典型等級保護安全解決方案結構分享

1.     方案概述... 1

1.1.          安全背景... 1

1.2.          方案內容... 1

1.3.          方案目標... 2

1.4.          方案依據... 2

1.5.          項目地點... 3

2.     項目建設過程劃分... 4

3.     系統定級與備案... 6

3.1.          定級原理及流程... 6

3.1.1.      安全等級... 6

3.1.2.      定級要素... 7

3.1.3.      定級流程... 8

3.2.          肯定定級對象... 8

3.3.          肯定安全保護等級... 9

3.3.1.      定級方法概述... 9

3.3.2.      肯定受侵害的客體... 10

3.3.3.      肯定對客體的侵害程度... 11

3.3.4.      初步肯定安全等級... 13

3.4.          定級評審與備案... 14

4.     安全現狀與風險差距分析... 14

4.1.          網絡現狀分析... 14

4.2.          安全風險分析... 16

4.2.1.      物理環境安全風險... 16

4.2.2.      區域邊界安全風險... 16

4.2.3.      通訊網絡安全風險... 17

4.2.4.      計算環境安全風險... 17

4.2.5.      管理中心安全風險... 19

4.2.6.      安全管理風險... 19

4.2.7.      網絡安全應急處置風險... 19

4.3.          差距分析... 21

4.4.          安全需求分析... 1

5.     安全方案整體規劃... 3

5.1.          設計原則... 3

5.2.          設計思想... 4

5.3.          設計目標... 5

5.4.          設計內容... 5

5.5.          設計路線與方法... 6

5.5.1.      風險管理設計方法... 6

5.5.2.      體系化設計方法... 7

5.5.3.      等級化設計方法... 7

5.6.          等保三級防禦框架... 8

5.6.1.      網絡安全技術體系... 9

5.6.2.      網絡安全管理體系... 10

5.6.3.      網絡安全運行體系... 11

6.     安全技術體系詳細設計... 14

6.1.          安全域劃分... 14

6.1.1.      安全域劃分參考模型... 14

6.1.2.      安全域劃分目標... 14

6.1.3.      安全域劃分原則... 15

6.2.          安全域實現... 16

6.3.          安全區域邊界... 17

6.3.1.      方案設計... 17

6.3.2.      設備部署... 20

6.3.3.      安全策略... 21

6.4.          安全計算環境... 22

6.4.1.      方案設計... 22

6.4.2.      設備部署... 26

6.4.3.      安全策略... 27

6.5.          安全通訊網絡... 28

6.5.1.      方案設計... 28

6.5.2.      設備部署... 30

6.5.3.      安全策略... 30

6.6.          安全管理中心... 31

6.6.1.      方案設計... 31

6.6.2.      設備部署... 34

6.6.3.      安全策略... 34

6.7.          安全物理環境... 35

6.8.          安全服務方案... 36

6.8.1.      安全風險評估... 36

6.8.2.      安全運維（巡檢）服務... 37

6.8.3.      安全管理與運行體系規劃和實施... 38

6.8.4.      安全事件應急響應... 39

6.8.5.      安全建設諮詢... 41

6.8.6.      安全教育培訓... 41

7.     安全管理與安全運行體系設計... 43

7.1.          管理與運行體系方案概述... 43

7.1.1.      安全管理制度... 43

7.1.2.      安全管理機構... 44

7.1.3.      安全管理人員... 46

7.1.4.      安全建設管理... 47

7.1.5.      安全運維管理... 48

7.2.          安全管理制度制定解決方案... 49

7.2.1.      安全策略結構描述... 49

7.2.2.      安全管理制度制定... 52

7.3.          安全管理制度管理解決方案... 52

7.3.1.      安全制度發佈... 53

7.3.2.      安全制度修改與廢止... 53

7.3.3.      安全制度監督和檢查... 54

7.3.4.      安全制度管理流程... 54

7.4.          安全管理機構設置解決方案... 56

7.5.          安全管理人員解決方案... 59

7.5.1.      普通員工安全管理... 59

7.5.2.      安全崗位人員管理... 61

7.6.          第三方人員安全管理解決方案... 65

7.6.1.      第三方人員短時間訪問安全管理... 66

7.6.2.      第三方人員長期訪問安全管理... 67

7.6.3.      第三方人員訪問申請審批流程信息表... 69

7.6.4.      第三方人員訪問申請審批流程圖... 70

7.7.          安全教育與培訓解決方案... 71

7.7.1.      信息安全培訓的對象... 71

