2021十四五网络安全规划方案（修订版）

2021十四五网络安全规划方案（修订版）网络信息安全规划方案（3年规划）2020年11月一、概述1.1项目背景即将到来的“十四五”，将是企业数字化战略的转型建设关键阶段，在此期间，数字经济将全面深化。

为践行《网络安全法》安全与信息化同步规划、同步建设、同步运行的三同步思想，通过本次安全规划，建立从顶层设计、部署实施到安全运行的一整套网络安全新模式，使网络安全向面向对抗的实战化运行模式升级。

同时面对现在不容乐观的整体安全态势及各种监管要求，开展企业的网络安全建设，补足和修复企业自身的安全短板。

是整个社会和国家发展的必然趋势。

1.2编制依据《中华人民共和国网络安全法》《关于加快推进国有企业数字化转型工作的通知》《中央企业负责人经营业绩考核办法》GB/T25058-2019《信息安全技术网络安全等级保护实施指南》GB/T22239-2019《信息安全技术网络安全等级保护基本要求》GBT25070-2019《信息安全技术网络安全等级保护安全设计技术要求》GB/T28448-2019《信息系统安全等级保护测评要求》GB/T18336《信息技术-安全技术-信息技术安全性评估准则》GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》GB/T35281-2017《信息安全技术移动互联网应用服务器安全技术要求》GB/T35273-2017《信息安全技术个人信息安全规范》GB/T31167-2014《信息安全技术云计算服务安全指南》GB/T31168-2014《信息安全技术云计算服务安全能力要求》二、安全现状及需求分析2.1安全现状企业经过多年信息化工作和安全建设，建立了一套以实际业务安全需求和等级保护1.0为基础框架的点状防御体系。

公司网络基础设施已基本完善。

建成了以电信、移动的双通道互联网出口，带宽分别为200M/500M。

整体网络架构采用三层层次化模型网络架构，即由核心层、汇聚层和接入层组成，关键网络节点处均采用冗余双机。

全公司联网的办公用计算机数百台。

公司现有办公系统、项目管理系统、财务、监管系统、公文系统、视频监控管理等业务系统。

整体安全建设现状如下。

（1）互联网出口冗余部署有上网行为管理、负载均衡。

（2）各区域边界上部署有下一代防火墙，并严格按照业务属性、重要程度和安全级别对区域进行边界划分和访问控制。

（互联网出口、专网接入、服务器区）（3）办公终端及服务器上部署有网络版杀毒软件和文档安全管控系统。

（4）外部用户采用VPN接入。

（5）机房部分部署有运维管理平台、环境监控平台。

（6）整体数据中心建设采用超融合的方式，超融合平台采用分布式架构和虚拟化特性为业务系统带来了极强的可靠性、稳定性。

（7）在数据备份层面，采用备份一体机和云备份的方式。

（8）在安全审计层面，采用运维审计系统和日志服务器的方式。

现状分析传统的点状防御体系及被动防御思想在新的安全形势下，不足以应对新型攻击和复合型攻击，同时在应对多源低频、业务逻辑漏洞、0DAY、自动化工具等攻击方式时也显的有心无力。

其次外部威胁变化过快，存在安全攻防不对等、安全技术能力不足、安全威胁动态变化、难以及时响应等情况，会导致安全事件频发。

2.2需求分析2.2.1政策文件要求2.2.1.1网络安全法在2017年颁发的《中华人民共和国网络安全法》中明确规定了法律层面的网络安全。

具体如下。

“没有网络安全，就没有国家安全”，《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。

各网络运营者应当按照要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。

除此之外，《网络安全法》中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定。

网络日志留存。

第二十一条还规定，网络运营者应当制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。

采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施。

采取监测、记录网络运行状态、网络安全事件的技术措施，留存不少于六个月的相关网络日志。

采取数据分类、重要数据备份和加密等措施。

未履行上述网络安全保护义务的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

漏洞处置。

第二十五条规定，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。

在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

没有网络安全事件应急预案的，没有及时处置高危漏洞、网络攻击的。

在发生网络安全事件时处置不恰当的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

容灾备份。

第三十四条第三项规定，关键信息基础设施单位对重要系统和数据库进行容灾备份。

没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。

应急演练。

第三十四条第四项规定，关键信息基础设施单位应当制定网络安全事件应急预案，并定期进行演练。

没有网络安全事件预案的，或者没有定期演练的，会被依照此条进行责令改正。

安全检测评估。

第三十八条规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

每年没有进行安全检测评估的单位要被责令改正。

关键信息基础设施的运营者网络安全保护义务。

（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查。

（二）定期对从业人员进行网络安全教育、技术培训和技能考核。

（三）对重要系统和数据库进行容灾备份。

（四）制定网络安全事件应急预案，并定期进行演练。

（五）法律、行政法规规定的其他义务。

2.2.1.2国资委发文（一）《关于加快推进国有企业数字化转型工作的通知》国资委在2020年9月发布的《关于加快推进国有企业数字化转型工作的通知》中将网络安全定义为国有企业数字化转型的四大基础之一-安全基础。

在安全基础建设中指出要建设态势感知平台，加强平台、系统、数据等安全管理。

使用安全可靠的设备设施、工具软件、信息系统和服务平台，提升本质安全。

同时构建网络安全基础资源库，加强安全资源储备。

强化检测评估和攻防演练，加快人才队伍建设。

（二）《中央企业负责人经营业绩考核办法》国资委于2019年修订印发了《中央企业负责人经营业绩考核办法》。

考核办法较原先的考核办法增加了对网络安全工作的考核，而且十分严厉，一旦企业发生网络安全事件将对企业负责人的考核带来负面影响，直接影响其相关考核结果。

同时考核办法中指出，国有资本参股公司、被托管和兼并企业中由国资委管理的企业负责人，其经营业绩考核参...