第一篇：基于互聯(lián)網(wǎng)的電子政務等級保護研究

密級：

頁數(shù)：

畢 業(yè) 實習（論文）

信息工程大學

題目：基于互聯(lián)網(wǎng)的電子政務等級保護研究

學員姓名

*** 學

號

所在單位

指導教師

郭義喜 技術職務

副教授 完成日期

2010年5月

摘 要

隨著這幾年計算機網(wǎng)絡技術的發(fā)展，網(wǎng)絡信息安全成為了人們越來越關注的問題，也同時成為了威脅計算機網(wǎng)絡之間信息傳播的最大障礙。為此，國家已經(jīng)在2007年7月26日發(fā)出了《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》，電子政務工程建設辦公室在2007年11月啟動了中央級 政務外網(wǎng)定級專項工作，成立了等級保護定級工作組，根據(jù)政務外網(wǎng)實際情況和特點，經(jīng)過多倫內(nèi)部討論和專家征求意見后，基本完成了政務外網(wǎng)安全等級保護定級工作，為后續(xù)備案和全面開展、實施等級保護整改和測評工作奠定了堅實基礎。

由此可見，當今社會中，電子政務等級的保護研究已經(jīng)是一個非常重要的課題。本文從電子政務等級保護的研究方法、電子政務等級保護出現(xiàn)問題時的解決辦法、電子政務等級保護的整體安全解決方案、基于互聯(lián)網(wǎng)的電子政務的優(yōu)點以及如何有效的保護電子政務的安全等方面來闡述電子政務等級保護問題。

目 錄

第一章 概述.................................................................1

1.1 選題背景與研究現(xiàn)狀................................................1 1.2 研究內(nèi)容與論文組織結構............................................1 1.4 論文組織結構......................................................2

第二章 信息化與電子政務.....................................................3

2.1 我國信息化進程的回顧..............................................3 2.2 我國電子政務發(fā)展計劃..............................................4 2.3 我國電子政務的保障措施............................................5 2.4 電子政務的優(yōu)勢....................................................6

第三章 電子政務信息安全與等級保護...........................................8

3.1 電子政務信息安全內(nèi)涵..............................................8 3.2 等級保護在電子政務中的應用........................................8 3.3 電子政務安全管理和技術層面........................................9

第四章 基于互聯(lián)網(wǎng)的電子政務等級保護的建設..................................12

4.1 信息安全等級保護實施過程.........................................12 4.2 電子政務等級保護實施措施.........................................15

第五章 基于等級保護的電子政務安全度量......................................17

5.1 信息安全度量現(xiàn)狀.................................................17 5.2 基于等級保護的安全管理度量方法的設計.............................18

第六章 總結................................................................21 參考文獻...................................................................22

第一章 概述

1.1 選題背景與研究現(xiàn)狀

以Internet為代表的全球性信息化浪潮日益涌起，網(wǎng)絡技術的應用層次不斷深入、應用領域日益廣泛，逐步由傳統(tǒng)的、小型業(yè)務系統(tǒng)向大型的、關鍵性的業(yè)務系統(tǒng)擴展，目前基于互聯(lián)網(wǎng)技術的網(wǎng)絡平臺已經(jīng)在電子政務中得到了廣泛的應用，使政府以最快的方式與市民進行溝通，市民也能方便快捷地參與政府工作。但是，由于電子政務同時涉及到對國家秘密信息和高敏感度核心政務的保護，涉及到維護公共秩序和行政監(jiān)管，從而使這種快捷和方便給政府網(wǎng)絡的安全造成了一定的威脅，使基于互聯(lián)網(wǎng)技術的電子政務面臨著嚴峻的挑戰(zhàn)。因此，運用網(wǎng)絡安全技術，建立實用可靠的安全策略體系，實施等級保護，已經(jīng)成為電子政務能否得到真正應用的關鍵。

目前，我國建立了與電子政務發(fā)展水平相適應的安全保障措施，并且結合實際需要，制定了一批具有實際指導意義的信息安全法規(guī)制度和工作機制。

我國開始從整體安全體系出發(fā)來進行信息安全建設。分級分域防護的基本思路正在逐步得到貫徹。

1.2 研究內(nèi)容與論文組織結構

本課題選擇了基于互聯(lián)網(wǎng)的電子政務等級保護作為研究重點，討論了基于互聯(lián)網(wǎng)的電子政務等級保護的安全目標以及為實現(xiàn)上述目標應采取積極的安全策略，尤其對電子政務安全保障體系框架做了進一步分析，對基于互聯(lián)網(wǎng)的電子政務等級保護提出了自己的觀點。

主要內(nèi)容包括:(l)電子政務的安全目標及其應對策略；(2)電子政務安全保障體系框架；(3)電子政務等級保護當前的主要問題；

(4)對于基于互聯(lián)網(wǎng)的電子政務等級保護建設的自我觀點。

由于國內(nèi)的基于互聯(lián)網(wǎng)的電子政務等級保護的標準和規(guī)范不太明確，所以本課題將對電子政務做進一步的分析，提出自己的一些觀點和看法，希望通過自己的努力對電子政務等級保護問題有著推進意義。

1.4 論文組織結構

共分五章，第一章對我國基于互聯(lián)網(wǎng)的電子政務等級保護的現(xiàn)狀以及研究內(nèi)容做一簡要介紹，第二章主要概述了信息化與電子政務的發(fā)展史，第三章重點討論了電子政務信息安全與等級保護的關系問題，第四章主要介紹了基于互聯(lián)網(wǎng)的電子政務等級保護建設問題，第五章討論了電子政務等級保護安全度量方法，第六章是總結及展望。

第二章 信息化與電子政務

中國的信息化建設起步于20世紀80年代初期，從國家大力推動電子信息技術應用開始，大致經(jīng)歷了四個階段，而我國的電子政務建設是中國信息化建設發(fā)展的一個新階段，它以我國前期信息化建設的成果為基礎。

2.1 我國信息化進程的回顧

（1）準備階段（1993年以前）

20世紀80年代初期，在我國國民經(jīng)濟進行調(diào)整的情況下，計算機工業(yè)界認識到發(fā)展我國計算機工業(yè)，應該從過去的一研究制造計算機硬件設備為中心，迅速的轉向以普及應用為重點，以此帶動研究開發(fā)、生產(chǎn)制造、外圍配套、應用開發(fā)、技術服務和產(chǎn)品銷售等工作。1982年10月4日，國務院成立了計算機與超大規(guī)模集成電路領導小組。下設計算機和集成電路兩個顧問小組，聘請有理論水平、有實踐經(jīng)驗的科學家、經(jīng)濟學家和工程技術人員參加，負責規(guī)劃、決策和技術經(jīng)濟咨詢。

1984年，為了研究我國新技術革命的對策，國務院成立了新技術革命對策小組，組織了計算集專項和光纖通信專項研究。1984年9月15日，計算機與大型集成電路領導小組改為電子振興領導小組。1986年3月，“863”計劃啟動。該計劃投資100億元，其中，信息技術相關項目的投資約占投資總額的三分之二。

1988年5月，根據(jù)國務院機構改革方案，成立機械電子工業(yè)部，并將振興電子產(chǎn)業(yè)的任務交機械電子工業(yè)部承擔。隨后，國務院常務會議決定，國務院電子振興領導小組辦公室更名為國務院電子信息系統(tǒng)推廣應用辦公室，繼續(xù)支持各行各業(yè)應用電子信息技術。從1988年至1992年，國家發(fā)展計劃委員會、機械電子工業(yè)部、國家科學技術委員會和電子信息技術推廣應用辦公室，在傳統(tǒng)產(chǎn)業(yè)技術改造、EDI技術、CAD/CAM以及MIS等領域，做了大量工作，不斷推動電子信息技術應用向縱深發(fā)展。

（2）啟動階段（1993年3月至1997年4月）

1993年，成立國家經(jīng)濟信息化聯(lián)席會議。我國信息化基本上正式起步于1993年，黨和國家領導人江澤民、李鵬、朱镕基、李嵐清等相繼提出了信息化建設的任務，啟動了“金卡”、“金橋”、“金關”等重大信息化工程，拉開了國民經(jīng)濟信息化的序幕。同年12月，成立了以國務院副總理鄒家華為主席的國家經(jīng)濟信息化聯(lián)席會議，確立了“推進信息化工程實施、以信息化帶動產(chǎn)業(yè)發(fā)展”的指導思想。1996年1月，國務院信息化工作領導小組成立。國務院信息化工作領導小組由國務院副總理鄒家華任組長，由20多個部委領 導組成的國務院信息化工作領導小組，統(tǒng)一領導和組織協(xié)調(diào)全國地信息化工作。1996年以后，中央和地方都確立了信息化在國民經(jīng)濟和社會發(fā)展中的重要地位，信息化在各領域、各地區(qū)形成了強勁的發(fā)展潮流。

（3）展開階段（1997年4月至2000年10月）

經(jīng)過1993—1997年的建設和發(fā)展，符合我國國情的信息化發(fā)展思路初步形成。國務院信息化工作領導小組確立了國家信息化的定義和國家信息化體系六要素，進一步充實和豐富了我國信息化建設的內(nèi)涵；提出了信息化建設“統(tǒng)籌計劃，國家主導；統(tǒng)一標準，聯(lián)合建設；互聯(lián)互通，資源共享”的二十四字指導方針。

1997年4月18—21日，經(jīng)國務院批準，國務院信息化工作領導小組在深圳召開了首次全國信息化工作會議，會議全面部署了國家信息化工作，通過了《國家信息化“九五”規(guī)劃和2010年遠景目標》，成為我國信息化建設的里程碑。此后，全國地信息化工作從解決應急性的熱點問題，步入了為經(jīng)濟發(fā)展和社會全面進步服務，有組織、有計劃的發(fā)展軌道。

1998年3月，組建信息產(chǎn)業(yè)部。隨著國務院機構的新一輪改革，將原國務院信息化工作領導小組辦公室整建制并入新組建的信息產(chǎn)業(yè)部，負責推進國民經(jīng)濟和社會服務信息化的工作。在信息產(chǎn)業(yè)部內(nèi)部機構設置上，設立了信息化推進司（國家信息化辦公室）。

1999年12月，恢復國務院信息化工作領導小組。根據(jù)國務院關于恢復國務院信息化工作領導小組的批示，為了加強國家信息化工作的領導，決定成立由國務院副總理吳邦國任組長的國家信息化工作領導小組，并將國家信息化辦公室改名為國家信息化推進工作辦公室。

（4）發(fā)展階段（2000年10月至今）

2001年8月，國家信息化工作辦公室成立。黨中央、國務院在原有基礎上成立了由朱镕基任組長，胡錦濤、李嵐清、丁關根、吳邦國、曾培炎為成員的國家信息化領導小組，這樣高規(guī)格的領導機構，充分反映出黨中央、國務院加強中國信息化建設的決心和力度。同時它的辦事機構——國務院信息化工作辦公室也正式成立，由國家發(fā)展計劃委員會主任、國家信息化領導小組副組長曾培炎兼任國務院信息化工作辦公室主任。

2.2 我國電子政務發(fā)展計劃

國務院信息化辦公室組織了上百位專家對國家電子政務進行研究，形成一套電子政務發(fā)展戰(zhàn)略框架，電子政務已經(jīng)被列為中國信息化建設的重點任務。

一是建立兩個統(tǒng)一的電子政務平臺，即連接副省級以上部門辦公業(yè)務的“政務內(nèi)網(wǎng)”和面向公眾、企業(yè)以及連接政府間業(yè)務的“政務外網(wǎng)”；其中，外網(wǎng)將與互聯(lián)網(wǎng)相連接。

