网络安全等保三级建设整改方案.docxVIP

PAGE12

PAGE

网络安全等保三级建设整改方案

目录

TOC\o1-21项目背景 3

1.1建设背景 3

1.2建设目标 3

1.3建设内容 4

2总体方案设计 6

2.1设计目标 6

2.2设计原则 7

2.3规划拓扑 9

3详细方案设计 10

3.1技术体系 10

4方案价值说明 22

项目背景

建设背景

随着出版行业和业务的迅速发展，网络系统的安全也日益重要。全球网络安全态势的日趋严峻，各类新型网络攻击形式层出不穷，出版社业务系统的运行、数据资产的安全防护等也面临着巨大的网络安全风险与挑战。17年6月，《网络安全法》正式实施，其中第二十一条规定“国家实行网络安全等级保护制度”。2019年5月，国家标准化管理委员会正式发布了网络安全等级保护2.0核心技术标准。为履行网络安全主体责任，XX出版社按照网络安全等级保护制度和出版行业法规标准的要求，开展本地业务系统网络安全防护加固工作，以建立、健全XX出版社网络安全防护体系，提升业务系统整体网络安全防护能力，满足网络安全等级保护的能力要求。

建设目标

根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）的有关规定进行等级保护二级安全建设，本次网络安全等级保护建设完成后，系统应当具备如下安全保护能力：

系统在统一的安全防护策略下，能够免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当危害程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。

为满足上述安全保护能力，结合系统性、体系化的需求分析、方案设计和风险控制等方式，使系统达到以下5个方面的建设目标：

1) 完善网络安全防护技术措施，提升技术防护能力，满足第二级系统网络安全等级保护相关技术要求；

2) 建立、健全网络安全管理制度、机构和人员要求，提升网络安全管理能力，满足第二级系统网络安全等级保护相关管理要求；

3) 建立、健全网络安全运营体系，提升系统全生命周期网络安全保护能力，满足网络安全等级保护整体框架和关键技术落实等相关要求；

4) 建立、健全安全保护架构，使系统具备安全可视、持续检测和协同防御等安全能力，提升网络安全解决方案整体价值；

5) 通过体系化的网络安全建设，使系统满足第二级系统等级保护合法、合规要求，有效维护国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益。

建设内容

本方案的主要建设内容是建立单位等级保护对象的总体网络安全等级保护体系，根据等级保护相关标准要求，落实安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理的要求。单位网络安全等级保护体系建设具体内容如下图：

图：网络安全等级保护体系建设内容图

总体方案设计

设计目标

结合等级保护2.0相关标准和要求以及国内外必威体育精装版的安全防护体系模型，从保障用户业务安全高效运行为根本出发点，XXX（以下简称“XXX”）提出了“持续保护，不止合规”的价值主张。随着等级保护对象扩展到云计算、移动互联网、物联网、工业控制系统与大数据等，如今的网络环境复杂度已远超过去。同时，有效的风险管理一定是建立在一定的模型之上的。为适应新的安全形势，等级保护2.0安全建设建议引入新的智安全能力模型“APDRO”，其中集防御（P）、检测（D）、响应（R）于一体的闭环安全已经深入人心，但是仅有PDR还不够，安全能力模型需要适应新的安全形势的，因此才有了对PDR的改进模型，A代表智能，O代表运营，在PDR模型上叠加智能和运营能力。APDRO安全架构的简单逻辑就是，首先，要去打造集防御、检测和响应于一体的闭环安全能力，然后，面对自动化水平不断提高的威胁，利用人工智能技术来提升PDR的自动化程度，最后由运营来让PDR变得更有效，让PDR运转的更好。通过以APDRO安全能力模型支撑，为用户构建以技术、管理和运营三大安全体系为目标的可运营的智能化安全体系，让等级保护对象具备了安全可视、持续检测、协同防御的能力。

图：等级保护2.0建设规划框架

设计原则

1. 等级保护建设原则

安全建设不能忽视国家相关政策要求，在安全保障体系建设上最终所要达到的保护效果应符合《网络安全等级保护基本要求》。

2. 体系化的设计原则

系统设计应充分考虑到各个层面的安全风险，构建完整的安全防护体系，充分保证系统的安全性。同时，应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。

3. 产品的先进性原则

单位的安全保障体系建设规模庞大，意义深远。对所需的各类安全产