前面我們將總體安全規(guī)劃看了一遍，接下來我們則進(jìn)入安全設(shè)計(jì)與實(shí)施，如圖所示進(jìn)入第三層安全設(shè)計(jì)與實(shí)施。該階段的目標(biāo)是按照等級(jí)保護(hù)對(duì)象安全總體方案的要求，結(jié)合等級(jí)保護(hù)對(duì)象安全建設(shè)項(xiàng)目規(guī)劃，分期分步落實(shí)安全措施。

　　該階段又可以分為安全方案詳細(xì)設(shè)計(jì)、技術(shù)措施的實(shí)現(xiàn)、管理措施的實(shí)現(xiàn)三個(gè)階段。如圖所示進(jìn)入第三層安全設(shè)計(jì)與實(shí)施。

　　設(shè)計(jì)與實(shí)施階段，是網(wǎng)絡(luò)運(yùn)營(yíng)、使用單位最關(guān)心的一個(gè)階段，所以在各單位被監(jiān)督檢查過程中，存在的一個(gè)突出問題就是“重建設(shè)，輕管理”，可以說是一個(gè)通病。而網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)，也更熱衷這塊工作。因?yàn)楦赏?，理論上走完最后合同要求就可以拿錢了。但是，在這個(gè)工作流程中，各方是否真的扎實(shí)落實(shí)前面的規(guī)劃和方案了呢？

　　安全規(guī)劃設(shè)計(jì)屬于知行合一之“知”階段，而設(shè)計(jì)與實(shí)施則時(shí)“行”的階段。以下內(nèi)容，至少可以作為網(wǎng)絡(luò)運(yùn)營(yíng)、使用單位對(duì)所買服務(wù)質(zhì)量的一個(gè)參考；同理，也可以作為網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)和集成機(jī)構(gòu)對(duì)自身服務(wù)質(zhì)量做一個(gè)整體參考。有關(guān)安全服務(wù)更多信息，可以參見我公眾號(hào)相關(guān)文章以及有關(guān)國(guó)家標(biāo)準(zhǔn)。

　　第一階段：安全方案詳細(xì)設(shè)計(jì)

　　該階段又可以由技術(shù)措施實(shí)現(xiàn)內(nèi)容的設(shè)計(jì)、管理措施實(shí)現(xiàn)內(nèi)容的設(shè)計(jì)兩部分內(nèi)容構(gòu)成。

　　技術(shù)措施實(shí)現(xiàn)內(nèi)容的設(shè)計(jì)是需要輸入安全總體方案、安全建設(shè)項(xiàng)目規(guī)劃、各類信息技術(shù)產(chǎn)品和網(wǎng)絡(luò)安全產(chǎn)品技術(shù)說明資料、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)評(píng)價(jià)材料等，根據(jù)建設(shè)目標(biāo)和建設(shè)內(nèi)容將等級(jí)保護(hù)對(duì)象安全總體方案中要求實(shí)現(xiàn)的安全策略、安全技術(shù)體系結(jié)構(gòu)、安全措施和要求落實(shí)到產(chǎn)品功能或物理形態(tài)上，通過結(jié)構(gòu)框架的設(shè)計(jì)、安全功能要求的設(shè)計(jì)、性能要求的設(shè)計(jì)、部署方案的設(shè)計(jì)、制定安全策略的實(shí)現(xiàn)計(jì)劃等提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范，并將產(chǎn)品功能特征整理成文檔，使得在網(wǎng)絡(luò)安全產(chǎn)品采購(gòu)和安全控制的開發(fā)階段具有依據(jù)。在這個(gè)過程中就涉及安全實(shí)現(xiàn)技術(shù)框架中使用到的相關(guān)網(wǎng)絡(luò)安全產(chǎn)品，如防火墻、VPN、網(wǎng)閘、認(rèn)證網(wǎng)關(guān)、代理服務(wù)器、網(wǎng)絡(luò)防病毒、PKI、云安全防護(hù)產(chǎn)品、移動(dòng)終端應(yīng)用軟件與防護(hù)產(chǎn)品等提出性能指標(biāo)要求。對(duì)需要開發(fā)的安全控制組件，提出性能指標(biāo)要求，最終輸入技術(shù)措施實(shí)施方案。

