1 项目背景

1.1 国家越来越注重网络安全

“必须深入研究，采取有效措施，切实做好国家关键信息基础设施安全防护。”  主席在网络安全和信息化工作座谈会上的讲话。

1.2 安全合规监管要求越来越高

《网络安全法》《个人信息保护法》以及合规要求《信息系统等级保护2.0》《商用密码应用性安全评估》等相关合规要求。

1.3 企业数字化转型是刻不容缓

数字化转型通常伴随着新技术的应用，如云计算、大数据、物联网等。网络安全确保这些新技术的应用过程中不受到威胁，从而保障创新的顺利实施。

2 设计原则

2.1 先进性

坚持使用先进技术，强调智能化、新技术、新产品在新安全体系中的引领作用。在安全规划中引入AI、大数据、隐私计算、6G等安全技术，实现安全能力的前瞻性。

2.2 合规性

以《中华人民共和国网络安全法》、《信息安全技术 网络安全等级保护基本要求》、《国家电子政务标准化指南》等相关政策标准为依据进行网络安全保障体系建设。

2.3 可行性

结合企业自身安全现状，分步骤、分阶段推进网络安全保障建设工作，结合资金、人员的情况，以最优的方式进行安全建设。

2.4 协同性

安全建设应时刻考虑与业务系统部门之间的联系，安全和业务是一体的，离开谁都无法长久，充分考虑业务系统的特性进行安全设计、建设和运营。

3 规划思路

参考SANS的安全滑动标尺模型构建企业安全保障体系，划分架构安全、被动防护、积极防御、威胁情报和攻击反制等五个阶段，每个阶段对应最佳的行动措施和资源投入，建设新型网络安全能力。以安全架构为建设指标、被动防御为主要手段、积极防御为提升、威胁情报为补充、攻击反制为最后手段。

最为重要的是首先建立“三同步”（同步规划、同步建设和同步运营）的思想来进行安全体系规划。

一是同步规划：在信息系统设计之初，按业务系统机密性、完整性和可用性的要求，进行安全同步规划设计，确保系统的安全；

二是同步建设：在信息系统上线之前，对信息系统的进行安全检查包括：基线扫描、漏洞扫描和渗透测试等手段防止系统风险。

三是同步运营：在信息系统下线之前，安全运营工作应该成为日常工作之一，确定有持续、可靠、有效的安全保障机制，能实时监测安全事件、及时发现内、外部因素导致的安全事件，快速处置降低损失。