三级等级保护建设方案2020版.docxVIP

三级等级保护建设方案

网络安全等级保护

三

级

建

设

方

案

2020年9月

目录

TOC\o1-3\h\z\u一 方案概述 4

1.1 建设背景 4

1.2 建设目标 5

1.3 建设依据 5

二 需求分析 6

2.1 等级保护建设需求 6

2.1.1 安全物理环境需求 6

2.1.2 安全通信网络需求 6

2.1.3 安全区域边界需求 7

2.1.4 安全计算环境需求 7

2.1.5 安全管理需求 8

2.2 安全威胁防护需求 9

2.2.1 互联网的威胁 9

2.2.2 系统漏洞威胁 9

2.2.3 人员访问威胁 10

2.2.4 恶意程序威胁 10

2.2.5 安全管理威胁 10

三 总体方案设计 11

3.1 方案体系模型 11

3.2 安全技术体系设计 12

3.2.1 安全计算环境防护设计 12

3.2.2 安全区域边界防护设计 15

3.2.3 安全通信网络防护设计 18

3.2.4 安全管理中心设计 20

3.3 安全管理体系设计 20

3.3.1 安全管理制度设计 20

3.3.2 安全管理机构设计 21

3.3.3 安全管理人员设计 21

3.3.4 安全建设管理设计 21

3.3.5 安全运维管理设计 22

四 方案建设及选型 27

4.1 建设方案 27

4.2 设备选型 35

方案概述

建设背景

依据国家《中华人民共和国网络安全法》的要求，保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，同时根据网络安全法的具体要求国家要实行网络安全等级保护制度。

为了落实《关于信息安全等级保护工作的实施意见》（公通字【2004】66号），实施符合国家标准的安全等级保护体系建设，通过对网络系统的安全等级划分，合理调配财力资源、信息科技资源、业务骨干资源等，重点确保网络的核心信息资产的安全性，从而使重要信息系统的安全威胁最小化，达到网络信息安全投入的最优化。

按照公安部和相关国家部门关于信息系统在物理、网络安全运行、信息必威体育官网网址和管理等方面的总体要求，科学合理评估信息系统风险，确定其安全保护等级，在此基础上科学规划设计一整套完整的安全体系改造加固方案。

该安全体系需要全面保卫网络和基础设施、边界和外部接入、计算环境、支持性基础设施、数据和系统等方面内容，实现信息资源的机密、完整、可用、不可抵赖和可审计性，基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。

总体能力实现包括：

保障基础设施安全，保障网络周边环境和物理特性引起的网络设备和线路的持续使用。

保障网络连接安全，保障网络传输中的安全，尤其保障网络边界和外部接入中的安全。

保障计算环境的安全，保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。

保障应用系统安全，保障应用程序层对网络信息的必威体育官网网址性、完整性和信源的真实的保护和鉴别，防止和抵御各种安全威胁和攻击手段，在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。

安全管理体系保障，根据国家有关信息安全等级保护方面的标准和规范要求，结合实际，建立一套切实可行的安全管理体系。

建设目标

落实GB17859-1999对三级系统的安全保护要求，满足三级系统在自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性五个基本属性的安全需求。

为满足安全计算环境、安全区域边界、安全通信网络、安全管理中心等几方面的基本技术要求而进行技术体系建设；为满足安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面基本管理要求进行管理体系建设。

建设依据

本方案主要根据GB/T22239-2019《信息安全技术网络安全等级保护基本要求》的要求，并参照GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》的设计思路，针对其中第三级要求而设计的网络安全等级保护建设方案。

除此之外，还应参考以下几点标准：

《中华人民共和国网络安全法》

《信息技术安全技术信息安全管理体系要求》（ISO/IEC27001:2013）

《信息技术安全技术信息安全控制实用规则》（ISO/IEC27002：2013）

《计算机信息系统安全保护等级划分准则》（GB17859-1999）

《信息安全技术信息安全风险评估规范》（GB/T20984-2007）

《信息安全技术信息系统安全等级保护定级指南》（GB/T22240－2008）

《网络安全等级保护定级指南》（GA