周道許 田新遠(yuǎn) 吳盈盈

近年來，政企數(shù)字化轉(zhuǎn)型，推動(dòng)了數(shù)字安全概念升級(jí)、落地。數(shù)字時(shí)代的安全，不僅要防范網(wǎng)絡(luò)中斷和系統(tǒng)癱瘓等風(fēng)險(xiǎn)，保障“線上”網(wǎng)絡(luò)系統(tǒng)安全，更要進(jìn)一步保障“線下”經(jīng)濟(jì)社會(huì)運(yùn)行秩序穩(wěn)定。本文將從《網(wǎng)絡(luò)安全法》中要求的安全合規(guī)角度探討金融行業(yè)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)，就金融行業(yè)網(wǎng)絡(luò)安全合規(guī)下如何開展安全工作進(jìn)行了深入的討論和研究。

金融保險(xiǎn)網(wǎng)絡(luò)安全與合規(guī)現(xiàn)狀

隨著網(wǎng)絡(luò)攻擊方式的不斷演進(jìn)，網(wǎng)絡(luò)安全形勢(shì)不容樂觀。具體表現(xiàn)為：一方面，網(wǎng)絡(luò)攻擊事件頻發(fā)，對(duì)社會(huì)穩(wěn)定、生產(chǎn)運(yùn)行、人民生活造成深遠(yuǎn)影響；另一方面，新技術(shù)、新場(chǎng)景的網(wǎng)絡(luò)威脅日益增多，利用安全漏洞實(shí)施鏈?zhǔn)焦舾宇l繁。即便是安全防御提升，加大了網(wǎng)絡(luò)攻擊難度，但網(wǎng)絡(luò)攻擊者可通過多種手段設(shè)法“規(guī)避”“繞過”網(wǎng)絡(luò)安全防線，達(dá)到網(wǎng)絡(luò)攻擊入侵目的。尤其是在利益驅(qū)動(dòng)下，網(wǎng)絡(luò)攻擊目標(biāo)更加精準(zhǔn)，攻擊者趨于瞄準(zhǔn)“高價(jià)值”目標(biāo)。

《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等多部重磅法律條例的頒布，標(biāo)志著我國(guó)在網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等重點(diǎn)領(lǐng)域迎來了有法可依、有章可循的新時(shí)代。與此同時(shí)，行業(yè)監(jiān)管部門積極落實(shí)國(guó)家網(wǎng)絡(luò)安全監(jiān)管要求，先后制定出臺(tái)聯(lián)合規(guī)章和管理規(guī)定，并且持續(xù)加大網(wǎng)絡(luò)安全執(zhí)法力度。

《網(wǎng)絡(luò)安全法》配套文件逐漸出臺(tái)后，金融保險(xiǎn)行業(yè)監(jiān)管部門開始出臺(tái)實(shí)施細(xì)則以指導(dǎo)具體實(shí)踐，適應(yīng)新的業(yè)務(wù)使用場(chǎng)景。2019年4月16日，中國(guó)人民銀行發(fā)布的2019年規(guī)章制定工作計(jì)劃，已經(jīng)制定12項(xiàng)規(guī)章，其中個(gè)人金融信息保護(hù)、客戶身份識(shí)別、消費(fèi)者權(quán)益保護(hù)等相關(guān)法律法規(guī)備受關(guān)注，包括《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法》和《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》。2019年3月7日，國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)發(fā)布了新版《中央企業(yè)負(fù)責(zé)人經(jīng)營(yíng)業(yè)績(jī)考核辦法》，其中增加了對(duì)網(wǎng)絡(luò)安全事件的考核要求，極大地增強(qiáng)了相關(guān)企業(yè)負(fù)責(zé)人的網(wǎng)絡(luò)安全意識(shí)并增加網(wǎng)絡(luò)安全相關(guān)的投入。

后疫情時(shí)代，金融保險(xiǎn)行業(yè)均在尋求業(yè)務(wù)轉(zhuǎn)型和創(chuàng)新式發(fā)展，許多組織正在籌劃新一輪基礎(chǔ)性建設(shè)。如果網(wǎng)絡(luò)安全被排除在預(yù)算之外，那么未來幾年網(wǎng)絡(luò)威脅將不可避免地持續(xù)增長(zhǎng)。故此，金融保險(xiǎn)行業(yè)應(yīng)切實(shí)考慮將網(wǎng)絡(luò)安全產(chǎn)品采購(gòu)納入計(jì)劃，使網(wǎng)絡(luò)安全成為數(shù)字化轉(zhuǎn)型的推動(dòng)力量，以確保為組織轉(zhuǎn)型升級(jí)保駕護(hù)航。本文僅在網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保護(hù)制度框架下，討論金融保險(xiǎn)企業(yè)面臨的網(wǎng)絡(luò)安全合規(guī)問題和實(shí)施實(shí)踐。

網(wǎng)絡(luò)安全等級(jí)保護(hù)及保險(xiǎn)行業(yè)政策標(biāo)準(zhǔn)概述

“網(wǎng)絡(luò)”是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)，包括網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)、數(shù)據(jù)資源等。網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)網(wǎng)絡(luò)（含信息系統(tǒng)、數(shù)據(jù)）實(shí)施分等級(jí)保護(hù)、分等級(jí)監(jiān)管，對(duì)網(wǎng)絡(luò)中使用的網(wǎng)絡(luò)安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)網(wǎng)絡(luò)中發(fā)生的安全事件分等級(jí)響應(yīng)、處置。

