{安全生产管理}某单位信息安全等级保护建设方案

{安全生产管理}某单位信息安全等级保护建设

方案

xxxxxx

信息安全等级保护（三级）建设项目设计方案

二〇一八年二月

文档控制

文档名称：

xxxxxx

信息安全等保保护建设（三级）设计方案

版本信息

本文档版权归xxxxxx股份有限公司所有，未经xxxx有限公司允许，本文档里的任何内容都不得被用来宣传和传播。未经xxxx有限公司书面批准，文档或任何类似的资讯都不允许被发布。

目录

第一章项目概述5

1.1项目概述5

1.2项目建设背景5

1.2.1法律要求6

1.2.2政策要求7

1.3项目建设目标及内容8

1.3.1项目建设目标8

1.3.2建设内容8

第二章现状与差距分析9

2.1现状概述9

2.1.1信息系统现状9

2.2现状与差距分析12

2.2.1物理安全现状与差距分析12

2.2.2网络安全现状与差距分析16

2.2.3主机安全现状与差距分析22

2.2.4应用安全现状与差距分析27

2.2.5数据安全现状与差距分析32

2.2.6安全管理现状与差距分析34

2.3综合整改建议37

2.3.1技术措施综合整改建议37

2.3.2安全管理综合整改建议43

第三章安全建设目标44

第四章安全整体规划46

4.1建设指导46

4.1.1指导原则46

4.1.2安全防护体系设计整体架构47

4.2安全技术规划49

4.2.1安全建设规划拓朴图49

4.2.2安全设备功能50

4.3建设目标规划55

第五章工程建设57

5.1工程一期建设57

5.1.1区域划分57

5.1.2网络环境改造57

5.1.3网络边界安全加固58

5.1.4网络及安全设备部署59

5.1.5安全管理体系建设服务86

5.1.6安全加固服务102

5.1.7应急预案和应急演练109

5.1.8安全等保认证协助服务109

5.2工程二期建设110

5.2.1安全运维管理平台（soc）110

5.2.2APT高级威胁分析平台113

5.3产品清单115

第六章方案预算116

第七章方案预估效果120

7.1工程预期效果120

图表目录

图表1现状拓扑图10

图表2物理安全现状12

图表3网络安全现状16

图表4主机安全现状22

图表5应用安全现状27

图表6数据安全现状32

图表7安全管理现状34

图表8综合技术措施整改建议表格37

图表9综合安全管理体系整改建议表格43图表10安全保障体系图47

图表11安全建设规划拓扑图49

图表12建设规划55

图表13信息安全组织架构示意图92

图表14安全管理制度规划示意图98

图表15产品清单表115

图表16方案预算表116

第一章项目概述

1.1项目概述

xxxxxx是人民政府的职能部门，贯彻执行国家有关机关事务工作的方针政策，拟订省机关事务工作的政策、规划和规章制度并组织实施，负责省机关事务的管理、保障、服务工作。

在面对现在越来越严重的网络安全态势下，xxxxxx积极响应国家相关政策法规，积极开展信息安全等级保护建设。对自有网络安全态势进行自我核查，补齐等保短板，履行安全保护义务。

项目目标：打造一个可信、可管、可控、可视的安全网络环境，更好的为机关各部门及领导者和公务人员提供工作和生活条

件，更好的保障各项行政活动正常进行。

1.2项目建设背景

机关后勤管理工作因为其政府内部服务的特殊性，一直比较少地为社会公众所关注或重视。机关后勤管理包括对物资、财务、环境、生活以及各种服务项目在内的事务工作的管理，是行政机关办公室管理的重要一环，为机关各部门以及领导者和公务人员提供工作和生活条件，是保障各项行政活动正常进行的物质基础。

随着这几年地区经济的高速发展和政府行政职能分配管理的需要，使机关事务管理工作的管理范围和管理对象也相应的扩展和增加，管理工作变得十分繁重。尤其是在新增的一些业务管理工作方面，如对政府机关单位固定资产的管理、房屋出租、分配的管理等，同时，随着这几年国家对资产管理的重视，信息化建设从原来注重财务管理信息化逐渐向国有资产管理信息化发展，作为机关事务管理的机构，正承担着这样一种责任和使命。同时在面对现在不

容乐观的整体安全态势环境下，开展机关事务管理的信息化建设与信息安全建设，是整个社会和国家发展的必然趋势。

1.2.1法律要求

在2017年6月1日颁发的《中华人民共和国网络安全法》中明确规定了法律层面的网络安全。具体如下：

“没有网络安全，就没有国家安全”，《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当按照要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。除此之外，《网络安全法》中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定：

网络日志留存：第二十一条还规定，网络运营者应当制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络安全

行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施，留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。未履行上述网络安全保护义务的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

漏洞处置：第二十五条规定，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。没有网络安全事件应急预案的，没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。