安全資訊

目前，等保2.0已在全國各地陸續開展起來。自從等保2.0相關的《信息安全技術 網絡安全等級保護基本要求》《信息安全技術 網絡安全等級保護測評要求》《信息安全技術 網絡安全等級保護安全設計技術要求》等國家標準正式發布，等保2.0已成為網絡安全行業中的必需品。

等保2.0時代，重點對云計算、移動互聯、物聯網、工業控制以及大數據安全等進行全面安全防護，確保關鍵信息基礎設施安全。同時，等保2.0更加注重全方位主動防御、動態防御、整體防控和精準防護。

作為國家信息安全的基本制度，貫徹落實等級保護2.0是企業義不容辭的信息安全義務，而未落實等保的企業將面臨被有關部門責令整改、行政處罰、暫停注冊、暫停運營等處罰。

黨政機關：各大部委、各省級政府機關、各地市級政府機關、各事業單位等；

金融行業：金融監管機構、各大銀行、證券公司、保險公司等；

能源行業：電力公司、石油公司、煙草公司等；

電信行業：各大電信運營商、各省/市電信公司等；

企業單位：大中型企業、央企、上市公司等；

......

開展網絡安全等級保護工作是保護信息化發展、維護網絡安全的保障，是網絡安全防護工作中國家意志的體現，也是不少監管機構指定的備案材料，是監管檢查的依據。

1.教育行業請注意！未完成等級保護備案的教育移動應用備案將被撤銷，并予以通報！

2019年9月，教育部等八部門聯合印發《關于引導規范教育移動互聯網應用有序健康發展的意見》（下稱“《意見》”）。其中，《意見》要求教育APP需要落實網絡安全等級保護制度，進行教育業務備案，登記APP信息。

2.國家衛健委《互聯網醫院管理辦法（試行）》規定了承載互聯網醫院的平臺必須通過等保三級測評

2018年，國家衛健委《互聯網醫院管理辦法（試行）》規定了承載互聯網醫院的平臺必須通過等保三級測評。

2019年7月16日，上海市衛生健康委員會關于印發《上海市互聯網醫院管理辦法》，其中規定“互聯網醫院信息系統按照《信息安全技術 網絡安全等級保護基本要求》第三級標準完成定級備案和測評，每年應依法開展測評，測評通過后應提交系統年度測評報告”。此辦法2019年9月1日開始實施。

3.交通運輸部出臺《數字交通發展規劃綱要》，明確要求落實網絡安全等級保護制度

2019年7月28日，交通運輸部印發《數字交通發展規劃綱要》，綱要中明確指出，要“落實網絡安全等級保護制度，加強網絡安全與信息系統同步建設，提高交通運輸關鍵信息基礎設施和重要信息系統的網絡安全防護能力?！?/span>

4.國家能源局關于印發《電力行業信息安全等級保護管理辦法》的通知，對中國電力行業的信息安全等級保護工作做了明確規定

電力信息系統運營、使用單位應當按照《信息系統安全等級保護實施指南》（GB/T 25058-2010）具體實施等級保護工作。電力信息系統運營、使用單位應當依據本辦法、《信息系統安全等級保護定級指南》（GB/T 22240-2008）和《電力行業信息系統安全等級保護定級指導意見》確定信息系統的安全保護等級。

5.中國人民銀行發布《金融行業信息系統信息安全等級保護實施指引》，保障金融行業信息系統信息安全等級保護建設、測評、整改工作順利開展

為落實國家對金融行業信息系統信息安全等級保護相關工作要求，加強金融行業信息安全管理和技術風險防范，保障金融行業信息系統信息安全等級保護建設、測評、整改工作順利開展，中國人民銀行組織編制了金融行業信息系統信息安全等級保護系列標準。

互金行業監管《辦法》也要求，“網絡借貸信息中介機構應當按照國家網絡安全相關規定和國家信息安全等級保護制度的要求，開展信息系統定級備案和等級測試?！?/span>

...... 

（二）行業教訓

因未履行等級保護測評，造成了大量用戶信息泄露等嚴重后果并受到處罰的案例比比皆是。

1.煙臺市兩家企業因違反《網絡安全法》，對其存儲的公民個人信息履行網絡安全保護義務不力，被煙臺市公安局芝罘分局依法處罰。

公安機關在工作中發現，煙臺市兩家企業運行在互聯網上的自建信息系統中存有用戶的個人信息合計近20萬條，但系統未落實網絡安全防護、安全審計、日志記錄等必要的安全保護技術措施，且系統管理員賬號使用弱口令，存在非常嚴重的安全隱患。

對兩家企業依法下達整改通知書，并處罰款人民幣兩萬元，對兩家企業網絡安全直接負責人和其他直接責任人員分別罰款人民幣一萬元，同時對為兩家企業提供網絡技術服務的開發區某企業予以警告，并對該公司網絡安全直接責任人員罰款一萬元。

 2.一高校網站遭黑客攻擊，學校及負責人分別被罰款10萬和5萬。

該高校網站平臺未留存web訪問日志，服務器系統日志、安全日志留存時間不滿6個月留存時限，未開展網絡安全檢測，平臺內共發現10余個木馬后門，技術防護措施極為薄弱。高校及高校負責人分別處以10萬元和5萬元的行政罰款。

3. 重慶某醫院未履行等級保護制度，被罰款1萬元。

經查，醫院HIS、LIS、PACS、EMR等后臺系統業務以及微信公眾號后臺、醫院網站等主要系統業務全部放置在同一套服務器中，醫院未安裝邊界防護設備、未安裝日志行為審計設備，未設置數據安全備份策略等其他網絡安全技術措施。黑客通過互聯網攻破醫院系統后植入勒索病毒，導致醫院業務全面“停擺”。事后對醫院處以罰款一萬元，對直接負責的主管人員處以罰款五千元的行政處罰。

4.南陽市某縣事業單位未落實網絡安全等級保護制度被處罰。

南陽市某縣事業單位未進行網絡安全等級保護的定級備案、等級測評等工作。經多次督促整改，該單位網絡安全技術措施仍落實不到位，致使網站被篡改為商業網站。對該網絡運營單位處以一萬元罰款，對負有直接責任的辦公室主任處以五千元罰款。

......

基于此，靈狐科技推出網絡安全等級保護測評服務，幫助工作人員完成等級保護建設工作的同時，能夠切實提升網絡安全防護能力，使用戶信息系統或網絡滿足國家等級保護基本要求，全方位助力互聯網安全發展。