数据中心信息系统安全建设项目 技术方案 安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。 信息安全服务所强调的核心思想是应该从客户（业务）而不是 IT 服务提供方（技术）的角度理解 IT 服务需求。也就是说，在提供 IT 服务的时候，我们首先应该考虑业务需求，根据业务需求来确定 IT 需求包括安全需求。 在安全域划分时会面临有些业务 .............................................................21 1. 项目概述 1.1. 系统描述 XX 数据中心平台共有三个信息系统：能源应用，环保应用，市节能减排应 用。 企业节点通过企业信息前置机抓取企业节点数据，并把这些数据上传到 XX 数据中心的数据库中，数据库对这些企业数据进行汇总与分析，同时企业节点 也可以通过 22240-2008《信息安全技术信息系统安全等级保护定级指南》 GB/T 20270-2006《信息安全技术网络基础安全技术要求》 GB/T 25058-2010《信息安全技术信息系统安全等级保护实施指南》 GB/T 20271-2006《信息安全技术信息系统安全通用技术要求》 GB/T 25070-2010《信息安全技术信息系统等级保护安全设计技术要求》 GB 17859-1999《计算机信息系统安全保护等级划分准则》

了不同安全等级信息系统的最低保护要求 ，包括基本技术要求和基本管理要求。 n 《计算机信息系统安全保护等级划分准则》（ GB17859-1999 ） 是根据国务院 147 号 令要求制定的强制性标准 ，是等级保护的基础性标准 ，是其他标准制定的依据。 n 该标准以访问控制为核心构建基本保护环境和相关安全服务。 1. 设计技术要求核心思 想 01 要 。 信息系统安全影响国家安 控制规则 ↓ t 访问控制 度量 验证 可信认证 1.1 防护思想 • 可信认证为基础 、 访问控制为核心 可信认证：保障信息系统主体、客体可信 访问控制：保障主体对客体合理操作权限 主体 客体 通过构建集中管控、最小权限管理与三权分立的管理平台，为管 理员创建了一个工作平台，使其可以借助于本平台对系统进行更 好的 《设计技术要求》强调基于主动防御的控制保护机制 ， 以避免出现如下现象 ：只重视对已知威胁的检测 和漏洞的发现 ，不具备对新型攻击的防护能力 ，从而出现攻击防护滞后的现象。 u 信息系统的安全设计应基于业务流程自身特点 ，建立 “可信、 可控、 可管”的安全防护体系 ，使得系统 能够按照预期运行 ，免受信息安全攻击和破坏。 n 安全计算环境 ：对定级系统的信息进行存储、

内涵概念的变化，从网络、系统和信息的安全改变为网络空间安全。 保障原则的变化，从谁主管谁负责，改变为强调共建共享共治 保证策略的变化，从合规驱动，以防御为主，改变为强调业务为主、攻防兼备，变被动为主动 保障重心的变化，从保障网络和信息系统为主，改变为强调业务、应用和数据的保障 保障模式的变化，从单纯依靠自己力量，改变为强调专业化，依靠平台和更强大的服务团队 《网络安全法》 • 标志着我国网络安全立法取得了重大突破，是中央网络安全和信息化领导小组成立后我国“网络强 1 日实 施。 信息系统安全等级保护简介 什么是等级保护 • 信息安全等级保护是指：对国家 秘密信息、法人和其他组织及公 民的专有信息、公开信息分类分 级进行管理和保护； • 根据信息系统应用业务重要程 度及其实际安全需求，实行分 级、分类、分阶段实施保护，保 障信息安全和系统安全正常运 行，维护国家利益、公共利益和 社会稳定。 • 等级保护的核心是对信息系统 特别是对业务应用系统安全分等 监管力度。突出重点，保障重要 信息资源和重要信息系统的安 全。 等级保护的主要工作流程 自主定级和审批 评审 备案 系统建设 等级测评 监督检查 -信息系统运营使用单位按照等级保护管理办法和《信息系统安全等级保护定级指南》，确定 信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审核批准。跨省或者全国统 一联网运行的信息系统可以由其主管部门统一确定安全保护等级。 -在信息系统确定安全保护等级过

