集团网络和信息安全总体规划方案2024.docx

PAGE2

xxxx有限公司

网络信息安全规划

2024年1月

目录

TOC\o1-3\h\z\u一、 概述 2

1.1项目背景 2

1.2编制依据 2

二、 安全现状及需求分析 3

2.1安全现状描述 3

2.2安全需求分析 4

2.2.1等级保护查漏补缺 4

2.2.2夯实密码应用基础设施 4

2.2.3加强数据安全防护和治理 5

2.2.4完善认证、权限和信任体系 5

2.2.5构建统一安全运营监管中心 5

2.2.6主动/动态安全防御措施落地 6

2.2.7现有安全风险控制和修复 6

2.2.8安全管理体系完善 7

三、 总体建设目标 7

四、 总体规划 8

4.1规划原则 8

4.2规划思路 9

4.3总体架构 9

五、 整体规划设计 10

5.1网络安全技术体系 10

5.1.1等级保护建设 10

5.1.2商用密码建设 12

5.1.3数据安全建设 14

5.1.4零信任体系建设 16

5.1.5统一安全运营监管中心建设 22

5.1.6主动防御/动态防御体系建设 23

5.1.7协同联动和联防联控 24

5.1.8网络攻击监测与阻断自动化 24

5.1.9现有安全风险隐患控制 25

5.2网络安全管理体系 27

5.3网络安全运营体系 31

六、 建设任务清单（1期） 34

概述

1.1项目背景

随着信息技术的高速发展，以信息化推进xxxx有限公司（以下简称xxxx）能力现代化，全面开启xxxx发展的新征程。当前，国内建筑行业从业务模式、组织结构到人员管理等各项工作的开展，都依赖于信息系统的正常运行。信息化建设在建筑行业内起着非常重要的作用，离开了信息系统，正常的业务根本无法开展。在这种情况下，建筑行业的信息网络安全建设非常重要。建设具有系统化、扁平化、立体化、智能化、人性化等特征的xxxx网络安全体系，聚焦安全风险防控，坚持数据安全防护与业务应用建设同步规划实施，以数据安全为中心，以安全基础设施为支撑，实现对xxxx信息系统的多层次、全维度的安全防控，建立智能化安全保障管理机制，完善安全管理制度和应急反应能力，保障网络以及应用系统安全、稳定、高效、可靠地运行。

xxxx安全体系规划设计方案“以安全保发展、以发展促安全”新时代网络安全思想为指导，认真贯彻上级部门的战略部署，坚持智能化建设应用与安全防护同步规划实施，参照现行法律法规打造一套具有纵深防御、主动防御、动态防御能力的综合安全防护体系。

1.2编制依据

《中华人民共和国网络安全法》

《中华人民共和国密码法》

《中华人民共和国数据安全法》

《中华人民共和国个人信息保护法》

《关于加快推进国有企业数字化转型工作的通知》

《xxx网络安全专项规划报告》

GB/T22239-2019《信息安全技术网络安全等级保护基本要求》

GB/T39786-2021《信息安全技术信息系统密码应用基本要求》

GB/T25058-2019《信息安全技术网络安全等级保护实施指南》

GBT25070-2019《信息安全技术网络安全等级保护安全设计技术要求》

GB/T28448-2019《信息系统安全等级保护测评要求》

GB/T18336《信息技术-安全技术-信息技术安全性评估准则》

GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》

GB/T35281-2017《信息安全技术移动互联网应用服务器安全技术要求》

GB/T20984-2007《信息安全技术信息安全风险评估规范》

GB/T20984—2022《信息安全技术信息安全风险评估方法》

GB/T35273-2017《信息安全技术个人信息安全规范》

GB/T31167-2014《信息安全技术云计算服务安全指南》

GB/T31168-2014《信息安全技术云计算服务安全能力要求》

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

安全现状及需求分析

2.1安全现状描述

xxxx经过多年信息化工作和安全建设，建立了一套以实际业务安全需求和等级保护为基础框架的安全防御体系。公司网络基础设施基本完善，具备核心交换机（支持端口镜像）4台、汇聚交换机4台、楼层交换机140多台、无线AP300多个。建成了以电信和联通的双通道互联网出口，带宽分别为1G/6G；依据集团统一互联网收口规划，在2024年重点推进下属各分支机构互联网收口；目前已完成第一办公区、第二办公区互联网收口改造；整体网络架构采用三层层次化模型网络架构，即由核心层、汇聚层和