二是建設和推進十二項重點工程，包括為各級領導決策服務的“辦公業(yè)務資源系統(tǒng)” 和“宏觀政策管理系統(tǒng)”，目標將所有稅務機關和稅種擴展成為全方位的稅收電子化系統(tǒng)的“金稅工程”，將完整的通關業(yè)務電子化的“金關工程”，為國家預算編制和預算執(zhí)行提供網(wǎng)絡化、數(shù)字化服務的“金財工程”，對銀行、信托、證券、保險進行有效監(jiān)管“金融監(jiān)管工程”、實現(xiàn)審計工作數(shù)字化的“金審工程”。另外，還有包括保障社會穩(wěn)定、安全的“金盾工程”和“社會保障工程”、防偽打假的“金質(zhì)工程”、應對水旱災情的“金水工程”和為農(nóng)業(yè)現(xiàn)代化服務的“金農(nóng)工程”。

三是信息資源建設，包括兩個信息體系和人口庫、法人庫、信息資源和空間地域庫、宏觀經(jīng)濟庫等四個數(shù)據(jù)庫，為政府部門提供最基礎的數(shù)據(jù)資源。

2.3 我國電子政務的保障措施

1、標準先行

為貫徹落實國家信息化領導小組推進國家信息化工作的五項方針和統(tǒng)一標準的具體要求，進一步推動我國電子政務順利發(fā)展，國家標準化管理委員會和國務院信息化工作辦公室批準成立了“國家電子政務標準化總體組”。

我國電子政務標準化工作的開展是在國家標準化管理委員會和國務院信息化辦公室的統(tǒng)一領導下，由國家電子政務標準化總體組組織實施。

總體組的主要工作是積極研究跟進國內(nèi)外與電子政務有關的標準的發(fā)展動態(tài)，及時調(diào)整工作思路及方向，與國內(nèi)各政府部門、技術專家及開發(fā)商一起研究制定中國電子政務標準，推動我國電子政務健康、有序的建設。

總體組花費近半年的時間完成了《電子政務標準化指南》（第一版）?！峨娮诱諛藴驶改稀罚ǖ谝话妫┰陔娮诱諛藴驶ぷ鞯闹笇枷?、工作原則的基礎上，確定了電子政務標準化的總體目標和工作任務并對電子政務標準體系和電子政務標準化管理機制等多方面的內(nèi)容進行了闡述。

《電子政務標準化指南》共分為以下六個部分： 第一部分：總則。第二部分：工程管理。第三部分：網(wǎng)絡建設。第四部分：信息共享。第五部分：支撐技術。第六部分：信息安全。

《電子政務標準化指南第一部分：總則》（第一版）已于2002年正式發(fā)布。

2、實施監(jiān)理制度

信息產(chǎn)業(yè)部為了規(guī)范信息系統(tǒng)工程建設市場，保證國家電子政務工程的質(zhì)量，2002年 11月28日發(fā)布了《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》，明確指出下列信息工程應當實施監(jiān)理：

● 國家級、省部級、地市級的大中型信息系統(tǒng)工程項目；

● 國家政策性銀行或者國有商業(yè)銀行規(guī)定使用貸款需要實施監(jiān)理的項目； ● 涉及國家安全、生產(chǎn)安全的信息系統(tǒng)工程項目；

● 國家法律、行政法規(guī)及行政規(guī)章規(guī)定應當實施監(jiān)理的其他信息系統(tǒng)工程項目。監(jiān)理的主要內(nèi)容是對信息系統(tǒng)工程項目的質(zhì)量、進度和投資進行監(jiān)督，對項目合同和文檔資料進行管理，協(xié)調(diào)有關單位間的工作關系。監(jiān)理制度的引入從組織結構上和管理上，保證了電子政務工程的質(zhì)量。

2.4 電子政務的優(yōu)勢

（1）辦公透明，利于監(jiān)督

政府上網(wǎng)以后，可以在網(wǎng)上向所有公眾公開政府本門的名稱、職能、機構組織、辦事章程及各項公開文件等，可以讓公眾迅速了解政府機構的組成、只能和辦事章程、各項證詞法規(guī)，增加辦事的透明度，并自覺接受公眾的監(jiān)督。除政府行政部門之外，人大、政協(xié)上網(wǎng)可以讓公眾了解到人大立法和提出議案的過程，促進人格各項立法更完善合理，通過網(wǎng)絡使個向法律更加迅速的傳遞到民眾手上。事實上，在歐洲，已經(jīng)有虛擬議會，人們足不出戶就可以積極參與國家事物核對法律的考核，促進社會民主的進步與發(fā)展，市政府管理更加直接、有效。

（2）提高工作效率

“電子政府”建設完成并全達到普及后，公眾可以通過網(wǎng)絡與政府機關打交道。配合數(shù)字簽名和網(wǎng)絡身份認證的的建立，公眾可以直接通過網(wǎng)絡向政府機關申請服務，政府可以通過網(wǎng)絡提供服務，例如，工商管理、繳納稅金、海關報關驗關等，可以大大提高政府的工作效率。

（3）增加跨時間、快地域服務

“電子政府”可以為群眾提供全天候的服務，網(wǎng)絡上的政府是“數(shù)字化”的政府，政府可以無所不在，群眾可以在任何地點，只要是因特網(wǎng)可以觸及的地方，都可以與政府服務網(wǎng)建立連接，隨時隨地獲得服務。

（4）文檔管理負擔大幅度減輕

政府各部門每年要向群眾和企事業(yè)單位發(fā)送各種待填寫的單據(jù)，數(shù)量相當龐大。設立了“電子政府”后，用戶可以在政府的網(wǎng)頁上找到相應的填寫表單、申報的應用程序，通過這一服務可以實現(xiàn)整個表單處理過程的自動化。

（5）資料上網(wǎng)，社會共享

政府部門的許多資料檔案對公眾是很有用處的，要充分挖掘其內(nèi)在的潛力，為社會服 務。例如，如果把個城市所有注冊公司單位的情況在網(wǎng)上公布，供公眾查詢，這樣公司在進行商業(yè)交往的時候，通過Internet查詢，就可以方便迅速的了解到對方的資信情況?？梢杂行У谋苊馍虡I(yè)詐騙活動，保護商業(yè)者的利益。教育部門可以把全國各大專院校的情況上網(wǎng)，工考上在報考時查詢選擇等等，這些都是政府對公眾服務的一個重要內(nèi)容。政府部門的日?；顒右部梢陨暇W(wǎng)，公開政府部門的各項活動，可以使政府部門受到的公眾監(jiān)督，這對于發(fā)揚民主，搞好政府部門的廉政建設有很大意義。

（6）加強政府與群眾間的雙向溝通

利用網(wǎng)絡可以建立起更加有效的、快捷的政府與公眾之間的相互交流的渠道，為公眾與政府部門實時、雙向地溝通提供方便。為了更好的利用網(wǎng)絡與民眾進行溝通交流，并對民眾建設和意見作出及時有效的處理，政府部門應設有一個電子信息處理中心，處理群眾意見，并及時轉發(fā)到相關部門，督促和監(jiān)督問題的解決，這比過去的上訪、市長信箱、市長熱線等等更加方便、有效、及時?？傊?，加強政府與公眾之間的雙向溝通對于政府更及時、更有效地接納公眾意見，更有效地為人民服務，樹立政府形象十分重要。

第三章 電子政務信息安全與等級保護

3.1 電子政務信息安全內(nèi)涵

電子政務作為國家信息化戰(zhàn)略重要組成部分，具有先導和示范作用，其信息安全保障事關經(jīng)濟發(fā)展、國家安全、社會穩(wěn)定、公眾利益和社會主義精神文明建設。實行電子政務信息安全等級保護是我國信息安全保護的基本制度和重點任務之一，本章制著重討論等級保護制度如何保護電子政務的信息安全。

電子政務市政府管理方式的革命，它是運用信息以及通信技術打破行政機關的組織界限，構建一個電子化的虛擬機關，使公眾擺脫傳統(tǒng)的層層關卡以及書面審核的作業(yè)方式，并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時間及地點，高效快捷的向人們提供了各種不同的服務選擇。政府機關之間以及政府與社會各界之間也經(jīng)由各種電子化渠道進行相互溝通，電子政務的建立將使政府成為一個更符合環(huán)保精神的政府，一個更開放透明的政府，一個更有效率的政府，一個更廉潔勤政的政府。然而，電子政務的只能與優(yōu)勢得以實現(xiàn)的一個根本前提是信息安全的有效保障。因為電子政務信息網(wǎng)絡上有相當多的政府公文在流轉，其中不乏重要信息，內(nèi)部網(wǎng)絡上有著大量高度機密的數(shù)據(jù)和信息，直接涉及政府的核心政務，它關系到政府部門、各大系統(tǒng)乃至整個國家的利益，有的甚至涉及國家安全。如果電子政務信息安全得不到保障，電子政務的便利與效率便無從保證，對國家利益將帶來嚴重威脅。電子政務信息安全是制約電子政務建設與發(fā)展的首要問題和核心問題。

電子政務的信息安全可以理解為：

1、從新的層次看，包括信息的完整性（保證新的來源，去向、內(nèi)容真實無誤）、保密性（保證信息不會被非法泄露擴散）、不可否認性（保證信息的發(fā)送和接受著無法否認自己所做過的操作行為）等。

2、從網(wǎng)絡層次看，包括可靠性（保證網(wǎng)絡和信息系統(tǒng)隨時可用，運行過程中不出現(xiàn)故障，與意外事故能夠盡量減少損失并盡早 恢復正常）、可控性（保證營運者對網(wǎng)絡和信息系統(tǒng)有足夠的控制額管理能力）、互操作性（保證協(xié)議和系統(tǒng)那個能互相連接）、可計算性（保證準確跟蹤實體運行達到審計知識的目的）等。

3、從設備層次看，包括質(zhì)量保證、設備備份、物理安全等。

4、從管理層次看，包括人員可靠、規(guī)章制度完整等。

3.2 等級保護在電子政務中的應用

1、電子政務等級保護的基本原則（1）重點保護原則

電子政務等級保護應突出重點，重點保護關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要電子政務系統(tǒng)，集中資源首先確保重點系統(tǒng)那個安全。

（2）自主保護原則

電子政務等級保護藥貫徹“誰主管誰負責，誰運營誰負責”的原則，由個主管部門能和運營單位依照國家相關法規(guī)和標準，自主確定電子政務系統(tǒng)的安全等級并組織實施安全防護。

（3）分區(qū)域保護原則

電子政務等級保護要根據(jù)各地區(qū)、各行業(yè)電子政務系統(tǒng)的重要程度、業(yè)務特點政務系統(tǒng)的重要程度、業(yè)務特點和不同發(fā)展水平，分類、分級、分階段進行實施，銅鼓劃分不同安全保護等級的區(qū)域，實現(xiàn)不同強度的安全保護。

（4）同步建設、動態(tài)調(diào)整原則

電子政務系統(tǒng)在新建、改建、擴建時應當同步建設信息安全設施，保障信息安全與信息化建設相適應。因信息和信息系統(tǒng)的應用類型、范圍等條件的變化及其他原因，安全保護等級需要變更的，應當重新確定系統(tǒng)的安全保護等級。

3.3 電子政務安全管理和技術層面

政府部門通過全面推行信息安全等級保護制度，逐步將信息安全等級保護制度，逐步將信息安全等級保護制度落實到信息系統(tǒng)安全規(guī)劃、建設、測評、運行維護和使用等各個環(huán)節(jié)，根據(jù)電子政務信息系統(tǒng)的實際情況，應從技術體系和管理體系兩方面來找開說明，結合等級保護的制度來構建電子政務系統(tǒng)的信息安全體系。根據(jù)等級保護的思想并結合安全域的原則，根據(jù)電子政務系統(tǒng)的實際情況，電子政務系統(tǒng)安全體系建設流程如下圖所示：

