雲南省第六屆網路安全等級技術回放

① 網路安全實驗室的網路安全實驗室介紹

實驗室宗旨是：在遵守憲法、法律、法規和國家政策，遵守社會道德風尚的基礎上，根據雲南省發展信息產業的需要，充分發揮計算機安全管理部門與計算機用戶之間的橋梁作用；協助主管機關規范和加強計算機安全保護工作，促進計算機網路安全技術的發展以及提高網路用戶的安全意識，維護我省公共信息網路的安全，保障信息的社會化和產業化的健康發展。
實驗室是在雲南省民政廳依法登記的法人團體，業務主管部門是雲南省公安廳；在行業業務工作中接受雲南省公安廳、雲南省民政廳的業務指導和監督管理。

② 網路安全等級保護2.0什麼時候實施，相比1.0有哪些變化

網路安全等級保護2.0時代，於2019年12月1日正式開始。

網路安全等級保護制度是我國網路安全領域的基本國策、基本制度，等級保護標准在1.0時代標準的基礎上，注重主動防禦，從被動防禦到事前、事中、事後全流程的安全可信、動態感知和全面審計，實現了對傳統信息系統、基礎信息網路、雲計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。

等保2.0相比1.0主要有四大方面的變化：

（1） 名稱上的變化

名稱上由「信息系統安全等級保護」轉變為「網路安全等級保護」。

（2） 法律效力不同

《網路安全法》第21條規定「國家實行網路安全等級保護制度，要求網路運營者應當按照網路安全等級保護制度要求，履行安全保護義務」。落實網路安全等級保護制度上升為法律義務。

（3）保護對象有擴展

等保1.0主要是信息系統。而等保2.0將網路基礎設施（廣電網、電信網、專用通信網路等）、雲計算平台/系統、採用移動互聯技術的系統、物聯網、工業控制系統等納入到等級保護對象范圍中。

（4） 控制措施分類不同

等保1.0按照技術和管理各5個方面的要求進行分類，技術要求分為物理安全、網路安全、主機安全、應用安全、數據安全及備份恢復，管理要求分為安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理。

等保2.0則有很大的變化。技術要求分為安全物理環境、安全通信網路、安全區域邊界、安全計算環境、安全管理中心，管理要求分為安全管理制度、安全管理機構、安全人員管理、安全建設管理和安全運維管理。此外，等保2.0基本要求、測評要求、安全設計技術要求框架保持了一致性，即「一個中心，三重防護」。

（5） 內容進行了擴充

等保1.0有五個規定性動作，包括定級、備案、建設整改、等級測評和監督檢查。而等保2.0除了定級、備案、建設整改、等級測評和監督檢查之外，增加了風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置等。

資料來源等保測評機構——時代新威官網。

③ 2019年首度網路安全日總結,信息安全工作匯報

一、信息安全狀況總體評價

根據關於對政府信息系統安全檢查的通知要求，我局認真進行了檢查梳理。現我局共有信息系統總數5個，面向社會公眾提供服務的信息系統數2個，委託社會第三方進行日常運維管理的信息系統數1個，經過安

全測評（含風險評估等級評測），5個系統數均為安全。在系統運行中，無失泄密和受到過病毒木馬等惡意代碼感染，本部門門戶網站未受攻擊和篡改（含內嵌惡意代碼）。與上一年度相比信息安全工作取得的好的長足的進展，整體信息安全狀況良好。

二、信息安全主要工作情況

（一）信息安全組織管理。我局成立了以呂艷副局長為組長，各個科室負責人為成員的信息安全工作領導小組，全面負責信息安全工作。確定了局辦公室為信息安全管理工作的具體承辦機構，辦公室主任為具體負責人，並指定公文收發員為我局兼職信息安全員。

（五）信息安全教育培訓。我局領導幹部和科室工作人員全員參加信息安全教育培訓、掌握信息安全常識和基本技能。對於信息安全管理和技術人員也定期參加信息安全專業培訓

三、信息安全檢查等方面開展的工作情況

我局經常、制度性地開展信息安全檢查，重點是辦公計算機和移動存儲設備安全防護以及門戶網站安全防護。經檢查，無失泄密和受到過病毒木馬等惡意代碼感染，本部門門戶網站未受攻擊和篡改（含內嵌惡意代碼）。我局將嚴格按照信息安全的相關要求的制度，在下一步的工作中，認真做好信息安全工作

