一、安全建設整改概述

1、工作目標

網絡安全等級保護安全建設整改的工作目標可概括為：利用三年時間，開展三項重點工作，實現五方面目標。

① 三年時間。由于一些重要行業(yè)信息系統(tǒng)較多，受資金、人員等條件限制，考慮實際情況，全國已定級信息系統(tǒng)安全建設整改工作總體上用三年時間完成。各行業(yè)主管（監(jiān)管）部門應按照時間要求，根據本行業(yè)信息系統(tǒng)數量和實際情況，合理部署總體工作進度。

② 三項重點工作。通過組織開展網絡安全等級保護安全管理制度建設、技術措施建設和等級測評等三項重點工作，落實等級保護制度的各項要求。

③ 五方面目標。通過開展安全建設整改工作，達到五方面的目標：一是信息系統(tǒng)安全管理水平明顯提高，二是信息系統(tǒng)安全防范能力明顯增強，三是信息系統(tǒng)安全隱患和安全事故明顯減少，四是有效保障信息化健康發(fā)展，五是有效維護國家安全、社會秩序和公共利益。

2、工作內容

各單位、各部門在主旨開展信息系統(tǒng)定級時，是按照有關標準要求，對每個業(yè)務系統(tǒng)進行定級，但在開展信息系統(tǒng)安全建設整改時，可以采取“分區(qū)、分域”的方法，按照“整改保護”的原則進行整改方案設計，對信息系統(tǒng)進行加固改造，缺什么補什么。對于新建系統(tǒng)，在規(guī)劃設計時應確定信息系統(tǒng)安全保護等級，按照信息系統(tǒng)等級，同步規(guī)劃、同步設計、同步實施安全保護技術措施。

（1）網絡安全等級保護安全管理制度建設

① 開展安全管理制度建設的依據

按照《管理辦法》、《信息系統(tǒng)安全等級保護基本要求》，參照《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》等標準規(guī)范要求，建立健全并落實符合相應等級要求的安全管理制度。

② 開展安全管理制度建設的內容

一是落實網絡安全責任制。成立網絡安全工作領導機構，明確網絡安全工作的主管領導。成立專門的網絡安全管理部門或落實網絡安全責任部門，確定安全崗位，落實專職人員兼職人員。明確落實領導機構、責任部門和有關人員的網絡安全責任。

二是落實人員安全管理制度。制定人員錄用、離崗、考核、教育培訓等管理制度，落實管理的具體措施。對安全崗位人員要進行安全審查，定期進行培訓、考核和安全保密教育，提高安全崗位人員的專業(yè)水平，逐步實現安全崗位人員持證上崗。

三是落實系統(tǒng)建設管理制度。建立信息系統(tǒng)定級備案、方案設計、產品采購使用、密碼使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務等管理制度，明確工作內容、工作方法、工作流程和工作要求。

四是落實系統(tǒng)運維管理制度。建立機房環(huán)境安全、存儲介質安全、設備設施安全、安全監(jiān)控、網絡安全、系統(tǒng)安全、惡意代碼防范、密碼保護、備份與恢復、事件處置等管理制度，制定應急預案并定期開展演練，采取相應的管理技術措施和手段，確保系統(tǒng)運維管理制度的有效落實。

③ 開展安全管理制度建設的要求

在具體實施過程中，可逐項建立管理制度，也可以進行整合，形成完善的安全管理體系。要根據具體情況，結合系統(tǒng)管理實際，不斷健全完善管理制度。同時，將管理制度與管理技術措施有機結合，確保安全管理制度得到有效落實。

建立并落實監(jiān)督檢查機制。備案單位定期對各項制度的落實情況進行自查，行業(yè)主管部門組織開展督導檢查，公安機關會同主管部門開展監(jiān)督檢查。

（2）開展網絡安全等級保護安全技術措施建設

① 開展安全技術措施建設的依據

按照《管理辦法》、《信息系統(tǒng)安全等級保護基本要求》，參照《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)通用安全技術要求》、《信息系統(tǒng)安全工程管理要求》、《信息系統(tǒng)等級保護安全設計技術要求》等標準規(guī)范要求，建設信息系統(tǒng)安全保護技術措施。

② 開展安全技術措施建設的內容

結合行業(yè)特點和安全需求，制定符合相應等級要求的信息系統(tǒng)安全技術建設整改方案，開展網絡安全等級保護技術措施建設，落實相應的物理安全、網絡安全、主機安全、應用安全和數據安全等安全保護技術措施。在信息系統(tǒng)安全技術建設整改中，可以采取“一個中心、三維防護”（即一個安全管理中心和計算環(huán)境安全、區(qū)域邊界安全和通信網絡安全）的防護策略，實現相應級別信息系統(tǒng)的安全保護技術要求，建立并完善信息系統(tǒng)綜合防護體系，提高信息系統(tǒng)的安全防護能力和水平。

