安徽 XX 集团
网络信息安全规划方案(3
年规划)
2023年
Tencent腾讯| 腾讯云
目录
一、安全发展要求及行业标准参考...
1.1政策文件要求..1.1.1网络安全法... .51.1.2国资委发文...61.2自身安全需求...1.2.1现有建设思路无法达到安全效果的预期.1.2.2高阶人才稀缺,安全事件无法有效处置. 71.2.4外部威胁及新兴技术推动信息安全需求..1.3安全框架及体系参考. 6'1.3.1IATF框架..1.3.2自适应安全框架.. .101.3.3新时期的等级保护体系(等保2.0)2安全现状及综合分析.. ...112.1安全现状.....112.2综合分析. 152.2.1基础安全技术框架.. .152.2.2网络安全建设建议...2.2.3其他安全产品建设规划.2.2.4安全管理制度体系... ..183网络安全规划方案... 193.1总体建设目标... ...193.2总体设计思路.. ...193.2.1持续改进.. .193.2.2纵深防御. .203.2.3闭环流程. 203.2.4非对称... .20
1.2.3安全系统存在孤岛效应,缺乏未知威胁和潜在威胁检测能力....8
..8
3.3网络安全规划...224总体建设内容 .244.2一期建设方案(“合法、合规”、“刚需”) .264.2.1设计思路.. .264.2.2建设内容.. ...264.2.3安全建设.. .264.3二期建设方案(主动防御体系建设) 294.3.1设计思路... .294.3.2建设内容.. .294.3.3安全建设... ...304.4三期建设方案(安全运营体系建设) ...334.4.1设计思路... .334.4.2建设内容... 334.4.3安全建设.. 345引入安全服务.. 385.1安全咨询服务.. 395.2安全加固服务.. .395.3渗透测试服务... .395.4风险评估服务.. .415.5漏洞扫描服务.. .425.6应急响应服务.. .435.7知识转移...436安全建设任务汇总 .44
一、安全发展要求及行业标准参考
1.1政策文件要求
1.1.1网络安全法
在2017年颁发的《中华人民共和国网络安全法》中明确规定了法律层面的网络安全.具体如下:
“没有网络安全,就没有国家安全”,《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”.各网络运营者应当按照要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作.除此之外,《网络安全法》中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定:
网络日志留存:第二十一条还规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任:采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施:采取监测、记录网络运行状态、网络安全事件的技术措施,留存不少于六个月的相关网络日志:采取数据分类、重要数据备份和加密等措施.未履行上述网络安全保护义务的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款.
漏洞处置:第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险:在发生危害网络安全的事件时,立即启动应急预案,来取相应的补救措施,并按照规定向有关主管部门报告.没有网络安全事件应急预案的,没有及时处置高危漏洞、网络攻击的:在发生网络安全事件时处置不恰当的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款.
容灾备份:第三十四条第三项规定,关键信息基础设施单位对重要系统和数据库进行容灾备份.没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正.
