第1章 项目概述

1.1 项目目标

本方案将通过对公司网络信息系统的安全现状进行分析工作，参照国家信息系统等级保护要求，找出信息系统与安全等级保护要求之间的差距，给出相应的整改意见，推动 XX 企业公司网络信息系统安全整改工作的进行。根据 XX 企业公司信息系统目前实际情况，综合考虑 XX 企业公司信息系统现有的安全防护措施，存在的问题和薄弱环节，提供完善的安全整改方案，提高 XX 企业公司信息系统的安全防护水平，完善安全管理制度体系。

在一个全面的企业网络安全中，风险的所有重要因素都紧紧围绕着资产为中心，威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能，从而形成了风险。这些安全事件一旦发生，将对资产甚至是整个系统都将造成一定的影响。

1.2 项目范围

本文档适用于指导 XX 企业信息系统安全整改加固建设工作。

1.3 信息系统安全保护等级

根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

1.4 等级保护建设依据

1.4.1 国内标准

《中华人民共和国网络安全法》

《信息系统安全等级保护基本要求》 GB/T 22239-2008

《信息安全风险评估规范》 GB/T 20984-2007

《信息安全管理实用规划》 GB/T 22081-2008

1.4.2 国际标准

ISO27001

ISO27002

ISO/IEC 13335

ISO9001

1.4.3 行业要求

《关于印发 < 信息安全等级保护管理办法 > 的通知》（公信安 [2007]43 号）

《中华人民共和国计算机信息系统安全保护条例》（国务院 147 号令）

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发 [2003]27 号）

《关于信息安全等级保护工作的实施意见》（公通字 [2004]66 号）

《信息安全等级保护管理办法》（公通字 [2007]43 号）

《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安 [2007]861 号）

《公安机关信息安全等级保护检查工作规范》（公信安 [2008]736 号）

《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安 [2009]1429 号）

第2章 安全现状分析

2.1 网络现状描述

1.XX 企业公司网络信息系统内网架构为三层架构

2.核心交换机直连各楼栋汇聚交换机

3.用户接入交换机，通过 VLAN 划分用户区域

3.网络出口上有两条链路：一条为 500M 的互联网线路；一条为 20M 专线的的集团线路。

2.2 安全现状

XX 企业在一些关键区域已经部署了相应的安