③ 開展安全技術措施建設的要求

備案單位要開展信息系統(tǒng)安全保護現狀分析，確定信息系統(tǒng)安全技術建設整改需求，制定信息系統(tǒng)安全技術建設整改方案，組織實施信息系統(tǒng)安全建設整改工程，開展安全自查和等級測評，及時發(fā)現信息系統(tǒng)中存在的安全隱患和威脅，進一步開展安全建設整改工作。

3、工作流程

安全建設整改工作可以分為五步進行。

第一步：落實負責安全建設整改工作的責任部門，由責任部門牽頭制定本單位和行業(yè)信息系統(tǒng)安全建設整改工作規(guī)劃，對安全建設整改工作進行總體部署。

第二步：開展信息系統(tǒng)安全保護現狀分析，從管理和技術兩方面確定信息系統(tǒng)安全建設整改需求?？梢砸罁痘疽蟆返葮藴?，采取對照檢查、風險評估、等級測評等方法，分析判斷目前所采取的安全保護措施與等級保護標準要求之間的差距，分析系統(tǒng)已發(fā)生的事件或事故，分析安全保護方面存在的問題，形成安全建設整改的需求并論證。

第三步：確定安全保護策略，制定信息系統(tǒng)安全建設整改方案。在安全需求分析的基礎上，進行信息系統(tǒng)安全建設整改方案設計，包括總體設計和詳細設計，制定工程預算和工程實施計劃等，為后續(xù)安全建設整改工程實施提供依據。安全建設整改方案須經專家評審論證，第三級（含）以上信息系統(tǒng)安全建設整改方案應報公安機關備案，公安機關監(jiān)督檢查備案單位安全建設整改方案的實施。

第四步：開展信息系統(tǒng)安全建設整改工作，建立并落實安全管理制度，落實安全責任制，建設安全設施，落實安全措施；在實施安全建設整改過程中，需要加強投資風險控制、實施流程管理、進度規(guī)劃控制、工程質量控制和信息保密管理。

第五步：開展安全自查和等級測評，及時發(fā)現信息系統(tǒng)中存在安全隱患和威脅。制定安全檢查制度，明確檢查的內容、方式、要求等，檢查各項制度、措施的落實情況，并不斷完善。定期對信息系統(tǒng)安全狀況進行自查，第三級信息系統(tǒng)每年自查一次，第四級信息系統(tǒng)每半年自查一次。經自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，應當進一步開展整改工作。

4、工作要求

目前，存在一些單位和部門尚未開展信息系統(tǒng)定級備案工作，存在漏定級、漏備案和定級不準等情況，所以，各行業(yè)主管（監(jiān)管）部門應在公安部指導下出臺行業(yè)信息系統(tǒng)定級制度意見和要求。先解決備案工作中存在的突出問題，在此基礎上開展安全整改工作。整改范圍如下：一是各單位、各部門要將已備案的第二級（含）以上信息系統(tǒng)納入安全建設整改的范圍。二是尚未開展定級備案的信息系統(tǒng)，要先定級備案，再開展安全建設整改。三是新建系統(tǒng)要同步開展安全建設工作。在建設整改中，要落實如下工作要求。

（1）統(tǒng)一組織，加強領導

要按照“誰主管、誰負責”的原則，切實加強對網絡安全等級保護安全建設整改工作的組織領導，完善工作機制。要結合各自實際，統(tǒng)一規(guī)劃和部署安全建設整改工作，制定安全建設整改工作實施方案。要落實責任部門、責任人員和安全建設整改經費。要利用多種形式，組織開展宣傳、培訓工作。

（2）循序漸進，分步實施

信息系統(tǒng)主管部門可以結合本行業(yè)、本部門信息系統(tǒng)數量、等級、規(guī)模等實際情況，按照自上而下或先重點后一般的順序開展。重點行業(yè)、部門可以根據需要和實際情況，選擇有代表性的第二、三、四級信息系統(tǒng)先進行安全建設整改和等級測評工作試點、示范，在總結經驗的基礎上全面推開。

（3）結合實際，制定規(guī)范

重點行業(yè)信息系統(tǒng)主管部門可以按照《信息系統(tǒng)安全等級保護基本要求》等國家標準，結合行業(yè)特點，確定《信息系統(tǒng)安全等級保護基本要求》的具體指標；在不低于等級保護基本要求的情況下，結合系統(tǒng)安全保護的特殊需求，在有關部門指導下制定行業(yè)標準規(guī)范或細則，指導本行業(yè)信息系統(tǒng)安全建設整改工作。