對(duì)網(wǎng)絡(luò)安全和保險(xiǎn)行業(yè)的了解是研究金融保險(xiǎn)網(wǎng)絡(luò)安全的前置條件，只有熟悉了我國(guó)網(wǎng)絡(luò)安全等級(jí)及保險(xiǎn)行業(yè)相關(guān)政策和標(biāo)準(zhǔn)，才能更好地理解與制定金融保險(xiǎn)網(wǎng)絡(luò)等級(jí)保護(hù)實(shí)施方案。圖1為網(wǎng)絡(luò)安全等級(jí)保護(hù)體系框架。

網(wǎng)絡(luò)安全已經(jīng)上升到國(guó)家安全戰(zhàn)略高度，沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全，就沒有經(jīng)濟(jì)社會(huì)的穩(wěn)定運(yùn)行。在此背景下，網(wǎng)絡(luò)運(yùn)營(yíng)者、行業(yè)主管部門和網(wǎng)絡(luò)安全職能部門有責(zé)任和義務(wù)開展網(wǎng)絡(luò)安全頂層設(shè)計(jì)，落實(shí)有關(guān)網(wǎng)絡(luò)安全保護(hù)措施，提高網(wǎng)絡(luò)安全綜合保護(hù)能力。

網(wǎng)絡(luò)安全等級(jí)保護(hù)是對(duì)網(wǎng)絡(luò)進(jìn)行分等級(jí)保護(hù)、分等級(jí)監(jiān)管，是將信息網(wǎng)絡(luò)、信息系統(tǒng)、網(wǎng)絡(luò)上的數(shù)據(jù)和信息，按照重要性和遭受損壞后的危害性分成五個(gè)安全保護(hù)等級(jí)（從第一級(jí)到第五級(jí)，逐級(jí)增高）；等級(jí)確定后，第二級(jí)（含）以上網(wǎng)絡(luò)到公安機(jī)關(guān)備案，公安機(jī)關(guān)對(duì)備案材料和定級(jí)準(zhǔn)確性進(jìn)行審核，審核合格后頒發(fā)備案證明；備案單位根據(jù)網(wǎng)絡(luò)的安全等級(jí)，按照國(guó)家標(biāo)準(zhǔn)開展安全建設(shè)整改，建設(shè)安全設(shè)施、落實(shí)安全措施、落實(shí)安全責(zé)任、建立和落實(shí)安全管理制度；選擇符合國(guó)家要求的測(cè)評(píng)機(jī)構(gòu)開展等級(jí)測(cè)評(píng)；公安機(jī)關(guān)對(duì)第二級(jí)網(wǎng)絡(luò)進(jìn)行指導(dǎo)，對(duì)第三、第四級(jí)網(wǎng)絡(luò)定期開展監(jiān)督、檢查。

網(wǎng)絡(luò)安全等級(jí)保護(hù)工作主要包括五個(gè)環(huán)節(jié)，分別是定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查（如圖2所示）。定級(jí)是指網(wǎng)絡(luò)運(yùn)營(yíng)者自行開展網(wǎng)絡(luò)的安全等級(jí)保護(hù)工作，并組織召開專家評(píng)審會(huì)，專家對(duì)初步定級(jí)結(jié)果的合理性進(jìn)行評(píng)審，出具專家評(píng)審意見，并將初步定級(jí)結(jié)果上報(bào)行業(yè)主管部門進(jìn)行審核。備案是指網(wǎng)絡(luò)運(yùn)營(yíng)者將網(wǎng)絡(luò)定級(jí)材料遞交公安機(jī)關(guān)進(jìn)行備案，公安機(jī)關(guān)對(duì)定級(jí)材料進(jìn)行審核，并給符合要求（定級(jí)準(zhǔn)確、符合要求、材料齊全）的網(wǎng)絡(luò)發(fā)放備案證明。建設(shè)整改是指網(wǎng)絡(luò)運(yùn)營(yíng)者根據(jù)網(wǎng)絡(luò)的安全保護(hù)等級(jí)，按照對(duì)應(yīng)等級(jí)的國(guó)家標(biāo)準(zhǔn)開展差距分析和安全建設(shè)整改工作。等級(jí)測(cè)評(píng)是指網(wǎng)絡(luò)運(yùn)營(yíng)者選擇符合國(guó)家規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，對(duì)第二級(jí)以上的網(wǎng)絡(luò)開展等級(jí)測(cè)評(píng)，測(cè)評(píng)機(jī)構(gòu)在測(cè)評(píng)完成后對(duì)符合要求的網(wǎng)絡(luò)運(yùn)營(yíng)者出具測(cè)評(píng)報(bào)告。監(jiān)督檢查是指，公安機(jī)關(guān)對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的情況和網(wǎng)絡(luò)的安全狀況開展執(zhí)法檢查。網(wǎng)絡(luò)運(yùn)營(yíng)者需要每年開展網(wǎng)絡(luò)安全等級(jí)保護(hù)自查工作。

