信息網路安全保護體系

1. 網路安全等級保護2.0國家標准

等級保護2.0標准體系主要標准如下：1.網路安全等級保護條例2.計算機信息系統安全保護等級劃分准則3.網路安全等級保護實施指南4.網路安全等級保護定級指南5.網路安全等級保護基本要求6.網路安全等級保護設計技術要求7.網路安全等級保護測評要求8.網路安全等級保護測評過程指南。
第一級（自主保護級），等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益；
第二級（指導保護級），等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；
第三級（監督保護級），等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；
第四級（強制保護級），等級保護對象受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；
第五級（專控保護級），等級保護對象受到破壞後，會對國家安全造成特別嚴重損害
相較於1.0版本，2.0在內容上到底有哪些變化呢？
1.0定級的對象是信息系統，2.0標準的定級的對象擴展至：基礎信息網路、雲計算平台、物聯網、工業控制系統、使用移動互聯技術的網路以及大數據平台等多個系統，覆蓋面更廣。
再者，在系統遭到破壞後，對公民、法人和其他組織的合法權益造成特別嚴重損害的由原來的最高定為二級改為現在的最高可以定為三級。
最後，等保2.0標准不再強調自主定級，而是強調合理定級，系統定級必須經過專家評審和主管部門審核，才能到公安機關備案，定級更加嚴格。
總結通過建立安全技術體系和安全管理體系，構建具備相應等級安全保護能力的網路安全綜合防禦體系，開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。法律依據：《中華人民共和國網路安全法》
第二十一條國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：
（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；
（二）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；
（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；
（四）採取數據分類、重要數據備份和加密等措施；
（五）法律、行政法規規定的其他義務。
第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網路安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。

2. 如何構建信息網路的安全保障體系

隨著航空航天型號任務的增加和工作節奏的加快，航空航天工業要更好地服務於國防現代化建設，就必須加快企業的信息技術的應用過程。如何在加速航空航天信息化的同時，進一步強化航空航天信息安全保障體系建設成為該產業發展的重要目標之一。 航空航天產業，作為國家先進製造業的重要組成部分，承載重大產業項目和國家科技重大專項的工程。目前航空航天產業真正的核心競爭力，體現在內部的流程文檔及機密設計資料當中，數據載體已經承載了企業內部的研發設計資料，產線管理，財務數據等多種關系企業核心競爭力的信息，但由於種種原因造成目前核心數據缺乏有效的安全管控手段，同時如出現數據泄密事件，也沒有有效的手段進行事後的責任認定，給企業的信息安全造成威脅。 經過分析，航空航天產業的數據風險主要集中在以下幾個方面: 1.研發設計資料泄密風險 內部的圖紙，二維如CAD，CAXA等設計圖紙，三維如COTIA，PRO/E等的設計圖紙生產階段進行有效的安全管控，容易造成泄密。 2.內部關鍵文檔使用泄密風險 公司多部門文檔流轉使用過程中缺乏對文檔的密級管理，容易造成非授權使用而造成內部泄密。 3.第三方文檔泄密風險 外協廠商或合作夥伴在獲得內部設計資料、文檔後，私自進行外發或其他行為造成泄密事件發生。 4.應用系統泄密風險 應用系統無有效的安全防護手段，上傳下載過程中安全管控缺失，容易造成伺服器數據的泄密風險等。 基於該產業面臨的核心數據風險，北京億賽通科技發展有限責任公司(簡稱:億賽通)，基於10年的數據防泄露產品經驗，推出了針對航空航天產業發展的數據安全解決方案。 1.數據生產安全防護 該模塊採用億賽通自主研發的基於系統底層的驅動級加密技術，配合操作系統層面應用安全控制，實現對內部設計研發資料，生產數據等的實時，強制，透明加密。保證內部數據被非授權外帶的情況下無法被有效使用，實現內部數據的機密性。 2.關鍵文檔密級管理控制 在通過透明加解密模塊解決數據生產者端安全防護的同時，數據內部流轉過程中的許可權控制也是關注的焦點之一，採用主動授權的機制對需要流轉的文檔進行授權，實現指定人員使用指定文檔的指定許可權的功能，嚴格控制內部文檔的流轉許可權，防止內部信息的非授權查看使用。 3.外發第三方數據安全保護 針對產業外協廠商，合作夥伴較多的情況，億賽通提供了外發管理模塊，通過制定的外發平台對需要外發的文件進行安全處理，實現該文檔在非公司環境的授權使用，並嚴格限制該文檔的使用許可權，而使用方無需安裝任何軟體，只需WINDOWS操作系統即可。 4.業務系統數據集成保護 為實現對目前越來越多的後台業務系統進行安全防護，同時保證業務系統的安全可靠運行，億賽通提供了文檔安全網關產品，通過靈活的網路部署方式，結合億賽通加密客戶端實現上傳解密，下載加密的功能，可實現伺服器明文存儲，終端加密使用。 結合多種的業務系統應用，實現對後台伺服器的集中保護，提供業務系統准入，鏈路通信安全防護，同時可批量對業務系統下載數據進行加密控制。 航空航天產業已被列入國家戰略性新興產業和優先發展的高技術產業。因此，只有關注產業進入快速發展階段的信息化安全建設，才能促進我國航空航天工業轉型升級，實現平穩較快發展，在更大范圍更寬領域佔領高地。

