乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > 全文可下载||公网安〔2022〕1058号《关于落实网络安全保护重点措施深入实施网络安全等级保护制度的指导意见》

全文可下载||公网安〔2022〕1058号《关于落实网络安全保护重点措施深入实施网络安全等级保护制度的指导意见》

当前时间: 2026-05-12 00:09:03 更新时间: 2026-05-12 分类:软件教程 评论(0)

全文可下载||公网安〔2022〕1058号《关于落实网络安全保护重点措施深入实施网络安全等级保护制度的指导意见》

关于落实网络安全保护重点措施 深入实施网络安全等级保护制度的指导意见

      依据《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》以及《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020〕1960号),结合网络安全等级保护2.0系列国家标准,国家网络安全等级保护工作协调小组办公室研究提出了落实网络安全保护的总体要求、工作目标和34项重点措施,指导各单位各部门深入实施网络安全等级保护制度。

一、总体要求和工作目标

(一)总体要求

以习近平新时代中国特色社会主义思想为指导,全面落实党中央国务院决策部署,深入贯彻落实网络安全等级保护制度,实时审视国际网络安全态势,坚持问题导向、实战引领,树立极限思维、底线思维和“一盘棋”思想,提挡升级网络安全工作,全面落实“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施,深化网络安全等级保护建设整改、检查检测、监测预警、应急处置等各项重点工作,健全完善网络安全等级保护工作机制,强化新技术新应用网络安全管理,构建“打防管控”一体化的网络安全综合防御体系,不断提升国家网络安全整体防护能力和技术对抗能力,增强战略定力,切实保障涉及国计民生的重要网络系统安全和数据安全,维护国家安全和社会稳定。

(二)工作目标

  1. 网络安全等级保护制度深化实施。 按照《网络安全法》等法律法规要求,依法实施网络安全等级保护制度,深化网络安全等级保护政策和标准落实,健全完善网络安全保护工作机制,统筹协调网络与数据安全保护工作,确保网络安全等级保护定级备案、等级测评、建设整改等工作有效开展,做到底数清、情况明,筑牢网络安全基石,建立良好的网络安全保护生态。

  2. 网络安全等级保护各环节工作有效落实。 所有网络系统纳入等级保护定级范围,包括基础网络、业务专网、信息系统、云平台、工控系统、物联网、采用移动互联技术的系统、大数据等,做到定级准确;第二级以上(包含本级,下同)网络系统全部到公安机关备案;所有第三级以上网络系统每年开展等级测评;针对等级测评发现的问题隐患,制定安全整改方案并开展整改,确保所有问题隐患动态清零;针对第三级以上网络系统每年开展自查和安全检查。

  3. 网络安全整体防护能力和水平显著提升。 健全完善网络安全技术保护体系,构建安全可控的物理环境与通信网络、纵深防御的区域边界、高度可信的计算环境、一体化的安全管理中心,加强安全监测、通报预警、检测评估、演习演练、应急处置和技术对抗,强化供应链安全管理和数据安全保护,显著提升网络安全整体防护能力、技术对抗能力和抵御大规模网络攻击能力。

二、开展顶层设计和统筹规划

措施1:建立完善网络安全领导体系和工作体系。 行业主管(监管,下同)部门和网络运营者应建立健全网络安全领导体系及工作体系,加强本行业、本领域、本单位网络安全工作的组织领导。一是建立网络安全领导体系,设立网络安全工作领导机构,定期专题研究网络安全等级保护、数据安全保护等重大事项,保障在人力、物力、财力等资源方面的投入,审定网络安全管理办法、网络安全规划、安全建设整改方案、应急预案、操作规范等。二是建立专门安全管理机构,设置安全管理岗位,确定安全保护专职人员以及职责和权限等。安全管理人员应参与网络安全和信息化决策。三是统筹开展网络安全等级保护、关键信息基础设施保护、数据安全保护、个人信息保护等各项工作,为每个第三级以上网络系统明确网络安全责任人。

措施2:制定网络安全规划和行业标准规范。 一是行业主管部门结合本行业、本领域网络安全工作实际,编制网络安全规划和行业标准规范,出台网络安全管理办法;根据国家政策和标准,出台行业网络安全等级保护政策和标准规范。二是网络运营者根据行业规划和标准规范,制定网络安全保护实施方案并组织实施,落实网络安全等级保护制度、数据安全保护制度等要求;制定网络安全操作规程和手册,将网络安全法律政策和标准规范落到实处。三是网络安全保护措施应与信息化建设“同步规划、同步建设、同步使用”,并加大投入和保障。