1、安全管理體系

安全管理貫穿整個電子政務安全防護體系，對電子政務安全實施起指導作用。安全管理體系包括：法律政策、規(guī)章制度和標準規(guī)范。安全管理體系的建立應符合組織使命，符合組織利益。電子政務的工作內(nèi)容和工作流程涉及到國家秘密與核心政務它的安全關系到國家的主權、國家的安全和公眾利益，所以電子政務的安全實施和保障，必須以國家法規(guī)形式將其固化，形成全國共同遵守的規(guī)約。目前，世界上很多國家制訂了與網(wǎng)絡安全相關的法律法規(guī)，如英國的《官方信息保護法》等。我國雖然頒發(fā)了一些與網(wǎng)絡安全有關的法律法規(guī)，如《計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)保密管理暫行規(guī)定》等等，但顯得很零散，在完善法律法規(guī)的同時，還應該加大執(zhí)法力度，嚴格執(zhí)法，這一目標的實現(xiàn)不僅需要政府的努力，更要國家立法機構的參與和支持。

信息安全標準有利于安全產(chǎn)品規(guī)范化，有利于保證產(chǎn)品安全可信性、實現(xiàn)產(chǎn)品的互聯(lián)和互操作性、更新和可擴展性，支持系統(tǒng)安全的測評預評估，保障電子政務系統(tǒng)的安全可靠。電子政務網(wǎng)絡安全標準規(guī)范包括電子文檔秘密劃分和標記格式、內(nèi)容健康性等級劃分與標記、內(nèi)容敏感性等級劃分與標記、密碼算法標準、密碼模塊標準、密鑰管理標準、PKI/CA標準、PMI標準、信息系統(tǒng)安全評估和網(wǎng)絡安全產(chǎn)品測評標準等方面的內(nèi)容。

電子政務信息系統(tǒng)存在著來自社會環(huán)境、技術環(huán)境和物理自然環(huán)境的安全風險，其安全為威脅無時無處不再。對于電子政務信息系統(tǒng)的安全問題，不能企圖單憑利用一些集成了信息安全技術的安全產(chǎn)品來解決，而必須建立電子政務信息系統(tǒng)安全管理體系，全方位地，綜合解決系統(tǒng)安全問題。

2、安全技術體系

安全技術體系包括網(wǎng)絡安全體系和數(shù)據(jù)安全傳輸與存儲體系，功能主要是通過各種技術手段實現(xiàn)技術層次的安全保護。

網(wǎng)絡安全體系包括網(wǎng)閘、日勤檢測、漏洞檢測、外聯(lián)和接入檢測、補丁管理、防火墻、身份鑒別和認證、系統(tǒng)訪問控制、網(wǎng)絡審計等；數(shù)據(jù)安全與傳輸與存儲體系包括數(shù)據(jù)備份恢復、PKI/CA、PMI等，拓撲圖如下圖所示。

根據(jù)電子政務系統(tǒng)的情況，我們應以等級保護為基本的指導原則，并結合安全域的理念來進行，首先我們應對電子政務的信息系統(tǒng)進行系統(tǒng)等級的劃分，在我們得到了相應的系統(tǒng)等級之后，再根據(jù)各應用系統(tǒng)的等級情況來涉及安全規(guī)劃和建設方案，真正的將等級保護制度落實到實處，如下圖所示。

根據(jù)上述的相應流程，最后我們的到得電子政務系統(tǒng)可操作的解決方案。

電子政務系統(tǒng)應根據(jù)自己的安全等級來制定相應的安全措施和安全規(guī)則，具體過程如下圖。

第四章 基于互聯(lián)網(wǎng)的電子政務等級保護的建設

電子政務外網(wǎng)是政府部門之間由于協(xié)同辦公的需要而建立的專用網(wǎng)絡。它同政府內(nèi)網(wǎng)物理隔離，同Internet網(wǎng)邏輯隔離，它同其他網(wǎng)絡邏輯隔離。電子政務外網(wǎng)系統(tǒng)是由相關的和配套的設備、設施按照電子政務平臺信息系統(tǒng)的一個應用目標和規(guī)則組合而成的有形實體。它是各級政府對外溝通的門戶系統(tǒng)，為用戶提供查閱信息，辦理相關業(yè)務（公民、企業(yè)可以通過政府外網(wǎng)辦理各種手需、證書、執(zhí)照等，享受到政府所提供的各種服務）、溝通交流的網(wǎng)絡平臺。它的內(nèi)部人物是OA、郵件、簡報、公文交換、會議管理，還包含通過互聯(lián)網(wǎng)的辦公數(shù)據(jù)交互等。各級政府的信息委的信息委是各級政府外網(wǎng)系統(tǒng)的唯一安全責任單位、安全建設、運行維護、物理環(huán)境安全等，系統(tǒng)承擔全部安全保護責任。

4.1 信息安全等級保護實施過程

各級政府的電子政務外網(wǎng)具有較高的相似性，機構、規(guī)模、功能已經(jīng)承載業(yè)務等都有很多相似性。根據(jù)這寫相似性，上海三零為是信息安全有限公司從所有參與建設的電子政務外網(wǎng)項目中進行抽象、總結，基于《信息安全等級保護管理辦法》、《信息系統(tǒng)安全等級保護基本要求》、《信息安全技術 信息系統(tǒng)安全等級保護定級指南》和《信息系統(tǒng)安全等級保護實施指南》設計了完整的電子政務外網(wǎng)整體安全解決方案。

該解決方案按照實施過程分為三個階段五個模塊。如下圖所示：

在系統(tǒng)出示化階段中，按照《信息系統(tǒng)安全等級保護定級指南》制定如下流程：

信息定級模塊的最終交付成果為《某政務外網(wǎng)信息系統(tǒng)等級保護定級報告》，共分3個章節(jié)，兩份附件表進行編寫：第一章，信息系統(tǒng)描述：第二章，信息系統(tǒng)安全保護等級 確定；第三章，安全保護等級的確定；附件表一，政務外網(wǎng)系統(tǒng)業(yè)務信息安全等級確定工作表；附件表二，政務外網(wǎng)系統(tǒng)服務安全等級確定工作表。

在信息系統(tǒng)描述中，需要確認政務外網(wǎng)系統(tǒng)具有唯一確定的安全責任單位，詳細說明該單位的名稱與職責；需要明確政務外網(wǎng)系統(tǒng)具備的信息系統(tǒng)基本要素，詳細描述系統(tǒng)拓撲圖和系統(tǒng)硬件設備配置；需要描述政務外網(wǎng)系統(tǒng)承載的單一或相對獨立的業(yè)務應用，相信分析應用專業(yè)數(shù)據(jù)應用流程。

在信息系統(tǒng)安全保護等級確定中需要完成對業(yè)務信息安全保護等級的確定和系統(tǒng)服務安全保護等級的確定。包括：業(yè)務信息/系統(tǒng)服務描述、業(yè)務信息/系統(tǒng)服務受到破壞時所侵害客體的侵害程度的確定。

根據(jù)等級保護的標準《信息安全技術 信息系統(tǒng)安全等級保護定級指南》的要求，政務外網(wǎng)系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級較高者決定，并最終決定該政務外網(wǎng)系統(tǒng)的安全保護等級。

在系統(tǒng)建設試用階段包括：基于等級保護的安全保護題寫的整體設計、建設、運行、維護分階段，是整個體系的主體部分。下面的方案以最常見的定級為二級的系統(tǒng)進行詳細敘述?；诘燃壉Ｗo的安全防護體系方案一般可分為9個章節(jié)，其中包括：前沿、方案概況、安全需求分析、總體安全設計、安全建設項目規(guī)劃、安全方案詳細設計、系統(tǒng)產(chǎn)品性能要求及選型、項目實施與工程管理、安全運行維護與服務。

第一章，前言。在本章中主要介紹用戶電子政務外網(wǎng)的業(yè)務情況，其中包括系統(tǒng)的背景敘述。

第二章，方案概述。在本章中主要闡述方案的背景、設計目標、設計原則和設計思想、說明對等級保護的需求，安全保護體系的主要建設內(nèi)容等。

第三章，安全需求分析。本章包括技術層次面安全需求分析和管理層面安全需求分析。根據(jù)等級保護的基本要求，技術層面安全需求分析。根據(jù)等級保護基本要求，技術層面安全需求分析按照五個方面：物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全和數(shù)據(jù)恢復。管理層面的安全需求分析按照安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理方面進行分析。

第四章，總體安全設計。對一個組織的任務、業(yè)務運作異常關鍵的信息都是由信息基礎設施負責處理、存儲和傳輸。信息基礎設施對這些信息的保護需要通過“信息保障”完成。信息保障提出了目前信息基礎設施的整套安全要求。信息保障依賴人、操作和技術來實現(xiàn)組織任務、業(yè)務運作。穩(wěn)定的信息保證體系意味著信息保證的政策、步驟、技術與機制在整個組織的信息基礎設施的所有層面上均得以實施。在制定安全策略中，依據(jù)的IATF信息保障技術框架定義了對該電子政務外網(wǎng)系統(tǒng)進行信息保障的過程，以及該系統(tǒng)中硬件和軟件部件的安全要求。遵循這些原則就可以對信息基礎設施進行名為“深度防御戰(zhàn)略” 的多層防護。信息安全可用性策略是用戶電子政務外網(wǎng)信息系統(tǒng)安全保護體系的核心。根據(jù)實際情況提出恰當?shù)冒踩呗?。一個全面的安全策略將有助于方案的設計，實施和執(zhí)行。在本章節(jié)中首先完成等級化安全模型、總體安全策略，進而完成核心的安全技術策略設計、安全管理策略設計。

第五章，安全建設項目規(guī)劃。在本章主要完成整個用戶電子政務外網(wǎng)安全保護體系建設項目的整體進度計劃以及各自項目的時間安排。

第六章，安全方案詳細設計。本章為安全技術措施設計和安全管理措施設計兩部分，并最終形成安全保護體系實施的預期效果（蜘蛛圖）。在安全技術措施設計中包括：物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復。

第七章，系統(tǒng)產(chǎn)品性能要求及選型。在本章中對用戶電子政務外網(wǎng)安全保護體系中選用的產(chǎn)品按照實際需要完成對性能指標的定量要求以及選型定型。

第八章，項目實施與工程管理。采取工程化的項目管理方法進行嚴格、科學和有效的項目控制和管理。從組織管理和技術管理兩個方面對項目實施嚴格規(guī)范和有效管理。在項目實施中按照SSE-CMM的要求，即系統(tǒng)按安全工程能力成熟模型，精心工程實施。不斷提高工程的質(zhì)量與可用性，降低工程的實施成本。SSE-CMM給出了信息系統(tǒng)工程建設需要考慮的關鍵過程保障域，可能知道工程從單一的安全設備設置轉向系統(tǒng)的剞劂整個工程的分先評估、安全策略形成、安全方案提出、實施和生命期控制等問題。根據(jù)SSE-CMM，將整個項目所做的工作分為項目啟動準備、項目實施改進、項目完成跟蹤，時需審核和改進以確保建設的項目能符合設計的方案。

第九章，安全運行維護與服務。主張為用戶電子政務外網(wǎng)系統(tǒng)提供生名周期的服務。電子政務外網(wǎng)信息系統(tǒng)的整體性進行考慮，以營運的業(yè)務流程為眼點，運用信息系統(tǒng)安全工程技術理論、工具和方法，通過專業(yè)，客觀的風險分析，在保證電子政務外網(wǎng)信息系統(tǒng)應用效率和投資收益比例恰當?shù)那疤嵯?，降低客戶的信息系統(tǒng)運行風險，確?？蛻粜畔⑾到y(tǒng)發(fā)揮其價值。嚴格遵循國家網(wǎng)絡安全主管部門有關規(guī)定以及國際安全服務標準，以ITSM 為目標、ITIL為指導，由專業(yè)從事網(wǎng)絡服務和安全服務的專家小組提供服務，同時對安全管理員進行安全培訓。在系統(tǒng)種植階段遵照以下流程：

