三级等级保护建设技术建议书 I 目 录 1 概述 3 2 等级保护实施概述 4 2.1 参照标准 4 2.2 基本原则 4 2.3 角色和职责 5 2.4 实施的基本流程 6 3 信息系统安全定级 8 3.1 参照标准 8 3.2 定级原理 8 3.2.1 信息系统安全保护级别 8 3.2.2 信息系统安全保护等级的定级要素 8 3.3 信息系统定级阶段的工作流程 9 4 信息系统详细设计方案 11 4.1 安全建设需求分析 11 4.1.1 网络结构安全 11 4.1.2 边界安全风险与需求分析 11 4.1.3 运维风险需求分析 12 4.1.4 关键服务器管理风险分析 12 4.1.5 关键服务器用户操作管理风险分析 13 4.1.6 数据库敏感数据运维风险分析 14 4.1.7 “人机 ”运维操作行为风险综合分析 14 4.2 安全管理需求分析 15 4.3 整改建议 15 4.4 安全保障体系总体建设 16 4.5 安全技术体系建设 18 4.5.1 建设方案设计原则 18 4.5.2 外网安全设计 20 4.5.3 内网安全设计 22 4.5.4 主机安全体系建设 23 4