3. 信息網路安全的什麼是信息系統安全等級保護

等級保護是我們國家的基本網路安全制度、基本國策，也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求，也是國家關鍵信息基礎措施保護的基本要求。

信息系統的安全保護等級分為以下五級：

第一級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。

第二級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。

第三級，信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。第四級，信息系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。

第五級，信息系統受到破壞後，會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。

網路安全等級保護備案辦理流程：

一步：定級;（定級是等級保護的首要環節）

二步：備案；（備案是等級保護的核心）

三步：建設整改；（建設整改是等級保護工作落實的關鍵）

四步：等級測評；（等級測評是評價安全保護狀況的方法）

五步：監督檢查。（監督檢查是保護能力不斷提高的保障）

證書案例

4. 根據網路安全法的規定國家實行網路安全什麼保護制度

【法律分析】
根據網路安全法的規定國家實行網路安全等級保護制度
根據2017年6月1日起施行《中華人民共和國網路安全法》的規定，等級保護是我國信息安全保障的基本制度。
網路安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公信息和存儲、傳輸、處理這些信息的網路資源及功能組件分等級實行安全保護，對網路中使用的安全技術和管理制度實行按等級管理，對網路中發生的信息安全事件分等級響應、處置。
等級保護制度也在逐漸發展，它對定級指南、基本要求、實施指南、測評過程指南、測評要求、設計技術要求等標准進行修訂和完善，以滿足新形勢下等級保護工作的需要。
【法律依據】
《網路安全法》第二十一條：國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：
（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；
（二）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；
（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；
（四）採取數據分類、重要數據備份和加密等措施；
（五）法律、行政法規規定的其他義務。
《網路安全法》第三十一條：國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網路安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。

