信息安全等级保护安全建设整改工作指南-信息安全等级保护17123.docx

《信息安全等级保护安全建设整改工作指南-信息安全等级保护17123.docx》由会员分享，可在线阅读，更多相关《信息安全等级保护安全建设整改工作指南-信息安全等级保护17123.docx（56页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、附件2信息安全全等级保保护安全全建设整改改工作指指南中华人民民共和国国公安部部二九九年十月月前 言言为便于信信息安全全等级保保护安全全建设整整改工作作相关单单位全面面了解和和掌握安安全建设设整改工工作所依依据的技技术标准准规范，以以及安全全建设整整改工作作的目标标、内容容和方法法，公安安部编写写了信信息安全全等级保保护安全全建设整整改工作作指南，供参参考。本指南包包括总则则、安全全管理制制度建设设、安全技技术措施施建设三个个部分，附附录是信信息安全全等级保保护主要要标准简简要说明明。由于时间间仓促，经经验不足足，不妥妥之处，敬敬请批评评指正。目 录1 总则则(1)1.1 工作目目标(11)1.

2、2 工作内内容(11)1.3 工作流流程(2)1.4 标准应应用(3)1.5 安全保保护能力力目标(5)2 安全全管理制制度建设设(6)2.1 落实信信息安全全责任制制(7)2.2 信息系系统安全全管理现现状分析析(7)2.3 确定安安全管理理策略，制制定安全全管理制制度(88)2.4 落实安安全管理理措施(8)2.4.1人员员安全管管理(8)2.4.2系统统运维管管理(8)2.4.2.11 环境境和资产产安全管管理(8)2.4.2.2设备和和介质安安全管理理(9)2.4.2.33 日常常运行维维护(9)2.4.2.4集中安安全管理理(9)2.4.2.5事件处处置与应应急响应应(9)2.4.2

3、.6灾难备备份(9)2.4.2.7安全监监测(110)2.4.2.8其他安全全管理(100)2.5 系统建建设管理理(110)2.6 安全自自查与调调整(110)3 安全全技术措措施建设设(110)3.1 信息系系统安全全保护技技术现状状分析(111)3.1.1信息息系统现现状分析析(11)3.1.2信息息系统安安全保护护技术现现状分析析(12)3.1.3安全全需求论论证和确确定(12)3.2 信息系系统安全全技术建建设整改改方案设设计(112)3.2.1确定定安全技技术策略略，设计计总体技技术方案案(12)3.2.1.11 确定定安全技技术策略略(12)3.2.1.22 设计计总体技技术方案

4、案(12)图3 安全技术体系设计实例数据安全设计3.2.2安全全技术方方案详细细设计(13)3.2.2.11 物理理安全设设计(13)3.2.2.22 通信信网络安安全设计计(13)3.2.2.33 区域域边界安安全设计计(13)3.2.2.44 主机机系统安安全设计计(13)3.2.2.55 应用用系统安安全设计计(114)3.2.2.66 备份份和恢复复安全设设计(114)3.2.3建设设经费预预算和工工程实施施计划(144)3.2.3.11 建设设经费预预算(14)3.2.3.22 工程程实施计计划(14)3.2.4方案案论证和和备案(15)3.3 安全建建设整改改工程实实施和管管理(1

5、15)3.3.1工程程实施和和管理(15)3.3.2工程程监理和和验收(15)3.3.3安全全等级测测评(15)附录：信信息安全全等级保保护主要要标准简简要说明明(17)1 总则则1.1 工作目目标信息系统统运营使使用单位位在做好好信息系系统安全全等级保护护定级备备案工作作基础上上，按照照国家有有关规定定和标准准规范要要求，开开展信息息安全等级级保护安安全建设设整改工工作。通通过落实实安全责责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益