　　這個(gè)階段的工作是由運(yùn)營(yíng)、使用單位，網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)，網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商等共同完成。

　　管理措施實(shí)現(xiàn)內(nèi)容的設(shè)計(jì)是需要輸入安全總體方案，安全建設(shè)項(xiàng)目規(guī)劃等，根據(jù)等級(jí)保護(hù)對(duì)象運(yùn)營(yíng)、使用單位當(dāng)前安全管理需要和安全技術(shù)保障需要，通過結(jié)合等級(jí)保護(hù)對(duì)象實(shí)際安全管理需要和本次技術(shù)建設(shè)內(nèi)容，確定本次安全管理建設(shè)的范圍和內(nèi)容，同時(shí)注意與等級(jí)保護(hù)對(duì)象安全總體方案的一致性。安全管理設(shè)計(jì)的內(nèi)容主要考慮：安全策略和管理制度制定、安全管理機(jī)構(gòu)和人員的配套、安全建設(shè)過程管理等，提出與等級(jí)保護(hù)對(duì)象安全總體方案中管理部分相適應(yīng)的本期安全實(shí)施內(nèi)容，以保證在安全技術(shù)建設(shè)的同時(shí)，安全管理得以同步建設(shè)，最終輸出管理措施實(shí)施方案。

　　這個(gè)階段的工作是由運(yùn)營(yíng)、使用單位，網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等共同完成。

　　通過輸入技術(shù)措施實(shí)施方案，管理措施實(shí)施方案，將技術(shù)措施實(shí)施方案、管理措施實(shí)施方案匯總，同時(shí)考慮工時(shí)和成本，最后形成指導(dǎo)安全實(shí)施的指導(dǎo)性文件，對(duì)技術(shù)措施實(shí)施方案中技術(shù)實(shí)施內(nèi)容和管理措施實(shí)施方案中管理實(shí)施內(nèi)容等文檔進(jìn)行整理，形成等級(jí)保護(hù)對(duì)象安全建設(shè)詳細(xì)設(shè)計(jì)方案，最終設(shè)計(jì)結(jié)果的文檔化。

　　安全詳細(xì)設(shè)計(jì)方案理應(yīng)包含且不限于以下內(nèi)容：

　　a）建設(shè)目標(biāo)和建設(shè)內(nèi)容；

　　b）技術(shù)實(shí)現(xiàn)方案；

　　c）網(wǎng)絡(luò)安全產(chǎn)品或組件安全功能及性能要求；

　　d）網(wǎng)絡(luò)安全產(chǎn)品或組件部署；

　　e）安全控制策略和配置；

　　f） 配套的安全管理建設(shè)內(nèi)容；

　　g）工程實(shí)施計(jì)劃；

　　h）項(xiàng)目投資概算。

　　這個(gè)階段的工作是由運(yùn)營(yíng)、使用單位，網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等共同完成。

　　第二階段：技術(shù)措施的實(shí)現(xiàn)

　　該階段又可以由網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)采購(gòu)、安全控制的開發(fā)、安全控制集成、系統(tǒng)驗(yàn)收四部分內(nèi)容構(gòu)成。

　　網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)采購(gòu)是需要輸入安全詳細(xì)設(shè)計(jì)方案，相關(guān)供應(yīng)商及產(chǎn)品信息等，按照安全詳細(xì)設(shè)計(jì)方案中對(duì)于產(chǎn)品或服務(wù)的具體指標(biāo)要求進(jìn)行采購(gòu)，根據(jù)產(chǎn)品、產(chǎn)品組合或服務(wù)實(shí)現(xiàn)的功能、性能和安全性滿足安全設(shè)計(jì)要求的情況，通過制定產(chǎn)品或服務(wù)采購(gòu)說明書、選擇產(chǎn)品或服務(wù)，來選購(gòu)所需的網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)。最終輸出需采購(gòu)的網(wǎng)絡(luò)安全產(chǎn)品性能、功能和安全要求或服務(wù)機(jī)構(gòu)的能力要求（可為清單模式）。