公民专有信息以及公开信息和存储、传输、 处理这些信息的信息系统分等级实行安全保 护，对信息系统中使用的安全产品实行按等 级管理，对信息系统中发生的信息安全事件 分等级进行响应、处置。等级保护，即分等 级保护，分等级监管。 系统重要程度有多高，安全保护就应当有多 强，既不能保护不足，也不能过度保护。 三个 分等级 信息系统 安全产品 安全事件 4 等级保护发展历程 等保 1 系统安全保护条例》，规 定计算机信息系统实行安 全等级保护。 2003 年， 中央办公厅、国务院办公 厅颁发《国家信息化领导 小组关于加强信息安全保 障工作的意见》（中办发 [2003]27 号）明确指出“实 行信息安全等级保护”。 2004-2006 工作开展准备 2004-2006 年，公安 部联合四部委开展涉 及 65117 家单位，共 115319 个信息系统的 等级保护基础调查和 等级保护试点工作， 月，四部门联 合出台《信息安全等级保 护管理办法》。 2007 年 7 月，四部门联合颁布 《关于开展全国重要信息 系统安全等级保护定级工 作的通知》。 2007 年 7 月 20 日，召开全国重要 信息系统安全等级保护定 级工作部署专题电视电话 会议，标志着信息安全等 级保护制度正式开始实施。 2010-2016 工作规模推进 2010 年 4 月，公安部出 台《关于推动信息安全 等级保护测评体系建设

应基于转型需求优化相 关业务流程 a) 应使用信息技术手段跟 踪各项流程并获取流程 关键数据； b) 应开展关键流程效能和 成效的评估分析 a) 应建立流程数据库，使用 信息系统开展流程测试、 发布和固化，并实现流程 模板的版本管理和迭代 优 化 ； b) 应评估部门间的流程协 同效果，开展流程改进， 以消除流程间的冲突与 矛盾 a) 应建立常见的流程设计 源响应数字化需求； b) 应在研发绩效管理中鼓 励数字化价值创造 a) 应建立数字化研发治理 与管理体系； b) 应建立研发管理绩效指 标体系，并将其纳入组织 绩效考核； c) 应使用信息系统实现研 发生存周期管理 a) 应建立支撑研发生存周期 管理的研发平台，确保业 务、组织、技术和流程等的 融合创新模拟与验证； b) 应建立研发平台与业务 平台之间的数据通道，及 理的基础设施资源支撑 体 系 ； b) 应构建基础设施资源的 可伸缩、可拓展、可监控 的动态管理机制 应用 支撑资源 应具备局部数字化转型信息 系统建设所需的基本应用支 撑资源 应对数字化转型信息系统建 设所需的应用支撑资源进行 系统性规划 a) 应满足功能性、易用性、 可靠性、可移植性、可维 护性等要求； b) 应支持为组织应用和系 统提供开发、运行和管理 服务及基础能力和集成

要的作用，因此各单位对信息化、网络化建设的依赖也越来越强，但同时由于信息 化、网络化所普遍面临的安全威胁，又给个单位的信息化、网络化带来严重的制约， 网上的黑客攻击、蠕虫病毒传播、非法渗透等，严重威胁着各单位信息系统的正常 运行；内网的非法破坏、非法授权访问、员工故意泄密等事件，也使得各单位的正 常运营秩序受到威胁，如何做到既高效又安全，是各单位信息化、网络化关注的重 点。 同时，随着中国在高新技术的 息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信 息安全等级保护制度。 信息安全等级保护制度是国家信息安全保障工作的基础，也是一项事关国家安 全、社会稳定的政治任务。通过开展等级保护工作，发现企业网络和信息系统与国 家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足，通过安全整改， 提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。 3 智安网络等级保护安全防御体系方案 法规和中央文件明确规定，要实行信息安全等级保护，重点保护基础信息网络和关 系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级 保护制度。 同时，随着时代的发展和技术演进，安全的内涵由早期面向数据的信息安全， 过度到面向信息系统的信息保障(信息系统安全)，并进一步演进为面向网络空间的 网络安全。网络安全(cybersecurity)以其更丰富的内涵逐步取待信息安全成为安全领