5. 網路安全保障的體系有那些

在當今網路化的世界中，計算機信息和資源很容易遭到各方面的攻擊。一方面，來源於Internet，Internet給企業網帶來成熟的應用技術的同時，也把固有的安全問題帶給了企業網；另一方面，來源於企業內部，因為是企業內部的網路，主要針對企業內部的人員和企業內部的信息資源，因此，企業網同時又面臨自身所特有的安全問題。網路的開放性和共享性在方便了人們使用的同時，也使得網路很容易遭受到攻擊，而攻擊的後果是嚴重的，諸如數據被人竊取、伺服器不能提供服務等等。隨著信息技術的高速發展，網路安全技術也越來越受到重視，由此推動了防火牆、人侵檢測、虛擬專用網、訪問控制等各種網路安全技術的蓬勃發展。 企業網路安全是系統結構本身的安全，所以必須利用結構化的觀點和方法來看待企業網安全系統。企業網安全保障體系分為4個層次，從高到低分別是企業安全策略層、企業用戶層、企業網路與信息資源層、安全服務層。按這些層次建立一套多層次的安全技術防範系統，常見的企業網安全技術有如下一些。 VLAN(虛擬區域網)技術 選擇VLAN技術可較好地從鏈路層實施網路安全保障。VLAN指通過交換設備在網路的物理拓撲結構基礎上建立一個邏輯網路，它依*用戶的邏輯設定將原來物理上互連的一個區域網劃分為多個虛擬子網，劃分的依據可以是設備所連埠、用戶節點的MAC地址等。該技術能有效地控制網路流量、防止廣播風暴，還可利用MAC層的數據包過濾技術，對安全性要求高的VLAN埠實施MAC幀過濾。而且，即使黑客攻破某一虛擬子網，也無法得到整個網路的信息。 網路分段 企業網大多採用以廣播為基礎的乙太網，任何兩個節點之間的通信數據包，可以被處在同一乙太網上的任何一個節點的網卡所截取。因此，黑客只要接人乙太網上的任一節點進行偵聽，就可以捕獲發生在這個乙太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息。網路分段就是將非法用戶與網路資源相互隔離，從而達到限制用戶非法訪問的目的。 硬體防火牆技術 任何企業安全策略的一個主要部分都是實現和維護防火牆，因此防火牆在網路安全的實現當中扮演著重要的角色。防火牆通常位於企業網路的邊緣，這使得內部網路與Internet之間或者與其他外部網路互相隔離，並限制網路互訪從而保護企業內部網路。設置防火牆的目的都是為了在內部網與外部網之間設立唯一的通道，簡化網路的安全管理。 入侵檢測技術 入侵檢測方法較多，如基於專家系統入侵檢測方法、基於神經網路的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現。 不知道你找的是不是這些

6. 網路及信息系統需要構建什麼樣的網路安全防護體系

網路安全保障體系的構建

網路安全保障體系如圖1所示。其保障功能主要體現在對整個網路系統的風險及隱患進行及時的評估、識別、控制和應急處理等，便於有效地預防、保護、響應和恢復，確保系統安全運行。

圖4 網路安全保障體系框架

網路安全管理的本質是對網路信息安全風險進行動態及有效管理和控制。網路安全風險管理是網路運營管理的核心，其中的風險分為信用風險、市場風險和操作風險，包括網路信息安全風險。實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

1) 網路安全策略。屬於整個體系架構的頂層設計，起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念，從長遠發展規劃和戰略角度整體策劃網路安全建設。

2) 網路安全政策和標准。是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個層面，各層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整並相互適應，反之，安全政策和標准也會影響管理、運作和技術。

3) 網路安全運作。基於日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

4) 網路安全管理。對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

摘自-拓展：網路安全技術及應用（第3版）賈鐵軍主編，機械工業出版社，2017

7. 簡要概述網路安全保障體系的總體框架

網路安全保障體系的總體框架

1．網路安全整體保障體系

計算機網路安全的整體保障作用，主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路安全整體保障體系如圖1所示。

圖4 網路安全保障體系框架結構

【拓展閱讀】：風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上，制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等一整套系統而科學的管理方法，以避免和減少風險損失。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心，風險分為信用風險、市場風險和操作風險，其中包括信息安全風險。

實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

(1)網路安全策略。以風險管理為核心理念，從長遠發展規劃和戰略角度通盤考慮網路建設安全。此項處於整個體系架構的上層，起到總體的戰略性和方向性指導的作用。

(2)網路安全政策和標准。網路安全政策和標準是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個不同層面，在每一層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，以保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整相互適應，反之，安全政策和標准也會影響管理、運作和技術。

(3)網路安全運作。網路安全運作基於風險管理理念的日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

(4)網路安全管理。網路安全管理是體系框架的上層基礎，對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

(5)網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可以極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

引自高等教育出版社網路安全技術與實踐賈鐵軍主編2014.9

8. 網路安全等級保護2.0標准體系

等級保護2.0標准主要特點

首先，我們來看看網路安全等級保護2.0的主要標准，如下圖：

說起網路安全等級保護2.0標準的特點，馬力副研究員表示，主要體現在以下三個方面：

一是，對象范圍擴大。新標准將雲計算、移動互聯、物聯網、工業控制系統等列入標准范圍，構成了「安全通用要求+新型應用安全擴展要求」的要求內容。

二是，分類結構統一。新標准「基本要求、設計要求和測評要求」分類框架統一，形成了「安全通信網路」、「安全區域邊界」、「安全計算環境」和「安全管理中心」支持下的三重防護體系架構。