“信息轉移、暫存和清除過程”是在信息系統(tǒng)中止處理過程中，對于可能會在另外的信息系統(tǒng)中使用的信息采取適當?shù)姆椒▽⑵浒踩霓D移或暫存到可以恢復的介質(zhì)中，確保將來可繼續(xù)使用，同時采用安全的方法清除要終止的信息系統(tǒng)的信息?！霸O備遷移或廢棄過程”是確保信息系統(tǒng)中之后，遷移或廢棄的設備內(nèi)不包括敏感信息，對設備的處理方式應符合國家相關部門的要求?！按鎯橘|(zhì)的清除或銷毀過程”是通過采用合理的方式計算機介質(zhì)（包括磁帶、磁盤、打印結果和文檔）進行信息清除或銷毀處理，防止介質(zhì)內(nèi)的敏感信息泄露。通過講不同的電子政務外網(wǎng)系統(tǒng)進行的個性處理，導入上述三個基本等級保護的安全保護體系建設過程，將可以得到完整的安全基于等級保護的安全體系建設方案，并指導基于等級保護的安全的電子政務外網(wǎng)系統(tǒng)。

4.2 電子政務等級保護實施措施

1、周密部署，精心組織

為有效貫徹落實國家信息安全等級保護制度，在總基礎調(diào)查和試點工作基礎上，根據(jù)《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》等相關規(guī)定，2007年11月13日，電子政務外網(wǎng)工程辦召開等級工作啟動會，正式啟動國家電子政務外網(wǎng)安全等級的定級保護工作。

為確保信息系統(tǒng)等級保護工作順利進行，外網(wǎng)工程辦領導高度重視，專門成立了有個主要業(yè)務部門負責人為成員的等級保護工作小組，全面負責工作的規(guī)劃、協(xié)調(diào)和指導，確定了外網(wǎng)工程版安全組為等級保護工作的牽頭部門，各部門分工協(xié)作。同時，為確保系統(tǒng)劃分和定級工作的準確性，2007年11月22日外網(wǎng)工程辦專門邀請專家，對定級工作進行專項指導。

2、積極做好定級各項工作

信息安全等級保護工作政策性強、技術要求高，時間有非常緊迫，為此，政務外網(wǎng)工程辦從3個方面抓好等級保護前期準備工作：一是積極參加公安部組織的等級保護培訓，領會與理解開展信息等級保護目的、意義與技術要求，系統(tǒng)的掌握信息安全等級保護的基礎知識、實施過程、頂級方法步驟和備案流程。二是多次組織人員開展內(nèi)部討論和交流，使人員較全面的了解等級保護的意義、基礎知識核定級方法。三是開展工程辦各組的業(yè)務應用摸底調(diào)查，摸清系統(tǒng)的系統(tǒng)機構、業(yè)務類型和應用范圍，并匯總整理政務外網(wǎng)各組成域的相關概況。

3、科學準確定級

在開展政務外網(wǎng)定級工作的過程中突出重點，全面分析政務外網(wǎng)網(wǎng)絡基礎平臺的特 點，力求準確劃定定級范圍和定級對象。在此基礎上，依據(jù)《信息安全等級保護管理辦法》，確定政務外網(wǎng)各組成組子系統(tǒng)（網(wǎng)絡域）的安全保護等級。

劃定定級對象。根據(jù)《信息系統(tǒng)安全等級保護定級指南》，外網(wǎng)工程辦多次組織技術和業(yè)務骨干召開專題會議討論信息系統(tǒng)劃分問題，提出了較為科學合理的信息系統(tǒng)劃分方案。

組織專家自評把關。根據(jù)等級保護評審的標準與要求，專家們對信息系統(tǒng)劃分和定級報告進行內(nèi)部評審，并給出了內(nèi)部評審意見。根據(jù)專家意見重新修訂并整理了等級保護定級報告及其相關材料。

此外，在頂級過程中，外網(wǎng)工程辦積極與公安部門等級保護主管部門進行溝通，并竟由相關專家確定定級對象與等級保護方案后，整理好了所有定級材料，準備下一步的正式評審。

4、定級對象和結果

根據(jù)政務外網(wǎng)作為基礎網(wǎng)絡平臺的特性，以及其接入系統(tǒng)的不同業(yè)務類型，政務外網(wǎng)按管理邊界劃分為中央政務外網(wǎng)、地方政務外網(wǎng)兩類管理域。中央政務外網(wǎng)按業(yè)務邊界劃分功能區(qū)，即公用網(wǎng)絡平臺區(qū)、專用VPN網(wǎng)絡區(qū)以及互聯(lián)網(wǎng)接入?yún)^(qū)，在各功能區(qū)內(nèi)又根據(jù)業(yè)務類型和系統(tǒng)服務的不同，確定了多個業(yè)務系統(tǒng)，主要有安全管理系統(tǒng)、應用平臺系統(tǒng)、網(wǎng)絡管理系統(tǒng)、郵件系統(tǒng)、VPN業(yè)務、互聯(lián)網(wǎng)數(shù)據(jù)中心等六個系統(tǒng)作為本次等級保護定級工作的定級對象，分別予以定級（確定等級結果如下表所示）。

表 國家電子政務外網(wǎng)業(yè)務信息系統(tǒng)定級對象和結果

第五章 基于等級保護的電子政務安全度量

本章針對安全管理的量化問題，建立了信息安全管理度量的層次結構模型，確定了信息安全管理度量要素及度量指標，設計了相應的度量方法及輔助調(diào)查工具——度量核查表。

5.1 信息安全度量現(xiàn)狀

信息安全“三分技術，七分管理”的思想目前已經(jīng)被廣泛接受，然而，在實際的安全實踐中，安全管理依然被人們忽視。導致這種局面的一個重要原因是安全管理的有效型難以度量。相對于安全技術，安全管理涉及到更多的領域，包含眾多的非量化的難以測量的因素，如規(guī)章制度度的制定和培訓、管理措施的落實、財政預算的支持等。因此，信息安全管理有效的度量繁雜乃至瑣碎，難度很大。具體實施過程中，對安全管理的度量主要依靠操作人員進行，度量的準確性往往依賴于操作人員的實踐經(jīng)驗、對相關標準的理解程度等。這些主觀因素往往導致度量結果不夠準確，不能真實反映安全管理上的弱點，也就不能有針對性的進行改進，從而降低了度量結果的可信度，進而影響甚至誤導信息安全的改進過程。

管理學上有如下原則：不能被測量的行為是不能被管理的。如何對安全管理進行有效的量化度量，根據(jù)量化的度量結果進一步指導安全管理，提高信息安全能力和水平，目前已經(jīng)成為信息安全領域的一個研究熱點。

2003年7月，NIST發(fā)布了SP800-55《信息技術系統(tǒng)安全度量指南》。該標準對安全管理度量定義如下：一種工具，被設計用來通過收集、分析和報告與性能相關的數(shù)據(jù)，以輔助決策、改善性能和可審計性?！缎畔⒓夹g系統(tǒng)安全度量指南》中結合NIST SP800-26《信息技術系統(tǒng)安全自我評估導則》中的安全控制目標和技術方法，對角色責任、度量定義、度量類型、度量開發(fā)和實施方法、度量項目的實施過程都做了描述，同時以附件形式給出了17種度量的模板。

SC27N4474:WD 27004(ISO/IEC27004草案)《信息安全管理度量機制和測量措施》中規(guī)定了測量項以及組織可能用于促進對ISMS管理的測量技術，該模型使用客觀信息來監(jiān)督和評審ISMS以及孔子措施的性能。

我國信息安全管理標準的研究比較落后。不僅已經(jīng)制定的少量標準大多沿用國際標準，而且很少直接參與到國際信息安全標準的制定當中，致使無法在國際標準的制定中體現(xiàn)我國國家利益，也只能加了參照國際標準制定相應國內(nèi)標準是的困難。目前在信息安全 管理度量標準方面的主要工作向是積極跟蹤國際信息安全管理度量方法和技術標準化的動態(tài)，系統(tǒng)研究信息安全度量方法和測量技術，抓緊制定相應的國內(nèi)安全管理度量標準，為我國信息安全管理體系建設提供基礎技術保障。

5.2 基于等級保護的安全管理度量方法的設計

安全管理度量的成功實施需要解決若干個關鍵問題。（1）度量要素、度量指標的選?。?）度量結果的量化

度量要素是評判信息安全管理是否有效的組成因素，所有度量要素的合理表現(xiàn)，就能構呈現(xiàn)出信息安全管理的效果。

度量指標是為考察各個度量要素而設計的核查項，單個的度量指標是安全管理的最小度量單位。通過對某度量要素所包含的若干指標的核查結果，能夠對該度量要素進行評估。

度量要素、度量指標的選取時前提條件，它為安全管理度量的實施準備工具。如果度量要素、度量指標集合不完備、不合理，將導致度量結果出現(xiàn)較大的偏差，進而影響信息安全管理目標的實現(xiàn);而量化則是對安全管理度量的進一步加工處理，以便從中發(fā)現(xiàn)問題，總計規(guī)律。

1、國家計算機等級保護標準GB17859 根據(jù)《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859），我國的信息安全劃分為五個級別，即用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級。五個級別以第一級用戶自主保護級為基礎，每級對信息安全的保護方法一步增強，保護范圍進一步擴大。

GB17859給出了對計算機信息系統(tǒng)實施五級保護的原則，并對各個級別的具體實施要求進行了目標上的闡述，但其本身并沒有提供如何評估某級別安全保護目標是否現(xiàn)得定量化指標。所以根據(jù)GB17859的實施要求有針對性的提出一個安全管理度量方法十分必要。

2、度量要素的選取

ISO/IEC17799確立的信息安全管理體系目前在國際上已經(jīng)成為通行的信息安全管理體系，它包含了安全方針的擬定、安全責任的歸屬、風險的評估與確定、強化安全參數(shù)及存取的控制，提供了10大管理方面，36個管理目標，127重安全控制供用戶選擇和使用。標準自公布以來，被多個國家政府機構及其他單位組織采用，受到良好的效果。

為保證度量的全面性與合理性，以ISO/IEC17799中的安全控制措施作為安全管理的度量要素，以保證能夠完成整覆蓋信息安全管理的各個環(huán)節(jié)。同時為每個度量要素設計了相應的度量指標（核查問題）集合，這樣就首先構造了一個安全管理度量要素的全集，以及一個度量指標的全集，其中，單個的度量指標是安全管理的最小度量單位。但在實際操 作中，由于各個信息系統(tǒng)對于安全的要求不同，需要對個度量要素全集和度量指標全集進一步裁剪以符合實際情況。以國家計算機等級保護標準G17859為依據(jù)，根據(jù)組織的信息系統(tǒng)所劃分的安全等級，從度量要素全集合度量指標全集中提取相應的度量要素子集、度量指標子集。安全管理度量的層次結構如下圖所示：

如上圖所示，度量要素包含若干個度量指標，即度量該要素的核查問題。度量指標是最小的測量單位，可以分別從規(guī)章制度、落實證據(jù)兩個方面進行設計。

（1）管理制度包括技術開發(fā)文檔、管理制度、操作規(guī)程以及其他與系統(tǒng)運行、維護、安全相關的所有文檔。

（2）落實證據(jù)包括會議紀要、各種登記表、值班日志、故障記錄、出入登記表等紙當文件，也包括對安全管理負責人、系統(tǒng)維護者、企業(yè)關公等的調(diào)查詢問結果。

對照ISO/IEC17799的章節(jié)結構設計安全管理度量核查表，如下表所示：

表 安全管理度量核查表

表中控制措施即為度量要素，核查問題即為度量標準。度量指標的安全類別劃分為與GB17859相對應的5級，如果待度量的信息系統(tǒng)的安全等級被劃分為二級，則表1中于每個度量要素對應的所有安全類別為二級以及以下的度量指標都應被提取出來，構成給度量要素的度量指標集合，進而構成此次度量的度量指標集合。

3、度量結果的量化與分析

顯然，定量化的數(shù)據(jù)及圖表在描述安全控制目標實現(xiàn)程度的變化趨勢，證明安全投資合理性方面比非量化的描述更具有優(yōu)勢。因此，試圖從度量要素和度量指標的量化工作出發(fā)，最后給出定量化的安全管理度量結果。在度量要素集合中，各個度量要素對于信息系 統(tǒng)安全的影響是不同。為是度量結果更真的反應安全管理的各個環(huán)節(jié)，需要為各個度量要素賦予不同的權重。類似的，每個度量要素的各指標也應該賦予不同的權重。