原子能力（技术能力、安全能力、产品能力） • 部署实施 • 安全运行 目录 1 等保合规 2 内生安全框架 3 会战 框架 4 架构营销 等保合规与产品框架 5 等保政策法律地位的提升 计算机信息系统安全保护条例 （国务院令 第 147 号） 商用密码管理条例 （国务院令 第 273 号） 信息安全等级保护管理办法 （公通字 [2007]43 号 ) 电子政务等级保护相关制度 （发改委） . 范 性 文 部 件 门 规 章 国 务 院 各 部 委 宪法、刑法（部分条款） 国家安全法（部分条款） 保守国家秘密法 电子签名法 ... 等级保护 1.0 等级保护 2.0 计算机信息系统安全保护条例 （国务院令 第 147 号） 商用密码管理条例 （国务院令 第 273 号） 网络安全等级保护条例 关键信息基础设施安全保护条例 电子政务等级保护相关制度（发改委） 关键信息基础设施相关制度 2007 2017 2019 中办发 [2003]27 号 公通字 [2007]43 号 公通字 [2004]66 号 网络安全法 等保 2.0 核心标准 强制性标准：本标 准规定了我国计算 机信息系统安全保 护能力的五个等级 第二十一条“国家实 行网络安全等级保 护制度”，从法规上 升到法律层面 《基本要求》 《安全设计技术要 求》 《测评要求》 正式发布 第九条“计算机信息

下简称《公告》），并更新《网络关键设备和网 络安全专用产品目录》（以下简称《目录》）。《公告》明确要求，统一网络安全专用产品认证检 测制度，自 2023 年 7 月 1 日起，停止颁发《计算机信息系统安全专用产品销售许可证》，停止 执行政府采购领域信息安全产品强制认证要求。列入《目录》的数据备份与恢复产品、防火墙、 入侵检测系统（IDS）等 34 类网络安全专用产品，需要按照《公告》要求进行安全认证或安全 了更新；删除了 95 款计 算机信息系统安全专用产品销售许可证超过有效期的产品。未来，CCIA 将定期对《指南》进行 更新和完善，以便用户单位能够及时获取最新的网络安全专用产品信息。 本册为《指南》下册，共收录了 56 家企业提供的 191 款产品，涉及统一威胁管理产品 （UTM）、病毒防治产品、安全操作系统、公钥基础设施、网络安全态势感知产品、信息系统安 全管理平台、网络型流量控制产品 .............................................................................................164 信息系统安全管理平台 北京安博通科技股份有限公司.............................................................................

及有关单 位将追究其法律责任，感谢各单位的配合与支持。 编写团队 项目经理： 李俊山 浪潮通信信息系统有限公司 工作组长: 晁怀颇 阿里云计算有限公司 贡献专家: 何智光 重庆邮电大学 郭振君 浪潮通信信息系统有限公司 邵怡文 浪潮通信信息系统有限公司 杨志岗 浪潮通信信息系统有限公司 张泉 湖南大学 邵双全 华中科技大学 杨冰 中国信息通信研究院 付正全 北京世纪互联宽带数据中心有 上海热泰能源技术 万鹏 浪潮通信信息系统有限公司 高峰 浪潮通信信息系统有限公司 马晓腾 浪潮通信信息系统有限公司 郭玉峰 浪潮通信信息系统有限公司 吴佩文 江苏鸿鑫智能制造有限公司 李涵之 北京世纪互联宽带数据中心有 限公司 凌滢 山东能源集团建工集团有限公 司 黄友涛 浪潮通信信息系统有限公司 李井鹏 浪潮通信信息系统有限公司 杨兴芳 浪潮通信信息系统有限公司 前 言 在国家战略规划《“十四五”规划和

设任务书》(公科信 〔2017〕51 号) 要求，XX PKI/PMI 系统将于 2019 年进行国产化升级改造，在现有 PKI/PMI 基础设施上进行算法升级，尽量减少对现有终端用户、业务信息系统影响的前提下，平滑实 现国密算法的切换，保证新旧算法体系的无缝兼容，升级之后系统将全面支持国产密码算法， 通过逐步替换的方式由 RSA 算法过度为 SM2 算法。 2.1.2 用户安全准入 盘注册功能，注册后的 U 盘将作为 XX 内部 U 盘，进行管理。对于注册 U 盘和非注 册 U 盘，能够定义不同的安全策略， 实现精细化管理。 2.1.3.3 终端安全基线 9 根据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008) 、《XX 信 息网计算机操作系统安全配置基本要求》GA/T 1252-2005，用户接入网的终端安全基线主 要 包括： 身份鉴别、安全审计、访问控制、资源控制、入侵防护 对于未通过安全检查的终端，可以采用安全隔离手段将终端进行隔离， 被隔离的终端只 能访问指定的安全控制域，避免因为不安全的终端接入网络而造成的未知风险。 2.1.3.5 终端安全加固 根据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008) 、《XX 信 息网计算机操作系统安全配置基本要求》 GA/T 1252-2005 用户接入网终端应安装经国家 有 关部门检测、认证的正