台密码

行网络安全等级保 护制度”，从法规上 升到法律层面 《基本要求》 《安全设计技术要 求》 《测评要求》 正式发布 第九条“计算机信息 系统实行安全等级 保护”首次提出了等 级保护的概念 信息安全保障纲领 性文 件 ，明确指出 “实行信息安全等级 保护“主要任务 进一步明确了信息 安全等级保护制度 的职责分工和工作 的要求等基本内容 明确了信息安全等 级保护的五个动作， 进一步扩大 安全防护要求不断提高 网络安全法确立等级保护制度地位 等级保护政策体系进一步细化完善 21 条规定：国家实行等级保护制 度； 31 条规定：国家对关键信息基础 设施，在网络安全等级保护制度的 基础上，实行重点保护。  等级保护范 围扩大（除了个人及家庭自建网络 之外的领域全覆盖）  等级保护对象扩展（云计算、工业控制、物联 网、移动安全）； 保护要求更高（针对高级威胁检测、供 保护要求更高（针对高级威胁检测、供 应链安全、邮件 安全、通 报预警等） 增加对可信计算的相关要求。 等级保护管理条例 / 关键信息基础 设施保护条例发布征求意见稿； 配套管理规范 、实施细 则正在陆续 出台。 等保 2.0 8 等保定级对象 基础信息网络 工业控制系统 云计算平台 物联网 大数据  大数据、大数据应用、大数据平台、基础设施单独或组合可以构成定级对象，当涉及不同责任主体时，应当分别定级

智慧能源与运维云平台解决方案 1 系统建设目标和总体要求 2 3 4 目录 系统结构和推荐配置选型 实现方案与功能应用 5 移动端应用说明 项目监测范围 安全用能：能源供、配、用环节安全可靠 • 变配电测控、保护 • 配电所环境监测 • 水、气管网实时监测 • 电梯监视、视频监控 经济用能：能源资源利用高效可控 • 能耗对比分析 • 能耗指标及对标 • 能源平衡和损耗分析 建设目标 总体要求 监测范围 系统结构 应用方案 移动端应用 建设目标 总体要求 监测范围 系统结构 功能应用 移动端应用 设计 目标 建立综合的系统集成云平台，统一监控、远程访问 与园区智能化系统的数据共享和服务共担 提供多种访问方式，支持 B/S 模式、 C/S 模式及移动端应用 开放式系统架构和模块化设计，满足规模容量要求和便于扩展 安全管理机制与东莞市能耗监测中心上传要求 1 2 2 3 4 5 智慧云平台 总体要求 智慧能源与运维云平台总体要求 打造含能源管理、实时监控、智慧运维三位一体的综合性集成平台，提供统一 操作界面和对外窗口，“私有云”实现远程访问，方便维护和管理。 具备系统集成和开发能力，通过园区网络与其他智能化子系统（如 OA 、 ERP 、 MES ）交互对接，获取辅助分析参数，实现数据共享与服务共 担。 系统应采用开放式设计原则，具有强大的设备接入和功能模块的追加扩容而不

国家政策背景 《网络安全 法》 国家网络安全等级保护制度 网络运营者基本责任义务 基础制度、基本国策 上升为法律 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列 安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改  （一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；  （二 （五）法律、行政法规规定的其他义务。 网络安全等级保护制度 ( 四 ) 安全保障  严格执行《中华人民共和国网络安全法》等相关法律 法规与文件要求，建立空间网络安全保障机制  各级教育行政部门应要求空间服务提供方加强空间数 据的持续规范采集，实施网络安全等级保护，  要求各级各类学校加强对各类人员网络安全教育培训， 提高自觉维护网络安全 教育部关于加强网络学习空间建设与应 用的指导意见教技〔 2018 网络安 全等级保护制度  做好关键信息基础设施保障，重点保障数据和信息安 全 教育部 《教育信息化 2.0 行动计划》 深入贯彻落实《网络安全法》  根据落实网络安全等级保护制度的要求，进一步完善 相关管理制度和标准规范  持续推进网络安全监测预警通报机制，建立常态化的 通用软件安全评估机制  完善网络安全信息通报机制，加强与省级教育行政部 门的信息共享，提高安全威胁信息的质量和针对性。