三是，強化可信計算。新標准強化了可信計算技術使用的要求，把可信驗證列入各個級別並逐級提出各個環節的主要可信驗證要求。

「標准從一級到四級全部提出了可信驗證控制項。但在標準的試用期間，對於可信驗證的落地還存在諸多挑戰。所以，我們希望與這次參會的所有硬體廠商、軟體廠商、安全服務商共同努力，把可信驗證、可信計算這方面的產品產業化，來更好地支撐新標准。」 馬力副研究員說到。

等級保護2.0標準的十大變化

隨後，他為大家解讀了等級保護2.0標準的十大變化，具體如下：

1、名稱的變化

從原來的《信息系統安全等級保護基本要求》改為《信息安全等級保護基本要求》，再改為《網安全等級保護基本要求》。

2、對象的變化

原來的對象是信息系統，現在等級保護的對象是網路和信息系統。安全等級保護的對象包括網路基礎設施(廣電網、電信網、專用通信網路等)、雲計算平台/系統、大數據平台/系統、物聯網、工業控制系統、採用移動互聯技術的系統等。

3、安全要求的變化

由「安全要求」改為「安全通用要求和安全擴展要求」。

安全通用要求是不管等級保護對象形態如何必須滿足的要求，針對雲計算、移動互聯、物聯網和工業控制系統提出了特殊要求，成為安全擴展要求。

4、章節結構的變化

第三級安全要求的目錄與之前版本明顯不同，以前包含技術要求、管理要求。現在的目錄包含：安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求。

對此，馬力副研究員指出：「別小看只是目錄架構的變化，這導致整個新標準的使用不同。1.0標准規定技術要求和管理要求全部實現。現在需要根據場景選擇性的使用通用要求+某一個擴展要求。」

5、分類結構的變化

在技術部分，由物理安全、網路安全、主機安全、應用安全、數據安全，變更為安全物理環境、安全通信網路、安全區域邊界、安全計算環境、安全管理中心;在管理部分，結構上沒有太大的變化，從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理，調整為安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

6、增加了雲計算安全擴展要求

雲計算安全擴展要求章節針對雲計算的特點提出特殊保護要求。對雲計算環境主要增加的內容包括：基礎設施的位置、虛擬化安全保護、鏡像和快照保護、雲服務商選擇和雲計算環境管理等方面。

7、增加了移動互聯網安全擴展要求

移動互聯安全擴展要求章節針對移動互聯的特點提出特殊保護要求。對移動互聯環境主要增加的內容包括：無線接入點的物理位置、移動終端管控、移動應用管控、移動應用軟體采購和移動應用軟體開發等方面。

8、增加了物聯網安全擴展要求

物聯網安全擴展要求章節針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的內容包括：感知節點的物理防護、感知節點設備安全、感知網關節點設備安全、感知節點的管理和數據融合處理等方面。

9、增加了工業控制系統安全擴展要求

工業控制系統安全擴展要求章節針對工業控制系統的特點提出特殊保護需求。對工業控制系統主要增加的內容包括：室外控制設備防護、工業控制系統網路架構安全、撥號使用控制、無線使用控制和控制設備安全等方面。

10、增加了應用場景的說明

增加附錄C描述等級保護安全框架和關鍵技術，增加附錄D描述雲計算應用場景，附錄E描述移動互聯應用場景，附錄F描述物聯網應用場景，附錄G描述工業控制系統應用場景，附錄H描述大數據應用場景(安全擴展要求)。

等級保護2.0標準的主要框架和內容

為了讓大家更為直觀的了解等級保護2.0標準的主要框架和內容，我重點通過PPT來闡述。

首先來看看新標准結構：

2008版基本要求文檔結構如下：

新基本要求文檔結構如下：

安全通用要求中的安全物理部分變化不大，見下面：

網路試用版到***版被拆分了三個部分：安全通信網路、安全區域邊界、安全管理中心。安全管理中心在強調集中管控的時候，再次強調了系統管理，審計管理，安全管理，構成新的標准內容。具體如下：

