信息安全建设规划方案Word文档格式.docx

1、为此，在XXXX总部领导的高度重视下，提出了建设XXXX总部商密网的需求，是XXXX总部下一阶段发展的重要决策。二、建设目标二.1总体目标XXXX总部商密网的总体建设目标是通过统一规划、统一标准，建立一个覆盖XXXX总部和所有下属企业的商密办公网络平台，为XXXX“六集中”与信息化推进工作提供基础支撑。推动XXXX层面的信息化建设和应用，强化信息集中，加强信息化管理，提高企业间的协作与沟通能力。二.2具体目标1）完成商密网网络平台的建设，建立一个覆盖XXXX总部和所有下属企业的商密办公网络的广域网通信网络，为XXXX级应用以及企业之间的业务应用和数据交换提供网络平台；2）完成商密网安全保障体系

2、的建设，建立一套完整的、纵深防御的信息系统安全防护体系，建立自上而下的分级安全管理体系，使系统达到国家信息系统安全等级保护标准对第三级信息系统的技术要求和管理要求，并通过主管部门的测评认证；3）加强应用系统建设，建立XXXX层面的商密业务应用系统，实现一体化的OA、协同设计、生产调度管理。三、建设原则1）以应用为目标，以需求为导向。建设商密网的目标是提高XXXX总部对下属企业的信息化管理水平，通过加强信息集中，提高XXXX总部对重大事项决策的科学性和时效性，从而提高整个XXXX总部及所有下属企业的生产经营水平。因此，建设商密网的最重要任务是建立覆盖XXXX总部及所有下属企业的业务应用系统。商密

3、网建设必须充分考虑实际的应用需求，使之成为一个能够充分满足业务应用需求的网络平台。2）统一标准，统一规划，统一建设，统一管理。商密网的建设是一个复杂的系统工程，涉及面广，应用需求复杂。商密网要覆盖XXXX总部和下属六十多家企事业单位，每个单位的网络建设情况各不相同。为了保证商密网的业务应用需求能够得到满足，保证商密网的网络和信息安全，需要制订一个统一的技术标准和管理标准体系，并按照这个标准对整个商密网的建设方案进行统一的规划、建设和管理，使接入商密网的所有局域网都能够满足相同的技术和安全要求，从整体上保证商密网的安全性和可用性。3）满足国家安全管理政策，适度安全。商密网将运行涉及到XXXX总部

4、商业秘密的大量业务应用系统和数据，确保这些应用系统和数据的安全是XXXX总部和下属企业持续、稳定发展的保证，因此必须将商密网安全保障体系的建设作为商密网建设的重要内容对待。同时，在保证安全的前提下，要确保业务应用系统的可用性。当安全机制影响到业务应用时，可以采取适当的风险处置措施，降低业务应用的风险。4）在保证信息安全前提下的持续可用性与人性化设计。商密网的建设是为了促进XXXX信息化建设，开辟一个XXXX级有效沟通的平台并有效服务于用户是商密网的重要目标。要保证这个平台的持续可用能力，商密网整体需要能够持续稳定可靠的运行，确保商密网用户能够随时使用商密应用。同时，在网络规划与安全建设上，要尽

5、量考虑更人性化的技术。即确保安全体系的完整性，又在使用上尽量减少对用户正常操作的干扰。5）充分利用现有资源，节能减排。充分利用现有的设备资源，充分考虑应用需求进行硬件资源的配置。加强服务资源的整合，引入集中存储，集中运算、虚拟化等技术，提高对基础设施的利用率。降低商密网整体能耗，达到节能减排目标。6）以点带面，分步实施。充分将商密网建设与XXXX实际发展需要相结合，分阶段完成商密网的整体建设。充分评估系统风险，以解决基本风险为安全防护需求，逐步完善商密网安全保障体系建设。在保证应用需求的基础上，各接入单位采用按需接入的方式，逐步拓展商密网规模，最终实现商密网对XXXX内所有商密内网的完全覆盖；

6、在保证基本安全的基础上，根据风险需求与应用情况，不断完善商密网安全建设，最终建立起全面、可持续发展的商密网信息安全保障体系。四、建设依据四.1基础类标准计算机信息系统安全保护等级划分准则（GB17859-1999） 信息系统安全等级保护基本要求（GB/T22239-2008）。四.2应用类标准信息系统安全保护等级定级指南（GB/T22240-2008）信息系统安全等级保护实施指南（信安字200710号）信息系统通用安全技术要求（GB/T20271-2006） 信息系统等级保护安全设计技术要求（信安秘字2009059） 信息系统安全管理要求（GB/T20269-2006） 信息系统安全工程管理要

7、求（GB/T20282-2006） 信息系统物理安全技术要求（GB/T21052-2007） 网络基础安全技术要求（GB/T20270-2006） 信息系统安全等级保护体系框架（GA/T708-2007） 信息系统安全等级保护基本模型）（GA/T709-2007） 信息系统安全等级保护基本配置（GA/T710-2007）四.3其他类标准信息安全风险评估规范（GB/T20984-2007）信息安全事件管理指南（GB/Z20985-2007）信息安全事件分类分级指南（GB/Z20986-2007）信息系统灾难恢复规范（GB/T 20988-2007）四.4信息安全框架开放系统安全框架（ISO 10