6、。1.2 工作内内容信息系统统运营使使用单位位在开展展信息安安全等级级保护安安全建设设整改工工作中，应应按照国国家有关关规定和和标准规规范要求求，坚持持管理和和技术并并重的原原则，将将技术措措施和管管理措施施有机结结合，建建立信息息系统综综合防护护体系，提提高信息息系统整整体安全全保护能能力。要要依据信信息系统统安全等等级保护护基本要要求（以以下简称称基本本要求），落落实信息息安全责责任制，建建立并落落实各类类安全管管理制度度，开展展人员安安全管理理、系统统建设管管理和系系统运维维管理等等工作，落落实物理理安全、网网络安全全、主机机安全、应应用安全全和数据据安全等等安全保保护技术术措施，具具体

7、内容容如图11所示。信息系统安全等级保护基本要求安全管理机构l 岗位设置l 人员配备l 授权和审批l 沟通和合作l 审核和检查安全管理制度l 管理制度l 制定和发布l 评审和修订人员安全管理l 人员录用l 人员离岗l 人员考核l 教育和培训l 人员访问管理系统建设管理l 定级备案l 安全方案设计l 产品采购使用l 自行软件开发l 外包软件开发l 工程实施l 测试验收l 系统交付l 安全服务选择l 等级测评系统运维管理l 环境管理l 资产管理l 介质管理l 设备管理l 监控管理l 安全管理中心l 网络安全管理l 系统安全管理l 变更管理l 备份恢复管理l 事件处置l 应急响应安全管理建设整改物理

8、安全l 机房位置选择l 防火防雷l 防水防潮l 防静电l 物理访问控制l 防盗窃防破坏l 温湿度控制l 电力供应l 电磁防护网络安全l 区域划分l 边界防护l 访问控制l 安全审计l 入侵防范l 病毒防护l 通信保护数据安全与备份恢复l 数据保密性l 数据完整性l 备份与恢复主机安全l 身份鉴别l 访问控制l 安全审计l 入侵防范l 病毒防护l 资源控制l 安全标记l 剩余信息保护应用安全l 身份鉴别l 访问控制l 安全审计l 通信完整性l 通信保密性l 软件容错l 资源控制l 安全标记l 剩余信息保护l 抗抵赖安全技术建设整改图1：信信息系统统安全建建设整改改主要内内容需要说明明的是：不不同

9、级别别信息系系统安全全建设整整改的具具体内容容应根据据信息系系统定级级时的业业务信息息安全等等级和系系统服务务安全等等级，以以及信息息系统安安全保护护现状确确定。信信息系统统安全建建设整改改工作具具体实施施可以根根据实际际情况，将将安全管管理和安安全技术术整改内内容一并并实施，或或分步实实施。1.3 工作流流程信息系统统安全建建设整改改工作分分五步进进行。第第一步：制定定信息系系统安全全建设整整改工作作规划，对对信息系系统安全全建设整整改工作作进行总总体部署署；第二步：开展展信息系系统安全全保护现现状分析析，从管管理和技技术两个个方面确确定信息息系统安安全建设设整改需需求；第第三步：确定定安全

10、保保护策略略，制定定信息系系统安全全建设整整改方案案；第四步：开展展信息系系统安全全建设整整改工作作，建立立并落实实安全管管理制度度，落实实安全责责任制，建建设安全全设施，落落实安全全措施；第五步：开展展安全自自查和等等级测评评，及时时发现信信息系统统中存在在安全隐隐患和威威胁，进进一步开开展安全全建设整整改工作作。该流程如如图2所所示。信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略，制定安全建设整改方案物 理 安 全网 络 安 全主 机 安 全应 用 安 全数 据 安 全安全管理机构安全管理制度

11、人员安全管理系统建设管理系统运维管理图2：信信息系统统安全建建设整改改工作基基本流程程1.4 标准应应用信息系统统安全建建设整改改工作应应依据基基本要求求，并并在不同同阶段、针针对不同同技术活活动参照照相应的的标准规规范进行行。等级级保护有有关标准准在信息息系统安安全建设设整改工工作中的的作用如如图3所所示。信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则（GB17859）信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保