網(wǎng)絡(luò)安全等級(jí)保護(hù)是黨中央、國(guó)務(wù)院決定在網(wǎng)絡(luò)安全領(lǐng)域?qū)嵤┑幕緡?guó)策。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是國(guó)家網(wǎng)絡(luò)安全工作的基本制度，是實(shí)現(xiàn)國(guó)家對(duì)重要網(wǎng)絡(luò)、信息系統(tǒng)、數(shù)據(jù)資源實(shí)施重點(diǎn)保護(hù)的重大措施，是維護(hù)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要手段。金融行業(yè)是網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例施行的重點(diǎn)行業(yè)之一，而保險(xiǎn)行業(yè)作為金融行業(yè)的重要分支，網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的開展勢(shì)在必行。

近幾年，我國(guó)加快了網(wǎng)絡(luò)安全相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的制定和更新，一系列法律、法規(guī)和標(biāo)準(zhǔn)、文件密集發(fā)布、實(shí)施，構(gòu)筑起較為完善的網(wǎng)絡(luò)安全監(jiān)管體系。由公安部對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)具體的工作出臺(tái)了一系列指導(dǎo)意見和規(guī)范。

其中，《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB 17859—1999）是強(qiáng)制性國(guó)家標(biāo)準(zhǔn)，同時(shí)也是等級(jí)保護(hù)的基礎(chǔ)性標(biāo)準(zhǔn)。在此基礎(chǔ)上制定了技術(shù)類標(biāo)準(zhǔn)、管理類標(biāo)準(zhǔn)和產(chǎn)品類標(biāo)準(zhǔn)，是相關(guān)標(biāo)準(zhǔn)制定的基石。

等級(jí)保護(hù)工作開展類標(biāo)準(zhǔn)要求主要用于指導(dǎo)網(wǎng)絡(luò)運(yùn)營(yíng)者開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作，一系列的標(biāo)準(zhǔn)可以對(duì)定級(jí)、備案、建設(shè)整改、等級(jí)保護(hù)測(cè)評(píng)和監(jiān)督檢查工作進(jìn)行指導(dǎo)和參考。

除上述國(guó)家級(jí)的法律法規(guī)和標(biāo)準(zhǔn)體系外，銀保監(jiān)會(huì)針對(duì)保險(xiǎn)行業(yè)也發(fā)布了一系列網(wǎng)絡(luò)安全相關(guān)監(jiān)管文件，共同構(gòu)成了我國(guó)金融保險(xiǎn)行業(yè)完善的網(wǎng)絡(luò)安全監(jiān)管體系。

等級(jí)保護(hù)實(shí)施方案的流程解析

構(gòu)建“等級(jí)化的安全體系”是等級(jí)保護(hù)工作的基本理念，旨在根據(jù)不同用戶在等級(jí)保護(hù)不同等級(jí)、不同階段的業(yè)務(wù)特性、安全需求及安全應(yīng)用重點(diǎn)，在等級(jí)保護(hù)的框架下構(gòu)建一個(gè)安全、可靠、靈活、可持續(xù)改進(jìn)的網(wǎng)絡(luò)安全體系。接下來分別對(duì)定級(jí)、備案、建設(shè)、測(cè)評(píng)、運(yùn)行檢查和其他運(yùn)維工作這幾個(gè)階段的具體實(shí)施和工作重點(diǎn)進(jìn)行介紹。

網(wǎng)絡(luò)定級(jí)是實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)和前提。等級(jí)確定的正確與否，直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)的定位、后續(xù)的安全規(guī)劃、安全建設(shè)、安全實(shí)施和等級(jí)保護(hù)工作相關(guān)各方的資源投入。網(wǎng)絡(luò)定級(jí)包括定級(jí)方法論、定級(jí)流程、定級(jí)環(huán)節(jié)工作內(nèi)容、定級(jí)環(huán)節(jié)主要工作成果四部分構(gòu)成。

網(wǎng)絡(luò)的定級(jí)工作須按照“網(wǎng)絡(luò)運(yùn)營(yíng)者擬定網(wǎng)絡(luò)安全保護(hù)等級(jí)、專家評(píng)審、主管部門核準(zhǔn)、公安機(jī)關(guān)審核”的原則進(jìn)行。網(wǎng)絡(luò)運(yùn)營(yíng)者是網(wǎng)絡(luò)安全等級(jí)保護(hù)的責(zé)任主體，根據(jù)所屬網(wǎng)絡(luò)的重要程度和遭到破壞后的危害程度，科學(xué)合理確定網(wǎng)絡(luò)的安全保護(hù)等級(jí)。

定級(jí)方法論包括定級(jí)要素和定級(jí)方法兩部分。首先是定級(jí)要素，網(wǎng)絡(luò)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定，分別是等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度。等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下3個(gè)方面：一是公民、法人及其他組織的合法權(quán)益；二是社會(huì)秩序、公共利益；三是國(guó)家安全。對(duì)客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對(duì)客體的侵害是通過對(duì)等級(jí)保護(hù)對(duì)象的破壞實(shí)現(xiàn)的，因此，對(duì)客體的侵害外在表現(xiàn)為對(duì)等級(jí)保護(hù)對(duì)象的破壞，通過危害方式、危害后果和危害程度加以描述。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度有3種：一是造成一般損害；二是造成嚴(yán)重?fù)p害；三是造成特別嚴(yán)重?fù)p害。

