前面我們將總體安全規(guī)劃看了一遍，接下來我們則進入安全設計與實施，如圖所示進入第三層安全設計與實施。該階段的目標是按照等級保護對象安全總體方案的要求，結合等級保護對象安全建設項目規(guī)劃，分期分步落實安全措施。

　　該階段又可以分為安全方案詳細設計、技術措施的實現(xiàn)、管理措施的實現(xiàn)三個階段。如圖所示進入第三層安全設計與實施。

　　設計與實施階段，是網(wǎng)絡運營、使用單位最關心的一個階段，所以在各單位被監(jiān)督檢查過程中，存在的一個突出問題就是“重建設，輕管理”，可以說是一個通病。而網(wǎng)絡安全服務機構，也更熱衷這塊工作。因為干完，理論上走完最后合同要求就可以拿錢了。但是，在這個工作流程中，各方是否真的扎實落實前面的規(guī)劃和方案了呢？

　　安全規(guī)劃設計屬于知行合一之“知”階段，而設計與實施則時“行”的階段。以下內(nèi)容，至少可以作為網(wǎng)絡運營、使用單位對所買服務質(zhì)量的一個參考；同理，也可以作為網(wǎng)絡安全服務機構和集成機構對自身服務質(zhì)量做一個整體參考。有關安全服務更多信息，可以參見我公眾號相關文章以及有關國家標準。

　　第一階段：安全方案詳細設計

　　該階段又可以由技術措施實現(xiàn)內(nèi)容的設計、管理措施實現(xiàn)內(nèi)容的設計兩部分內(nèi)容構成。

　　技術措施實現(xiàn)內(nèi)容的設計是需要輸入安全總體方案、安全建設項目規(guī)劃、各類信息技術產(chǎn)品和網(wǎng)絡安全產(chǎn)品技術說明資料、網(wǎng)絡安全服務機構評價材料等，根據(jù)建設目標和建設內(nèi)容將等級保護對象安全總體方案中要求實現(xiàn)的安全策略、安全技術體系結構、安全措施和要求落實到產(chǎn)品功能或物理形態(tài)上，通過結構框架的設計、安全功能要求的設計、性能要求的設計、部署方案的設計、制定安全策略的實現(xiàn)計劃等提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范，并將產(chǎn)品功能特征整理成文檔，使得在網(wǎng)絡安全產(chǎn)品采購和安全控制的開發(fā)階段具有依據(jù)。在這個過程中就涉及安全實現(xiàn)技術框架中使用到的相關網(wǎng)絡安全產(chǎn)品，如防火墻、VPN、網(wǎng)閘、認證網(wǎng)關、代理服務器、網(wǎng)絡防病毒、PKI、云安全防護產(chǎn)品、移動終端應用軟件與防護產(chǎn)品等提出性能指標要求。對需要開發(fā)的安全控制組件，提出性能指標要求，最終輸入技術措施實施方案。

　　這個階段的工作是由運營、使用單位，網(wǎng)絡安全服務機構，網(wǎng)絡安全產(chǎn)品供應商等共同完成。

　　管理措施實現(xiàn)內(nèi)容的設計是需要輸入安全總體方案，安全建設項目規(guī)劃等，根據(jù)等級保護對象運營、使用單位當前安全管理需要和安全技術保障需要，通過結合等級保護對象實際安全管理需要和本次技術建設內(nèi)容，確定本次安全管理建設的范圍和內(nèi)容，同時注意與等級保護對象安全總體方案的一致性。安全管理設計的內(nèi)容主要考慮：安全策略和管理制度制定、安全管理機構和人員的配套、安全建設過程管理等，提出與等級保護對象安全總體方案中管理部分相適應的本期安全實施內(nèi)容，以保證在安全技術建設的同時，安全管理得以同步建設，最終輸出管理措施實施方案。

　　這個階段的工作是由運營、使用單位，網(wǎng)絡安全服務機構等共同完成。

　　通過輸入技術措施實施方案，管理措施實施方案，將技術措施實施方案、管理措施實施方案匯總，同時考慮工時和成本，最后形成指導安全實施的指導性文件，對技術措施實施方案中技術實施內(nèi)容和管理措施實施方案中管理實施內(nèi)容等文檔進行整理，形成等級保護對象安全建設詳細設計方案，最終設計結果的文檔化。

　　安全詳細設計方案理應包含且不限于以下內(nèi)容：

　　a）建設目標和建設內(nèi)容；

　　b）技術實現(xiàn)方案；

　　c）網(wǎng)絡安全產(chǎn)品或組件安全功能及性能要求；

　　d）網(wǎng)絡安全產(chǎn)品或組件部署；

　　e）安全控制策略和配置；

　　f） 配套的安全管理建設內(nèi)容；

　　g）工程實施計劃；

　　h）項目投資概算。

　　這個階段的工作是由運營、使用單位，網(wǎng)絡安全服務機構等共同完成。

　　第二階段：技術措施的實現(xiàn)