演講***，馬力副研究員對幾個擴展要求進行了總結展示。他強調，GB/T22239-2019《信息安全技術 網路安全等級保護基本要求》將替代原來的GB/T2239-2008《信息安全技術 信息系統安全等級保護基本要求》，並呼籲大家認真學習新版等保要求。

9. 怎樣為信息系統構建安全防護體系

1、結構化及縱深防禦保護框架
系統在框架設計時應從一個完整的安全體系結構出發，綜合考慮信息網路的各個環節，綜合使用不同層次的不同安全手段，為核心業務系統的安全提供全方位的管理和服務。
在信息系統建設初期，考慮系統框架設計的時候要基於結構化保護思想，覆蓋整體網路、區域邊界、計算環境的關鍵保護設備和保護部件本身，並在這些保護部件的基礎上系統性地建立安全框架。使得計算環境中的應用系統和數據不僅獲得外圍保護設備的防護，而且其計算環境內的操作系統、資料庫自身也具備相應的安全防護能力。同時要明確定義所有訪問路徑中各關鍵保護設備及安全部件間介面，以及各個介面的安全協議和參數，這將保證主體訪問客體時，經過網路和邊界訪問應用的路徑的關鍵環節，都受到框架中關鍵保護部件的有效控制。
在進行框架設計時可依據IATF（信息保護技術框架）深度防護戰略的思想進行設計，IATF模型從深度防護戰略出發，強調人、技術和操作三個要素，基於縱深防禦架構構建安全域及邊界保護設施，以實施外層保護內層、各層協同的保護策略。該框架使能夠攻破一層或一類保護的攻擊行為無法破壞整個信息基礎設施。在攻擊者成功地破壞了某個保護機制的情況下，其它保護機制仍能夠提供附加的保護。
在安全保障體系的設計過程中，必須對核心業務系統的各層邊界進行全面分析和縱深防禦體系及策略設計，在邊界間採用安全強隔離措施，為核心業務系統建立一個在網路層和應用層同時具備較大縱深的防禦層次結構，從而有效抵禦外部通過網路層和應用層發動的入侵行為。
2、全生命周期的閉環安全設計
在進行信息系統的安全保障體系建設工作時，除設計完善的安全保障技術體系外，還必須設計建立完整的信息安全管理體系、常態化測評體系、集中運維服務體系以及應急和恢復體系，為核心信息系統提供全生命周期的安全服務。
在項目開展的全過程中，還應該遵循SSE-CMM（信息安全工程能力成熟度模型）所確定的評價安全工程實施綜合框架，它提供了度量與改善安全工程學科應用情況的方法，也就是說，對合格的安全工程實施者的可信性，是建立在對基於一個工程組的安全實施與過程的成熟性評估之上的。SSE-CMM將安全工程劃分為三個基本的過程域：風險、工程、保證。風險過程識別所開發的產品或系統的危險性，並對這些危險性進行優先順序排序。針對危險性所面臨的問題，工程過程要與其他工程一起來確定和實施解決方案。由安全保證過程來建立對最終實施的解決方案的信任，並向顧客轉達這種安全信任。因此，在安全工程實施過程中，嚴格按照SSE-CMM體系來指導實施流程，將有效地提高安全系統、安全產品和安全工程服務的質量和可用性。
3、信息系統的分域保護機制
對信息系統進行安全保護設計時，並不是對整個系統進行同一級別的保護，應針對業務的關鍵程度或安全級別進行重點的保護，而安全域劃分是進行按等級保護的重要步驟。
控制大型網路的安全的一種方法就是把網路劃分成單獨的邏輯網路域，如內部服務網路域、外部服務網路域及生產網路域，每一個網路域由所定義的安全邊界來保護，這種邊界的實施可通過在相連的兩個網路之間的安全網關來控制其間訪問和信息流。網關要經過配置，以過濾兩個區域之間的通信量，並根據訪問控制方針來堵塞未授權訪問。
根據信息系統實際情況劃分不同的區域邊界，重點關注從互聯網→外部網路→內部網路→生產網路，以及以應用系統為單元的從終端→伺服器→應用→中間件→資料庫→存儲的縱向各區域的安全邊界，綜合採用可信安全域設計，從而做到縱深的區域邊界安全防護措施。
實現結構化的網路管理控制要求的可行方法就是進行區域邊界的劃分和管理。在這種情況下，應考慮在網路邊界和內部引入控制措施，來隔離信息服務組、用戶和信息系統，並對不同安全保護需求的系統實施縱深保護。
一般來說核心業務系統必然要與其它信息系統進行交互。因此，應根據防護的關鍵保護部件的級別和業務特徵，對有相同的安全保護需求、相同的安全訪問控制和邊界控制策略的業務系統根據管理現狀劃分成不同的安全域，對不同等級的安全域採用對應級別的防護措施。根據域間的訪問關系和信任關系，設計域間訪問策略和邊界防護策略，對於進入高等級域的信息根據結構化保護要求進行數據規劃，對於進入低等級域的信息進行審計和轉換。
4、融入可信計算技術
可信計算技術是近幾年發展起來的一種基於硬體的計算機安全技術，其通過建立信任鏈傳遞機制，使得計算機系統一直在受保護的環境中運行，有效地保護了計算機中存儲數據的安全性，並防止了惡意軟體對計算機的攻擊。在信息系統安全保障體系設計時，可以考慮融入可信計算技術，除重視安全保障設備提供的安全防護能力外，核心業務系統安全保障體系的設計將強調安全保障設備的可靠性和關鍵保護部件自身安全性，為核心業務系統建立可信賴的運行環境。
