第一篇：電子政務(wù)信息安全和管理

電子政務(wù)信息安全和管理

一、電子政務(wù)順利實(shí)施的核心問(wèn)題

電子政務(wù)是一種全新的政府管理方式,是一個(gè)基于網(wǎng)絡(luò)技術(shù)的綜合性業(yè)務(wù)模式。建立電子政務(wù)系統(tǒng)參公眾服務(wù),必然要求這一系統(tǒng)必須是安全、可靠、抗災(zāi)難、可恢復(fù)的。計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的共享、交互和快速為這種系統(tǒng)的建立提供了前提條件,互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展和廣泛應(yīng)用,又為電子政務(wù)系統(tǒng)不斷走向開(kāi)放互聯(lián)提供了巨大推動(dòng)力。隨著電子政務(wù)信息化的不斷發(fā)展,電子政務(wù)對(duì)于網(wǎng)絡(luò)系統(tǒng)的依賴性越來(lái)越強(qiáng),政務(wù)系統(tǒng)作為關(guān)系國(guó)計(jì)民生的重要部分,在安全方面尤為重要,而由于互聯(lián)網(wǎng)的開(kāi)放性和公共性帶來(lái)的不安全因素,使信息安全問(wèn)題成為保障電子政務(wù)順利實(shí)施的核心問(wèn)題。

二、電子政務(wù)信息安全面臨的問(wèn)題

電子政務(wù)網(wǎng)分為政務(wù)內(nèi)網(wǎng)(涉密網(wǎng))和政務(wù)外網(wǎng)(非涉密網(wǎng)),兩網(wǎng)之間物理隔離,政務(wù)外網(wǎng)采取邏輯隔離與互聯(lián)網(wǎng)聯(lián)通。政府各部門大力推行的辦公自動(dòng)化、網(wǎng)絡(luò)化、電子化、信息共享都以這些網(wǎng)絡(luò)為支撐,以TCP/IPV4為傳輸協(xié)議,該協(xié)議為開(kāi)放協(xié)議,從協(xié)議規(guī)劃、服務(wù)模式、網(wǎng)絡(luò)管理等方面均缺乏安全性設(shè)計(jì),所以電子政務(wù)信息系統(tǒng)就存在著諸多的安全隱患。

1.網(wǎng)絡(luò)安全規(guī)劃的不到位,造成網(wǎng)絡(luò)結(jié)構(gòu)的不合理性。由于信息技術(shù)發(fā)展的歷史原因和建設(shè)資金問(wèn)題,我國(guó)電子政務(wù)網(wǎng)絡(luò)的建設(shè)在規(guī)劃上經(jīng)常缺少前瞻性的安全規(guī)劃,網(wǎng)絡(luò)流量存在多個(gè)瓶頸, IP地址缺乏統(tǒng)一規(guī)劃,廣播流量可控性差,子網(wǎng)故障隔離性差,重要流量缺乏帶寬管理和服務(wù)質(zhì)量?jī)?yōu)先保證等一大堆問(wèn)題。隨著安全問(wèn)題的不斷出現(xiàn),只能在運(yùn)行過(guò)程中不停地修修補(bǔ)補(bǔ)。但是,這種修補(bǔ)只能解決暫時(shí)的問(wèn)題,解決一個(gè)問(wèn)題后,往往又有新問(wèn)題出現(xiàn)。

2.關(guān)鍵核心技術(shù)還掌握,增加了我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全的隱患。我國(guó)對(duì)發(fā)達(dá)國(guó)家信息設(shè)備和信息技術(shù)存在很強(qiáng)的依賴性,信息化核心設(shè)備嚴(yán)重依賴國(guó)外,對(duì)引進(jìn)技術(shù)和設(shè)備缺乏必要的信息管理和技術(shù)改造。尤其是在系統(tǒng)安全和安全協(xié)議的研究和應(yīng)用方面與發(fā)達(dá)國(guó)家的差距很大。目前組成我國(guó)電子政務(wù)網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所用硬件、軟件、操作系統(tǒng)、網(wǎng)管軟件、各類應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、防火墻、網(wǎng)絡(luò)接入設(shè)備、路由器、服務(wù)器基本上都是國(guó)外公司的產(chǎn)品,微機(jī)芯片都是INTEL系列,軟件基本上是微軟公司的產(chǎn)品,完全自主知識(shí)產(chǎn)權(quán)的產(chǎn)品基本沒(méi)有。這些因素使我國(guó)的電子政務(wù)網(wǎng)絡(luò)安全性能大大降低,我國(guó)的經(jīng)濟(jì)和社會(huì)發(fā)展面臨著新的風(fēng)險(xiǎn)。

3.網(wǎng)絡(luò)安全管理的混亂和規(guī)范化的管理制度相對(duì)滯后,造成很多管理安全漏洞。由于電子政務(wù)的網(wǎng)絡(luò)是連接多個(gè)政務(wù)部門的廣域網(wǎng)或城域網(wǎng),需要各部門協(xié)調(diào)一致,共同維護(hù)整個(gè)網(wǎng)絡(luò)平臺(tái)的安全。但是,由于不同政府部門的信息技術(shù)人才和信息化水平的差異性,以及不同政府部門存在一些相關(guān)的利益和沖突,因此,很難做到安全管理的統(tǒng)一協(xié)調(diào)性,一旦發(fā)生安全事件,故障定位不準(zhǔn),追查事故源困難,責(zé)任問(wèn)題牽扯不清,從而造成事件的破壞性后果更為嚴(yán)重。

4.安全意識(shí)淡薄。目前,在電子政務(wù)信息的安全問(wèn)題上還存在不少認(rèn)知盲區(qū)和制約因素。網(wǎng)絡(luò)是新生事物,許多人一接觸就忙著用于學(xué)習(xí)、工作和娛樂(lè)等,對(duì)網(wǎng)絡(luò)信息的安全性無(wú)暇顧及,安全意識(shí)相當(dāng)?shù)?對(duì)網(wǎng)絡(luò)信息不安全的事實(shí)認(rèn)識(shí)不足。與此同時(shí),機(jī)關(guān)、事業(yè)單位注重的是網(wǎng)絡(luò)效應(yīng),對(duì)安全領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)不能滿足安全防范的要求?？傮w上看,網(wǎng)絡(luò)信息安全處于被動(dòng)的封堵漏洞狀態(tài),從上到下普遍存在僥幸心理,沒(méi)有形成主動(dòng)防范、積極應(yīng)對(duì)的全民意識(shí),更無(wú)法從根本上提高網(wǎng)絡(luò)監(jiān)測(cè)、防護(hù)、響應(yīng)、恢復(fù)和抗擊能力。

三、電子政務(wù)信息安全措施

1.設(shè)備的物理安全。物理層的安全設(shè)計(jì)應(yīng)從三個(gè)方面考慮:環(huán)境安全、設(shè)備安全、線路安全。采取的措施包括:機(jī)房屏蔽,電源接地,布線隱蔽,防雷。根據(jù)中央保密委有關(guān)文件規(guī)定,凡是計(jì)算機(jī)同時(shí)具有內(nèi)網(wǎng)和外網(wǎng)的應(yīng)用需求,必須采取網(wǎng)絡(luò)安全隔離技術(shù),在計(jì)算機(jī)終端安裝隔離卡或安裝安全網(wǎng)閘,使內(nèi)網(wǎng)與外網(wǎng)之間從根本上實(shí)現(xiàn)物理隔離,防止涉密信息通過(guò)外網(wǎng)泄漏。

2.信息的加密。電子政務(wù)應(yīng)用涵蓋政府內(nèi)部辦公和面對(duì)公眾的信息服務(wù)兩大方面。就政府內(nèi)部辦公而言,電子政務(wù)系統(tǒng)涉及到部門與部門之間、上下級(jí)之間、地區(qū)與地區(qū)間的公文流轉(zhuǎn),這些公文的信息往往涉及不宜公開(kāi)的和有密級(jí)的內(nèi)容。因此,在信息傳遞過(guò)程中,必須采取適當(dāng)?shù)募用芊椒▽?duì)信息進(jìn)行加密。可采用多種加密方式:a.基于IPsec的加密方式正被廣泛采用,其優(yōu)點(diǎn)顯而易見(jiàn):IPsec對(duì)應(yīng)用系統(tǒng)透明且具有極強(qiáng)的安全性,這一點(diǎn)對(duì)于要開(kāi)發(fā)龐大應(yīng)用的電子政務(wù)來(lái)說(shuō),就顯得極有好處了,應(yīng)用系統(tǒng)開(kāi)發(fā)商不必為數(shù)據(jù)傳輸過(guò)程中的加密做過(guò)多的考慮,易于部署和維護(hù)。b.采用VPN技術(shù)在公共數(shù)據(jù)網(wǎng)上進(jìn)行內(nèi)部信息的安全傳輸。其優(yōu)點(diǎn)是只增加端設(shè)備避免了重復(fù)建設(shè)。c.采用公鑰基礎(chǔ)設(shè)施技術(shù)(PKI)為基礎(chǔ),以數(shù)據(jù)機(jī)密性、完整性、身份認(rèn)證和行為的不可否認(rèn)為安全目的為電子政務(wù)提供安全支持。

3.操作系統(tǒng)的安全性。網(wǎng)絡(luò)安全的重要基礎(chǔ)之一是安全的操作系統(tǒng),因?yàn)樗械恼?wù)應(yīng)用和安全措施都依賴操作系統(tǒng)提供底層支持。操作系統(tǒng)的漏洞或配置不當(dāng)將有可能導(dǎo)致整個(gè)安全體系的崩潰。更危險(xiǎn)的是,我們無(wú)法保證國(guó)外廠家的操作系統(tǒng)產(chǎn)品不存在后門。在操作系統(tǒng)安全方面,有兩點(diǎn)是值得考慮的:一是采用具有自主知識(shí)產(chǎn)權(quán)且源代碼對(duì)政府公開(kāi)的產(chǎn)品;二是利用漏洞掃描工具定期檢查系統(tǒng)漏洞和配置更改情況,及時(shí)發(fā)現(xiàn)問(wèn)題。

4.數(shù)據(jù)備份與容災(zāi)。任何的安全措施都無(wú)法保證數(shù)據(jù)萬(wàn)無(wú)一失,硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份,并且最好是異地備份。

5.管理制度的完善。電子政務(wù)網(wǎng)絡(luò)內(nèi)部安全和外部安全一樣重要,內(nèi)部安全除了需要體系化的安全防御策略,還需要嚴(yán)格的、可操作性強(qiáng)的安全管理制度。制度的制訂首先要規(guī)范,其次要強(qiáng)調(diào)制度的強(qiáng)制性、法規(guī)約束力和可操作性,同時(shí)進(jìn)行安全宣傳教育,增強(qiáng)安全意識(shí)的培養(yǎng)和信息安全知識(shí)的普及這樣才能保證制度的真正貫徹和執(zhí)行加強(qiáng)。

6.建立網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案。網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案是安全管理制度的一個(gè)重要部分,這里單獨(dú)來(lái)討論,主要是考慮到其重要性。事前有預(yù)案,一旦發(fā)生安全事件,就可以觸發(fā)相應(yīng)的預(yù)案處理程序,在最短的時(shí)間內(nèi)恢復(fù)正常的網(wǎng)絡(luò)服務(wù)和信息服務(wù),力求把安全事件的破壞力降到最低?！?編輯/李舶)

第二篇：電子政務(wù)信息安全保障體系

電子政務(wù)安全面臨威脅和挑戰(zhàn)

電子政務(wù)涉及對(duì)國(guó)家秘密信息和高敏感度核心政務(wù)的保護(hù)，設(shè)計(jì)維護(hù)公共秩序和行政監(jiān)管的準(zhǔn)確實(shí)施，涉及到為社會(huì)提供公共服務(wù)的質(zhì)量保證。電子政務(wù)是黨委、政府、人大、政協(xié)有效決策、管理、服務(wù)的重要手段，必然會(huì)遇到各種敵對(duì)勢(shì)力、恐怖集團(tuán)、搗亂分子的破壞和攻擊。尤其電子政務(wù)是搭建在基于互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)平臺(tái)上，包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)的安全先天不足，互聯(lián)網(wǎng)是一個(gè)無(wú)行政主管的全球網(wǎng)絡(luò)，自身缺少設(shè)防和安全隱患很多，對(duì)互聯(lián)網(wǎng)犯罪尚缺乏足夠的法律威懾，大量的跨國(guó)網(wǎng)絡(luò)犯罪給執(zhí)法帶來(lái)很大的難度。所有上述分子利用互聯(lián)網(wǎng)進(jìn)行犯罪則有機(jī)可乘，使基于互聯(lián)網(wǎng)開(kāi)展的電子政務(wù)應(yīng)用面臨著嚴(yán)峻的挑戰(zhàn)。

對(duì)電子政務(wù)的安全威脅，包括網(wǎng)上黑客入侵和犯罪、網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等，應(yīng)引起足夠警惕，采取安全措施，應(yīng)對(duì)這種挑戰(zhàn)。

電子政務(wù)的安全目標(biāo)和安全策略

電子政務(wù)的安全目標(biāo)是，保護(hù)政務(wù)信息資源價(jià)值不受侵犯，保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險(xiǎn)和獲取最大的安全利益，使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容為抵御上述威脅而具有保密性、完整性、真實(shí)性、可用性和可控性的能力。

為實(shí)現(xiàn)上述目標(biāo)應(yīng)采取積極的安全策略：

·國(guó)家主導(dǎo)、社會(huì)參與。電子政務(wù)安全關(guān)系到政府的辦公決策、行政監(jiān)管和公共服務(wù)的高質(zhì)量和可信實(shí)施的大事，必須由國(guó)家統(tǒng)籌規(guī)劃、社會(huì)積極參與，才能有效保障電子政務(wù)安全。

·全局治理、積極防御。電子政務(wù)安全必須采用法律威懾、管理制約、技術(shù)保障和安全基礎(chǔ)設(shè)施支撐的全局治理措施，并且實(shí)施防護(hù)、檢測(cè)、恢復(fù)和反制的積極防御手段，才能更為有效。

·等級(jí)保護(hù)、保障發(fā)展。要根據(jù)信息的價(jià)值等級(jí)及所面臨的威脅等級(jí)，選擇適度的安全機(jī)制強(qiáng)度等級(jí)和安全技術(shù)保障強(qiáng)壯性等級(jí)，尋求一個(gè)投入和風(fēng)險(xiǎn)可承受能力間的平衡點(diǎn)，保障電子政務(wù)系統(tǒng)健康和積極的發(fā)展。

電子政務(wù)安全保障體系框架

電子政務(wù)安全采取“國(guó)家推動(dòng)、社會(huì)參與、全局治理、積極防御、等級(jí)保護(hù)、保障發(fā)展”的策略，鑒于電子政務(wù)的信息安全面臨的是一場(chǎng)高技術(shù)的對(duì)抗，是一場(chǎng)綜合性斗爭(zhēng)，涉及法律、管理、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)品、服務(wù)和基礎(chǔ)設(shè)施諸多領(lǐng)域，所以電子政務(wù)安全，還要從全局來(lái)構(gòu)建其安全保障的體系框架，以保障電子政務(wù)的健康發(fā)展。

電子政務(wù)安全保障體系由六要素組成，即安全法規(guī)、安全管理、安全標(biāo)準(zhǔn)、安全服務(wù)、安全技術(shù)產(chǎn)品和安全基礎(chǔ)設(shè)施等安全要素（見(jiàn)圖1）。

要素一 安全法律與政策

電子政務(wù)的工作內(nèi)容和工作流程涉及到國(guó)家秘密與核心政務(wù)，它的安全關(guān)系到國(guó)家的主權(quán)、國(guó)家的安全和公眾利益，所以電子政務(wù)的安全實(shí)施和保障，必須以國(guó)家法規(guī)形式將其固化，形成全國(guó)共同遵守的規(guī)約，成為電子政務(wù)實(shí)施和運(yùn)行的行為準(zhǔn)則，成為電子政務(wù)國(guó)際交往的重要依據(jù)，保護(hù)守法者和依法者的合法權(quán)益，為司法和執(zhí)法者提供法律依據(jù)，對(duì)違法、犯法者形成強(qiáng)大的威懾。

《中華人民共和國(guó)保護(hù)國(guó)家秘密法》已實(shí)施13年，已不完全適應(yīng)我國(guó)當(dāng)前保密工作的現(xiàn)狀，特別是電子政務(wù)的發(fā)展，亟待修訂。

政務(wù)信息公開(kāi)是電子政務(wù)的重要原則，為了拉近政府和公眾的距離，使公眾具有知情權(quán)、參與權(quán)、監(jiān)督權(quán)和享用政府服務(wù)的權(quán)利，為公眾提供良好的信息服務(wù)，充分挖掘政務(wù)信息的最大效益，開(kāi)放政務(wù)信息資源（非國(guó)家涉密和適宜公開(kāi)部分）服務(wù)于民是電子政務(wù)的重要特征。盡快制訂政務(wù)信息公開(kāi)法，適度的解密和規(guī)范開(kāi)放的規(guī)則，保護(hù)政府部門間信息的正常交流，保護(hù)社會(huì)公眾對(duì)信息的合法享用，打破對(duì)政務(wù)信息資源的壟斷和封鎖，提高政府行政透明度和民主進(jìn)程是非常有利的和必需的。

電子政務(wù)亟待電子簽章和電子文檔的立法保護(hù)，國(guó)際已有近20多個(gè)國(guó)家對(duì)數(shù)字簽名和電子文檔進(jìn)行了立法，使數(shù)字簽名和電子文檔在電子政務(wù)和電子商務(wù)運(yùn)行中具有法律效力。這將大大促進(jìn)電子政務(wù)和電子商務(wù)的健康發(fā)展，使電子政務(wù)原來(lái)的雙軌制走向單軌制，這有利于簡(jiǎn)化程序、降低成本，充分顯示電子政務(wù)效益是非常有利的。

