0网络信息安全规划方案(3年规划)12020年11月目录一、概述21.1项目背景21.2编制依据2二、安全现状及需求分析32.1安全现状32.2需求分析42.2.1政策文件要求42.2.2自身安全需求5三、解决思路83.1持续改进83.2纵深防御93.3闭环流程93.4非对称9四、网络安全规划方案102.1总体建设目标102.2参考安全模型102.2.1IATF框架102.2.2自适应安全框架112.2.3新时期的等级保护体系(等保2.0)112.3总体建设内容132.4建设方案142.4.1一期建设方案(“合法、合规”、“刚需”)142.4.2二期建设方案(主动防御体系建设)182.4.3三期建设方案(安全运营体系建设)23五、安全服务简介295.1安全加固服务295.2渗透测试服务295.3风险评估服务305.4漏洞扫描服务325.5应急响应服务32六、安全建设任务汇总342概述1.1项目背景即将到来的“十四五”,将是企业数字化战略的转型建设关键阶段,在此期间,数字经济将全面深化。为践行《网络安全法》安全与信息化同步规划、同步建设、同步运行的三同步思想,通过本次安全规划,建立从顶层设计、部署实施到安全运行的一整套网络安全新模式,使网络安全向面向对抗的实战化运行模式升级。同时面对现在不容乐观的整体安全态势及各种监管要求,开展企业的网络安全建设,补足和修复企业自身的安全短板;是整个社会和国家发展的必然趋势。1.2编制依据《中华人民共和国网络安全法》《关于加快推进国有企业数字化转型工作的通知》《中央企业负责人经营业绩考核办法》GB/T25058-2019《信息安全技术网络安全等级保护实施指南》GB/T22239-2019《信息安全技术网络安全等级保护基本要求》GBT25070-2019《信息安全技术网络安全等级保护安全设计技术要求》GB/T28448-2019《信息系统安全等级保护测评要求》GB/T18336《信息技术-安全技术-信息技术安全性评估准则》GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》GB/T35281-2017《信息安全技术移动互联网应用服务器安全技术要求》GB/T35273-2017《信息安全技术个人信息安全规范》GB/T31167-2014《信息安全技术云计算服务安全指南》GB/T31168-2014《信息安全技术云计算服务安全能力要求》安全现状及需求分析2.1安全现状企业经过多年信息化工作和安全建设,建立了一套以实际业务安全需求和等级保护1.0为基础框架的点状防御体系。公司网络基础设施已基本完善。建成了以电信、移动的双通3道互联网出口,带宽分别为200M/500M。整体网络架构采用三层层次化模型网络架构,即由核心层、汇聚层和接入层组成,关键网络节点处均采用冗余双机。全公司联网的办公用计算机数百台。公司现有办公系统、项目管理系统、财务、监管系统、公文系统、视频监控管理等业务系统。整体安全建设现状如下:(1)互联网出口冗余部署有上网行为管理、负载均衡;(2)各区域边界上部署有下一代防火墙,并严格按照业务属性、重要程度和安全级别对区域进行边界划分和访问控制;(互联网出口、专网接入、服务器区)(3)办公终端及服务器上部署有网络版杀毒软件和文档安全管控系统;(4)外部用户采用VPN接入;(5)机房部分部署有运维管理平台、环境监控平台;(6)整体数据中心建设采用超融合的方式,超融合平台采用分布式架构和虚拟化特性为业务系统带来了极强的可靠性、稳定性;(7)在数据备份层面,采用备份一体机和云备份的方式;(8)在安全审计层面,采用运维审计系统和日志服务器的方式。现状分析传统的点状防御体系及被动防御思想在新的安全形势下,不足以应对新型攻击和复合型攻击,同时在应对多源低频、业务逻辑漏洞、ODAY、自动化工具等攻击方式时也显的有心无力;其次外部威胁变化过快,存在安全攻防不对等、安全技术能力不足、安全威胁动态变化、难以及时响应等情况,会导致安全事件频发。2.2需求分析2.2.1政策文件要求2.2.1.1网络安全法在2017年颁发的《中华人民共和国网络安全法》中明确规定了法律层面的网络安全。具体如下:“没有网络安全,就没有国家安全”,《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当按照要求,开展网络安全等级保护的定级4备案、等级测评、安全建设、安全检查等工作。除...