其次是定級(jí)方法，網(wǎng)絡(luò)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，網(wǎng)絡(luò)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的網(wǎng)絡(luò)安全保護(hù)等級(jí)稱為業(yè)務(wù)信息安全等級(jí)。從系統(tǒng)服務(wù)安全角度反映的網(wǎng)絡(luò)安全保護(hù)等級(jí)稱為系統(tǒng)服務(wù)安全等級(jí)。圖3為網(wǎng)絡(luò)安全定級(jí)保護(hù)流程。

等級(jí)保護(hù)定級(jí)工作具體內(nèi)容可分為等級(jí)保護(hù)導(dǎo)入培訓(xùn)、網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)調(diào)研、網(wǎng)絡(luò)系統(tǒng)輔助定級(jí)和定級(jí)結(jié)果專家評(píng)審四部分。等級(jí)保護(hù)導(dǎo)入培訓(xùn)是指普及等級(jí)保護(hù)的基礎(chǔ)知識(shí)，詳解等保項(xiàng)目開展流程、方法、注意事項(xiàng)等內(nèi)容。

網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)調(diào)研是指通過對(duì)網(wǎng)絡(luò)系統(tǒng)所承載業(yè)務(wù)及業(yè)務(wù)流程的解讀，分析網(wǎng)絡(luò)系統(tǒng)內(nèi)信息資產(chǎn)和網(wǎng)絡(luò)系統(tǒng)所提供服務(wù)的重要性，協(xié)助用戶判斷網(wǎng)絡(luò)系統(tǒng)中業(yè)務(wù)信息和所提供的服務(wù)機(jī)密性、完整性或可用性等安全屬性遭到破壞后，對(duì)國(guó)家安全利益、經(jīng)濟(jì)建設(shè)、公共利益或單位利益所造成的影響程度，為網(wǎng)絡(luò)系統(tǒng)定級(jí)打下扎實(shí)基礎(chǔ)。

網(wǎng)絡(luò)系統(tǒng)輔助定級(jí)是指依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（GB/T 22240—2020）所提出的4個(gè)定級(jí)要素，靈活運(yùn)用指南中所提出的確定網(wǎng)絡(luò)系統(tǒng)安全保護(hù)等級(jí)的步驟和方法，在網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)安全性分析的基礎(chǔ)上編寫《定級(jí)報(bào)告》。

定級(jí)結(jié)果專家評(píng)審是指針對(duì)定級(jí)結(jié)果需要邀請(qǐng)公安部、保密局、工信部的等保專家，對(duì)《定級(jí)報(bào)告》進(jìn)行審定，提供指導(dǎo)意見。以此確保定級(jí)結(jié)果的準(zhǔn)確性，規(guī)避定級(jí)報(bào)告在備案過程被網(wǎng)安部門駁回的風(fēng)險(xiǎn)。定級(jí)環(huán)節(jié)完成后會(huì)形成如下工作成果：《等級(jí)保護(hù)培訓(xùn)課程資料》《網(wǎng)絡(luò)系統(tǒng)基本調(diào)研表》和《定級(jí)報(bào)告》。

第一，成功完成網(wǎng)絡(luò)系統(tǒng)備案工作是開展后續(xù)測(cè)評(píng)工作的必要前提。網(wǎng)絡(luò)安全等級(jí)保護(hù)備案工作包括網(wǎng)絡(luò)備案、受理、審核和備案信息管理等。第二級(jí)（含）以上網(wǎng)絡(luò)，在安全保護(hù)等級(jí)確定后30日內(nèi)，由其網(wǎng)絡(luò)運(yùn)營(yíng)者或者其主管部門到所在地設(shè)區(qū)的地市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。等級(jí)保護(hù)備案由備案流程、備案工作內(nèi)容、備案工作成果三部分組成。

備案工作內(nèi)容方面，具體內(nèi)容如下：備案材料準(zhǔn)備（根據(jù)網(wǎng)安部門或第三方咨詢機(jī)構(gòu)提供的備案材料模板和備案要求指導(dǎo)性文件填寫備案資料）、備案材料提交網(wǎng)安（備案材料和定級(jí)材料一起提交網(wǎng)安）和備案號(hào)下發(fā)（備案材料提交網(wǎng)安后，等待備案證明頒發(fā)通知，該周期一般二至四周）。

備案工作成果方面，等級(jí)保護(hù)備案主要工作成果如下：《備案表》、備案證明和其他備案所需的所有材料。

第二，網(wǎng)絡(luò)安全等級(jí)保護(hù)安全建設(shè)整改工作是網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的核心和落腳點(diǎn)。網(wǎng)絡(luò)系統(tǒng)定級(jí)、等級(jí)測(cè)評(píng)和監(jiān)督檢查等工作最終都要服從和服務(wù)于安全建設(shè)整改工作。該工作分為規(guī)劃設(shè)計(jì)階段和實(shí)施實(shí)現(xiàn)階段。

規(guī)劃設(shè)計(jì)階段：安全規(guī)劃設(shè)計(jì)是等級(jí)保護(hù)實(shí)施過程中的另一個(gè)重要階段，安全規(guī)劃設(shè)計(jì)階段的目標(biāo)是通過等級(jí)化風(fēng)險(xiǎn)評(píng)估，判斷網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)現(xiàn)狀與國(guó)家等級(jí)保護(hù)基本要求之間的差距，確定安全需求，根據(jù)網(wǎng)絡(luò)系統(tǒng)當(dāng)前情況和安全需求等，設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案，并制定出安全實(shí)施計(jì)劃等，以指導(dǎo)后續(xù)的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)工程實(shí)施。

