XX集团 网络安全规划方案

安徽 XX 集团

网络信息安全规划方案（3

年规划）

2023 年

2

目录

一、 安全发展要求及行业标准参考.....................................................................4

1.1 政策文件要求................................................................................................ 4

1.2.4 外部威胁及新兴技术推动信息安全需求..........................................7

1.3 安全框架及体系参考....................................................................................8

1.3.1 IATF 框架..............................................................................................8

1.3.2 自适应安全框架.................................................................................8

1.3.3 新时期的等级保护体系（等保 2.0）................................................9

2 安全现状及综合分析.............................................................................................10

2.1 安全现状....................................................................................................10

2.2 综合分析......................................................................................................13

2.2.1 基础安全技术框架...........................................................................13

2.2.2 网络安全建设建议...........................................................................14

3.2.2 纵深防御...........................................................................................18

3.2.3 闭环流程...........................................................................................18

3.2.4 非对称............................................................................................... 18

3

3.3 网络安全规划..............................................................................................19

4 总体建设内容.........................................................................................................20

4.2 一期建设方案（“合法、合规”、“刚需”）.......................................22

4.2.1 设计思路...........................................................................................22

4.2.2 建设内容...........................................................................................22

4.2.3 安全建设...........................................................................................22

4.3 二期建设方案（主动防御体系建设）.......................................................25

4.4.3 安全建设...........................................................................................30

5 引入安全服务.........................................................................................................34

5.1 安全咨询服务............................................................................................ 35

5.2 安全加固服务............................................................................................ 35

5.3 渗透测试服务............................................................................................ 35

5.4 风险评估服务............................................................................................ 37

5.5 漏洞扫描服务............................................................................................ 38

5.6 应急响应服务............................................................................................ 39

5.7 知识转移.....................................................................................................39

6 安全建设任务汇总.................................................................................................41

4

定“国家实行网络安全等级保护制度”。各网络运营者应当按照要求，开展网

络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。除此之

外，《网络安全法》中还从网络运行安全、关键信息基础设施运行安全、网络

信息安全等对以下方面做了详细规定：

网络日志留存：第二十一条还规定，网络运营者应当制定内部安全管理制

度和操作规程，确定网络安全负责人，落实网络安全保护责任;采取防计算机病

毒、网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络

运行状态、网络安全事件的技术措施，留存不少于六个月的相关网络日志;采取

数据分类、重要数据备份和加密等措施。未履行上述网络安全保护义务的，会

被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元

拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对

直接负责的主管人员处五千元以上五万元以下罚款。

容灾备份：第三十四条第三项规定，关键信息基础设施单位对重要系统和

数据库进行容灾备份。没有对重要系统和数据库进行容灾备份的会被依照此条

款责令改正。

5