（4）認真總結，按時報送

要對定級備案、等級測評、安全建設整改和自查等工作開展情況進行年度總結，于每年年底前報同級公安機關網安部門，各?。ㄗ灾螀^(qū)、直轄市）公安機關網安部門報公安部網絡安全保衛(wèi)局。信息系統(tǒng)備案單位每半年要填寫《網絡安全等級保護安全建設整改工作情況統(tǒng)計表》并報受理備案的公安機關。

5、整改效果

依據網絡安全等級保護有關政策和標準，通過組織開展網絡安全等級保護安全管理制度建設、技術措施建設和等級測評，落實等級保護制度的各項要求，使信息系統(tǒng)安全管理水平明顯提高，安全防范能力明顯增強，安全隱患和安全事故明顯減少，有效保障信息化健康發(fā)展，維護國家安全、社會秩序和公共利益。其整改效果，按照等級要求如下。

第一級信息系統(tǒng)：經過安全建設整改，信息系統(tǒng)具有抵御一般性攻擊的能力，防范常見計算機病毒和惡意代碼危害的能力；系統(tǒng)遭到損害后，具有恢復系統(tǒng)主要功能的能力。

第二級信息系統(tǒng)：經過安全建設整改，信息系統(tǒng)具有抵御小規(guī)模、較弱強度惡意攻擊的能力，抵抗一般的自然災害的能力，防范一般性計算機病毒和惡意代碼危害的能力；具有檢測常見的攻擊行為，并對安全事件進行記錄的能力；系統(tǒng)遭到損害后，具有恢復系統(tǒng)正常運行狀態(tài)的能力。

第三級信息系統(tǒng)：經過安全建設整改，信息系統(tǒng)在統(tǒng)一的安全保護策略下具有抵御大規(guī)模、較強惡意攻擊的能力，抵抗較為嚴重的自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現、報警、記錄入侵行為的能力；具有對安全事件進行響應處置，并能夠追蹤安全責任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復正常運行狀態(tài)的能力；對于服務保障性要求高的系統(tǒng)，應能快速恢復正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進行集中控管的能力。

第四級信息系統(tǒng)：經過安全建設整改，信息系統(tǒng)在統(tǒng)一的安全保護策略下具有抵御敵對勢力有組織的大規(guī)模攻擊的能力，抵抗嚴重的自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現、報警、記錄入侵行為的能力；具有對安全事件進行快速響應處置，并能夠追蹤安全責任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復正常運行狀態(tài)的能力；對于服務保障性要求高的系統(tǒng)，應能立即恢復正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進行集中控管的能力。

二、如何整改安全管理制度

按照國家有關規(guī)定，依據《基本要求》，參照《信息系統(tǒng)安全管理要求》等標準規(guī)范要求，開展信息系統(tǒng)等級保護安全管理制度建設工作。

1、落實網絡安全責任制

明確領導機構和責任部門，設立或明確網絡安全領導機構，明確主管領導，落實責任部門。建立崗位和人員管理制度，根據職責分工，分別設置安全管理機構和崗位，明確每個崗位的職責與任務，落實安全管理責任制。建立安全教育和培訓制度，對信息系統(tǒng)運維人員、管理人員、使用人員等定期進行培訓和考核，提高相關人員的安全意識和操作水平。具體依據《基本要求》中的“安全管理機構”內容，同時可以參照《信息系統(tǒng)安全管理要求》等。

落實安全責任制的具體措施還應參照執(zhí)行相關管理規(guī)定。

2、開展安全管理現狀分析

在開展信息系統(tǒng)安全管理建設之前，通過開展信息系統(tǒng)安全管理現狀分析，查找信息系統(tǒng)安全管理建設整改需要解決的問題，明確信息系統(tǒng)安全管理建設整改的需求。

可以采取對照檢查、風險評估、等級測評等方法，分析判斷目前所采取的安全管理措施與等級保護標準之間的差距，分析系統(tǒng)已發(fā)生的事故或事件，分析安全管理方面存在的問題，形成安全管理建設整改的需求并論證。

3、制定安全管理制度

根據安全管理需求，確定安全管理目標和安全策略，針對信息系統(tǒng)的各類管理活動，制定人員安全管理制度、系統(tǒng)建設管理制度、系統(tǒng)運維管理制度、定期檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程等，形成安全管理體系。