　　該階段又可以由網(wǎng)絡安全產(chǎn)品或服務采購、安全控制的開發(fā)、安全控制集成、系統(tǒng)驗收四部分內(nèi)容構成。

　　網(wǎng)絡安全產(chǎn)品或服務采購是需要輸入安全詳細設計方案，相關供應商及產(chǎn)品信息等，按照安全詳細設計方案中對于產(chǎn)品或服務的具體指標要求進行采購，根據(jù)產(chǎn)品、產(chǎn)品組合或服務實現(xiàn)的功能、性能和安全性滿足安全設計要求的情況，通過制定產(chǎn)品或服務采購說明書、選擇產(chǎn)品或服務，來選購所需的網(wǎng)絡安全產(chǎn)品或服務。最終輸出需采購的網(wǎng)絡安全產(chǎn)品性能、功能和安全要求或服務機構的能力要求（可為清單模式）。

　　制定產(chǎn)品或服務采購說明書應注意：網(wǎng)絡安全產(chǎn)品或服務選型過程首先依據(jù)安全詳細設計方案的設計要求，制定產(chǎn)品或服務采購說明書，對產(chǎn)品或服務的采購原則、采購范圍、技術指標要求、采購方式等方面進行說明。對于產(chǎn)品的功能、性能和安全性指標，可以依據(jù)第三方測試機構所出具的產(chǎn)品測試報告，也可以依據(jù)用戶自行組織的網(wǎng)絡安全產(chǎn)品功能、性能和安全性選型測試結果。對于安全服務的采購需求，應具有內(nèi)部或外部針對網(wǎng)絡安全服務機構的評價結果作為參考。

　　選擇產(chǎn)品或服務應注意：在依據(jù)產(chǎn)品或服務采購說明書對現(xiàn)有產(chǎn)品或服務進行選擇時，不僅要考慮產(chǎn)品或服務的使用環(huán)境、安全功能、成本（包括采購和維護成本）、易用性、可擴展性、與其他產(chǎn)品或服務的互動和兼容性等因素，還要考慮產(chǎn)品或服務的質(zhì)量和可信性。產(chǎn)品或服務可信性是保證系統(tǒng)安全的基礎，用戶在選擇網(wǎng)絡安全產(chǎn)品時應確保符合國家關于網(wǎng)絡安全產(chǎn)品使用的有關規(guī)定。對于密碼產(chǎn)品的使用，應按照國家密碼管理的相關規(guī)定進行選擇和使用。對于網(wǎng)絡安全服務，應選取有相關領域資質(zhì)的網(wǎng)絡安全服務機構。

　　這個階段的工作是由網(wǎng)絡安全產(chǎn)品供應商，網(wǎng)絡安全服務機構，運營、使用單位，測試機構共同完成。

　　安全控制的開發(fā)是需要輸入安全詳細設計方案，對于一些不能通過采購現(xiàn)有網(wǎng)絡安全產(chǎn)品來實現(xiàn)的安全措施和安全功能，通過專門進行的設計、開發(fā)來實現(xiàn)。安全控制的開發(fā)應與系統(tǒng)的應用開發(fā)同步設計、同步實施，而應用系統(tǒng)一旦開發(fā)完成后，再增加安全措施會造成很大的成本投入。因此，在應用系統(tǒng)開發(fā)的同時，要依據(jù)安全詳細設計方案進行安全控制的開發(fā)設計，保證系統(tǒng)應用與安全控制同步建設。需要做好安全措施需求分析、概要設計、詳細設計、編碼實現(xiàn)、測試、安全控制的開發(fā)過程需要將概要設計說明書、詳細設計說明書、開發(fā)測試報告以及開發(fā)說明書等整理歸檔等。最終需要輸出安全控制的開發(fā)過程中產(chǎn)生的所有相關文檔與記錄。

　　這個階段的工作是由運營、使用單位，網(wǎng)絡安全服務機構共同完成。

　　安全控制集成是需要輸入安全詳細設計方案，通過集成實施方案制定、集成準備、集成實施、培訓、形成安全控制集成報告等，將不同的軟硬件產(chǎn)品進行集成，依據(jù)安全詳細設計方案，將網(wǎng)絡安全產(chǎn)品、系統(tǒng)軟件平臺和開發(fā)的安全控制模塊與各種應用系統(tǒng)綜合、整合成為一個系統(tǒng)。安全控制集成的過程可以運營、使用單位與網(wǎng)絡安全服務機構共同參與、相互配合，把安全實施、風險控制、質(zhì)量控制等有機結合起來，實現(xiàn)安全態(tài)勢感知、監(jiān)測通報預警、應急處置追蹤溯源等安全措施，構建統(tǒng)一安全管理平臺。將安全控制集成過程相關內(nèi)容文檔化，并形成安全控制集成報告，其包含集成實施方案、質(zhì)量控制方案、集成實施報告以及培訓考核記錄等內(nèi)容，最終輸出安全控制集成報告。從集成實施方案制定到安全控制集成報告，中間會產(chǎn)生很多過程文檔，需要各方都能夠真實深入的參與其中，并提交有內(nèi)容有價值的文檔和記錄。

