第一篇：電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求

電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求 范圍

本標準規(guī)定了公眾電信網(wǎng)和互聯(lián)網(wǎng)的管理安全等級保護要求。

本標準適用于電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系中的各種網(wǎng)絡和系統(tǒng)。2 規(guī)范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準。然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本．凡是不注日期的引用文件，其最新版本適用于本標準。3 術語和定義

下列術語和定義適用于本標準。3.1

電信網(wǎng) Telecom Network

利用有線和，或無線的電磁、光電網(wǎng)絡，進行文字、聲音、數(shù)據(jù)、圖像或其他任何媒體的信息傳遞的網(wǎng)絡，包括固定通信網(wǎng)、移動通信網(wǎng)等。3.2

互聯(lián)網(wǎng) Internet

泛指由多個計算機網(wǎng)絡相互連接而形成的網(wǎng)絡，它是在功能和邏輯上組成的大型計算機網(wǎng)絡。3.3

安全等級 Security Classification

安全重要程度的表征．重要程度可從網(wǎng)絡受到破壞后，對國家安全、社會秩序、經濟運行、公共利益、網(wǎng)絡和業(yè)務運營商造成的損害來衡量。4 管理安全等級保護要求 4.1 第1級要求

不作要求。4.2 第2級要求 4.2.1 安全管理制度 4.2.1.1 管理制度

a)應制定安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范圍、原則和安全框架等；

b)應對安全管理活動中重要的管理內容建立安全管理制度； c)應對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。4.2.1.2 制定和發(fā)布

a)應指定或授權專門的部門或人員負責安全管理制度的制定；

b)應組織相關人員對制定的安全管理制度進行論證和審定； c)應將安全管理制度以某種方式發(fā)布到相關人員手中。4.2.1.3 評審和修訂

應定期對安全管理制度進行評審，對存在不足或需要改進的安全管理制度進行修訂。4.2.2 安全管理機構 4.2.2.1 崗位設置

a)應設立安全主管、安全管理各個方面的負責人崗位，定義各負責人的職責； b)應設立系統(tǒng)管理人員、網(wǎng)絡管理人員、安全管理員崗位，定義各個工作崗位的職責。4.2.2.2 人員配備

應配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡管理人員、安全管理員等。4.2.2.3 授權和審批

a)應根據(jù)各個部門和崗位的職責明確授權審批部門及批準人，對系統(tǒng)投入運行、網(wǎng)絡系統(tǒng)接入和重要資源的訪問等關鍵活動進行審批；

b)應針對關鍵活動建立審批流程，并由批準人簽字確認。4.2.2.4 溝通和合作

a)應加強各類管理人員之間、組織內部機構之間以及網(wǎng)絡安全職熊部門內部的合作與溝通；

b)應加強與相關外部單位的合作與溝通。4.2.2.5 審核和檢查

應由安全管理人員定期進行安全檢查，檢查內容包括用戶賬號情況、系統(tǒng)漏洞情況、數(shù)據(jù)備份等情況。4.2.3 人員安全管理 4.2.3.1 人員錄用

a)應指定或授權專門的部門或人員負責人員錄用；

b)應規(guī)范人員錄用過程，對被錄用人員的身份、背景和專業(yè)資格等進行審查，對其所具有的技術技能進行考核；

c)應與從事關鍵崗位的人員簽署保密協(xié)議。4.2.3.2 人員離崗

a)應規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權限；

b)對于離崗人員，應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備； c)對于離崗人員，應辦理嚴格的調離手續(xù)。4.2.3.3 人員考核

應定期對各個崗位的人員進行安全技能及安全認知的考核。4.2.3.4 安全意識教育和培訓

a)應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓；

b)應告知人員相關的安全責任和懲戒措施，并對違反違背安全策略和規(guī)定的人員進行懲戒；

c)應制定安全教育和培訓計劃，對網(wǎng)絡安全基礎知識、崗位操作規(guī)程等進行培訓． 4.2.3.5 外部人員訪問管理

應確保在外部人員訪問受控區(qū)域前得到授權或審批，批準后由專人全程陪同或監(jiān)督，并登記備案。

4.2.4 安全建設管理 4.2.4.1 定級

a)應明確網(wǎng)絡的邊界和安全保護等級

b)應以書面的形式說明網(wǎng)絡確定為某個安全等級的方法和理由； c)應確保網(wǎng)絡的定級結果經過相關部門的批準。4.2.4.2 安全方案設計

a)應根據(jù)網(wǎng)絡的安全保護等級選擇基本安全措施，依據(jù)風險分析的結果補充和調整安全措施； b)應以書面形式描述對網(wǎng)絡的安全保護要求、策略和措施等內容，形成網(wǎng)絡的安全方案；

c)應對安全方案進行細化，形成能指導安全系統(tǒng)建設、安全產品采購和使用的詳細設計方案；

d)應組織相關部門和有關安全技術專家對安全設計方案的合理性和正確性進行論證和審定，并且經過批準后，才能正式實施。4.2.4.3 產品采購和使用

a)應確保安全產品采購和使用符合固家的有關規(guī)定； b)應確保密碼產品采購和使用符合國家密碼主管部門的要求； c)應指定或授權專門的部門負責產品的采購。4.2.4.4 自行軟件開發(fā)

a)應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開；

b)應制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準則； c)應確保提供軟件設計的相關文檔和使用指南，并由專人負責保管。4.2.4.5 外包軟件開發(fā)

a)應根據(jù)開發(fā)需求檢測軟件質量；

b)應要求開發(fā)單位提供軟件設計的相關文檔和使用指南； c)應在軟件安裝之前檢測軟件包中可能存在的惡意代碼。4.2.4.6工程實施

a)應指定或授權專門的部門或人員負責工程實施過程的管理； b)應制定詳細的工程實施方案，控制工程實施過程。4.2.4.7 測試驗收

a)應對系統(tǒng)進行安全性測試驗收：

b)在測試驗收前應根據(jù)設計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應詳細記錄測試驗收結果，并形成測試驗收報告；

c)應組織相關部門和相關人員對網(wǎng)絡測試驗收報告進行審定，并簽字確認。4.2.4.8 交付

a)應制定網(wǎng)絡交付清單，并根據(jù)交付清單對所交接的設備、軟件和文檔等進行清點； b)應對負責網(wǎng)絡運行維護的技術人員進行相應的技能培訓；

c)應確保提供網(wǎng)絡建設過程中的文檔和指導用戶進行網(wǎng)絡運行維護的文檔。4.2.4.9 安全服務商的選擇

a)應確保安全服務商的選擇符合國家的有關規(guī)定；

b)應與選定的安全服務商簽訂與安全相關的協(xié)議，明確約定相關責任；

c)應確保選定的安全服務商提供技術支持和服務承諾，必要時與其簽訂服務合同。4.2.4.10 備案

應將網(wǎng)絡的定級、屬性等資料指定專門的人員或部門負責管理，并控制這些材料的使用。4.2.5 安全運維管理 4.2.5.1 環(huán)境管理

a)應指定專門的部門或人員定期對機房供配電、空調、溫濕度控制等設施進行維護管理；

b)應配備機房安全管理人員，對機房的出入、服務器的開機或關機等工作進行管理；

c)應建立機房安全管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定；

d)應加強對辦公環(huán)境的保密性管理，包括工作人員調離辦公室應立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等。4.2.5.2 資產管理

a)應編制與網(wǎng)絡相關的資產清單，包括資產責任部門、重要程度和所處位置等內容； b)應建立資產安全管理制度-規(guī)定資產管理的責任人員或責任部門，并規(guī)范資產管理和使用的行為。4.2.5.3 介質管理

a)應確保介質存放在安全的環(huán)境中，對各類介質進行控制和保護，并實行存儲環(huán)境專人管理；

b)應對介質歸檔和查詢等過程進行記錄，并根據(jù)存檔介質的目錄清單定期盤點； c)應對需要送出維修或銷毀的介質，首先清除其中的敏感數(shù)據(jù)，防止信息的非法泄漏； d)應根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質進行分類和標識管理。4.2.5.4 設備管理

a)應對網(wǎng)絡相關的各種設備（包括備份和冗余設備）、線路等指定專門的部門或人員定期進行維護管理；

b)應建立基于申報、審批和專人負責的設備安全管理制度，對各種軟硬件設備的選型、采購、發(fā)放和領用等過程進行規(guī)范化管理；

c)應對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡等設備的操作和使用進行規(guī)范化管理，按操作規(guī)程實現(xiàn)關鍵設備（包括備份和冗余設備）的啟動，停止、加電，斷電等操作； d)應確保信息處理設備必須經過審批才能帶離機房或辦公地點。4.2.5.5 網(wǎng)絡安全管理

a)應指定人員對網(wǎng)絡進行管理，負責運行日志、網(wǎng)絡監(jiān)控記錄的日常維護和報警信息分析和處理工作；

b)應建立網(wǎng)絡安全管理制度，對網(wǎng)絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規(guī)定；

c)應根據(jù)廠家提供的軟件升級版本對網(wǎng)絡設備進行更新，并在更新前對現(xiàn)有的重要文件進行備份；

d)應定期對網(wǎng)絡系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)安全漏洞進行及時的修補； e)應對網(wǎng)絡設備的配置文件進行定期備份； f)應保證所有與外部系統(tǒng)的連接均得到授權和批準。4.2.5.6 系統(tǒng)安全管理

a)應根據(jù)業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略； b)應定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補；

c)應安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補丁前，應首先在測試環(huán)境中測試通過，并對重要文件進行備份后，方可實施系統(tǒng)補丁程序的安裝；

d)應建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定；

e)應依據(jù)操作手冊對系統(tǒng)進行維護，詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數(shù)的設置和修改等內容，嚴禁進行未經授權的操作； f)應定期對運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn)異常行為。4.2.5.7 惡意代碼防范管理 a)應提高所有用戶的防病毒意識，告知及時升級防病毒軟件，在讀取移動存儲設備上的數(shù)據(jù)以及從網(wǎng)絡上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設備接入網(wǎng)絡系統(tǒng)之前也，直進行病毒檢查；

b)應指定專人對網(wǎng)絡和主機進行惡意代碼檢測并保存檢測記錄；

c)應對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確規(guī)定。4.2.5.8 密碼管理

應使用符合國家密碼管理規(guī)定的密碼技術和產品。4.2.5.9 變更管理

a)應確認網(wǎng)絡中要發(fā)生的重要變更，并制定相應的變更方案；

b)網(wǎng)絡發(fā)生重要變更前，應向主管領導申請，審批后方可實施變更，并在實施后向相關人員通告。

4.2.5.10 備份與恢復管理

a)應識別需要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；

b)應規(guī)定備份信息的備份方式（如增量備份或全備份等）、備份頻度（如每日或每周等）、存儲介質、保存期等；

c)應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復策略，備份策略應指明各份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒ā?/p>

4.2.5.11 安全事件處置

a)應報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下用戶均不應嘗試驗證弱點； b)應制定安全事件報告和處置管理制度，明確安全事件類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責；

c)應根據(jù)安全事件對本網(wǎng)絡產生的影響，對本網(wǎng)絡安全事件進行等級劃分； d)應記錄并保存所有報告的安全弱點和可疑事件，分析事件原因，監(jiān)督事態(tài)發(fā)展，采取措施避免安全事件發(fā)生。4.2.5.12 應急預察管理

a)應在統(tǒng)一的應急預案框架下制定不同事件的應急預案，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內容；

b)應對相關的人員進行應急預案培訓，應急預案的培訓應至少每年舉辦一次。4.3 第3.1級要求 4.3.1 安全管理制度 4.3.1.1 管理制度

除滿足4.2.1.1的要求之外，還應滿足：

a)應對安全管理活動中的各類管理內窖建立安全管理制度，以規(guī)范安全管理活動； b)應形成由安全策略、管理制度、操作規(guī)程等構成的全面的安全管理制度體系。4.3.1.2 制定和發(fā)布

除滿足4.2.1.2的要求之外，還應滿足：

a)安全管理制度應有統(tǒng)一的格式，并進行版本控制； b)安全管理制度應通過正式、有效的方式發(fā)布； c)安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記． 4.3.1.3 評審和修訂