措施3:将网络安全等级保护制度与其他制度有机结合。 发挥网络安全等级保护制度的基础性、支撑性作用,将网络安全等级保护制度与关键信息基础设施保护制度、数据安全保护制度有机衔接,统筹落实。一是以深入开展网络安全等级保护工作为基础,以加强关键信息基础设施安全保护、数据安全保护为重点,部署网络安全工作。二是保护对象为关键信息基础设施的,在落实等级保护制度基础上,根据关键信息基础设施安全保护相关标准要求,采取加强型和特殊型保护措施。三是针对保护对象中的数据、个人信息,在落实网络安全等级保护制度基础上,依据数据安全保护、个人信息安全相关标准规范要求,有针对性地进行保护。四是将第三级以上网络系统、关键信息基础设施和重要数据统筹起来,整体设计,落实安全保护措施。五是依据国家商用密码相关标准要求,第三级以上网络系统应落实密码保护相关措施。

措施4:建立网络安全责任制和问责制度。 严格落实有关法律法规和《党委(党组)网络安全工作责任制实施办法》,建立网络安全责任制和责任追究制度。一是制定责任制管理办法,明确网络安全管理部门、网络运营者的主体责任。二是明确专门安全管理机构具体职责任务,承担安全管理、应急演练、事件处置、教育培训和评价考核等日常工作,设置具体岗位,将责任落实到人。三是加强核心岗位人员管理,建立健全人员管理制度。四是制定出台问责规范,明确违规情形和责任追究事项,确定问责范围,明确约谈、罚款、警告、记过、降级、撤职、开除等处罚措施,确保问责见效。五是针对网络运营者网络安全工作不力、重大问题隐患久拖不改,或存在较大风险、发生重大案事件等情形的,公安机关依法加大行政处罚力度。六是网络运营者应积极配合公安机关开展网络安全保卫、防范打击违法犯罪活动和监督检查,对不配合的,公安机关依法进行处罚。

三、落实网络安全等级保护制度2.0要求

措施5:深化开展网络安全等级保护定级备案工作。 一是梳理所有定级对象,确保所有网络、信息系统纳入定级范围,依据《网络安全等级保护定级指南》,合理划分定级对象,科学确定网络系统的安全保护等级。二是将云计算、物联网、工业互联网、大数据、智能制造、人工智能、区块链、车联网等新技术新应用纳入等级保护范围,对于新技术新应用应根据业务场景合理确定定级对象和安全保护等级。三是网络运营者对网络系统安全保护等级初步确定为第二级以上的,组织网络安全专家对定级结果进行评审。四是将网络系统等级保护定级结果和备案材料及时提交公安机关进行备案审核,符合规定条件的,公安机关受理备案。当网络系统发生改变,应按照有关规定重新开展定级和备案变更。

措施6:制定网络安全等级保护建设方案并实施。 一是根据《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》等国家标准和行业标准,制定总体安全策略,对不同安全保护等级的网络系统开展差距分析,结合行业及业务特点,形成安全保护需求,开展安全保护技术体系及管理体系设计。二是按照“一个中心、三重防护”理念,建设安全管理中心,从安全计算环境、安全通信网络、安全区域边界三个维度设计安全保护措施,制定安全保护总体方案。三是对安全建设进行详细设计,包括技术框架设计、安全功能和性能设计、部署方案设计、安全管理设计等内容。四是组织对总体安全策略、安全保护总体方案、详细设计方案等进行充分论证,在此基础上开展网络安全等级保护建设。

措施7:认真组织开展网络安全等级测评工作。 对第三级以上网络系统,网络运营者每年开展网络安全等级测评。一是从《全国网络安全等级测评与检测评估机构目录》(网络安全等级保护网查阅)中选择等级保护测评机构,按照《网络安全等级保护测评要求》《网络安全等级保护测评过程指南》等国家标准和行业标准规范,制定网络安全等级保护测评方案,组织开展等级测评工作,对照标准检测评估网络系统安全的合规性,查找安全问题和风险隐患、评判网络系统安全保护状况和总体安全保护能力,提出整改措施并认真落实。二是加强对等级测评过程管理,与测评机构签署保密协议,测评机构提交安全承诺书,对测评过程、测评人员实施监督,确保检测评估过程安全可控、检测结果客观公正。三是对于新建网络系统,应在上线前开展等级测评。