　　這個階段的工作是由運營、使用單位，網(wǎng)絡安全服務機構共同完成。

　　系統(tǒng)驗收是需要輸入安全詳細設計方案，安全控制集成報告等，通過系統(tǒng)驗收準備、組織驗收、驗收報告、系統(tǒng)交付，來檢驗系統(tǒng)是否嚴格按照安全詳細設計方案進行建設，是否實現(xiàn)了設計的功能、性能和安全性。在安全控制集成工作完成后，系統(tǒng)測試及驗收是從總體出發(fā)，對整個系統(tǒng)進行集成性安全測試，包括對系統(tǒng)運行效率和可靠性的測試，也包括管理措施落實內(nèi)容的驗收。同理，這個過程需要提交的過程中的文檔、指導用戶進行系統(tǒng)運行維護的文檔、服務承諾書等等，也非常多，應形成驗收報告、交付清單。具體要交付哪些材料，在這里不做過多交代，待后期另文說明之。圖片

　　第三階段：管理措施的實現(xiàn)

　　該階段又可以由安全管理制度的建設和修訂、安全管理機構和人員的設置、安全實施過程管理三部分內(nèi)容構成。

　　安全管理制度的建設和修訂需要輸入安全詳細設計方案，依據(jù)國家網(wǎng)絡安全相關政策、標準、規(guī)范，通過應用范圍明確、評估與完善、行為規(guī)范規(guī)定等，制定、修訂并落實與等級保護對象安全管理相配套的、包括等級保護對象的建設、開發(fā)、運行、維護、升級和改造等各個階段和環(huán)節(jié)所應遵循的行為規(guī)范和操作規(guī)程。最終輸出安全策略、各項管理制度和操作規(guī)范、管理制度評審修訂記錄等。

　　這個階段的工作是由運營、使用單位，網(wǎng)絡安全服務機構共同完成。

　　應用范圍明確應注意：管理制度建立首先要明確制度的應用范圍，如機房管理、賬戶管理、遠程訪問管理、特殊權限管理、設備管理、變更管理、資源管理等方面。

　　評估與完善應注意：管理制度是通過制度化、規(guī)范化的流程和行為約束，來保證各項管理工作的規(guī)范性。

　　行為規(guī)范規(guī)定應注意：制度在發(fā)布、執(zhí)行過程中，要定期進行評估，保留評估或評審記錄。根據(jù)實際環(huán)境和情況的變化，對制度進行修改和完善，規(guī)范總體安全方針、安全管理制度、安全操作規(guī)程、安全運維記錄和表單四層體系文件的一致性，必要時考慮管理制度的重新制定，并保留版本修訂記錄。

　　安全管理機構和人員的設置需要輸入安全詳細設計方案，安全成員及角色說明書，各項管理制度和操作規(guī)范，通過安全組織確定、角色說明、人員安全管理、建立配套的安全管理職能部門，通過管理機構的崗位設置、人員的分工和崗位培訓以及各種資源的配備，保證人員具有與其崗位職責相適應的技術能力和管理能力，為等級保護對象的安全管理提供組織上的保障。最終輸出機構、角色與職責說明書，培訓記錄及上崗資格證書等。

　　這個階段的工作是由運營、使用單位，等級保護對象管理人員，網(wǎng)絡安全服務機構共同完成。

　　安全組織確定應注意：識別與網(wǎng)絡安全管理有關的組織成員及其角色，例如：操作人員、文檔管理員、系統(tǒng)管理員、安全管理員等，形成安全組織結構表。

　　角色說明應注意：以書面的形式詳細描述每個角色與職責，明確相關崗位人員的責任和權限范圍，并要征求相關人員的意見，要保證責任明確，確保所有的風險都有人負責應對。

　　人員安全管理應注意：針對普通員工、管理員、開發(fā)人員、主管人員以及安全人員開展特定技能培訓和安全意識培訓，培訓后進行考核，合格者頒發(fā)上崗資格證書等。

　　安全實施過程管理需要輸入安全設計與實施階段參與各方相關進度控制和質(zhì)量監(jiān)督要求文檔，通過整體管理、質(zhì)量管理、風險管理、變更管理、進度管理、文檔管理等，在等級保護對象定級、規(guī)劃設計、實施過程中，對工程的質(zhì)量、進度、文檔和變更等方面的工作進行監(jiān)督控制和科學管理，最終輸出各階段管理過程文檔和記錄。具體要交付哪些材料，在這里不做過多交代，待后期另文說明之。

　　這個階段的工作是由運營、使用單位，網(wǎng)絡安全服務機構，網(wǎng)絡安全產(chǎn)品供應商共同完成。