個(gè)人數(shù)據(jù)保護(hù)（隱私法）的需求伴隨電子政務(wù)的發(fā)展日顯突出。電子政務(wù)在實(shí)施行政監(jiān)管和公眾服務(wù)中有大量的個(gè)人信息（自然人和法人），如戶籍、納稅、社保、信用等信息大量進(jìn)入了政府網(wǎng)絡(luò)信息數(shù)據(jù)庫(kù)，它對(duì)完成電子政務(wù)職能發(fā)揮巨大作用。但是這些個(gè)人信息如果保護(hù)不力或無(wú)意被泄漏，而被非法濫用，就可能成為報(bào)復(fù)、盜竊、推銷、討債、盯梢的工具。在國(guó)外已經(jīng)出現(xiàn)將盜用的個(gè)人隱私信息作為非法商品出售，以牟取暴利的情況，這樣直 接損害個(gè)人的利益，甚至危及個(gè)人的生命安危。因此加快個(gè)人數(shù)據(jù)保護(hù)法的制訂，是必要的。

還有很多法規(guī)的制訂都直接關(guān)系到電子政務(wù)的健康發(fā)展，加快制訂這些法規(guī)，勢(shì)在必行。

要素二 安全組織與管理

我國(guó)信息安全管理職能的格局已經(jīng)形成，如國(guó)家安全部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)、信息產(chǎn)業(yè)部、總參??分別執(zhí)行各自的安全職能，維護(hù)國(guó)家信息安全。電子政務(wù)安全管理涉及到上述眾多的國(guó)家安全職能部門，其安全管理職能的協(xié)調(diào)需要由國(guó)家信息化領(lǐng)導(dǎo)機(jī)構(gòu)，如國(guó)家信息化領(lǐng)導(dǎo)小組及其辦公室、國(guó)家電子政務(wù)協(xié)調(diào)小組、國(guó)家信息安全協(xié)調(diào)小組等來(lái)進(jìn)行。各地區(qū)和部委建立相應(yīng)的信息安全管理機(jī)構(gòu)，以完成和強(qiáng)化信息安全的管理，形成自頂向下的信息安全管理組織體系，是電子政務(wù)安全實(shí)施的必要條件。

制訂頒發(fā)電子政務(wù)安全相關(guān)的各項(xiàng)管理?xiàng)l例，及時(shí)指導(dǎo)電子政務(wù)建設(shè)的各種行為，從立項(xiàng)、承包、采購(gòu)、設(shè)計(jì)、實(shí)施、運(yùn)行、操作、監(jiān)理、服務(wù)等各階段入手，保障電子政務(wù)系統(tǒng)建設(shè)全程的安全和安全管理工作的程序化和制度化。

電子政務(wù)信息安全域的劃分與管理是至關(guān)重要的。電子政務(wù)有辦公決策、行政監(jiān)管和公共服務(wù)等三種類型業(yè)務(wù)，其業(yè)務(wù)信息內(nèi)容涉及國(guó)家機(jī)密、部門工作秘密、內(nèi)部敏感信息和開(kāi)放服務(wù)信息。既要保護(hù)國(guó)家秘密又要便于公開(kāi)服務(wù)，因此對(duì)信息安全域的科學(xué)劃分和管理，將有益于電子政務(wù)網(wǎng)絡(luò)平臺(tái)的安全設(shè)計(jì)，有益于電子政務(wù)的健康和有效的實(shí)現(xiàn)。

制訂電子政務(wù)工程集成商的資質(zhì)認(rèn)證管理辦法、工程建設(shè)監(jiān)理機(jī)構(gòu)的管理辦法、工程外包商的管理機(jī)制和辦法，以確保電子政務(wù)工程建設(shè)的質(zhì)量和安全，特別是對(duì)于電子政務(wù)系統(tǒng)的外包制更要有嚴(yán)格的制約和管理手段。對(duì)于電子政務(wù)中涉密系統(tǒng)工程的承建，還必須有國(guó)家保密局頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書，其他部分應(yīng)具有國(guó)家或省市相應(yīng)的系統(tǒng)集成商的資質(zhì)證書。對(duì)于電子政務(wù)涉密部分，不允許托管和外包運(yùn)行，電子政務(wù)其他部分將按相關(guān)管理?xiàng)l例執(zhí)行。

電子政務(wù)工程中使用的信息安全產(chǎn)品，國(guó)家將制訂相應(yīng)的采購(gòu)管理政策，涉及密碼的信息安全產(chǎn)品需有國(guó)家密碼主管部門的批準(zhǔn)證書，信息安全產(chǎn)品應(yīng)有通過(guò)國(guó)家測(cè)評(píng)主管機(jī)構(gòu)的安全測(cè)評(píng)的證書，維護(hù)信息安全產(chǎn)品的可信性。

電子政務(wù)系統(tǒng)信息內(nèi)容根據(jù)管理需求，可以實(shí)施對(duì)信息內(nèi)容的安全監(jiān)控管理，以保護(hù)政務(wù)信息安全，防止由于內(nèi)部違規(guī)或外部入侵可能造成的網(wǎng)絡(luò)泄密，同時(shí)也阻止有害信息內(nèi)容在政務(wù)網(wǎng)上傳播。

制訂電子政務(wù)系統(tǒng)的人員管理、機(jī)構(gòu)管理、文檔管理、操作管理、資產(chǎn)與配置管理、介質(zhì)管理、服務(wù)管理、應(yīng)急事件管理、保密管理、故障管理、開(kāi)發(fā)與維護(hù)管理、作業(yè)連續(xù)性保障管理、標(biāo)準(zhǔn)與規(guī)范遵從性管理、物理環(huán)境管理等各種條例，確保電子政務(wù)系統(tǒng)的安全運(yùn)行。

要素三 安全標(biāo)準(zhǔn)與規(guī)范

信息安全標(biāo)準(zhǔn)有利于安全產(chǎn)品的規(guī)范化，有利于保證產(chǎn)品安全可信性、實(shí)現(xiàn)產(chǎn)品的互聯(lián)和互操作性，以支持電子政務(wù)系統(tǒng)的互聯(lián)、更新和可擴(kuò)展性，支持系統(tǒng)安全的測(cè)評(píng)與評(píng)估，保障電子政務(wù)系統(tǒng)的安全可靠。

國(guó)家已正式成立“信息安全標(biāo)準(zhǔn)化委員會(huì)”，近期成立了信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WG1）、內(nèi)容安全分級(jí)及標(biāo)識(shí)工作組（WG2）、密碼算法與密碼模塊/KMI/VPN工作組（WG3）、PKI/PMI工作組（WG4）、信息安全評(píng)估工作組（WG5）、操作系統(tǒng)與數(shù)據(jù)庫(kù)安全工作組（WG6）、身份標(biāo)識(shí)與鑒別協(xié)議工作組（WG9）、操作系統(tǒng)與數(shù)據(jù)庫(kù)安全工作組（WG10），以開(kāi)展電子政務(wù)安全相關(guān)標(biāo)準(zhǔn)的研制工作，支撐電子政務(wù)安全對(duì)標(biāo)準(zhǔn)制訂的需求。

還將制訂下列標(biāo)準(zhǔn)：涉密電子文檔密級(jí)劃分和標(biāo)記格式、內(nèi)容健康性等級(jí)劃分與標(biāo)記、內(nèi)容敏感性等級(jí)劃分與標(biāo)記、密碼算法標(biāo)準(zhǔn)、密碼模塊標(biāo)準(zhǔn)、密鑰管理標(biāo)準(zhǔn)、PKI/CA標(biāo)準(zhǔn)、PMI標(biāo)準(zhǔn)、信息系統(tǒng)安全評(píng)估和信息安全產(chǎn)品測(cè)評(píng)標(biāo)準(zhǔn)、應(yīng)急響應(yīng)等級(jí)、保護(hù)目標(biāo)等級(jí)、應(yīng)急響應(yīng)指標(biāo)、電子證據(jù)恢復(fù)與提取、電子證據(jù)有效性界定、電子證據(jù)保護(hù)、身份標(biāo)識(shí)與鑒別、數(shù)據(jù)庫(kù)安全等級(jí)、操作系統(tǒng)安全等級(jí)、中間件安全等級(jí)、信息安全產(chǎn)品接口規(guī)范、數(shù)字簽名??。

要素四 安全保障與服務(wù)

1.電子政務(wù)系統(tǒng)建設(shè)，要構(gòu)建其技術(shù)安全保障架構(gòu)，對(duì)大型電子政務(wù)系統(tǒng)要建立縱深防御體系。

·設(shè)置政務(wù)內(nèi)網(wǎng)的安全與控制策略；

·設(shè)置政務(wù)外網(wǎng)的安全與控制策略；

·設(shè)置進(jìn)入互聯(lián)網(wǎng)的安全服務(wù)與控制策略；

·設(shè)置租用公網(wǎng)干線的安全服務(wù)與控制策略，包括有線通信、無(wú)線通信和衛(wèi)星通信的安全服務(wù)與控制策略；

·設(shè)置政務(wù)計(jì)算環(huán)境的安全服務(wù)與機(jī)制。

采用縱深防御和多級(jí)設(shè)防，是電子政務(wù)安全保障的重要原則，通過(guò)全局性的安全防護(hù)、安全檢測(cè)、快速響應(yīng)、集成的安全管理與安全設(shè)施的聯(lián)動(dòng)控制，以達(dá)到系統(tǒng)具有防護(hù)、檢測(cè)、反應(yīng)與恢復(fù)能力。

2.推廣電子政務(wù)信息系統(tǒng)安全工程（ISSE）的控制方法，全面實(shí)現(xiàn)安全服務(wù)要求。

電子政務(wù)安全系統(tǒng)的設(shè)計(jì)，首先要做好系統(tǒng)資產(chǎn)價(jià)值的分析，如物理資產(chǎn)的價(jià)值（系統(tǒng)環(huán)境、硬件、系統(tǒng)軟件）、信息資產(chǎn)的價(jià)值、其數(shù)據(jù)與國(guó)家利益和部門利益的關(guān)聯(lián)度；其業(yè)務(wù)系統(tǒng)（模型、流程、應(yīng)用軟件）正常運(yùn)行后果所產(chǎn)生的效益，從而確定系統(tǒng)安全應(yīng)保護(hù)的目標(biāo)，在上述分析的基礎(chǔ)上提出整個(gè)安全系統(tǒng)的安全需求，進(jìn)一步定義達(dá)到這些安全需求所應(yīng)具有的安全功能，然后探索系統(tǒng)可能面臨的威脅類型，并找出系統(tǒng)自身的脆弱性，這些威脅和脆弱性有：

·網(wǎng)上黑客與計(jì)算機(jī)犯罪；

·網(wǎng)絡(luò)病毒的蔓延與破壞；

·機(jī)要信息流失與信息間諜潛入；

·網(wǎng)上恐怖活動(dòng)與信息戰(zhàn)；

·內(nèi)部人員違規(guī)與違法；

·網(wǎng)上安全產(chǎn)品的失控；

·網(wǎng)絡(luò)與系統(tǒng)自身的漏洞與脆弱性。

在這些威脅面前，要分析哪些威脅是本系統(tǒng)主要面臨的威脅，哪些是次要的，對(duì)系統(tǒng)和任務(wù)造成的影響程度如何。進(jìn)行定性和定量的分析，提出系統(tǒng)安全對(duì)策，確定承受風(fēng)險(xiǎn)的能力，尋找投入和風(fēng)險(xiǎn)承受能力間的平衡點(diǎn)，然后確定系統(tǒng)所需要的安全服務(wù)及對(duì)應(yīng)的安全機(jī)制（見(jiàn)表一），從而配置系統(tǒng)的安全要素。在工程的生命周期中要進(jìn)行風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)決策流程（見(jiàn)圖2），這種風(fēng)險(xiǎn)管理是要對(duì)電子政務(wù)全程進(jìn)行的。

系統(tǒng)投入運(yùn)行要對(duì)其安全性進(jìn)行有效評(píng)估，即評(píng)估者給出的評(píng)估證據(jù)和建設(shè)者采用的技術(shù)保障設(shè)施，的確能使系統(tǒng)擁有者確信已選用技術(shù)對(duì)策，確實(shí)減少了系統(tǒng)的安全風(fēng)險(xiǎn)，滿足必要的風(fēng)險(xiǎn)策略（風(fēng)險(xiǎn)策略可以是“零”風(fēng)險(xiǎn)策略、最小風(fēng)險(xiǎn)策略、最大可承受風(fēng)險(xiǎn)策略或不計(jì)風(fēng)險(xiǎn)策略），使其達(dá)到保護(hù)系統(tǒng)資產(chǎn)價(jià)值所必需的能力（見(jiàn)圖3）。上述有效評(píng)估過(guò)程可用安全技術(shù)保障強(qiáng)壯性級(jí)別（IATRn）來(lái)描述：

IATRn=f(Vn,Tn,SMLn,EALn)

Tn：威脅等級(jí)

Vn：資產(chǎn)價(jià)值等級(jí)

SMLn：安全機(jī)制強(qiáng)度等級(jí)

EALn：評(píng)估保障等級(jí)

要素五 安全技術(shù)與產(chǎn)品

1． 加強(qiáng)安全技術(shù)和產(chǎn)品的自主研制和創(chuàng)新。

由于電子政務(wù)的國(guó)家涉密性，電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識(shí)產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品，全面推動(dòng)自主研發(fā)和創(chuàng)新這些技術(shù)和產(chǎn)品是電子政務(wù)安全的需要。這些產(chǎn)品和技術(shù)可以分為六大類：

·基礎(chǔ)類：風(fēng)險(xiǎn)控制、體系結(jié)構(gòu)、協(xié)議工程、有效評(píng)估、工程方法；

·關(guān)鍵類：密碼、安全基、內(nèi)容安全、抗病毒、IDS、VPN、RBAC、強(qiáng)審計(jì)、邊界安全隔離；

·系統(tǒng)類：PKI、PMI、DRI、網(wǎng)絡(luò)預(yù)警、集成管理、KMI；

·應(yīng)用類：EC、EG、NB、NS、NM、WF、XML、CSCW；

·物理與環(huán)境類：TEMPEX、物理識(shí)別；

·前瞻性：免疫技術(shù)、量子密碼、漂移技術(shù)、語(yǔ)義理解識(shí)別。

2．電子政務(wù)安全產(chǎn)品的選擇。

整個(gè)電子政務(wù)的安全，涉及信息安全產(chǎn)品的全局配套和科學(xué)布置，產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自主權(quán)和自控權(quán)。

產(chǎn)品可涉及安全操作系統(tǒng)、安全硬件平臺(tái)、安全數(shù)據(jù)庫(kù)、PKI/CA、PMI、VPN、安全網(wǎng)關(guān)、防火墻、數(shù)據(jù)加密機(jī)、入侵檢測(cè)（IDS）、漏洞掃描、計(jì)算機(jī)病毒防治工具、強(qiáng)審計(jì)工具、安全Web、安全郵件、安全設(shè)施集成管理平臺(tái)、內(nèi)容識(shí)別和過(guò)濾產(chǎn)品、安全備份、電磁泄漏防護(hù)、安全隔離客戶機(jī)、安全網(wǎng)閘。

要素六 安全基礎(chǔ)設(shè)施

信息安全基礎(chǔ)設(shè)施是一種為信息系統(tǒng)應(yīng)用主體和信息安全執(zhí)法主體提供信息安全公共服務(wù)和支撐的社會(huì)基礎(chǔ)設(shè)施，方便信息應(yīng)用主體安全防護(hù)機(jī)制的快速配置，有利于促進(jìn)信息應(yīng)用業(yè)務(wù)的健康發(fā)展，有利于信息安全技術(shù)和產(chǎn)品的標(biāo)準(zhǔn)化和促進(jìn)其可信度的提高，有利于信息安全職能部門的監(jiān)督和執(zhí)法，有利于增強(qiáng)全社會(huì)信息安全移師和防護(hù)技能，有利于國(guó)家信息安全保障體系的建設(shè)。因此，推動(dòng)電子政務(wù)的發(fā)展，應(yīng)重視相關(guān)信息安全基礎(chǔ)設(shè)施的建設(shè)。

信息安全基礎(chǔ)設(shè)施有兩大類。

1．社會(huì)公共服務(wù)類

·基于PKI/PMI數(shù)字證書的信任和授權(quán)體系；

·基于CC/TCSEC的信息安全產(chǎn)品和系統(tǒng)的測(cè)評(píng)與評(píng)估體系；

·計(jì)算機(jī)病毒防治與服務(wù)體系；

·網(wǎng)絡(luò)應(yīng)急響應(yīng)與支援體系；

·災(zāi)難恢復(fù)基礎(chǔ)設(shè)施；

·基于KMI的密鑰管理基礎(chǔ)設(shè)施。

2．行政監(jiān)管執(zhí)法類

·網(wǎng)絡(luò)信息內(nèi)容安全監(jiān)控體系；

·網(wǎng)絡(luò)犯罪監(jiān)察與防范體系；

·電子信息保密監(jiān)管體系；

·網(wǎng)絡(luò)偵控與反竊密體系；

·網(wǎng)絡(luò)監(jiān)控、預(yù)警與反擊體系。

第三篇：我國(guó)電子政務(wù)信息安全管理問(wèn)題研究

我國(guó)電子政務(wù)信息安全管理問(wèn)題研究

作者： XXX 指導(dǎo)老師：XXX

內(nèi)容摘要：電子政務(wù)是一種全新的政府管理方式，是一個(gè)基于網(wǎng)絡(luò)技術(shù)的綜合性業(yè)務(wù)模式。建立電子政務(wù)系統(tǒng)參與公眾服務(wù)，必然要求這一系統(tǒng)必須是安全、可靠、抗災(zāi)難、可恢復(fù)的。隨著電子政務(wù)信息化的不斷發(fā)展，電子政務(wù)對(duì)于網(wǎng)絡(luò)系統(tǒng)的依賴性越來(lái)越強(qiáng)，政務(wù)系統(tǒng)作為關(guān)系國(guó)計(jì)民生的重要部分，在安全方面尤為重要。本文就主要從我國(guó)電子政務(wù)的發(fā)展歷程及面臨的主要挑戰(zhàn)，信息安全管理過(guò)程中出現(xiàn)的相關(guān)問(wèn)題做一分析以及主要的管理措施加以論述。

