PAGE
PAGE2
网络安全等级保护建设方案
xxx技术有限公司
目录
TOC\o1-3\h\z\u1. 项目概述 4
1.1. 项目概述 4
1.2. 项目建设主要依据 4
1.2.1. 法律法规 4
1.2.2. 主要标准 5
1.3. 项目建设目标及原则 5
1.3.1. 建设目标 5
1.3.2. 建设原则 7
2. 现状和需求分析 8
2.1. 安全现状分析 8
2.2. 安全技术需求 8
2.2.1. 物理环境安全需求 8
2.2.2. 网络通信安全需求 9
2.2.3. 区域边界安全需求 10
2.2.4. 计算环境安全需求 12
2.2.5. 安全管理中心需求 16
3. 总体方案设计 17
3.1. 总体安全防护体系 17
3.1.1. 纵深防御体系 18
3.2. 安全管理需求 19
3.2.1. 主动防御体系 21
3.3. 总体安全方案框架 22
3.4. 总体网络架构设计图 23
4. 安全技术体系设计方案 23
4.1. 安全物理环境 23
4.2. 安全通信网络 24
4.2.1. 设计思路 24
4.2.2. 防护措施设计 24
4.2.3. 安全措施(产品) 26
4.3. 安全区域边界 27
4.3.1. 设计思路 27
4.3.2. 防护措施设计 28
4.3.3. 安全措施(产品) 31
4.4. 安全计算环境 32
4.4.1. 设计思路 32
4.4.2. 防护措施设计 32
4.4.3. 安全措施(产品) 41
4.5. 安全管理中心 42
4.5.1. 设计思路 43
4.5.2. 防护措施设计 43
4.5.3. 安全措施(产品) 44
5. 安全管理体系设计方案 44
5.1. 管理体系设计目标 44
5.2. 管理体系设计框架 45
5.3. 安全管理体系 46
5.3.1. 安全管理制度 47
5.3.2. 人员安全管理 47
5.3.3. 系统运维管理 48
5.3.4. 安全教育与培训 51
5.4. 安全管理文档 52
6. 安全建设清单 55
项目概述
项目概述
网络安全等级保护制度是国家在非涉密领域信息系统安全保障工作的基本制度和基本国策,是国家对基础信息网络和重要信息系统实施重点保护的关键措施。在面对现在越来越严重的网络安全态势下,同时也是为践行《网络安全法》安全与信息化同步规划、同步建设、同步运行的三同步思想和切实履行网络安全保护义务,特此开展本次网络安全等级保护建设工作。
项目建设主要依据
法律法规
第147号令:《计算机信息系统安全保护条例》第九条明确规定:“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
2017年6月1日正式实施的《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;第三十一条规定国家关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。
网络安全法的颁布实施,标志着国家实施十余年的等级保护制度进入有法可依的阶段,同时也标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。
主要标准
本次项目方案设计主要依据的标准、规范和相关文档如下:
《网络安全法》
GB17859-1999《计算机信息系统安全保护等级划分准则》
GB/T22240-2020《信息安全技术网络安全等级保护定级指南》
GB/T25058-2019《信息安全技术网络安全等级保护实施指南》
GB/T22239-2019《信息安全技术网络安全等级保护基本要求》
GB/T25070-2019《信息安全技术网络安全等级保护设计技术要求》
GB/T28448-2019《信息安全技术网络安全等级保护测评要求》
GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》
GB/T20984-2007《信息安全技术信息安全风险评估规范》
GB/T18336《信息技术-安全技术-信息技术安全性评估准则》
GB/T35281-2017《信息安全技术移动互联网应用服务器安全技术要求》
GB/T35273-2