在制定安全管理制度是，要按照《管理辦法》、《信息系統(tǒng)安全等級保護基本要求》，參照《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》等標準規(guī)范要求，建立健全并落實符合相應等級要求的安全管理制度。主要內容要求如下：制定網絡安全責任制度，明確網絡安全工作的主管領導、責任部門、人員及有關崗位的網絡安全責任；制定人員安全管理制度，明確人員錄用、離崗、考核、教育培訓等管理內容；制定系統(tǒng)建設管理制度，明確系統(tǒng)定級備案、方案設計、產品采購使用、密碼使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務等管理內容；制定系統(tǒng)運維管理制度，明確機房環(huán)境安全、存儲介質安全、設備設施安全、安全監(jiān)控、網絡安全、系統(tǒng)安全、惡意代碼防范、密碼保護、備份與恢復、事件處置、應急預案等管理內容。制定安全檢查制度，明確檢查的內容、方式、要求等，檢查各項制度、措施的落實情況，并不斷完善。

安全管理體系規(guī)劃的核心思想是調整原有管理模式和管理策略，即從全局高度考慮整個信息系統(tǒng)制定安全管理目標和統(tǒng)一的安全管理策略，又要從每個定級系統(tǒng)的實際等級、實際需求出發(fā)，選擇和調整安全管理措施，最后形成統(tǒng)一的系統(tǒng)整體安全管理體系。

4、落實安全管理措施

（1）人員安全管理

人員安全管理主要包括人員錄用、離崗、考核、教育培訓等內容。規(guī)范人員錄用、離崗、過程，關鍵崗位簽署保密協議，對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓，對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核。對外部人員允許訪問的區(qū)域、系統(tǒng)、設備、信息等進行控制。具體依據《基本要求》中的“人員安全管理”內容，同時可以參照《信息系統(tǒng)安全管理要求》等。

（2）系統(tǒng)運維管理

① 環(huán)境和資產安全管理

明確環(huán)境（包括主機房、輔機房、辦公環(huán)境等）安全管理的責任部門或責任人，加強對人員出入、來訪人員的控制，對有關物理訪問、物品進出和環(huán)境安全等方面作出規(guī)定。對重要區(qū)域設置門禁控制手段，或使用視頻監(jiān)控等措施。明確資產（包括介質、設備、設施、數據和信息等）安全管理的責任部門或責任人，對資產進行分類、標識，編制與信息系統(tǒng)相關的軟件資產、硬件資產等資產清單。具體依據《基本要求》中的“系統(tǒng)運維管理”內容，同時可以參照《信息系統(tǒng)安全管理要求》等。

② 設備和介質安全管理

明確配套設施、軟硬件設備管理、維護的責任部門或責任人，對信息系統(tǒng)的各種軟硬件設備采購、發(fā)放、領用、維護和維修等過程進行控制，對介質的存放、使用、維護和銷毀等方面作出規(guī)定，加強對涉外維修、敏感數據銷毀等過程的監(jiān)督控制。具體依據《基本要求》中的“系統(tǒng)運維管理”內容，同時可以參照《信息系統(tǒng)安全管理要求》等。

③ 日常運行維護

明確網絡、系統(tǒng)日常運行維護的責任部門或責任人，對運行管理中的日常操作、賬號管理、安全配置、日志管理、補丁升級、口令更新等過程進行控制和管理，制訂相應的管理制度和操作規(guī)程并落實執(zhí)行。具體依據《基本要求》中的“系統(tǒng)運維管理”內容，同時可以參照《信息系統(tǒng)安全管理要求》等。

④ 集中安全管理

第三級（含）以上信息系統(tǒng)應按照統(tǒng)一的安全策略、安全管理要求，統(tǒng)一管理信息系統(tǒng)的安全運行，進行安全機制的配置與管理，對設備安全配置、惡意代碼、補丁升級、安全審計等進行管理，對與安全有關的信息進行匯集與分析，對安全機制進行集中管理。具體依據《基本要求》中的“系統(tǒng)運維管理”內容，同時可以參照《信息系統(tǒng)等級保護安全設計技術要求》和《信息系統(tǒng)安全管理要求》等。

⑤ 事件處置與應急響應

按照國家有關標準規(guī)定，確定網絡安全事件的等級。結合信息系統(tǒng)安全保護等級，制定網絡安全事件分級應急處置預案，明確應急處置策略，落實應急指揮部門、執(zhí)行部門和技術支撐部門，建立應急協調機制。落實安全事件報告制度，第三級（含）以上信息系統(tǒng)發(fā)生較大、重大、特別重大安全事件時，運營使用單位按照相應預案開展應急處置，并及時向受理備案的公安機關報告。組織應急技術支撐力量和專家隊伍，按照應急預案定期組織開展應急演練。具體依據《基本要求》中的“系統(tǒng)運維管理”內容，同時可以參照《網絡安全事件分類分級指南》和《網絡安全事件管理指南》等。