關(guān)鍵詞：電子政務(wù) 信息安全 電子政務(wù)信息安全

一、我國(guó)電子政務(wù)發(fā)展的歷程，特點(diǎn)及主要趨勢(shì)

1、我國(guó)電子政務(wù)的發(fā)展歷程

電子政務(wù)的發(fā)展源于技術(shù)的進(jìn)步和社會(huì)的演進(jìn)，信息技術(shù)的突破性進(jìn)展為政府信息化創(chuàng)造了條件，中國(guó)政府明確提出建設(shè)電子政務(wù)雖然只是近幾年的事，但從歷史沿革來(lái)看，80年代中期開(kāi)始的辦公自動(dòng)化建設(shè)，就已經(jīng)拉開(kāi)了電子政務(wù)建設(shè)的帷幕。從這一時(shí)間段來(lái)劃分，中國(guó)電子政務(wù)的發(fā)展大體可分為四個(gè)階段：辦公自動(dòng)化階段、“三金工程”實(shí)施階段、“政府上網(wǎng)”階段和電子政務(wù)階段。

2、我國(guó)電子政務(wù)的特點(diǎn)

（1）我國(guó)電子政務(wù)整體尚處在初步發(fā)展階段。表現(xiàn)為相關(guān)政策，法律法規(guī)的建設(shè)不完善，電子政務(wù)信息化建設(shè)物理硬件設(shè)施不夠完善，相關(guān)技術(shù)整體上還有很大的發(fā)展空間。

（2）發(fā)展的多層次性和不平衡性。由于我國(guó)經(jīng)濟(jì)社會(huì)發(fā)展不平穩(wěn)，中央部委、沿海發(fā)達(dá)地區(qū)和中西部地區(qū)電子政務(wù)的發(fā)展水平存在較大差距，呈現(xiàn)出多層次、不平衡性的特點(diǎn)。另外，近幾年政府門戶網(wǎng)站的發(fā)展較快，但網(wǎng)站內(nèi)容與所能提供的服務(wù)卻相對(duì)不足。

（3）電子政務(wù)領(lǐng)域各種“矛盾”突出。部門和地區(qū)對(duì)電子政務(wù)的投資熱情與應(yīng)用效果之間的反差強(qiáng)烈，電子政務(wù)管理沿用的固定資產(chǎn)投資方式已不能適應(yīng)電子政務(wù)發(fā)展的需要，但相關(guān)的管理制度改革卻處于相對(duì)緩慢的狀態(tài)。

3、我國(guó)電子政府發(fā)展的主要趨勢(shì)

（1）信息安全得到加強(qiáng)。從政府層面來(lái)看，電子政務(wù)安全體系框架正在研究制定，電子簽名法

(1)

已經(jīng)推出，信息公開(kāi)等方面的法律法規(guī)的前期研究工作也在進(jìn)行當(dāng)中；從用戶層面來(lái)看，電子政務(wù)建設(shè)的用戶從規(guī)劃、實(shí)施等方面都已對(duì)信息安全進(jìn)行了充分考慮，并且信息安全方面的費(fèi)用在整個(gè)信息化建設(shè)中所占的比例越來(lái)越大；從廠商層面來(lái)看，國(guó)內(nèi)外安全廠商在整個(gè)IT行業(yè)中發(fā)展速度較快，廠商數(shù)量和廠商規(guī)模都在迅速增長(zhǎng)?？梢灶A(yù)計(jì)，未來(lái)幾年信息安全市場(chǎng)將會(huì)有更進(jìn)一步的發(fā)展，信息安全法律法規(guī)將會(huì)更加完善。

（2）信息中心轉(zhuǎn)型步伐進(jìn)一步加快。未來(lái)幾年，多數(shù)信息中心將不再具體承擔(dān)政府部門的信息化建設(shè)任務(wù)，而轉(zhuǎn)向政府信息化規(guī)劃、招投標(biāo)、工程管理、工程驗(yàn)收等方面。因此，未來(lái)的電子政務(wù)建設(shè)市場(chǎng)將進(jìn)一步的透明，并且由于信息中心的轉(zhuǎn)型，使專門從事電子政務(wù)系統(tǒng)集成、方案開(kāi)發(fā)的廠商有了更大的發(fā)展空間和市場(chǎng)。

（3）標(biāo)準(zhǔn)規(guī)范將不斷完善。2002年5月，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)和國(guó)務(wù)院信息化工作辦公室聯(lián)合發(fā)布了《電子政務(wù)標(biāo)準(zhǔn)化指南》總則部分，與之相關(guān)的電子政務(wù)工程管理、網(wǎng)絡(luò)建設(shè)、信息共享、支撐技術(shù)、信息安全等方面的技術(shù)要求、標(biāo)準(zhǔn)和管理規(guī)定在2003年已完成。2004年，從事系統(tǒng)集成、網(wǎng)絡(luò)建設(shè)、信息安全等方面的廠商，在開(kāi)發(fā)建設(shè)過(guò)程中已有法可依。

二、我國(guó)電子政務(wù)信息安全存在的問(wèn)題

1、法律問(wèn)題

盡管近年來(lái)我國(guó)已出臺(tái)了一系列與網(wǎng)絡(luò)信息安全相關(guān)的法律法規(guī)，并取得了一定的成績(jī)，但這些法律法規(guī)尚未形成體系。隨著信息技術(shù)的發(fā)展，信息安全問(wèn)題越來(lái)越復(fù)雜，現(xiàn)有的信息安全法律框架已經(jīng)難以適應(yīng)電子政務(wù)信息化模式的發(fā)展需求。因此加快電子政務(wù)信息化的法律法規(guī)建設(shè)以成為一項(xiàng)非常急迫的任務(wù)。

2、技術(shù)問(wèn)題

（1）網(wǎng)絡(luò)安全規(guī)劃與網(wǎng)絡(luò)結(jié)構(gòu)的不合理性。

由于信息技術(shù)發(fā)展尚不完善的眾多原因，我國(guó)電子政務(wù)網(wǎng)絡(luò)的建設(shè)在規(guī)劃上經(jīng)常缺少前瞻性的安全規(guī)劃，如：IP 地址缺乏統(tǒng)一規(guī)劃，廣播流量可控性差，子網(wǎng)故障隔離性差，重要流量缺乏帶寬管理和服務(wù)質(zhì)量?jī)?yōu)先保證等問(wèn)題顯現(xiàn)明顯。

（2）電子政務(wù)信息化建設(shè)技術(shù)人員相對(duì)缺乏，技術(shù)等素質(zhì)不過(guò)硬。

我國(guó)信息化建設(shè)相對(duì)國(guó)對(duì)發(fā)達(dá)國(guó)家的信息設(shè)備和信息技術(shù)有很大的差異，技術(shù)人員培養(yǎng)力度也比發(fā)達(dá)國(guó)家相對(duì)來(lái)說(shuō)不足，信息化核心設(shè)備嚴(yán)重依賴國(guó)外，對(duì)引進(jìn)的技術(shù)和設(shè)備缺乏必要的信息管理和技術(shù)改造。尤其是在系統(tǒng)安全和安全協(xié)議的研究和應(yīng)用方面與發(fā)達(dá)國(guó)家的差距很大。（3）網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)設(shè)置的不科學(xué)，造成了大量的網(wǎng)絡(luò)安全隱患。

電子政務(wù)本身所具有的特點(diǎn)決定了它很容易招致來(lái)自外部或內(nèi)部的各種攻擊。同時(shí)，網(wǎng)絡(luò)化政務(wù)辦公導(dǎo)致了政府工作對(duì)網(wǎng)絡(luò)依賴性的增強(qiáng)，而依賴性必然產(chǎn)生脆弱性，包括技術(shù)的脆弱性、社會(huì)

(2)的脆弱性、人的脆弱性等等。由于網(wǎng)絡(luò)技術(shù)不夠成熟，網(wǎng)絡(luò)設(shè)置不夠科學(xué)，目前大部分電子政務(wù)選用的系統(tǒng)本身存在著安全弱點(diǎn)或隱患，其中包括網(wǎng)絡(luò)硬件設(shè)備的弱點(diǎn)、操作平臺(tái)的弱點(diǎn)等各種安全問(wèn)題。由于電子政務(wù)在很大程度上要依賴因特網(wǎng)，而因特網(wǎng)的全球性、開(kāi)放性在為我們提供極大的便利的同時(shí)，也給信息安全帶來(lái)了極大的威脅，這就需要我們努力的利用先進(jìn)的網(wǎng)絡(luò)技術(shù)來(lái)減少或消除這些威脅。

3、管理問(wèn)題

（1）政府工作人員思想觀念陳舊，安全意識(shí)淡薄。

我國(guó)電子政務(wù)建設(shè)起點(diǎn)低，時(shí)間短，至今仍未成熟。幾十年來(lái)，政府工作人員已經(jīng)習(xí)慣了手工作業(yè)，不容易適應(yīng)信息化辦公，對(duì)電子政務(wù)沒(méi)有一個(gè)正確的認(rèn)識(shí)，仍保留著陳舊的管理理念。另外，對(duì)于工作人員，在電子政務(wù)信息的安全問(wèn)題上還存在不少認(rèn)知盲區(qū)和制約因素。網(wǎng)絡(luò)是新生事物，許多人一接觸它就忙著用于學(xué)習(xí)、工作和娛樂(lè)等，對(duì)網(wǎng)絡(luò)信息的安全性無(wú)暇顧及，安全意識(shí)相當(dāng)?shù)?，?duì)網(wǎng)絡(luò)信息不安全的事實(shí)認(rèn)識(shí)不足。雖然政府已經(jīng)采取了很多措施來(lái)提高工作人員的安全意識(shí)，但就其效果而言并不是很理想。

（2）管理體制問(wèn)題突出，網(wǎng)絡(luò)安全管理混亂，規(guī)范化的管理制度相對(duì)滯后，造成了很多管理安全漏洞。

一直以來(lái)，各級(jí)政府為了保證信息安全，只在技術(shù)上采取了相應(yīng)的保障措施，卻忽略了更重要的管理體制的建設(shè)，未把保障電子政務(wù)安全的“軟措施”做細(xì)做實(shí)，未從管理體制上落實(shí)安全責(zé)任制，未建立完備的信息安全管理和認(rèn)證機(jī)制等。這使電子政務(wù)系統(tǒng)存在很多管理安全漏洞，很難做到安全管理的統(tǒng)一協(xié)調(diào)性，一旦發(fā)生安全事件，故障定位不準(zhǔn)，追查事故源困難，責(zé)任問(wèn)題牽扯不清，從而造成事件的破壞性后果更為嚴(yán)重。

三、我國(guó)電子政務(wù)信息安全管理措施

1、完善管理體制，規(guī)范管理制度。

目前，我國(guó)電子政務(wù)領(lǐng)域并沒(méi)有形成一個(gè)由上到下的統(tǒng)一的管理體制，這給信息安全的保障造成了很大的障礙。這就需要國(guó)家相關(guān)部門建立一個(gè)從中央到各級(jí)地方政府的統(tǒng)一的電子政務(wù)管理體制，上級(jí)部門主管或監(jiān)督下級(jí)部門，面對(duì)問(wèn)題，中央及各級(jí)下屬部門協(xié)調(diào)步伐，統(tǒng)一解決，以防出現(xiàn)不同部門的各種差異和利益沖突。電子政務(wù)網(wǎng)絡(luò)內(nèi)部安全除了需要體系化的安全防御策略以外，還需要嚴(yán)格的、可操作性強(qiáng)的安全管理制度，以明確責(zé)任，增強(qiáng)員工對(duì)信息安全的重視程度。制度的制訂要規(guī)范，要強(qiáng)調(diào)制度的強(qiáng)制性、法規(guī)約束力和可操作性。

2、提高工作人員的信息素養(yǎng)，強(qiáng)化信息安全意識(shí)。

對(duì)相關(guān)工作人員進(jìn)行電子政務(wù)方面相關(guān)知識(shí)的培訓(xùn)，使其轉(zhuǎn)變傳統(tǒng)的思想觀念，深入了解和認(rèn)識(shí)電子政務(wù)，更好地融入政府的現(xiàn)代化辦公。同時(shí)進(jìn)行安全宣傳教育，增強(qiáng)安全意識(shí)的培養(yǎng)和信息

(3)

安全知識(shí)的普及，提高工作人員的信息素養(yǎng)，保證安全管理制度的良好貫徹和執(zhí)行。

3、加強(qiáng)電子政務(wù)的法治環(huán)境建設(shè)。

與電子政務(wù)快速發(fā)展的實(shí)踐相比，我國(guó)的電子政務(wù)法制化進(jìn)程明顯滯后。對(duì)于我國(guó)電子政務(wù)發(fā)展中出現(xiàn)的各種問(wèn)題，尤其是信息安全問(wèn)題，國(guó)家立法機(jī)關(guān)及政府有必要以法律的形式加以解決和固化，以保證我國(guó)電子政務(wù)的健康發(fā)展。

4、加強(qiáng)網(wǎng)絡(luò)核心技術(shù)研發(fā)，培養(yǎng)電子政務(wù)專業(yè)人才。

電子政務(wù)的發(fā)展已經(jīng)成為我國(guó)現(xiàn)階段社會(huì)發(fā)展的一個(gè)重要組成部分，為了減少在信息設(shè)備和信息技術(shù)方面對(duì)發(fā)達(dá)國(guó)家的依賴性，加強(qiáng)我國(guó)電子政務(wù)系統(tǒng)的安全性，可以成立專門的針對(duì)電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的技術(shù)研發(fā)機(jī)構(gòu)，組成核心攻堅(jiān)團(tuán)隊(duì)，及時(shí)解決我國(guó)電子政務(wù)發(fā)展過(guò)程中出現(xiàn)的相關(guān)問(wèn)題。另外，為了保證電子政務(wù)系統(tǒng)的良好運(yùn)行，我國(guó)還急需培養(yǎng)大批的電子政務(wù)專業(yè)人才，可以在高校中設(shè)立電子政務(wù)相關(guān)專業(yè)，專門培養(yǎng)針對(duì)政府電子政務(wù)系統(tǒng)使用的專業(yè)人才。

四、電子政務(wù)信息安全管理應(yīng)用的主要技術(shù)

1、防火墻技術(shù)

防火墻技術(shù)在信息安全管理中顯得尤為重要，是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。在當(dāng)今政務(wù)公開(kāi)，政府工作注重高效性情況下，將防火墻技術(shù)應(yīng)用到電子政務(wù)中，對(duì)于信息安全的建設(shè)與發(fā)展都起到了不可忽視的作用。

2、VPN技術(shù)

VPN（Virtual Private Network）即虛擬專用網(wǎng)，是通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN 是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過(guò)它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN 可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。將VPN技術(shù)所涉及到數(shù)據(jù)安全連接及政府網(wǎng)站的擴(kuò)展操作，在一定意義上起到了電子政務(wù)信息安全的管理問(wèn)題。

3、PKI技術(shù)

PKI（Public Key Infrastucture）即公鑰基礎(chǔ)設(shè)施，廣義上講，它是一套安全服務(wù)的集合，運(yùn)用密碼學(xué)的基礎(chǔ)理論，為網(wǎng)絡(luò)應(yīng)用提供認(rèn)證、授權(quán)、加密、數(shù)字簽證等安全服務(wù)。PKI技術(shù)是一個(gè)廣闊的研究領(lǐng)域，在電子政務(wù)系統(tǒng)中的應(yīng)用研究有著重要的實(shí)用意義，它在電子政務(wù)系統(tǒng)的安全性、公務(wù)員的素質(zhì)、決策的科學(xué)性、行政效率等方面都有著積極的貢獻(xiàn)。因此PKI技術(shù)在電子政務(wù)中得到人們的日益重視。許多PKI技術(shù)不斷涌出，PKI對(duì)數(shù)據(jù)加密、數(shù)字簽名、反否認(rèn)、數(shù)字完整性以及分辨所需的密鑰和認(rèn)證實(shí)施了統(tǒng)一的集中化管理。基于PKI技術(shù)可構(gòu)建安全性能很好的電子政務(wù)

(4)

應(yīng)用系統(tǒng)。我國(guó)PKI理論的研究將走向成熟期，它的非?，F(xiàn)實(shí)的應(yīng)用前景和電子政務(wù)的發(fā)展要求完美結(jié)合，推進(jìn)我國(guó)基于PKI的安全的電子政務(wù)發(fā)展。

五、結(jié)束語(yǔ)