除滿足4.2.1.3的要求之外，還應滿足：

a)安全領導小組應負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定；

b)應定期或不定期對安全管理制度進行檢查和審定。4.3.2 安全管理機構 4.3.2.1 崗位設置

除滿足4.2.2.1的要求之外，還應滿足。a)應設立安全管理工作的職能部門；

b)應成立指導和管理安全工作的委員會或領導小組，其最高領導應由單位主管領導委任或授權；

c)應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求． 4.3.2.2 人員配備

除滿足4.2.2.2的要求之外，還應滿足： a)應配備專職安全管理員，不可兼任； b)關鍵事務崗位應配備多人共同管理。4.3.2.3 授權和審批

除滿足4.2.2.3的要求之外，還應滿足：

a)應根據(jù)各個部門和崗位的職責明確授權審批事項；

b)應針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度；

c)應定期審查審批事項，及時更新需授權和審批的項目、審批部門和審批人等信息； d)應記錄審批過程并保存審批文檔。4.3.2.4 溝通相合作

除滿足4.2.2.4的要求之外，還應滿足。

a)各類管理人員之間、組織內部機構之間以及網(wǎng)絡安全職能部門內部定期或不定期召開協(xié)調會議，共同協(xié)作處理網(wǎng)絡安全問題；

b)應建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內容、聯(lián)系人和聯(lián)系方式等信息；

c)應聘請網(wǎng)絡安全專家作為常年的安全顧問，指導網(wǎng)絡安全建設，參與安全規(guī)劃和安全評審等。

4.3.2.5 審核和檢查

除滿足4.2.2.5的要求之外，還應滿足：

a)應由內部人員或上級單位定期進行全面安全檢查，檢查內容包括現(xiàn)有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；

b)應制定安全檢查表格實施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結果進行通報；

c)應制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動。4.3.3 人員安全管理 4.3.3.1 人員錄用

除滿足4.2.3.1的要求之外，還應滿足。

a)應嚴格規(guī)范人員錄用過程，對被錄用人的資質等進行審查； b)應簽署保密協(xié)議； c)應從內部人員中選拔從事關鍵崗位的人員，并簽署崗位安全協(xié)議。4.3.3.2 人員離崗

除滿足4.2.3.2的要求之外，還應滿足。

關鍵崗位人員離崗須承諾調離后的保密義務后方可離開。4.3.3.3 人員考核

除滿足4.2.3.3的要求之外，還應滿足：

a)應對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核； b)應對考核結果進行記錄并保存。4.3.3.4 安全意識教育和培訓

除滿足4.2.3.4的要求之外，還應滿足： a)應對安全責任和懲戒措施進行書面規(guī)定；

b)應對定期安全教育和培訓進行書面規(guī)定，針對不同崗位制定不同的培訓計劃； c)應對安全教育和培訓的情況和結果進行記錄并歸檔保存。4.3.3.5 外部人員訪問管理

除滿足4.2.3.5的要求之外，還應滿足；

a)應確保在外部人員訪問受控區(qū)域前先提出書面申請；

b)對外部人員允許訪問的區(qū)域、網(wǎng)絡、設備、信息等內容應進行書面的規(guī)定，并按照規(guī)定執(zhí)行。

4.3.4 安全建設管理 4.3.4.1 定級

除滿足4.2.4,1的要求之外，還應滿足：

a)應組織相關部門和有關安全技術專家對網(wǎng)絡定級結果的合理性和正確性進行論證和審定；

b)應將網(wǎng)絡的定級結果分級上報至全國或地區(qū)的主管部門，主管部門對定級結果審批。

4.3.4.2 安全方案設計

除滿足4.2.4.2的要求之外，還應滿足： a)應指定和授權專門的部門對網(wǎng)絡的安全建設進行總體規(guī)劃，制定近期和遠期的安全建設工作計劃；

b)應根據(jù)網(wǎng)絡的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃和詳細設計方案，并形成配套文件；

c)應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理鑲略、總體建設規(guī)劃、詳細設計方案等相關配套文件的合理性和正確性進行論證和審定，并且經過批準后，才能正式實施；

d)應根據(jù)等級測評、安全評估的結果定期調整和慘訂總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件。4.3.4.3 產品采購和使用

除滿足4.2.4.3的要求之外，還應滿足：

應預先對產品進行選型測試，確定產品的候選范圍，并定期審定和更新候選產品名單。4.3.4.4 自行軟件開發(fā)

除滿足4.2.4.4的要求之外，還應滿足：

a)應確保開發(fā)人員和測試人員分離，測試數(shù)據(jù)和測試結果受到控制； b)應制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼； c)應確保對程序資源庫的修改、更新、發(fā)布進行授權和批準。4.3.4.5 外包軟件開發(fā)

與4.2.4.5的要求相同。4.3.4.6 工程實施

除滿足4.2.4.6的要求之外，還應滿足： a)要求工程實施單位能正確地執(zhí)行安全工程過程；

b)應制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準則。4.3.4.7 測試驗收

除滿足4.2.4.7的要求之外，還應滿足：

a)應委托公正的第三方測試單位對網(wǎng)絡進行安全性測試，并出具安全性測試報告； b)應對系統(tǒng)測試驗收的控制方法和人員行為準則進行書面規(guī)定； c)應指定或授權專門韻部門負責系統(tǒng)測試驗收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作。4.3.4.8 交付

除滿足4.2.4.8的要求之外，還應滿足；

a)應對網(wǎng)絡交付的控制方法和人員行為準則進行書面規(guī)定；

b)應指定或授權專門的部門負責網(wǎng)絡交付的管理工作，并按照管理規(guī)定的要求完成交付工作；

c)在網(wǎng)絡正式投入使用前，應根據(jù)實際情況進行試運行，試運行期間應提供相關應急預防措施；

d)在網(wǎng)絡正式投入使用后，應對開發(fā)、建設過程中涉及安全要求的配置、口令等內容重新修改、設定。

4.3.4.9 安全服務商的選擇

與4.2.4.9的要求相同。4.3.4.10 備案

除滿足4.2.4.10的要求之外，還應滿足：

應將網(wǎng)絡的安全等級、屬性、定級的理由等資料分級上報至全國或地區(qū)的主管部門備案。4.3.4.11 等級測評

a)在網(wǎng)絡運行過程中，應至少每年對網(wǎng)絡進行一次等級測評，發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改；

b)應在網(wǎng)絡發(fā)生變更時及時對網(wǎng)絡進行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調整級別并進行安全改造，發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改；

c)應選擇具有國家相關技術資質和安全資質的測評單位進行等級測評； d)應指定或授權專門的部門或人員負責等級測評的管理。4.3.5 安全運維管理 4.3.5.1 環(huán)境管理

除滿足4.2.5.1的要求之外，還應滿足：

a)應有指定的部門負責機房安全，并配置電子門禁系統(tǒng)，對機房來訪人員實行登記記錄和電子記錄雙重備案管理。b)工作人員離開座位應確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件。

4.3.5.2 資產管理

除滿足4.2.5.2的要求之外，還應滿足：

a)應根據(jù)資產的重要程度對資產進行標識管理，根據(jù)資產的價值選擇相應的管理措施；

b)應對信息分類與標識方法作出規(guī)定，并對信息的使用、傳輸和存儲等進行規(guī)范化管理。

4.3.5.3 介質管理

除滿足4.2，5.3的要求之外，還應滿足：

a)應建立介質安全管理制度，對介質的存放環(huán)境、使用、維護和銷毀等方面作出規(guī)定： b)應對介質的物理傳輸過程中人員選擇、打包、交付等情況進行控制；

c)應對存儲介質的使用過程進行嚴格的管理，對帶出工作環(huán)境的存儲介質進行內容加密和監(jiān)控管理，對保密性較高的存儲介質未經批準不得自行銷毀；

d)應根據(jù)數(shù)據(jù)備份的需要對某些介質實行異地存儲，存儲地的環(huán)境要求和管理方法應與本地相同；

c)應對重要介質中的數(shù)據(jù)和軟件采取加密存儲。4.3.5.4 設備管理

除滿足4.2.5.4的要求之外，還應滿足：

應建立配套設施、軟硬件維護方面的管理制度，對其維護進行有效的管理，包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監(jiān)督控制等。4.3.5.5 監(jiān)控管理

a)應對通信線路、主機、網(wǎng)絡設備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警，形成記錄并妥善保存；

b)應組織相關人員定期對監(jiān)測和報警記錄進行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報告，并采取必要的應對措施；

c)應建立安全管理中心，對設備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理。4.3.5.6 網(wǎng)絡安全管理 除滿足4.2.5.5的要求之外，還應滿足：

a)應實現(xiàn)設備的最小服務配置，并對配置文件進行定期離線備份； b)應依據(jù)安全策略允許或者拒絕便攜式和移動式設備的網(wǎng)絡接入： c)應定期檢查違反規(guī)定撥號上闞或其他違反網(wǎng)絡安全策略的行為。4.3.5.7 系統(tǒng)安全管理

除滿足4.2.5.6的要求之外，還應滿足：

應指定專人對系統(tǒng)進行管理，劃分系統(tǒng)管理員角色，明確各個角色的權限、責任和風險，權限設定應當遵循最小授權原則。4.3.5.8 惡意代碼防范管理

除滿足4.2.5.7的要求之外，還應滿足：

應定期檢查網(wǎng)絡內各種產品的惡意代碼庫的升級情況并進行記錄，對主機防病毒產品、防病毒網(wǎng)關和郵件防病毒網(wǎng)關上截獲的危險病毒或惡意代碼進行及時分析處理，并形成書面的報表和總結匯報。4.3.5.9 密碼管理

除滿足4.2.5.8的要求之外，還應滿足：

應建立密碼使用管理制度。4.3.5.10 變更管理

除滿足4.2.5.9的要求之外，還應滿足：

a)應建立變更管理制度，變更和變更方案需有評審過程；

b)應建立變更控制的申報和審批文件化程序，對變更影響進行分析并文檔化，記錄變更實施過程，并妥善保存所有文檔和記錄；

c)應建立中止變更并從失敗變更中恢復的文件化程序，明確過程控制方法和人員職責，必要時對恢復過程進行演練。4.3.5.11 備份與恢復管理

除滿足4.2.5.10的要求之外，還應滿足： a)應建立備份與恢復管理相關的安全管理制度；

b)應建立控制數(shù)據(jù)備份和恢復過程的程序，對備份過程進行記錄，所有文件和記錄應妥善保存； c)應定期執(zhí)行恢復程序，檢查和測試備份介質的有效性，確?？梢栽诨謴统绦蛞?guī)定的時間內完成備份的恢復。4.3.5.12 安全事件處置

除滿足4.2.5.11的要求之外，還應滿足：

a)應制定安全事件報告和響應處理程序，確定事件的報告流程，響應和處置的范圍、程度，以及處理方法等；

b)應在安全事件報告和響應處理過程中，分析和鑒定事件產生的原因，收集證據(jù)，記錄處理過程，總結經驗教訓，制定防止再次發(fā)生的補救措施，過程形成的所有文件和記錄均應妥善保存；

c)對造成系統(tǒng)中斷和造成信息泄密的安全事件應采用不同的處理程序和報告程序。4.3.5.13 應急預案管理

除滿足4.2.5.12的要求之外，還應滿足：

a)應從人力、設備、技術和財務等方面確保應急預案的執(zhí)行有足夠的資源保障； b)應定期對應急預案進行演練，根據(jù)不同的應急恢復內容，確定演練的周期； c)應規(guī)定應急預案需要定期審查和根據(jù)實際情況更新的內容，并按照執(zhí)行。4.4 第3.2級要求

與第3.1級要求相同。

4.5 第4圾要求

同第3.2級要求。4.6 第5級要求

待補充。

第二篇：電信網(wǎng)和互聯(lián)網(wǎng)安全防護管理指南

電信網(wǎng)和互聯(lián)網(wǎng)安全防護管理指南 范圍

本標準對電信網(wǎng)和互聯(lián)網(wǎng)安全防護的定義、目標、原則進行了描述和規(guī)范。同時，對電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系、安全防護體系三部分工作及其關系進行了說明。

本標準適用于電信網(wǎng)和互聯(lián)網(wǎng)的安全防護工作。

本標準涉及的電信網(wǎng)和互聯(lián)網(wǎng)不包括專用網(wǎng)，僅指公眾電信網(wǎng)和公眾互聯(lián)網(wǎng)。2 規(guī)范性引用文件