實(shí)施實(shí)現(xiàn)階段：在深入分析系統(tǒng)業(yè)務(wù)安全需求的基礎(chǔ)上，為用戶提供并建立一套符合相應(yīng)等級(jí)保護(hù)要求的全方位的整體系統(tǒng)安全解決實(shí)施方案，方案中不僅包括安全技術(shù)體系的實(shí)施，而且包括安全組織體系的設(shè)計(jì)和安全管理體系的建立。

等級(jí)保護(hù)建設(shè)整改工作可分為詳細(xì)調(diào)研準(zhǔn)備階段、現(xiàn)場(chǎng)調(diào)研實(shí)施階段、分析/報(bào)告編制階段、整改方案確定階段、產(chǎn)品/策略/制度實(shí)施階段和整改成果檢查階段六部分，具體內(nèi)容如下：

詳細(xì)調(diào)研準(zhǔn)備階段可分為調(diào)研計(jì)劃書編制、調(diào)研表單準(zhǔn)備和調(diào)研工具準(zhǔn)備三部分。調(diào)研計(jì)劃書編制包括調(diào)研對(duì)象、調(diào)研目標(biāo)、工作開展依據(jù)、調(diào)研方法、調(diào)研工作內(nèi)容和調(diào)研計(jì)劃安排等。調(diào)研表單準(zhǔn)備指根據(jù)客戶網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況，準(zhǔn)備調(diào)研過程中所需要的表單，主要包括《網(wǎng)絡(luò)系統(tǒng)詳細(xì)調(diào)研表》《等級(jí)保護(hù)調(diào)研現(xiàn)場(chǎng)記錄表》等。調(diào)研工具準(zhǔn)備指根據(jù)客戶網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況，準(zhǔn)備調(diào)研過程中所需要的工具，主要包括漏洞掃描工具、滲透測(cè)試工具、安全策略驗(yàn)證測(cè)試工具等。

現(xiàn)場(chǎng)調(diào)研實(shí)施階段是指嚴(yán)格依據(jù)測(cè)評(píng)中心對(duì)網(wǎng)絡(luò)系統(tǒng)的測(cè)評(píng)方法，開展現(xiàn)場(chǎng)調(diào)研工作。調(diào)研內(nèi)容包括技術(shù)層面和管理層面，技術(shù)層面調(diào)研內(nèi)容包括：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心；管理層面調(diào)研內(nèi)容包括：安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理。最終形成《網(wǎng)絡(luò)系統(tǒng)詳細(xì)調(diào)研表》和《等級(jí)保護(hù)調(diào)研現(xiàn)場(chǎng)記錄表》。另外，依據(jù)測(cè)評(píng)機(jī)構(gòu)對(duì)漏洞掃描、滲透測(cè)試的要求，在第三方專業(yè)安全公司的協(xié)助下采用專業(yè)工具和人工驗(yàn)證的方式開展漏洞掃描工作，采用人工的方式開展?jié)B透測(cè)試工作。

分析/報(bào)告編制階段分為三部分：等保專家分析結(jié)果，形成《網(wǎng)絡(luò)系統(tǒng)調(diào)研差距分析報(bào)告》；滲透測(cè)試專家形成《漏洞掃描報(bào)告》和《滲透測(cè)試報(bào)告》；等保專家最終形成《網(wǎng)絡(luò)系統(tǒng)等級(jí)保護(hù)安全建設(shè)方案（初稿）》。整改方案確定階段，通過對(duì)《網(wǎng)絡(luò)系統(tǒng)等級(jí)保護(hù)安全建設(shè)方案（初稿）》進(jìn)行評(píng)審與溝通，最終由第三方安全機(jī)構(gòu)的等保專家形成《網(wǎng)絡(luò)系統(tǒng)等級(jí)保護(hù)安全建設(shè)方案（終稿）》。

產(chǎn)品/策略/制度實(shí)施階段包括安全產(chǎn)品采購(gòu)、安全產(chǎn)品策略配置、安全策略調(diào)整優(yōu)化、安全管理制度編寫和漏洞整改五部分。

整改成果檢查階段是等級(jí)保護(hù)建設(shè)整改工作的最后階段，此階段根據(jù)整改情況，形成《等級(jí)保護(hù)調(diào)研現(xiàn)場(chǎng)記錄表（更新版）》，以便于后續(xù)測(cè)評(píng)中心進(jìn)場(chǎng)開展測(cè)評(píng)工作。

最終，等級(jí)保護(hù)建設(shè)整改工作輸出的成果如下：《網(wǎng)絡(luò)系統(tǒng)詳細(xì)調(diào)研表》《等級(jí)保護(hù)調(diào)研現(xiàn)場(chǎng)記錄表》《網(wǎng)絡(luò)系統(tǒng)調(diào)研差距分析報(bào)告》《漏洞掃描報(bào)告》《滲透測(cè)試報(bào)告》《網(wǎng)絡(luò)系統(tǒng)等級(jí)保護(hù)安全建設(shè)方案（終稿）》《網(wǎng)絡(luò)系統(tǒng)等級(jí)保護(hù)安全建設(shè)方案（終稿）》《等級(jí)保護(hù)調(diào)研現(xiàn)場(chǎng)記錄表（更新版）》。