⑥ 災難備份

要對第三級（含）以上信息系統(tǒng)采取災難備份措施，防止重大事故、事件發(fā)生。識別需要定期備份的重要業(yè)務信息、系統(tǒng)數據及軟件系統(tǒng)等，制定數據的備份策略和恢復策略，建立備份與恢復管理相關的安全管理制度。具體依據《基本要求》中的“系統(tǒng)運維管理”內容和《信息系統(tǒng)災難恢復規(guī)范》。

⑦ 安全監(jiān)測

開展信息系統(tǒng)實時安全監(jiān)測，實現對物理環(huán)境、通信線路、主機、網絡設備、用戶行為和業(yè)務應用等的監(jiān)測和報警，及時發(fā)現設備故障、病毒入侵、黑客攻擊、誤用和誤操作等安全事件，以便及時對安全事件進行響應與處置。具體依據《基本要求》中的“系統(tǒng)運維管理”。

⑧ 其他安全管理

對系統(tǒng)運行維護過程中的其他活動，如系統(tǒng)變更、密碼使用等進行控制和管理。按國家密碼管理部門的規(guī)定，對信息系統(tǒng)中密碼算法和密鑰的使用進行分級管理。

5、加強系統(tǒng)建設過程管理

制定系統(tǒng)建設相關的管理制度，明確系統(tǒng)定級備案、方案設計、產品采購使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務等內容的管理責任部門、具體管理內容和控制方法，并按照管理制度落實各項管理措施。

具體依據《基本要求》中的“系統(tǒng)建設管理”內容。

6、定期組織安全自查

制定安全檢查制度，明確檢查的內容、方式、要求等，檢查各項制度、措施的落實情況，并不斷完善。定期對信息系統(tǒng)安全狀況進行自查，第三級信息系統(tǒng)每年自查一次，第四級信息系統(tǒng)每半年自查一次。經自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，應當進一步開展整改。具體依據《基本要求》中的“安全管理機構”內容，同時可以參照《信息系統(tǒng)安全管理要求》等。信息系統(tǒng)安全管理建設整改工作完成后，安全管理方面的等級測評與安全技術方面的測評工作一并進行。

三、如何整改安全技術措施

按照國家有關規(guī)定，依據《基本要求》，參照《信息系統(tǒng)通用安全技術要求》、《信息系統(tǒng)等級保護安全設計技術要求》等標準規(guī)范要求，開展信息系統(tǒng)安全技術建設工作。

1、開展安全保護技術現狀分析

了解掌握信息系統(tǒng)現狀，分析信息系統(tǒng)的安全保護狀況，明確信息系統(tǒng)安全技術建設整改需求，為安全建設整改技術方案設計提供依據。

（1）信息系統(tǒng)現狀分析

了解掌握信息系統(tǒng)的數量和等級、所處的網絡區(qū)域以及信息系統(tǒng)所承載的業(yè)務應用情況，分析信息系統(tǒng)的邊界、構成和相互關聯情況，分析網絡結構、內部區(qū)域、區(qū)域邊界以及軟、硬件資源等。具體可以參照《信息系統(tǒng)安全等級保護實施指南》中“信息系統(tǒng)分析”的內容。

（2）信息系統(tǒng)安全保護技術現狀分析

在開展信息系統(tǒng)安全技術建設整改之前，應通過開展信息系統(tǒng)安全保護技術現狀分析，查找信息系統(tǒng)安全保護技術建設整改需要解決的問題，明確信息系統(tǒng)安全保護技術建設整改的需求。

可采取對照檢查、風險評估、等級測評等方法，分析判斷目前所采取的安全技術措施與等級保護標準要求之間的差距，分析系統(tǒng)已發(fā)生的事件或事故，分析安全技術方面存在的問題，形成安全技術建設整改的基本安全需求。在滿足信息系統(tǒng)安全等級保護基本要求基礎上，可以結合行業(yè)特點和信息系統(tǒng)安全保護的特殊要求，提出特殊安全需求。具體可以參照《基本要求》、《信息系統(tǒng)安全等級保護測評要求》和《信息系統(tǒng)安全等級保護測評過程指南》等標準。

