清华五道口：金融保险网络安全合规技术白皮书（2022)（57页）.pdf

1、金金融融保保险险网网络络安安全全合合规规技技术术白白皮皮书书（2 20 02 22 2 年年）清清华华大大学学金金融融科科技技研研究究院院 金金融融安安全全研研究究中中心心北北京京华华清清信信安安科科技技有有限限公公司司2 20 02 22 2 年年 1 10 0 月月目目录录1.保险行业网络安全概述.11.1.网络安全形势分析.21.2.安全合规形势分析.32.网络安全等级保护概述.52.1.基本概念.52.1.1.等级保护基本概念.52.1.2.等级保护体系框架.52.1.3.等级保护工作内涵.62.1.4.等级保护工作流程.62.1.5.等级保护工作必要性.82.2.政策和标准体系.92

2、.2.1.国家政策和标准.92.2.1.1.网络安全等级保护政策体系.102.2.1.2.网络安全等级保护标准体系.112.2.2.保险行业政策和标准.133.等级保护实施方案.153.1.方案概述.153.1.1.实施框架.153.1.2.实施原则.153.2.等级保护定级.173.2.1.定级方法论.183.2.2.定级流程.213.2.3.定级环节工作内容.213.2.4.定级环节主要工作成果.223.3.等级保护备案.223.3.1.备案流程.233.3.2.备案工作内容.233.3.3.备案工作成果.243.4.建设整改.243.4.1.建设整改流程.263.4.2.建设整改工作内容

3、.273.4.3.建设整改环节交付成果.323.5.等级保护测评.333.5.1.测评方案.343.5.2.测评辅助.453.5.3.辅助测评工作内容.463.5.4.辅助测评主要工作成果.473.6.运行与检查.473.6.1.自查与监管检查.483.6.2.运行检查工作成果.483.7.其它安全运维工作.483.7.1.定期漏洞扫描.493.7.2.定期渗透测试.503.7.3.应急响应.513.7.4.安全加固.523.7.5.安全培训.53第 1 页金融保险网络安全合规技术白皮书（2022）编写人员名单总编辑周道许主编田新远执行主编徐制宇编辑刘志勇李 玲傅裕兴第 2 页1 1.金金融融

4、保保险险网网络络安安全全合合规规1 1.1 1.网网络络安安全全形形势势分分析析随着网络攻击方式的不断演进，网络安全形势不容乐观。具体表现为：一方面，网络攻击事件频发，对社会稳定、生产运行、人民生活造成深远影响；另一方面，新技术、新场景的网络威胁日益增多，利用安全漏洞实施链式攻击更加频繁。即便是安全防御提升，加大了网络攻击难度，但网络攻击者通过多种手段设法“规避”、“绕过”网络安全防线，达到网络攻击入侵目的。尤其是在利益驱动下，网络攻击目标更加精准，攻击者趋于瞄准“高价值”目标。近年来，政企数字化转型，推动了数字安全概念升级、落地。数字时代的安全，不仅要防范网络中断和系统瘫痪等风险、保障“线上

5、”网络系统安全，更要进一步保障“线下”经济社会运行秩序稳定。进入数字化时代，网络高级可持续威胁攻击更为频繁，网络攻击目标、手法、产生的破坏力都匪夷所思。在此背景下，网络安全逐渐成为常态性因素，向着范围更大、防护面更广的数字安全体系演进。基于此，网络安全厂商必须为政企客户构建数字安全体系，并使其成为保障数字化发展的新引擎。厂商和客户均要通过探索差异化、多元化创新模式，夯实技术创新机制，推动服务创新发展，通过创新技术在网络安全领域的融合应用，全面增强网络安全风险感知、监测预警、实时阻断、追踪溯源、应急响应等核心能力。第 3 页1 1.2 2.安安全全合合规规形形势势分分析析随着网络安全法、数据安全

6、法、个人信息保护法、关键信息基础设施安全保护条例等多部重磅法律条例的颁布，标志着我国在网络安全、数据安全、个人信息保护、关键信息基础设施保护等重点领域迎来了有法可依、有章可循的新时代。与之同时，行业监管部门积极落实国家网络安全监管要求，先后制定出台联合规章和管理规定，并且持续加大网络安全执法力度。网络安全法配套文件逐渐出台后，金融保险行业监管部门开始出台实施细则以指导具体实践，适应新的业务使用场景。2019 年 4 月 16 日，中国人民银行发布的 2019 年规章制定工作计划，已经修订/制定 12 项规章，其中个人金融信息保护、客户身份识别、消费者权益保护等相关法律法规备受关注，包括个人金融