12、护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息安全等级保护安全建设整改工作网络基础安全技术要求网络和终端设备隔离部件技术要求安全等级基线要求状况分析方法指导信息系统安全等级保护实施指南图3：等等级保护护相关标标准间的的关系需要说明明的是，（一）计算机信息系统安全保护等级划分准则及配套标准是基本要求的基础。计算机信息系统安全保护等级划分准则（GB17859，以下简称划分准则）是等级保护的基础性标准，信息系统通用安全技术要求等技术类标准、信息系统安全管理要求等管理

13、类标准和操作系统安全技术要求等产品类标准是在划分准则基础上研究制定的。基本要求以技术类标准和管理类标准为基础，根据现有技术发展水平，从技术和管理两方面提出并确定了不同安全保护等级信息系统的最低保护要求，即基线要求。（二）基本要求是信息系统安全建设整改的依据。信息系统安全建设整改应以落实基本要求为主要目标。信息系统运营使用单位应根据信息系统安全保护等级选择基本要求中相应级别的安全保护要求作为信息系统的基本安全需求。当信息系统有更高安全需求时，可参考基本要求中较高级别保护要求或信息系统通用安全技术要求、信息系统安全管理要求等其他标准。行业主管部门可以依据基本要求，结合行业特点和信息系统实际出台行业

14、细则，行业细则的要求应不低于基本要求。（三）定级指南为定级工作提供指导。信息系统安全等级保护定级指南为信息系统定级工作提供了技术支持。行业主管部门可以根据定级指南，结合行业特点和信息系统实际情况，出台本行业的定级细则，保证行业内信息系统在不同地区等级的一致性，以指导本行业信息系统定级工作的开展。（四）测评要求等标准规范等级测评活动。等级测评是评价信息系统安全保护状况的重要方法。信息系统安全等级保护测评要求为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。信息系统安全等级保护测评过程指南对等级测评活动提出规范性要求，以保证测评结论的准确性和可靠性。（五）实施指南等标准指导等级保护建设。

15、信息系统安全等级保护实施指南是信息系统安全等级保护建设实施的过程控制标准，用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。信息系统等级保护安全设计技术要求对信息系统安全建设的技术设计活动提供指导，是实现基本要求的方法之一。1.5 安全保保护能力力目标各级信息息系统应应通过安安全建设设整改分分别达到到以下安安全保护护能力目目标：第一级信信息系统统：经过过安全建建设整改改，信息息系统具具有抵御御一般性性攻击的的能力，防防范常见见计算机机病毒和和恶意代代码危害害的能力力；系统统遭到损损害后，具具有恢复复系统主主要功能能的能力力。第二级信信

16、息系统统：经过过安全建建设整改改，信息息系统具具有抵御御小规模模、较弱弱强度恶恶意攻击击的能力力，抵抗抗一般的的自然灾灾害的能能力，防防范一般般性计算算机病毒毒和恶意意代码危危害的能能力；具具有检测测常见的的攻击行行为，并并对安全全事件进进行记录录的能力力；系统统遭到损损害后，具具有恢复复系统正正常运行行状态的的能力。第三级信信息系统统：经过过安全建建设整改改，信息息系统在在统一的的安全保保护策略略下具有有抵御大大规模、较较强恶意意攻击的的能力，抵抵抗较为为严重的的自然灾灾害的能能力，防防范计算算机病毒毒和恶意意代码危危害的能能力；具具有检测测、发现现、报警警、记录录入侵行行为的能能力；具具有

17、对安安全事件件进行响响应处置置，并能能够追踪踪安全责责任的能能力；在在系统遭遭到损害害后，具具有能够够较快恢恢复正常常运行状状态的能能力；对对于服务务保障性性要求高高的系统统，应能能快速恢恢复正常常运行状状态；具具有对系系统资源源、用户户、安全全机制等等进行集集中控管管的能力力。第四级信信息系统统：经过过安全建建设整改改，信息息系统在在统一的的安全保保护策略略下具有有抵御敌敌对势力力有组织织的大规规模攻击击的能力力，抵抗抗严重的的自然灾灾害的能能力，防防范计算算机病毒毒和恶意意代码危危害的能能力；具具有检测测、发现现、报警警、记录录入侵行行为的能能力；具具有对安安全事件件进行快快速响应应处置，