（3）安全需求論證和確定

安全需求分析工作完成后，將信息系統(tǒng)的安全管理需求與安全技術需求綜合形成安全需求報告。組織專家對安全需求進行評審論證，形成評審論證意見。

2、設計安全技術建設整改方案

在安全需求分析的基礎上，開展信息系統(tǒng)安全建設整改方案設計，包括總體設計和詳細設計，制定工程預算和工程實施計劃等，為后續(xù)安全建設整改工程實施提供依據。

（1）確定安全技術策略，設計總體技術方案

① 確定安全技術策略

根據安全需求分析，確定安全技術策略，包括業(yè)務系統(tǒng)分級策略、數據信息分級策略、區(qū)域互連策略和信息流控制策略等，用以指導系統(tǒng)安全技術體系結構設計。

② 設計總體技術方案

在進行信息系統(tǒng)安全建設整改技術方案設計時，應以《基本要求》為基本目標，可以針對安全現狀分析發(fā)現的問題進行加固改造，缺什么補什么；也可以進行總體的安全技術設計，將不同區(qū)域、不同層面的安全保護措施形成有機的安全保護體系，落實物理安全、網絡安全、主機安全、應用安全和數據安全等方面基本要求，最大程度發(fā)揮安全措施的保護能力。在進行安全技術設計時，可參考《信息系統(tǒng)等級保護安全設計技術要求》，從安全計算環(huán)境、安全區(qū)域邊界、安全通信網絡和安全管理中心等方面落實安全保護技術要求。

（2）安全技術方案詳細設計

① 物理安全設計

從安全技術設施和安全技術措施兩方面對信息系統(tǒng)所涉及的主機房、輔助機房和辦公環(huán)境等進行物理安全設計，設計內容包括防震、防雷、防火、防水、防盜竊、防破壞、溫濕度控制、電力供應、電磁防護等方面。物理安全設計是對采用的安全技術設施或安全技術措施的物理部署、物理尺寸、功能指標、性能指標等內容提出具體設計參數。具體依據《基本要求》中的“物理安全”內容，同時可以參照《信息系統(tǒng)物理安全技術要求》等。

② 通信網絡安全設計

對信息系統(tǒng)所涉及的通信網絡，包括骨干網絡、城域網絡和其他通信網絡（租用線路）等進行安全設計，設計內容包括通信過程數據完整性、數據保密性、保證通信可靠性的設備和線路冗余、通信網絡的網絡管理等方面。通信網絡安全設計涉及所需采用的安全技術機制或安全技術措施的設計，對技術實現機制、產品形態(tài)、具體部署形式、功能指標、性能指標和配置參數等提出具體設計細節(jié)。具體依據《基本要求》中“網絡安全”內容，同時可以參照《網絡基礎安全技術要求》等。

③ 區(qū)域邊界安全設計

對信息系統(tǒng)所涉及的區(qū)域網絡邊界進行安全設計，內容包括對區(qū)域網絡的邊界保護、區(qū)域劃分、身份認證、訪問控制、安全審計、入侵防范、惡意代碼防范和網絡設備自身保護等方面。區(qū)域邊界安全設計涉及所需采用的安全技術機制或安全技術措施的設計，對技術實現機制、產品形態(tài)、具體部署形式、功能指標、性能指標和配置策略和參數等提出具體設計細節(jié)。具體依據《基本要求》中的“網絡安全”內容，同時可以參照《信息系統(tǒng)等級保護安全設計技術要求》、《網絡基礎安全技術要求》等。

④ 主機系統(tǒng)安全設計

對信息系統(tǒng)涉及的服務器和工作站進行主機系統(tǒng)安全設計，內容包括操作系統(tǒng)或數據庫管理系統(tǒng)的選擇、安裝和安全配置，主機入侵防范、惡意代碼防范、資源使用情況監(jiān)控等。其中，安全配置細分為身份鑒別、訪問控制、安全審計等方面的配置內容。具體依據《基本要求》中的“主機安全”內容，同時可以參照《信息系統(tǒng)等級保護安全設計技術要求》、《信息系統(tǒng)通用安全技術要求》等。

⑤ 應用系統(tǒng)安全設計

對信息系統(tǒng)涉及的應用系統(tǒng)軟件（含應用/中間件平臺）進行安全設計，設計內容包括身份鑒別、訪問控制、安全標記、可信路徑、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等。具體依據《基本要求》中的“應用安全”內容，同時可以參考《信息系統(tǒng)等級保護安全設計技術要求》、《信息系統(tǒng)通用安全技術要求》等。

