安全建设整改工作是开展等级保护工作的核心和落脚点，无论是定级、测评还是监督检查工作最终都要服从和服务于安全建设整改工作。

安全建设整改是指在符合等级保护的要求的基础上，对新建或已经建的信息系统进行建设和整改。目的是使确定了等级的信息系统能够达到相应等级的基本的保护水平和满足自身需求的安全保护能力。

信息系统安全建设整改工作具体实施可以根据实际情况，将安全管理和安全技术整改内容一并或者分步实施，做到技术为基础，管理是关键，服务做支撑。

一、信息系统安全技术建设

（一）技术整改思路

◆ 等级保护2.0对于等级保护对象技术的设计，要求需要考虑建设“可信”、“可控”、“可管”的安全防护体系；

◆ 安全保护模型由相应级别的安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心组成。

（1）技术安全-安全物理环境

从趋势来看，物理安全会重点针对一些大型云IDC和云服务提供商。对于普通甲方和乙方来说，概念会越来越模糊，而对于大型IDC的运维和管理人员，物理安全依旧重要，是等级保护标准中的重点内容。

◆ 物理位置选择：

1.机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；

2.机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

◆ 物理访问控制：

机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

◆ 防盗窃和防破坏：

1.应将设备或主要部件进行固定，并设置明显的不易除去的标识；

2.应将通信线缆铺设在隐蔽安全处；

3.应设置机房防盗报警系统或设置有专人值守的视频监控系统。

◆ 防雷击：

1.应将各类机柜、设施和设备等通过接地系统安全接地；

2.应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。

◆ 防火：

1.机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；

2.机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；

3.机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。

◆ 防水和防潮：

1.应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；

2.应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；

3.应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

◆ 防静电：

1.主要设备应采用必要的接地防静电措施；

2.机房应采用防静电地板。

◆ 温湿度控制：

机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

◆ 电力供应：

1.应在机房供电线路上配置稳压器和过电压防护设备；

2.应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求；

3.应设置冗余或并行的电力电缆线路为计算机系统供电。

◆ 电磁防护：

1.电源线和通信线缆应隔离铺设，避免互相干扰；

2.应对关键设备实施电磁屏蔽。

（2）技术安全-安全通信网络

◆ 按规定划分不同的网络区，并在边界处部署防火墙设备保障边界安全；

◆ 按规定关键节点采用硬件冗余；

◆ 在核心区部署上网行为管理，实现操作行为安全审计；

◆ 在业务和数据区域部署数据库审计系统，实现核心数据库操作审计；

◆ 按规定关键节点采用硬件冗余；

◆ 在横向、纵向、办公接入网络中部署防火墙或VPN设备，对政务外网、互联网、关联单位网络进行逻辑隔离和加密隧道传输。

（3）技术安全-安全区域边界

◆ 在与上级出口部署高性能下一代防火墙（具备AV、流控功能、防病毒）、入侵检测防御，在出口实现边界防护、访问控制、入侵防范及边界完整性保护；

◆ 各网络区互联边界，部署高性能下一代防火墙（具备AV、流控功能），在区域边界实现边界访问控制安全审计和可信验证；

◆ 在互联网出口处部署高性能下一代防火墙（具备AV、流控功能、防病毒）及入侵检测防御，在出口实现边界访问控制及恶意代码和病毒防护；

◆ 在核心数据区部署数据库审计，在核心区部署上网行为管理，对用户访问外网及访问核心业务进行安全审计；

◆ 在核心区部署动态防御系统DDP和沙箱Sandbox，实现对网络攻击特别是新型网络攻击行为及未知攻击行为的分析。

（4）技术安全-安全技术环境

安全计算环境在1.0叫主机安全，主要是指防护服务器安全：

◆ 在业务和数据区域前部署WAF，对政务业务系统进行安全防护，防止SQL注入、XSS攻击；

◆ 在核心区部署漏洞扫描，及时发现系统漏洞，并进行修补和防范；

◆ 在业务和数据区域部署数据库审计，实现对核心业务访问的安全审计；

◆ 在运维区不是通过部署准入系统，实现对各用户接入网络的身份鉴别及可信验证；

◆ 在运维区部署日志审计系统，实现对所有用户和事件的审计对攻击和漏洞的主动检测和防御；

◆ 在业务和数据区部署防火墙，实现对重要业务和数据的进行访问，安全防范和数据保密性。

（5）技术安全-安全管理中心

◆ 通过部署堡垒机，实现当前网络中的网络设备、服务器等进行维护的命令及操作界面进行审计；

◆ 部署准入系统和审计系统对网络资源访问进行统一授权，部署安全运维中心对整网网络安全日志进行统一审计分析，对安全态势进行预警；

◆ 通过部署运维系统，对网络中的设备及链路进行集中管控，并对各类安全和故障事件进行告警和分析。

二、信息系统安全管理建设

1.管理安全-安全管理制度与机构

◆ 安全管理制度：

包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。

◆ 安全管理机构：

在单位的内部结构上，建立一整套从单位最高管理层到执行管理层以及业务运营层的管理结构，来约束和保证各项安全管理措施的执行。

2.管理安全-安全管理人员

◆ 安全管理人员：

人员安全管理，主要涉及两方面：对内部人员的安全管理和对外部人员的安全管理。

3.管理安全-安全建设管理

◆ 安全建设管理：

分别从定级、设计建设实施、软件开发、验收交付、测评等方面考虑，关注各项安全管理活动。

4.管理安全-安全运维管理

系统运维管理涉及日常管理、变更管理、制度化管理、安全事件处置、应急预案管理和安管中心等。

为解决企事业单位等保合规建设难题，葫芦娃集团提供一站式等级保护测评服务，帮助完善企业网络安全防护体系，提高信息系统的安全保障能力和防护水平，达到国家网络安全等级保护相关标准要求，促使企业业务信息系统安全、稳定并且持续运行。

文章来源：等级保护测评，葫芦娃集团尊重并保护版权，如有侵权请及时告知我们处理。