前面我們談了定級(jí)、評(píng)審與備案三個(gè)工作項(xiàng)。接下來(lái)則是建設(shè)整改工作部分，但是從《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》，這塊工作則進(jìn)入總體安全規(guī)劃階段，和《信息安全等級(jí)保護(hù)管理辦法》五個(gè)規(guī)定動(dòng)作不再是一一對(duì)應(yīng)關(guān)系了。如圖所示進(jìn)入第二層總體安全規(guī)劃。

　　細(xì)分又包括需求分析、總體設(shè)計(jì)、建設(shè)規(guī)劃，“三同步”原則為“同步規(guī)劃、同步建設(shè)、同步使用”，也就是在規(guī)劃之際就要考慮落實(shí)等級(jí)保護(hù)工作，而不是待測(cè)評(píng)時(shí)才考慮要“過(guò)”等保。另外，等級(jí)保護(hù)測(cè)評(píng)原則上不錯(cuò)在過(guò)不過(guò)，只是對(duì)相應(yīng)的系統(tǒng)給出科學(xué)公正的評(píng)價(jià)。過(guò)不過(guò)等保與前期規(guī)劃有著莫大的關(guān)系，再者等級(jí)保護(hù)測(cè)評(píng)工作的最終落腳點(diǎn)也是安全整改，也就是在安全整改中尋求落實(shí)等級(jí)保護(hù)工作未做到“三同步”而遺留的重大安全問(wèn)題。

　　總體安全規(guī)劃是落實(shí)等級(jí)保護(hù)工作的前期工作，也是非常重要的環(huán)節(jié)。在這個(gè)環(huán)節(jié)，網(wǎng)絡(luò)運(yùn)營(yíng)、使用單位若自身實(shí)力不夠，一定要找足夠?qū)I(yè)的安全服務(wù)機(jī)構(gòu)或?qū)＜覅⑴c其中，提供專業(yè)的服務(wù)和指導(dǎo)。

　　總體安全規(guī)劃階段的目標(biāo)是根據(jù)等級(jí)保護(hù)對(duì)象的劃分情況、等級(jí)保護(hù)對(duì)象的定級(jí)情況、等級(jí)保護(hù)對(duì)象承載業(yè)務(wù)情況，通過(guò)分析明確等級(jí)保護(hù)對(duì)象安全需求，設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案，并制定出安全實(shí)施計(jì)劃，以指導(dǎo)后續(xù)的等級(jí)保護(hù)對(duì)象安全建設(shè)工程實(shí)施。

　　流程大致如下圖所示：

　　依據(jù)上圖，我們將總體安全規(guī)劃工作分成三個(gè)階段。

　　第一階段：安全需求分析

　　這個(gè)階段分基本安全需求和特殊安全需求。

　　基本安全需求需要輸入的包括等級(jí)保護(hù)對(duì)象詳細(xì)描述文件、安全保護(hù)等級(jí)定級(jí)報(bào)告、等級(jí)保護(hù)對(duì)象相關(guān)的其他文檔、GB/T 22239《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、行業(yè)基本要求等。這個(gè)階段對(duì)于基本安全需求涉及的子活動(dòng)有確定等級(jí)保護(hù)對(duì)象范圍和分析對(duì)象、形成基本安全需求。根據(jù)等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)，提出等級(jí)保護(hù)對(duì)象的基本安全保護(hù)需求，通過(guò)安全需求分析輸出內(nèi)容為基本安全需求。

　　特殊安全需求需要輸入的等級(jí)保護(hù)對(duì)象詳細(xì)描述文件、安全保護(hù)等級(jí)定級(jí)報(bào)告、等級(jí)保護(hù)對(duì)象相關(guān)的其他文檔等。這個(gè)階段對(duì)于特殊安全需求可以采用目前成熟或流行的需求分析或風(fēng)險(xiǎn)分析方法，或者采用重要資產(chǎn)分析、重要資產(chǎn)安全弱點(diǎn)評(píng)估、 重要資產(chǎn)面臨威脅評(píng)估、 綜合風(fēng)險(xiǎn)分析。

　　通過(guò)分析重要資產(chǎn)的特殊保護(hù)要求，采用需求分析或風(fēng)險(xiǎn)分析的方法，確定可能的安全風(fēng)險(xiǎn)，判斷實(shí)施特殊安全措施的必要性，提出等級(jí)保護(hù)對(duì)象的特殊安全保護(hù)需求，最終輸出重要資產(chǎn)的特殊保護(hù)要求。