⑥ 備份和恢復安全設計

針對信息系統(tǒng)的業(yè)務數據安全和系統(tǒng)服務連續(xù)性進行安全設計，設計內容包括數據備份系統(tǒng)、備用基礎設施以及相關技術設施。針對業(yè)務數據安全的數據備份系統(tǒng)可考慮數據備份的范圍、時間間隔、實現技術與介質以及數據備份線路的速率以及相關通信設備的規(guī)格和要求；針對信息系統(tǒng)服務連續(xù)性的安全設計可考慮連續(xù)性保證方式（設備冗余、系統(tǒng)級冗余直至遠程集群支持）與實現細節(jié)，包括相關的基礎設施支持、冗余/集群機制的選擇、硬件設備的功能/性能指標以及軟硬件的部署形式與參數配置等。具體依據《基本要求》中“數據安全和備份恢復”內容，同時可以參考《信息系統(tǒng)災難恢復規(guī)范》等。

（3）建設經費預算和工程實施計劃

① 建設經費預算

根據信息系統(tǒng)的安全建設整改內容提出詳細的經費預算，包括產品名稱、型號、配置、數量、單價、總價和合計等，同時應包括集成費用、等級測評費用、服務費用和管理費用等。對于跨年度的安全建設整改或安全改建，提供分年度的經費預算。

② 工程實施計劃

根據信息系統(tǒng)的安全建設整改內容提出詳細的工程實施計劃，包括建設內容、工程組織、階段劃分、項目分解、時間計劃和進度安排等。對于跨年度的安全建設整改或安全改建，要對安全建設整改方案明確的主要安全建設整改內容進行適當的項目分解，比如分解成機房安全改造項目、網絡安全建設整改項目、系統(tǒng)平臺和應用平臺安全建設整改項目等，分別制定中期和短期的實施計劃，短期內主要解決目前急迫和關鍵的問題。

③ 方案論證和備案

將信息系統(tǒng)安全建設整改技術方案與安全管理體系規(guī)劃共同形成安全建設整改方案。組織專家對安全建設整改方案進行評審論證，形成評審意見。第三級（含）以上信息系統(tǒng)安全建設整改方案應報公安機關備案，并組織實施安全建設整改工程。

3、加強安全建設整改工程的實施和管理

（1）工程實施和管理

安全建設整改工程實施的組織管理工作包括落實安全建設整改的責任部門和人員，保證建設資金足額到位，選擇符合要求的安全建設整改服務商，采購符合要求的網絡安全產品，管理和控制安全功能開發(fā)、集成過程的質量等方面。按照《信息系統(tǒng)安全工程管理要求》中有關資格保障和組織保障等要求組織管理等級保護安全建設整改工程。實施流程管理、進度規(guī)劃控制和工程質量控制可參照《信息系統(tǒng)安全工程管理要求》中第 8、9、10 章提出的工程實施、項目實施和安全工程流程控制要求，實現相應等級的工程目標和要求。

（2）工程監(jiān)理和驗收

為保證建設工程的安全和質量，第二級以上信息系統(tǒng)安全建設整改工程可以實施監(jiān)理。監(jiān)理內容包括對工程實施前期安全性、采購外包安全性、工程實施過程安全性、系統(tǒng)環(huán)境安全性等方面的核查。工程驗收的內容包括全面檢驗工程項目所實現的安全功能、設備部署、安全配置等是否滿足設計要求，工程施工質量是否達到預期指標，工程檔案資料是否齊全等方面。在通過安全測評或測試的基礎上，組織相應網絡安全專家進行工程驗收。具體參照《信息系統(tǒng)安全工程管理要求》。

（3）安全等級測評

信息系統(tǒng)安全建設整改完成后要進行等級測評，在工程預算中應當包括等級測評費用。對第三級（含）以上信息系統(tǒng)每年要進行等級測評，并對測評費用做出預算。

在公安部備案的信息系統(tǒng)，備案單位應選擇國家網絡安全等級保護工作協調小組辦公室推薦的等級測評機構實施等級測評；在省（區(qū)、市）、地市級公安機關備案的信息系統(tǒng)，備案單位應選擇本省（區(qū)、市）網絡安全等級保護工作協調小組辦公室或國家網絡安全等級保護工作協調小組辦公室推薦的等級測評機構實施等級測評。

四、如何制定整改方案

下面主要介紹信息系統(tǒng)安全整改方案的主要內容，整改過程中涉及的網絡安全產品選擇使用注意事項。

1、整改方案主要內容

整改方案可以不拘泥于單一內容格式，設計內容可以隨著單個信息系統(tǒng)、整個單位、多個系統(tǒng)進行方案設計。建議在信息系統(tǒng)安全整改方案中可以包含以下內容。