下列文件中的條款通過本標準的引用麗成為指導性技術文件的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準。然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。

GB/T 5271.8-2001信息技術詞匯第8部分：安全 3 術語和定義

GB/T 5271.8-2001確立的術語和定義以及下列術語和定義適用于本標準。3.1

電信網(wǎng)Telecom Network

利用有線和，或無線的電磁、光電系統(tǒng)，進行文字、聲音、數(shù)據(jù)、圖像或其他任何媒體的信息傳遞的網(wǎng)絡，包括固定通信網(wǎng)、移動通信網(wǎng)等． 3.2

互聯(lián)網(wǎng)Internet

泛報廣域網(wǎng)、局域網(wǎng)及終端（包括計算機、手機等）通過交換機、路由器、網(wǎng)絡接入設備等基于一定的通信協(xié)議連接形成的，功能和邏輯上的大型網(wǎng)絡． 3.3

電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系 Security Protection Architecture of Telecom Network and Intemet

電信網(wǎng)和互聯(lián)網(wǎng)的安全等級保護、安全風險評估、災難備份及恢復三項工作互為依托、互為補充、相互配合．共同構成了電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系。3.4

刮言網(wǎng)和互聯(lián)網(wǎng)安全等級Security Classification of Telecom Network and Internet 電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)重要程度的表征。重要程度從電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)受到破壞后，對國家安全、社會秩序、。經濟運行、公共利益、網(wǎng)絡和業(yè)務運營商造成的損害來衡量。3.5

電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護 Classified Security Protection of Telecom Network and Internet指對電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)分等級實施安全保護。3.6

電信網(wǎng)和互聯(lián)網(wǎng)安全風險Security risk of Telecom Network and Internet

人為或自然的威脅可能利用電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響。3.7

電信網(wǎng)和互聯(lián)網(wǎng)安全風險評估 Security Risk Assessment of Telecom Network and Internet

指運用科學的方法和手段，系統(tǒng)地分析電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生，可能造成的危害程度，提出有針對性的抵御威脅的防護對策和安全措施，防范和化解電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)安全風險，將風險控制在可接受的水平，為最大限度地保障電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)的安全提供科學依據(jù)。3.8

電信網(wǎng)和互聯(lián)網(wǎng)災難 Disaster of Telecom Network and Internet

由于各種原因，造成電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)故障或癱瘓，使電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)支持的業(yè)務功能停頓或服務水平不可接受、達到特定的時間的突發(fā)性事件。3.9

電信網(wǎng)和互聯(lián)網(wǎng)災難備份Backup for Disaster Recovery of Telecom Network and Intemet

為了電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)災難恢復而對相關網(wǎng)絡要素進行備份的過程。3,10

電信網(wǎng)和互聯(lián)網(wǎng)災難恢復 Disaster Recovery of Telecom Network and Internet

為了將電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)從災難造成的故障或癱瘓狀態(tài)恢復到正常運行狀態(tài)或部分正常運行狀態(tài)并將其支持的業(yè)務功能從災難造成的不正常狀態(tài)恢復到可接受狀態(tài)，而設計的活動和流程。4 目標和原則

電信網(wǎng)和互聯(lián)網(wǎng)安全防護工作的目標就是要加強電信網(wǎng)和互聯(lián)網(wǎng)的安全防護能力，確保網(wǎng)絡的安全性和可靠性，盡可能實現(xiàn)對電信網(wǎng)和互聯(lián)網(wǎng)安全狀況的實時掌控，保證電信網(wǎng)和互聯(lián)網(wǎng)能夠完成其使命。

為了實現(xiàn)該目標網(wǎng)絡和業(yè)務運營商、設備制造商要充分考慮電信網(wǎng)和互聯(lián)網(wǎng)不同等級的安全要求，從環(huán)境因素以及人為因素分析電信網(wǎng)和互聯(lián)網(wǎng)面臨的威脅，從技術和管理兩個方面分析電信網(wǎng)和互聯(lián)網(wǎng)存在的脆弱性．充分考慮現(xiàn)有安全措施，分析電信網(wǎng)和互聯(lián)網(wǎng)現(xiàn)存風險，平衡效益與成本，制定災難備份及恢復計劃，將電信網(wǎng)和互聯(lián)網(wǎng)的安全控制在可接受的水平。

電信網(wǎng)和互聯(lián)網(wǎng)安全防護工作要在適度安全原則的指導下，采用自主保護和重點保護方法，在安全防護工作安排部署過程中遵循標準性、可控性、完備性、最小影響和保密原則，實現(xiàn)同步建設、統(tǒng)籌兼顧、經濟實用和循序漸進地進行安全防護工作．

——適度安全原則：安全防護工作的根本性原則。安全防護工作應根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)的安全等級，平衡效益與成本-采取適度的安全技術和管理措施。

——標準性原則：安全防護工作開展的指導性原則．指電信網(wǎng)和互聯(lián)網(wǎng)安全防護工作的開展應遵循相關的國家或行業(yè)標準。

——可控性原則：指電信網(wǎng)和互聯(lián)網(wǎng)安全防護工作的可控性，包括以下三個方面，●人員可控性：相關的安全防護工作人員應具備可靠的政治素質、職業(yè)素質和專業(yè)素質。相關安全防護工作的檢測機構應具有主管部門授權的電信網(wǎng)和互聯(lián)網(wǎng)安全防護檢測服務資質。

●工具可控性：要充分了解安全防護工作中所使用的技術工具，并進行一些實驗，確保這些技術工具能被正確地使用。

●項目過程可控性：要對整個安全防護項目進行科學的項目管理，實現(xiàn)項目過程的可控性。

——完備性原則：安全防護工作要覆蓋電信網(wǎng)和互聯(lián)網(wǎng)的安全范圍。

——最小影響原則：從項目管理層面和技術管理層面，將安全防護工作對電信網(wǎng)和互聯(lián)網(wǎng)正常運行的可能影響降低到最低限度。

——保密性原則：相關安全防護工作人員應簽署協(xié)議，承諾對所進行的安全防護工作保密，確保不泄露電信網(wǎng)和互聯(lián)網(wǎng)及安全防護工作的重要和敏感信息。5 安全防護體系

電信網(wǎng)和互聯(lián)網(wǎng)安全防護范疇包括基礎電信運營企業(yè)運營的傳輸、承載各類電信業(yè)務的公共電信網(wǎng)（含公共互聯(lián)網(wǎng)）及其組成部分，支撐和管理公共龜信網(wǎng)及電信業(yè)務的業(yè)務單元和控制單元以及企業(yè)辦公系統(tǒng)（含文件管理系統(tǒng)、員工郵件系統(tǒng)、決策支持系統(tǒng)、人事管理系統(tǒng)等）、客服呼叫中心、企業(yè)門戶網(wǎng)站等非核心生產單元。此外，電信網(wǎng)絡安全防護工作的范圍還包括經營性互聯(lián)網(wǎng)信息服務單位、移動信息服務單位、互聯(lián)網(wǎng)接入服務單位、互聯(lián)網(wǎng)數(shù)據(jù)中心、互聯(lián)網(wǎng)域名服務機構等單位運營的網(wǎng)絡或信息系統(tǒng)。

根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)安全防護范疇，建立的電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系如圖l所示．整個體系分為三層，第一層為整個安全防護體系的總體指導性規(guī)范，明確了對電信網(wǎng)和互聯(lián)網(wǎng)安全防護的定義、目標、原則，并說明了安全防護體系的組成。

第二層從宏觀的角度明確了如何進行安全防護工作，規(guī)范了安全防護體系中安全等級保護、安全風險評估、災難備份及恢復三部分工作的原則、流程、方法、步驟等。

第三層具體規(guī)定了電信網(wǎng)和互聯(lián)網(wǎng)安全防護工作的要求，即安全防護要求和安全防護檢測要求。

根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)全程全網(wǎng)的特點，電信網(wǎng)和互聯(lián)網(wǎng)的安全防護工作可從固定通信網(wǎng)、移動通信網(wǎng)、互聯(lián)網(wǎng)、增值業(yè)務網(wǎng)、非核心生產單元來開展一其中，互聯(lián)網(wǎng)包括經營性互聯(lián)網(wǎng)信息服務單位、互聯(lián)網(wǎng)接入服務單位、互聯(lián)網(wǎng)數(shù)據(jù)中心、互聯(lián)網(wǎng)域名服務機構等單位運營的網(wǎng)絡或信息系統(tǒng)。增值業(yè)務網(wǎng)包括消息網(wǎng)、智能網(wǎng)等業(yè)務平臺以及業(yè)務管理平臺。

對固定通信網(wǎng)、移動通信網(wǎng)、互聯(lián)網(wǎng)實施安全防護，應分別從構成上述網(wǎng)絡的不同電信網(wǎng)和互聯(lián)網(wǎng)相關系統(tǒng)入手，電信網(wǎng)和互聯(lián)網(wǎng)相關系統(tǒng)包括接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)等．其中，接入網(wǎng)包括各種有線、無線和衛(wèi)星接入網(wǎng)等，傳送網(wǎng)包括光纜、波分、SDH、衛(wèi)星等，而支撐網(wǎng)則包括業(yè)務支撐和網(wǎng)管系統(tǒng)．

安全防護要求明確了電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)需要落實的安全管理和技術措施，涵蓋了安全等級保護、安全風險評估、災難備份及恢復等三部分內容，其中安全等級保護工作需要落實的物理環(huán)境和管理的安全等級保護要求被單獨提出作為電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)的通用安全等級保護要求．

安全防護檢測要求與安全防護要求相對應，提供了對電信網(wǎng)和互聯(lián)網(wǎng)安全防護工作進行檢測的方法，從而確認網(wǎng)絡和業(yè)務運營商、設備制造商在安全防護工作實旆過程中是否滿足了相關安全防護要求。隨著電信網(wǎng)和互聯(lián)網(wǎng)的發(fā)展，隨著安全防護體系的進一步完善，第三層的內容將進一步補充完善．

圖1 電信用和互聯(lián)網(wǎng)安全防護體系 6 安全等級保護

電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護工作貫穿于電信網(wǎng)和互聯(lián)網(wǎng)生命周期的各個階段，是一個不斷循環(huán)和不斷提高的過程．首先-根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)受到破壞后，對國家安全、社會秩序、經濟運行、公共利益、網(wǎng)絡和業(yè)務運營商造成的損害程度來確定安全等級。通過進一步分析電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)的安全保護現(xiàn)狀與安全等級保護要求之間的差距，確定安全需求，設計合理的、滿足安全等級保護要求的總體安全方案，制定出安全建設規(guī)劃。并進一步將其落實到電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)中，形成安全技術和管理體系．在電信網(wǎng)和互聯(lián)網(wǎng)安全運維階段，根據(jù)安全等級保護的需要對安全技術和管理體系不斷調整和持續(xù)改進，確保電信網(wǎng)和互聯(lián)兩及相關系統(tǒng)滿足相應等級的安全要求；在安全資產終止階段對信息、設備、介質進行終止處理時，防止敏感信息的泄露，保障電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)的安全。安全等級保護工作的實施過程如圖2所示。

圖2安全等級保護實施的基本過程 安全風險評估

電信網(wǎng)和互聯(lián)網(wǎng)安全風險評估應貫穿于電信網(wǎng)和互聯(lián)網(wǎng)生命周期的各階段中，在生命周期不同階段的風險評估原則和方法是一致的。在電信網(wǎng)和互聯(lián)網(wǎng)的安全風險評估工作中，應首先進行相關工作的準備-通過安全風險分析計算電信網(wǎng)和互聯(lián)網(wǎng)及相關系統(tǒng)的風險值，進而確定其風險等級和風險防范措旋。安全風險分析中要涉及資產、威脅、脆弱性等基本要素，每個要素有各自的屬性。資產的屬性是資產價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產弱點的嚴重程度等。安全風險評估的實施流程如圖3所示。