18、并并能够追追踪安全全责任的的能力；在系统统遭到损损害后，具具有能够够较快恢恢复正常常运行状状态的能能力；对对于服务务保障性性要求高高的系统统，应能能立即恢恢复正常常运行状状态；具具有对系系统资源源、用户户、安全全机制等等进行集集中控管管的能力力。2 安全全管理制制度建设设按照国家家有关规规定，依依据基基本要求求，参参照信信息系统统安全管管理要求求等标标准规范范要求，开开展信息息系统等等级保护护安全管管理制度度建设工工作。工作流流程见图图4。明确主管领导、落实责任部门落实安全岗位和人员信息系统安全管理现状分析挂项目实施方案详细设计确定安全管理策略、制定安全管理制度安全自查和调整系统建设管理落实安

19、全管理措施人员安全管理环境和资产管理设备和介质管理日常运行维护集中安全管理事件处置和应急响应灾难备份安全监测系统运维管理图4：信信息系统统安全管管理建设设整改工工作流程程2.1 落实信信息安全全责任制制明确领导导机构和和责任部部门，设设立或明明确信息息安全领领导机构构，明确确主管领领导，落落实责任任部门。建建立岗位位和人员员管理制制度，根根据职责责分工，分分别设置置安全管管理机构构和岗位位，明确确每个岗岗位的职职责与任任务，落落实安全全管理责责任制。建建立安全全教育和和培训制制度，对对信息系系统运维维人员、管管理人员员、使用用人员等等定期进进行培训训和考核核，提高高相关人人员的安安全意识识和操

20、作作水平。具具体依据据基本本要求中中的“安安全管理理机构”内内容，同同时可以以参照信信息系统统安全管管理要求求等。2.2 信息系系统安全全管理现现状分析析在开展信信息系统统安全管管理建设设整改之之前，通通过开展展信息系系统安全全管理现现状分析析，查找找信息系系统安全全管理建建设整改改需要解解决的问问题，明明确信息息系统安安全管理理建设整整改的需需求。可以依据据基本本要求等等标准，采采取对照照检查、风风险评估估、等级级测评等等方法，分分析判断断目前所所采取的的安全管管理措施施与等级级保护标标准要求求之间的的差距，分分析系统统已发生生的事件件或事故故，分析析安全管管理方面面存在的的问题，形形成安全

21、全管理建建设整改改的需求求并论证证。2.3 确定安安全管理理策略，制制定安全全管理制制度根据安全全管理需需求，确确定安全全管理目目标和安安全策略略，针对对信息系系统的各各类管理理活动，制制定人员员安全管管理制度度、系统统建设管管理制度度、系统统运维管管理制度度、定期期检查制制度等，规规范安全全管理人人员或操操作人员员的操作作规程等等，形成成安全管管理体系系。具体体依据基基本要求求中的的“安全全管理制制度”内内容，同同时可以以参照信信息系统统安全管管理要求求等。2.4 落实安安全管理理措施2.4.1人员员安全管管理人员安全全管理主主要包括括人员录录用、离离岗、考考核、教教育培训训等内容容。规范范

22、人员录录用、离离岗、过过程，关关键岗位位签署保保密协议议，对各各类人员员进行安安全意识识教育、岗岗位技能能培训和和相关安安全技术术培训，对对关键岗岗位的人人员进行行全面、严严格的安安全审查查和技能能考核。对对外部人人员允许许访问的的区域、系系统、设设备、信信息等进进行控制制。具体体依据基基本要求求中的的“人员安安全管理理”内容，同同时可以以参照信信息系统统安全管管理要求求等。2.4.2系统统运维管管理2.4.2.11 环境境和资产产安全管管理明确环境境（包括括主机房房、辅机机房、办办公环境境等）安安全管理理的责任任部门或或责任人人，加强强对人员员出入、来来访人员员的控制制，对有有关物理理访问、