隨著信息化技術(shù)的日新月異，電子政務(wù)信息安全的保障顯得尤為重要，同時(shí)也是一項(xiàng)關(guān)系多領(lǐng)域的綜合工程，必須從技術(shù)和管理兩方面入手，才能最大限度地保證電子政務(wù)信息安全。在電子政務(wù)中，要達(dá)到絕對(duì)的安全是不可能的，但是，當(dāng)充分的認(rèn)識(shí)到電子政務(wù)信息安全所涉及的各個(gè)方面后，從綜合的角度出發(fā)，就可以找到較好的辦法，盡可能的達(dá)到維護(hù)電子政務(wù)系統(tǒng)安全的最終目的。相信經(jīng)過(guò)國(guó)家和地方各級(jí)政府部門的努力和緊密配合，在社會(huì)各方的大力幫助下，我國(guó)的電子政務(wù)信息安全隱患會(huì)降到最低，以保證電子政務(wù)實(shí)踐健康快速的發(fā)展！

參考文獻(xiàn)：

[1]趙國(guó)俊.電子政務(wù)教程[M].北京：中國(guó)人民大學(xué)出版社，2004.[2]韓文報(bào).電子政務(wù)概論[M].北京：解放軍出版社，2005.[3]劉越男，王立清.政府網(wǎng)站的構(gòu)建與運(yùn)作[M].北京：中國(guó)人民大學(xué)出版社，2004.[4]謝先江.電子政務(wù)外網(wǎng)安全平臺(tái)建設(shè)基本問(wèn)題初探[J].電子政務(wù)，2008.(5)

第四篇：電子政務(wù)信息安全檢查自查報(bào)告

電子政務(wù)外網(wǎng)信息安全工作自查報(bào)告

我鎮(zhèn)在市委、市政府的領(lǐng)導(dǎo)下，認(rèn)真按照四川省委省政府關(guān)于電子政務(wù)工作的總體部署和要求，對(duì)電子政務(wù)外網(wǎng)信息安全情況作了認(rèn)真檢查，現(xiàn)將我鎮(zhèn)電子政務(wù)工作自查情況報(bào)告如下：

一、組織及制度建設(shè)情況

一是領(lǐng)導(dǎo)重視，機(jī)構(gòu)健全。我鎮(zhèn)高度重視電子政務(wù)工作，成立了以鎮(zhèn)長(zhǎng)任組長(zhǎng)、鎮(zhèn)相關(guān)部門負(fù)責(zé)人為成員的鎮(zhèn)電子政務(wù)工作領(lǐng)導(dǎo)小組，統(tǒng)一領(lǐng)導(dǎo)鎮(zhèn)電子政務(wù)工作，研究決定鎮(zhèn)電子政務(wù)建設(shè)中的重大問(wèn)題。領(lǐng)導(dǎo)小組辦公室設(shè)在鎮(zhèn)黨政綜合辦公室，并指定懂電腦操作、保密意識(shí)強(qiáng)的黨政綜合辦公室成員具體負(fù)責(zé)信息更新及網(wǎng)絡(luò)維護(hù)等日常工作，形成了機(jī)構(gòu)健全、分工明確、責(zé)任到人的良好工作格局。二是制定制度，按章辦事。根據(jù)省、市文件要求，制定了辦公室自動(dòng)化設(shè)備保密管理制度、電子政務(wù)工作各項(xiàng)管理制度及維護(hù)制度，包括專人維護(hù)、文件發(fā)布審核簽發(fā)等制度。三是開(kāi)展不定期檢查。我鎮(zhèn)電子政務(wù)工作領(lǐng)導(dǎo)小組不定期對(duì)電子政務(wù)工作辦公室的環(huán)境安全、設(shè)備安全、信息安全、管理制度落實(shí)情況等內(nèi)容進(jìn)行檢查，對(duì)存在的問(wèn)題及時(shí)進(jìn)行糾正，消除安全隱患。

二、網(wǎng)絡(luò)和信息安全情況。

加強(qiáng)網(wǎng)絡(luò)運(yùn)行維護(hù)工作。加強(qiáng)網(wǎng)絡(luò)運(yùn)行維護(hù)隊(duì)伍建設(shè)，進(jìn)一步充實(shí)網(wǎng)絡(luò)運(yùn)行維護(hù)人員，鎮(zhèn)黨政綜合辦公室確定兼職網(wǎng)絡(luò)信息管理員，負(fù)責(zé)及時(shí)提供和審核本部門信息內(nèi)容。同時(shí)按照縣安全管理要求，制定和完善了我鎮(zhèn)電子政務(wù)安全保密措施，落實(shí)安全保密工作責(zé)任制，未發(fā)現(xiàn)網(wǎng)絡(luò)異常。

三、技術(shù)防護(hù)手段建設(shè)

切實(shí)做好信息安全工作。安裝了專門的殺毒、殺木馬軟件，互聯(lián)網(wǎng)出口處部署了防火墻，并且定期進(jìn)行漏洞掃描、病毒木馬檢測(cè)，有效防范了病毒、木馬、黑客等網(wǎng)絡(luò)攻擊，確保了信息和網(wǎng)絡(luò)運(yùn)行安全。

四、存在的困難和不足

雖然我鎮(zhèn)電子政務(wù)工作在有序開(kāi)展，但還存在一些困難和不足之處，主要體現(xiàn)在：一是辦公電腦設(shè)備陳舊老化，專門用于電子政務(wù)的電腦使用時(shí)間久，運(yùn)行速度慢。二是機(jī)關(guān)工作人員年齡偏大，計(jì)算機(jī)知識(shí)程度不高，培訓(xùn)沒(méi)有完全跟上。三是信息未能完全做到及時(shí)更新，電子政務(wù)管理、使用有待于進(jìn)一步加強(qiáng)。

五、改進(jìn)措施

一是努力提高業(yè)務(wù)素質(zhì)。加強(qiáng)宣傳教育，提高全鎮(zhèn)人員對(duì)電子政務(wù)的認(rèn)知水平和責(zé)任意識(shí)，積極組織人員參加全縣電子政務(wù)培訓(xùn)，為電子政務(wù)的有效實(shí)施奠定更加堅(jiān)實(shí)的基礎(chǔ)。二是加強(qiáng)制度建設(shè)。完善電子政務(wù)的管理、使用等一系列規(guī)章制度，對(duì)存在的薄弱環(huán)節(jié)，制定針對(duì)性措施，并在實(shí)

際工作中狠抓落實(shí)，進(jìn)一步提高電子政務(wù)應(yīng)用水平和使用效益。三是加強(qiáng)電子政務(wù)的日常管理。定期升級(jí)病毒庫(kù)、查殺病毒掃描系統(tǒng)漏洞，保證專門用于電子政務(wù)的電腦能時(shí)刻處于健康狀態(tài)。

第五篇：關(guān)于電子政務(wù)信息安全等級(jí)保護(hù)

關(guān)于電子政務(wù)信息安全等級(jí)保護(hù)

相關(guān)文件的學(xué)習(xí)報(bào)告 引言 1.1 編寫目的

《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27 號(hào)，以下簡(jiǎn)稱“27 號(hào)文件”）明確要求我國(guó)信息安全保障工作實(shí)行等級(jí)保護(hù)制度,提出“抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。2004 年9 月發(fā)布的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66 號(hào)，以下簡(jiǎn)稱“66 號(hào)文件”）進(jìn)一步強(qiáng)調(diào)了開(kāi)展信息安全等級(jí)保護(hù)工作的重要意義，規(guī)定了實(shí)施信息安全等級(jí)保護(hù)制度的原則、內(nèi)容、職責(zé)分工、基本要求和實(shí)施計(jì)劃，部署了實(shí)施信息安全等級(jí)保護(hù)工作的操作辦法。號(hào)文件和66 號(hào)文件不但為各行業(yè)開(kāi)展信息安全等級(jí)保護(hù)工作指明了方向，同時(shí)也為各行業(yè)如何根據(jù)自身特點(diǎn)做好信息安全等級(jí)保護(hù)工作提出了更高的要求。電子政務(wù)作為國(guó)家信息化戰(zhàn)略的重要組成部分，其安全保障事關(guān)國(guó)家安全和社會(huì)穩(wěn)定，必須按照27 號(hào)文件要求，全面實(shí)施信息安全等級(jí)保護(hù)。因此，組織編制《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》，規(guī)范電子政務(wù)信息安全等級(jí)保護(hù)工作的基本思路和實(shí)施方法，指 1 導(dǎo)我國(guó)電子政務(wù)建設(shè)中的信息安全保障工作，對(duì)搞好電子政務(wù)信息安全保障具有十分重要的現(xiàn)實(shí)意義。

1.2 適用范圍

本指南提供了電子政務(wù)信息安全等級(jí)保護(hù)的基本概念、方法和過(guò)程，適用于指導(dǎo)各級(jí)黨政機(jī)關(guān)新建電子政務(wù)系統(tǒng)和已建電子政務(wù)系統(tǒng)的等級(jí)保護(hù)工作。

1.3 文檔結(jié)構(gòu)

本指南包括五個(gè)章節(jié)和兩個(gè)附錄。

第1章為引言，介紹了本指南的編寫目的、適用范圍和文檔結(jié)構(gòu)；第2章為基本原理，描述了等級(jí)保護(hù)的概念、原理、實(shí)施過(guò)程、角色與職責(zé)，以及系統(tǒng)間互聯(lián)互通的等級(jí)保護(hù)要求；第3章描述了電子政務(wù)等級(jí)保護(hù)的定級(jí)，包括定級(jí)過(guò)程、系統(tǒng)識(shí)別和描述、等級(jí)確定；第4章描述了電子政務(wù)等級(jí)保護(hù)的安全規(guī)劃與設(shè)計(jì)，包括電子政務(wù)系統(tǒng)分域報(bào)護(hù)框架的建立，選擇和調(diào)整安全措施，以及安全規(guī)劃與方案設(shè)計(jì)；第5章描述了安全措施的實(shí)施、等級(jí)評(píng)估，以及等級(jí)保護(hù)的運(yùn)行改進(jìn)?；驹?2.1 基本概念

2.1.1 電子政務(wù)等級(jí)保護(hù)的基本含義

信息安全等級(jí)保護(hù)是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過(guò)程中，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化健康發(fā)展的基本策略。27 號(hào)文件對(duì)信息安全等級(jí)保護(hù)做出了系統(tǒng)的描述——“信息化發(fā)展的不同階段和不同的信息系統(tǒng)有著不同的安全需求，必須從實(shí)際出發(fā)，綜合平衡安全成本和風(fēng)險(xiǎn)，優(yōu)化信息安全資源的配置，確保重點(diǎn)。要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)?！?/p>

電子政務(wù)信息安全等級(jí)保護(hù)是根據(jù)電子政務(wù)系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定和保護(hù)公共利益等方面的重要程度，結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)、系統(tǒng)特定安全保護(hù)要求和成本開(kāi)銷等因素，將其劃分成不同的安全保護(hù)等級(jí)，采取相應(yīng)的安全保護(hù)措施，以保障信息和信息系統(tǒng)的安全。電子政務(wù)等級(jí)保護(hù)工作分為管理層面和用戶層面兩個(gè)方面的工作。管理層的主要工作是制定電子政務(wù)信息安全等級(jí)保護(hù)訴訟的管理辦法、定級(jí)指南、基本安全要求、等級(jí)評(píng)估規(guī)范以及對(duì)電子政務(wù)等級(jí)保護(hù)工作的管理等。用戶層的主要工作是依據(jù)管理層的要求對(duì)電子政務(wù)系統(tǒng)進(jìn)行定級(jí)，確定系統(tǒng)應(yīng)采取的安全保障措施，進(jìn)行系統(tǒng)安全設(shè)計(jì)與建設(shè)，以及運(yùn)行監(jiān)控與改進(jìn)。本指南的內(nèi)容主要針對(duì)用戶層面的工作。

電子政務(wù)信息安全等級(jí)保護(hù)遵三循以下原則： a）重點(diǎn)保護(hù)原則

電子政務(wù)等級(jí)保護(hù)要突出重點(diǎn)。對(duì)關(guān)系國(guó)家安全、經(jīng)濟(jì)命 脈、社會(huì)穩(wěn)定等方面的重要電子政務(wù)系統(tǒng)，應(yīng)集中資源優(yōu)先建設(shè)。

b）“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”原則

電子政務(wù)等級(jí)保護(hù)要貫徹“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則，由各主管部門和運(yùn)營(yíng)單位依照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定電子政務(wù)系統(tǒng)的安全等級(jí)并按照相關(guān)要求組織實(shí)施安全保障。

c）分區(qū)域保護(hù)原則

電子政務(wù)等級(jí)保護(hù)要根據(jù)各地區(qū)、各行業(yè)電子政務(wù)系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)和不同發(fā)展水平，分類、分級(jí)、分階段進(jìn)行實(shí)施，通過(guò)劃分不同的安全區(qū)域，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)。

d）同步建設(shè)原則

電子政務(wù)系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步建設(shè)信息安全設(shè)施，保證信息安全與信息化建設(shè)相適應(yīng)。

e)動(dòng)態(tài)調(diào)整原則

由于信息與信息系統(tǒng)的應(yīng)用類型、覆蓋范圍、外部環(huán)境等約束條件處于不斷變化與發(fā)展之中，因此信息與信息系統(tǒng)的安全保護(hù)等級(jí)需要根據(jù)變化情況，適時(shí)重新確定，并相應(yīng)調(diào)整對(duì)應(yīng)的保護(hù)措施。

2.1.2 電子政務(wù)安全等級(jí)的層級(jí)劃分

號(hào)文件中規(guī)定信息系統(tǒng)的安全等級(jí)從低到高依次包括自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)、?？乇?護(hù)級(jí)五個(gè)安全等級(jí)。按66 號(hào)文件的規(guī)定，對(duì)電子政務(wù)的五個(gè)安全等級(jí)定義如表2-1 所示。

2.1.3 電子政務(wù)等級(jí)保護(hù)的基本安全要求

電子政務(wù)等級(jí)保護(hù)基本安全要求是對(duì)各等級(jí)電子政務(wù)系統(tǒng)的一般性要求，分為五個(gè)等級(jí)，從第一級(jí)至第五級(jí)，對(duì)應(yīng)于五個(gè)等級(jí)的電子政務(wù)系統(tǒng)。對(duì)特定電子政務(wù)系統(tǒng)的安全保護(hù)，以其相應(yīng)等級(jí)的基本安全要求為基礎(chǔ)，通過(guò)對(duì)安全措施的調(diào)整和定制，得到適用于該電子政務(wù)系統(tǒng)的安全保護(hù)措施。電子政務(wù)等級(jí)保護(hù)基本安全要求分為安全策略、安全組織、安全技術(shù)和安全運(yùn)行四個(gè)方面。

a）安全策略

安全策略是為了指導(dǎo)和規(guī)范電子政務(wù)信息安全工作而制定的安全方針、管理制度、規(guī)范標(biāo)準(zhǔn)、操作流程和記錄模板等文檔的總和。安全策略具有層次化的結(jié)構(gòu)，包括整體安全策略、部門級(jí)安全策略、系統(tǒng)級(jí)安全策略等。

b）安全組織

安全組織是為了保障電子政務(wù)信息安全而建立的組織體系，包括各級(jí)安全組織機(jī)構(gòu)、崗位安全職責(zé)、人員安全管理、第三方安全管理、安全合作與溝通等方面。

c）安全技術(shù)

安全技術(shù)是指保障電子政務(wù)信息安全的安全技術(shù)功能要求和安全技術(shù)保障要求，包括網(wǎng)絡(luò)與通訊安全、主機(jī)與平臺(tái)安全、數(shù)據(jù)庫(kù)安全、應(yīng)用安全、數(shù)據(jù)安全、物理環(huán)境安全等方面。

d）安全運(yùn)行

安全運(yùn)行市委了保障電子政務(wù)系統(tǒng)運(yùn)行過(guò)程中的安全而制定的安全運(yùn)維要求，包括風(fēng)險(xiǎn)管理、配置和變更管理、信息系統(tǒng)工程安全管理、日常運(yùn)行管理、技術(shù)資料安全、應(yīng)急響應(yīng)等方面。

具體的電子政務(wù)等級(jí)保護(hù)基本安全要求參見(jiàn)相關(guān)的國(guó)家標(biāo)準(zhǔn)。

2.2 基本方法

2.2.1 等級(jí)保護(hù)的要素及其關(guān)系

電子政務(wù)等級(jí)保護(hù)的基本原理是：依據(jù)電子政務(wù)系統(tǒng)的使命、目標(biāo)和重要程度，將系統(tǒng)劃分為不同的安全等級(jí)，并綜合平衡系統(tǒng)特定安全保護(hù)要求、系統(tǒng)面臨安全風(fēng)險(xiǎn)情況和實(shí)施

安全保護(hù)措施的成本，進(jìn)行安全措施的調(diào)整和定制，形成與系統(tǒng)安全等級(jí)相適應(yīng)的安全保障體系。

電子政務(wù)等級(jí)保護(hù)包含以下七個(gè)要素： a）電子政務(wù)系統(tǒng)

電子政務(wù)系統(tǒng)是信息安全等級(jí)保護(hù)的對(duì)象，包括系統(tǒng)中的信息、系統(tǒng)所提供的服務(wù)，以及執(zhí)行信息處理、存儲(chǔ)、傳輸?shù)能浻布O(shè)備等。

b）目標(biāo)

目標(biāo)是指電子政務(wù)系統(tǒng)的業(yè)務(wù)目標(biāo)和安全目標(biāo)，電子政務(wù) 7 等級(jí)保護(hù)要保障業(yè)務(wù)目標(biāo)

和安全目標(biāo)的實(shí)現(xiàn)。c）電子政務(wù)信息安全等級(jí)