在統(tǒng)計信息系統(tǒng)安全管理度量的得分時，首先根據(jù)各個度量指標的得分統(tǒng)計加權得出每個度量要素的得分，然后再由各個度量要素得分的統(tǒng)計加權得出該組織的安全管理度量最后得分。

如上表所示，度量要素的各個度量指標（核查問題）的設計應該標準化，如均為單選選擇題，并知道那個簡單明確、無歧義的評分規(guī)則，如選答案“是”應得滿分M，選答案“否”為0分，選答案“一部分”得5分等。度量指標誰的標準優(yōu)化可保證度量結構不受度量實施人員主觀因素的干擾，維持客觀性。

安全管理度量應該定期進行。一段時間（如一年或一季度）內(nèi)的幾次安全管理度量的量化結果能夠表現(xiàn)安全控制目標實現(xiàn)程度隨時時間的變化趨勢（如下圖所示），幫助管理者識別抵消的安全控制，引導安全投資，提高安全管理水平，實現(xiàn)組織的信息安全目標。

第六章 總結

本論文主要研究的是基于互聯(lián)網(wǎng)的電子政務等級保護，首先討論了電子政務的現(xiàn)狀和主要問題，敘述了基于互聯(lián)網(wǎng)的電子政務等級保護的建設和研究。主旨是通過對此項問題的研究，對基于互聯(lián)網(wǎng)的電子政務等級保護有更深刻的了解，并且加深印象，對此項問題的研究起到推動作用。

隨著社會的發(fā)展，政府的網(wǎng)絡化越來越重要，使人民的政府成為一個民主的政府，透明的政府，是越來越需要的。

總結近年來的電子政務的發(fā)展，總體來說是相當不錯的，國家對此也十分注重，多次制定法律法規(guī)規(guī)范電子政務的發(fā)展以及應用，為電子政務在我國普及、發(fā)展提供了必要的條件，同時，也是人們對電子政務的重要性有了新的認識。

在未來的時間里，電子政務無疑會成為社會的主流，無論是政府還是企業(yè)，都會把發(fā)展電子政務作為首要問題。電子政務無疑已經(jīng)成為了一個成熟的企業(yè)、一個發(fā)達的國家的象征。

參考文獻

［１］ 馬作者：燕曹，周湛．信息安全法規(guī)與標準［Ｍ］．北京：機械工業(yè)出版社，２００４． ［２］ 羅海寧 郭紅 吳亞飛

國家電子政務外網(wǎng)安全等級保護定級工作基本完成 ［３］ 劉學忠 劉增良 余達太

基于等級保護的安全管理度量方法研究 ［４］ 孟源 楊宏

基于等級保護的電子政務外網(wǎng)整體安全解決方案 ［５］ 吳海波 有效保障電子政務安全

第二篇：蘭州互聯(lián)網(wǎng)等級保護工作總結

蘭州互聯(lián)網(wǎng)新聞中心2011年等保工作總結

根據(jù)信息安全等級保護工作要求，結合我單位工作實際需要，我們認真開展了信息安全自查工作，加強了信息系統(tǒng)的管理和維護，完善了系統(tǒng)軟硬件設施，實現(xiàn)了網(wǎng)站信息系統(tǒng)的安全運行。現(xiàn)將2011年信息安全自查工作開展情況總結如下：

一、信息安全保護工作現(xiàn)狀

1、制定信息安全保護規(guī)章制度，加強日常管理。在硬件安全方面，及時檢查防雷、防火、防盜和電源連接等情況；在網(wǎng)絡安全方面，加強網(wǎng)絡結構、安全日志、密碼和IP地址的管理；在應用安全方面，提高人員安全意識，增強系統(tǒng)操作的規(guī)范性。

2、平臺及網(wǎng)絡管理方面，購置了新式服務器，提高平臺性能，增強穩(wěn)定性；采用linux操作系統(tǒng)，更換原03操作系統(tǒng)，提升系統(tǒng)的安全性。更新數(shù)據(jù)庫，采用了功能更強大，性能更優(yōu)異，安全性更強的oracle數(shù)據(jù)庫。對平臺關鍵部位進行了雙機熱備份，加強了主站的可靠性。安裝硬件防火墻，隔離內(nèi)外網(wǎng)，進一步提高網(wǎng)絡安全。

3、系統(tǒng)操作權限方面，嚴格按系統(tǒng)使用所需，針對不同系統(tǒng)操作用戶的需求，劃分使用權限。制定了密碼定期更新機制，對用戶密碼按月更新，并采取9位數(shù)字加字符的設置方式提高密碼的健壯性。

二、自查中存在的問題

1、初步建立了信息安全規(guī)章制度，但還不完善，未能覆蓋到信息系統(tǒng)安全的所有方面。

2、專業(yè)技術人員較少，信息系統(tǒng)安全方面可投入的力量有限。

3、由于我單位處在創(chuàng)業(yè)起步階段，經(jīng)費相對緊張，信息系統(tǒng)建設和信息安全保護工作可投入的經(jīng)費不足。

三、整改方向

1、在今后的工作中，我們將進一步完善信息安全相關規(guī)章制度，實現(xiàn)信息安全的規(guī)范管理。

2、加強對計算機安全知識的培訓，定期開展信息安全檢查工作，提高人員安全防護意識。

3、積極爭取財政支持，購買相關設備，進一步擴大對信息安全工作的投入。

蘭州互聯(lián)網(wǎng)新聞中心 二〇一一年11月8日

第三篇：電子政務發(fā)展研究

電子政務發(fā)展研究

09信管2班03成雅婷

信息時代的國家競爭力最高評價標準已從過去的土地、原材料、技術、人才等變?yōu)橐孕畔⒛芰樽罡邊?shù)的評價標準系統(tǒng)。對信息的把握和支配能力,是影響國家競爭力的重大要素之一。利用信息網(wǎng)絡技術和其他相關技術構造更加適合時代要求的政府結構和運行方式,推行電子政務,深化行政體制改革顯得尤為重要。十六大報告指出了我國政府下一步改革的方向:“深化行政管理體制改革。進一步轉變政府職能,改進管理方式,推行電子政務,提高行政效率,降低行政成本,形成行為規(guī)范、運轉協(xié)調(diào)、公正透明、廉潔高效的行政管理體制?！碑斍拔覈媾R著重大的變革和挑戰(zhàn),但同時也更具備了進一步改革的思想基礎、方向指南與技術準備。作為技術創(chuàng)新與體制創(chuàng)新相結合的典范,電子政務在推動我國行政體制改革方面將發(fā)揮巨大的作用,具有深遠的歷史意義和重要的現(xiàn)實意義。

電子政務是政府管理方式的革命,它是運用信息以及通信技術打破行政機關的組織界限,構建一個電子化的虛擬機關,使公眾擺脫傳統(tǒng)的層層關卡以及書面審核的作業(yè)方式,并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時間及地點等,高效快捷地向人們提供各種不同的服務選擇。政府機關之間以及政府與社會各界之間也經(jīng)由各種電子化渠道進行相互溝通。

電子政務的建立將使政府社會服務職能得到最大程度的發(fā)揮,但也使政府敏感信息暴露在無孔不入的網(wǎng)絡威脅面前。由于電子政務信息網(wǎng)絡上有相當多的政府公文在流轉,其中不乏重要信息,內(nèi)部網(wǎng)絡上有著大量高度機密的數(shù)據(jù)和信息,直接涉及政府的核心政務,它關系到政府部門、各大系統(tǒng)乃至整個國家的利益,有的甚至涉及國家安全。因此,電子政務信息安全是制約電子政務建設與發(fā)展的首要問題和核心問題,是電子政務的職能與優(yōu)勢得以實現(xiàn)的根本前提。如果電子政務信息安全得不到保障,不僅電子政務的便利與效率無從保證,更會給國家利益帶來嚴重威脅。

一、我國電子政務建設的現(xiàn)狀

目前，我國電子政務建設的現(xiàn)狀大致表現(xiàn)在以下五個方面;

(1)縱橫成網(wǎng)、架構合理

電子政務的應用主體是各級政府及其職能部門，建設之初，我們都在遵循國務院辦公廳制定的“以需求為導向，以應用促發(fā)展，統(tǒng)一規(guī)劃，協(xié)同建設，資源共享，安全保密”的原則，結合省、市、區(qū)情況，按照國辦提出的規(guī)劃和技術指導書，緊緊貼近需求，由小到大，由淺人深，由單機到網(wǎng)絡，遞進發(fā)展，并已形成了一個“三網(wǎng)一庫”的科學架構。

(2)電子政府、雛形已具

電子政務建設中組建的“三網(wǎng)一庫，是一個有機結合的整體，各級政府機關與各級政府部門之間，通過“三網(wǎng)一庫”，使物理的政府“升華”成了一個虛擬的電子政府體系，使辦公效率提高、交換加快、決策走向科學、政令更加暢通。

(3)育有隊伍、擁有數(shù)據(jù)

經(jīng)過近十年的耕耘，政府機關的信息化建設已經(jīng)引起政府部門各級領導的關注，井且人員的結構也日趨合理，突出的特點是，人員知識結構的“兩棲化”，即這些同志既懂得機關行政管理業(yè)務，又熟悉計算機網(wǎng)絡知識和操作技能，現(xiàn)已成為政府機關辦公不可或缺的部門和力量。

(4)業(yè)內(nèi)認可、應用有序

由于中國政務信息化建設走了一條貼近需求、便捷實用的務實之路，使廣大公務員嘗到甜頭，既解放了生產(chǎn)力，又大大提高了辦公效率和輔助領導決策的水平，同時還使個人素質(zhì)一了一個檔次，從而調(diào)動了機關干部參與信息化建設的積極性。

(5)先行一步、優(yōu)勢無比

中國政務信息化系統(tǒng)，相對于其它領域的信息化系統(tǒng)而言，啟動較早，有連續(xù)性，應用扎實，系統(tǒng)可靠，安全性高，已成氣候，起到了帶頭示范作用。由于政府部門上下左右間的可干預性、協(xié)調(diào)性互動性以及對于其他信息系統(tǒng)數(shù)據(jù)索取的高權限性，使得他的發(fā)展壯大具有很強的優(yōu)勢。

二、我國電子政務存在的問題

從目前的發(fā)展情況看，國內(nèi)各政府職能部門的網(wǎng)絡基礎建設已經(jīng)初具規(guī)模，不同部門的局域網(wǎng)已經(jīng)基本搭建完成，有些地區(qū)已經(jīng)形成了城域網(wǎng)的基本雛形。從具體應用效果看，政府內(nèi)部通過網(wǎng)絡化溝通和信息共享，辦公效率大為提高。雖然近幾年我國電子政務取得了長足的進展，但還存在著不少問題，制約著我國

電子政務的進一步發(fā)展。

（一）對電子政務的性質(zhì)和地位認識不足在一些綱領性文件中，雖然也提出要加快政府行政管理信息化步伐，但是并沒有明確提出“電子政務”或“電子政府”的概念，而且還將“政府行政管理信息化”與“金融、財稅、貿(mào)易等領域的信息化”相區(qū)別。這表明，我們對電子政務的系統(tǒng)性及其在信息化建設當中的地位還缺乏足夠的認識。

實際上，電子政務是經(jīng)濟與社會信息化的先決條件。一個國家的信息化需要來自多方面力量的推進。政府作為國家組成及信息流的“中心節(jié)點”，在社會信息化的進程中起著責無旁貸而又無可替代的作用。

首先，政府是信息資源的最大擁有者，從我國現(xiàn)階段來看，政府的信息資源最多，占總信息資源的80%；同時政府也是信息通信技術的最大使用者。因此，信息化應該首先從政府開始，政府先要解決好自身的信息化問題。