措施8:制定网络安全整改方案并实施。 根据等级测评、安全检测评估、风险分析、事件分析、实战检验等发现的问题隐患,制定网络安全整改方案,经论证审定后实施。一是根据网络安全面临的威胁态势变化,持续完善和调整网络技术架构、系统承载能力、安全防护机制、安全策略、安全管理措施、技术保护措施、运行维护措施等,增强保护弹性和可持续性。二是在落实网络安全等级保护国家标准基础上,创新理念和技术方法,对核心资产、核心数据进行特殊加固,确保其得到有效保护。三是对网络安全问题隐患和风险开展整改后,应及时开展复测,检验整改是否到位,确保问题隐患动态清零,漏洞和风险可控。

四、深化落实网络安全基础性保护措施

措施9:强化物理环境基础设施安全保障。 落实物理机房环境保障措施,保护数据机房、云计算机房、重要通信机房等物理设施安全。一是加强机房进出管理,第三级以上网络系统应在机房出入口配置电子门禁系统、防盗报警系统、视频监控系统等。二是重点保障机房供电及通信链路,第三级以上网络系统实现电力冗余供应,具备短期备用电力供应能力。三是采用技术手段加强机房环境监测。四是第三级以上网络系统应采用技术措施,加强防水、防静电及关键设备的电磁防护。五是加强消防资源保障,第三级以上网络系统所在机房应实现分区域管理,不同区域之间设置防火隔离装置。

措施10:加强通信网络安全保护。 采用技术措施保证重要数据在非可靠网络传输的安全性,科学规划网络区域。一是科学设计网络架构规划,合理划分安全网络区域,避免核心业务区域部署在网络边界,第三级以上网络系统采用硬件冗余,保证系统的高可用性。二是保证通信传输安全,第三级以上网络系统使用密码技术保护,防范数据在传输过程中遭篡改、窃取。三是基于可信技术保证设备启动和执行过程的安全,第三级以上网络系统应在应用程序的关键执行环节进行动态可信验证。

措施11:加强区域边界安全保护。 在网络边界采取授权准入、入侵防范等措施,实现对网络内部的保护。一是缩减、归并网络出口,加强边界管理,在网络边界处部署访问控制设备,对进出流量数据进行过滤与监测,第三级以上网络系统限制非法外联,落实准入控制措施。二是制定访问控制策略、优化访问控制规则,落实边界隔离、跨界访问控制,第三级以上网络系统边界应采取基于应用协议和内容的访问控制措施。三是提升主动防护能力,第三级以上网络系统通过技术措施准确识别来自系统内外的攻击行为,查杀恶意代码,清除垃圾邮件,提升应对新型网络攻击能力。四是全面收集安全审计日志,构建网络安全分析平台,溯源网络攻击路径,预警和处置网络安全风险。

措施12:加强计算环境安全保护。 围绕身份鉴别、权限划分、安全审计、入侵防护、数据安全防护等安全要求,构建安全可信的计算环境。一是建立完善账户保护机制,结合实际应用范围对账户最小授权,对账户口令合理配置,审计用户的登录和操作行为,对授予较高权限的账户实施严格的审计措施。第三级以上网络系统的用户采用双因素方式登录。二是最小化安装系统组件和应用程序,关闭多余端口和服务。建立开源代码清单库,记录开源软件来源、版本、安全情况、运维方法等信息,在软件研发过程中进行开源软件安全性检测。三是重要数据传输和存储需建立完整性和保密性保护措施,对重要数据实施本地和异地备份以及恢复措施,并定期开展恢复测试演练。第三级以上网络系统实现重要数据异地实时备份。

措施13:构建网络安全管理中心。 合理规划建设网络安全管理中心,实现网络安全一体化调度与防控。一是在网络中部署运维审计系统、集中管理平台等措施,实现对各类管理员的集中认证、授权及操作审计。二是在网络中规划特定区域用于集中部署安全管控措施,对分布在网络中的安全设备或安全组件进行管控。三是实施一体化监测,包括对网络链路、设备运行状态的集中监测。四是实现集中审计,部署综合审计系统实现对各类审计信息的集中审计分析,并确保日志存储周期超过6个月。五是集中部署各类管控系统,实现对安全策略、恶意代码、补丁升级等安全相关事项集中管理。六是在网络中部署态势感知、威胁信息分析系统等,通过对各类安全日志、网络流量分析,实现对安全事件的快速甄别及追踪溯源。

