1. 方案概述... 1
1.1. 安全背景... 1
1.2. 方案内容... 1
1.3. 方案目标... 2
1.4. 方案依据... 2
1.5. 项目地点... 3
2. 项目建设过程划分... 4
3. 系统定级与备案... 6
3.1. 定级原理及流程... 6
3.1.1. 安全等级... 6
3.1.2. 定级要素... 7
3.1.3. 定级流程... 8
3.2. 确定定级对象... 8
3.3. 确定安全保护等级... 9
3.3.1. 定级方法概述... 9
3.3.2. 确定受侵害的客体... 10
3.3.3. 确定对客体的侵害程度... 11
3.3.4. 初步确定安全等级... 13
3.4. 定级评审与备案... 14
4. 安全现状与风险差距分析... 14
4.1. 网络现状分析... 14
4.2. 安全风险分析... 16
4.2.1. 物理环境安全风险... 16
4.2.2. 区域边界安全风险... 16
4.2.3. 通信网络安全风险... 17
4.2.4. 计算环境安全风险... 17
4.2.5. 管理中心安全风险... 19
4.2.6. 安全管理风险... 19
4.2.7. 网络安全应急处置风险... 19
4.3. 差距分析... 21
4.4. 安全需求分析... 1
5. 安全方案总体规划... 3
5.1. 设计原则... 3
5.2. 设计思想... 4
5.3. 设计目标... 5
5.4. 设计内容... 5
5.5. 设计路线与方法... 6
5.5.1. 风险管理设计方法... 6
5.5.2. 体系化设计方法... 7
5.5.3. 等级化设计方法... 7
5.6. 等保三级防护框架... 8
5.6.1. 网络安全技术体系... 9
5.6.2. 网络安全管理体系... 10
5.6.3. 网络安全运行体系... 11
6. 安全技术体系详细设计... 14
6.1. 安全域划分... 14
6.1.1. 安全域划分参考模型... 14
6.1.2. 安全域划分目标... 14
6.1.3. 安全域划分原则... 15
6.2. 安全域实现... 16
6.3. 安全区域边界... 17
6.3.1. 方案设计... 17
6.3.2. 设备部署... 20
6.3.3. 安全策略... 21
6.4. 安全计算环境... 22
6.4.1. 方案设计... 22
6.4.2. 设备部署... 26
6.4.3. 安全策略... 27
6.5. 安全通信网络... 28
6.5.1. 方案设计... 28
6.5.2. 设备部署... 30
6.5.3. 安全策略... 30
6.6. 安全管理中心... 31
6.6.1. 方案设计... 31
6.6.2. 设备部署... 34
6.6.3. 安全策略... 34
6.7. 安全物理环境... 35
6.8. 安全服务方案... 36
6.8.1. 安全风险评估... 36
6.8.2. 安全运维(巡检)服务... 37
6.8.3. 安全管理与运行体系规划和实施... 38
6.8.4. 安全事件应急响应... 39
6.8.5. 安全建设咨询... 41
6.8.6. 安全教育培训... 41
7. 安全管理与安全运行体系设计... 43
7.1. 管理与运行体系方案概述... 43
7.1.1. 安全管理制度... 43
7.1.2. 安全管理机构... 44
7.1.3. 安全管理人员... 46
7.1.4. 安全建设管理... 47
7.1.5. 安全运维管理... 48
7.2. 安全管理制度制定解决方案... 49
7.2.1. 安全策略结构描述... 49
7.2.2. 安全管理制度制定... 52
7.3. 安全管理制度管理解决方案... 52
7.3.1. 安全制度发布... 53
7.3.2. 安全制度修改与废止... 53
7.3.3. 安全制度监督和检查... 54
7.3.4. 安全制度管理流程... 54
7.4. 安全管理机构设置解决方案... 56
7.5. 安全管理人员解决方案... 59
7.5.1. 普通员工安全管理... 59
7.5.2. 安全岗位人员管理... 61
7.6. 第三方人员安全管理解决方案... 65
7.6.1. 第三方人员短期访问安全管理... 66
7.6.2. 第三方人员长期访问安全管理... 67
7.6.3. 第三方人员访问申请审批流程信息表... 69
