f信息安全等级保护（三级）建设方案
2现状及需求分析21现状分析
xx核心业务系统为互联网客户提供在线业务以及线下业务支持。通过该系统平台，实现互联网金融业务信息全面融合、集中管理、内部管理的流程化、标准化和信息化，为xx管理工作提供全面的系统支持。该系统定级为安全保护等级三级，通过第三方测评、整体分析与风险分析，xx业务系统中存在与国家等级保护三级标准要求不符合项。22需求分析
为了满足达到国家GBT222392008《信息技术信息系统安全等级保护基本要求》相应的等级保护能力要求，xx业务管理系统启动等级保护安全整改工作，以增强系统的安全防护能力，有效抵御内部和外部威胁，为切实达到国家及行业信息安全等级保护相应要求，使xx业务管理系统在现有运行环境下风险可控，能够为xx客户及内部各部门提供安全、稳定的业务服务。
本次方案结合初步检查报告，由于xx业务系统只采用防护墙进行安全防护措施，针对安全运维管理、应用层安全防护、第三方日志审计、管理制度等方面的薄弱之处，建议部署相关安全防护设备，结合安全管理制度，将满足相应的等级保护防护能力。
一、安全防护：安全防护设计网络安全、主机安全等多个测评内容，针对所发现的安全问题风险中，如网络边界未部署防恶意代码设备可通过对重点系统的网络边界部署相应的安全防护设备来进行解决。
二、审计分析：审计分析在三级等级保护要求中，占据重要地位，涉及网络安全、主机安全、应用安全等诸多环节，xx业务系统在第三方审计相关建设上缺乏必要手段，并且对部分重要系统的安全现状难以了解，加强系统安全检测能力，和审计分析能力十分必要。
三、安全运维：安全运维管理涉及网络安全、主机安全、安全运维管理，在所发现安全问题风险中，对远程设备进行双因子认证，实现特权用户分离，对网络用户的接入访问控制，敏感资源的访问控制等，可通过加强安全运维管理和部署相应管理设备加以解决。
四、管理制度管理制度的完善，在等级保护建设中具有非常重要的意义，通过第三方专业人员的现场指导、协助管理制度的完善、弥补安全管理制度中的不足，从管理制度整体协助满足等级保护的相关要求。
第5页共44页
f信息安全等级保护（三级）建设方案
3等保三级建设总体规划根据现有安全形势特点，针对三级等级保护的各项要求，需针对网络边界安全、日志集
中审计、安全运维、合规性自查四个层面进行建设，选择典型安全系统构建。31网络边界安全建设
在网络边界处r