以可信安全技術為主線，實現關鍵業務計算環境關鍵保護部件自身的安全性。依託縱深防禦架構應用可信與可信計算技術（含密碼技術）、可信操作系統、安全資料庫，確保系統本身安全機制和關鍵防護部件可信賴。在可信計算技術中，密碼技術是核心，採用我國自主研發的密碼演算法和引擎，通過TCM模塊，來構建可信計算的密碼支撐技術，最終形成有效的防禦惡意攻擊手段。通過系統硬體執行相對基礎和底層的安全功能，能保證一些軟體層的非法訪問和惡意操作無法完成，可信計算技術的應用可以為建設安全體系提供更加完善的底層基礎設施，並為核心業務系統提供更強有力的安全保障。
5、細化安全保護策略與保障措施
在核心業務系統不同區域邊界之間基本都以部署防火牆為鮮明特點，強化網路安全策略，根據策略控制進出網路的信息，防止內部信息外泄和抵禦外部攻擊。
在區域邊界處部署防火牆等邏輯隔離設備實施訪問控制，設置除因數據訪問而允許的規則外，其他全部默認拒絕，並根據會話狀態信息（如包括數據包的源地址、目的地址、源埠號、目的埠號、協議、出入的介面、會話序列號、發出信息的主機名等信息，並應支持地址通配符的使用）對數據流進行控制；對進出網路的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制；自動終止非活躍會話連接；限制網路最大流量及網路連接數，防止DOS等攻擊行為；使用IP與MAC綁定技術，防範地址欺騙等攻擊行為；使用路由器、防火牆、認證網關等邊界設備，配置撥號訪問控制列表對系統資源實現單個用戶的允許或拒絕訪問，並限制撥號訪問許可權的用戶數量。
在核心業務系統內網的核心交換邊界部署網路入侵檢測系統，對網路邊界處入侵和攻擊行為進行檢測，並在最重要的區域和易於發生入侵行為的網路邊界進行網路行為監控，在核心交換機上部署雙路監聽埠IDS系統，IDS監聽埠類型需要和核心交換機對端的埠類型保持一致。在網路邊界處監視以下攻擊行為：埠掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網路蠕蟲攻擊等；當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。
在區域邊界處部署防病毒網關，對進出網路的數據進行掃描，可以把病毒攔截在外部，減少病毒滲入內網造成危害的可能。防病毒網關是軟硬體結合的設備，通常部署在防火牆和中心交換機之間，可以在病毒進入網路時對它進行掃描和查殺。防病毒網關可以採用全透明方式，適用於各種復雜的網路環境，通過多層過濾、深度內容分析、關聯等技術策略，對網路數據進行高效過濾處理，可以提升網路環境的安全狀況。防病毒網關需要具備以下特性：
（1）防病毒、防木馬以及針對操作系統、應用程序漏洞進行的攻擊。
（2）防蠕蟲攻擊，防病毒網關根據自有的安全策略可以攔截蠕蟲的動態攻擊，防止蠕蟲爆發後對網路造成的阻塞。
（3）過濾垃圾郵件功能，防病毒過濾網關通過檢查郵件伺服器的地址來過濾垃圾郵件。防病毒網關通過黑名單資料庫以及啟發式掃描的資料庫，對每封郵件進行判斷並且識別，提高了對垃圾郵件的檢測力度，實現了垃圾郵件網關的功能。
邊界設備等作為區域邊界的基礎平台，其安全性至關重要。由於邊界設備存在安全隱患（如：安裝、配置不符合安全需求；參數配置錯誤；賬戶/口令問題；許可權控制問題；安全漏洞沒有及時修補；應用服務和應用程序濫用等）被利用而導致的安全事件往往是最經常出現的安全問題，所以對這些基礎設施定期地進行安全評估、安全加固與安全審計，對增強區域邊界的安全性有著重要的意義。
6、常態化的安全運維
信息系統的安全不僅依賴於增加和完善相應的安全措施，而且在安全體系建設完成之後，需要通過相應的安全體系運行保障手段，諸如定期的評估、檢查加固、應急響應機制及持續改進措施，以確保安全體系的持續有效性。
（1）定期進行信息安全等級保護測評。根據國家要求，信息系統建設完成後，運營、使用單位或者其主管部門應當選擇具有信息安全測評資質的單位，依據相關標準定期對信息系統開展信息安全等級保護測評。通過測評可以判定信息系統的安全狀態是否符合等級保護相應等級的安全要求，是否達到了與其安全等級相適應的安全防護能力。通過對信息系統等級符合性檢驗，最終使系統達到等級保護的相關要求，降低信息安全風險事件的發生概率。
（2）定期進行安全檢查及整改。確定安全檢查對象，主要包括關鍵伺服器、操作系統、網路設備、安全設備、主要通信線路和客戶端等，通過全面的安全檢查，對影響系統、業務安全性的關鍵要素進行分析，發現存在的問題，並及時進行整改。
（3）對於互聯網系統或與互聯網連接的系統，定期進行滲透測試。滲透測試是一種信息系統進行安全檢測的方法，是從攻擊者的角度來對信息系統的安全防護能力進行安全檢測的手段，在對現有信息系統不造成任何損害的前提下，模擬入侵者對指定系統進行攻擊測試。滲透測試通常能以非常明顯、直觀的結果來反映出系統的安全現狀。
（4）定期進行安全教育培訓。技術培訓主要是提高員工的安全意識和安全技能，使之能夠符合相關信息安全工作崗位的能力要求，全面提高自身整體的信息安全水平。針對不同層次、不同職責、不同崗位的員工，進行有關信息安全管理的理論培訓、安全管理制度教育、安全防範意識宣傳和專門安全技術訓練，確保信息安全策略、規章制度和技術規范的順利執行，從而最大限度地降低和消除安全風險。