23、物物品进出出和环境境安全等等方面作作出规定定。对重重要区域域设置门门禁控制制手段，或或使用视视频监控控等措施施。明确确资产（包包括介质质、设备备、设施施、数据据和信息息等）安安全管理理的责任任部门或或责任人人，对资资产进行行分类、标标识，编编制与信信息系统统相关的的软件资资产、硬硬件资产产等资产产清单。具具体依据据基本本要求中中的“系统运运维管理理”内容，同同时可以以参照信信息系统统安全管管理要求求等。2.4.2.2设备和和介质安安全管理理明确配套套设施、软软硬件设设备管理理、维护护的责任任部门或或责任人人，对信信息系统统的各种种软硬件件设备采采购、发发放、领领用、维维护和维维修等过过程进行行

24、控制，对对介质的的存放、使使用、维维护和销销毁等方方面作出出规定，加加强对涉涉外维修修、敏感感数据销销毁等过过程的监监督控制制。具体体依据基基本要求求中的的“系统运运维管理理”内容，同同时可以以参照信信息系统统安全管管理要求求等。2.4.2.33 日常常运行维维护明确网络络、系统统日常运运行维护护的责任任部门或或责任人人，对运运行管理理中的日日常操作作、账号号管理、安安全配置置、日志志管理、补补丁升级级、口令令更新等等过程进进行控制制和管理理，制订订相应的的管理制制度和操操作规程程并落实实执行。具具体依据据基本本要求中中的“系统运运维管理理”内容，同同时可以以参照信信息系统统安全管管理要求求等

25、。2.4.2.4集中安安全管理理第三级（含含）以上上信息系系统应按按照统一一的安全全策略、安安全管理理要求，统统一管理理信息系系统的安安全运行行，进行行安全机机制的配配置与管管理，对对设备安安全配置置、恶意意代码、补补丁升级级、安全全审计等等进行管管理，对对与安全全有关的的信息进进行汇集集与分析析，对安安全机制制进行集集中管理理。具体体依据基基本要求求中的的“系统运运维管理理”内容，同同时可以以参照信信息系统统等级保保护安全全设计技技术要求求和信信息系统统安全管管理要求求等。2.4.2.5事件处处置与应应急响应应按照国家家有关标标准规定定，确定定信息安安全事件件的等级级。结合合信息系系统安全全

26、保护等等级，制制定信息息安全事事件分级级应急处处置预案案，明确确应急处处置策略略，落实实应急指指挥部门门、执行行部门和和技术支支撑部门门，建立立应急协协调机制制。落实实安全事事件报告告制度，第三级（含）以上信息系统发生较大、重大、特别重大安全事件时，运营使用单位按照相应预案开展应急处置，并及时向受理备案的公安机关报告。组织应急技术支撑力量和专家队伍，按照应急预案定期组织开展应急演练。具体依据基本要求中的“系统运维管理”内容，同时可以参照信息安全事件分类分级指南和信息安全事件管理指南等。2.4.2.6灾难备备份要对第三三级（含含）以上上信息系系统采取取灾难备备份措施施，防止止重大事事故、事事件发

27、生生。识别别需要定定期备份份的重要要业务信信息、系系统数据据及软件件系统等等，制定定数据的的备份策策略和恢恢复策略略，建立立备份与与恢复管管理相关关的安全全管理制制度。具具体依据据基本本要求中中的“系统运运维管理理”内容和信信息系统统灾难恢恢复规范范。2.4.2.7安全监监测开展信息息系统实实时安全全监测，实实现对物物理环境境、通信信线路、主主机、网网络设备备、用户户行为和和业务应应用等的的监测和和报警，及及时发现现设备故故障、病病毒入侵侵、黑客客攻击、误误用和误误操作等等安全事事件，以以便及时时对安全全事件进进行响应应与处置置。具体体依据基基本要求求中的的“系统运运维管理理”。2.4.2.8