第三，在建設(shè)整改工作完成及備案號(hào)下發(fā)后即可以開展等級(jí)保護(hù)測(cè)評(píng)工作。根據(jù)等級(jí)保護(hù)制度規(guī)定，等級(jí)保護(hù)測(cè)評(píng)工作需由《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書》持證測(cè)評(píng)機(jī)構(gòu)進(jìn)行，測(cè)評(píng)過程分為預(yù)測(cè)評(píng)和正式測(cè)評(píng)。

安全測(cè)評(píng)分為預(yù)測(cè)評(píng)和正式測(cè)評(píng)。預(yù)測(cè)評(píng)主要針對(duì)客戶已定級(jí)備案系統(tǒng)執(zhí)行國(guó)家標(biāo)準(zhǔn)的安全測(cè)評(píng)，預(yù)測(cè)評(píng)交付預(yù)測(cè)評(píng)問題清單；差距整改完畢后協(xié)助完成系統(tǒng)配置方面的整改。最后進(jìn)行正式測(cè)評(píng)，正式測(cè)評(píng)將按照國(guó)家標(biāo)準(zhǔn)和國(guó)家公安承認(rèn)的測(cè)評(píng)要求、測(cè)評(píng)過程、測(cè)評(píng)報(bào)告，協(xié)助對(duì)客戶已定級(jí)備案的系統(tǒng)執(zhí)行系統(tǒng)安全正式測(cè)評(píng)，正式測(cè)評(píng)交付具有國(guó)家承認(rèn)的正式測(cè)評(píng)報(bào)告。

網(wǎng)絡(luò)系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)包括兩個(gè)方面的內(nèi)容：一是安全控制測(cè)評(píng)，主要測(cè)評(píng)信息安全等級(jí)保護(hù)要求的基本安全控制在網(wǎng)絡(luò)系統(tǒng)中的實(shí)施配置情況；二是系統(tǒng)整體測(cè)評(píng)，主要測(cè)評(píng)分析網(wǎng)絡(luò)系統(tǒng)的整體安全性。其中，安全控制測(cè)評(píng)是網(wǎng)絡(luò)系統(tǒng)整體安全測(cè)評(píng)的基礎(chǔ)。

安全控制測(cè)評(píng)使用測(cè)評(píng)單元方式組織，分為安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)兩大類。安全技術(shù)測(cè)評(píng)包括：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心五個(gè)層面上的安全控制測(cè)評(píng)；安全管理測(cè)評(píng)包括：安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理五個(gè)方面的安全控制測(cè)評(píng)。

測(cè)評(píng)對(duì)象包括整體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；機(jī)房環(huán)境、配套設(shè)施；網(wǎng)絡(luò)設(shè)備：包括路由器、核心交換機(jī)、匯聚層交換機(jī)等；安全設(shè)備：包括防火墻、IDS/IPS、防病毒網(wǎng)關(guān)等；主機(jī)系統(tǒng)（包括操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)）；業(yè)務(wù)應(yīng)用系統(tǒng)；重要管理終端（針對(duì)三級(jí)以上系統(tǒng)）；安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、業(yè)務(wù)管理員；涉及系統(tǒng)安全的所有管理制度和記錄。

如圖4所示，等級(jí)保護(hù)測(cè)評(píng)實(shí)施過程包括測(cè)評(píng)準(zhǔn)備階段、方案編制階段、現(xiàn)場(chǎng)測(cè)評(píng)階段和分析與報(bào)告編制階段共四個(gè)階段：

首先是測(cè)評(píng)準(zhǔn)備階段，該階段包括測(cè)評(píng)項(xiàng)目組組建、項(xiàng)目計(jì)劃書編制、網(wǎng)絡(luò)系統(tǒng)調(diào)研、工具和表單準(zhǔn)備四部分。測(cè)評(píng)項(xiàng)目組組建包括明確項(xiàng)目經(jīng)理、測(cè)評(píng)人員及職責(zé)分工。項(xiàng)目計(jì)劃書編制包含項(xiàng)目概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和項(xiàng)目組織等工作。網(wǎng)絡(luò)系統(tǒng)調(diào)研指了解被測(cè)系統(tǒng)的詳細(xì)構(gòu)成，包括網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)應(yīng)用、業(yè)務(wù)流程、設(shè)備信息（服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)等）、管理制度等工作。工具和表單準(zhǔn)備是指根據(jù)被測(cè)系統(tǒng)的實(shí)際情況，準(zhǔn)備測(cè)評(píng)工具和各類測(cè)評(píng)表單。

