2025等保合规性测试用例与修复方案

12024年11月22日等保合规性测试用例与修复方案背景介绍总结与建议测试用例与修复方案等保实施与测评要求解读01020304目录目录2信息安全现状法律法规行业要求背景介绍-信息安全现状3计算机病毒产生全球出现首例计算机病毒4攻击手段演变篡改、伪造、拒绝服务、恶意软件、安全漏洞最初的攻击手段计算机病毒、破解口令和利用操作系统已知漏洞当今安全事件类型数据泄露、网络攻击、网络犯罪20世纪

80s20世纪

90s21世纪近几年背景介绍-信息安全现状信息安全现状法律法规行业要求背景介绍-法律法规5法律法规6网络安全法个人信息保护法/民法典背景介绍-法律法规※网络安全等级保护制度关键信息基础设施保护条例数据安全法数据分类分级保护制度个人信息保护制度0170205国家实行网络安全等级保护制度网络安全法：网络安全等级保护制度0304制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任防范计算机病毒和网络攻击、网络侵入监测、记录网络运行状态、网络安全事件数据分类、重要数据备份和加密等措施法律、行政法规规定的其他义务背景介绍-法律法规(续1)制度防范审计数据其他058010208关键信息基础设施安全保护条例专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作03建立健全网络安全管理、

评价考核制度，拟订关键信息基础设施安全保护计划组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估组织网络安全教育、培训按照规定报告网络安全事件和重要事项背景介绍-法律法规（续2）制度防范预案培训04按照国家及行业网络安全事件应急预案，制定本单位应急

预案，定期开展应急演练，处置网络安全事件认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议考核06履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度07对关键信息基础设施设计、建设、运行、维护等服务实施安全管理责任报告环节9背景介绍-法律法规（续3）等保范围适用于所有网络运营者：自主定级，自主保护等保等级分为五级，十个通用要求及四个拓展要求，三级及以上系统必须进行渗透测试级别认定初步定级->专家评审->行业主管

(监管)部门核准->结果提交公安机关备案审核。关保范围被认定关键信息基础设施的运营者：重点保护,监管保护关保等级包括等级保护测评和密码测评、能力域级别评价三部分。能力域从五个部分评

价，且等保不低于三级关基认定行业主管部门、

监督管理部门根据认定规则认定本行业的关基设施，及时将认定结果通知运营者，并通报国务院公安部门等级保护制度与关键信息基础设施保护制度信息安全现状法律法规行业要求背景介绍-行业要求10国能安全[2014]

317号电力行业网络与信息安全管理办法11.国能安全[2014]

318号电力行业信息安全等级保护管理办法国家发展改革委第14号令电力行业网络与信息安全管理办法.GB/T

37138-2018电力信息系统等级保护实施指南背景介绍-行业要求电力行业网络与信息安全管理办法12背景介绍-行业要求(续1)国能安全[2014]317号第八条 电力企业应当按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求，对本单位的网络与信息系统进行安全保护。第九条 电力企业应当选用符合国家有关规定、满足网络与信息安全要求的信息技术产品和服务，开展信息系统安全建设或改建工作。电力监控系统安全防护规定13背景介绍-行业要求（续2）国家发展改革委第14号令第二条 电力监控系统安全防护工作应当落实国家信息安全等级保护制度，按照国家信息安全等级保护的有关要求，坚持“安全分区、网络专用、横向隔离、纵向认证”的原则，保障电力监控系统的安全。第四条 本规定适用于发电企业、电网企业以及相关规划设计、施工建设、安装调试、研究开发等单位。电力行业信息安全等级保护管理办法国能安全[2014]318号第八条电力企业应当按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求，对本单位的网络与信息系统进行安全保护。第九条电力信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展电力信息系统安全建设或者改建工作。14背景介绍-行业要求（续3）电力信息系统等级保护实施指南GB/T