28、其他安全全管理对系统运运行维护护过程中中的其它它活动，如如系统变变更、密密码使用用等进行行控制和和管理。按按国家密密码管理理部门的的规定，对对信息系系统中密密码算法法和密钥钥的使用用进行分分级管理理。2.5 系统建建设管理理制定系统统建设相相关的管管理制度度，明确确系统定定级备案案、方案案设计、产产品采购购使用、软软件开发发、工程程实施、验验收交付付、等级级测评、安安全服务务等内容容的管理理责任部部门、具具体管理理内容和和控制方方法，并并按照管管理制度度落实各各项管理理措施。具具体依据据基本本要求中中的“系统建建设管理理”内容。2.6 安全自自查与调调整制定安全全检查制制度，明明确检查查的内容

29、容、方式式、要求求等，检检查各项项制度、措措施的落落实情况况，并不不断完善善。定期期对信息息系统安安全状况况进行自自查，第第三级信信息系统统每年自自查一次次，第四四级信息息系统每每半年自自查一次次。经自自查，信信息系统统安全状状况未达达到安全全保护等等级要求求的，应应当进一一步开展展整改。具具体依据据基本本要求中中的“安全管管理机构构”内容，同同时可以以参照信信息系统统安全管管理要求求等。信信息系统统安全管管理建设设整改工工作完成成后，安安全管理理方面的的等级测测评与安安全技术术方面的的测评工工作一并并进行。3 安全全技术措措施建设设按照国家家有关规规定，依依据基基本要求求，参参照信信息系统统

30、通用安安全技术术要求、信信息系统统等级保保护安全全设计技技术要求求等标标准规范范要求，开开展信息息系统安安全技术术建设整整改工作作。工作流流程见图图5。信息系统安全保护技术现状分析开展建设整改技术方案详细设计工程实施及验收项目实施方案详细设计等级测评不符合标准要求开展建设整改技术方案论证和评审确定安全策略，开展建设整改技术方案总体设计通信网络安全物理安全。项目实施方案详细设计应用系统安全区域边界安全主机系统安全备份和恢复建设并落实安全技术措施图5：信信息系统统安全技技术建设设整改工工作流程程3.1 信息系系统安全全保护技技术现状状分析了解掌握握信息系系统现状状，分析析信息系系统的安安全保护护状

31、况，明明确信息息系统安安全技术术建设整整改需求求，为安安全建设设整改技技术方案案设计提提供依据据。3.1.1信息息系统现现状分析析了解掌握握信息系系统的数数量和等等级、所所处的网网络区域域以及信信息系统统所承载载的业务务应用情情况，分分析信息息系统的的边界、构构成和相相互关联联情况，分分析网络络结构、内内部区域域、区域域边界以以及软、硬硬件资源源等。具具体可参参照信信息系统统安全等等级保护护实施指指南中中“信息息系统分分析”的的内容。3.1.2信息息系统安安全保护护技术现现状分析析在开展信信息系统统安全技技术建设设整改之之前，应应通过开开展信息息系统安安全保护护技术现现状分析析，查找找信息系系

32、统安全全保护技技术建设设整改需需要解决决的问题题，明确确信息系系统安全全保护技技术建设设整改的的需求。可采取对对照检查查、风险险评估、等等级测评评等方法法，分析析判断目目前所采采取的安安全技术术措施与与等级保保护标准准要求之之间的差差距，分分析系统统已发生生的事件件或事故故，分析析安全技技术方面面存在的的问题，形形成安全全技术建建设整改改的基本本安全需需求。在在满足信信息系统统安全等等级保护护基本要要求基础础上，可可以结合合行业特特点和信信息系统统安全保保护的特特殊要求求，提出出特殊安安全需求求。具体体可参照照基本本要求、信信息系统统安全等等级保护护测评要要求和和信息息系统安安全等级级保护测测

