网络安全三级等保解决方案.docxVIP

PAGE\*Arabic1/=NUMPAGES\*Arabic45-144

网络安全三级等保

解

决

方

案

202X年10月

目录

TOC\o1-3\h\z\u1 项目综述 4

1.1 建设必要性 4

1.2 建设目标 4

1.3 等保定级 5

1.4 建设依据 5

1.4.1 国家相关政策要求 5

1.4.2 等级保护及信息安全相关国家标准 6

2 信息安全保障风险分析 7

2.1 系统建设风险 7

2.1.1 建设质量计量、监督风险 7

2.1.2 安全规划风险 7

2.1.3 建设计划风险 7

2.2 安全技术风险 8

2.2.1 物理安全风险 8

2.2.2 网络安全风险 8

2.2.3 主机安全风险 9

2.2.4 应用安全风险 10

2.2.5 数据安全风险 10

2.3 安全管理风险 11

2.3.1 安全组织建设风险 11

2.3.2 人员风险 11

2.3.3 安全策略风险 12

2.3.4 安全审计风险 12

3 解决方案总体设计 12

3.1 设计原则 12

3.2 安全保障体系构成 13

3.2.1 安全技术体系 14

3.2.2 安全管理体系 17

3.2.3 安全运维体系 17

3.3 安全技术方案详细设计 17

3.3.1 网络安全拓扑设计 17

3.3.2 安全区域边界设计 25

3.3.3 安全通信网络设计 27

3.3.4 安全管理中心设计 29

3.4 安全管理体系详细设计 32

3.4.1 安全管理建设设计指导思想 32

3.4.2 建立安全管理制度及策略体系的目的 33

3.4.3 设计原则 33

3.4.4 安全方针 33

3.4.5 信息安全策略框架 34

3.4.6 总体策略 34

3.4.7 安全管理组织机构 35

3.4.8 服务交付物 38

3.5 安全运维体系详细设计 40

3.5.1 安全管理体系建设咨询服务 40

3.5.2 安全巡检服务 40

3.5.3 日常监测服务 40

3.5.4 应急响应服务 42

3.5.5 安全培训服务 43

3.5.6 检查抽查支撑服务 43

3.6 验收测试要求 44

3.6.1 等级保护测评 44

4 设备配置及服务清单 44

项目综述

建设必要性

依据《网络安全等级保护条例》、《网络安全法》、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），明确了等级保护是我国开展信息安全保障工作的基本制度、基本国策和基本方法，确定了系统定级、备案、等级测评、安全建设整改、监督检查等工作流程及要求，为开展信息安全等级保护工作提供了规范保障。

为了信息管理系统网络和信息系统管理平台安全体系符合国家网络安全标准政策要求，贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益”的方针，某单位在规划、建设和使用相关信息系统的同时对信息安全也要同步建设、同步规划、同步使用，全面开展信息安全等级保护整改建设工作。

建设目标

按照标准要求，某单位信息安全保障工作的总体目标是：“遵循国家信息安全等级保护有关法规规定和标准规范，通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作，进一步加强信息系统安全管理体系和技术防护体系，增强信息安全保护意识，明确信息安全保障重点，落实信息安全责任，切实提高系统信息安全防护能力，为整个网络的安全有序运行以及信息化健康发展提供可靠保障。”

具体目标包括：

（1）体系建设，实现按需防御。通过体系设计制定等级方案，进行安全技术体系、安全管理体系和安全运维体系建设，实现按需防御。

（2）等保测评，落实安全整改。通过开展等级保护测评，对标国家要求，掌握安全防护状况，发现风险隐患，逐一落实整改，提升信息系统安全防护能力，保障系统信息安全。

（3）安全运维，确保持续安全。经过第三方验收测试投入运营后，通过采取安全加固、日常监测、业务培训、检查抽查等运维管控手段，从事前、事中、事后全方位进行安全运行维护，实现持续性按需防御的安全需