　　該階段輸入內(nèi)容有等級(jí)保護(hù)對(duì)象詳細(xì)描述文件、安全保護(hù)等級(jí)定級(jí)報(bào)告、基本安全需求、重要資產(chǎn)的特殊保護(hù)要求等。這個(gè)階段完成安全需求分析報(bào)告。根據(jù)基本安全需求和特殊的安全保護(hù)需求等形成安全需求分析報(bào)告完成安全需求分析報(bào)告包含但不限于  等級(jí)保護(hù)對(duì)象描述、基本安全需求描述、 特殊安全需求描述。

　　這個(gè)階段的工作是運(yùn)營(yíng)、使用單位，網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)共同完成。

　　通過(guò)總結(jié)基本安全需求和特殊安全需求，形成安全需求分析報(bào)告，最終輸出安全需求分析報(bào)告。

　　第二階段：總體安全設(shè)計(jì)

　　該階段又可以分為總體安全策略設(shè)計(jì)、安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì)、整體安全管理體系結(jié)構(gòu)設(shè)計(jì)，最終則完成設(shè)計(jì)結(jié)果文檔化。

　　總體安全策略設(shè)計(jì)需要輸入的等級(jí)保護(hù)對(duì)象詳細(xì)描述文件、安全保護(hù)等級(jí)定級(jí)報(bào)告、安全需求分析報(bào)告。通過(guò)確定安全方針、制定安全策略形成機(jī)構(gòu)綱領(lǐng)性的安全策略文件，包括確定安全方針，制定安全策略，以便結(jié)合等級(jí)保護(hù)基本要求系列標(biāo)準(zhǔn)、行業(yè)基本要求和安全保護(hù)特殊要求，構(gòu)建機(jī)構(gòu)等級(jí)保護(hù)對(duì)象的安全技術(shù)體系結(jié)構(gòu)和安全管理體系結(jié)構(gòu)。對(duì)于新建的等級(jí)保護(hù)對(duì)象，應(yīng)在立項(xiàng)時(shí)明確其安全保護(hù)等級(jí)，并按照相應(yīng)的保護(hù)等級(jí)要求進(jìn)行總體安全策略設(shè)計(jì)。最終需要輸出總體安全策略文件。

　　安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì)需要輸入總體安全策略文件、等級(jí)保護(hù)對(duì)象詳細(xì)描述文件、安全保護(hù)等級(jí)定級(jí)報(bào)告、安全需求分析報(bào)告、GB/T 22239、行業(yè)基本要求。通過(guò)設(shè)計(jì)安全技術(shù)體系架構(gòu)、規(guī)定不同級(jí)別定級(jí)對(duì)象物理環(huán)境的安全保護(hù)技術(shù)措施、規(guī)定通信網(wǎng)絡(luò)的安全保護(hù)技術(shù)措施、規(guī)定不同級(jí)別定級(jí)對(duì)象的邊界保護(hù)技術(shù)措施、規(guī)定定級(jí)對(duì)象之間互聯(lián)的安全技術(shù)措施、規(guī)定不同級(jí)別定級(jí)對(duì)象內(nèi)部的安全保護(hù)技術(shù)措施；根據(jù)機(jī)構(gòu)總體安全策略文件、等級(jí)保護(hù)基本要求、行業(yè)基本要求和安全需求，提出云計(jì)算、移動(dòng)互聯(lián)等新技術(shù)的安全保護(hù)策略和安全技術(shù)措施。云計(jì)算平臺(tái)應(yīng)至少滿足其承載的最高級(jí)別定級(jí)對(duì)象的等級(jí)保護(hù)基本要求；形成等級(jí)保護(hù)對(duì)象安全技術(shù)體系結(jié)構(gòu)將骨干網(wǎng)或城域網(wǎng)、通過(guò)骨干網(wǎng)或城域網(wǎng)的定級(jí)對(duì)象互聯(lián)、局域網(wǎng)內(nèi)部的定級(jí)對(duì)象互聯(lián)、定級(jí)對(duì)象的邊界、定級(jí)對(duì)象內(nèi)部各類平臺(tái)、機(jī)房以及其他方面的安全保護(hù)策略和安全技術(shù)措施進(jìn)行整理、匯總，形成等級(jí)保護(hù)對(duì)象的安全技術(shù)體系結(jié)構(gòu)。最終需要輸出等級(jí)保護(hù)對(duì)象安全技術(shù)體系結(jié)構(gòu)。圖片

