1 项目综述 4 1.1 项目背景 4 1.2 安全目标 4 1.3 建设范围 5 1.4 建设依据 5 1.4.1 国家相关政策要求 5 1.4.2 等级保护及信息安全相关国家标准 5 2 云安全等保风险分析 6 2.1 合规性风险 8 2.2 系统建设风险 8 2.2.1 应用迁入阻力风险 8 2.2.2 虚拟化平台品牌选择风险 9 2.2.3 建设质量计量、监督风险 9 2.2.4 安全规划风险 9 2.2.5 建设计划风险 9 2.3 安全技术风险 10 2.3.1 物理安全风险 10 2.3.2 网络安全风险 10 2.3.3 主机安全风险 11 2.3.4 应用安全风险 12 2.3.5 数据安全风险 13 2.3.6 虚拟化平台安全风险 14 2.3.7 虚拟化网络安全风险 14 2.3.8 虚拟化主机安全风险 15 2.3.1 安全管理风险 16 2.3.2 云环境下的特有安全管理风险 16 2.3.3 安全组织建设风险 16 2.3.4 人员风险 17 2.3.5 安全策略风险 17 2.3.6 安全审计风险 17 2.4 安全运维风险 18 2.4.1 云环境下的特有运维风险 18 2.4.2 环境与资产风险 19 2.4.3 操作与运维风险 19 2.4.4 业务连续性风险 19 2.4.5 监督和检查风险 19 2.4.6 第三方服务风险 20 3 解决方案总体设计 21 3.1 设计原则 21 3.2 安全保障体系构成 22 3.2.1 安全技术体系 23 3.2.2 安全管理体系 26 3.2.3 安全运维体系 26 3.3 安全技术方案详细设计 27 3.3.1 信息安全拓扑设计 27 3.3.2 安全计算环境设计 38 3.3.3 安全区域边界设计 46 3.3.4 安全通信网络设计 49 3.3.5 安全管理中心设计 52 3.4 安全管理体系详细设计 54 3.4.1 安全管理建设设计指导思想 55 3.4.2 建立安全管理制度及策略体系的目的 55 3.4.3 设计原则 55 3.4.4 安全方针 56 3.4.5 信息安全策略框架 56 3.4.6 总体策略 56 3.4.7 安全管理组织机构 57 3.4.8 服务交付物 59 3.5 安全运维体系详细设计 61 3.5.1 门户网站安全监控 62 3.5.2 应急响应服务 65 3.5.3 安全通告服务 67 3.5.4 网络及安全设备维护 68 3.5.5 系统安全维护 69 3.5.6 网络防护 69 3.5.7 系统加固 70 4 本期采购安全产品清单 75

资料包括：（1）GBZ 25320.3-2010 电力系统管理及其信息交换 数据和通信安全 第3部分：通信网络和系统安全包括TCP IP的协议集。（2）GBZ 25320.4-2010 电力系统管理及其信息交换 数据和通信安全 第4部分：包含MMS的协议集。（3）GBZ 25320.6-2011 电力系统管理及其信息交换 数据和通信安全 第6部分IEC 61850的安全。（4）电力工控网络安全防护技巧探讨及建议。（5）电力行业等级保护中的数据安全防护。（6）电力行业解决方案。（7）电力行业网络与信息安全管理办法。（8）电力行业信息化建设及数据安全防护分析交流。（9）工业网络安全 —电力行业。（10）数据安全能力建设实施指南 V1.0(征求意见稿)。（11）数据安全治理建设指南。（12）信息安全管理体系实施案例及文件集

信息安全等级保护制度是国家信息安全保障工作的基本制度。为了切实推进 信息安全等级保护工作，公安部、国家保密局、国家密码管理局和原国务院信息 办联合会签并印发了《信息安全等级保护管理办法》(公通字[2007]43号)，编 制了信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保 护基本要求》(以下简称《基本要求》)，从管理和技术两个方面来规范和促进信 息安全等级保护制度的全面落实。

网络安全等级保护制度背景 《网络安全等级保护2.0》概述 网络安全等级保护测评工作

等保2.0

GBT22239-2019信息安全技术网络安全等级保护基本要求第三级安全要求表格版正式版

等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流...

JR-T 0071-2020金融行业网络安全等级保护实施指引 JR-T 0072-2020金融行业网络安全等级保护测评指南

信息安全技术　网络安全等级保护基本要求 本标准规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。 本标准适用于指导分等级的非涉密对象的安全建设和监督管理

这个文档是公安部统一组织的，信息安全等级保护测评师初级考试题，文档中附带了答案。