7.7.2.      信息安全培訓的內容... 72

7.7.3.      信息安全培訓的管理... 73

7.8.          安全建設管理解決方案... 73

7.8.1.      系統安全建設審批流程... 73

7.8.2.      項目立項安全管理... 75

7.8.3.      信息安全項目建設管理... 76

7.9.          等級保護建設管理解決方案... 80

7.9.1.      信息系統描述... 81

7.9.2.      等級指標選擇... 86

7.9.3.      安全評估與自測評... 89

7.9.4.      方案與規劃... 93

7.9.5.      建設整改... 95

7.9.6.      運維... 99

7.10.        軟件開發安全管理解決方案... 102

7.10.1.             軟件安全需求管理... 102

7.10.2.             軟件設計安全管理... 103

7.10.3.             軟件開發過程安全管理... 106

7.10.4.             軟件維護安全管理... 108

7.10.5.             軟件管理的安全管理... 109

7.10.6.             軟件系統安全審計管理... 110

7.11.        安全運維管理解決方案... 110

7.11.1.             運維管理... 110

7.11.2.             介質管理... 112

7.11.3.             惡意代碼管理... 113

7.11.4.             變動管理管理... 114

7.11.5.             備份與恢復管理... 115

7.11.6.             設備管理管理... 117

7.11.7.             網絡安全管理... 120

7.11.8.             系統安全管理... 122

7.12.        安全事件處置與應急解決方案... 125

7.12.1.             安全事件預警與分級... 125

7.12.2.             安全事件處理... 128

7.12.3.             安全事件通報... 132

7.12.4.             應急響應流程... 133

7.12.5.             應急預案的制定... 134

7.13.        安全溝通與合做解決方案... 143

7.13.1.             溝通與合做的分類... 143

7.13.2.             風險管理不一樣階段中的溝通與合做... 145

7.14.        按期風險評估解決方案... 145

7.14.1.             評估方式... 146

7.14.2.             評估內容... 146

7.14.3.             評估流程... 148

8.     項目實施方案... 150

8.1.          實施範圍... 150

8.2.          實施組織... 150

8.3.          實施計劃與過程... 150

8.3.1.      實施計劃... 150

8.3.2.      實施過程... 151

9.     等保申報測評方案... 153

9.1.          等級保護建設流程... 153

9.2.          系統定級... 153

9.3.          系統備案... 153

9.4.          系統建設... 154

9.5.          系統測評... 155

9.5.1.      預測評... 155

9.5.2.      正式測評... 155

9.6.          系統按期檢查... 155

10.           項目質量保證與風險管理方案... 156

10.1.        項目風險管理... 156

10.1.1.             本項目主要風險及應對措施... 156

10.1.2.             風險監控... 157

10.2.        項目實施質量保證... 157

10.2.1.             項目管理規範約束... 157

10.2.2.             工程實施規範約束... 158

10.2.3.             人員質量職責約束... 158

10.3.        產品質量保證... 159

10.3.1.             產品研發的質量保障... 159

10.3.2.             產品出貨的質量保障... 159

10.3.3.             其餘免費物品和服務... 160

10.4.        項目溝通... 160

10.4.1.             平常溝通記錄和備忘錄... 160

10.4.2.             報告... 160

10.4.3.             會議... 160

10.5.        項目文檔... 161

11.           方案符合性分析... 162

11.1.        有效性分析... 162

11.2.        可行性分析... 162

11.2.1.             政策保障... 162

11.2.2.             組織和人員保障... 163

11.2.3.             技術保障... 164

11.3.        必要性分析... 164

11.4.        安全性分析... 165

11.5.        經濟效益分析... 165

12.           等保三級產品服務清單... 165

12.1.        產品清單... 165

12.2.        服務清單... 167

13.           等保三級安全設計圖... 168