其次，電子政務將帶動企業(yè)、社會信息化。一方面，在政府實現(xiàn)信息化之后，企業(yè)如果不及時轉變，便享受不到政府所提供的快捷、透明的信息化服務；而如果放棄政府所提供的各種信息資源，或者缺乏與信息化政府交往的有利手段和渠道，企業(yè)在市場中的競爭力自然就會受損。這就迫使企業(yè)也不得不信息化，與政府保持同步。另一方面，電子政務建設需要相應的網(wǎng)絡商、技術開發(fā)商的支持，這就為信息產(chǎn)業(yè)開辟了極大的商業(yè)市場，使得電子商務和電子政務找到了結合點，而電子商務的發(fā)展也將促進全社會的信息化。

第三，由于自身的特殊地位，電子政務能夠實現(xiàn)更大范圍的示范效應，特別是在信息化意識不夠主動的地方，政府更可以用相關的優(yōu)惠政策刺激民間信息化的發(fā)展；或者藉由自身的特殊權力，強制推動信息化的進程。

（二）缺乏統(tǒng)一規(guī)劃目前，電子政務的發(fā)展缺乏宏觀規(guī)劃，沒有提出明確的電子政務發(fā)展目標，也沒有制定相應的發(fā)展規(guī)劃。同時，“條塊分割”的管理體制與電子政務的統(tǒng)一性、開放性、交互性和規(guī)模經(jīng)濟等自然特性產(chǎn)生嚴重沖突，各級地方政府和部門在開展電子政務時往往各自為政，采用的標準也各不相同，業(yè)務內(nèi)容單調(diào)重復，造成新的重復建設。例如，在某些省會城市，省工商局、市工商局甚至區(qū)工商局同時建立各自的網(wǎng)站，給工商行政管理帶來混亂。即使是前面介紹的辦得比較成功的“海淀園數(shù)字園區(qū)”，其職能范圍也只僅限于中關村海

淀園區(qū)區(qū)內(nèi)的企業(yè)，出了這個地域范圍就不靈了。電子政務是一種新事物，涉及技術、產(chǎn)品、標準、管理等眾多領域。由于缺乏整體規(guī)劃，在宏觀層面上對各級政府及部門電子政務的建設也就不能進行很好的協(xié)調(diào)。

（三）基礎條件比較落后由于當前電信領域的改革尚未到位，計算機、有線電視和電信的“三網(wǎng)融合”遲遲實現(xiàn)不了，影響了我國電信基礎設施的建設步伐。各地政府的計算機、電信網(wǎng)絡設施的建設普及率不高，無線互聯(lián)網(wǎng)、數(shù)字電視和呼叫中心等數(shù)據(jù)通信設施基本上還處于起步階段，因此整體的物質(zhì)和技術條件還遠遠不能適應建設電子政務的需要。

我國在電子政務的立法方面也嚴重滯后，目前只是由行政機關對互聯(lián)網(wǎng)管理出臺了一些限制性的行政法規(guī)，而對于如何促進電子交易、使用電子簽名和電子支付還沒有制定相關的法律，在一定程度上也制約了電子政務的發(fā)展。“政府上網(wǎng)工程”有待深入1999年開始的“政府上網(wǎng)工程”（）取得了很大的成績，政府網(wǎng)站數(shù)量在短時間里成倍增長，對電子政務的發(fā)展起了很大的推動作用。但是，在這過程當中也存在著許多問題（政府上網(wǎng)工程秘書處，2000年1月，《政府上網(wǎng)工程白皮書》。），從內(nèi)容的組織、網(wǎng)頁制作到服務應用等方面都有待改進和完善。由于缺乏預算來源和合理的經(jīng)營機制，相當多的政府網(wǎng)站僅僅局限于把一些法律、法規(guī)、政策、條文從紙上搬到網(wǎng)上，公開的信息數(shù)量少，質(zhì)量也不高，網(wǎng)上信息更新很不及時，網(wǎng)頁與網(wǎng)頁之間的連接渠道少，各級政府的電子政務還沒有形成網(wǎng)絡。有些政府網(wǎng)站只重視了網(wǎng)頁介紹宣傳的靜態(tài)功能，而對于政府部門的信息未有動態(tài)的反映，也缺乏和用戶的交流溝通手段。群眾雖然從網(wǎng)上可以了解一些政務信息，但要辦理一些事務卻缺乏必要的渠道，政府與上網(wǎng)公民之間缺乏互動性、回應性

三、中國電子政務發(fā)展趨勢

這兩年來，盡管從市場發(fā)展速度來看，我國的電子政務發(fā)展較快，但是這并不表明我國的電子政務已經(jīng)發(fā)展到了一個較高的水平了。恰恰相反，由于“數(shù)字鴻溝”以及各種體制的障礙，我國電子政務的發(fā)展水平仍然較低。根據(jù)聯(lián)合國“2003年電子化政府完備程度”的調(diào)查，在173個成員國當中，我國排在第74位，只在中等水平。因此，我國的電子政務還面臨著一個大發(fā)展的問題。

四、近期內(nèi)應該采取的措施

為推動電子政務的發(fā)展，近期內(nèi)應該采取下列措施：

（一）加強宣傳，突破誤區(qū)。電子政務是近些年來隨著電子信息技術的發(fā)展和互聯(lián)網(wǎng)的出現(xiàn)才興起的一種新的政府管理方式，其概念、內(nèi)涵和特點尚不為大多數(shù)公務員所理解。實際上，從我國的現(xiàn)實情況來看，許多人對電子商務還是一知半解，對電子政務就更是一無所知了。因此，當前必須就電子政務與傳統(tǒng)的政府管理的差異、電子政務與辦公自動化的區(qū)別、電子政務對信息產(chǎn)業(yè)的引導作用等加強宣傳工作，破除各種錯誤認識，使各級領導樹立正確觀念。

（二）統(tǒng)一規(guī)劃，加強領導?？梢越梃b國外先進國家的經(jīng)驗，在國務院建立電子政務的領導機構，統(tǒng)一領導、組織中央政府和地方政府的電子政務建設。為此，可以推行“總體統(tǒng)籌、分工負責”制。“總體統(tǒng)籌”就是：國務院領導機構對全國政府信息化建設進行統(tǒng)一規(guī)劃，制定統(tǒng)一標準、相關政策法規(guī)及管理辦法，對重大工程的資金進行統(tǒng)籌安排?！胺止へ撠煛本褪牵焊鞑课⒏鞯胤桨凑战y(tǒng)一的規(guī)劃、標準，負責具體項目的實施。

（三）以發(fā)展電子政務、實現(xiàn)“電子政府”為目標，以政府機構改革為契機，改革政府管理模式，優(yōu)化業(yè)務工作流程。這是實現(xiàn)政務信息化的前提和基礎。實施電子政務工程不能簡單地將現(xiàn)有業(yè)務、辦公、辦事程序原封不動地搬上計算機，而是要對傳統(tǒng)的工作模式、工作方法、工作手段進行革新。

（四）整合政務信息資源，建設和改造政務數(shù)據(jù)庫。這是電子政務工程的關鍵和難點，必須打破各級政府和部門對信息的壟斷和封閉，整合政務信息資源，重視對信息資源的不斷開發(fā)、更新和維護；推動政府信息資源對社會的開放，使之發(fā)揮巨大的社會效益和經(jīng)濟效益。

（五）健全和完善政府專網(wǎng)，加快建設寬帶高速政務網(wǎng)絡系統(tǒng)。規(guī)劃、引導國家骨干通信網(wǎng)絡和社區(qū)寬帶網(wǎng)建設，促進無線上網(wǎng)、數(shù)字電視與呼叫中心等技術與市場的發(fā)展，加快各地“數(shù)字城市”和政務網(wǎng)絡系統(tǒng)建設，進一步改造各級政府與上級機關聯(lián)通的專用通訊網(wǎng)絡（政府專網(wǎng)）。

（六）吸引私人部門與非政府機構參與電子政務的建設，確保電子政務順利發(fā)展。在確保政務安全的前提下，可以考慮通過合理方式授權企業(yè)參與籌資、建設、運營和管理。這樣既可減輕政府部門的預算壓力，確保維持政府網(wǎng)站運行的資金來源，企業(yè)也可通過產(chǎn)品開發(fā)、技術咨詢與服務、數(shù)據(jù)的商業(yè)再開發(fā)而獲得

利潤。實際上，有些地方已經(jīng)嘗試過這種方式并獲得成功。建立電子政務研究、咨詢、統(tǒng)計和評估等方面的非政府機構，促進電子政務的改進與提高。

（七）加強電子政務的軟環(huán)境建設，制定相應的政策法規(guī)，保護網(wǎng)絡安全。發(fā)展電子政務，立法要先行。立法要從有利于信息技術發(fā)展、有利于電子政務開展的角度，解決電子政務發(fā)展中亟待解決的問題，如政務信息的公開、電子簽名、電子支付的合法性等，制定電子政務信息技術規(guī)范，并及時修改現(xiàn)有政策法規(guī)中與信息技術發(fā)展不相適應的成份。

第四篇：電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求

電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求 范圍

本標準規(guī)定了公眾電信網(wǎng)和互聯(lián)網(wǎng)的管理安全等級保護要求。

本標準適用于電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系中的各種網(wǎng)絡和系統(tǒng)。2 規(guī)范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準。然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本．凡是不注日期的引用文件，其最新版本適用于本標準。3 術語和定義

下列術語和定義適用于本標準。3.1

電信網(wǎng) Telecom Network

利用有線和，或無線的電磁、光電網(wǎng)絡，進行文字、聲音、數(shù)據(jù)、圖像或其他任何媒體的信息傳遞的網(wǎng)絡，包括固定通信網(wǎng)、移動通信網(wǎng)等。3.2

互聯(lián)網(wǎng) Internet

泛指由多個計算機網(wǎng)絡相互連接而形成的網(wǎng)絡，它是在功能和邏輯上組成的大型計算機網(wǎng)絡。3.3

安全等級 Security Classification

安全重要程度的表征．重要程度可從網(wǎng)絡受到破壞后，對國家安全、社會秩序、經(jīng)濟運行、公共利益、網(wǎng)絡和業(yè)務運營商造成的損害來衡量。4 管理安全等級保護要求 4.1 第1級要求

不作要求。4.2 第2級要求 4.2.1 安全管理制度 4.2.1.1 管理制度

a)應制定安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范圍、原則和安全框架等；

b)應對安全管理活動中重要的管理內(nèi)容建立安全管理制度； c)應對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。4.2.1.2 制定和發(fā)布

a)應指定或授權專門的部門或人員負責安全管理制度的制定；

b)應組織相關人員對制定的安全管理制度進行論證和審定； c)應將安全管理制度以某種方式發(fā)布到相關人員手中。4.2.1.3 評審和修訂

應定期對安全管理制度進行評審，對存在不足或需要改進的安全管理制度進行修訂。4.2.2 安全管理機構 4.2.2.1 崗位設置

a)應設立安全主管、安全管理各個方面的負責人崗位，定義各負責人的職責； b)應設立系統(tǒng)管理人員、網(wǎng)絡管理人員、安全管理員崗位，定義各個工作崗位的職責。4.2.2.2 人員配備

應配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡管理人員、安全管理員等。4.2.2.3 授權和審批

a)應根據(jù)各個部門和崗位的職責明確授權審批部門及批準人，對系統(tǒng)投入運行、網(wǎng)絡系統(tǒng)接入和重要資源的訪問等關鍵活動進行審批；

b)應針對關鍵活動建立審批流程，并由批準人簽字確認。4.2.2.4 溝通和合作

a)應加強各類管理人員之間、組織內(nèi)部機構之間以及網(wǎng)絡安全職熊部門內(nèi)部的合作與溝通；

b)應加強與相關外部單位的合作與溝通。4.2.2.5 審核和檢查

應由安全管理人員定期進行安全檢查，檢查內(nèi)容包括用戶賬號情況、系統(tǒng)漏洞情況、數(shù)據(jù)備份等情況。4.2.3 人員安全管理 4.2.3.1 人員錄用

a)應指定或授權專門的部門或人員負責人員錄用；

b)應規(guī)范人員錄用過程，對被錄用人員的身份、背景和專業(yè)資格等進行審查，對其所具有的技術技能進行考核；

c)應與從事關鍵崗位的人員簽署保密協(xié)議。4.2.3.2 人員離崗

a)應規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權限；

b)對于離崗人員，應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備； c)對于離崗人員，應辦理嚴格的調(diào)離手續(xù)。4.2.3.3 人員考核