措施14:健全完善网络安全管理体系。 建立和规范网络安全保护工作中的安全策略、管理制度、操作规程等,为各类安全管理活动提供指导和支撑。一是完善安全管理制度,规范安全管理活动中各项管理制度和操作规程,涉及层面包括但不限于机构人员、物理环境、网络通信、数据管理、安全建设和安全运维。二是第三级以上网络系统运营者,应设置专职安全管理员,依据完善的审批制度和流程对重要活动逐级审批并定期审查,定期开展安全检查。三是加强人员安全管理,规范内部人员录用、离岗和外部人员访问,认定关键岗位,明确安全责任和惩戒措施,并有计划地开展人员培训和技能考核。四是系统上线前开展安全性验收测试。五是强化安全运维管理,加强对环境、资产、介质、设备维护、配置等方面的管理,严格落实变更审批程序,制定应急预案并定期开展应急演练,提高安全防护意识和应急处理能力。

措施15:加强数据全生命周期安全保护。 按照《数据安全法》要求,在落实网络安全等级保护制度基础上,建立数据安全保护制度,强化重要数据保护。一是网络运营者按照国家有关要求,落实数据分类分级制度,落实全流程安全保护措施。二是在数据收集阶段,明确数据收集的目的、用途、方式、范围、来源、渠道等,并对数据来源进行鉴别和记录,仅收集通过授权的数据,收集全过程需要符合相关法律法规和监管要求。三是在数据存储阶段,重要数据存储在境内,第三级以上网络系统应对重要数据、个人信息及业务敏感数据等进行加密存储,建立数据存储备份机制,并定期开展备份恢复演练,第三级以上网络系统应落实异地实时数据备份措施。四是在数据使用和加工阶段,明确数据的使用规范,仅允许访问使用业务所需的最小范围内的业务数据,在处理过程中应进行去标识化或脱敏处理。五是在数据传输阶段,第三级以上网络系统对敏感数据进行加密传输,数据导入导出应进行严格审批和监测。六是对外提供和公开数据时,严格依照数据共享规范,对过程进行严格审批并存档,开展风险评估并对数据共享进行监测和审计,建立数据交换和共享审核流程和监管平台,对数据共享的所有操作和行为进行日志记录,并对高危行为进行风险识别和管控。七是在数据销毁阶段,建立数据销毁机制,明确数据清理方法,确保被销毁的数据不能被还原。

措施16:强化供应链安全管理。 落实供应链安全管理措施,提升安全风险防范能力。一是加强供应链安全管理,从机构人员、资金保障、产品服务、风险管理、安全建设和安全维护等多方面予以规范,并采取相应措施确保制度落实。二是加强供应链提供方安全准入管理,对服务方人员进行安全管理,签订安全保密协议,明确安全责任和义务。三是建立供应方目录,定期梳理和更新供应链企业、产品、人员清单。四是针对产品或服务采购,要求供应方同时提供相关技术文档,并明确产品或服务的知识产权。五是建立风险处理和报告程序,当发生安全风险时,及时采取措施消除隐患,涉及重大风险的按规定同时向有关部门报告。

措施17:采取多种方式检验安全保护措施的有效性。 一是在公安机关指导和支持下,开展网络安全演练,集中检验是否存在重大安全问题隐患,检验各环节安全保护措施是否有效。二是开展沙盘推演,科学设计典型业务场景,深入分析网络安全威胁风险和薄弱环节,在沙盘上演绎技术对抗过程,评价防护策略、技术和措施的有效性,提升应对大规模网络攻击能力。三是聘请专门的安全检测机构,远程渗透测试与现场检测相结合,对第三级以上网络系统进行全流程、全方位检测评估,及时排查和消除重大风险隐患。四是积极探索将演练方法和措施应用于日常监测、通报预警,优化网络安全防护方法,不断提炼总结实战经验,提升网络安全综合防御能力和技术对抗能力。

