導讀

本文以建築業為例探究數字化轉型的網路安全總體設計。根據集團的網路安全管控要求，從管理、技術、運維等角度出發，設計安全架構。盤點集團物理設計、網路、資訊系統、業務應用等存在的安全管理需求，設計分層安全邏輯模型。並結合未來數字化發展方向，以資料為主線圍繞資料生命週期進行安全設計。

01網路安全架構設計需要被體系化重視

一、網路安全設計架構方面

1. 構建集團公司總體網路完全體系，設計分層安全邏輯模型。

2. 對現有的安全域進行細分，依照資訊類資產的重要程度和等保要求，劃分為關鍵級、重要級和一般級資產。

3. 資訊化系統建設向私有云化、容器化的模式轉變；

4. 構建零信任網路的安全體系設計模式，並進行實踐；

5. 從IPv4網路到IPv6網路的全面改造，以及完成全面國產化替代。

二、安全管理制度方面

制度完善主要包括安全管理制度範圍、安全管理規章制度的制定和評審、實施和監督等方面的內容。

三、網路安全隊伍建設

1. 資訊保安建設，需要一支既懂業務知識又精通訊息與網路安全技術的高素質人才隊伍。

2. 為適應集團公司資訊保安建設的需要，需要培養一支對資訊保安技術及業務應用比較精通的人才隊伍，才能對集團公司資訊保安建設不斷進行完善、改進和執行維護，保證資訊資源高度安全性、可靠性及可用性。

3. 有計劃的培養既懂業務又懂資訊科技的複合型人才，才能適應集團公司現在和未來資訊化建設發展的需要。

安全架構描述在資訊系統在規劃、設計、開發、執行各環節時所需要的各安全元件，以及這些元件之間如何協同工作，實現技術與業務溝通，使業務與安全技術對應。設計涵蓋技術、管理和運維的網路安全體系架構，建立以安全防護技術為支撐的分層安全邏輯模型。

02網路安全架構設計

網路安全體系架構包括網路安全技術體系、網路安全管理體系、網路安全運維體系三大部分，按照PDCA模式實現網路安全體系的不斷完善。

03網路安全架構檢視

04網路安全分域

整體分為管理辦公區和專案現場區，管理辦公區的資訊資產按照分域原則分為關鍵域、重要域和一般域，管理辦公區與生產現場區通過網閘進行隔離。