應定期對各個崗位的人員進行安全技能及安全認知的考核。4.2.3.4 安全意識教育和培訓

a)應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓；

b)應告知人員相關的安全責任和懲戒措施，并對違反違背安全策略和規(guī)定的人員進行懲戒；

c)應制定安全教育和培訓計劃，對網(wǎng)絡安全基礎知識、崗位操作規(guī)程等進行培訓． 4.2.3.5 外部人員訪問管理

應確保在外部人員訪問受控區(qū)域前得到授權或審批，批準后由專人全程陪同或監(jiān)督，并登記備案。

4.2.4 安全建設管理 4.2.4.1 定級

a)應明確網(wǎng)絡的邊界和安全保護等級

b)應以書面的形式說明網(wǎng)絡確定為某個安全等級的方法和理由； c)應確保網(wǎng)絡的定級結果經(jīng)過相關部門的批準。4.2.4.2 安全方案設計

a)應根據(jù)網(wǎng)絡的安全保護等級選擇基本安全措施，依據(jù)風險分析的結果補充和調(diào)整安全措施； b)應以書面形式描述對網(wǎng)絡的安全保護要求、策略和措施等內(nèi)容，形成網(wǎng)絡的安全方案；

c)應對安全方案進行細化，形成能指導安全系統(tǒng)建設、安全產(chǎn)品采購和使用的詳細設計方案；

d)應組織相關部門和有關安全技術專家對安全設計方案的合理性和正確性進行論證和審定，并且經(jīng)過批準后，才能正式實施。4.2.4.3 產(chǎn)品采購和使用

a)應確保安全產(chǎn)品采購和使用符合固家的有關規(guī)定； b)應確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求； c)應指定或授權專門的部門負責產(chǎn)品的采購。4.2.4.4 自行軟件開發(fā)

a)應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開；

b)應制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準則； c)應確保提供軟件設計的相關文檔和使用指南，并由專人負責保管。4.2.4.5 外包軟件開發(fā)

a)應根據(jù)開發(fā)需求檢測軟件質(zhì)量；

b)應要求開發(fā)單位提供軟件設計的相關文檔和使用指南； c)應在軟件安裝之前檢測軟件包中可能存在的惡意代碼。4.2.4.6工程實施

a)應指定或授權專門的部門或人員負責工程實施過程的管理； b)應制定詳細的工程實施方案，控制工程實施過程。4.2.4.7 測試驗收

a)應對系統(tǒng)進行安全性測試驗收：

b)在測試驗收前應根據(jù)設計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應詳細記錄測試驗收結果，并形成測試驗收報告；

c)應組織相關部門和相關人員對網(wǎng)絡測試驗收報告進行審定，并簽字確認。4.2.4.8 交付

a)應制定網(wǎng)絡交付清單，并根據(jù)交付清單對所交接的設備、軟件和文檔等進行清點； b)應對負責網(wǎng)絡運行維護的技術人員進行相應的技能培訓；

c)應確保提供網(wǎng)絡建設過程中的文檔和指導用戶進行網(wǎng)絡運行維護的文檔。4.2.4.9 安全服務商的選擇

a)應確保安全服務商的選擇符合國家的有關規(guī)定；

b)應與選定的安全服務商簽訂與安全相關的協(xié)議，明確約定相關責任；

c)應確保選定的安全服務商提供技術支持和服務承諾，必要時與其簽訂服務合同。4.2.4.10 備案

應將網(wǎng)絡的定級、屬性等資料指定專門的人員或部門負責管理，并控制這些材料的使用。4.2.5 安全運維管理 4.2.5.1 環(huán)境管理

a)應指定專門的部門或人員定期對機房供配電、空調(diào)、溫濕度控制等設施進行維護管理；

b)應配備機房安全管理人員，對機房的出入、服務器的開機或關機等工作進行管理；

c)應建立機房安全管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定；

d)應加強對辦公環(huán)境的保密性管理，包括工作人員調(diào)離辦公室應立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等。4.2.5.2 資產(chǎn)管理

a)應編制與網(wǎng)絡相關的資產(chǎn)清單，包括資產(chǎn)責任部門、重要程度和所處位置等內(nèi)容； b)應建立資產(chǎn)安全管理制度-規(guī)定資產(chǎn)管理的責任人員或責任部門，并規(guī)范資產(chǎn)管理和使用的行為。4.2.5.3 介質(zhì)管理

a)應確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制和保護，并實行存儲環(huán)境專人管理；

b)應對介質(zhì)歸檔和查詢等過程進行記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點； c)應對需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止信息的非法泄漏； d)應根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標識管理。4.2.5.4 設備管理

a)應對網(wǎng)絡相關的各種設備（包括備份和冗余設備）、線路等指定專門的部門或人員定期進行維護管理；

b)應建立基于申報、審批和專人負責的設備安全管理制度，對各種軟硬件設備的選型、采購、發(fā)放和領用等過程進行規(guī)范化管理；

c)應對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡等設備的操作和使用進行規(guī)范化管理，按操作規(guī)程實現(xiàn)關鍵設備（包括備份和冗余設備）的啟動，停止、加電，斷電等操作； d)應確保信息處理設備必須經(jīng)過審批才能帶離機房或辦公地點。4.2.5.5 網(wǎng)絡安全管理

a)應指定人員對網(wǎng)絡進行管理，負責運行日志、網(wǎng)絡監(jiān)控記錄的日常維護和報警信息分析和處理工作；

b)應建立網(wǎng)絡安全管理制度，對網(wǎng)絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定；

c)應根據(jù)廠家提供的軟件升級版本對網(wǎng)絡設備進行更新，并在更新前對現(xiàn)有的重要文件進行備份；

d)應定期對網(wǎng)絡系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)安全漏洞進行及時的修補； e)應對網(wǎng)絡設備的配置文件進行定期備份； f)應保證所有與外部系統(tǒng)的連接均得到授權和批準。4.2.5.6 系統(tǒng)安全管理

a)應根據(jù)業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略； b)應定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補；

c)應安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補丁前，應首先在測試環(huán)境中測試通過，并對重要文件進行備份后，方可實施系統(tǒng)補丁程序的安裝；

d)應建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定；

e)應依據(jù)操作手冊對系統(tǒng)進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數(shù)的設置和修改等內(nèi)容，嚴禁進行未經(jīng)授權的操作； f)應定期對運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn)異常行為。4.2.5.7 惡意代碼防范管理 a)應提高所有用戶的防病毒意識，告知及時升級防病毒軟件，在讀取移動存儲設備上的數(shù)據(jù)以及從網(wǎng)絡上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設備接入網(wǎng)絡系統(tǒng)之前也，直進行病毒檢查；

b)應指定專人對網(wǎng)絡和主機進行惡意代碼檢測并保存檢測記錄；

c)應對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定。4.2.5.8 密碼管理

應使用符合國家密碼管理規(guī)定的密碼技術和產(chǎn)品。4.2.5.9 變更管理

a)應確認網(wǎng)絡中要發(fā)生的重要變更，并制定相應的變更方案；

b)網(wǎng)絡發(fā)生重要變更前，應向主管領導申請，審批后方可實施變更，并在實施后向相關人員通告。

4.2.5.10 備份與恢復管理

a)應識別需要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；

b)應規(guī)定備份信息的備份方式（如增量備份或全備份等）、備份頻度（如每日或每周等）、存儲介質(zhì)、保存期等；

c)應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復策略，備份策略應指明各份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒ā?/p>

4.2.5.11 安全事件處置

a)應報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下用戶均不應嘗試驗證弱點； b)應制定安全事件報告和處置管理制度，明確安全事件類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責；

c)應根據(jù)安全事件對本網(wǎng)絡產(chǎn)生的影響，對本網(wǎng)絡安全事件進行等級劃分； d)應記錄并保存所有報告的安全弱點和可疑事件，分析事件原因，監(jiān)督事態(tài)發(fā)展，采取措施避免安全事件發(fā)生。4.2.5.12 應急預察管理

a)應在統(tǒng)一的應急預案框架下制定不同事件的應急預案，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內(nèi)容；

b)應對相關的人員進行應急預案培訓，應急預案的培訓應至少每年舉辦一次。4.3 第3.1級要求 4.3.1 安全管理制度 4.3.1.1 管理制度

除滿足4.2.1.1的要求之外，還應滿足：

a)應對安全管理活動中的各類管理內(nèi)窖建立安全管理制度，以規(guī)范安全管理活動； b)應形成由安全策略、管理制度、操作規(guī)程等構成的全面的安全管理制度體系。4.3.1.2 制定和發(fā)布

除滿足4.2.1.2的要求之外，還應滿足：

a)安全管理制度應有統(tǒng)一的格式，并進行版本控制； b)安全管理制度應通過正式、有效的方式發(fā)布； c)安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記． 4.3.1.3 評審和修訂

除滿足4.2.1.3的要求之外，還應滿足：

a)安全領導小組應負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定；

b)應定期或不定期對安全管理制度進行檢查和審定。4.3.2 安全管理機構 4.3.2.1 崗位設置

除滿足4.2.2.1的要求之外，還應滿足。a)應設立安全管理工作的職能部門；

b)應成立指導和管理安全工作的委員會或領導小組，其最高領導應由單位主管領導委任或授權；

c)應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求． 4.3.2.2 人員配備

除滿足4.2.2.2的要求之外，還應滿足： a)應配備專職安全管理員，不可兼任； b)關鍵事務崗位應配備多人共同管理。4.3.2.3 授權和審批

除滿足4.2.2.3的要求之外，還應滿足：

a)應根據(jù)各個部門和崗位的職責明確授權審批事項；

b)應針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度；

c)應定期審查審批事項，及時更新需授權和審批的項目、審批部門和審批人等信息； d)應記錄審批過程并保存審批文檔。4.3.2.4 溝通相合作

除滿足4.2.2.4的要求之外，還應滿足。

a)各類管理人員之間、組織內(nèi)部機構之間以及網(wǎng)絡安全職能部門內(nèi)部定期或不定期召開協(xié)調(diào)會議，共同協(xié)作處理網(wǎng)絡安全問題；

b)應建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；

c)應聘請網(wǎng)絡安全專家作為常年的安全顧問，指導網(wǎng)絡安全建設，參與安全規(guī)劃和安全評審等。

4.3.2.5 審核和檢查

除滿足4.2.2.5的要求之外，還應滿足：

a)應由內(nèi)部人員或上級單位定期進行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；

b)應制定安全檢查表格實施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結果進行通報；

c)應制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動。4.3.3 人員安全管理 4.3.3.1 人員錄用

除滿足4.2.3.1的要求之外，還應滿足。

a)應嚴格規(guī)范人員錄用過程，對被錄用人的資質(zhì)等進行審查； b)應簽署保密協(xié)議； c)應從內(nèi)部人員中選拔從事關鍵崗位的人員，并簽署崗位安全協(xié)議。4.3.3.2 人員離崗

除滿足4.2.3.2的要求之外，還應滿足。

關鍵崗位人員離崗須承諾調(diào)離后的保密義務后方可離開。4.3.3.3 人員考核

除滿足4.2.3.3的要求之外，還應滿足：

a)應對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核； b)應對考核結果進行記錄并保存。4.3.3.4 安全意識教育和培訓

