收藏
下载资源

网络安全等级保护(安全通用要求)建设方案详细

上传人:夏** 文档编号:493710070 上传时间:2022-07-17 格式:DOC 页数:55 大小:1.20MB
返回 下载 相关 举报
网络安全等级保护(安全通用要求)建设方案详细_第1页
第1页 / 共55页
网络安全等级保护(安全通用要求)建设方案详细_第2页
第2页 / 共55页
网络安全等级保护(安全通用要求)建设方案详细_第3页
第3页 / 共55页
网络安全等级保护(安全通用要求)建设方案详细_第4页
第4页 / 共55页
网络安全等级保护(安全通用要求)建设方案详细_第5页
第5页 / 共55页
点击查看更多>>
资源描述

《网络安全等级保护(安全通用要求)建设方案详细》由会员分享,可在线阅读,更多相关《网络安全等级保护(安全通用要求)建设方案详细(55页珍藏版)》请在金锄头文库上搜索。

1、网络安全等级保护建设方案(安全通用要求)北京启明星辰信息安全技术有限公司Beijing Venustech Information Security Technology Co., Ltd.二零一九年五月目 录1.项目概述41.1.项目概述41.2.项目建设背景41.2.1.法律依据41.2.2.政策依据41.3.项目建设目标及内容61.3.1.建设目标61.3.2.建设内容71.4.等级保护对象分析与介绍72.方案设计说明72.1.设计依据72.2.设计原则82.2.1.分区分域防护原则82.2.2.均衡性保护原则82.2.3.技管并重原则82.2.4.动态调整原则82.2.5.三同步原则9

2、2.3.设计思路92.4.设计框架103.安全现状及需求分析103.1.安全现状概述103.2.安全需求分析113.2.1.物理环境安全需求113.2.2.通信网络安全需求123.2.3.区域边界安全需求133.2.4.计算环境安全需求143.2.5.安全管理中心安全需求153.2.6.安全管理制度需求153.2.7.安全管理机构需求153.2.8.安全管理人员需求163.2.9.安全建设管理需求163.2.10.安全运维管理需求173.3.合规差距分析184.技术体系设计方案184.1.技术体系设计目标184.2.技术体系设计框架194.3.安全技术防护体系设计194.3.1.安全计算环境防

3、护设计194.3.2.安全区域边界防护设计234.3.3.安全通信网络防护设计254.3.4.安全管理中心设计285.管理体系设计方案285.1.管理体系设计目标285.2.管理体系设计框架295.3.安全管理防护体系设计295.3.1.安全管理制度设计295.3.2.安全管理机构设计305.3.3.安全管理人员设计305.3.4.安全建设管理设计315.3.5.安全运维管理设计326.产品选型与投资概算387.部署示意及合规性分析397.1.部署示意及描述397.2.合规性分析397.2.1.技术层面397.2.2.管理层面411. 项目概述1.1. 项目概述根据实际项目情况编写、完善。1.

4、2. 项目建设背景1.2.1. 法律依据1994年中华人民共和国计算机信息系统安全保护条例(国务院令第147号)第九条明确规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。2017年网络安全法第二十一条明确规定国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;第三十一条规定,国家关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。网络安全

5、法的颁布实施,标志着从1994年的国务院条例(国务院令第147号)上升到了国家法律的层面,标志着国家实施十余年的信息安全等级保护制度进入2.0阶段,同时也标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。1.2.2. 政策依据2003年,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出,“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的

6、基本制度。2004年7月3日审议通过的关于信息安全等级保护工作的实施意见(公通字200466号)指出,信息安全等级保护制度是国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。自2007年信息安全等级保护管理办法(公通字200743号)颁布以来,一直是国家层面推动网络安全工作的重要抓手。2012年,国务院关于推进信息化发展和切实保障信息安全的若干意见(国发201223号)规定,“落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查”。除此之外,下列政策文件也对等级保护

7、相关工作提出了要求: 关于开展信息系统安全等级保护基础调查工作的通知(公信安20051431号) 关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号) 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号) 国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知(发改高技20082544号) 关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号) 关于进一步推动中央企业信息安全等级保护工作的通知(公通字201070号) 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安2010303

8、号) 关于进一步加强国家电子政务网络建设和应用工作的通知(发改高技20121986号) 全国人民代表大会常务委员会关于加强网络信息保护的决定(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过) 网络安全等级保护条例(征求意见稿) (2018年6月)1.3. 项目建设目标及内容1.3.1. 建设目标网络安全等级保护安全建设工作是网络安全等级保护制度的核心和落脚点。等级保护建设的目标是在网络定级工作基础上深入开展网络安全等级保护安全建设整改工作,使网络系统可以按照保护等级的要求进行设计、规划和实施,并且达到相应等级的基本保护水平和保护能力。依据网络安全等级保护相关标准和指导