7.6.4. 第三方人员访问申请审批流程图... 70
7.7. 安全教育与培训解决方案... 71
7.7.1. 信息安全培训的对象... 71
7.7.2. 信息安全培训的内容... 72
7.7.3. 信息安全培训的管理... 73
7.8. 安全建设管理解决方案... 73
7.8.1. 系统安全建设审批流程... 73
7.8.2. 项目立项安全管理... 75
7.8.3. 信息安全项目建设管理... 76
7.9. 等级保护建设管理解决方案... 80
7.9.1. 信息系统描述... 81
7.9.2. 等级指标选择... 86
7.9.3. 安全评估与自测评... 89
7.9.4. 方案与规划... 93
7.9.5. 建设整改... 95
7.9.6. 运维... 99
7.10. 软件开发安全管理解决方案... 102
7.10.1. 软件安全需求管理... 102
7.10.2. 软件设计安全管理... 103
7.10.3. 软件开发过程安全管理... 106
7.10.4. 软件维护安全管理... 108
7.10.5. 软件管理的安全管理... 109
7.10.6. 软件系统安全审计管理... 110
7.11. 安全运维管理解决方案... 110
7.11.1. 运维管理... 110
7.11.2. 介质管理... 112
7.11.3. 恶意代码管理... 113
7.11.4. 变更管理管理... 114
7.11.5. 备份与恢复管理... 115
7.11.6. 设备管理管理... 117
7.11.7. 网络安全管理... 120
7.11.8. 系统安全管理... 122
7.12. 安全事件处置与应急解决方案... 125
7.12.1. 安全事件预警与分级... 125
7.12.2. 安全事件处理... 128
7.12.3. 安全事件通报... 132
7.12.4. 应急响应流程... 133
7.12.5. 应急预案的制定... 134
7.13. 安全沟通与合作解决方案... 143
7.13.1. 沟通与合作的分类... 143
7.13.2. 风险管理不同阶段中的沟通与合作... 145
7.14. 定期风险评估解决方案... 145
7.14.1. 评估方式... 146
7.14.2. 评估内容... 146
7.14.3. 评估流程... 148
8. 项目实施方案... 150
8.1. 实施范围... 150
8.2. 实施组织... 150
8.3. 实施计划与过程... 150
8.3.1. 实施计划... 150
8.3.2. 实施过程... 151
9. 等保申报测评方案... 153
9.1. 等级保护建设流程... 153
9.2. 系统定级... 153
9.3. 系统备案... 153
9.4. 系统建设... 154
9.5. 系统测评... 155
9.5.1. 预测评... 155
9.5.2. 正式测评... 155
9.6. 系统定期检查... 155
10. 项目质量保证与风险管理方案... 156
10.1. 项目风险管理... 156
10.1.1. 本项目主要风险及应对措施... 156
10.1.2. 风险监控... 157
10.2. 项目实施质量保证... 157
10.2.1. 项目管理规范约束... 157
10.2.2. 工程实施规范约束... 158
10.2.3. 人员质量职责约束... 158
10.3. 产品质量保证... 159
10.3.1. 产品研发的质量保障... 159
10.3.2. 产品出货的质量保障... 159
10.3.3. 其他免费物品和服务... 160
10.4. 项目沟通... 160
10.4.1. 日常沟通记录和备忘录... 160
10.4.2. 报告... 160
10.4.3. 会议... 160
10.5. 项目文档... 161
11. 方案符合性分析... 162
11.1. 有效性分析... 162
11.2. 可行性分析... 162
11.2.1. 政策保障... 162
11.2.2. 组织和人员保障... 163
11.2.3. 技术保障... 164
11.3. 必要性分析... 164
11.4. 安全性分析... 165
11.5. 经济效益分析... 165
12. 等保三级产品服务清单... 165
12.1. 产品清单... 165
12.2. 服务清单... 167
13. 等保三级安全设计图... 168