云南省第六届网络安全等级技术回放

① 网络安全实验室的网络安全实验室介绍

实验室宗旨是：在遵守宪法、法律、法规和国家政策，遵守社会道德风尚的基础上，根据云南省发展信息产业的需要，充分发挥计算机安全管理部门与计算机用户之间的桥梁作用；协助主管机关规范和加强计算机安全保护工作，促进计算机网络安全技术的发展以及提高网络用户的安全意识，维护我省公共信息网络的安全，保障信息的社会化和产业化的健康发展。
实验室是在云南省民政厅依法登记的法人团体，业务主管部门是云南省公安厅；在行业业务工作中接受云南省公安厅、云南省民政厅的业务指导和监督管理。

② 网络安全等级保护2.0什么时候实施，相比1.0有哪些变化

网络安全等级保护2.0时代，于2019年12月1日正式开始。

网络安全等级保护制度是我国网络安全领域的基本国策、基本制度，等级保护标准在1.0时代标准的基础上，注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

等保2.0相比1.0主要有四大方面的变化：

（1） 名称上的变化

名称上由“信息系统安全等级保护”转变为“网络安全等级保护”。

（2） 法律效力不同

《网络安全法》第21条规定“国家实行网络安全等级保护制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”。落实网络安全等级保护制度上升为法律义务。

（3）保护对象有扩展

等保1.0主要是信息系统。而等保2.0将网络基础设施（广电网、电信网、专用通信网络等）、云计算平台/系统、采用移动互联技术的系统、物联网、工业控制系统等纳入到等级保护对象范围中。

（4） 控制措施分类不同

等保1.0按照技术和管理各5个方面的要求进行分类，技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复，管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。

等保2.0则有很大的变化。技术要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心，管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。此外，等保2.0基本要求、测评要求、安全设计技术要求框架保持了一致性，即“一个中心，三重防护”。

（5） 内容进行了扩充

等保1.0有五个规定性动作，包括定级、备案、建设整改、等级测评和监督检查。而等保2.0除了定级、备案、建设整改、等级测评和监督检查之外，增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等。

资料来源等保测评机构——时代新威官网。

③ 2019年首度网络安全日总结,信息安全工作汇报

一、信息安全状况总体评价

根据关于对政府信息系统安全检查的通知要求，我局认真进行了检查梳理。现我局共有信息系统总数5个，面向社会公众提供服务的信息系统数2个，委托社会第三方进行日常运维管理的信息系统数1个，经过安

全测评（含风险评估等级评测），5个系统数均为安全。在系统运行中，无失泄密和受到过病毒木马等恶意代码感染，本部门门户网站未受攻击和篡改（含内嵌恶意代码）。与上一年度相比信息安全工作取得的好的长足的进展，整体信息安全状况良好。

二、信息安全主要工作情况

（一）信息安全组织管理。我局成立了以吕艳副局长为组长，各个科室负责人为成员的信息安全工作领导小组，全面负责信息安全工作。确定了局办公室为信息安全管理工作的具体承办机构，办公室主任为具体负责人，并指定公文收发员为我局兼职信息安全员。

（五）信息安全教育培训。我局领导干部和科室工作人员全员参加信息安全教育培训、掌握信息安全常识和基本技能。对于信息安全管理和技术人员也定期参加信息安全专业培训

三、信息安全检查等方面开展的工作情况

我局经常、制度性地开展信息安全检查，重点是办公计算机和移动存储设备安全防护以及门户网站安全防护。经检查，无失泄密和受到过病毒木马等恶意代码感染，本部门门户网站未受攻击和篡改（含内嵌恶意代码）。我局将严格按照信息安全的相关要求的制度，在下一步的工作中，认真做好信息安全工作