（1）項目背景

簡述信息系統(tǒng)概況，信息系統(tǒng)在等級保護工作方面的進展情況，例如定級備案、安全現狀測評情況等。

（2）信息系統(tǒng)安全建設整改的法規(guī)、政策和技術依據

列舉在建設整改過程中涉及的國家層面、行業(yè)層面、主管單位層面等，所依據的網絡安全等級保護有關法規(guī)、政策、文件和技術標準等。

（3）信息系統(tǒng)安全建設整改安全需求分析

從技術和管理兩方面描述信息系統(tǒng)建設情況，系統(tǒng)應用情況及安全建設情況。結合安全現狀評估結果，分析信息系統(tǒng)現有保護狀況與等級保護要求的差距，結合信息系統(tǒng)自身的安全需求形成安全建設整改安全需求。

（4）信息系統(tǒng)安全等級保護建設整改技術方案設計

根據安全需求，確定整改技術方案的設計原則，建立總體技術框架結構。圍繞等級保護差距報告，從物理安全、主機安全、網絡安全、應用安全、數據安全角度，結合系統(tǒng)自身所在的物理環(huán)境、通信網絡、可信環(huán)境、區(qū)域邊界、安全管理中心，設計落實基本技術要求。

（5）信息系統(tǒng)安全等級保護建設整改管理體系設計

根據安全需求，確定整改管理體系的設計原則，指導思想。要求安全管理策略、制度體系建設要可操作性強、責任明確。

（6）信息系統(tǒng)安全產品選型及其技術指標

依據整改技術方案，確定設備選型的原則，給出具體的部署策略，明確選用設備的功能、性能指標。

（7）安全整改后信息系統(tǒng)面臨的風險分析

安全整改不可能解決所有不符合基本要求的問題，對于沒有解決的問題，或整改后引入的心問題，分析其可能的安全風險，提出合理可行的風險規(guī)避措施。

（8）信息系統(tǒng)安全等級保護建設整改項目實施計劃

安全整改項目的實施需要制定相應的實施計劃，落實項目管理部門和人員，對設備招標采購、工程實施協調、系統(tǒng)部署和測試驗收、人員培訓等活動進行規(guī)劃安排。

（9）信息系統(tǒng)安全等級保護項目預算

根據本單位信息化的中長期發(fā)展規(guī)劃和近期的建設投資規(guī)模，將等級保護安全整改建設工作納入整體規(guī)劃，可以采取分期分批、有計劃的實施安全建設整改。在項目建設進行預算時，不僅僅包含安全設備投入、還需要將集成項目、等級測評費用、服務費用、運行管理費用等納入到資金預算中。

2、信息安全產品選擇

（1）選擇獲得銷售許可證的網絡安全產品

《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院令147號）第十六條規(guī)定，國家對計算機信息系統(tǒng)安全專用產品的銷售實行許可證制度。《計算機信息系統(tǒng)安全專用產品檢測和銷售許可證管理辦法》（公安部令第32號）第三條規(guī)定，中華人民共和國境內的安全專用產品進入市場銷售，實行銷售許可證制度。安全專用產品的生產者在其產品進入市場銷售之前，必須申領《計算機信息系統(tǒng)安全專用產品銷售許可證》。

（2）產品分等級檢測和使用

國家針對具體的網絡安全產品類別，制定了一系列等級保護標準。網絡安全產品標準，從網絡安全產品的安全功能要求和安全保證要求兩個方面，將每類網絡安全產品劃分為不同的等級，安全等級越高，安全功能要求越多，安全功能范圍越廣，安全功能粒度越細，安全保證要求越高。信息系統(tǒng)的等級越高，安全防護能力的要求越高，信息系統(tǒng)的安全防護能力，歸根到底必須由具體的網絡安全產品來實現。根據網絡安全的“木桶理論”，最弱的那個環(huán)節(jié)將決定整個信息系統(tǒng)的安全。而網絡安全產品的等級越高，就能提供越高的安全防護能力。所以不同等級的信息系統(tǒng)，應該使用相應等級的網絡安全產品。

（3）第三級以上信息系統(tǒng)使用網絡安全產品優(yōu)先選擇國產品

《網絡安全等級保護管理辦法》第二十一條規(guī)定，第三級以上信息系統(tǒng)應當選擇使用符合以下條件的網絡安全產品：① 產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內具有獨立的法人資格；② 產品的核心技術、關鍵部件具有我國自主知識產權；③ 產品研制、生產單位及其主要業(yè)務、技術人員無犯罪記錄；④ 產品研制、生產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能；⑤ 對國家安全、社會秩序、公共利益不構成危害；⑥ 對已列入網絡安全產品認證目錄的，應當取得國家網絡安全產品認證機構頒發(fā)的認證證書。