五、强化新技术新业态安全保护措施

措施18:加强云平台的安全保护。 采用云计算技术的平台在满足网络安全等级保护通用要求的基础上,要按照《网络安全等级保护基本要求》中的云计算安全扩展要求、《网络安全等级保护安全设计技术要求》中的云安全设计技术要求,对云平台进行特殊保护。一是保障云服务客户网络区域的安全,云计算平台应保障各云服务客户虚拟网络之间的隔离,提供通信传输、边界防护、入侵防范等安全机制的能力,确保云服务客户允许接入第三方安全产品或服务,并且云服务客户可以自主设置安全策略。二是落实网络边界的安全防护,在网络区域边界配置访问控制策略,部署安全设备检测各类网络攻击行为,云平台应提供双向安全检测及告警功能。三是保障云服务客户的数据安全,云服务商应提供加固的镜像,通过完整性校验防止其被恶意篡改,当虚拟机做迁移时保证访问控制策略的一致性,云服务客户应定期开展安全检查,进行安全加固,在本地对数据进行备份。四是对云平台实行集中监测,提供安全态势感知、攻击行为回溯分析和监测预警等能力,实现安全事件的事前预警、事中防护和事后追溯,持续监测云平台的安全状态。

措施19:加强移动互联网络系统安全保护。 在传统信息系统防护的基础上,重点关注移动终端安全和无线网络接入安全。在满足网络安全等级保护通用要求的基础上,按照《网络安全等级保护基本要求》中的移动互联安全扩展要求、《网络安全等级保护安全设计技术要求》中的移动互联安全设计技术要求,对移动互联网络系统进行特殊保护。一是选取具有终端设备准入控制功能的无线网络设备,建立终端设备白名单,及时发现和定位非法接入设备。二是应建设统一的移动终端管理系统,建立应用白名单机制,移动终端管理服务端对移动终端进行设备生命周期管理、设备远程控制、设备安全管控。三是移动应用上线前应经专业测评机构进行安全性检测,保证移动终端安装、运行的应用来自可靠证书签名或可靠分发渠道。四是建立移动互联安全管理制度,加强对移动终端的安全管理和控制,第三级以上网络系统所属的移动终端设备丢失后,可进行远程数据擦除。

措施20:加强物联网安全保护。 在满足网络安全等级保护通用要求的基础上,按照《网络安全等级保护基本要求》中的物联网安全扩展要求、《网络安全等级保护安全设计技术要求》中的物联网安全设计技术要求,对物联网进行特殊保护。一是落实物理设备防护措施,确保设备所处的物理环境安全、工作状态稳定,防止强干扰、阻挡屏蔽等破坏。二是采用接入控制、入侵防范、设备安全管理等技术措施,提升应对非法恶意接入、陌生地址攻击、非法入侵等安全风险的技术防御能力。三是提升数据安全保护能力,防范数据攻击;采取数据融合等相关技术,提升数据融合处理和智能处理能力。四是依据典型场景所面临的安全风险和威胁,采取具有针对性的安全技术措施,例如针对智能家居、车联网等典型场景,加强用户身份认证、隐私保护、云端分析、固件更新、数据上报、配置下发、远程控制等方面的安全保护措施,提升应对典型安全风险和威胁的安全防护能力。

措施21:加强工业控制系统安全保护。 在满足网络安全等级保护通用要求的基础上,按照《网络安全等级保护基本要求》中的工业控制系统安全扩展要求、《网络安全等级保护安全设计技术要求》中的工业控制系统安全设计技术要求,对工业控制系统进行特殊保护。一是落实室外控制设备物理防护措施,确保设备所处的物理环境安全、工作状态稳定,远离强电磁干扰、强热源等环境。二是采用物理隔离、单向网闸等安全措施,实现过程级、操作级以及各级之间和内部网络的安全隔离与互联。三是采用加密认证、访问控制和数据加密等技术措施,加强命令、状态量、控制量等通信数据的完整性保护。四是采用边界访问控制、拨号使用控制、无线使用控制等多重防护限制措施,保障边界防护和信息过滤。五是落实设备身份认证、访问控制等防护措施,提升抵御非法恶意接入、非法干扰控制等安全风险的技术防御能力。六是采取控制设备技术防护措施,严格管理设备输出端口,保障其安全稳定运行。七是落实数据完整性保护和敏感数据的保密措施,落实通信网络的组态环境、工程文件的防护措施,对于难以加密的现场总线和现场设备进行物理保护,上层数据进行信息加密处理。针对系统安全设计建设、产品开发采购,落实上线前安全检测管理,排查消除安全隐患。