33、评过程程指南等等标准。3.1.3安全全需求论论证和确确定安全需求求分析工工作完成成后，将将信息系系统的安安全管理理需求与与安全技技术需求求综合形形成安全全需求报报告。组组织专家家对安全全需求进进行评审审论证。3.2 信息系系统安全全技术建建设整改改方案设设计在安全需需求分析析的基础础上，开开展信息息系统安安全建设设整改方方案设计计，包括括总体设设计和详详细设计计，制定定工程预预算和工工程实施施计划等等，为后后续安全全建设整整改工程程实施提提供依据据。3.2.1确定定安全技技术策略略，设计计总体技技术方案案3.2.1.11 确定定安全技技术策略略根据安全全需求分分析，确确定安全全技术策策略，包包

34、括业务务系统分分级策略略、数据据信息分分级策略略、区域域互连策策略和信信息流控控制策略略等，用用以指导导系统安安全技术术体系结结构设计计。3.2.1.22 设计计总体技技术方案案在进行信信息系统统安全建建设整改改技术方方案设计计时，应应以基基本要求求为基基本目标标，可以以针对安安全现状状分析发发现的问问题进行行加固改改造，缺缺什么补补什么；也可以以进行总总体的安安全技术术设计，将将不同区区域、不不同层面面的安全全保护措措施形成成有机的的安全保保护体系系，落实实物理安安全、网网络安全全、主机机安全、应应用安全全和数据据安全等等方面基基本要求求，最大大程度发发挥安全全措施的的保护能能力。在在进行安

35、安全技术术设计时时，可参参考信信息系统统等级保保护安全全设计技技术要求求，从从安全计计算环境境、安全全区域边边界、安安全通信信网络和和安全管管理中心心等方面面落实安安全保护护技术要要求。图3 安全技术体系设计实例数据安全设计3.2.2安全全技术方方案详细细设计3.2.2.11 物理理安全设设计从安全技技术设施施和安全全技术措措施两方方面对信信息系统统所涉及及到的主主机房、辅辅助机房房和办公公环境等等进行物物理安全全设计，设设计内容容包括防防震、防防雷、防防火、防防水、防防盗窃、防防破坏、温温湿度控控制、电电力供应应、电磁磁防护等等方面。物物理安全全设计是是对采用用的安全全技术设设施或安安全技术

36、术措施的的物理部部署、物物理尺寸寸、功能能指标、性性能指标标等内容容提出具具体设计计参数。具具体依据据基本本要求中中的“物理安安全”内容，同同时可以以参照信信息系统统物理安安全技术术要求等等。3.2.2.22 通信信网络安安全设计计对信息系系统所涉涉及的通通信网络络，包括括骨干网网络、城城域网络络和其他他通信网网络（租租用线路路）等进进行安全全设计，设设计内容容包括通通信过程程数据完完整性、数数据保密密性、保保证通信信可靠性性的设备备和线路路冗余、通通信网络络的网络络管理等等方面。通信网络络安全设设计涉及及所需采采用的安安全技术术机制或或安全技技术措施施的设计计，对技技术实现现机制、产产品形态

37、态、具体体部署形形式、功功能指标标、性能能指标和和配置参参数等提提出具体体设计细细节。具具体依据据基本本要求中中“网络络安全”内容，同时可以参照网络基础安全技术要求等。3.2.2.33 区域域边界安安全设计计对信息系系统所涉涉及的区区域网络络边界进进行安全全设计，内内容包括括对区域域网络的的边界保保护、区区域划分分、身份份认证、访访问控制制、安全全审计、入入侵防范范、恶意意代码防防范和网网络设备备自身保保护等方方面。区域边界界安全设设计涉及及所需采采用的安安全技术术机制或或安全技技术措施施的设计计，对技技术实现现机制、产产品形态态、具体体部署形形式、功功能指标标、性能能指标和和配置策策略和参参