圖3安全風險評估實施的基本過程 災難備份及恢復

電信網(wǎng)和互聯(lián)網(wǎng)災難備份及恢復工作利用技術、管理手段以及相關資源，確保已有的電信網(wǎng)和互聯(lián)網(wǎng)在災難發(fā)生后．在確定的時間內可以恢復和繼續(xù)運行。災難備份及恢復工作需要防范包括地震、水災等自然災難以及火災、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡攻擊、設備系統(tǒng)故障、人為破壞等無法預料的突發(fā)事件。如圖4所示，災難備份及恢復工作應根據(jù)安全等級保護確定的安全等級以及安全風險分析的相關結果進行需求分析-制定、實現(xiàn)相應的災難備份及恢復策略，并構建災難恢復預案，這是一個循環(huán)改進的過程。

針對電信網(wǎng)和互聯(lián)網(wǎng)的不周網(wǎng)絡、不同重要級別的業(yè)務，災難備份及恢復所要達到的目標是不同的．例如，在電信網(wǎng)和互聯(lián)網(wǎng)中，對于普通語音業(yè)務，可以要求網(wǎng)絡和業(yè)務運營商通過災難備份及恢復工作，保證在災難發(fā)生后單一地區(qū)的災難不影響災難發(fā)生地理范圍以外地區(qū)的語音業(yè)務，并且發(fā)生災難的地區(qū)的語音業(yè)務能夠通過有效災難恢復計劃的實施，在一定時間范圍（指標應與災難級別對應）內恢復通信。

圖4災難備份及恢復實施的基本過程 安全等級保護、安全風險評估、災難備份及恢復三者之間的關系

電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系中的安全等級保護、安全風險評估、災難備份及恢復蘭者之間密切相關、互相滲透、互為補充。電信兩和互聯(lián)網(wǎng)安全防護應將安全等級保護、安全風險評估、災難備份及恢復工作有機結合，加強相關工作之間的整合和銜接，保證電信網(wǎng)絡安全防護工作的整體性、統(tǒng)一性和協(xié)調性。電信網(wǎng)絡安全防護工作應按照根據(jù)被保護對象的重要性進行分等級保護的思想，通過安全風險評估的方法正確認識被保護對象存在的脆弱性和面臨的威脅，進而制定、落實和改進與安全保護等級和風險大小相適應的一系列管理、技術、災難備份等安全等級保護措施，最終達到提高電信網(wǎng)絡安全保護能力和水平的目的。

在開展安全等級保護工作時，耍充分應用安全風險評估的方法，認識、分析不同類型的網(wǎng)絡和業(yè)務存在的脆弱性和面臨的威脅，進而制定和落實與被保護對象的類型、脆弱性和威脅相適應的基本安全保護措施要求．提高安全等級保護工作的針對性和適用性。在開展安全風險評估工作時，在分析被保護對象綜合風險和制定改進方案的過程中，要始終與被保護對象的安全保護等級相結合，合理確定被評估對象的可接受風險和制定確實必要的整改措施，避免無限度地改進提高。在開展災難備份及恢復工作時，要結合被備份對象的安全保護等級和面臨的威脅，制定相適應的備份措旌，并將有關備份的要求體現(xiàn)在安全等級保護的要求中進行落實。

電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護、安全風險評估和災難備份及恢復工作應隨著電信網(wǎng)和互聯(lián)網(wǎng)的發(fā)展變化而動態(tài)調整，適應國家對電信網(wǎng)和互聯(lián)網(wǎng)的安全要求．

第三篇：蘭州互聯(lián)網(wǎng)等級保護工作總結

蘭州互聯(lián)網(wǎng)新聞中心2011年等保工作總結

根據(jù)信息安全等級保護工作要求，結合我單位工作實際需要，我們認真開展了信息安全自查工作，加強了信息系統(tǒng)的管理和維護，完善了系統(tǒng)軟硬件設施，實現(xiàn)了網(wǎng)站信息系統(tǒng)的安全運行?，F(xiàn)將2011年信息安全自查工作開展情況總結如下：

一、信息安全保護工作現(xiàn)狀

1、制定信息安全保護規(guī)章制度，加強日常管理。在硬件安全方面，及時檢查防雷、防火、防盜和電源連接等情況；在網(wǎng)絡安全方面，加強網(wǎng)絡結構、安全日志、密碼和IP地址的管理；在應用安全方面，提高人員安全意識，增強系統(tǒng)操作的規(guī)范性。

2、平臺及網(wǎng)絡管理方面，購置了新式服務器，提高平臺性能，增強穩(wěn)定性；采用linux操作系統(tǒng)，更換原03操作系統(tǒng)，提升系統(tǒng)的安全性。更新數(shù)據(jù)庫，采用了功能更強大，性能更優(yōu)異，安全性更強的oracle數(shù)據(jù)庫。對平臺關鍵部位進行了雙機熱備份，加強了主站的可靠性。安裝硬件防火墻，隔離內外網(wǎng)，進一步提高網(wǎng)絡安全。

3、系統(tǒng)操作權限方面，嚴格按系統(tǒng)使用所需，針對不同系統(tǒng)操作用戶的需求，劃分使用權限。制定了密碼定期更新機制，對用戶密碼按月更新，并采取9位數(shù)字加字符的設置方式提高密碼的健壯性。

二、自查中存在的問題

1、初步建立了信息安全規(guī)章制度，但還不完善，未能覆蓋到信息系統(tǒng)安全的所有方面。

2、專業(yè)技術人員較少，信息系統(tǒng)安全方面可投入的力量有限。

3、由于我單位處在創(chuàng)業(yè)起步階段，經費相對緊張，信息系統(tǒng)建設和信息安全保護工作可投入的經費不足。

三、整改方向

1、在今后的工作中，我們將進一步完善信息安全相關規(guī)章制度，實現(xiàn)信息安全的規(guī)范管理。

2、加強對計算機安全知識的培訓，定期開展信息安全檢查工作，提高人員安全防護意識。

3、積極爭取財政支持，購買相關設備，進一步擴大對信息安全工作的投入。

蘭州互聯(lián)網(wǎng)新聞中心 二〇一一年11月8日

第四篇：信息安全等級保護的各個環(huán)節(jié)以及相關要求

一、信息安全等級保護的各個環(huán)節(jié)

一、基本環(huán)節(jié)

（一）組織開展調查摸底

（二）合理確定保護等級

（三）開展安全建設整改

（四）組織系統(tǒng)安全測評

（五）依法履行備案手續(xù)

（六）加強日常測評自查

（七）加強安全監(jiān)督檢查

二、主要環(huán)節(jié)

定級-安全建設-安全測評-備案

二、定級

一、等級劃分

計算機信息系統(tǒng)安全保護等級根據(jù)計算機信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度，計算機信息系統(tǒng)受到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定，分為五級：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。

二、定級程序

信息系統(tǒng)運營、使用單位應當依據(jù)《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的，應當經主管部門審核批準。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。

對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。

三、定級注意事項

一級信息系統(tǒng)：適用于鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級某些單位中不重要的信息系統(tǒng)。小型個體、私營企業(yè)中的信息系統(tǒng)。中小學中的信息系統(tǒng)。

二級信息系統(tǒng)：適用于地市級以上國家機關、企業(yè)、事業(yè)單位內部一般的信息系統(tǒng)。例如小的局域網(wǎng)，非涉及秘密、敏感信息的辦公系統(tǒng)等。

三級信息系統(tǒng)：適用于地市級以上國家機關、企業(yè)、事業(yè)單位內部重要的信息系統(tǒng)；重要領域、重要部門跨省、跨市或全國（?。┞?lián)網(wǎng)運行的信息系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行重要信息系統(tǒng)在省、地市的分支系統(tǒng)；各部委官方網(wǎng)站；跨省（市）聯(lián)接的信息網(wǎng)絡等。四級信息系統(tǒng)：適用于重要領域、重要部門三級信息系統(tǒng)中的部分重要系統(tǒng)。例如全國鐵路、民航、電力等調度系統(tǒng)，銀行、證券、保險、稅務、海關等部門中的核心系統(tǒng)。

三、備案

一、總體要求

新建第二級以上信息系統(tǒng)，應當在投入運行后30日內，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。

二、備案管轄

（一）管轄原則。

備案管轄分工采取級別管轄和屬地管轄相結合。

（二）中央在京單位。

隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由公安部公共信息網(wǎng)絡安全監(jiān)察局受理備案，其他信息系統(tǒng)由北京市公安局公共信息網(wǎng)絡安全監(jiān)察部門（簡稱網(wǎng)監(jiān)部門，下同）受理備案。

（三）中央駐粵及省直國有單位。

隸屬中央或省的駐穗國有單位的信息系統(tǒng)，由省公安廳網(wǎng)警總隊受理備案。上述單位在各地運行、維護的分支系統(tǒng)由其在各地的分支機構報所在地地級以上市公安機關網(wǎng)監(jiān)部門備案。

（四）其他單位。

其他單位的信息系統(tǒng)由所在地地級以上市公安機關網(wǎng)監(jiān)部門備案。

三、備案流程

（一）備案時限。

信息系統(tǒng)運營、使用單位或者其主管部門（以下簡稱“備案單位”）應當在信息系統(tǒng)設計階段確定信息系統(tǒng)安全保護等級，并在安全保護等級確定后30日內，到公安機關網(wǎng)監(jiān)部門辦理備案手續(xù)。

（二）備案申請。

辦理備案手續(xù)，應當?shù)焦矙C關指定網(wǎng)址下載信息安全等級保護備案軟件，利用該軟件填寫生成《信息系統(tǒng)安全等級保護備案表》（簡稱《備案表》，下同）表

一、表

二、表三紙質WORD格式文檔一式兩份和電子數(shù)據(jù)（RAR格式），并準備好相關附件（一式兩份），向公安機關網(wǎng)監(jiān)部門提出備案申請。第三級以上信息系統(tǒng)應當同時提供以下材料：

1．系統(tǒng)拓撲結構及說明； 2．系統(tǒng)安全組織機構和管理制度；

3．系統(tǒng)安全保護設施設計實施方案或者改建實施方案； 4．系統(tǒng)使用的信息安全產品清單及其認證、銷售許可證明； 5．測評后符合系統(tǒng)安全保護等級的技術檢測評估報告； 6．信息系統(tǒng)安全保護等級專家評審意見；

7．主管部門審核批準信息系統(tǒng)安全保護等級的意見。

四、備案審核

公安機關網(wǎng)監(jiān)部門收到申請材料后，應當在10個工作日內進行審查。對符合要求的，公安機關網(wǎng)監(jiān)部門應當在《備案表》加蓋公共信息網(wǎng)絡安全監(jiān)察專用章并將其中一份反饋備案單位，并出具《信息系統(tǒng)安全等級保護備案證明》（以下簡稱《備案證明》）?！秱浒缸C明》由公安部統(tǒng)一監(jiān)制。對不符合要求的，公安網(wǎng)監(jiān)部門應當出具《信息系統(tǒng)安全等級保護備案審核結果通知》，通知備案單位進行整改。其中，對定級不準的備案單位，在通知整改的同時，應當建議備案單位重新定級。

五、變更備案

《備案表》所載事項發(fā)生變更，備案單位應當自變更之日起30日內重新填寫《備案表》報公安機關網(wǎng)監(jiān)部門備案。其中，變更事項涉及《備案證明》的，公機關網(wǎng)監(jiān)部門應當重新頒布《備案證明》。

六、重新備案

運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應當按照本辦法向公安機關重新備案。

四、安全建設和整改

計算機信息系統(tǒng)規(guī)劃、設計、建設和維護應當同步落實相應的安全措施。運營、使用單位應當按照國家信息安全等級保護管理規(guī)范和技術標準，使用符合國家有關規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術產品，開展信息系統(tǒng)安全建設或者改建工作。

在信息系統(tǒng)建設過程中，運營、使用單位應當按照《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）、《信息系統(tǒng)安全等級保護基本要求》等技術標準，參照《信息安全技術 信息系統(tǒng)通用安全技術要求》（GB/T20271-2006）、《信息安全技術 網(wǎng)絡基礎安全技術要求》（GB/T20270-2006）、《信息安全技術 操作系統(tǒng)安全技術要求》（GB/T20272-2006）、《信息安全技術 數(shù)據(jù)庫管理系統(tǒng)安全技術要求》（GB/T20273-2006）、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統(tǒng)安全等級技術要求》（GA/T671-2006）等技術標準同步建設符合該等級要求的信息安全設施。