措施22:加强大数据及平台安全保护。 在满足网络安全等级保护通用要求的基础上,按照《网络安全等级保护基本要求》附录H中的大数据安全控制措施、《网络安全等级保护安全设计技术要求》大数据设计技术要求,以及其他数据安全标准规范,对大数据及平台进行特殊保护。一是加强鉴权过程安全保护,对大数据平台各关键组件和大数据应用,采用严格身份鉴别措施,并按照最小授权原则进行访问控制,对外提供服务应进行严格的授权访问、使用和管理。二是强化数据分类分级安全管理,具备静态脱敏和去标识化的服务能力,在数据清洗和转换过程中对重要数据进行完整性保护并具备数据加密存储能力。三是将安全审计贯穿在数据采集、存储、处理、分析等各个环节,保留完整的日志记录,保证溯源数据能重现相应过程,将不同用户的大数据应用相关审计数据隔离存放。四是建立大数据安全管理制度,约定大数据平台提供者的权限与责任、各项服务内容和具体技术指标等,确保数据接收方具有符合标准规范要求的安全防护能力。

措施23:加强自主可控和创新工程安全管理。 自主可控和创新工程是数据安全、网络安全的基础和新基建的重要组成部分,在满足基本安全要求的基础上增加安全措施,确保自主可控和创新工程健康发展。一是自主可控和创新工程相关网络系统应落实网络安全等级保护制度,科学合理确定安全保护等级,并达到相应级别安全保护能力。二是自主可控和创新工程相关网络系统涉及的产品、服务等,应采购使用符合国家有关规定的安全可信产品、服务。三是涉及到身份鉴别技术、数据传输完整性和保密性、网络通信传输的完整性和保密性等密码技术使用时,相关密码技术应经国家密码管理部门认证核准。四是探索开展网络安全保险。研究网络安全保险相关政策和标准规范,共同培育市场,试点先行,构建“保险+风险管控+服务”模式,提升网络安全社会治理能力。五是实施“一带一路”网络安全战略,支持企业走出去,共享中国经验,保护企业和国家海外权益。

措施24:加强采用5G网络技术的网络系统安全保护。 5G网络接入提供了边缘计算能力,应加强采用边缘计算技术的网络系统的安全保护。同时,5G网络安全防护应在传统网络防护的基础上,重点加强准入控制、数据传输、预警能力、隐私保护等方面的保护措施。一是加强关键终端保护,避免关键终端暴露在强干扰物理环境。二是加强5G网络通信过程密码管理。三是加强5G专网终端接入的访问控制,并通过DNN(Data Network Name,数据网络名称)或切片等方式对不同业务系统进行安全隔离。四是实现边缘计算场景下5G安全能力开放,通过开放接口或开放性安全服务实现安全防护措施的增强。五是提升安全检测预警能力,加强空口干扰检测、空口信令风暴的检测以及5G边缘设备自身的入侵检测,防范对设备的攻击入侵。六是加强5G用户隐私管理,妥善保管收集到的5G用户相关信息,进行多层次的隐私保护处理。七是选择安全合规的5G网络运营商,所提供的5G网络应为其所承载的业务系统及数据传输提供相应等级的安全保护能力。八是保证终端设备、边缘计算平台等安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名。

措施25:加强区块链技术架构安全保护。 合理构建采用区块链技术网络系统的技术架构,分层次进行安全防护。一是使用密码算法、技术、产品及服务,应符合国家密码管理部门及行业标准规范要求。二是应选择可证明安全的共识机制,共识机制应具有容错性及一致性要求,具备防重放攻击的能力。三是交易与账本应在多节点拥有完整的数据记录并确保各节点数据的一致性。四是智能合约应具备完整性和抗抵赖性,智能合约应在沙盒中运行,降低对区块链系统整体运行的影响,在发现合约漏洞时应进行检查和修复。五是加强联盟链和私有链的权限管控,建立用户身份管理机制。六是加强接口管理,配置不同的访问权限,保证权限最小化。七是加强联盟链和私有链的检测预警,采用双向认证等技术手段确保数据在传输过程中的完整性和保密性。

