网络安全等级保护建设方案（安全通用要求）北京启明星辰信息安全技术有限公司Beijing Venustech Information Security Technology Co., Ltd.二零一九年五月目录1.项目概述 (4)1.1.项目概述 (4)1.2.项目建设背景 (4)1.2.1.法律依据 (4)1.2.2.政策依据 (4)1.3.项目建设目标及内容 (6)1.3.1.建设目标 (6)1.3.2.建设内容 (7)1.4.等级保护对象分析与介绍 (7)2. ...................................................................................................................................................................................................................方案设计说明72.1.设计依据 (7)2.2.设计原则 (8)2.2.1.分区分域防护原则 (8)2.2.2.均衡性保护原则 (8)2.2.3.技管并重原则 (8)2.2.4.动态调整原则 (8)2.2.5.三同步原则 (9)2.3.设计思路 (9)2.4.设计框架 (10)3. ............................................................................................................................................................................................... 安全现状及需求分析103.1.安全现状概述 (10)3.2.安全需求分析 (11)3.2.1.物理环境安全需求 (11)3.2.2.通信网络安全需求 (12)3.2.3.区域边界安全需求 (13)3.2.4.计算环境安全需求 (14)3.2.5.安全管理中心安全需求 (15)3.2.6.安全管理制度需求 (15)3.2.7.安全管理机构需求 (15)3.2.8.安全管理人员需求 (16)3.2.9.安全建设管理需求 (16)3.2.10.安全运维管理需求 (17)3.3.合规差距分析 (18)4. ...................................................................................................................................................................................................... 技术体系设计方案184.1.技术体系设计目标 (18)4.2.技术体系设计框架 (19)4.3.安全技术防护体系设计 (19)4.3.1.安全计算环境防护设计 (19)4.3.2.安全区域边界防护设计 (23)4.3.3.安全通信网络防护设计 (26)4.3.4.安全管理中心设计 (28)5. ...................................................................................................................................................................................................... 管理体系设计方案295.1.管理体系设计目标 (29)5.2.管理体系设计框架 (29)5.3.安全管理防护体系设计 (29)5.3.1.安全管理制度设计 (30)5.3.2.安全管理机构设计 (30)5.3.3.安全管理人员设计 (31)5.3.4.安全建设管理设计 (31)5.3.5.安全运维管理设计 (32)6. ............................................................................................................................................................................................... 产品选型与投资概算387. ......................................................................................................................................................................................... 部署示意及合规性分析397.1.部署示意及描述 (39)7.2.合规性分析 (39)7.2.1.技术层面 (39)7.2.2.管理层面 (41)1.项目概述1.1.项目概述根据实际项目情况编写、完善。

1.2.项目建设背景1.2.1.法律依据1994年《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）第九条明确规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

2017年《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改；第三十一条规定，国家关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。

《网络安全法》的颁布实施，标志着从1994年的国务院条例（国务院令第147号）上升到了国家法律的层面，标志着国家实施十余年的信息安全等级保护制度进入2.0阶段，同时也标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。

1.2.2.政策依据2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）明确指出，“实行信息安全等级保护。

要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”，标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的基本制度。

2004年7月3日审议通过的《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)指出，信息安全等级保护制度是国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。

自2007年《信息安全等级保护管理办法》(公通字〔2007〕43号)颁布以来，一直是国家层面推动网络安全工作的重要抓手。

2012年，《国务院关于推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）规定，“落实信息安全等级保护制度，开展相应等级的安全建设和管理，做好信息系统定级备案、整改和监督检查”。

除此之外，下列政策文件也对等级保护相关工作提出了要求:《关于开展信息系统安全等级保护基础调查工作的通知》（公信安〔2005〕1431号）《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技〔2008〕2071号）《国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知》（发改高技〔2008〕2544号）《关于开展信息安全等级保护安全建设整改工作的指导意见(公信安〔2009〕1429号)》《关于进一步推动中央企业信息安全等级保护工作的通知》（公通字〔2010〕70号）《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安〔2010〕303号）《关于进一步加强国家电子政务网络建设和应用工作的通知》（发改高技〔2012〕1986号）《全国人民代表大会常务委员会关于加强网络信息保护的决定》（2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过）《网络安全等级保护条例(征求意见稿)》（2018年6月）1.3.项目建设目标及内容1.3.1.建设目标网络安全等级保护安全建设工作是网络安全等级保护制度的核心和落脚点。

等级保护建设的目标是在网络定级工作基础上深入开展网络安全等级保护安全建设整改工作，使网络系统可以按照保护等级的要求进行设计、规划和实施，并且达到相应等级的基本保护水平和保护能力。

依据网络安全等级保护相关标准和指导规范，对XXXX单位XXXX系统按照“整体保护、综合防控”的原则进行安全建设方案的设计，按照等级保护三级的要求进行安全建设规划，对安全建设进行统一规划和设备选型，实现方案合理、组网简单、扩容灵活、标准统一、经济适用的建设目标。

依据网络安全等级保护三级标准，按照“统一规划、重点明确、合理建设”的基本原则，在安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等方面进行安全规划与建设，确保“网络建设合规、安全防护到位”。

最终使XXXXX系统达到安全等级保护第三级要求。

经过建设后，使整个网络形成一套完善的安全防护体系，提升整体网络安全防护能力。

对于三级网络，经过安全建设整改，网络在统一的安全保护策略下要具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，以及防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警及记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的网络，应该能够快速恢复正常运行状态；具有对网络资源、用户、安全机制等进行集中控管的能力。

1.3.2.建设内容本项目以XXX单位XXXXX系统等级保护建设为主线，以让相关信息系统达到安全等级保护第三级要求。

借助网络产品、安全产品、安全服务、管理制度等手段，建立全网的安全防控管理服务体系，从而全面提高XXXX单位的安全防护能力。

建设内容包括安全产品采购部署、安全加固整改、安全管理制度编写等。