電子政務(wù)信息安全等級(jí)劃分為五級(jí)，分別體現(xiàn)在電子政務(wù)系統(tǒng)的等級(jí)和安全保護(hù)的等級(jí)兩個(gè)方面。

d）安全保護(hù)要求

不同的電子政務(wù)系統(tǒng)具有不同類型和不同強(qiáng)度的安全保護(hù)要求。

e）安全風(fēng)險(xiǎn)

安全風(fēng)險(xiǎn)是指電子政務(wù)系統(tǒng)由于本身存在安全弱點(diǎn)，通過(guò)人為或自然的威脅可能導(dǎo)致安全事件的發(fā)生。安全風(fēng)險(xiǎn)由安全事件發(fā)生的可能性及其造成的影響這兩種指標(biāo)來(lái)綜合衡量。

f）安全保護(hù)措施

安全保護(hù)措施是用來(lái)對(duì)抗安全風(fēng)險(xiǎn)、滿足安全保護(hù)要求、保護(hù)電子政務(wù)系統(tǒng)和保障電子政務(wù)目標(biāo)實(shí)現(xiàn)的措施，包括安全管理措施和安全技術(shù)措施。

g）安全保護(hù)措施的成本

不同類型和強(qiáng)度的安全保護(hù)措施的實(shí)現(xiàn)需要不同的成本，安全保護(hù)措施的成本應(yīng)包括設(shè)備購(gòu)買成本、實(shí)施成本、維護(hù)成本和人員成本等。

電子政務(wù)等級(jí)保護(hù)各要素之間的關(guān)系是：

a）電子政務(wù)系統(tǒng)的安全等級(jí)由系統(tǒng)的使命、目標(biāo)和系統(tǒng)重要程度決定。b）安全措施需要滿足系統(tǒng)安全保護(hù)要求，對(duì)抗系統(tǒng)所面臨的風(fēng)險(xiǎn)。

1)不同電子政務(wù)系統(tǒng)的使命和業(yè)務(wù)目標(biāo)的差異性，業(yè)務(wù)和系統(tǒng)本身的特性（所屬信息資產(chǎn)特性、實(shí)際運(yùn)行情況和所處環(huán)境等）的差異性，決定了系統(tǒng)安全保護(hù)要求特性（安全保護(hù)要求的類型和強(qiáng)度）的差異性。

2)系統(tǒng)保護(hù)要求類型和強(qiáng)度的差異性，安全風(fēng)險(xiǎn)情況的差異性，決定了選擇不同類型和強(qiáng)度的安全措施。

c）電子政務(wù)安全措施的確定需要綜合平衡系統(tǒng)保護(hù)要求的滿足程度、系統(tǒng)面臨風(fēng)險(xiǎn)的控制和降低程度、系統(tǒng)殘余風(fēng)險(xiǎn)的接受程度、以及實(shí)施安全措施的成本，在適度成本下實(shí)現(xiàn)適度安全。

2.2.2 電子政務(wù)等級(jí)保護(hù)實(shí)現(xiàn)方法 號(hào)文件指出，實(shí)行信息安全等級(jí)保護(hù)時(shí)“要重視信息安全風(fēng)險(xiǎn)評(píng)估工作，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評(píng)估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險(xiǎn)等因素，進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理”。

電子政務(wù)等級(jí)保護(hù)的實(shí)現(xiàn)方法如圖2-1 所示：

__ 9

電子政務(wù)系統(tǒng)實(shí)施等級(jí)保護(hù)的方法是：

a）依據(jù)電子政務(wù)安全等級(jí)的定級(jí)規(guī)則，確定電子政務(wù)系統(tǒng)的安全等級(jí)；

b）按照電子政務(wù)等級(jí)保護(hù)要求，確定與系統(tǒng)安全等級(jí)相對(duì)應(yīng)的基本安全要求；

c）依據(jù)系統(tǒng)基本安全要求，并綜合平衡系統(tǒng)安全保護(hù)要求、系統(tǒng)所面臨風(fēng)險(xiǎn)和實(shí)施安全保護(hù)措施的成本，進(jìn)行安全保護(hù)措施的定制，確定適用于特定電子政務(wù)系統(tǒng)的安全保護(hù)措施，并依照本指南相關(guān)要求完成規(guī)劃、設(shè)計(jì)、實(shí)施和驗(yàn)收。

2.3 實(shí)施過(guò)程

電子政務(wù)等級(jí)保護(hù)的實(shí)施過(guò)程包括三個(gè)階段，分別為： a）定級(jí)階段 b）規(guī)劃與設(shè)計(jì)階段

c）實(shí)施、等級(jí)評(píng)估與改進(jìn)階段

電子政務(wù)等級(jí)保護(hù)的基本流程如圖2-2 所示:

第一階段：定級(jí)

定級(jí)階段主要包括兩個(gè)步驟： a）系統(tǒng)識(shí)別與描述

清晰地了解政務(wù)機(jī)構(gòu)所擁有的電子政務(wù)系統(tǒng)，根據(jù)需要將復(fù)雜電子政務(wù)系統(tǒng)分解為電子政務(wù)子系統(tǒng)，描述系統(tǒng)和子系統(tǒng)的組成及邊界。

b）等級(jí)確定

完成電子政務(wù)系統(tǒng)總體定級(jí)和子系統(tǒng)的定級(jí)。

第二階段：規(guī)劃與設(shè)計(jì)

規(guī)劃與設(shè)計(jì)階段主要包括三個(gè)步驟，分別為： 系統(tǒng)分域保護(hù)框架建立

通過(guò)對(duì)電子政務(wù)系統(tǒng)進(jìn)行安全域劃分、保護(hù)對(duì)象分類，建立電子政務(wù)系統(tǒng)的分域保護(hù)框架。

b）選擇和調(diào)整安全措施

根據(jù)電子政務(wù)系統(tǒng)和子系統(tǒng)的安全等級(jí)，選擇對(duì)應(yīng)等級(jí)的基本安全要求，并根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，綜合平衡安全風(fēng)險(xiǎn)和成本，以及各系統(tǒng)特定安全要求，選擇和調(diào)整安全措施，確定出電子政務(wù)系統(tǒng)、子系統(tǒng)和各類保護(hù)對(duì)象的安全措施。

c）安全規(guī)劃和方案設(shè)計(jì)

根據(jù)所確定的安全措施，制定安全措施的實(shí)施規(guī)劃，并制定安全技術(shù)解決方案和安全管理解決方案。

第三階段：實(shí)施、等級(jí)評(píng)估與改進(jìn)

實(shí)施、等級(jí)評(píng)估與改進(jìn)階段主要包括三個(gè)步驟，分別為： a）安全措施的實(shí)施

依據(jù)安全解決方案建設(shè)和實(shí)施等級(jí)保護(hù)的安全技術(shù)措施和安全管理措施。

b）評(píng)估與驗(yàn)收

按照等級(jí)保護(hù)的要求，選擇相應(yīng)的方式來(lái)評(píng)估系統(tǒng)是否滿足相應(yīng)的等級(jí)保護(hù)要求，并對(duì)等級(jí)保護(hù)建設(shè)的最終結(jié)果進(jìn)行驗(yàn)收。

c）運(yùn)行監(jiān)控與改進(jìn)

運(yùn)行監(jiān)控是在實(shí)施等級(jí)保護(hù)的各種安全措施之后的運(yùn)行期間，監(jiān)控系統(tǒng)的變化和系統(tǒng)安全風(fēng)險(xiǎn)的變化，評(píng)估系統(tǒng)的安全狀況。如果經(jīng)評(píng)估發(fā)現(xiàn)系統(tǒng)及其風(fēng)險(xiǎn)環(huán)境已發(fā)生重大變化，新的安全保護(hù)要求與原有的安全等級(jí)已不相適應(yīng)，則應(yīng)進(jìn)行系統(tǒng)重新定級(jí)。如果系統(tǒng)只發(fā)生部分變化，例如發(fā)現(xiàn)新的系統(tǒng)漏洞，這些改變不涉及系統(tǒng)的信息資產(chǎn)和威脅狀況的根本改變，則只需要調(diào)整和改進(jìn)相應(yīng)的安全措施。

對(duì)于大型復(fù)雜電子政務(wù)系統(tǒng)，等級(jí)保護(hù)過(guò)程可以根據(jù)實(shí)際情況進(jìn)一步加強(qiáng)和細(xì)化，以滿足其復(fù)雜性的要求。附錄B 給出了大型復(fù)雜電子政務(wù)系統(tǒng)等級(jí)保護(hù)實(shí)施過(guò)程的示例。

新建電子政務(wù)系統(tǒng)的等級(jí)保護(hù)工作與已經(jīng)建成的電子政務(wù)系統(tǒng)之間，在等級(jí)保護(hù)工作的切入點(diǎn)方面是不相同的，它們各 13 自的切入點(diǎn)及其對(duì)應(yīng)關(guān)系如圖2-3 所示。

新建電子政務(wù)系統(tǒng)在啟動(dòng)時(shí)，應(yīng)當(dāng)按照等級(jí)保護(hù)的要求來(lái)建設(shè)。

a）系統(tǒng)規(guī)劃階段，應(yīng)分析并確定所建電子政務(wù)系統(tǒng)的安全等級(jí)，并在項(xiàng)目建議書中對(duì)系統(tǒng)的安全等級(jí)進(jìn)行論證。

b）系統(tǒng)設(shè)計(jì)階段，要根據(jù)所確定的系統(tǒng)安全等級(jí)，設(shè)計(jì)系統(tǒng)的安全保護(hù)措施，并在可行性分析中論證安全保護(hù)措施；

c）系統(tǒng)實(shí)施階段，要與信息系統(tǒng)建設(shè)同步進(jìn)行信息安全等級(jí)保護(hù)體系的實(shí)施，之后進(jìn)行等級(jí)評(píng)估和驗(yàn)收。

d）系統(tǒng)運(yùn)行維護(hù)階段，要按照所建立的等級(jí)保護(hù)體系的要求，進(jìn)行安全維護(hù)與安全管理。

e）系統(tǒng)廢棄階段，要按照所建立的等級(jí)保護(hù)體系的要求，對(duì)廢棄過(guò)程進(jìn)行有效的安全管理。

對(duì)于已建的電子政務(wù)系統(tǒng)，由于在系統(tǒng)規(guī)劃、設(shè)計(jì)和實(shí)施階段沒(méi)有考慮等級(jí)保護(hù)的要求，因此等級(jí)保護(hù)工作的切入點(diǎn)是系統(tǒng)運(yùn)行維護(hù)階段。

在確定要實(shí)施等級(jí)保護(hù)工作之后，應(yīng)對(duì)系統(tǒng)進(jìn)行安全現(xiàn)狀分析，深入認(rèn)識(shí)和理解機(jī)構(gòu)所擁有的電子政務(wù)系統(tǒng)，對(duì)每個(gè)系統(tǒng)進(jìn)行定級(jí)，之后進(jìn)行等級(jí)保護(hù)的安全規(guī)劃和方案設(shè)計(jì)，最

后進(jìn)行實(shí)施、評(píng)估和驗(yàn)收。2.4 角色及職責(zé)

電子政務(wù)等級(jí)保護(hù)工作主要包括決策者、技術(shù)負(fù)責(zé)人、實(shí)施人員三類角色。

a）決策者

決策者是政務(wù)機(jī)構(gòu)中對(duì)本單位實(shí)施電子政務(wù)信息安全等級(jí)保護(hù)工作的最終決策人。決策者在等級(jí)保護(hù)中的職責(zé)如下：

1)組織、協(xié)調(diào)和推動(dòng)本單位電子政務(wù)等級(jí)保護(hù)工作； 2)負(fù)責(zé)最終確定本單位電子政務(wù)系統(tǒng)的安全等級(jí)； 3)領(lǐng)導(dǎo)和監(jiān)督本單位電子政務(wù)等級(jí)保護(hù)體系的建設(shè)工作； 4)與本單位電子政務(wù)等級(jí)保護(hù)建設(shè)的上級(jí)主管部門進(jìn)行溝通和協(xié)調(diào)，組織、配合等級(jí)評(píng)審與驗(yàn)收；

5)監(jiān)督本單位電子政務(wù)等級(jí)保護(hù)體系的運(yùn)行與改進(jìn)。b）技術(shù)負(fù)責(zé)人

技術(shù)負(fù)責(zé)人是對(duì)本單位實(shí)施電子政務(wù)信息安全等級(jí)保護(hù)工作的決策支持者、技術(shù)決策人和實(shí)施管理者。技術(shù)負(fù)責(zé)人在等級(jí)保護(hù)中的職責(zé)如下：

1)協(xié)助決策者組織、協(xié)調(diào)和推動(dòng)本單位電子政務(wù)等級(jí)保護(hù)的工作；

2)向決策者提供本單位電子政務(wù)系統(tǒng)安全定級(jí)的建議及依據(jù)；

3)組織實(shí)施本單位電子政務(wù)等級(jí)保護(hù)體系的建設(shè)； 4)組織和總結(jié)本單位等級(jí)保護(hù)的實(shí)施情況，配合上級(jí)主管部門進(jìn)行等級(jí)評(píng)估和驗(yàn)收；

5)組織實(shí)施本單位電子政務(wù)等級(jí)保護(hù)體系的運(yùn)行與改進(jìn)。c）實(shí)施人員

實(shí)施人員是政務(wù)機(jī)構(gòu)中實(shí)施信息安全等級(jí)保護(hù)的具體工作人員。實(shí)施人員在等級(jí)保護(hù)中的職責(zé)如下：

1)分析本單位電子政務(wù)系統(tǒng)，收集定級(jí)理由和證據(jù)； 2)在技術(shù)負(fù)責(zé)人的領(lǐng)導(dǎo)下，具體組織和參與完成等級(jí)保護(hù) 各階段的工作。

2.5 系統(tǒng)間互聯(lián)互通的等級(jí)保護(hù)要求

不同安全等級(jí)的電子政務(wù)系統(tǒng)之間可以根據(jù)業(yè)務(wù)需要進(jìn)行互聯(lián)互通。不同安全等級(jí)的系統(tǒng)互聯(lián)互通，要根據(jù)系統(tǒng)業(yè)務(wù)要求和安全保護(hù)要求，制定相應(yīng)的互聯(lián)互通安全策略，包括訪問(wèn)控制策略和數(shù)據(jù)交換策略等。要采取相應(yīng)的邊界保護(hù)、訪問(wèn)控制等安全措施，防止高等級(jí)系統(tǒng)的安全受低等級(jí)系統(tǒng)的影響。電子政務(wù)系統(tǒng)間的互聯(lián)互通遵循以下要求：

a）同等級(jí)電子政務(wù)系統(tǒng)之間的互聯(lián)互通

由系統(tǒng)的擁有單位參照該等級(jí)對(duì)訪問(wèn)控制的要求，協(xié)商確定邊界防護(hù)措施和數(shù)據(jù)交換安全措施，保障電子政務(wù)系統(tǒng)間互聯(lián)互通的安全。

b）不同等級(jí)電子政務(wù)系統(tǒng)間的互聯(lián)互通

各系統(tǒng)在按照自身安全等級(jí)進(jìn)行相應(yīng)保護(hù)的基礎(chǔ)上，協(xié)商對(duì)相互連接的保護(hù)。高安全等級(jí)的系統(tǒng)要充分考慮引入低安全等級(jí)系統(tǒng)后帶來(lái)的風(fēng)險(xiǎn)，采取有效措施進(jìn)行控制。

c）涉密系統(tǒng)與其它系統(tǒng)的互聯(lián)互通，按照國(guó)家保密部門的有關(guān)規(guī)定執(zhí)行。

d）電子政務(wù)系統(tǒng)互聯(lián)互通中的密碼配置按照國(guó)家密碼管理部門的要求執(zhí)行。

3 定級(jí)

電子政務(wù)系統(tǒng)定級(jí)可以采用以下兩種方式進(jìn)行： a）對(duì)系統(tǒng)總體定級(jí)

系統(tǒng)總體定級(jí)是在識(shí)別出政務(wù)機(jī)構(gòu)所擁有的電子政務(wù)系統(tǒng)后，針對(duì)系統(tǒng)整體確定其安全等級(jí)。

b）將系統(tǒng)分解為子系統(tǒng)后分別定級(jí)

政務(wù)機(jī)構(gòu)所擁有的電子政務(wù)系統(tǒng)如果規(guī)模龐大、系統(tǒng)復(fù)雜，則可以將系統(tǒng)分解為多層次的多個(gè)子系統(tǒng)后，對(duì)所分解的每個(gè)子系統(tǒng)分別確定其安全等級(jí)。

3.1 定級(jí)過(guò)程

定級(jí)階段的主要目標(biāo)是確定電子政務(wù)系統(tǒng)及其子系統(tǒng)的安全等級(jí)。定級(jí)結(jié)果是進(jìn)行安全規(guī)劃與設(shè)計(jì)的基礎(chǔ)，定級(jí)結(jié)果應(yīng)按照相關(guān)管理規(guī)定提交相關(guān)管理部門備案。

定級(jí)階段工作主要包含兩個(gè)過(guò)程： a）系統(tǒng)識(shí)別與描述

應(yīng)準(zhǔn)確識(shí)別并描述出整體的電子政務(wù)系統(tǒng)，以及系統(tǒng)可以分解的子系統(tǒng)。系統(tǒng)識(shí)別要確定系統(tǒng)的范圍和邊界，識(shí)別系統(tǒng)包含的信息和系統(tǒng)提供的服務(wù)，作為后續(xù)定級(jí)工作的輸入。

b）等級(jí)確定

進(jìn)行系統(tǒng)整體定級(jí)和子系統(tǒng)分別定級(jí)，形成系統(tǒng)的定級(jí)列表，作為后續(xù)階段工作的基礎(chǔ)。定級(jí)工作流程如圖3-1 所示。