37138-20184.2.5

电力信息系统安全产品供应商电力信息系统安全产品供应商负责按照国家及电力信息系统安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的网络安全产品,接受安全测评;按照国家有关要求销售网络安全产品并提供相关服务。15背景介绍-行业要求（续4）背景介绍总结与建议测试用例与修复方案等保实施与测评要求解读01020304目录目录16网络安全等级保护国标体系文件17等保解读-国标文件编号名称发布日期GB/T

22240—2020信息安全技术网络安全等级保护定级指南2020GB/T

22239—2019信息安全技术网络安全等级保护基本要求2019GB/T

25058—2019信息安全技术网络安全等级保护实施指南2019GB/T

25070—2019信息安全技术网络安全等级保护安全设计技术要求2019GB/T

28448—2019信息安全技术网络安全等级保护测评要求2019GB/T

28449—2018信息安全技术网络安全等级保护测评过程指南2018GB/T

36627—2018信息安全技术网络安全等级保护测试评估技术指南2018GB/T

36958—2018信息安全技术网络安全等级保护安全管理中心技术要求2018GB∕T

25058-2019信息安全技术网络安全等级保护实施指南一：基本原则等级保护的核心是将等级保护对象划分等级﹐按标准进行建设、管理和监督。安全等级18背景介绍-实施指南保护实施过程中应遵循以下基本原则:

a)自主保护原则;c)同步建设原则;b)重点保护原则;

d)动态调整原则;二：等级划分GB∕T

25058-2019信息安全技术网络安全等级保护实施指南19背景介绍-实施指南（续1）三：角色和职责等级保护对象实施网络安全等级保护过程中涉及的各类角色和职责如下:

1)等级保护管理部门:国务院公安部门、各网安支队、网安大队。主管部门；能源局运营、使用单位：发电、电网类企业网络安全服务机构：如奇安信等网络安全等级测评机构：如公安三所、公安部等保测评中心等网络安全产品供应商：如深信服、安恒等。背景介绍-实施指南（续2）20GB∕T

25058-2019信息安全技术网络安全等级保护实施指南四：实施的基本流程：等级保护对象定级与备案阶段；：总体安全规划阶段；：安全设计与实施阶段；：安全运行与维护阶段；：定级对象终止阶段。GB∕T

25058-2019信息安全技术网络安全等级保护实施指南五：安全技术体系架构根据GB/T

22239,行业基本要求和安全需求设计安全技术体系架构。安全技术防护体系由从外到内的“纵深防御”体系构成：物理环境安全防护：保护服务器、网络设备以及其他设备设施免遭地震、火灾,水灾、盗窃等事故导致的破坏;通信网络安全防护：保护暴露于外部的通信线路和通信设备;网络边界安全防护：对等级保护对象实施边界安全防护,内部不同级别定级对象尽量分别部署在相应保护等级的内部安全区域,低级别定级对象部署在高等级安全区域时应遵循“就高保护”原则;内部安全区域即：计算环境安全防护将实施“主机设备安全防护”和“应用和数据安全防护”“安全管理中心”对整个等级保护对象实施统一的安全技术管理。等级保护对象的安全技术体系架构见下图：背景介绍-实施指南（续3）21GB/T28448—2019信息安全技术网络安全等级保护测评要求七：安全测评通用要求22背景介绍-测评要求通用要求各层面安全物理环境安全管理制度安全通信网络安全管理机构安全区域边界安全管理人员安全计算环境安全建设管理安全管理中心安全运维管理背景介绍总结与建议测试用例与修复方案等保实施与测评要求解读01020304目录目录23GB/T28448—2019信息安全技术网络安全等级保护测评要求安全计算环境中适用于应用软件的安全防护控制点统计：测试用例与修复方案-测试用例控制点身份鉴别访问控制安全审计入侵防御数据完整性数据保密性总计三级数量(个)1516754451二级数量(个)139754038二、三级差别27000413详情见安全测试规范文档：等保测评要求合规项24背景介绍总结与建议测试用例与修复方案等保实施与测评要求解读01020304目录目录2