　　制定產(chǎn)品或服務(wù)采購(gòu)說明書應(yīng)注意：網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)選型過程首先依據(jù)安全詳細(xì)設(shè)計(jì)方案的設(shè)計(jì)要求，制定產(chǎn)品或服務(wù)采購(gòu)說明書，對(duì)產(chǎn)品或服務(wù)的采購(gòu)原則、采購(gòu)范圍、技術(shù)指標(biāo)要求、采購(gòu)方式等方面進(jìn)行說明。對(duì)于產(chǎn)品的功能、性能和安全性指標(biāo)，可以依據(jù)第三方測(cè)試機(jī)構(gòu)所出具的產(chǎn)品測(cè)試報(bào)告，也可以依據(jù)用戶自行組織的網(wǎng)絡(luò)安全產(chǎn)品功能、性能和安全性選型測(cè)試結(jié)果。對(duì)于安全服務(wù)的采購(gòu)需求，應(yīng)具有內(nèi)部或外部針對(duì)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的評(píng)價(jià)結(jié)果作為參考。

　　選擇產(chǎn)品或服務(wù)應(yīng)注意：在依據(jù)產(chǎn)品或服務(wù)采購(gòu)說明書對(duì)現(xiàn)有產(chǎn)品或服務(wù)進(jìn)行選擇時(shí)，不僅要考慮產(chǎn)品或服務(wù)的使用環(huán)境、安全功能、成本（包括采購(gòu)和維護(hù)成本）、易用性、可擴(kuò)展性、與其他產(chǎn)品或服務(wù)的互動(dòng)和兼容性等因素，還要考慮產(chǎn)品或服務(wù)的質(zhì)量和可信性。產(chǎn)品或服務(wù)可信性是保證系統(tǒng)安全的基礎(chǔ)，用戶在選擇網(wǎng)絡(luò)安全產(chǎn)品時(shí)應(yīng)確保符合國(guó)家關(guān)于網(wǎng)絡(luò)安全產(chǎn)品使用的有關(guān)規(guī)定。對(duì)于密碼產(chǎn)品的使用，應(yīng)按照國(guó)家密碼管理的相關(guān)規(guī)定進(jìn)行選擇和使用。對(duì)于網(wǎng)絡(luò)安全服務(wù)，應(yīng)選取有相關(guān)領(lǐng)域資質(zhì)的網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)。

　　這個(gè)階段的工作是由網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商，網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)，運(yùn)營(yíng)、使用單位，測(cè)試機(jī)構(gòu)共同完成。

　　安全控制的開發(fā)是需要輸入安全詳細(xì)設(shè)計(jì)方案，對(duì)于一些不能通過采購(gòu)現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品來實(shí)現(xiàn)的安全措施和安全功能，通過專門進(jìn)行的設(shè)計(jì)、開發(fā)來實(shí)現(xiàn)。安全控制的開發(fā)應(yīng)與系統(tǒng)的應(yīng)用開發(fā)同步設(shè)計(jì)、同步實(shí)施，而應(yīng)用系統(tǒng)一旦開發(fā)完成后，再增加安全措施會(huì)造成很大的成本投入。因此，在應(yīng)用系統(tǒng)開發(fā)的同時(shí)，要依據(jù)安全詳細(xì)設(shè)計(jì)方案進(jìn)行安全控制的開發(fā)設(shè)計(jì)，保證系統(tǒng)應(yīng)用與安全控制同步建設(shè)。需要做好安全措施需求分析、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、編碼實(shí)現(xiàn)、測(cè)試、安全控制的開發(fā)過程需要將概要設(shè)計(jì)說明書、詳細(xì)設(shè)計(jì)說明書、開發(fā)測(cè)試報(bào)告以及開發(fā)說明書等整理歸檔等。最終需要輸出安全控制的開發(fā)過程中產(chǎn)生的所有相關(guān)文檔與記錄。