　　整體安全管理體系結(jié)構(gòu)設(shè)計(jì)需要輸入總體安全策略文件、等級(jí)保護(hù)對(duì)象詳細(xì)描述文件、安全保護(hù)等級(jí)定級(jí)報(bào)告、安全需求分析報(bào)告、GB/T 22239、行業(yè)基本要求。通過(guò)設(shè)計(jì)等級(jí)保護(hù)對(duì)象的安全管理體系框架、規(guī)定網(wǎng)絡(luò)安全的組織管理體系和對(duì)不同級(jí)別定級(jí)對(duì)象的安全管理職責(zé)、規(guī)定不同級(jí)別定級(jí)對(duì)象的人員安全管理策略、規(guī)定不同級(jí)別定級(jí)對(duì)象機(jī)房及辦公區(qū)等物理環(huán)境的安全管理策略、規(guī)定不同級(jí)別定級(jí)對(duì)象介質(zhì)、設(shè)備等的安全管理策略、規(guī)定不同級(jí)別定級(jí)對(duì)象運(yùn)行安全管理策略、根據(jù)機(jī)構(gòu)總體安全策略文件、等級(jí)保護(hù)基本要求系列標(biāo)準(zhǔn)、行業(yè)基本要求和安全需求，提出各個(gè)不同級(jí)別定級(jí)對(duì)象的安全事件處置和應(yīng)急管理策略等；規(guī)定不同級(jí)別定級(jí)對(duì)象安全事件處置和應(yīng)急管理策略等。最終需要輸出等級(jí)保護(hù)對(duì)象安全管理體系結(jié)構(gòu)。圖片

　　根據(jù)安全需求分析報(bào)告、等級(jí)保護(hù)對(duì)象安全技術(shù)體系結(jié)構(gòu)、等級(jí)保護(hù)對(duì)象安全管理體系結(jié)構(gòu)等，對(duì)安全需求分析報(bào)告、等級(jí)保護(hù)對(duì)象安全技術(shù)體系結(jié)構(gòu)和安全管理體系結(jié)構(gòu)等文檔進(jìn)行整理，形成等級(jí)保護(hù)對(duì)象總體安全方案。

　　等級(jí)保護(hù)對(duì)象安全總體方案應(yīng)包含但不限于等級(jí)保護(hù)對(duì)象概述、總體安全策略、 等級(jí)保護(hù)對(duì)象安全技術(shù)體系結(jié)構(gòu)、 等級(jí)保護(hù)對(duì)象安全管理體系結(jié)構(gòu)。

　　第三階段：安全建設(shè)項(xiàng)目規(guī)劃

　　該階段又可以分為安全建設(shè)目標(biāo)確定、安全建設(shè)內(nèi)容規(guī)劃，最終則形成安全建設(shè)項(xiàng)目規(guī)劃。

　　安全建設(shè)目標(biāo)確定需要輸入等級(jí)保護(hù)對(duì)象安全總體方案、機(jī)構(gòu)或單位信息化建設(shè)的中長(zhǎng)期發(fā)展規(guī)劃。通過(guò)信息化建設(shè)中長(zhǎng)期發(fā)展規(guī)劃和安全需求調(diào)查、提出等級(jí)保護(hù)對(duì)象安全建設(shè)分階段目標(biāo)，確定各個(gè)時(shí)期的安全建設(shè)目標(biāo)。最終輸出等級(jí)保護(hù)對(duì)象分階段安全建設(shè)目標(biāo)。

　　安全建設(shè)內(nèi)容規(guī)劃需要輸入等級(jí)保護(hù)對(duì)象安全總體方案、等級(jí)保護(hù)對(duì)象分階段安全建設(shè)目標(biāo)。通過(guò)確定主要安全建設(shè)內(nèi)容，其中內(nèi)容可分解為但不限于以下內(nèi)容：

