网络安全体系建设参考案例

01 网络安全等级保护体系应用参考

《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。等级保护制度是中国网络安全保障的特色和基石。国家网络安全等级保护制度体系框架包括风险管理体系、安全管理体系、安全技术体系、网络信任体系、法律法规体系、政策标准体系等。
网络安全等级保护工作主要包括定级、备案、建设整改、等级测评、监督检查五个阶段。定级对象建设完成后，运营、使用单位或者其主管部门选择符合国家要求的测评机构，依据《信息安全技术 网络安全等级保护测评要求》等技术标准，定期对定级对象的安全等级状况开展等级测评。其中，定级对象的安全保护等级分为五个，即第一级（用户自主保护级）、第二级（系统保护审计级）、第三级（安全标记保护级）、第四级（结构化保护级）、第五级（访问验证保护级）。

网络安全等级保护 2.0 的主要变化包括：

一是扩大了对象范围，将云计算、移动互联、物联网、工业控制系统等列入标准范围，构成了“网络安全通用要求＋新型应用的网络安全扩展要求＂的要求内容。

二是提出了在“安全通信网络”“安全区域边界”“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。

三是等级保护 2.0 新标准强化了可信计算技术使用的要求，各级增加了”可信验证”控制点。其中，一级要求设备的系统引导程序、系统程序等进行可信验证；二级增加重要配置参数和应用程序进行可信验证，并将验证结果形成审计记录送至安全管理中心；三级增加应用程序的关键执行环节进行动态可信验证；四级增加应用程序的所有执行环节进行动态可信验证。

等级保护项目流程如下图：

02 智慧城市安全体系应用参考

智慧城市安全体系框架以安全保障措施为视角，从智慧城市安全战略保障、智慧城市安全技术保障、智慧城市安全管理保障、智慧城市安全建设与运营保障、智慧城市安全基础支撑五个方面给出了智慧城市的安全要素，如图所示。

智慧城市安全体系的各要素阐述如下。

1、智慧城市安全战略保障

明确国家智慧城市安全建设总体方针，按要求约束智慧城市安全管理、技术以及建设与运营活动。智慧城市安全战略保障要素包括法律法规、政策文件及标准规范。

2、智慧城市安全管理保障

智慧城市安全管理保障要素包括决策规划、组织管理、协调监督、评价改进。

3、智慧城市安全技术保障

以建立城市纵深防御体系为目标，从物联感知层、网络通信层、计算与存储层、数据及服务融合层以及智慧应用层五个层次分别采用多种安全防御手段，动态应对智慧城市安全技术风险。智慧城市安全技术保障的功能要素包括防护、检测、响应和恢复。

4、智慧城市安全建设与运营保障

智慧城市信息安全工程的实施包括对智慧城市整体信息安全系统的开发、采购、集成、组装、配置及测试。智慧城市安全运行维护包括对智慧城市信息系统运行状态的监测、维护、应急处置与恢复，确保并维持智慧城市信息系统和智慧城市中的各项业务安全有序地运行。智慧城市安全建设与运营保障要素包含工程实施、监测预警、应急处置和灾难恢复。

5、智慧城市安全基础支撑

智慧城市安全基础支撑设施包括密钥与证书管理基础设施、身份管理基础设施、监测预警与通报基础设施、容灾备份基础设施和时间同步等基础设施。基础服务支撑包括产品和服务的资质认证、安全评估、安全检测、安全审查以及咨询服务等。

03 智能交通网络安全体系应用参考

智能交通系统是集成先进的信息技术、数据通信技术、计算机处理技术和电子自动控制技术而形成的复杂系统，其潜在的网络安全风险可能危及车主的财产和生命安全。按照“识别风险、设计规划、指导落实、持续改进”的体系架构设计方法论。智能交通网络安全体系主要包括智能交通网络安全管理体系、智能交通网络安全技术体系、智能交通网络安全运营体系、智能交通网络安全评价体系。

智能交通网络安全管理体系架构由智能交通网络安全职能整体架构、智能交通产业内网络安全管理框架两个方面组成，如图所示。智能交通网络安全职能整体架构负责处理产业链中各层级的管理职能分配以及各层级的管理、汇报和协作关系；智能交通产业内网络安全管理框架则负责处理在产业内具体组织和机构的安全管理，具体包括安全治理、安全管理等。

智能交通网络安全技术体系参考我国 WPDRRC 信息安全模型和国内外最佳实践，明确以“数据层、服务支撑层、平台层、物联网通信层、物联网智能终端”为保护对象的框架，构建智能情报、身份认证、访问控制、加密、防泄漏、防恶意代码、安全加固、安全监控、安全审计和可用性设计等安全技术框架。

智能交通网络安全运营体系由三个要素组成：运营管理、网络安全事件周期性管理、工具。其中，运营管理的作用是有效衔接安全管理体系和安全技术体系，通过其有效运转实现安全管理体系、安全技术体系的不断优化提升；网络安全事件周期性管理覆盖预防（事前）、监控（事中）、响应（事后），形成自主有效的闭环；工具主要包括事件管理、工单系统、审计日志、取证工具、安全扫描和合规平台等。

智能交通网络安全评价体系其目标是建立有效的评价体系，推动整体体系的持续优化和改进，使整个智能交通网络安全体系形成有效的闭环。

04 ISO 27000 信息安全管理体系应用参考

ISO 27000 信息安全管理标准最初起源于英国的 BS7799。
信息安全管理系统 (ISMS) 按照 PDCA 不断循环改进，如图所示。

其主要步骤阐述如下：

 计划 (Plan)：建立 ISMS, 识别信息资产及其相关的安全需求；

评估信息安全风险：选择合适的安全控制措施，管理不可接受的风险。

执行 (Do) ：实现和运行 ISMS, 实施控制和运维管理。检查 (Check) 。

监测和评估 ISMS：处理 (Act) 。维持和改进 ISMS。

ISO 27001 给出的信息安全管理目标领域共计十一项，即安全策略、安全组织、资产管理、人力资源安全、物理与环境安全、通信与运行管理、访问控制、信息系统获取开发与维护、信息安全事件管理、业务待续运行、符合性。