38、数等提提出具体体设计细细节。具具体依据据基本本要求中中的“网网络安全全”内容容，同时时可以参参照信信息系统统等级保保护安全全设计技技术要求求、网网络基础础安全技技术要求求等。3.2.2.44 主机机系统安安全设计计对信息系系统涉及及到的服服务器和和工作站站进行主主机系统统安全设设计，内内容包括括操作系系统或数数据库管管理系统统的选择择、安装装和安全全配置，主主机入侵侵防范、恶恶意代码码防范、资资源使用用情况监监控等。其其中，安安全配置置细分为为身份鉴鉴别、访访问控制制、安全全审计等等方面的的配置内内容。具具体依据据基本本要求中中的“主主机安全全”内容容，同时时可以参参照信信息系统统等级保保护安

39、全全设计技技术要求求、信信息系统统通用安安全技术术要求等等。3.2.2.55 应用用系统安安全设计计对信息系系统涉及及到的应应用系统统软件（含含应用/中间件件平台）进进行安全全设计，设设计内容容包括身身份鉴别别、访问问控制、安安全标记记、可信信路径、安安全审计计、剩余余信息保保护、通通信完整整性、通通信保密密性、抗抗抵赖、软软件容错错和资源源控制等等。具体体依据基基本要求求中的的“应用用安全”内容，同时可以参照信息系统等级保护安全设计技术要求、信息系统通用安全技术要求等。3.2.2.66 备份份和恢复复安全设设计针对信息息系统的的业务数数据安全全和系统统服务连连续性进进行安全全设计，设设计内容

40、容包括数数据备份份系统、备备用基础础设施以以及相关关技术设设施。针针对业务务数据安安全的数数据备份份系统可可考虑数数据备份份的范围围、时间间间隔、实实现技术术与介质质以及数数据备份份线路的的速率以以及相关关通信设设备的规规格和要要求；针针对信息息系统服服务连续续性的安安全设计计可考虑虑连续性性保证方方式（设设备冗余余、系统统级冗余余直至远远程集群群支持）与与实现细细节，包包括相关关的基础础设施支支持、冗冗余/集集群机制制的选择择、硬件件设备的的功能/性能指指标以及及软硬件件的部署署形式与与参数配配置等。具具体依据据基本本要求中中的“数据据安全和和备份恢恢复”内内容，同同时可以以参照信息息系统灾

41、灾难恢复复规范等等。3.2.3建设设经费预预算和工工程实施施计划3.2.3.11 建设设经费预预算根据信息息系统的的安全建建设整改改内容提提出详细细的经费费预算，包包括产品品名称、型型号、配配置、数数量、单单价、总总价和合合计等，同同时应包包括集成成费用、等等级测评评费用、服服务费用用和管理理费用等等。对于于跨年度度的安全全建设整整改或安安全改建建，提供供分年度度的经费费预算。3.2.3.22 工程程实施计计划根据信息息系统的的安全建建设整改改内容提提出详细细的工程程实施计计划，包包括建设设内容、工工程组织织、阶段段划分、项项目分解解、时间间计划和和进度安安排等。对对于跨年年度的安安全建设设整

42、改或或安全改改建，要要对安全全建设整整改方案案明确的的主要安安全建设设整改内内容进行行适当的的项目分分解，比比如分解解成机房房安全改改造项目目、网络络安全建建设整改改项目、系系统平台台和应用用平台安安全建设设整改项项目等，分分别制定定中期和和短期的的实施计计划，短短期内主主要解决决目前急急迫和关关键的问问题。3.2.4方案案论证和和备案将信息系系统安全全建设整整改技术术方案与与安全管管理体系系规划共共同形成成安全建建设整改改方案。组组织专家家对安全全建设整整改方案案进行评评审论证证，形成成评审意意见。第第三级（含含）以上上信息系系统安全全建设整整改方案案应报公公安机关关备案，并并组织实实施安全全建设整整改工程程。3.3 安全建建设整改改工程实实施和管管理3.3.1工程程实施和和管理安全建设设整改工工程实施施的组织织管理工工作包括括落实安安全建设设整改的的责任部部门和人人员，保保证建设设资金足足额到位位，选择择符合要要求的安安全建设设整改服服务商，采采购符合合要求的的信息安