運營、使用單位應當參照《信息安全技術 信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術 信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。

五、信息安全等級測評

信息系統(tǒng)建設完成后，二級以上的信息系統(tǒng)的運營使用單位應當選擇符合國家規(guī)定的測評機構進行測評合格方可投入使用。已投入運行信息系統(tǒng)在完成系統(tǒng)整改后也應當進行測評。經測評，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營使用單位應當制定方案進行整改。

一、測評程序

計算機信息系統(tǒng)運營、使用單位委托安全測評機構測評，應當提交下列資料：

（一）安全測評委托書；

（二）計算機信息系統(tǒng)應用需求、系統(tǒng)結構拓撲及說明、系統(tǒng)安全組織結構和管理制度、安全保護設施設計實施方案或者改建實施方案、系統(tǒng)軟件硬件和信息安全產品清單。安全測評機構在收到委托材料后，應當與委托方協(xié)商制訂安全測評計劃，開展安全測評工作，并出具安全測評報告。

經測評，計算機信息系統(tǒng)安全狀況未達到國家有關規(guī)定和標準的要求的，委托單位應當根據(jù)測評報告的建議，完善計算機信息系統(tǒng)安全建設，并重新提出安全測評委托。

二、測評監(jiān)督

測評機構對計算機信息系統(tǒng)進行使用前安全測評，應當預先報告地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門。安全測評報告由計算機信息系統(tǒng)運營、使用單位報地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門。

三、日常測評

計算機信息系統(tǒng)投入使用后，存在下列情形之一的，應當進行安全自查，同時委托安全測評機構進行安全測評：

（一）變更關鍵部件；

（二）安全測評時間滿一年；

（三）發(fā)生危害計算機信系統(tǒng)安全的案件或安全事故；

（四）公安機關公共信息網(wǎng)絡安全監(jiān)察部門根據(jù)應急處置工作的需要認為應當進行安全測評；

（五）其他應當進行安全自查和安全測評的情形。

第三級計算機信息系統(tǒng)應當每年至少進行一次安全自查和安全測評，第四級計算機信息系統(tǒng)應當每半年至少進行一次安全自查和安全測評，第五級計算機信息系統(tǒng)應當依據(jù)特殊安全要求進行安全自查和安全測評。自查報告連同測評報告應當由計算機信息系統(tǒng)運營、使用單位報地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門。

四、測評爭議解決

申請單位認為安全測評報告的合法性和真實性存在重大問題的，可以向本單位所在地公安機關公共信息網(wǎng)絡安全監(jiān)察部門提出申訴，提交異議申訴書及有關證明材料。公安機關公共信息網(wǎng)絡安全監(jiān)察部門應當在收到申訴材料后30個工作日內進行核查，作出異議處理決定。

第五篇：基于互聯(lián)網(wǎng)的電子政務等級保護研究

密級：

頁數(shù)：

畢 業(yè) 實習（論文）

信息工程大學

題目：基于互聯(lián)網(wǎng)的電子政務等級保護研究

學員姓名

*** 學

號

所在單位

指導教師

郭義喜 技術職務

副教授 完成日期

2010年5月

摘 要

隨著這幾年計算機網(wǎng)絡技術的發(fā)展，網(wǎng)絡信息安全成為了人們越來越關注的問題，也同時成為了威脅計算機網(wǎng)絡之間信息傳播的最大障礙。為此，國家已經在2007年7月26日發(fā)出了《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》，電子政務工程建設辦公室在2007年11月啟動了中央級 政務外網(wǎng)定級專項工作，成立了等級保護定級工作組，根據(jù)政務外網(wǎng)實際情況和特點，經過多倫內部討論和專家征求意見后，基本完成了政務外網(wǎng)安全等級保護定級工作，為后續(xù)備案和全面開展、實施等級保護整改和測評工作奠定了堅實基礎。

由此可見，當今社會中，電子政務等級的保護研究已經是一個非常重要的課題。本文從電子政務等級保護的研究方法、電子政務等級保護出現(xiàn)問題時的解決辦法、電子政務等級保護的整體安全解決方案、基于互聯(lián)網(wǎng)的電子政務的優(yōu)點以及如何有效的保護電子政務的安全等方面來闡述電子政務等級保護問題。

目 錄

第一章 概述.................................................................1

1.1 選題背景與研究現(xiàn)狀................................................1 1.2 研究內容與論文組織結構............................................1 1.4 論文組織結構......................................................2

第二章 信息化與電子政務.....................................................3

2.1 我國信息化進程的回顧..............................................3 2.2 我國電子政務發(fā)展計劃..............................................4 2.3 我國電子政務的保障措施............................................5 2.4 電子政務的優(yōu)勢....................................................6

第三章 電子政務信息安全與等級保護...........................................8

3.1 電子政務信息安全內涵..............................................8 3.2 等級保護在電子政務中的應用........................................8 3.3 電子政務安全管理和技術層面........................................9

第四章 基于互聯(lián)網(wǎng)的電子政務等級保護的建設..................................12

4.1 信息安全等級保護實施過程.........................................12 4.2 電子政務等級保護實施措施.........................................15

第五章 基于等級保護的電子政務安全度量......................................17

5.1 信息安全度量現(xiàn)狀.................................................17 5.2 基于等級保護的安全管理度量方法的設計.............................18

第六章 總結................................................................21 參考文獻...................................................................22

第一章 概述

1.1 選題背景與研究現(xiàn)狀

以Internet為代表的全球性信息化浪潮日益涌起，網(wǎng)絡技術的應用層次不斷深入、應用領域日益廣泛，逐步由傳統(tǒng)的、小型業(yè)務系統(tǒng)向大型的、關鍵性的業(yè)務系統(tǒng)擴展，目前基于互聯(lián)網(wǎng)技術的網(wǎng)絡平臺已經在電子政務中得到了廣泛的應用，使政府以最快的方式與市民進行溝通，市民也能方便快捷地參與政府工作。但是，由于電子政務同時涉及到對國家秘密信息和高敏感度核心政務的保護，涉及到維護公共秩序和行政監(jiān)管，從而使這種快捷和方便給政府網(wǎng)絡的安全造成了一定的威脅，使基于互聯(lián)網(wǎng)技術的電子政務面臨著嚴峻的挑戰(zhàn)。因此，運用網(wǎng)絡安全技術，建立實用可靠的安全策略體系，實施等級保護，已經成為電子政務能否得到真正應用的關鍵。

目前，我國建立了與電子政務發(fā)展水平相適應的安全保障措施，并且結合實際需要，制定了一批具有實際指導意義的信息安全法規(guī)制度和工作機制。

我國開始從整體安全體系出發(fā)來進行信息安全建設。分級分域防護的基本思路正在逐步得到貫徹。

1.2 研究內容與論文組織結構

本課題選擇了基于互聯(lián)網(wǎng)的電子政務等級保護作為研究重點，討論了基于互聯(lián)網(wǎng)的電子政務等級保護的安全目標以及為實現(xiàn)上述目標應采取積極的安全策略，尤其對電子政務安全保障體系框架做了進一步分析，對基于互聯(lián)網(wǎng)的電子政務等級保護提出了自己的觀點。

主要內容包括:(l)電子政務的安全目標及其應對策略；(2)電子政務安全保障體系框架；(3)電子政務等級保護當前的主要問題；

(4)對于基于互聯(lián)網(wǎng)的電子政務等級保護建設的自我觀點。

由于國內的基于互聯(lián)網(wǎng)的電子政務等級保護的標準和規(guī)范不太明確，所以本課題將對電子政務做進一步的分析，提出自己的一些觀點和看法，希望通過自己的努力對電子政務等級保護問題有著推進意義。

1.4 論文組織結構

共分五章，第一章對我國基于互聯(lián)網(wǎng)的電子政務等級保護的現(xiàn)狀以及研究內容做一簡要介紹，第二章主要概述了信息化與電子政務的發(fā)展史，第三章重點討論了電子政務信息安全與等級保護的關系問題，第四章主要介紹了基于互聯(lián)網(wǎng)的電子政務等級保護建設問題，第五章討論了電子政務等級保護安全度量方法，第六章是總結及展望。

第二章 信息化與電子政務

中國的信息化建設起步于20世紀80年代初期，從國家大力推動電子信息技術應用開始，大致經歷了四個階段，而我國的電子政務建設是中國信息化建設發(fā)展的一個新階段，它以我國前期信息化建設的成果為基礎。

2.1 我國信息化進程的回顧

（1）準備階段（1993年以前）

20世紀80年代初期，在我國國民經濟進行調整的情況下，計算機工業(yè)界認識到發(fā)展我國計算機工業(yè)，應該從過去的一研究制造計算機硬件設備為中心，迅速的轉向以普及應用為重點，以此帶動研究開發(fā)、生產制造、外圍配套、應用開發(fā)、技術服務和產品銷售等工作。1982年10月4日，國務院成立了計算機與超大規(guī)模集成電路領導小組。下設計算機和集成電路兩個顧問小組，聘請有理論水平、有實踐經驗的科學家、經濟學家和工程技術人員參加，負責規(guī)劃、決策和技術經濟咨詢。

1984年，為了研究我國新技術革命的對策，國務院成立了新技術革命對策小組，組織了計算集專項和光纖通信專項研究。1984年9月15日，計算機與大型集成電路領導小組改為電子振興領導小組。1986年3月，“863”計劃啟動。該計劃投資100億元，其中，信息技術相關項目的投資約占投資總額的三分之二。

1988年5月，根據(jù)國務院機構改革方案，成立機械電子工業(yè)部，并將振興電子產業(yè)的任務交機械電子工業(yè)部承擔。隨后，國務院常務會議決定，國務院電子振興領導小組辦公室更名為國務院電子信息系統(tǒng)推廣應用辦公室，繼續(xù)支持各行各業(yè)應用電子信息技術。從1988年至1992年，國家發(fā)展計劃委員會、機械電子工業(yè)部、國家科學技術委員會和電子信息技術推廣應用辦公室，在傳統(tǒng)產業(yè)技術改造、EDI技術、CAD/CAM以及MIS等領域，做了大量工作，不斷推動電子信息技術應用向縱深發(fā)展。

（2）啟動階段（1993年3月至1997年4月）

1993年，成立國家經濟信息化聯(lián)席會議。我國信息化基本上正式起步于1993年，黨和國家領導人江澤民、李鵬、朱镕基、李嵐清等相繼提出了信息化建設的任務，啟動了“金卡”、“金橋”、“金關”等重大信息化工程，拉開了國民經濟信息化的序幕。同年12月，成立了以國務院副總理鄒家華為主席的國家經濟信息化聯(lián)席會議，確立了“推進信息化工程實施、以信息化帶動產業(yè)發(fā)展”的指導思想。1996年1月，國務院信息化工作領導小組成立。國務院信息化工作領導小組由國務院副總理鄒家華任組長，由20多個部委領 導組成的國務院信息化工作領導小組，統(tǒng)一領導和組織協(xié)調全國地信息化工作。1996年以后，中央和地方都確立了信息化在國民經濟和社會發(fā)展中的重要地位，信息化在各領域、各地區(qū)形成了強勁的發(fā)展潮流。

（3）展開階段（1997年4月至2000年10月）

經過1993—1997年的建設和發(fā)展，符合我國國情的信息化發(fā)展思路初步形成。國務院信息化工作領導小組確立了國家信息化的定義和國家信息化體系六要素，進一步充實和豐富了我國信息化建設的內涵；提出了信息化建設“統(tǒng)籌計劃，國家主導；統(tǒng)一標準，聯(lián)合建設；互聯(lián)互通，資源共享”的二十四字指導方針。

1997年4月18—21日，經國務院批準，國務院信息化工作領導小組在深圳召開了首次全國信息化工作會議，會議全面部署了國家信息化工作，通過了《國家信息化“九五”規(guī)劃和2010年遠景目標》，成為我國信息化建設的里程碑。此后，全國地信息化工作從解決應急性的熱點問題，步入了為經濟發(fā)展和社會全面進步服務，有組織、有計劃的發(fā)展軌道。

