1、网络安全体系网络安全体系基础架构建设知识基础架构建设知识天融信公司天融信公司 罗罗 春春风险评估准备风险评估准备保护对象分析保护对象分析威胁分析威胁分析脆弱性分析脆弱性分析控制措施分析控制措施分析确定风险后果确定风险后果确定风险概率确定风险概率确定风险等级确定风险等级安全风险评估报告安全风险评估报告信息安全技术信息安全技术 信息安全风险评估规范(信息安全风险评估规范(GB/T 20984-2019GB/T 20984-2019)物理安全(三级)物理安全(三级)物理位置的选择物理位置的选择物理访问控制物理访问控制防盗窃和防破坏防盗窃和防破坏防雷击防雷击防火防火防水和防潮防水和防潮防静电防静电温湿
2、度控制温湿度控制电力供应电力供应A3电磁防护电磁防护S3物理位置的选择物理位置的选择物理访问控制物理访问控制防盗窃和防破坏防盗窃和防破坏防雷击防雷击防火防火防水和防潮防水和防潮防静电防静电温湿度控制温湿度控制电力供应电力供应A3电磁防护电磁防护S3综合布线工程设计规范(综合布线工程设计规范(GB 50311-2019GB 50311-2019)综合布线工程验收规范(综合布线工程验收规范(GB 50312-2019 GB 50312-2019)网络安全(三级)网络安全(三级)结构安全结构安全访问控制访问控制安全审计安全审计边界完整性检查边界完整性检查S3入侵防范入侵防范恶意代码防护恶意代码防护网
3、络设备防护网络设备防护结构安全结构安全访问控制访问控制安全审计安全审计边界完整性检查边界完整性检查S3入侵防范入侵防范恶意代码防护恶意代码防护网络设备防护网络设备防护主机安全(三级)主机安全(三级)身份鉴别身份鉴别S3访问控制访问控制S3安全审计安全审计剩余信息防护剩余信息防护S3入侵防范入侵防范恶意代码防范恶意代码防范资源控制资源控制A3身份鉴别身份鉴别S3访问控制访问控制S3安全审计安全审计剩余信息防护剩余信息防护S3入侵防范入侵防范恶意代码防范恶意代码防范资源控制资源控制A3应用安全(三级)应用安全(三级)身份鉴别身份鉴别S3访问控制访问控制S3安全审计安全审计剩余信息保护剩余信息保护S
4、3通信完整性通信完整性S3通信保密性通信保密性S3抗抵赖抗抵赖软件容错软件容错A3资源控制资源控制A3身份鉴别身份鉴别S3访问控制访问控制S3安全审计安全审计剩余信息保护剩余信息保护S3通信完整性通信完整性S3通信保密性通信保密性S3抗抵赖抗抵赖软件容错软件容错A3资源控制资源控制A3数据安全(三级)数据安全(三级)数据完整性数据完整性S3数据保密性数据保密性S3备份与恢复备份与恢复A3数据完整性数据完整性S3数据保密性数据保密性S3备份与恢复备份与恢复A3安全管理制度(三级)安全管理制度(三级)管理制度管理制度制定和发布制定和发布评审和修订评审和修订岗位设置岗位设置人员配备人员配备授权和审批
5、授权和审批沟通和合作沟通和合作审核和检查审核和检查安全管理机构(三级)安全管理机构(三级)人员录用人员录用人员离岗人员离岗人员考核人员考核安全意识教育和培训安全意识教育和培训外部人员访问管理外部人员访问管理人员安全管理(三级)人员安全管理(三级)系统定级系统定级安全方案设计安全方案设计产品采购和使用产品采购和使用自行软件开发自行软件开发外包软件开发外包软件开发工程实施工程实施测试验收测试验收系统交付系统交付系统备案系统备案等级测评等级测评系统建设管理(三级)系统建设管理(三级)安全服务商选择安全服务商选择环境管理环境管理资产管理资产管理介质管理介质管理设备管理设备管理监控管理和安全管理中心监控管理和安全管理中心网络安全管理网络安全管理系统安全管理系统安全管理恶意代码防范管理恶意代码防范管理密码管理密码管理变更管理变更管理系统运维管理(三级)系统运维管理(三级)备份与恢复管理备份与恢复管理安全事件处置安全事件处置应急预案管理应急预案管理