措施26:加强IPv6技术网络系统安全保护。 在IPv4网络防护的基础上,加强各层面的隔离及访问控制,重点加强IPv6协议栈新增安全威胁的防护。一是合理管控IPv6管理、控制和数据平面之间的资源互访。二是强化管理和控制平面IPv6网络接入的认证与鉴权,通过IPsec认证以及白名单策略等加强IPv6网络路由等协议安全防护,采用技术手段重点防御NDP(Neighbor Discovery Protocol,邻居发现协议)报文重放攻击。三是IPv6网络涉及软硬件,在设计开发阶段确保IPv6协议栈安全质量,同步开展已知漏洞的安全检测及修复。四是在网络边界、重要网络节点强化针对IPv6网络环境流量的安全审计。

六、深化落实重点保障措施

措施27:建设网络安全综合业务平台。 科学设计和建设网络安全综合业务平台,一是紧密围绕网络安全保护工作需要和业务需求,建设实时监测、通报预警、事件处置、等级保护、威胁信息、指挥调度、应急演练等业务模块。二是合理设计网络安全等级保护管理模块框架,支撑网络系统定级备案管理、等级测评管理、建设整改管理、资产管理、机构和人员管理等业务。三是建设网络系统定级备案库、威胁信息库、安全事件库、机构和人员库等基础业务库。四是多渠道全量汇聚网络安全数据,建设网络安全数据中心,支撑平台开展各种业务活动。五是充分利用人工智能、大数据分析等新技术构建平台智慧大脑,提升平台智能化、实战化水平。六是与公安机关有关平台对接,实现协同联动和数据共享,为安全保护提供有力支撑。

措施28:落实网络安全实时监测措施。 开展实时监测、发现网络攻击是网络安全保护的首要环节,是实施其他措施的重要基础。行业主管部门建立完善本行业、本领域网络安全监测机制,指导网络运营者开展实时监测。一是建设并应用网络安全监测系统,利用多种手段、多种渠道,采取多种方式,组织内部力量和外部支持力量,开展7×24全方位实时监测,及时发现网络攻击、病毒木马传播、漏洞隐患等风险威胁,为安全防护、应急处置提供支撑。二是在互联网出口、内外网连接处、内网重要节点等,设置监测设备,对全网、重要系统、关键部位进行实时监测,对跨网络、跨业务、跨区域的数据流动进行监测。三是分析网络通信流量或事态模式,建立网络通信流量或事态模型,实践检验事态模型的准确性和有效性,逐步增强模型的科学性,并依此调整监测设备。四是利用自动化手段,建立自动化分析机制,对所有监测信息进行汇总整合,关联分析来自多方渠道的信息和线索,并进行综合研判,支撑网络安全保护和事件处置等工作。

措施29:健全完善网络与信息安全信息通报机制。 依托国家网络与信息安全信息通报机制,充分发挥各级网络与信息安全信息通报机构作用。一是加强本行业、本单位网络安全信息通报机制建设,落实责任部门。二是加强公安机关、有关部门以及网络安全服务机构之间的信息通报共享工作,完善信息通报流程。三是组织专门队伍,调配技术资源,及时收集、汇总、分析各方网络安全信息,开展网络安全威胁分析和态势研判,及时通报预警处置。四是建设应用行业和单位网络安全移动APP,在确保安全保密的情况下,提高信息通报预警、信息共享、事件处置等工作的便捷性。五是按规定向行业主管部门、公安机关报送网络安全监测预警信息。

措施30:建立重大事件和威胁报告制度,落实重大事件处置措施。 一是建立网络安全事件管理制度,按照国家有关网络安全事件分类分级规范和指南,确定不同类别和级别事件处置的指挥流程、处置要求等。二是组建专门网络安全事件应急处置队伍、技术支撑队伍、专家队伍,加强处置事件的装备、工具、经费等保障。三是按照国家网络安全事件应急预案要求,制定网络安全事件应急预案;每年至少组织开展一次应急演练,并根据演练情况对应急预案进行评估和改进。四是制定重大事件和威胁报告规范,明确报告流程和方法。发生重大网络安全事件或者发现重大网络安全威胁时,网络运营者应当第一时间向行业主管部门、公安机关报告,同时立即开展应急处置,并保护现场,做好相关网络日志、流量及攻击样本等证据留存工作,并配合公安机关开展调查处置。五是当网络系统出现大规模重要数据、大量个人身份信息泄露等特别重大网络安全事件时,应及时报告行业主管部门、自治区公安厅网络安全保卫总队。