1998年3月，組建信息產業(yè)部。隨著國務院機構的新一輪改革，將原國務院信息化工作領導小組辦公室整建制并入新組建的信息產業(yè)部，負責推進國民經濟和社會服務信息化的工作。在信息產業(yè)部內部機構設置上，設立了信息化推進司（國家信息化辦公室）。

1999年12月，恢復國務院信息化工作領導小組。根據(jù)國務院關于恢復國務院信息化工作領導小組的批示，為了加強國家信息化工作的領導，決定成立由國務院副總理吳邦國任組長的國家信息化工作領導小組，并將國家信息化辦公室改名為國家信息化推進工作辦公室。

（4）發(fā)展階段（2000年10月至今）

2001年8月，國家信息化工作辦公室成立。黨中央、國務院在原有基礎上成立了由朱镕基任組長，胡錦濤、李嵐清、丁關根、吳邦國、曾培炎為成員的國家信息化領導小組，這樣高規(guī)格的領導機構，充分反映出黨中央、國務院加強中國信息化建設的決心和力度。同時它的辦事機構——國務院信息化工作辦公室也正式成立，由國家發(fā)展計劃委員會主任、國家信息化領導小組副組長曾培炎兼任國務院信息化工作辦公室主任。

2.2 我國電子政務發(fā)展計劃

國務院信息化辦公室組織了上百位專家對國家電子政務進行研究，形成一套電子政務發(fā)展戰(zhàn)略框架，電子政務已經被列為中國信息化建設的重點任務。

一是建立兩個統(tǒng)一的電子政務平臺，即連接副省級以上部門辦公業(yè)務的“政務內網(wǎng)”和面向公眾、企業(yè)以及連接政府間業(yè)務的“政務外網(wǎng)”；其中，外網(wǎng)將與互聯(lián)網(wǎng)相連接。

二是建設和推進十二項重點工程，包括為各級領導決策服務的“辦公業(yè)務資源系統(tǒng)” 和“宏觀政策管理系統(tǒng)”，目標將所有稅務機關和稅種擴展成為全方位的稅收電子化系統(tǒng)的“金稅工程”，將完整的通關業(yè)務電子化的“金關工程”，為國家預算編制和預算執(zhí)行提供網(wǎng)絡化、數(shù)字化服務的“金財工程”，對銀行、信托、證券、保險進行有效監(jiān)管“金融監(jiān)管工程”、實現(xiàn)審計工作數(shù)字化的“金審工程”。另外，還有包括保障社會穩(wěn)定、安全的“金盾工程”和“社會保障工程”、防偽打假的“金質工程”、應對水旱災情的“金水工程”和為農業(yè)現(xiàn)代化服務的“金農工程”。

三是信息資源建設，包括兩個信息體系和人口庫、法人庫、信息資源和空間地域庫、宏觀經濟庫等四個數(shù)據(jù)庫，為政府部門提供最基礎的數(shù)據(jù)資源。

2.3 我國電子政務的保障措施

1、標準先行

為貫徹落實國家信息化領導小組推進國家信息化工作的五項方針和統(tǒng)一標準的具體要求，進一步推動我國電子政務順利發(fā)展，國家標準化管理委員會和國務院信息化工作辦公室批準成立了“國家電子政務標準化總體組”。

我國電子政務標準化工作的開展是在國家標準化管理委員會和國務院信息化辦公室的統(tǒng)一領導下，由國家電子政務標準化總體組組織實施。

總體組的主要工作是積極研究跟進國內外與電子政務有關的標準的發(fā)展動態(tài)，及時調整工作思路及方向，與國內各政府部門、技術專家及開發(fā)商一起研究制定中國電子政務標準，推動我國電子政務健康、有序的建設。

總體組花費近半年的時間完成了《電子政務標準化指南》（第一版）?！峨娮诱諛藴驶改稀罚ǖ谝话妫┰陔娮诱諛藴驶ぷ鞯闹笇枷?、工作原則的基礎上，確定了電子政務標準化的總體目標和工作任務并對電子政務標準體系和電子政務標準化管理機制等多方面的內容進行了闡述。

《電子政務標準化指南》共分為以下六個部分： 第一部分：總則。第二部分：工程管理。第三部分：網(wǎng)絡建設。第四部分：信息共享。第五部分：支撐技術。第六部分：信息安全。

《電子政務標準化指南第一部分：總則》（第一版）已于2002年正式發(fā)布。

2、實施監(jiān)理制度

信息產業(yè)部為了規(guī)范信息系統(tǒng)工程建設市場，保證國家電子政務工程的質量，2002年 11月28日發(fā)布了《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》，明確指出下列信息工程應當實施監(jiān)理：

● 國家級、省部級、地市級的大中型信息系統(tǒng)工程項目；

● 國家政策性銀行或者國有商業(yè)銀行規(guī)定使用貸款需要實施監(jiān)理的項目； ● 涉及國家安全、生產安全的信息系統(tǒng)工程項目；

● 國家法律、行政法規(guī)及行政規(guī)章規(guī)定應當實施監(jiān)理的其他信息系統(tǒng)工程項目。監(jiān)理的主要內容是對信息系統(tǒng)工程項目的質量、進度和投資進行監(jiān)督，對項目合同和文檔資料進行管理，協(xié)調有關單位間的工作關系。監(jiān)理制度的引入從組織結構上和管理上，保證了電子政務工程的質量。

2.4 電子政務的優(yōu)勢

（1）辦公透明，利于監(jiān)督

政府上網(wǎng)以后，可以在網(wǎng)上向所有公眾公開政府本門的名稱、職能、機構組織、辦事章程及各項公開文件等，可以讓公眾迅速了解政府機構的組成、只能和辦事章程、各項證詞法規(guī)，增加辦事的透明度，并自覺接受公眾的監(jiān)督。除政府行政部門之外，人大、政協(xié)上網(wǎng)可以讓公眾了解到人大立法和提出議案的過程，促進人格各項立法更完善合理，通過網(wǎng)絡使個向法律更加迅速的傳遞到民眾手上。事實上，在歐洲，已經有虛擬議會，人們足不出戶就可以積極參與國家事物核對法律的考核，促進社會民主的進步與發(fā)展，市政府管理更加直接、有效。

（2）提高工作效率

“電子政府”建設完成并全達到普及后，公眾可以通過網(wǎng)絡與政府機關打交道。配合數(shù)字簽名和網(wǎng)絡身份認證的的建立，公眾可以直接通過網(wǎng)絡向政府機關申請服務，政府可以通過網(wǎng)絡提供服務，例如，工商管理、繳納稅金、海關報關驗關等，可以大大提高政府的工作效率。

（3）增加跨時間、快地域服務

“電子政府”可以為群眾提供全天候的服務，網(wǎng)絡上的政府是“數(shù)字化”的政府，政府可以無所不在，群眾可以在任何地點，只要是因特網(wǎng)可以觸及的地方，都可以與政府服務網(wǎng)建立連接，隨時隨地獲得服務。

（4）文檔管理負擔大幅度減輕

政府各部門每年要向群眾和企事業(yè)單位發(fā)送各種待填寫的單據(jù)，數(shù)量相當龐大。設立了“電子政府”后，用戶可以在政府的網(wǎng)頁上找到相應的填寫表單、申報的應用程序，通過這一服務可以實現(xiàn)整個表單處理過程的自動化。

（5）資料上網(wǎng)，社會共享

政府部門的許多資料檔案對公眾是很有用處的，要充分挖掘其內在的潛力，為社會服 務。例如，如果把個城市所有注冊公司單位的情況在網(wǎng)上公布，供公眾查詢，這樣公司在進行商業(yè)交往的時候，通過Internet查詢，就可以方便迅速的了解到對方的資信情況。可以有效的避免商業(yè)詐騙活動，保護商業(yè)者的利益。教育部門可以把全國各大專院校的情況上網(wǎng)，工考上在報考時查詢選擇等等，這些都是政府對公眾服務的一個重要內容。政府部門的日?；顒右部梢陨暇W(wǎng)，公開政府部門的各項活動，可以使政府部門受到的公眾監(jiān)督，這對于發(fā)揚民主，搞好政府部門的廉政建設有很大意義。

（6）加強政府與群眾間的雙向溝通

利用網(wǎng)絡可以建立起更加有效的、快捷的政府與公眾之間的相互交流的渠道，為公眾與政府部門實時、雙向地溝通提供方便。為了更好的利用網(wǎng)絡與民眾進行溝通交流，并對民眾建設和意見作出及時有效的處理，政府部門應設有一個電子信息處理中心，處理群眾意見，并及時轉發(fā)到相關部門，督促和監(jiān)督問題的解決，這比過去的上訪、市長信箱、市長熱線等等更加方便、有效、及時?？傊?，加強政府與公眾之間的雙向溝通對于政府更及時、更有效地接納公眾意見，更有效地為人民服務，樹立政府形象十分重要。

第三章 電子政務信息安全與等級保護

3.1 電子政務信息安全內涵

電子政務作為國家信息化戰(zhàn)略重要組成部分，具有先導和示范作用，其信息安全保障事關經濟發(fā)展、國家安全、社會穩(wěn)定、公眾利益和社會主義精神文明建設。實行電子政務信息安全等級保護是我國信息安全保護的基本制度和重點任務之一，本章制著重討論等級保護制度如何保護電子政務的信息安全。

電子政務市政府管理方式的革命，它是運用信息以及通信技術打破行政機關的組織界限，構建一個電子化的虛擬機關，使公眾擺脫傳統(tǒng)的層層關卡以及書面審核的作業(yè)方式，并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時間及地點，高效快捷的向人們提供了各種不同的服務選擇。政府機關之間以及政府與社會各界之間也經由各種電子化渠道進行相互溝通，電子政務的建立將使政府成為一個更符合環(huán)保精神的政府，一個更開放透明的政府，一個更有效率的政府，一個更廉潔勤政的政府。然而，電子政務的只能與優(yōu)勢得以實現(xiàn)的一個根本前提是信息安全的有效保障。因為電子政務信息網(wǎng)絡上有相當多的政府公文在流轉，其中不乏重要信息，內部網(wǎng)絡上有著大量高度機密的數(shù)據(jù)和信息，直接涉及政府的核心政務，它關系到政府部門、各大系統(tǒng)乃至整個國家的利益，有的甚至涉及國家安全。如果電子政務信息安全得不到保障，電子政務的便利與效率便無從保證，對國家利益將帶來嚴重威脅。電子政務信息安全是制約電子政務建設與發(fā)展的首要問題和核心問題。

電子政務的信息安全可以理解為：

1、從新的層次看，包括信息的完整性（保證新的來源，去向、內容真實無誤）、保密性（保證信息不會被非法泄露擴散）、不可否認性（保證信息的發(fā)送和接受著無法否認自己所做過的操作行為）等。

2、從網(wǎng)絡層次看，包括可靠性（保證網(wǎng)絡和信息系統(tǒng)隨時可用，運行過程中不出現(xiàn)故障，與意外事故能夠盡量減少損失并盡早 恢復正常）、可控性（保證營運者對網(wǎng)絡和信息系統(tǒng)有足夠的控制額管理能力）、互操作性（保證協(xié)議和系統(tǒng)那個能互相連接）、可計算性（保證準確跟蹤實體運行達到審計知識的目的）等。

3、從設備層次看，包括質量保證、設備備份、物理安全等。

4、從管理層次看，包括人員可靠、規(guī)章制度完整等。

3.2 等級保護在電子政務中的應用

1、電子政務等級保護的基本原則（1）重點保護原則

電子政務等級保護應突出重點，重點保護關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要電子政務系統(tǒng)，集中資源首先確保重點系統(tǒng)那個安全。

（2）自主保護原則

電子政務等級保護藥貫徹“誰主管誰負責，誰運營誰負責”的原則，由個主管部門能和運營單位依照國家相關法規(guī)和標準，自主確定電子政務系統(tǒng)的安全等級并組織實施安全防護。

（3）分區(qū)域保護原則

電子政務等級保護要根據(jù)各地區(qū)、各行業(yè)電子政務系統(tǒng)的重要程度、業(yè)務特點政務系統(tǒng)的重要程度、業(yè)務特點和不同發(fā)展水平，分類、分級、分階段進行實施，銅鼓劃分不同安全保護等級的區(qū)域，實現(xiàn)不同強度的安全保護。