四、對信息安全工作的意見和建議

在信息安全工作中，由於我們的辦公計算機公文處理軟體為微軟的word系統，加之計算機的cpu也不是純國產，對於信息安全有著一定的安全隱患

④ 雲南省網路與信息系統安全監察管理規定

第一條為了保護網路與信息系統安全，促進網路的應用和發展，根據《中華人民共和國計算機信息系統安全保護條例》和有關法律、法規，結合本省實際，制定本規定。第二條縣級以上人民政府領導和協調網路與信息系統安全工作。
縣級以上公安機關主管本行政區域內網路與信息系統安全監察管理工作。
縣級以上國家安全機關、國家保密工作部門、信息產業部門和其他有關部門，在各自職責范圍內負責網路與信息系統安全管理的有關工作。第三條對網路與信息系統實行安全等級保護制度。對下列單位涉及的基礎信息網路和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全，實行重點保護：
（一）各級機關；
（二）銀行、保險、證券等金融單位；
（三）郵政、電信單位；
（四）廣播、電視、新聞出版單位；
（五）重點電力、煤炭、燃氣、燃油等能源單位；
（六）航空、鐵路和重點公路、水運等運輸單位；
（七）水利及水源供給單位；
（八）重要物資儲備單位；
（九）重點工程建設單位；
（十）大型工商、信息技術企業；
（十一）重點科研、教育機構；
（十二）醫療衛生、消防、緊急救援等社會應急服務機構；
（十三）需要實行重點保護的其他單位。第四條重點保護的網路與信息系統應當達到下列安全保護要求：
（一）機房及外部環境、設備及媒體的安全應當符合有關法律、法規、規章和標準的要求；
（二）具備風險分析、備份與恢復、容災應急等信息運行安全保護措施；
（三）具有操作系統安全、資料庫安全、網路安全、病毒防護、訪問控制等信息安全保護措施和防範非法侵入、攻擊網路與信息系統的安全保護措施；
（四）使用具有《計算機信息系統安全專用產品銷售許可證》等行政許可證件的網路與信息系統安全專用產品；
（五）設置網路與信息系統安全管理機構或者配備專職或者兼職網路與信息系統安全員，具體負責網路與信息系統安全保護工作。第五條從事國際聯網業務或者向公眾提供上網服務的重點保護的網路與信息系統，除應當達到第四條規定的安全保護要求外，還應當達到下列安全保護要求：
（一）具有系統運行和用戶使用日誌記錄保存60日以上的措施；
（二）具有記錄用戶主叫電話號碼或者網路地址的措施；
（三）具有使用者身份登記和識別確認措施；
（四）具有垃圾郵件過濾、有害信息控制等安全防護措施；
（五）安裝有國家規定的安全管理軟硬體。第六條重點保護的網路與信息系統使用單位應當建立以下安全保護制度：
（一）計算機機房安全管理制度；
（二）安全管理責任人的任免和安全責任制度；
（三）網路安全漏洞檢測和安全系統升級管理制度；
（四）操作許可權管理制度；
（五）用戶登記制度；
（六）信息發布的審查、登記、保存、清除和備份制度；
（七）信息群發服務管理制度。第七條重點保護的網路與信息系統配備的專職或者兼職網路與信息系統安全員應當取得國家認可的信息安全專業人員資格，未取得信息安全專業人員資格的，應當經過縣級以上公安機關組織或者會同有關部門組織的專業培訓，並考核合格。
網路與信息系統安全員實行年度專業考核制度。第八條網路與信息系統安全集成，由具有網路與信息系統安全集成能力的單位承擔。
從事重點保護的網路與信息系統安全集成的單位應當取得國家有關部門認可的集成資質，並配備適應安全集成需要、掌握相關網路與信息系統安全標準的技術人員。
網路與信息系統安全集成單位應當向州（市）以上公安機關備案，並接受公安機關的監督檢查。第九條安全集成單位在從事重點保護的網路與信息系統安全集成時，應當執行國家有關網路與信息系統安全保護的標准，在安全集成完成後及時將所有資料交網路與信息系統使用單位，並對安全集成系統的網路結構、配置以及在安全集成中獲悉的國家秘密、商業秘密負有保密責任。禁止在安全集成的網路與信息系統中設置隱蔽信道。第十條重點保護的網路與信息系統在新建、改建、擴建之前，使用單位應當將安全措施方案報有管轄權的公安機關備案。