措施31:落实技术应对措施,提升技术对抗能力。 一是科学设计网络整体架构,采取分区分域策略,缩减、归并互联网出口,强化网络边界防护。二是落实安全准入管理措施,梳理互联网接入,对网络应用进行集中化、集约化建设。三是开展互联网暴露面治理,收敛暴露面,关停废弃老旧资产,识别未知资产,清除暴露在互联网上的敏感信息,加强特权账户管理,清理僵尸账户。四是全面收集安全日志,溯源网络攻击路径,发现网络攻击行为。部署专用设备,及时发现、捕获和阻断攻击。五是加强安全教育培训,提高社工识别能力,提升全员安全防范意识,防范钓鱼攻击。六是采取纵深防御措施,落实区域边界隔离、接入认证、主客体访问控制等措施,建立网络访问规范,识别网络访问关系,层层设防。七是落实互联网、业务内网等网络边界监测措施,严防发生违规外联。八是加强精准防护,对物理主机、云上主机等进行安全加固,落实访问控制、访问白名单机制、双因素认证等措施。九是加强威胁信息收集、分析和处理工作,提升应对网络安全威胁的主动性。十是常态化开展隐患清除工作,在公安机关的组织和指导下,利用专用工具,及时排查发现、清除网络系统中被植入的木马、病毒、后门等隐患,封堵攻击路径,并在此基础上开展整改和加固工作。

措施32:实施“挂图作战”,提升综合防御能力。 一是按照“理论支撑技术、技术支撑实战”的理念,研究网络空间地理学等理论和网络空间智能认知、资产测绘、画像与定位、可视化表达、地理图谱构建、行为认知和智能挖掘等核心技术。二是在全面掌握网络安全保护机构、人员、技术支撑力量等基本情况,以及基础网络、业务专网、核心系统、云平台、大数据中心、网络和数据资产等要素基础上,构建地理资源和网络空间数据模型,利用核心技术,绘制网络空间地理信息图谱,将威胁信息、安全防护、监测预警、应急指挥、事件处置、安全管理等业务上图,利用网络安全综合业务平台,建立实战化、体系化、常态化的工作机制,实施“挂图作战”。三是积极利用密码、可信计算、人工智能、大数据分析、区块链、零信任等新技术开展安全保护,不断提升内生安全和主动免疫能力。

措施33:加强网络安全经费和设备设施改造升级经费保障。 建立完善经费保障制度。一是拓展经费保障渠道,完善现有经费渠道,足额保障第三级以上网络系统安全保护经费。二是保障开展等级测评、风险评估、密码应用安全性检测、演练竞赛、安全建设整改、安全保护平台建设、运行维护、监督检查、教育培训等经费投入。三是加强网络系统、设备改造升级经费保障,及时更新重要网络安全设备,避免因设备老旧引发网络安全事故。

措施34:加强网络安全教育训练和人才培养。 根据网络安全工作需求,建立完善教育训练和人才培养机制。一是建立网络安全人才发现、选拔、使用机制,坚持培养和引进并重,培养网络安全专门队伍。二是建立网络安全教育训练体系,建设网络安全教育训练基地,加强高端人才培养和能力提升。三是组织力量积极参与国家、行业组织举办的各类网络安全竞赛,持续培养网络安全专业人才,逐步提升网络安全队伍的专业化能力。四是组织对相关人员开展网络安全法律法规、网络安全等级保护政策、国家和行业标准规范等培训,及时了解和掌握网络安全等级保护定级指南、基本要求、安全设计技术要求、测评要求等国家标准,以利于开展网络安全等级保护工作。

七、工作要求

(一)加强组织领导。 要高度重视网络安全等级保护工作,增强安全责任意识,大力加强组织领导,建立健全责任追究和倒查机制;将网络安全等级保护工作纳入绩效考核,加强统筹协调和工作部署,强化各项措施任务的细化落实,确保取得实效。

(二)加强协作配合。 加强与上级主管部门、公安机关等相关部门协作配合,建立常态化的预警通报及应急联络机制,及时报送有关情况,加强共享协作。公安机关应加强对网络运营者网络安全等级保护工作的指导监督,防范打击危害网络安全的违法犯罪活动。

(三)及时报送情况。 第三级以上网络运营者每年应对本单位网络安全等级保护定级备案、安全自查、等级测评、安全建设整改、通报预警、应急演练、事件处置等工作进行总结,形成总结报告,年底前报受理备案的公安机关网安部门。

下载链接:
2022年 公网安〔2022〕1058号《关于落实网络安全保护重点措施深入实施网络安全等级保护制度的指导意见》.pdf