其次是方案編制階段，該階段包括測(cè)評(píng)對(duì)象確定、測(cè)評(píng)指標(biāo)確定、測(cè)評(píng)工具接入點(diǎn)確定、測(cè)評(píng)內(nèi)容確定和測(cè)評(píng)實(shí)施手冊(cè)開發(fā)五部分。測(cè)評(píng)對(duì)象確定指根據(jù)已經(jīng)了解到的被測(cè)系統(tǒng)信息，分析整個(gè)被測(cè)系統(tǒng)及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次測(cè)評(píng)的測(cè)評(píng)對(duì)象。測(cè)評(píng)指標(biāo)確定是指根據(jù)已經(jīng)了解到的被測(cè)系統(tǒng)定級(jí)結(jié)果，確定出本次測(cè)評(píng)的測(cè)評(píng)指標(biāo)。測(cè)評(píng)工具接入點(diǎn)確定是指確定需要進(jìn)行工具測(cè)試的測(cè)評(píng)對(duì)象，選擇測(cè)試路徑，并根據(jù)測(cè)試路徑確定測(cè)試工具的接入點(diǎn)。測(cè)評(píng)內(nèi)容確定是指確定現(xiàn)場(chǎng)測(cè)評(píng)的具體實(shí)施內(nèi)容，即單元測(cè)評(píng)內(nèi)容。測(cè)評(píng)實(shí)施手冊(cè)開發(fā)是指編制測(cè)評(píng)實(shí)施手冊(cè)，詳細(xì)描述現(xiàn)場(chǎng)測(cè)評(píng)的工具、方法和操作步驟等，具體指導(dǎo)測(cè)評(píng)人員如何進(jìn)行測(cè)評(píng)活動(dòng)。

隨后是現(xiàn)場(chǎng)測(cè)評(píng)階段，現(xiàn)場(chǎng)測(cè)評(píng)實(shí)際上就是單項(xiàng)測(cè)評(píng)，分別從技術(shù)上的安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心五個(gè)層面和管理上的安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理五個(gè)方面進(jìn)行。

最后是分析與報(bào)告編制階段，該階段包括單項(xiàng)測(cè)評(píng)結(jié)果分析、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成和測(cè)評(píng)報(bào)告編制六部分。單項(xiàng)測(cè)評(píng)結(jié)果分析是指針對(duì)測(cè)評(píng)指標(biāo)中的單個(gè)測(cè)評(píng)項(xiàng)，結(jié)合具體測(cè)評(píng)對(duì)象，客觀、準(zhǔn)確地分析測(cè)評(píng)證據(jù)。單元測(cè)評(píng)結(jié)果判定是指將單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行匯總，分別統(tǒng)計(jì)不同測(cè)評(píng)對(duì)象的單項(xiàng)測(cè)評(píng)結(jié)果，從而判定單元測(cè)評(píng)結(jié)果，并以表格的形式逐一列出。整體測(cè)評(píng)是指針對(duì)單項(xiàng)測(cè)評(píng)結(jié)果的不符合項(xiàng)，采取逐條判定的方法，從安全控制間、層面間和區(qū)域間出發(fā)考慮，給出整體測(cè)評(píng)的具體結(jié)果，并對(duì)系統(tǒng)結(jié)構(gòu)進(jìn)行整體安全測(cè)評(píng)。風(fēng)險(xiǎn)分析是指根據(jù)等級(jí)保護(hù)的相關(guān)規(guī)范和標(biāo)準(zhǔn)，采用風(fēng)險(xiǎn)分析的方法分析等級(jí)測(cè)評(píng)結(jié)果中存在的安全問題可能對(duì)被測(cè)系統(tǒng)安全造成的影響。等級(jí)測(cè)評(píng)結(jié)論形成是指在測(cè)評(píng)結(jié)果匯總的基礎(chǔ)上，找出系統(tǒng)保護(hù)現(xiàn)狀與等級(jí)保護(hù)基本要求之間的差距，并形成等級(jí)測(cè)評(píng)結(jié)論。測(cè)評(píng)報(bào)告編制是指根據(jù)等級(jí)測(cè)評(píng)結(jié)論，編制測(cè)評(píng)報(bào)告，包括概述、被測(cè)系統(tǒng)描述、測(cè)評(píng)對(duì)象說明、測(cè)評(píng)指標(biāo)說明、測(cè)評(píng)內(nèi)容和方法說明、單元測(cè)評(píng)、整體測(cè)評(píng)、測(cè)評(píng)結(jié)果匯總、風(fēng)險(xiǎn)分析和評(píng)價(jià)、等級(jí)測(cè)評(píng)結(jié)論、整改建議等。

在等級(jí)保護(hù)測(cè)評(píng)過程目中，可采用工具測(cè)試、配置檢查、人員訪談、文檔審查和實(shí)地查看等方法。

工具測(cè)試是指利用技術(shù)工具（漏洞掃描工具、滲透測(cè)試工具、壓力測(cè)試工具等）對(duì)系統(tǒng)進(jìn)行測(cè)試，包括基于網(wǎng)絡(luò)探測(cè)和基于主機(jī)審計(jì)的漏洞掃描、滲透測(cè)試等。

配置檢查是指利用上機(jī)驗(yàn)證的方式檢查主機(jī)、服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對(duì)文檔審核的內(nèi)容進(jìn)行核實(shí)（包括日志審計(jì)等），測(cè)評(píng)其實(shí)施的正確性和有效性，檢查配置的完整性，測(cè)試網(wǎng)絡(luò)連接規(guī)則的一致性，從而測(cè)試系統(tǒng)是否達(dá)到可用性和可靠性的要求。

人員訪談是指與被測(cè)系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)，了解有關(guān)信息。在訪談范圍上，不同等級(jí)網(wǎng)絡(luò)系統(tǒng)在測(cè)評(píng)時(shí)有不同的要求，一般應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。