3.2 系統(tǒng)識(shí)別與描述 3.2.1 系統(tǒng)整體識(shí)別與描述

實(shí)施等級(jí)保護(hù)工作首先要求政務(wù)機(jī)構(gòu)對(duì)其擁有的或擬建的電子政務(wù)系統(tǒng)進(jìn)行深入的識(shí)別和描述，識(shí)別和描述的內(nèi)容至少包括如下信息：

a）系統(tǒng)基本信息

系統(tǒng)名稱，系統(tǒng)的簡(jiǎn)要描述，所在地點(diǎn)等。b）系統(tǒng)相關(guān)單位

負(fù)責(zé)定級(jí)的責(zé)任單位，系統(tǒng)所屬單位，系統(tǒng)運(yùn)營(yíng)單位，主管部門，安全運(yùn)營(yíng)單位，安全主管部門等。c）系統(tǒng)范圍和邊界

描述系統(tǒng)所涵蓋的信息資產(chǎn)范圍、使用者和管理者范圍、行政區(qū)域范圍和網(wǎng)絡(luò)區(qū)域范圍等，并清晰描述出其邊界。

d）系統(tǒng)提供的主要功能或服務(wù)

從整體層面描述系統(tǒng)所提供的主要功能或服務(wù)，即對(duì)公眾、企業(yè)、相關(guān)政府機(jī)關(guān)、內(nèi)部用戶等提供的主要服務(wù)。

e）系統(tǒng)所包含的主要信息

描述系統(tǒng)所輸入、處理、存儲(chǔ)、輸出的主要信息和數(shù)據(jù)。3.2.2 劃分子系統(tǒng)的方法 3.2.2.1 劃分原則

對(duì)政務(wù)機(jī)構(gòu)所擁有的大型復(fù)雜電子政務(wù)系統(tǒng)，可以將其劃分為若干子系統(tǒng)進(jìn)行定級(jí)，子系統(tǒng)劃分基于以下原則：

a）按照系統(tǒng)服務(wù)對(duì)象劃分

電子政務(wù)系統(tǒng)的服務(wù)對(duì)象即目標(biāo)用戶，包括社會(huì)公眾、企事業(yè)單位、機(jī)構(gòu)內(nèi)部人員、其它政務(wù)機(jī)構(gòu)等。依據(jù)其所服務(wù)的目標(biāo)用戶可分為以下幾類系統(tǒng)：

1)政務(wù)機(jī)構(gòu)對(duì)公民的電子政務(wù)系統(tǒng) 2)政務(wù)機(jī)構(gòu)對(duì)企業(yè)的電子政務(wù)系統(tǒng) 3)政務(wù)機(jī)構(gòu)對(duì)政務(wù)機(jī)構(gòu)的電子政務(wù)系統(tǒng) 4)政務(wù)機(jī)構(gòu)對(duì)公務(wù)員的電子政務(wù)系統(tǒng) b）按系統(tǒng)功能類型劃分

根據(jù)系統(tǒng)的功能類型或提供的服務(wù)類型劃分子系統(tǒng)。劃分 時(shí)除了考慮到對(duì)外部用戶（社會(huì)公眾、企事業(yè)單位、其它政務(wù)機(jī)構(gòu)）提供服務(wù)的對(duì)外業(yè)務(wù)系統(tǒng)，對(duì)內(nèi)部用戶（內(nèi)部公務(wù)員、領(lǐng)導(dǎo)）提供服務(wù)的內(nèi)部辦公和管理系統(tǒng)外，還應(yīng)考慮到對(duì)前兩類系統(tǒng)提供承載、支撐和管理作用的支持系統(tǒng)，如網(wǎng)絡(luò)承載平臺(tái)、網(wǎng)管系統(tǒng)、安全系統(tǒng)等。

c）按照網(wǎng)絡(luò)區(qū)域劃分

根據(jù)電子政務(wù)系統(tǒng)建設(shè)現(xiàn)狀，系統(tǒng)可能運(yùn)行在不同的電子政務(wù)網(wǎng)絡(luò)范圍內(nèi)，不同的電子政務(wù)網(wǎng)絡(luò)在涉密程度、隔離模式和管理模式上差異較大，所以可以按照電子政務(wù)系統(tǒng)運(yùn)行的網(wǎng)絡(luò)區(qū)域進(jìn)行子系統(tǒng)劃分。

d）按行政級(jí)別劃分

按系統(tǒng)所處的行政級(jí)別，如中央、省部級(jí)、地市級(jí)、縣區(qū)級(jí)等進(jìn)行子系統(tǒng)劃分。

3.2.2.2 子系統(tǒng)劃分方法

在子系統(tǒng)劃分時(shí)，應(yīng)根據(jù)系統(tǒng)實(shí)際情況和管理模式，綜合考慮子系統(tǒng)劃分的四個(gè)原則，確定適用于各電子政務(wù)系統(tǒng)的子系統(tǒng)劃分標(biāo)準(zhǔn)。劃分時(shí)可以選擇一個(gè)原則，也可以同時(shí)選用

多個(gè)原則作為劃分標(biāo)準(zhǔn)，如以某一個(gè)或兩個(gè)要素為主要?jiǎng)澐謽?biāo)準(zhǔn)，其余為輔助劃分標(biāo)準(zhǔn)。對(duì)于規(guī)模龐大的系統(tǒng)，為了便于描述，一般應(yīng)按照多個(gè)層次逐級(jí)進(jìn)行劃分。具體的劃分方法可參考《附錄B：大型復(fù)雜電子政務(wù)系統(tǒng)等級(jí)保護(hù)實(shí)施過(guò)程示例》。

3.2.3 子系統(tǒng)識(shí)別與描述

子系統(tǒng)的識(shí)別與描述可參照3.2.1 系統(tǒng)整體識(shí)別與描述。3.3 等級(jí)確定

3.3.1 電子政務(wù)安全屬性描述

電子政務(wù)安全等級(jí)主要依據(jù)系統(tǒng)的信息安全屬性被破壞后所造成的影響來(lái)確定。電子政務(wù)信息安全屬性包括三個(gè)方面：保密性、完整性、可用性。

a）保密性

確保電子政務(wù)系統(tǒng)中的信息只能被授權(quán)的人員訪問(wèn)。保密性破壞是指電子政務(wù)系統(tǒng)中各類信息的未授權(quán)泄漏。電子政務(wù)系統(tǒng)中的信息依據(jù)其保密程度分為以下類別：

1)涉及國(guó)家秘密的信息，包括絕密級(jí)、機(jī)密級(jí)和秘密級(jí)信息；

2)敏感信息，指不涉及國(guó)家秘密，但在政務(wù)工作過(guò)程中需要一定范圍保密，不對(duì) 社會(huì)公眾開(kāi)放的信息；

3)公開(kāi)信息，指對(duì)社會(huì)公眾開(kāi)放的信息。b）完整性

確保電子政務(wù)系統(tǒng)中信息及信息處理方法的準(zhǔn)確性和完備性。完整性破壞是指對(duì)電

子政務(wù)系統(tǒng)中信息和系統(tǒng)的未授權(quán)修改和破壞。電子政務(wù)完整 22 性目標(biāo)包括兩個(gè)方面：

1)電子政務(wù)系統(tǒng)中存儲(chǔ)、傳輸和處理的信息完整性保護(hù)；

2)電子政務(wù)系統(tǒng)本身的完整性保護(hù)。系統(tǒng)完整性保護(hù)涉及從物理環(huán)境、基礎(chǔ)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、電子政務(wù)應(yīng)用系統(tǒng)等信息系統(tǒng)的每一個(gè)組成部分的完整性保護(hù)。

c）可用性

確保已授權(quán)用戶在需要時(shí)可以訪問(wèn)電子政務(wù)系統(tǒng)中的信息和相關(guān)資產(chǎn)?？捎眯云茐氖侵鸽娮诱?wù)系統(tǒng)所提供服務(wù)的中斷，授權(quán)人員無(wú)法訪問(wèn)電子政務(wù)系統(tǒng)和信息。可用性目標(biāo)是保證授權(quán)用戶能及時(shí)可靠地訪問(wèn)信息、服務(wù)和系統(tǒng)資源，不因人為或 自然的原因使系統(tǒng)中信息的存儲(chǔ)、傳輸或處理延遲，或者系統(tǒng)服務(wù)被破壞或被拒絕達(dá)到不能容忍的程度。電子政務(wù)可用性目標(biāo)保護(hù)包括兩個(gè)方面：

1)電子政務(wù)系統(tǒng)所提供的服務(wù)的可用性；

2)電子政務(wù)系統(tǒng)中存儲(chǔ)、傳輸和處理的信息的可用性。3.3.2 定級(jí)原則

電子政務(wù)系統(tǒng)的安全等級(jí)可從信息安全的保密性、完整性、可用性三個(gè)基本屬性在遭到破壞時(shí)對(duì)政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成的影響來(lái)確定。

a）安全等級(jí)第一級(jí)

對(duì)電子政務(wù)信息和信息系統(tǒng)安全屬性的破壞會(huì)對(duì)政務(wù)機(jī)構(gòu) 23 履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成較小的負(fù)面影響，包括：

1)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行帶來(lái)較小的負(fù)面影響，政務(wù)機(jī)構(gòu)還可以履行其基本的政務(wù)職能，但效率有較小程度的降低；

2)對(duì)政務(wù)機(jī)構(gòu)、相關(guān)單位、人員造成較小經(jīng)濟(jì)損失； 3)對(duì)政務(wù)機(jī)構(gòu)、相關(guān)單位、人員的形象或名譽(yù)造成較小影響；

4)不會(huì)造成人身傷害。b）安全等級(jí)第二級(jí)

對(duì)電子政務(wù)信息和信息系統(tǒng)安全屬性的破壞會(huì)對(duì)政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成中等程度的負(fù)面影響，包括：

1)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行帶來(lái)中等程度的負(fù)面影響，政務(wù)機(jī)構(gòu)還可以履行其基本的政務(wù)

職能，但效率有較大程度的降低；

2)對(duì)政務(wù)機(jī)構(gòu)、相關(guān)單位、人員造成一定程度的經(jīng)濟(jì)損失；

3)對(duì)政務(wù)機(jī)構(gòu)、相關(guān)單位、人員的形象或名譽(yù)造成一定程度的負(fù)面影響；

4)造成輕微的人身傷害。c）安全等級(jí)第三級(jí)

對(duì)電子政務(wù)信息和信息系統(tǒng)安全屬性的破壞會(huì)對(duì)政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成較大的負(fù)面影響，對(duì)國(guó)家安全造成一定程度的損害，包括： 1)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行帶來(lái)較大的負(fù)面影響，政務(wù)機(jī)構(gòu)的一項(xiàng)或多項(xiàng)政務(wù)職能無(wú)法履 行；

2)對(duì)政務(wù)機(jī)構(gòu)、相關(guān)單位、人員造成較大經(jīng)濟(jì)損失； 3)對(duì)政務(wù)機(jī)構(gòu)、相關(guān)單位、人員的形象或名譽(yù)造成較大的負(fù)面影響；

4)導(dǎo)致嚴(yán)重的人身傷害。d）安全等級(jí)第四級(jí)

對(duì)電子政務(wù)信息和信息系統(tǒng)安全屬性的破壞會(huì)對(duì)政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成嚴(yán)重的負(fù)面影響，對(duì)國(guó)家安全造成較大損害，包括：

1)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行帶來(lái)嚴(yán)重的負(fù)面影響，政務(wù)機(jī)構(gòu)的多項(xiàng)政務(wù)職能無(wú)法履行，并

在省級(jí)行政區(qū)域范圍內(nèi)造成嚴(yán)重影響；

2)對(duì)國(guó)家造成嚴(yán)重的經(jīng)濟(jì)損失； 3)對(duì)國(guó)家形象造成嚴(yán)重影響； 4)導(dǎo)致較多的人員傷亡；

5)導(dǎo)致危害國(guó)家安全的犯罪行為。e）安全等級(jí)第五級(jí)

對(duì)電子政務(wù)信息和信息系統(tǒng)安全屬性的破壞會(huì)對(duì)政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成極其嚴(yán)重的負(fù)面影響，對(duì)國(guó)家安全造成嚴(yán)重?fù)p害，包括：

1)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行帶來(lái)極其嚴(yán)重的負(fù)面影響，中央政務(wù) 機(jī)構(gòu)的一項(xiàng)或多項(xiàng)政務(wù)職能無(wú)法履行，并在全國(guó)范圍內(nèi)造成極其嚴(yán)重的影響；

2)對(duì)國(guó)家造成極大的經(jīng)濟(jì)損失； 3)對(duì)國(guó)家形象造成極大影響； 4)導(dǎo)致大量人員傷亡；

5)導(dǎo)致危害國(guó)家安全的嚴(yán)重犯罪行為。

電子政務(wù)五個(gè)安全等級(jí)在保密性、完整性和可用性三個(gè)安全屬性方面的描述如表3-1 所示。

3.3.3 定級(jí)方法

確定電子政務(wù)安全等級(jí)的基本方法是：通過(guò)確定系統(tǒng)保密 性、完整性和可用性三個(gè)方面的安全等級(jí)來(lái)綜合確定系統(tǒng)的安全等級(jí)。定級(jí)方法適用于電子政務(wù)系統(tǒng)整體定級(jí)和各子系統(tǒng)定級(jí)。對(duì)大型復(fù)雜系統(tǒng)，可以引入業(yè)務(wù)系統(tǒng)等級(jí)確定方法，具體方法可以參照《附錄B：大型復(fù)雜電子政務(wù)系統(tǒng)等級(jí)保護(hù)實(shí)施過(guò)程示例》。

系統(tǒng)定級(jí)主要考慮兩個(gè)方面：一是系統(tǒng)中所存儲(chǔ)、處理、傳輸?shù)闹饕畔?，二是系統(tǒng)所提供的主要服務(wù)。通過(guò)對(duì)每一類信息和服務(wù)安全等級(jí)的分析，最終確定系統(tǒng)的安全等級(jí)。系 統(tǒng)安全等級(jí)是系統(tǒng)中各類信息和服務(wù)安全等級(jí)的最大值，并且可以根據(jù)系統(tǒng)整體實(shí)際情況進(jìn)行調(diào)整，確定系統(tǒng)最終的安全等級(jí)。某個(gè)電子政務(wù)系統(tǒng)（假設(shè)其名稱為A）的安全等級(jí)可以表示為：安全等級(jí)(A)＝Max{(系統(tǒng)保密性等級(jí)),(系統(tǒng)完整性等級(jí)),(系統(tǒng)可用性等級(jí))}其中：

系統(tǒng)保密性等級(jí)＝Max {(各信息或服務(wù)的保密性等級(jí))} 系統(tǒng)完整性等級(jí)＝Max {(各信息或服務(wù)的完整性等級(jí))} 系統(tǒng)可用性等級(jí)＝Max {(各信息或服務(wù)的可用性等級(jí))} 電子政務(wù)系統(tǒng)A 最終的安全等級(jí)為系統(tǒng)保密性等級(jí)、系統(tǒng)完整性等級(jí)、系統(tǒng)可用性等級(jí)中的最大值。

舉例：某個(gè)政務(wù)機(jī)構(gòu)招標(biāo)采購(gòu)系統(tǒng)進(jìn)行定級(jí)，系統(tǒng)中包含兩類信息和一種服務(wù)，一類信息為開(kāi)標(biāo)前各投標(biāo)單位的投標(biāo)信息，另一類信息為系統(tǒng)管理信息，系統(tǒng)提供的服務(wù)為招標(biāo)服 務(wù)。投標(biāo)信息的保密性等級(jí)為3，完整性等級(jí)為2，可用性等級(jí)為2；系統(tǒng)管理信息的保密性等級(jí)為1，完整性等級(jí)為1，可用 性等級(jí)為1；招標(biāo)服務(wù)的保密性等級(jí)為1，完整性等級(jí)為1，可用性等級(jí)為2。通過(guò)比較兩類信息各安全屬性等級(jí)的最大值，得到系統(tǒng)在三個(gè)安全屬性方面的等級(jí)：

系統(tǒng)保密性等級(jí)＝Max {(投標(biāo)信息保密性等級(jí)：3),(系統(tǒng)管理信息保密性等級(jí)：

1),(招標(biāo)服務(wù)保密性等級(jí)：1)}＝3 系統(tǒng)完整性等級(jí)＝Max {(投標(biāo)信息完整性等級(jí)：2),(系統(tǒng)管理信息完整性等級(jí)：1),(招標(biāo)服務(wù)完整性等級(jí)：1)}＝2，系統(tǒng)可用性等級(jí)＝Max {(投標(biāo)信息可用性等級(jí)：2),(系統(tǒng)管理信息可用性等級(jí)：1)，標(biāo)服務(wù)可用性等級(jí)：2)}＝2，得到該政務(wù)機(jī)構(gòu)招標(biāo)采購(gòu)系統(tǒng)的安全等級(jí)為：安全等級(jí)(投標(biāo)采購(gòu)系統(tǒng))= Max {(保密性等級(jí)：3),(完整性等級(jí)：2),(可用性等級(jí)：2)}＝3該政務(wù)機(jī)構(gòu)招標(biāo)采購(gòu)系統(tǒng)的最終安全等級(jí)確定為3。

3.3.4 復(fù)雜系統(tǒng)定級(jí)方法

對(duì)于包括多個(gè)子系統(tǒng)的復(fù)雜電子政務(wù)系統(tǒng)，定級(jí)可以包括系統(tǒng)總體安全等級(jí)和各子系統(tǒng)的安全等級(jí)。系統(tǒng)總體定級(jí)和各子系統(tǒng)定級(jí)可以分別采用自上向下的定級(jí)方式和自下向上的