8、181-1）鉴别框架（ISO 10181-2）访问控制框架（ISO 10181-3）抗抵赖框架（ISO l0181-4）完整性框架（ISO 1018l-5）保密性框架（ISO l018l-6）安全审计框架（ISO 1018l-7）管理框架（ISO 7498-4）安全保证框架（ISO /IEC WD l5443:1999）五、建设规划商密网建设涵盖XXXX内部各单位，总体建设上需要完成XXXX商密网的整体建设，实现北京中心和上海中心的建设布局，结合管理与运维需求建立网络安全管理平台，综合考虑应用管理需求建立统一身份认证与访问控制平台并完成基于虚拟化技术的应用服务支撑平台。在集中建设的同时，通过制

9、定网络建设与管理指南规范商密接入网的建设与改造工作。五.1商密网网络建设结合XXXX商密网应用与标准要求，综合考虑成本与信息安全，完成商密网的整体规划与建设。实现XXXX总部和下属企业的商密网的连通，为XXXX总部层面的业务应用系统提供一个安全、可靠、高效、可管理、可扩展的网络通信环境。各单位商密网络需要根据统一的安全规范要求进行网络安全改造，根据应用需要进行商密网的接入。五.2商密网基础平台建设根据商密网统一管理、统一运维的需求，建设商密网基础平台，支持根据XXXX部署，在北京总部和上海总部建设商密网应用与管理中心，搭建XXXX级应用系统为商密网全体接入用户服务，建设统一的安全管理平台实现对

10、商密网的整体管理。五.3商密网应用建设根据XXXX统一管控与信息集中需求，建设XXXX级商密网应用。充分考虑应用系统的覆盖范围与功能性能需求，建设基础支撑平台，合理分配系统资源。保证应用系统稳定运行并接受商密网的统一安全管理。五.4商密网安全体系建设建设商密网安全防护体系，保证商密网上运行的业务应用系统及其数据的安全保密性，使商密网达到国家信息系统安全等级保护第三级信息系统的标准，为商密网提供一个安全、可靠、稳定的运行环境。六、商密网网络建设六.1网络通信平台设计目标网络通信平台的设计目标是利用Internet技术和标准，实现XXXX总部和下属企业的商密局域网的连通，为XXXX总部层面的业务应

11、用系统提供一个安全、可靠、高效、可管理、可扩展的网络通信环境。六.2方案简述商密网网络建设以互联网为基础，充分利用互联网现有的路由环境，实现各个接入网络之间的互联互通。各个接入网络相互对等，通过VPN方案建立起来的虚拟网络进行接入网络之间的信息通讯。采用国家密码管理部门认可的SM1商密加密算法对网络通讯数据进行加密。确保通讯数据在公网传输过程中的有效保密。六.3网络通信平台结构六.3.1网络层次结构商密网采用平级结构，如图1所示。图1 网络层次结构六.3.2网络冗余设计考虑XXXX的应用中心、数据中心和管理中心对网络构架与服务提供的核心地位，出现故障对整个网络的影响比较大。因此，需要在中心引入

12、多条不同提供商的链路，充分考虑南北网络特点以及各企业接入网络供应商情况。确保各企业能够通过高速链路连入到整个商密网。多条链路通过路由器或加密设备本身实现路由负载均衡，确保出现个别链路故障的情况下，中心仍旧能够对下属船厂提供网络服务。六.4网络线路及带宽选择商密网网络线路选择充分考虑应用的需求以及建设成本，以优质互联网专线作为主要的网络通讯线路。在XXXX中心，建立由多条供应商链路组合而成的100M出口带宽。各企业根据对商密网应用的需求，建立10M100M互联网出口带宽。六.5商密接入网改造商密接入网是商密网的主要组成部分，各企业需要根据商密网接入要求以及自身应用需求，对自身的商密接入网进行改造

13、与建设。对于没有商密内网的企业，需要根据商密使用需求，进行商密接入网的建设。对于已有商密内网的企业，需要根据商密接入网建设规范进行改造，使之达到XXXX对商密接入网的统一安全防护与管理需求。确保在接入XXXX商密网后，不会对XXXX商密网造成影响，并能够纳入到XXXX商密网的整体管理中。各商密接入网需要达到国家信息系统安全等级保护标准对第三级信息系统的要求，通过主管部门的安全检测，满足商密网的安全管理要求后，才允许接入商密网。六.5.1网络建设目前，部分企业没有建设非涉密办公网络。为保证商密网到这些单位的延伸，需要根据企业接入的需求进行商密接入网的建设。需要建设商密接入网的企业主要包括如下类型

14、：企业内以建立了内部网络，但为涉密信息系统。没有其他的网络布线。企业建立了与互联网连接的网络，用于互联网信息的使用与检索。未建立办公内网。企业目前没有建立成规模的网络。对于以涉密信息系统为主体的企业，需要充分评估涉密信息系统的需求，在确保涉密信息系统规模符合工作需要的同时，调整涉密信息系统范围。改造已有网络布线，在保证隔离要求的情况下形成内网网络基础。对于建立了外网的企业，需要根据需求进行网络的调整，缩小互联网范围，建立办公内网。未建立规模网络的企业，需要根据办公需求进行网络设计，完成综合布线，建立办公内网。六.5.2网络结构改造已有商密接入网的企业，在商密接入网接入商密网前，要进行必要的网络结构调整。根据商密接入网建设规范要求，按照职能对网络进行安全域的划分，通过逻辑隔离设备和边界安全控制设备进行隔离和数据控制。根据应用部署的需求，制定细致的安全访问控制策略。六.5.3北京总部商密接