（4）同步建設、動態(tài)調整原則

電子政務系統(tǒng)在新建、改建、擴建時應當同步建設信息安全設施，保障信息安全與信息化建設相適應。因信息和信息系統(tǒng)的應用類型、范圍等條件的變化及其他原因，安全保護等級需要變更的，應當重新確定系統(tǒng)的安全保護等級。

3.3 電子政務安全管理和技術層面

政府部門通過全面推行信息安全等級保護制度，逐步將信息安全等級保護制度，逐步將信息安全等級保護制度落實到信息系統(tǒng)安全規(guī)劃、建設、測評、運行維護和使用等各個環(huán)節(jié)，根據(jù)電子政務信息系統(tǒng)的實際情況，應從技術體系和管理體系兩方面來找開說明，結合等級保護的制度來構建電子政務系統(tǒng)的信息安全體系。根據(jù)等級保護的思想并結合安全域的原則，根據(jù)電子政務系統(tǒng)的實際情況，電子政務系統(tǒng)安全體系建設流程如下圖所示：

1、安全管理體系

安全管理貫穿整個電子政務安全防護體系，對電子政務安全實施起指導作用。安全管理體系包括：法律政策、規(guī)章制度和標準規(guī)范。安全管理體系的建立應符合組織使命，符合組織利益。電子政務的工作內容和工作流程涉及到國家秘密與核心政務它的安全關系到國家的主權、國家的安全和公眾利益，所以電子政務的安全實施和保障，必須以國家法規(guī)形式將其固化，形成全國共同遵守的規(guī)約。目前，世界上很多國家制訂了與網(wǎng)絡安全相關的法律法規(guī)，如英國的《官方信息保護法》等。我國雖然頒發(fā)了一些與網(wǎng)絡安全有關的法律法規(guī)，如《計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)保密管理暫行規(guī)定》等等，但顯得很零散，在完善法律法規(guī)的同時，還應該加大執(zhí)法力度，嚴格執(zhí)法，這一目標的實現(xiàn)不僅需要政府的努力，更要國家立法機構的參與和支持。

信息安全標準有利于安全產品規(guī)范化，有利于保證產品安全可信性、實現(xiàn)產品的互聯(lián)和互操作性、更新和可擴展性，支持系統(tǒng)安全的測評預評估，保障電子政務系統(tǒng)的安全可靠。電子政務網(wǎng)絡安全標準規(guī)范包括電子文檔秘密劃分和標記格式、內容健康性等級劃分與標記、內容敏感性等級劃分與標記、密碼算法標準、密碼模塊標準、密鑰管理標準、PKI/CA標準、PMI標準、信息系統(tǒng)安全評估和網(wǎng)絡安全產品測評標準等方面的內容。

電子政務信息系統(tǒng)存在著來自社會環(huán)境、技術環(huán)境和物理自然環(huán)境的安全風險，其安全為威脅無時無處不再。對于電子政務信息系統(tǒng)的安全問題，不能企圖單憑利用一些集成了信息安全技術的安全產品來解決，而必須建立電子政務信息系統(tǒng)安全管理體系，全方位地，綜合解決系統(tǒng)安全問題。

2、安全技術體系

安全技術體系包括網(wǎng)絡安全體系和數(shù)據(jù)安全傳輸與存儲體系，功能主要是通過各種技術手段實現(xiàn)技術層次的安全保護。

網(wǎng)絡安全體系包括網(wǎng)閘、日勤檢測、漏洞檢測、外聯(lián)和接入檢測、補丁管理、防火墻、身份鑒別和認證、系統(tǒng)訪問控制、網(wǎng)絡審計等；數(shù)據(jù)安全與傳輸與存儲體系包括數(shù)據(jù)備份恢復、PKI/CA、PMI等，拓撲圖如下圖所示。

根據(jù)電子政務系統(tǒng)的情況，我們應以等級保護為基本的指導原則，并結合安全域的理念來進行，首先我們應對電子政務的信息系統(tǒng)進行系統(tǒng)等級的劃分，在我們得到了相應的系統(tǒng)等級之后，再根據(jù)各應用系統(tǒng)的等級情況來涉及安全規(guī)劃和建設方案，真正的將等級保護制度落實到實處，如下圖所示。

根據(jù)上述的相應流程，最后我們的到得電子政務系統(tǒng)可操作的解決方案。

電子政務系統(tǒng)應根據(jù)自己的安全等級來制定相應的安全措施和安全規(guī)則，具體過程如下圖。

第四章 基于互聯(lián)網(wǎng)的電子政務等級保護的建設

電子政務外網(wǎng)是政府部門之間由于協(xié)同辦公的需要而建立的專用網(wǎng)絡。它同政府內網(wǎng)物理隔離，同Internet網(wǎng)邏輯隔離，它同其他網(wǎng)絡邏輯隔離。電子政務外網(wǎng)系統(tǒng)是由相關的和配套的設備、設施按照電子政務平臺信息系統(tǒng)的一個應用目標和規(guī)則組合而成的有形實體。它是各級政府對外溝通的門戶系統(tǒng)，為用戶提供查閱信息，辦理相關業(yè)務（公民、企業(yè)可以通過政府外網(wǎng)辦理各種手需、證書、執(zhí)照等，享受到政府所提供的各種服務）、溝通交流的網(wǎng)絡平臺。它的內部人物是OA、郵件、簡報、公文交換、會議管理，還包含通過互聯(lián)網(wǎng)的辦公數(shù)據(jù)交互等。各級政府的信息委的信息委是各級政府外網(wǎng)系統(tǒng)的唯一安全責任單位、安全建設、運行維護、物理環(huán)境安全等，系統(tǒng)承擔全部安全保護責任。

4.1 信息安全等級保護實施過程

各級政府的電子政務外網(wǎng)具有較高的相似性，機構、規(guī)模、功能已經承載業(yè)務等都有很多相似性。根據(jù)這寫相似性，上海三零為是信息安全有限公司從所有參與建設的電子政務外網(wǎng)項目中進行抽象、總結，基于《信息安全等級保護管理辦法》、《信息系統(tǒng)安全等級保護基本要求》、《信息安全技術 信息系統(tǒng)安全等級保護定級指南》和《信息系統(tǒng)安全等級保護實施指南》設計了完整的電子政務外網(wǎng)整體安全解決方案。

該解決方案按照實施過程分為三個階段五個模塊。如下圖所示：

在系統(tǒng)出示化階段中，按照《信息系統(tǒng)安全等級保護定級指南》制定如下流程：

信息定級模塊的最終交付成果為《某政務外網(wǎng)信息系統(tǒng)等級保護定級報告》，共分3個章節(jié)，兩份附件表進行編寫：第一章，信息系統(tǒng)描述：第二章，信息系統(tǒng)安全保護等級 確定；第三章，安全保護等級的確定；附件表一，政務外網(wǎng)系統(tǒng)業(yè)務信息安全等級確定工作表；附件表二，政務外網(wǎng)系統(tǒng)服務安全等級確定工作表。

在信息系統(tǒng)描述中，需要確認政務外網(wǎng)系統(tǒng)具有唯一確定的安全責任單位，詳細說明該單位的名稱與職責；需要明確政務外網(wǎng)系統(tǒng)具備的信息系統(tǒng)基本要素，詳細描述系統(tǒng)拓撲圖和系統(tǒng)硬件設備配置；需要描述政務外網(wǎng)系統(tǒng)承載的單一或相對獨立的業(yè)務應用，相信分析應用專業(yè)數(shù)據(jù)應用流程。

在信息系統(tǒng)安全保護等級確定中需要完成對業(yè)務信息安全保護等級的確定和系統(tǒng)服務安全保護等級的確定。包括：業(yè)務信息/系統(tǒng)服務描述、業(yè)務信息/系統(tǒng)服務受到破壞時所侵害客體的侵害程度的確定。

根據(jù)等級保護的標準《信息安全技術 信息系統(tǒng)安全等級保護定級指南》的要求，政務外網(wǎng)系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級較高者決定，并最終決定該政務外網(wǎng)系統(tǒng)的安全保護等級。

在系統(tǒng)建設試用階段包括：基于等級保護的安全保護題寫的整體設計、建設、運行、維護分階段，是整個體系的主體部分。下面的方案以最常見的定級為二級的系統(tǒng)進行詳細敘述?；诘燃壉Ｗo的安全防護體系方案一般可分為9個章節(jié)，其中包括：前沿、方案概況、安全需求分析、總體安全設計、安全建設項目規(guī)劃、安全方案詳細設計、系統(tǒng)產品性能要求及選型、項目實施與工程管理、安全運行維護與服務。

第一章，前言。在本章中主要介紹用戶電子政務外網(wǎng)的業(yè)務情況，其中包括系統(tǒng)的背景敘述。

第二章，方案概述。在本章中主要闡述方案的背景、設計目標、設計原則和設計思想、說明對等級保護的需求，安全保護體系的主要建設內容等。

第三章，安全需求分析。本章包括技術層次面安全需求分析和管理層面安全需求分析。根據(jù)等級保護的基本要求，技術層面安全需求分析。根據(jù)等級保護基本要求，技術層面安全需求分析按照五個方面：物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全和數(shù)據(jù)恢復。管理層面的安全需求分析按照安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理方面進行分析。

第四章，總體安全設計。對一個組織的任務、業(yè)務運作異常關鍵的信息都是由信息基礎設施負責處理、存儲和傳輸。信息基礎設施對這些信息的保護需要通過“信息保障”完成。信息保障提出了目前信息基礎設施的整套安全要求。信息保障依賴人、操作和技術來實現(xiàn)組織任務、業(yè)務運作。穩(wěn)定的信息保證體系意味著信息保證的政策、步驟、技術與機制在整個組織的信息基礎設施的所有層面上均得以實施。在制定安全策略中，依據(jù)的IATF信息保障技術框架定義了對該電子政務外網(wǎng)系統(tǒng)進行信息保障的過程，以及該系統(tǒng)中硬件和軟件部件的安全要求。遵循這些原則就可以對信息基礎設施進行名為“深度防御戰(zhàn)略” 的多層防護。信息安全可用性策略是用戶電子政務外網(wǎng)信息系統(tǒng)安全保護體系的核心。根據(jù)實際情況提出恰當?shù)冒踩呗?。一個全面的安全策略將有助于方案的設計，實施和執(zhí)行。在本章節(jié)中首先完成等級化安全模型、總體安全策略，進而完成核心的安全技術策略設計、安全管理策略設計。

第五章，安全建設項目規(guī)劃。在本章主要完成整個用戶電子政務外網(wǎng)安全保護體系建設項目的整體進度計劃以及各自項目的時間安排。

第六章，安全方案詳細設計。本章為安全技術措施設計和安全管理措施設計兩部分，并最終形成安全保護體系實施的預期效果（蜘蛛圖）。在安全技術措施設計中包括：物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復。

第七章，系統(tǒng)產品性能要求及選型。在本章中對用戶電子政務外網(wǎng)安全保護體系中選用的產品按照實際需要完成對性能指標的定量要求以及選型定型。

第八章，項目實施與工程管理。采取工程化的項目管理方法進行嚴格、科學和有效的項目控制和管理。從組織管理和技術管理兩個方面對項目實施嚴格規(guī)范和有效管理。在項目實施中按照SSE-CMM的要求，即系統(tǒng)按安全工程能力成熟模型，精心工程實施。不斷提高工程的質量與可用性，降低工程的實施成本。SSE-CMM給出了信息系統(tǒng)工程建設需要考慮的關鍵過程保障域，可能知道工程從單一的安全設備設置轉向系統(tǒng)的剞劂整個工程的分先評估、安全策略形成、安全方案提出、實施和生命期控制等問題。根據(jù)SSE-CMM，將整個項目所做的工作分為項目啟動準備、項目實施改進、項目完成跟蹤，時需審核和改進以確保建設的項目能符合設計的方案。