9、规范,对XXXX单位XXXX系统按照“整体保护、综合防控”的原则进行安全建设方案的设计,按照等级保护三级的要求进行安全建设规划,对安全建设进行统一规划和设备选型,实现方案合理、组网简单、扩容灵活、标准统一、经济适用的建设目标。依据网络安全等级保护三级标准,按照“统一规划、重点明确、合理建设”的基本原则,在安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等方面进行安全规划与建设,确保“网络建设合规、安全防护到位”。最终使XXXXX系统达到安全等级保护第三级要求。经过建设后,使整个网络形成一套完善的安全防护体系,提升整体网络安全防护能力。对于三级网络,经过安全建设整改,网络在统

10、一的安全保护策略下要具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,以及防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警及记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;遭到损害后,具有能够较快恢复正常运行状态的能力; 对于服务保障性要求高的网络,应该能够快速恢复正常运行状态; 具有对网络资源、用户、安全机制等进行集中控管的能力。1.3.2. 建设内容本项目以XXX单位XXXXX系统等级保护建设为主线,以让相关信息系统达到安全等级保护第三级要求。借助网络产品、安全产品、安全服务、管理制度等手段,建立全网的安全防控管理服务体系,从而全面提高XX

11、XX单位的安全防护能力。建设内容包括安全产品采购部署、安全加固整改、安全管理制度编写等。1.4. 等级保护对象分析与介绍以基础通信网络及其承载的信息系统 、数据为保护对象。根据实际等级保护对象情况编写。2. 方案设计说明2.1. 设计依据本方案是根据2019年5月13日最新发布的GB/T 22239-2019信息安全技术 网络安全等级保护基本要求的安全通用要求和安全目标,参照GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求 的通用设计技术要求,针对第三级系统而提出的安全保护等级设计方案。除上述两个标准外,还参考了如下相关标准: 信息技术 安全技术 信息安全管理体系要

12、求(ISO/IEC 27001:2013) 信息技术 安全技术 信息安全控制实用规则(ISO/IEC 27002:2013) 计算机信息系统安全保护等级划分准则(GB 17859-1999) 信息安全技术 信息安全风险评估规范(GB/T 20984-2007) 信息安全技术 信息系统安全等级保护定级指南(GB/T 222402008) 网络安全等级保护定级指南(GA/T 1389-2017) 信息安全技术 信息系统安全等级保护实施指南(GB/T 25058-2010) 信息安全技术 网络安全等级保护测评要求(GB/T 28448-2019) 信息安全技术 网络安全等级保护测评过程指南(GB/T

13、 28449-2018)2.2. 设计原则2.2.1. 分区分域防护原则任何安全措施都不是绝对安全可靠的,为保障攻破一层或一类保护的攻击行为而不会破坏整个网络,以达到纵深防御的安全目标,需要合理划分安全域,综合采用多种有效安全保护措施,实施多层、多重保护。2.2.2. 均衡性保护原则对任何类型网络,绝对安全难以达到,也不一定是必须的,需正确处理安全需求、安全风险与安全保护代价的关系。因此,结合适度防护实现分等级安全保护,做到安全性与可用性平衡,达到技术上可实现、经济上可执行。2.2.3. 技管并重原则网络安全涉及人、技术、操作等方面要素,单靠技术或单靠管理都不可能实现。因此在考虑网络安全时,必

14、须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合,坚持管理与技术并重,从而保障网络安全。2.2.4. 动态调整原则由于网络安全需求会不断变化,以及环境、条件、时间的限制,安全防护一步到位、一劳永逸地解决网络安全问题是不现实的。网络安全保障建设可先保证基本的、必须的安全保护,后续再根据应用和网络安全技术的发展,不断调整安全保护措施,加强安全防护力度,以适应新的网络安全环境,满足新的网络安全需求。当安全保护等级需要变更时,应当根据等级保护的管理规范和技术标准的要求,重新确定网络安全保护等级,根据调整情况重新实施安全保护。2.2.5. 三同步原则网络运营者在网络新建、改建、扩建时应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施,确保其具有支持业务稳定、持续运行性能的同时,保证安全技术措施能够保障网络安全与信息化建设相适应。在全过程中推行安全同步开展,强化安全工作前移,降低运维阶段的服务压力。2.3. 设计思路参考网络安全等级保护安全设计技术要求,本方案的设计思路如下: 根据系统定级的结果,明确该等级对应的总体防护措施; 根据系统和子系统划分结果、安全定级结果,将保护对象归类,并组成保护对象框架; 根据方案的设计目标来建立整体保障框架,来指导整个等级保护方案的设计,明确关键的安全要素、流程及相互关系;在安全措施框架细化后将补充到整体保障框架

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号