第三章  计算机网络安全技术



               各个阶段，安全建设管理的目标在于从信息系统建设一开始就融入安全的理念，
               确保交付的系统满足相应网络安全防护标准。
                   在方案设计阶段，安全方面需同时考虑系统定级备案和安全方案设计。系统

               定级应说明保护对象的安全保护等级及确定等级的依据，必要时组织相关部门安
               全技术专家对定级结果进行论证和审定并形成定级报告，定级报告和备案材料应
               报公安机关审核；在进行系统部署方案设计时，要根据确定的安全保护等级拟定
               安全措施，形成整体的安全规划设计方案并组织专家评审，批准后实施。在产品

               采购和软件研发阶段，要同步考虑网络安全产品的采购需求，充分测试安全产品
               与系统的兼容适配性。软件研发应在独立的测试环境下进行并对测试数据和测试
               结果进行控制，若存在外包软件开发，则开发单位应提供软件设计文档和使用指
               南以及软件源代码，并对软件中可能存在的后门进行审查。在工程实施阶段，企

               业应指定专门的部门人员或第三方监理负责实施过程的管理并制定实施方案控制
               工程实施过程。在测试验收和系统交付阶段要同步制定安全测试方案，系统上线
               前应进行充分的安全测试并出具安全测试报告，根据安全测试报告对系统进行安
               全加固。系统交付时应对运维人员进行技能培训，在系统交付后正式投入使用之

               前应进行等级测评，原则上测评通过后才能正式投入使用。
                   2. 安全运维管理
                   按照等级保护 2.0 标准要求，安全运维管理主要从环境管理、资产管理、介
               质管理、漏洞和风险管理、网络和系统安全管理、密码管理、备份与恢复管理、

               安全事件处置管理、外包运维管理等方面进行考虑，安全运维管理的内容与网络
               安全技术防护体系建设可以有机结合，其内容可以映射到等级保护 2.0 标准中的
               安全物理环境、安全区域边界、安全通信网络、安全计算环境和安全管理中心等
               方面的要求中。日常安全运维管理的主要工作内容可分为重大事件保障、日常安

               全运营和等级保护测评与咨询三个方面。
                   网络安全管理体系建设是企业在网络安全工作中不可缺少的基础，网络安全
               管理体系决定了企业网络安全工作的方向、规则和需要开展的工作内容，如果说
               技术层面的措施是对信息系统进行被动的加固防御，那么管理层面的措施则是对

               网络安全工作开展的主动约束。只有在管理层面保持足够的重视，建立健全符合
               网络安全等级保护 2.0 标准的网络安全管理体系并确保相关管理内容有效落实，
               才能切实提升企业网络安全防护水平，确保企业信息化建设在安全可靠的环境下



                                                                                      121