文檔審查是指檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄等文檔（包括安全方針文件、安全管理制度、安全管理的執(zhí)行過程文檔、系統(tǒng)設(shè)計(jì)方案、網(wǎng)絡(luò)設(shè)備的技術(shù)資料、系統(tǒng)和產(chǎn)品的實(shí)際配置說明、系統(tǒng)的各種運(yùn)行記錄文檔）的完整性，以及這些文件之間的內(nèi)部一致性。

實(shí)地查看是指通過實(shí)地觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況，判斷人員的安全意識(shí)、業(yè)務(wù)操作、管理程序等方面的安全情況，測(cè)評(píng)其是否達(dá)到了相應(yīng)等級(jí)的安全要求。

等級(jí)保護(hù)測(cè)評(píng)完成后，需要形成《等級(jí)保護(hù)測(cè)評(píng)實(shí)施方案（資產(chǎn)收集、測(cè)評(píng)表）》《等級(jí)保護(hù)問題清單》《預(yù)測(cè)評(píng)問題及整改建議》《測(cè)評(píng)報(bào)告》和《備案證明》這些成果。

網(wǎng)絡(luò)系統(tǒng)順利通過測(cè)評(píng)，最終順利獲取《備案證明》和《測(cè)評(píng)報(bào)告》后，在后續(xù)運(yùn)行過程中還會(huì)面臨網(wǎng)絡(luò)安全、行業(yè)主管部門、上級(jí)單位的檢查。除此之外，網(wǎng)絡(luò)運(yùn)營(yíng)者須按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的相關(guān)要求，對(duì)網(wǎng)絡(luò)安全工作情況、等級(jí)保護(hù)工作落實(shí)情況進(jìn)自查，掌握網(wǎng)絡(luò)安全狀況、安全管理制度及技術(shù)保護(hù)措施的落實(shí)情況等，及時(shí)發(fā)現(xiàn)安全隱患和存在的突出問題，有針對(duì)性地采取技術(shù)和管理措施。

在等級(jí)保護(hù)系統(tǒng)運(yùn)行過程中，需要根據(jù)等級(jí)保護(hù)制度要求進(jìn)行安全自查，公安部門、行業(yè)主管部門和上級(jí)主管機(jī)構(gòu)也會(huì)對(duì)其所管轄范圍內(nèi)的企業(yè)進(jìn)行等級(jí)保護(hù)工作抽查。該部分主要工作內(nèi)容包括：出具《網(wǎng)絡(luò)系統(tǒng)等級(jí)保護(hù)自查報(bào)告》；準(zhǔn)備抽查工作所需的材料；回答網(wǎng)絡(luò)安全檢查過程中提問的相關(guān)問題；技術(shù)部分安全策略檢查和調(diào)整；管理制度部分檢查和調(diào)整；等等。

運(yùn)行檢查階段主要工作成果如下：《網(wǎng)絡(luò)系統(tǒng)等級(jí)保護(hù)自查報(bào)告》、技術(shù)核查和調(diào)整、管理核查和調(diào)整和其他檢查過程中臨時(shí)所需的材料。

網(wǎng)絡(luò)系統(tǒng)順利通過測(cè)評(píng)，最終順利獲取《備案證明》和《測(cè)評(píng)報(bào)告》，不代表安全工作的結(jié)束。為保障客戶網(wǎng)絡(luò)系統(tǒng)與業(yè)務(wù)的正常、安全、穩(wěn)定運(yùn)行，需要開展常態(tài)化的定期漏洞掃描、定期滲透測(cè)試、應(yīng)急響應(yīng)、安全加固及安全培訓(xùn)等工作。

這是因?yàn)?，網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)于金融企業(yè)來說，是非常重要的一步，但也只是安全建設(shè)的第一步，在安全合規(guī)的基礎(chǔ)上定期進(jìn)行漏洞掃描、風(fēng)險(xiǎn)評(píng)估等相關(guān)安全服務(wù)才能真正保障企業(yè)未來的網(wǎng)絡(luò)安全。金融企業(yè)遭受網(wǎng)絡(luò)攻擊造成巨大損失的案例在國(guó)內(nèi)外時(shí)有發(fā)生，在業(yè)務(wù)云化，企業(yè)數(shù)字化前進(jìn)的關(guān)鍵階段，網(wǎng)絡(luò)安全是重要基石，金融企業(yè)最好在第三方安全機(jī)構(gòu)的協(xié)助下，每半年開展一次安全加固工作。

網(wǎng)絡(luò)安全形勢(shì)越來越嚴(yán)峻，金融企業(yè)除了需要完成安全合規(guī)工作，還需要開展相關(guān)的安全意識(shí)培訓(xùn)課程，這樣從信息安全技術(shù)類人員到普通內(nèi)部員工，均可以獲得專業(yè)的安全服務(wù)以及安全意識(shí)培訓(xùn)服務(wù)，從而使企業(yè)全員的安全意識(shí)得到提升，讓企業(yè)的網(wǎng)絡(luò)安全得到更有效的保障。

（周道許為清華大學(xué)五道口金融學(xué)院金融安全研究中心主任，田新遠(yuǎn)為北京華清信安科技有限公司CEO，吳盈盈為清華大學(xué)五道口金融學(xué)院金融安全研究中心研究專員。本文編輯/秦婷）