定級(jí)方式，也可以綜合兩種方式進(jìn)行。3.3.4.1 自上向下的定級(jí)方式

自上向下的定級(jí)方式是從系統(tǒng)總體等級(jí)向下細(xì)化出子系統(tǒng)等級(jí)的方式。首先依據(jù)系統(tǒng)的整體情況，根據(jù)定級(jí)規(guī)則對(duì)電子政務(wù)系統(tǒng)進(jìn)行總體定級(jí)，然后根據(jù)系統(tǒng)總體安全等級(jí)，對(duì)子

系統(tǒng)采用同一等級(jí)或適當(dāng)降低等級(jí)，從而確定子系統(tǒng)等級(jí)。自上向下定級(jí)方式是從整體系統(tǒng)的屬性出發(fā)，向下細(xì)分，通過(guò)考慮整體系統(tǒng)的使命、整體業(yè)務(wù)框架、業(yè)務(wù)特性、安全要求、系統(tǒng)在國(guó)家層面的定位等，來(lái)把握系統(tǒng)整體的安全等級(jí)。自上向下的定級(jí)方式包含如下步驟：

a）確定整體系統(tǒng)的等級(jí)，即總體定級(jí)

1)對(duì)整體系統(tǒng)識(shí)別的主要信息或服務(wù)分別分析其保密性、完整性和可用性的等級(jí)，得到一個(gè)列表；

2)按照系統(tǒng)定級(jí)規(guī)則，計(jì)算得到整體系統(tǒng)的保密性、完整性和可用性的初始安全等級(jí)，和初始的總體定級(jí)；

3)對(duì)已確定的系統(tǒng)三性的初始安全等級(jí)和初始的總體定級(jí)應(yīng)進(jìn)行適用性評(píng)審，評(píng)審時(shí)要考慮系統(tǒng)在政務(wù)機(jī)構(gòu)履行其職能中所起的作用、系統(tǒng)的使命、整體業(yè)務(wù)框架、系統(tǒng)在國(guó)家層面的定位，以及本系統(tǒng)的外部環(huán)境等因素。對(duì)于等級(jí)不合適的部分進(jìn)行調(diào)整，最后確定系統(tǒng)的最終安全等級(jí)。

b）確定各子系統(tǒng)的等級(jí)

1)從總體等級(jí)出發(fā)，對(duì)子系統(tǒng)采用相同等級(jí)或適當(dāng)降低等級(jí)，從而確定子系統(tǒng)等級(jí)；

2)也可以對(duì)各子系統(tǒng)識(shí)別的每一類信息或服務(wù)分別分析其保密性、完整性和可用性的等級(jí)，按照系統(tǒng)定級(jí)規(guī)則確定各子系統(tǒng)等級(jí)；

3)把上述的兩種定級(jí)結(jié)果進(jìn)行比較，最終確定各子系統(tǒng)的等級(jí)。3.3.4.2 自下向上的定級(jí)方式

自下向上的定級(jí)方式是從各子系統(tǒng)定級(jí)向上綜合確定系統(tǒng)總體安全等級(jí)的方式。首先依據(jù)各子系統(tǒng)的屬性，根據(jù)定級(jí)規(guī)則對(duì)各子系統(tǒng)進(jìn)行定級(jí)，然后以各子系統(tǒng)的安全等級(jí)為基礎(chǔ)，綜合考慮，得到系統(tǒng)總體的安全等級(jí)。自下向上的定級(jí)方式從各個(gè)子系統(tǒng)的屬性出發(fā)，通過(guò)考慮各個(gè)子系統(tǒng)的實(shí)際情況、所處的環(huán)境、之間的差異性來(lái)確定各子系統(tǒng)的安全等級(jí)。自下向上的定級(jí)方式包含如下步驟：

a）確定各子系統(tǒng)的等級(jí)

1)對(duì)各子系統(tǒng)已識(shí)別的每一類信息或服務(wù)分別分析其保密性、完整性和可用性的等級(jí)，得到一系列的列表；

2)針對(duì)每個(gè)子系統(tǒng)，按照系統(tǒng)定級(jí)規(guī)則得到各子系統(tǒng)安全等級(jí)。

b）確定整體系統(tǒng)的等級(jí)，即總體定級(jí)對(duì)各子系統(tǒng)等級(jí)進(jìn)行總結(jié)和分析，確定整體系統(tǒng)的等級(jí)?？傮w安全等級(jí)的確定可以選用最高的子系統(tǒng)等級(jí)，但對(duì)于只有比例極少的子系統(tǒng)是最高等級(jí)的情況下，可以調(diào)低一級(jí)。安全規(guī)劃與設(shè)計(jì)

電子政務(wù)系統(tǒng)在完成定級(jí)之后，等級(jí)保護(hù)工作的第二個(gè)階段就是要進(jìn)行安全規(guī)劃與設(shè)計(jì)，包括系統(tǒng)分域保護(hù)框架建立，選擇和調(diào)整安全措施，安全規(guī)劃與方案設(shè)計(jì)三個(gè)部分。其主要工作內(nèi)容與輸入輸出如圖4-1 所示：

4.1 系統(tǒng)分域保護(hù)框架建立 4.1.1 安全域劃分

安全域劃分是將電子政務(wù)系統(tǒng)劃分為不同安全區(qū)域，分別進(jìn)行安全保護(hù)的過(guò)程。

4.1.1.1 安全域劃分方式

安全域劃分可以采用以下兩種方式實(shí)現(xiàn)： a)對(duì)政務(wù)機(jī)構(gòu)整體進(jìn)行安全域劃分

在政務(wù)機(jī)構(gòu)所管轄的范圍內(nèi)對(duì)其所擁有的所有電子政務(wù)系統(tǒng)統(tǒng)一進(jìn)行安全域劃分，將整個(gè)政務(wù)機(jī)構(gòu)的所有系統(tǒng)分為若干個(gè)安全區(qū)域。

b)在每個(gè)電子政務(wù)系統(tǒng)內(nèi)進(jìn)行安全域劃分

在每個(gè)電子政務(wù)系統(tǒng)內(nèi)部，劃分為若干個(gè)安全區(qū)域。4.1.1.2 安全域劃分原則

電子政務(wù)安全區(qū)域的劃分主要依據(jù)電子政務(wù)系統(tǒng)的政務(wù)應(yīng)用功能、資產(chǎn)價(jià)值、資產(chǎn)所面臨的風(fēng)險(xiǎn)，劃分原則如下：

a）系統(tǒng)功能和應(yīng)用相似性原則

安全區(qū)域的劃分要以服務(wù)電子政務(wù)應(yīng)用為基本原則，根據(jù)政務(wù)應(yīng)用的功能和應(yīng)用內(nèi)容劃分不同的安全區(qū)域。

b）資產(chǎn)價(jià)值相似性原則

同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)具有相近的資產(chǎn)價(jià)值，重要電子政務(wù)應(yīng)用與一般的電子政務(wù)應(yīng)用分成不同區(qū)域。

c）安全要求相似性原則

在信息安全的三個(gè)基本屬性方面，同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)具有相似的機(jī)密性要求、完整性要求和可用性要求。

d）威脅相似性原則

同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)處在相似的風(fēng)險(xiǎn)環(huán)境中，面臨相似的威脅。

4.1.2 保護(hù)對(duì)象分類

保護(hù)對(duì)象是信息系統(tǒng)內(nèi)具有相似安全保護(hù)需求的一組信息資產(chǎn)的組合，是從安全角度對(duì)信息系統(tǒng)的描述。依據(jù)電子政務(wù)系統(tǒng)的功能特性、安全價(jià)值以及面臨威脅的相似性，電子政務(wù)保護(hù)對(duì)象可分為計(jì)算區(qū)域、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施三類。

a)計(jì)算區(qū)域

計(jì)算區(qū)域是指由相同功能集合在一起，安全價(jià)值相近，且面臨相似威脅的一組信息系統(tǒng)組成。計(jì)算區(qū)域的信息資產(chǎn)包括：

主機(jī)資產(chǎn)、平臺(tái)資產(chǎn)、應(yīng)用軟件資產(chǎn)和政務(wù)數(shù)據(jù)資產(chǎn)等。涉及區(qū)域內(nèi)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用軟件層、數(shù)據(jù)層和業(yè)務(wù)流程層面。包含的安全屬性包括所屬信息資產(chǎn)的物理安全、網(wǎng)絡(luò)安全、邊界安全、系統(tǒng)安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全和業(yè)務(wù)流程安全等。計(jì)算區(qū)域可以從安全域劃分的結(jié)果得到。

b)區(qū)域邊界

區(qū)域邊界是指兩個(gè)區(qū)域或兩組區(qū)域之間的隔離功能集。邊界是虛擬對(duì)象，不與具體資產(chǎn)對(duì)應(yīng)，邊界是一組功能集合，包括邊界訪問(wèn)控制，邊界入侵檢測(cè)和審計(jì)等。設(shè)計(jì)系統(tǒng)分域保護(hù)框架時(shí)區(qū)域邊界可以作為計(jì)算區(qū)域的一個(gè)屬性進(jìn)行處理。通過(guò)對(duì)各安全區(qū)域之間的連接狀況分析，可以得到某個(gè)安全區(qū)域與其它區(qū)域之間的邊界。

c)網(wǎng)絡(luò)基礎(chǔ)設(shè)施

網(wǎng)絡(luò)基礎(chǔ)設(shè)施是指由相同功能集合在一起，安全價(jià)值相近，且面臨相似威脅來(lái)源的一組網(wǎng)絡(luò)系統(tǒng)組成，包括由路由器、交換機(jī)和防火墻等構(gòu)成的局域網(wǎng)或廣域網(wǎng)，一般指區(qū)域邊界之間的連接網(wǎng)絡(luò)。某一個(gè)安全區(qū)域或多個(gè)安全區(qū)域網(wǎng)絡(luò)支撐平臺(tái)構(gòu)成了該區(qū)域的網(wǎng)絡(luò)基礎(chǔ)實(shí)施。電子政務(wù)保護(hù)對(duì)象及所包括信息資產(chǎn)如圖4-2 所示：

各類信息資產(chǎn)描述如下： a）物理環(huán)境

是指支撐電子政務(wù)系統(tǒng)的場(chǎng)所、所處的周邊環(huán)境以及場(chǎng)所內(nèi)保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行的設(shè)備，包括機(jī)房、門禁、監(jiān)控、電源、空調(diào)等。

b）人員資產(chǎn)

指與電子政務(wù)系統(tǒng)直接相關(guān)的人員，包括各級(jí)安全組織、安全人員、各級(jí)管理人員、網(wǎng)管員、系統(tǒng)管理員、業(yè)務(wù)操作人員和第三方人員等。

c）網(wǎng)絡(luò)資產(chǎn)

是指電子政務(wù)系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的設(shè)備，軟件和通信介質(zhì)。

網(wǎng)絡(luò)資產(chǎn)包括路由器、交換機(jī)、防火墻、網(wǎng)管、網(wǎng)絡(luò)設(shè)備控制臺(tái)等。

d）主機(jī)資產(chǎn)

是指電子政務(wù)系統(tǒng)中承載業(yè)務(wù)系統(tǒng)和軟件的計(jì)算機(jī)系統(tǒng)、外圍系統(tǒng)（不含網(wǎng)絡(luò)設(shè)備）及其操作系統(tǒng)。這里的主機(jī)資產(chǎn)包括大型機(jī)、中型機(jī)、小型機(jī)、磁盤陣列、Unix 服務(wù)器、Windows 服務(wù)器、工作站和終端等。

e）平臺(tái)資產(chǎn)

主要是指電子政務(wù)系統(tǒng)的軟件平臺(tái)系統(tǒng)，包括數(shù)據(jù)庫(kù)、中間件、群件、郵件、Web服務(wù)器、集成開(kāi)發(fā)環(huán)境和工具軟件等。

f）應(yīng)用軟件資產(chǎn)

是指為政務(wù)業(yè)務(wù)和管理應(yīng)用而開(kāi)發(fā)的各類應(yīng)用軟件及其提供的服務(wù)。

g）數(shù)據(jù)資產(chǎn)

是電子政務(wù)系統(tǒng)所存儲(chǔ)、傳輸、處理的數(shù)據(jù)對(duì)象，是電子政務(wù)系統(tǒng)的核心資產(chǎn)。

4.1.3 系統(tǒng)分域保護(hù)框架

系統(tǒng)分域保護(hù)框架是從安全角度出發(fā)，通過(guò)對(duì)各保護(hù)對(duì)象進(jìn)行組合來(lái)對(duì)信息系統(tǒng)進(jìn)行結(jié)構(gòu)化處理的方法。結(jié)構(gòu)化是指通過(guò)特定的結(jié)構(gòu)將問(wèn)題拆分成子問(wèn)題的迭代過(guò)程，其目標(biāo)是更

好地體現(xiàn)信息系統(tǒng)的安全特性和安全要求。進(jìn)行結(jié)構(gòu)化處理要遵循以下幾條基本原則：

a）充分覆蓋

所有子問(wèn)題的總和必須覆蓋原問(wèn)題。如果不能充分覆蓋，那么解決問(wèn)題的方法就可能出現(xiàn)遺漏，嚴(yán)重影響方法的可行性。

b）互不重疊

同一級(jí)別的所有子問(wèn)題都不允許出現(xiàn)重復(fù)，類似以下的情況不應(yīng)出現(xiàn)在一個(gè)框架中：

1)兩個(gè)不同的子問(wèn)題其實(shí)是同一個(gè)子問(wèn)題的兩種表述； 2)某一個(gè)子問(wèn)題其實(shí)是同一級(jí)別的另外兩個(gè)子問(wèn)題或多個(gè)子問(wèn)題的合集。

c）不需再細(xì)分

所有子問(wèn)題都必須細(xì)分到不需再細(xì)分，或不可再細(xì)分的程度。當(dāng)一個(gè)問(wèn)題經(jīng)過(guò)框架分析后，所有不可再細(xì)分的子問(wèn)題組合構(gòu)成了一個(gè)“框架”。以安全域劃分和保護(hù)對(duì)象分類為基礎(chǔ)，經(jīng)過(guò)結(jié)構(gòu)化的分解，可以將電子政務(wù)系統(tǒng)分解為不同類別的保護(hù)對(duì)象，形成系統(tǒng)分域保護(hù)框架。

圖4-3 描述了某個(gè)電子政務(wù)系統(tǒng)的系統(tǒng)分域保護(hù)框架的示例，包括了系統(tǒng)所劃分出的計(jì)算區(qū)域、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等各類保護(hù)對(duì)象。示例中的計(jì)算區(qū)域包括兩個(gè)層面，細(xì)分為7 個(gè)計(jì)算區(qū)域。第一層區(qū)域包括政務(wù)專網(wǎng)區(qū)域和政務(wù)外網(wǎng)區(qū)域。政務(wù)專網(wǎng)區(qū)域又分為核心數(shù)據(jù)區(qū)、業(yè)務(wù)服務(wù)器區(qū)、辦公服務(wù)器區(qū)、網(wǎng)絡(luò)管理區(qū)和機(jī)關(guān)辦公區(qū)；政務(wù)外網(wǎng)區(qū)域分為WEB 服務(wù)區(qū)和機(jī)關(guān)工作區(qū)。示例中的網(wǎng)絡(luò)基礎(chǔ)設(shè)施包括政務(wù)專網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

示例中的區(qū)域邊界包括：政務(wù)專網(wǎng)與其它政務(wù)專網(wǎng)系統(tǒng)的邊界、政務(wù)專網(wǎng)與政務(wù)外網(wǎng)的邊界、政務(wù)外網(wǎng)與互聯(lián)網(wǎng)的邊界，以及內(nèi)部各計(jì)算區(qū)域之間的邊界。

系統(tǒng)分域保護(hù)框架是設(shè)計(jì)解決方案的基礎(chǔ)。大型復(fù)雜系統(tǒng)的分域保護(hù)框架見(jiàn)附錄B。

4.2 選擇和調(diào)整安全措施

電子政務(wù)系統(tǒng)或子系統(tǒng)的安全等級(jí)確定后，需要以分域保護(hù)框架為基礎(chǔ)確定具體的安全保護(hù)措施（包括技術(shù)措施和管理措施）。確定安全措施的過(guò)程如圖4-4 所示：

確定安全措施首先是根據(jù)電子政務(wù)系統(tǒng)的安全等級(jí)選擇適用等級(jí)的基本安全要求，如電子政務(wù)系統(tǒng)A 的安全等級(jí)為3 級(jí)，應(yīng)選擇3 級(jí)基本安全要求。在確定了基本安全要求的基

礎(chǔ)上，再針對(duì)每個(gè)系統(tǒng)特定安全要求、面臨風(fēng)險(xiǎn)的狀況，并考慮安全措施的成本進(jìn)行安全措施的選擇和調(diào)整，以得到針對(duì)特定系統(tǒng)的安全保護(hù)措施。對(duì)安全措施的調(diào)整基于以下原則：

a）根據(jù)電子政務(wù)系統(tǒng)特定安全要求進(jìn)行調(diào)整

1)如果電子政務(wù)系統(tǒng)的保密性等級(jí)、完整性等級(jí)、可用性等級(jí)之中的一項(xiàng)或兩項(xiàng)

低于系統(tǒng)的安全等級(jí)，則可以降低該等級(jí)安全措施中對(duì)應(yīng)的控制項(xiàng)的等級(jí)；

2)如果電子政務(wù)系統(tǒng)的某些特定安全要求在基本安全要求中沒(méi)有相應(yīng)的控制項(xiàng)，則可以添加與特定安全要求相適應(yīng)的安全措施。b）根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行調(diào)整

