信息技术标准与网络安全手册（执行版）.docxVIP

信息技术标准与网络安全手册（执行版）

第1章信息技术基础规范与术语定义

1.1基础架构分级分类标准

基础架构的分级依据是其在国家网络安全战略中的功能定位，分为核心层、重要层、一般层和辅助层四个等级，核心层承担关键数据的主存储和核心计算，要求具备最高等级的纵深防御能力，一般层则负责常规业务数据的备份与处理。分类标准遵循“安全可控、风险可控”原则，核心层系统必须建立独立的物理隔离区域，采用国产化硬件设备，确保供应链安全；辅助层系统则允许引入国际通用技术，但需通过等保测评并签署安全承诺书。

架构分级需明确各层级间的接口规范，核心层与重要层之间实行单向数据流，禁止双向传输敏感信息，防止攻击者通过漏洞横向移动；辅助层与外部互联网之间必须部署防火墙和入侵检测系统，阻断非法访问。在实施过程中，所有架构变更必须经过安全风险评估，对于涉及核心数据迁移或架构升级的项目，需提前进行为期三个月的模拟演练，验证应急预案的有效性。运维团队需制定详细的架构运维手册，规定每日凌晨2点至4点为全机房巡检窗口期，重点检查服务器链路、存储介质及网络端口状态，确保基础设施7×24小时不间断运行。

建立定期审计机制，每半年对基础架构进行一次全面体检，重点排查是否存在未修复的漏洞、异常流量或违规操作，及时发现并消除安全隐患。

1.2关键信息基础设施安全要求

关键信息基础设施（CII）的安全