　　1） 安全基礎(chǔ)設(shè)施建設(shè)；

　　2） 網(wǎng)絡(luò)安全建設(shè)；

　　3） 系統(tǒng)平臺(tái)和應(yīng)用平臺(tái)安全建設(shè)；

　　4） 數(shù)據(jù)系統(tǒng)安全建設(shè)；

　　5） 安全標(biāo)準(zhǔn)體系建設(shè)；

　　6） 人才培養(yǎng)體系建設(shè)；

　　7） 安全管理體系建設(shè)。

　　確定主要安全建設(shè)項(xiàng)目實(shí)現(xiàn)設(shè)計(jì)分期分批的主要建設(shè)內(nèi)容，并將建設(shè)內(nèi)容組合成不同的項(xiàng)目，闡明項(xiàng)目之間的依賴或促進(jìn)關(guān)系等。最終輸出安全建設(shè)項(xiàng)目列表（含安全建設(shè)內(nèi)容）。

　　形成安全建設(shè)項(xiàng)目規(guī)劃需要輸入等級(jí)保護(hù)對(duì)象安全總體方案、等級(jí)保護(hù)對(duì)象分階段安全建設(shè)目標(biāo)、安全建設(shè)內(nèi)容等，對(duì)等級(jí)保護(hù)對(duì)象分階段安全建設(shè)目標(biāo)、安全總體方案和安全建設(shè)內(nèi)容等文檔進(jìn)行整理，形成等級(jí)保護(hù)對(duì)象安全建設(shè)項(xiàng)目規(guī)劃。在時(shí)間和經(jīng)費(fèi)上對(duì)安全建設(shè)項(xiàng)目列表進(jìn)行總體考慮，分到不同的時(shí)期和階段，設(shè)計(jì)建設(shè)順序，進(jìn)行投資估算，形成安全建設(shè)項(xiàng)目規(guī)劃。輸出等級(jí)保護(hù)對(duì)象安全建設(shè)項(xiàng)目規(guī)劃。

　　安全建設(shè)項(xiàng)目規(guī)劃可包含但不限于以下內(nèi)容：

　　a） 規(guī)劃建設(shè)的依據(jù)和原則；

　　b） 規(guī)劃建設(shè)的目標(biāo)和范圍；

　　c） 等級(jí)保護(hù)對(duì)象安全現(xiàn)狀；

　　d） 信息化的中長(zhǎng)期發(fā)展規(guī)劃；

　　e） 等級(jí)保護(hù)對(duì)象安全建設(shè)的總體框架；

　　f） 安全技術(shù)體系建設(shè)規(guī)劃；

　　g） 安全管理與安全保障體系建設(shè)規(guī)劃；

　　h） 安全建設(shè)投資估算（含測(cè)試及運(yùn)維估算等內(nèi)容）；

　　i） 等級(jí)保護(hù)對(duì)象安全建設(shè)的實(shí)施保障等內(nèi)容。

　　這個(gè)階段的工作主要是運(yùn)營(yíng)、使用單位，網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)共同完成。

　　前面，我們提到有關(guān)“三同步”，在設(shè)計(jì)策劃階段很多時(shí)候可能會(huì)有更多的商務(wù)介入，其實(shí)在這個(gè)過(guò)程中網(wǎng)絡(luò)運(yùn)營(yíng)、使用單位最需要的具備整體系統(tǒng)性把控安全能力的技術(shù)人員。技術(shù)方面也不是什么都能應(yīng)承都敢應(yīng)承的，一個(gè)全面的技術(shù)人員需要了解法律法規(guī)政策以及當(dāng)下成熟技術(shù)，才能夠給出合理化的建議。

　　等級(jí)保護(hù)工作，遵循“三同步”原則，在設(shè)計(jì)之初需要滿足《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，通過(guò)《網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》《網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》《信息系統(tǒng)安全工程管理要求》等標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)。因?yàn)椤对O(shè)計(jì)要求》又不包括網(wǎng)絡(luò)的物理安全、安全管理、安全運(yùn)維等方面的安全要求，所以還需要與《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等標(biāo)準(zhǔn)配合使用。所以各個(gè)標(biāo)準(zhǔn)之間的關(guān)系是互相支援，相輔相成的關(guān)系，不可鉆進(jìn)一個(gè)標(biāo)準(zhǔn)里出不來(lái)，更不可脫離標(biāo)準(zhǔn)主觀臆斷。

　　在接下來(lái)的時(shí)間里，我們將逐步展開這方面的內(nèi)容，我想無(wú)論是對(duì)于集成方還是網(wǎng)絡(luò)運(yùn)營(yíng)、使用方都有參考意義和價(jià)值。