10. 國家實行的網路安全保護制度是

國家《網路安全法》規定國家實行網路安全等級保護制度，標志著從1994年的國務院條例(國務院令第147號)上升到國家法律；標志著國家實施十餘年的信息安全等級保護制度進入2.0階段；標志著以保護國家關鍵信息基礎設施安全為重點的網路安全等級保護制度依法全面實施。
網路安全等級保護制度是新時期國家網路安全的基本制度、基本國策，我們將構建網路安全等級保護新的法律和政策體系、新的標准體系、新的技術支撐體系、新的人才隊伍體系、新的教育訓練體系和新的保障體系。
網路安全等級保護制度進入2.0時代，其核心內容：
一是將風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜治考核等重點措施全部納入等級保護制度並實施；
二是將網路基礎設施、信息系統、網站、數據資源、雲計算、物聯網、移動互聯網、工控系統、公眾服務平台、智能設備等全部納入等級保護和安全監管；
三是將互聯網企業的網路、系統、大數據等納入等級保護管理，保護互聯網企業健康發展。家實行網路安全保護制度是網路安全等級保護制度。
法律依據：
《網路安全法》第二十一條國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：
（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；
（二）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；
（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；
（四）採取數據分類、重要數據備份和加密等措施；
（五）法律、行政法規規定的其他義務。