　　這個(gè)階段的工作是由運(yùn)營(yíng)、使用單位，網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)共同完成。

　　安全控制集成是需要輸入安全詳細(xì)設(shè)計(jì)方案，通過集成實(shí)施方案制定、集成準(zhǔn)備、集成實(shí)施、培訓(xùn)、形成安全控制集成報(bào)告等，將不同的軟硬件產(chǎn)品進(jìn)行集成，依據(jù)安全詳細(xì)設(shè)計(jì)方案，將網(wǎng)絡(luò)安全產(chǎn)品、系統(tǒng)軟件平臺(tái)和開發(fā)的安全控制模塊與各種應(yīng)用系統(tǒng)綜合、整合成為一個(gè)系統(tǒng)。安全控制集成的過程可以運(yùn)營(yíng)、使用單位與網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)共同參與、相互配合，把安全實(shí)施、風(fēng)險(xiǎn)控制、質(zhì)量控制等有機(jī)結(jié)合起來，實(shí)現(xiàn)安全態(tài)勢(shì)感知、監(jiān)測(cè)通報(bào)預(yù)警、應(yīng)急處置追蹤溯源等安全措施，構(gòu)建統(tǒng)一安全管理平臺(tái)。將安全控制集成過程相關(guān)內(nèi)容文檔化，并形成安全控制集成報(bào)告，其包含集成實(shí)施方案、質(zhì)量控制方案、集成實(shí)施報(bào)告以及培訓(xùn)考核記錄等內(nèi)容，最終輸出安全控制集成報(bào)告。從集成實(shí)施方案制定到安全控制集成報(bào)告，中間會(huì)產(chǎn)生很多過程文檔，需要各方都能夠真實(shí)深入的參與其中，并提交有內(nèi)容有價(jià)值的文檔和記錄。

　　這個(gè)階段的工作是由運(yùn)營(yíng)、使用單位，網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)共同完成。

　　系統(tǒng)驗(yàn)收是需要輸入安全詳細(xì)設(shè)計(jì)方案，安全控制集成報(bào)告等，通過系統(tǒng)驗(yàn)收準(zhǔn)備、組織驗(yàn)收、驗(yàn)收?qǐng)?bào)告、系統(tǒng)交付，來檢驗(yàn)系統(tǒng)是否嚴(yán)格按照安全詳細(xì)設(shè)計(jì)方案進(jìn)行建設(shè)，是否實(shí)現(xiàn)了設(shè)計(jì)的功能、性能和安全性。在安全控制集成工作完成后，系統(tǒng)測(cè)試及驗(yàn)收是從總體出發(fā)，對(duì)整個(gè)系統(tǒng)進(jìn)行集成性安全測(cè)試，包括對(duì)系統(tǒng)運(yùn)行效率和可靠性的測(cè)試，也包括管理措施落實(shí)內(nèi)容的驗(yàn)收。同理，這個(gè)過程需要提交的過程中的文檔、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔、服務(wù)承諾書等等，也非常多，應(yīng)形成驗(yàn)收?qǐng)?bào)告、交付清單。具體要交付哪些材料，在這里不做過多交代，待后期另文說明之。圖片

　　第三階段：管理措施的實(shí)現(xiàn)

　　該階段又可以由安全管理制度的建設(shè)和修訂、安全管理機(jī)構(gòu)和人員的設(shè)置、安全實(shí)施過程管理三部分內(nèi)容構(gòu)成。

　　安全管理制度的建設(shè)和修訂需要輸入安全詳細(xì)設(shè)計(jì)方案，依據(jù)國(guó)家網(wǎng)絡(luò)安全相關(guān)政策、標(biāo)準(zhǔn)、規(guī)范，通過應(yīng)用范圍明確、評(píng)估與完善、行為規(guī)范規(guī)定等，制定、修訂并落實(shí)與等級(jí)保護(hù)對(duì)象安全管理相配套的、包括等級(jí)保護(hù)對(duì)象的建設(shè)、開發(fā)、運(yùn)行、維護(hù)、升級(jí)和改造等各個(gè)階段和環(huán)節(jié)所應(yīng)遵循的行為規(guī)范和操作規(guī)程。最終輸出安全策略、各項(xiàng)管理制度和操作規(guī)范、管理制度評(píng)審修訂記錄等。