四、对信息安全工作的意见和建议

在信息安全工作中，由于我们的办公计算机公文处理软件为微软的word系统，加之计算机的cpu也不是纯国产，对于信息安全有着一定的安全隐患

④ 云南省网络与信息系统安全监察管理规定

第一条为了保护网络与信息系统安全，促进网络的应用和发展，根据《中华人民共和国计算机信息系统安全保护条例》和有关法律、法规，结合本省实际，制定本规定。第二条县级以上人民政府领导和协调网络与信息系统安全工作。
县级以上公安机关主管本行政区域内网络与信息系统安全监察管理工作。
县级以上国家安全机关、国家保密工作部门、信息产业部门和其他有关部门，在各自职责范围内负责网络与信息系统安全管理的有关工作。第三条对网络与信息系统实行安全等级保护制度。对下列单位涉及的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全，实行重点保护：
（一）各级机关；
（二）银行、保险、证券等金融单位；
（三）邮政、电信单位；
（四）广播、电视、新闻出版单位；
（五）重点电力、煤炭、燃气、燃油等能源单位；
（六）航空、铁路和重点公路、水运等运输单位；
（七）水利及水源供给单位；
（八）重要物资储备单位；
（九）重点工程建设单位；
（十）大型工商、信息技术企业；
（十一）重点科研、教育机构；
（十二）医疗卫生、消防、紧急救援等社会应急服务机构；
（十三）需要实行重点保护的其他单位。第四条重点保护的网络与信息系统应当达到下列安全保护要求：
（一）机房及外部环境、设备及媒体的安全应当符合有关法律、法规、规章和标准的要求；
（二）具备风险分析、备份与恢复、容灾应急等信息运行安全保护措施；
（三）具有操作系统安全、数据库安全、网络安全、病毒防护、访问控制等信息安全保护措施和防范非法侵入、攻击网络与信息系统的安全保护措施；
（四）使用具有《计算机信息系统安全专用产品销售许可证》等行政许可证件的网络与信息系统安全专用产品；
（五）设置网络与信息系统安全管理机构或者配备专职或者兼职网络与信息系统安全员，具体负责网络与信息系统安全保护工作。第五条从事国际联网业务或者向公众提供上网服务的重点保护的网络与信息系统，除应当达到第四条规定的安全保护要求外，还应当达到下列安全保护要求：
（一）具有系统运行和用户使用日志记录保存60日以上的措施；
（二）具有记录用户主叫电话号码或者网络地址的措施；
（三）具有使用者身份登记和识别确认措施；
（四）具有垃圾邮件过滤、有害信息控制等安全防护措施；
（五）安装有国家规定的安全管理软硬件。第六条重点保护的网络与信息系统使用单位应当建立以下安全保护制度：
（一）计算机机房安全管理制度；
（二）安全管理责任人的任免和安全责任制度；
（三）网络安全漏洞检测和安全系统升级管理制度；
（四）操作权限管理制度；
（五）用户登记制度；
（六）信息发布的审查、登记、保存、清除和备份制度；
（七）信息群发服务管理制度。第七条重点保护的网络与信息系统配备的专职或者兼职网络与信息系统安全员应当取得国家认可的信息安全专业人员资格，未取得信息安全专业人员资格的，应当经过县级以上公安机关组织或者会同有关部门组织的专业培训，并考核合格。
网络与信息系统安全员实行年度专业考核制度。第八条网络与信息系统安全集成，由具有网络与信息系统安全集成能力的单位承担。
从事重点保护的网络与信息系统安全集成的单位应当取得国家有关部门认可的集成资质，并配备适应安全集成需要、掌握相关网络与信息系统安全标准的技术人员。
网络与信息系统安全集成单位应当向州（市）以上公安机关备案，并接受公安机关的监督检查。第九条安全集成单位在从事重点保护的网络与信息系统安全集成时，应当执行国家有关网络与信息系统安全保护的标准，在安全集成完成后及时将所有资料交网络与信息系统使用单位，并对安全集成系统的网络结构、配置以及在安全集成中获悉的国家秘密、商业秘密负有保密责任。禁止在安全集成的网络与信息系统中设置隐蔽信道。第十条重点保护的网络与信息系统在新建、改建、扩建之前，使用单位应当将安全措施方案报有管辖权的公安机关备案。