网络安全等级保护（等保三级）解决方案.doc

第 PAGE 1 页 网络安全等级保护2.0 解决方案 （等保三级） 第 PAGE 14 页 目 录 TOC \o 1-3 \h \z \u 1. 项目概述 5 1.1. 项目概述 5 1.2. 国家政策层面 5 1.2.1. 法律法规 5 1.2.2. 政策发文 5 1.3. 项目建设目标及内容 7 1.3.1. 建设目标 7 1.3.2. 建设内容 8 1.4. 等级保护对象分析与介绍 8 2. 安全需求分析 8 2.1. 等级保护对象现状分析 8 2.2. 安全技术需求 8 2.2.1. 安全物理环境需求 8 2.2.2. 安全通信网络需求 9 2.2.3. 安全区域边界需求 10 2.2.4. 安全计算环境需求 11 2.2.5. 安全管理中心需求 12 2.3. 安全管理需求 13 2.3.1. 安全管理制度需求 13 2.3.2. 安全管理机构需求 13 2.3.3. 安全人员管理需求 14 2.3.4. 安全建设管理需求 14 2.3.5. 安全运维管理需求 15 3. 总体方案设计 15 3.1. 方案设计说明 15 3.2. 方案设计参考依据 16 3.2.1. 相关政策文件及法律法规 16 3.2.2. 相关信息安全标准 16 3.3. 方案设计原则 17 3.3.1. 分区分域防护原则 17 3.3.2. 均衡性保护原则 17 3.3.3. 技术与管理相结合原则 17 3.3.4. 动态调整与可扩展原则 17 3.3.5. 网络安全三同步原则 18 3.4. 方案设计思路 18 3.5. 安全区域框架 19 3.6. 网络设计拓扑 20 4. 技术体系设计方案 21 4.1. 技术体系设计目标 21 4.2. 技术体系设计框架 21 4.3. 安全通用要求安全技术防护体系设计 22 4.3.1. 安全物理环境 22 4.3.2. 安全通信网络防护设计 25 4.3.3. 安全区域边界防护设计 27 4.3.4. 安全计算环境防护设计 30 4.3.5. 安全管理中心设计 39 5. 管理体系设计方案 42 5.1. 管理体系设计目标 42 5.2. 管理体系设计框架 42 5.3. 安全通用要求安全管理防护体系设计 42 5.3.1. 安全管理制度设计 42 5.3.2. 安全管理机构设计 44 5.3.3. 安全人员管理设计 46 5.3.4. 安全建设管理设计 46 5.3.5. 安全运维管理设计 49 6. 投资概算与设备清单 56 7. 合规性分析 59 7.1. 安全通用要求合规性分析 59 7.1.1. 技术要求差距分析结果 59 7.1.2. 管理要求差距分析结果 103  项目概述 法律法规 1994年《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）第九条明确规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。 2017年《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改；第三十一条规定，国家关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。 《网络安全法》的颁布实施，标志着从1994年的国务院条例（国务院令第147号）上升到了国家法律的层面，标志着国家实施十余年的信息安全等级保护制度进入2.0阶段，同时也标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。 政策及文件 2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）明确指出，“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”，标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的基本制度。 2004年7月3日审议通过的《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)指出，信息安全等级保护制度是国民经济和社会信息化的发展过程中，提高信息安全保障能