　　這個(gè)階段的工作是由運(yùn)營(yíng)、使用單位，網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)共同完成。

　　應(yīng)用范圍明確應(yīng)注意：管理制度建立首先要明確制度的應(yīng)用范圍，如機(jī)房管理、賬戶管理、遠(yuǎn)程訪問管理、特殊權(quán)限管理、設(shè)備管理、變更管理、資源管理等方面。

　　評(píng)估與完善應(yīng)注意：管理制度是通過制度化、規(guī)范化的流程和行為約束，來保證各項(xiàng)管理工作的規(guī)范性。

　　行為規(guī)范規(guī)定應(yīng)注意：制度在發(fā)布、執(zhí)行過程中，要定期進(jìn)行評(píng)估，保留評(píng)估或評(píng)審記錄。根據(jù)實(shí)際環(huán)境和情況的變化，對(duì)制度進(jìn)行修改和完善，規(guī)范總體安全方針、安全管理制度、安全操作規(guī)程、安全運(yùn)維記錄和表單四層體系文件的一致性，必要時(shí)考慮管理制度的重新制定，并保留版本修訂記錄。

　　安全管理機(jī)構(gòu)和人員的設(shè)置需要輸入安全詳細(xì)設(shè)計(jì)方案，安全成員及角色說明書，各項(xiàng)管理制度和操作規(guī)范，通過安全組織確定、角色說明、人員安全管理、建立配套的安全管理職能部門，通過管理機(jī)構(gòu)的崗位設(shè)置、人員的分工和崗位培訓(xùn)以及各種資源的配備，保證人員具有與其崗位職責(zé)相適應(yīng)的技術(shù)能力和管理能力，為等級(jí)保護(hù)對(duì)象的安全管理提供組織上的保障。最終輸出機(jī)構(gòu)、角色與職責(zé)說明書，培訓(xùn)記錄及上崗資格證書等。

　　這個(gè)階段的工作是由運(yùn)營(yíng)、使用單位，等級(jí)保護(hù)對(duì)象管理人員，網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)共同完成。

　　安全組織確定應(yīng)注意：識(shí)別與網(wǎng)絡(luò)安全管理有關(guān)的組織成員及其角色，例如：操作人員、文檔管理員、系統(tǒng)管理員、安全管理員等，形成安全組織結(jié)構(gòu)表。

　　角色說明應(yīng)注意：以書面的形式詳細(xì)描述每個(gè)角色與職責(zé)，明確相關(guān)崗位人員的責(zé)任和權(quán)限范圍，并要征求相關(guān)人員的意見，要保證責(zé)任明確，確保所有的風(fēng)險(xiǎn)都有人負(fù)責(zé)應(yīng)對(duì)。

　　人員安全管理應(yīng)注意：針對(duì)普通員工、管理員、開發(fā)人員、主管人員以及安全人員開展特定技能培訓(xùn)和安全意識(shí)培訓(xùn)，培訓(xùn)后進(jìn)行考核，合格者頒發(fā)上崗資格證書等。

　　安全實(shí)施過程管理需要輸入安全設(shè)計(jì)與實(shí)施階段參與各方相關(guān)進(jìn)度控制和質(zhì)量監(jiān)督要求文檔，通過整體管理、質(zhì)量管理、風(fēng)險(xiǎn)管理、變更管理、進(jìn)度管理、文檔管理等，在等級(jí)保護(hù)對(duì)象定級(jí)、規(guī)劃設(shè)計(jì)、實(shí)施過程中，對(duì)工程的質(zhì)量、進(jìn)度、文檔和變更等方面的工作進(jìn)行監(jiān)督控制和科學(xué)管理，最終輸出各階段管理過程文檔和記錄。具體要交付哪些材料，在這里不做過多交代，待后期另文說明之。

　　這個(gè)階段的工作是由運(yùn)營(yíng)、使用單位，網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)，網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商共同完成。