除滿足4.2.3.4的要求之外，還應滿足： a)應對安全責任和懲戒措施進行書面規(guī)定；

b)應對定期安全教育和培訓進行書面規(guī)定，針對不同崗位制定不同的培訓計劃； c)應對安全教育和培訓的情況和結果進行記錄并歸檔保存。4.3.3.5 外部人員訪問管理

除滿足4.2.3.5的要求之外，還應滿足；

a)應確保在外部人員訪問受控區(qū)域前先提出書面申請；

b)對外部人員允許訪問的區(qū)域、網(wǎng)絡、設備、信息等內(nèi)容應進行書面的規(guī)定，并按照規(guī)定執(zhí)行。

4.3.4 安全建設管理 4.3.4.1 定級

除滿足4.2.4,1的要求之外，還應滿足：

a)應組織相關部門和有關安全技術專家對網(wǎng)絡定級結果的合理性和正確性進行論證和審定；

b)應將網(wǎng)絡的定級結果分級上報至全國或地區(qū)的主管部門，主管部門對定級結果審批。

4.3.4.2 安全方案設計

除滿足4.2.4.2的要求之外，還應滿足： a)應指定和授權專門的部門對網(wǎng)絡的安全建設進行總體規(guī)劃，制定近期和遠期的安全建設工作計劃；

b)應根據(jù)網(wǎng)絡的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃和詳細設計方案，并形成配套文件；

c)應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理鑲略、總體建設規(guī)劃、詳細設計方案等相關配套文件的合理性和正確性進行論證和審定，并且經(jīng)過批準后，才能正式實施；

d)應根據(jù)等級測評、安全評估的結果定期調(diào)整和慘訂總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件。4.3.4.3 產(chǎn)品采購和使用

除滿足4.2.4.3的要求之外，還應滿足：

應預先對產(chǎn)品進行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。4.3.4.4 自行軟件開發(fā)

除滿足4.2.4.4的要求之外，還應滿足：

a)應確保開發(fā)人員和測試人員分離，測試數(shù)據(jù)和測試結果受到控制； b)應制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼； c)應確保對程序資源庫的修改、更新、發(fā)布進行授權和批準。4.3.4.5 外包軟件開發(fā)

與4.2.4.5的要求相同。4.3.4.6 工程實施

除滿足4.2.4.6的要求之外，還應滿足： a)要求工程實施單位能正確地執(zhí)行安全工程過程；

b)應制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準則。4.3.4.7 測試驗收

除滿足4.2.4.7的要求之外，還應滿足：

a)應委托公正的第三方測試單位對網(wǎng)絡進行安全性測試，并出具安全性測試報告； b)應對系統(tǒng)測試驗收的控制方法和人員行為準則進行書面規(guī)定； c)應指定或授權專門韻部門負責系統(tǒng)測試驗收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作。4.3.4.8 交付

除滿足4.2.4.8的要求之外，還應滿足；

a)應對網(wǎng)絡交付的控制方法和人員行為準則進行書面規(guī)定；

b)應指定或授權專門的部門負責網(wǎng)絡交付的管理工作，并按照管理規(guī)定的要求完成交付工作；

c)在網(wǎng)絡正式投入使用前，應根據(jù)實際情況進行試運行，試運行期間應提供相關應急預防措施；

d)在網(wǎng)絡正式投入使用后，應對開發(fā)、建設過程中涉及安全要求的配置、口令等內(nèi)容重新修改、設定。

4.3.4.9 安全服務商的選擇

與4.2.4.9的要求相同。4.3.4.10 備案

除滿足4.2.4.10的要求之外，還應滿足：

應將網(wǎng)絡的安全等級、屬性、定級的理由等資料分級上報至全國或地區(qū)的主管部門備案。4.3.4.11 等級測評

a)在網(wǎng)絡運行過程中，應至少每年對網(wǎng)絡進行一次等級測評，發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改；

b)應在網(wǎng)絡發(fā)生變更時及時對網(wǎng)絡進行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進行安全改造，發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改；

c)應選擇具有國家相關技術資質(zhì)和安全資質(zhì)的測評單位進行等級測評； d)應指定或授權專門的部門或人員負責等級測評的管理。4.3.5 安全運維管理 4.3.5.1 環(huán)境管理

除滿足4.2.5.1的要求之外，還應滿足：

a)應有指定的部門負責機房安全，并配置電子門禁系統(tǒng)，對機房來訪人員實行登記記錄和電子記錄雙重備案管理。b)工作人員離開座位應確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件。

4.3.5.2 資產(chǎn)管理

除滿足4.2.5.2的要求之外，還應滿足：

a)應根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識管理，根據(jù)資產(chǎn)的價值選擇相應的管理措施；

b)應對信息分類與標識方法作出規(guī)定，并對信息的使用、傳輸和存儲等進行規(guī)范化管理。

4.3.5.3 介質(zhì)管理

除滿足4.2，5.3的要求之外，還應滿足：

a)應建立介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、維護和銷毀等方面作出規(guī)定： b)應對介質(zhì)的物理傳輸過程中人員選擇、打包、交付等情況進行控制；

c)應對存儲介質(zhì)的使用過程進行嚴格的管理，對帶出工作環(huán)境的存儲介質(zhì)進行內(nèi)容加密和監(jiān)控管理，對保密性較高的存儲介質(zhì)未經(jīng)批準不得自行銷毀；

d)應根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存儲，存儲地的環(huán)境要求和管理方法應與本地相同；

c)應對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲。4.3.5.4 設備管理

除滿足4.2.5.4的要求之外，還應滿足：

應建立配套設施、軟硬件維護方面的管理制度，對其維護進行有效的管理，包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監(jiān)督控制等。4.3.5.5 監(jiān)控管理

a)應對通信線路、主機、網(wǎng)絡設備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警，形成記錄并妥善保存；

b)應組織相關人員定期對監(jiān)測和報警記錄進行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報告，并采取必要的應對措施；

c)應建立安全管理中心，對設備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理。4.3.5.6 網(wǎng)絡安全管理 除滿足4.2.5.5的要求之外，還應滿足：

a)應實現(xiàn)設備的最小服務配置，并對配置文件進行定期離線備份； b)應依據(jù)安全策略允許或者拒絕便攜式和移動式設備的網(wǎng)絡接入： c)應定期檢查違反規(guī)定撥號上闞或其他違反網(wǎng)絡安全策略的行為。4.3.5.7 系統(tǒng)安全管理

除滿足4.2.5.6的要求之外，還應滿足：

應指定專人對系統(tǒng)進行管理，劃分系統(tǒng)管理員角色，明確各個角色的權限、責任和風險，權限設定應當遵循最小授權原則。4.3.5.8 惡意代碼防范管理

除滿足4.2.5.7的要求之外，還應滿足：

應定期檢查網(wǎng)絡內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進行記錄，對主機防病毒產(chǎn)品、防病毒網(wǎng)關和郵件防病毒網(wǎng)關上截獲的危險病毒或惡意代碼進行及時分析處理，并形成書面的報表和總結匯報。4.3.5.9 密碼管理

除滿足4.2.5.8的要求之外，還應滿足：

應建立密碼使用管理制度。4.3.5.10 變更管理

除滿足4.2.5.9的要求之外，還應滿足：

a)應建立變更管理制度，變更和變更方案需有評審過程；

b)應建立變更控制的申報和審批文件化程序，對變更影響進行分析并文檔化，記錄變更實施過程，并妥善保存所有文檔和記錄；

c)應建立中止變更并從失敗變更中恢復的文件化程序，明確過程控制方法和人員職責，必要時對恢復過程進行演練。4.3.5.11 備份與恢復管理

除滿足4.2.5.10的要求之外，還應滿足： a)應建立備份與恢復管理相關的安全管理制度；

b)應建立控制數(shù)據(jù)備份和恢復過程的程序，對備份過程進行記錄，所有文件和記錄應妥善保存； c)應定期執(zhí)行恢復程序，檢查和測試備份介質(zhì)的有效性，確?？梢栽诨謴统绦蛞?guī)定的時間內(nèi)完成備份的恢復。4.3.5.12 安全事件處置

除滿足4.2.5.11的要求之外，還應滿足：

a)應制定安全事件報告和響應處理程序，確定事件的報告流程，響應和處置的范圍、程度，以及處理方法等；

b)應在安全事件報告和響應處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結經(jīng)驗教訓，制定防止再次發(fā)生的補救措施，過程形成的所有文件和記錄均應妥善保存；

c)對造成系統(tǒng)中斷和造成信息泄密的安全事件應采用不同的處理程序和報告程序。4.3.5.13 應急預案管理

除滿足4.2.5.12的要求之外，還應滿足：

a)應從人力、設備、技術和財務等方面確保應急預案的執(zhí)行有足夠的資源保障； b)應定期對應急預案進行演練，根據(jù)不同的應急恢復內(nèi)容，確定演練的周期； c)應規(guī)定應急預案需要定期審查和根據(jù)實際情況更新的內(nèi)容，并按照執(zhí)行。4.4 第3.2級要求

與第3.1級要求相同。

4.5 第4圾要求

同第3.2級要求。4.6 第5級要求

待補充。

第五篇：安全等級保護管理辦法

安全等級保護管理辦法

為規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關法律法規(guī)制定以下辦法：

第1條 網(wǎng)絡安全策略管理由安全保密管理員專職負責，未經(jīng)允許任何人不得進行此項操作。

第2條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求及主機審計系統(tǒng)數(shù)據(jù)的分析結果，制定、配置、修改、刪除主機審計系統(tǒng)的各項管理策略，并做記錄。

第3條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除網(wǎng)絡安全評估分析系統(tǒng)的各項管理策略，并做記錄。

第4條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除入侵檢測系統(tǒng)的各項管理策略，并做記錄。

第5條 根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)的各項管理策略，并做記錄。

第6條 每周對網(wǎng)絡信息系統(tǒng)安全管理策略進行數(shù)據(jù)備份，并作詳細記錄。第7條 網(wǎng)絡信息安全技術防護系統(tǒng)（主機審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)）由網(wǎng)絡安全保密管理員統(tǒng)一負責安裝和卸載。

第8條 網(wǎng)絡信息系統(tǒng)安全檢查由安全保密管理員專職負責執(zhí)行，未經(jīng)允許任何人不得進行此項操作。

第9條 每天根據(jù)入侵檢測系統(tǒng)的系統(tǒng)策略檢測、審計系統(tǒng)日志，檢查是否有網(wǎng)絡攻擊、異常操作、不正常數(shù)據(jù)流量等，對異常情況做及時處理，遇有重大安全問題上報保密局，并做詳細記錄。

第10條 每周登陸入侵檢測系統(tǒng)產(chǎn)品網(wǎng)站，下載最新升級文件包，對系統(tǒng)進行更新，并做詳細記錄。

第11條 每月通過漏洞掃描系統(tǒng)對網(wǎng)絡系統(tǒng)終端進行安全評估分析，并對掃描結果進行分析，及時對終端系統(tǒng)漏洞及安全隱患進行處理，作詳細記錄，并將安全評估分析報告上報保密辦。

第12條 每周登錄全評估產(chǎn)品網(wǎng)站，下載最新升級文件包，對系統(tǒng)進行更新，并作詳細記錄。

第13條 每周備份入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)的審計信息，并作詳細記錄。第14條 涉密計算機安全管理由安全保密管理員專人負責，未經(jīng)允許任何人不得進行此項操作。

第15條 根據(jù)網(wǎng)絡系統(tǒng)安全設計要求制定、修改、刪除涉密計算機安全審計策略，包括打印控制策略、外設輸入輸出控制策略、應用程序控制策略，并做記錄。

第16條 每日對涉密計算機進行安全審計，及時處理安全問題，并做詳細記錄，遇有重大問題上報保密部門。

第17條 涉密計算機的新增、變更、淘汰需經(jīng)保密部門審批，審批通過后由安全保密管理員統(tǒng)一進行操作，并做詳細記錄。

第18條 新增涉密計算機聯(lián)入涉密網(wǎng)絡，需經(jīng)保密局審批，由安全保密管理員統(tǒng)一進行操作，并做詳細記錄。