1)如果電子政務(wù)系統(tǒng)（或其保護(hù)對(duì)象）不存在五個(gè)等級(jí)基本安全要求中某個(gè)控制項(xiàng)所要控制的安全風(fēng)險(xiǎn)，或其控制項(xiàng)不適用，則該控制項(xiàng)可以進(jìn)行刪減；

2)如果風(fēng)險(xiǎn)評(píng)估中識(shí)別的某個(gè)風(fēng)險(xiǎn)，在五個(gè)等級(jí)基本安全要求中沒(méi)有相應(yīng)的控制項(xiàng)，則可以增加此類控制項(xiàng)；

3)如果風(fēng)險(xiǎn)評(píng)估的結(jié)果顯示，與五個(gè)等級(jí)基本安全要求提供的某個(gè)安全措施的安全強(qiáng)度相比，風(fēng)險(xiǎn)較低，則可以降低控制項(xiàng)的強(qiáng)度等級(jí)；

4)如果風(fēng)險(xiǎn)評(píng)估的結(jié)果顯示，與五個(gè)等級(jí)基本安全要求提供的某個(gè)安全措施的安全強(qiáng)度相比，風(fēng)險(xiǎn)較高，則可以提高控制項(xiàng)的強(qiáng)度等級(jí)。

c）根據(jù)安全措施的成本進(jìn)行調(diào)整在安全措施的調(diào)整過(guò)程中，安全措施的成本也是一個(gè)重要的考慮因素，各機(jī)構(gòu)要根

據(jù)實(shí)際情況，基于合理成本選擇和調(diào)整安全措施。如果某些安全措施的成本太高，機(jī)構(gòu)無(wú)法承受，可以通過(guò)其他措施進(jìn)行彌補(bǔ)。如果無(wú)法找到其他措施進(jìn)行彌補(bǔ)，則需要改變機(jī)構(gòu)的業(yè)務(wù)流程、運(yùn)作方式或管理模式。

4.3 安全規(guī)劃與方案設(shè)計(jì)

安全規(guī)劃與方案設(shè)計(jì)階段的目的是提出科學(xué)實(shí)施安全措施的方案，規(guī)劃綜合防范的安全保障體系，實(shí)現(xiàn)整體安全。安全規(guī)劃與方案設(shè)計(jì)包括安全需求分析、安全項(xiàng)目規(guī)劃、安全工作規(guī)劃、安全方案設(shè)計(jì)等幾個(gè)步驟。

4.3.1 安全需求分析

通過(guò)對(duì)現(xiàn)有安全措施的評(píng)估明確系統(tǒng)的安全現(xiàn)狀，通過(guò)對(duì)比系統(tǒng)將要達(dá)到的安全等級(jí)的安全要求，得到現(xiàn)狀和要求間的差距，即為安全需求。如圖4-5 所示：

4.3.2 安全項(xiàng)目規(guī)劃

安全項(xiàng)目規(guī)劃是通過(guò)對(duì)安全項(xiàng)目的相關(guān)性、緊迫性、難易程度和預(yù)期效果等因素進(jìn)行分析，確定實(shí)施的先后順序。安全項(xiàng)目規(guī)劃主要包括：

a）將安全措施依據(jù)相關(guān)性，打包成一個(gè)或多個(gè)的安全項(xiàng)目

b）進(jìn)行項(xiàng)目分析

1)對(duì)項(xiàng)目進(jìn)行支持或依賴等相關(guān)性分析； 2)對(duì)項(xiàng)目進(jìn)行緊迫性分析； 3)對(duì)項(xiàng)目進(jìn)行實(shí)施難易程度分析；

4)對(duì)項(xiàng)目進(jìn)行預(yù)期效果分析。

c）綜合項(xiàng)目分析結(jié)果，形成項(xiàng)目實(shí)施先后順序的列表

4.3.3 安全工作規(guī)劃

我們?cè)诎踩?guī)劃中，不僅要做項(xiàng)目建設(shè)的規(guī)劃，還要做安全工作方面的規(guī)劃，以此來(lái)讓等級(jí)保護(hù)的建設(shè)實(shí)施和運(yùn)行能夠融入到日常的安全管理和運(yùn)維工作當(dāng)中去，來(lái)確保等級(jí)保護(hù)

工作落到實(shí)處。安全工作規(guī)劃需要確定安全工作的宗旨、遠(yuǎn)期安全工作目標(biāo)和當(dāng)年目標(biāo)、關(guān)鍵和重點(diǎn)的工作，并分析潛在的風(fēng)險(xiǎn)和障礙、所需的資源和預(yù)算，從而進(jìn)行實(shí)施策略選擇，確定當(dāng)年的安全工作計(jì)劃和等級(jí)保護(hù)項(xiàng)目建設(shè)計(jì)劃。

4.3.4 安全方案設(shè)計(jì)

在解決方案設(shè)計(jì)階段，將對(duì)安全規(guī)劃中所提到的近期應(yīng)實(shí)現(xiàn)的安全措施和項(xiàng)目進(jìn)行分析，編制系列的技術(shù)解決方案和管理解決方案。實(shí)施、等級(jí)評(píng)估與運(yùn)行 5.1 安全措施的實(shí)施

安全措施的實(shí)施是在完成等級(jí)保護(hù)的安全規(guī)劃與設(shè)計(jì)之后，依據(jù)安全解決方案進(jìn)行安全管理措施和安全技術(shù)措施建設(shè)。

安全措施的實(shí)施應(yīng)依據(jù)國(guó)家有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。在工程實(shí)施過(guò)程中應(yīng)充分考慮施工對(duì)業(yè)務(wù)系統(tǒng)可能造成的影響，做好應(yīng)急預(yù)案，保障業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)。應(yīng)與第三方實(shí)施單位簽訂保密協(xié)議和服務(wù)質(zhì)量協(xié)議，同時(shí)要加強(qiáng)對(duì)第三方履行保密協(xié)議和服務(wù)質(zhì)量協(xié)議的監(jiān)督。工程實(shí)施過(guò)程中應(yīng)避免因第三方人員進(jìn)場(chǎng)帶來(lái)新的安全風(fēng)險(xiǎn)。

5.2 等級(jí)評(píng)估與驗(yàn)收

完成電子政務(wù)系統(tǒng)定級(jí)、安全措施選擇與實(shí)施之后，應(yīng)啟動(dòng)等級(jí)評(píng)估與驗(yàn)收工作，以便評(píng)估電子政務(wù)系統(tǒng)是否滿足信息安全等級(jí)保護(hù)的要求，并由電子政務(wù)系統(tǒng)的擁有單位或主管 單位組織驗(yàn)收。

電子政務(wù)等級(jí)保護(hù)工作的等級(jí)評(píng)估可以采取以下三種方式：

a）自評(píng)估

自評(píng)估是由電子政務(wù)系統(tǒng)的擁有單位組織單位內(nèi)部人員，評(píng)估本單位的電子政務(wù)系統(tǒng)是否滿足電子政務(wù)信息安全等級(jí)保

護(hù)的要求。

b）檢查評(píng)估

檢查評(píng)估是由信息安全主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起，依據(jù)已經(jīng)頒布的電子政務(wù)等級(jí)保護(hù)的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的評(píng)估活動(dòng)。

c）委托評(píng)估

委托評(píng)估指信息系統(tǒng)擁有單位委托具有風(fēng)險(xiǎn)評(píng)估能力的專業(yè)評(píng)估機(jī)構(gòu)（包括國(guó)家建立的測(cè)評(píng)認(rèn)證機(jī)構(gòu)或安全企業(yè)）實(shí)施的評(píng)估活動(dòng)。電子政務(wù)系統(tǒng)的擁有單位應(yīng)根據(jù)系統(tǒng)的安全等級(jí)選擇一種或多種評(píng)估模式。等級(jí)評(píng)估結(jié)束后，應(yīng)由電子政務(wù)系統(tǒng)的擁有單位或主管單位主持驗(yàn)收工作，確定完成等級(jí)保護(hù)建設(shè)工作的電子政務(wù)系統(tǒng)是否達(dá)到相應(yīng)的安全等級(jí)，以及是否可以投入運(yùn)行。

5.3 運(yùn)行監(jiān)控與改進(jìn)

電子政務(wù)等級(jí)保護(hù)在完成實(shí)施、評(píng)估與驗(yàn)收工作之后，則進(jìn)入了安全運(yùn)行與改進(jìn)階段。這一階段的主要工作是對(duì)系統(tǒng)的安全風(fēng)險(xiǎn)和等級(jí)保護(hù)體系的運(yùn)行狀況進(jìn)行持續(xù)監(jiān)控，確保在

系統(tǒng)發(fā)生變化、系統(tǒng)的安全風(fēng)險(xiǎn)發(fā)生變化的情況下，能夠及時(shí)調(diào)整系統(tǒng)的安全措施，并在系統(tǒng)或系統(tǒng)的安全風(fēng)險(xiǎn)發(fā)生重大變化時(shí)，進(jìn)行系統(tǒng)的重新定級(jí)和安全措施的調(diào)整，以確保系統(tǒng)得到相應(yīng)的保護(hù)。等級(jí)保護(hù)的運(yùn)行改進(jìn)過(guò)程如圖5-2 所示。

附錄A 術(shù)語(yǔ)與定義 a）信息資產(chǎn)

對(duì)組織具有價(jià)值的信息資源，是安全策略保護(hù)的對(duì)象。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識(shí)別的主要內(nèi)容。

b）服務(wù)

信息系統(tǒng)通過(guò)提供某些功能來(lái)滿足用戶需求的過(guò)程。

c）信息系統(tǒng)生命周期

信息系統(tǒng)生命周期是某一信息系統(tǒng)從無(wú)到有，再到廢棄的整個(gè)過(guò)程，包括規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢棄五個(gè)階段。

d）威脅

可能對(duì)資產(chǎn)或組織造成損害的潛在原因。威脅可以通過(guò)威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來(lái)刻畫。

e）脆弱性

可能被威脅利用對(duì)資產(chǎn)造成損害的薄弱環(huán)節(jié)。

f）影響

信息安全事件造成的后果。g）風(fēng)險(xiǎn)

風(fēng)險(xiǎn)是指人為或自然的威脅利用系統(tǒng)存在的脆弱性，導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。它由安全事件發(fā)生的可能性及其造成的影響這兩種指標(biāo)來(lái)衡量。

h）信息安全風(fēng)險(xiǎn)評(píng)估

依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響。

i）風(fēng)險(xiǎn)管理

組織中識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的活動(dòng)。j）安全措施

保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制的總稱。

附錄B 大型復(fù)雜電子政務(wù)系統(tǒng)等級(jí)保護(hù)實(shí)施過(guò)程示例 B.1 大型復(fù)雜電子政務(wù)系統(tǒng)描述

大型復(fù)雜電子政務(wù)系統(tǒng)主要是指涉及多個(gè)行政級(jí)別、多種網(wǎng)絡(luò)以及各類繁雜的信息系統(tǒng)等特征的系統(tǒng)，一般具有以下特點(diǎn)：

a）覆蓋多級(jí)行政級(jí)別，涉及的部門多、范圍和地域廣； b）信息系統(tǒng)種類繁多、應(yīng)用眾多、服務(wù)類型多并且結(jié)構(gòu)復(fù)雜；

c）網(wǎng)絡(luò)建設(shè)涉及涉密政務(wù)內(nèi)網(wǎng)、涉密和非涉密政務(wù)專網(wǎng)、政務(wù)外網(wǎng)以及互聯(lián)網(wǎng)。大型復(fù)雜電子政務(wù)系統(tǒng)信息安全建設(shè)保障工作目前存在的主要困難包括：

1）信息安全涵蓋內(nèi)容極為廣泛，從物理安全，網(wǎng)絡(luò)安全，系統(tǒng)安全一直到應(yīng)用安全，數(shù)據(jù)安全，安全管理，安全組織等等，凡是涉及到影響正常運(yùn)行的和業(yè)務(wù)連續(xù)性的都可以認(rèn)為是信息安全問(wèn)題；

2）安全保障是個(gè)系統(tǒng)化的工程，各個(gè)要素之間存在緊密聯(lián)系，互相依賴，牽一發(fā)而動(dòng)全身；

3）安全保障是個(gè)長(zhǎng)期性的工作，伴隨信息系統(tǒng)的整個(gè)生命周期，是一個(gè)不斷實(shí)施、檢查和改進(jìn)的過(guò)程；

4）不同行業(yè)、不同信息化發(fā)展階段、不同地域和行政隸屬層次的安全要求屬性和強(qiáng)度存在較大差異性；

5）安全保障除了耗費(fèi)人力財(cái)力，還會(huì)損失易用性，降 48 低效率，所以應(yīng)該考慮信息安全要求與資金人力投入的平衡,控制安全的成本。

B.2 等級(jí)保護(hù)實(shí)施過(guò)程描述

大型復(fù)雜電子政務(wù)系統(tǒng)的等級(jí)保護(hù)實(shí)施過(guò)程應(yīng)符合等級(jí)保護(hù)的整體實(shí)施過(guò)程，但對(duì)于這類電子政務(wù)系統(tǒng)由于存在系統(tǒng)復(fù)雜、龐大、行政級(jí)別多以及涉及范圍廣等特點(diǎn)，因此建議在 各階段增加以下相關(guān)工作和實(shí)施方法：

第一階段：定級(jí)階段

本階段主要的三個(gè)步驟包括系統(tǒng)識(shí)別與描述、子系統(tǒng)劃分以及對(duì)于系統(tǒng)總體和子系統(tǒng)進(jìn)行定級(jí)，對(duì)于大型復(fù)雜電子政務(wù)系統(tǒng)建議在進(jìn)行系統(tǒng)識(shí)別和子系統(tǒng)劃分的過(guò)程中結(jié)合“系統(tǒng)分域保護(hù)框架”的設(shè)計(jì)思路進(jìn)行不同層次劃分，可以從整體的角度出發(fā)，根據(jù)適合的劃分方法進(jìn)行整體性劃分（例如行政級(jí)別、行政區(qū)域以及網(wǎng)絡(luò)等要素），也可以從各個(gè)子系統(tǒng)的角度出發(fā)，總結(jié)和歸類進(jìn)行合并，最終形成多個(gè)層次的保護(hù)對(duì)象。每個(gè) 層次的保護(hù)對(duì)象都能夠?qū)?yīng)相應(yīng)的等級(jí)，形成“等級(jí)系統(tǒng)分域保護(hù)框架”。這里建議從整體角度出發(fā)進(jìn)行劃分，從子系統(tǒng)的角度出發(fā)進(jìn)行驗(yàn)證，形成從下到上和從上到下的統(tǒng)一和平衡。

第二階段：規(guī)劃與設(shè)計(jì)階段

本階段主要的三個(gè)步驟包括系統(tǒng)分域保護(hù)框架建立、選擇

和調(diào)整五個(gè)等級(jí)基本安全要求、安全規(guī)劃和方案設(shè)計(jì)。對(duì)于大型復(fù)雜電子政務(wù)系統(tǒng)在選擇和調(diào)整安全措施等級(jí)時(shí)建議首先根據(jù)行業(yè)背景、政府職能特征以及相對(duì)應(yīng)的安全特性整體進(jìn)行安全措施指標(biāo)的選擇，制定相關(guān)行業(yè)和政務(wù)機(jī)構(gòu)的五個(gè)等級(jí)整體的基本安全要求，在這個(gè)基礎(chǔ)上相關(guān)的各級(jí)部門和政務(wù)機(jī)構(gòu)可以根據(jù)已經(jīng)選擇的安全等級(jí)指標(biāo)進(jìn)行進(jìn)一步的修訂和細(xì)化，這樣可以確保從整體性出發(fā)安全措施的有效性和可控性；在進(jìn)行安全規(guī)劃與方案設(shè)計(jì)的過(guò)程時(shí)，不僅要根據(jù)不同安全等級(jí)系統(tǒng)選擇不同安全措施進(jìn)行規(guī)劃和方案設(shè)計(jì)，這里建議采用“體系化”設(shè)計(jì)的方法，既能夠從整體上進(jìn)行統(tǒng)一規(guī)劃，又能夠通過(guò)安全解決方案解決現(xiàn)有安全問(wèn)題，同時(shí)覆蓋安全的各個(gè)層面，實(shí)現(xiàn)了等級(jí)化和體系化的相互結(jié)合，最終形成等級(jí)化的安全體系。

第三階段：實(shí)施階段

本階段主要是對(duì)等級(jí)保護(hù)的具體實(shí)施，在實(shí)施的過(guò)程中，針對(duì)大型復(fù)雜電子政務(wù)系統(tǒng)建議采用“基礎(chǔ)平臺(tái)”的安全措施建設(shè)方法，結(jié)合安全體系的內(nèi)容對(duì)于需要統(tǒng)一規(guī)劃的基礎(chǔ)性工作進(jìn)行總體性考慮，建立基于平臺(tái)概念的基礎(chǔ)性設(shè)施。在具體實(shí)施過(guò)程中可以考慮建立“管理基礎(chǔ)平臺(tái)”，平臺(tái)中包括策略體系、組織體系以及運(yùn)作體系，能夠?qū)崿F(xiàn)安全管理的整體性運(yùn)作；建立“技術(shù)基礎(chǔ)平臺(tái)”，把支撐性基礎(chǔ)設(shè)施的實(shí)現(xiàn)采用基礎(chǔ)平臺(tái)方法，例如統(tǒng)一認(rèn)證平臺(tái)、監(jiān)控和審計(jì)平臺(tái)等。