网络安全等级保护(安全通用要求)建设方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全等级保护建设方案
(安全通用要求)
北京启明星辰信息安全技术有限公司
Beijing Venustech Information Security Technology Co., Ltd.
二零一九年五月
目录
1.项目概述 (4)
1.1.项目概述 (4)
1.2.项目建设背景 (4)
1.2.1.法律依据 (4)
1.2.2.政策依据 (5)
1.3.项目建设目标及内容 (6)
1.3.1.建设目标 (6)
1.3.2.建设内容 (7)
1.4.等级保护对象分析与介绍 (8)
2.方案设计说明 (8)
2.1.设计依据 (8)
2.2.设计原则 (9)
2.2.1.分区分域防护原则 (9)
2.2.2.均衡性保护原则 (9)
2.2.3.技管并重原则 (9)
2.2.4.动态调整原则 (9)
2.2.5.三同步原则 (10)
2.3.设计思路 (10)
2.4.设计框架 (12)
3.安全现状及需求分析 (12)
3.1.安全现状概述 (12)
3.2.安全需求分析 (13)
3.2.1.物理环境安全需求 (13)
3.2.2.通信网络安全需求 (14)
3.2.3.区域边界安全需求 (15)
3.2.4.计算环境安全需求 (17)
3.2.5.安全管理中心安全需求 (18)
3.2.6.安全管理制度需求 (18)
3.2.7.安全管理机构需求 (19)
3.2.8.安全管理人员需求 (19)
3.2.9.安全建设管理需求 (20)
3.2.10.安全运维管理需求 (21)
3.3.合规差距分析 (22)
4.技术体系设计方案 (22)
4.1.技术体系设计目标 (22)
4.2.技术体系设计框架 (23)
4.3.安全技术防护体系设计 (23)
4.3.1.安全计算环境防护设计 (23)
4.3.2.安全区域边界防护设计 (28)
4.3.3.安全通信网络防护设计 (31)
4.3.4.安全管理中心设计 (34)
5.管理体系设计方案 (35)
5.1.管理体系设计目标 (35)
5.2.管理体系设计框架 (35)
5.3.安全管理防护体系设计 (35)
5.3.1.安全管理制度设计 (36)
5.3.2.安全管理机构设计 (36)
5.3.3.安全管理人员设计 (37)
5.3.4.安全建设管理设计 (38)
5.3.5.安全运维管理设计 (39)
6.产品选型与投资概算 (47)
7.部署示意及合规性分析 (48)
7.1.部署示意及描述 (48)
7.2.合规性分析 (48)
7.2.1.技术层面 (48)
7.2.2.管理层面 (50)
1.项目概述
1.1.项目概述
根据实际项目情况编写、完善。
1.2.项目建设背景
1.2.1.法律依据
1994年《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)第九条明确规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
2017年《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;第三十一条规定,国家关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。
《网络安全法》的颁布实施,标志着从1994年的国务院条例(国务院令第147号)上升到了国家法律的层面,标志着国家实施十余年的信息安全等级保护制度进入2.0阶段,同时也标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。
1.2.2.政策依据
2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)明确指出,“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的基本制度。
2004年7月3日审议通过的《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)指出,信息安全等级保护制度是国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
自2007年《信息安全等级保护管理办法》(公通字〔2007〕43号)颁布以来,一直是国家层面推动网络安全工作的重要抓手。2012年,《国务院关于推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)规定,“落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查”。
除此之外,下列政策文件也对等级保护相关工作提出了要求:
➢《关于开展信息系统安全等级保护基础调查工作的通知》(公信安〔2005〕1431号)
➢《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)