第九章，安全運行維護與服務。主張為用戶電子政務外網(wǎng)系統(tǒng)提供生名周期的服務。電子政務外網(wǎng)信息系統(tǒng)的整體性進行考慮，以營運的業(yè)務流程為眼點，運用信息系統(tǒng)安全工程技術理論、工具和方法，通過專業(yè)，客觀的風險分析，在保證電子政務外網(wǎng)信息系統(tǒng)應用效率和投資收益比例恰當?shù)那疤嵯?，降低客戶的信息系統(tǒng)運行風險，確?？蛻粜畔⑾到y(tǒng)發(fā)揮其價值。嚴格遵循國家網(wǎng)絡安全主管部門有關規(guī)定以及國際安全服務標準，以ITSM 為目標、ITIL為指導，由專業(yè)從事網(wǎng)絡服務和安全服務的專家小組提供服務，同時對安全管理員進行安全培訓。在系統(tǒng)種植階段遵照以下流程：

“信息轉移、暫存和清除過程”是在信息系統(tǒng)中止處理過程中，對于可能會在另外的信息系統(tǒng)中使用的信息采取適當?shù)姆椒▽⑵浒踩霓D移或暫存到可以恢復的介質中，確保將來可繼續(xù)使用，同時采用安全的方法清除要終止的信息系統(tǒng)的信息?！霸O備遷移或廢棄過程”是確保信息系統(tǒng)中之后，遷移或廢棄的設備內不包括敏感信息，對設備的處理方式應符合國家相關部門的要求?！按鎯橘|的清除或銷毀過程”是通過采用合理的方式計算機介質（包括磁帶、磁盤、打印結果和文檔）進行信息清除或銷毀處理，防止介質內的敏感信息泄露。通過講不同的電子政務外網(wǎng)系統(tǒng)進行的個性處理，導入上述三個基本等級保護的安全保護體系建設過程，將可以得到完整的安全基于等級保護的安全體系建設方案，并指導基于等級保護的安全的電子政務外網(wǎng)系統(tǒng)。

4.2 電子政務等級保護實施措施

1、周密部署，精心組織

為有效貫徹落實國家信息安全等級保護制度，在總基礎調查和試點工作基礎上，根據(jù)《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》等相關規(guī)定，2007年11月13日，電子政務外網(wǎng)工程辦召開等級工作啟動會，正式啟動國家電子政務外網(wǎng)安全等級的定級保護工作。

為確保信息系統(tǒng)等級保護工作順利進行，外網(wǎng)工程辦領導高度重視，專門成立了有個主要業(yè)務部門負責人為成員的等級保護工作小組，全面負責工作的規(guī)劃、協(xié)調和指導，確定了外網(wǎng)工程版安全組為等級保護工作的牽頭部門，各部門分工協(xié)作。同時，為確保系統(tǒng)劃分和定級工作的準確性，2007年11月22日外網(wǎng)工程辦專門邀請專家，對定級工作進行專項指導。

2、積極做好定級各項工作

信息安全等級保護工作政策性強、技術要求高，時間有非常緊迫，為此，政務外網(wǎng)工程辦從3個方面抓好等級保護前期準備工作：一是積極參加公安部組織的等級保護培訓，領會與理解開展信息等級保護目的、意義與技術要求，系統(tǒng)的掌握信息安全等級保護的基礎知識、實施過程、頂級方法步驟和備案流程。二是多次組織人員開展內部討論和交流，使人員較全面的了解等級保護的意義、基礎知識核定級方法。三是開展工程辦各組的業(yè)務應用摸底調查，摸清系統(tǒng)的系統(tǒng)機構、業(yè)務類型和應用范圍，并匯總整理政務外網(wǎng)各組成域的相關概況。

3、科學準確定級

在開展政務外網(wǎng)定級工作的過程中突出重點，全面分析政務外網(wǎng)網(wǎng)絡基礎平臺的特 點，力求準確劃定定級范圍和定級對象。在此基礎上，依據(jù)《信息安全等級保護管理辦法》，確定政務外網(wǎng)各組成組子系統(tǒng)（網(wǎng)絡域）的安全保護等級。

劃定定級對象。根據(jù)《信息系統(tǒng)安全等級保護定級指南》，外網(wǎng)工程辦多次組織技術和業(yè)務骨干召開專題會議討論信息系統(tǒng)劃分問題，提出了較為科學合理的信息系統(tǒng)劃分方案。

組織專家自評把關。根據(jù)等級保護評審的標準與要求，專家們對信息系統(tǒng)劃分和定級報告進行內部評審，并給出了內部評審意見。根據(jù)專家意見重新修訂并整理了等級保護定級報告及其相關材料。

此外，在頂級過程中，外網(wǎng)工程辦積極與公安部門等級保護主管部門進行溝通，并竟由相關專家確定定級對象與等級保護方案后，整理好了所有定級材料，準備下一步的正式評審。

4、定級對象和結果

根據(jù)政務外網(wǎng)作為基礎網(wǎng)絡平臺的特性，以及其接入系統(tǒng)的不同業(yè)務類型，政務外網(wǎng)按管理邊界劃分為中央政務外網(wǎng)、地方政務外網(wǎng)兩類管理域。中央政務外網(wǎng)按業(yè)務邊界劃分功能區(qū)，即公用網(wǎng)絡平臺區(qū)、專用VPN網(wǎng)絡區(qū)以及互聯(lián)網(wǎng)接入?yún)^(qū)，在各功能區(qū)內又根據(jù)業(yè)務類型和系統(tǒng)服務的不同，確定了多個業(yè)務系統(tǒng)，主要有安全管理系統(tǒng)、應用平臺系統(tǒng)、網(wǎng)絡管理系統(tǒng)、郵件系統(tǒng)、VPN業(yè)務、互聯(lián)網(wǎng)數(shù)據(jù)中心等六個系統(tǒng)作為本次等級保護定級工作的定級對象，分別予以定級（確定等級結果如下表所示）。

表 國家電子政務外網(wǎng)業(yè)務信息系統(tǒng)定級對象和結果

第五章 基于等級保護的電子政務安全度量

本章針對安全管理的量化問題，建立了信息安全管理度量的層次結構模型，確定了信息安全管理度量要素及度量指標，設計了相應的度量方法及輔助調查工具——度量核查表。

5.1 信息安全度量現(xiàn)狀

信息安全“三分技術，七分管理”的思想目前已經被廣泛接受，然而，在實際的安全實踐中，安全管理依然被人們忽視。導致這種局面的一個重要原因是安全管理的有效型難以度量。相對于安全技術，安全管理涉及到更多的領域，包含眾多的非量化的難以測量的因素，如規(guī)章制度度的制定和培訓、管理措施的落實、財政預算的支持等。因此，信息安全管理有效的度量繁雜乃至瑣碎，難度很大。具體實施過程中，對安全管理的度量主要依靠操作人員進行，度量的準確性往往依賴于操作人員的實踐經驗、對相關標準的理解程度等。這些主觀因素往往導致度量結果不夠準確，不能真實反映安全管理上的弱點，也就不能有針對性的進行改進，從而降低了度量結果的可信度，進而影響甚至誤導信息安全的改進過程。

管理學上有如下原則：不能被測量的行為是不能被管理的。如何對安全管理進行有效的量化度量，根據(jù)量化的度量結果進一步指導安全管理，提高信息安全能力和水平，目前已經成為信息安全領域的一個研究熱點。

2003年7月，NIST發(fā)布了SP800-55《信息技術系統(tǒng)安全度量指南》。該標準對安全管理度量定義如下：一種工具，被設計用來通過收集、分析和報告與性能相關的數(shù)據(jù)，以輔助決策、改善性能和可審計性?！缎畔⒓夹g系統(tǒng)安全度量指南》中結合NIST SP800-26《信息技術系統(tǒng)安全自我評估導則》中的安全控制目標和技術方法，對角色責任、度量定義、度量類型、度量開發(fā)和實施方法、度量項目的實施過程都做了描述，同時以附件形式給出了17種度量的模板。

SC27N4474:WD 27004(ISO/IEC27004草案)《信息安全管理度量機制和測量措施》中規(guī)定了測量項以及組織可能用于促進對ISMS管理的測量技術，該模型使用客觀信息來監(jiān)督和評審ISMS以及孔子措施的性能。

我國信息安全管理標準的研究比較落后。不僅已經制定的少量標準大多沿用國際標準，而且很少直接參與到國際信息安全標準的制定當中，致使無法在國際標準的制定中體現(xiàn)我國國家利益，也只能加了參照國際標準制定相應國內標準是的困難。目前在信息安全 管理度量標準方面的主要工作向是積極跟蹤國際信息安全管理度量方法和技術標準化的動態(tài)，系統(tǒng)研究信息安全度量方法和測量技術，抓緊制定相應的國內安全管理度量標準，為我國信息安全管理體系建設提供基礎技術保障。

5.2 基于等級保護的安全管理度量方法的設計

安全管理度量的成功實施需要解決若干個關鍵問題。（1）度量要素、度量指標的選?。?）度量結果的量化

度量要素是評判信息安全管理是否有效的組成因素，所有度量要素的合理表現(xiàn)，就能構呈現(xiàn)出信息安全管理的效果。

度量指標是為考察各個度量要素而設計的核查項，單個的度量指標是安全管理的最小度量單位。通過對某度量要素所包含的若干指標的核查結果，能夠對該度量要素進行評估。

度量要素、度量指標的選取時前提條件，它為安全管理度量的實施準備工具。如果度量要素、度量指標集合不完備、不合理，將導致度量結果出現(xiàn)較大的偏差，進而影響信息安全管理目標的實現(xiàn);而量化則是對安全管理度量的進一步加工處理，以便從中發(fā)現(xiàn)問題，總計規(guī)律。

1、國家計算機等級保護標準GB17859 根據(jù)《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859），我國的信息安全劃分為五個級別，即用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級。五個級別以第一級用戶自主保護級為基礎，每級對信息安全的保護方法一步增強，保護范圍進一步擴大。

GB17859給出了對計算機信息系統(tǒng)實施五級保護的原則，并對各個級別的具體實施要求進行了目標上的闡述，但其本身并沒有提供如何評估某級別安全保護目標是否現(xiàn)得定量化指標。所以根據(jù)GB17859的實施要求有針對性的提出一個安全管理度量方法十分必要。

2、度量要素的選取

ISO/IEC17799確立的信息安全管理體系目前在國際上已經成為通行的信息安全管理體系，它包含了安全方針的擬定、安全責任的歸屬、風險的評估與確定、強化安全參數(shù)及存取的控制，提供了10大管理方面，36個管理目標，127重安全控制供用戶選擇和使用。標準自公布以來，被多個國家政府機構及其他單位組織采用，受到良好的效果。

為保證度量的全面性與合理性，以ISO/IEC17799中的安全控制措施作為安全管理的度量要素，以保證能夠完成整覆蓋信息安全管理的各個環(huán)節(jié)。同時為每個度量要素設計了相應的度量指標（核查問題）集合，這樣就首先構造了一個安全管理度量要素的全集，以及一個度量指標的全集，其中，單個的度量指標是安全管理的最小度量單位。但在實際操 作中，由于各個信息系統(tǒng)對于安全的要求不同，需要對個度量要素全集和度量指標全集進一步裁剪以符合實際情況。以國家計算機等級保護標準G17859為依據(jù)，根據(jù)組織的信息系統(tǒng)所劃分的安全等級，從度量要素全集合度量指標全集中提取相應的度量要素子集、度量指標子集。安全管理度量的層次結構如下圖所示：

如上圖所示，度量要素包含若干個度量指標，即度量該要素的核查問題。度量指標是最小的測量單位，可以分別從規(guī)章制度、落實證據(jù)兩個方面進行設計。

（1）管理制度包括技術開發(fā)文檔、管理制度、操作規(guī)程以及其他與系統(tǒng)運行、維護、安全相關的所有文檔。

（2）落實證據(jù)包括會議紀要、各種登記表、值班日志、故障記錄、出入登記表等紙當文件，也包括對安全管理負責人、系統(tǒng)維護者、企業(yè)關公等的調查詢問結果。

對照ISO/IEC17799的章節(jié)結構設計安全管理度量核查表，如下表所示：

表 安全管理度量核查表

表中控制措施即為度量要素，核查問題即為度量標準。度量指標的安全類別劃分為與GB17859相對應的5級，如果待度量的信息系統(tǒng)的安全等級被劃分為二級，則表1中于每個度量要素對應的所有安全類別為二級以及以下的度量指標都應被提取出來，構成給度量要素的度量指標集合，進而構成此次度量的度量指標集合。

3、度量結果的量化與分析

顯然，定量化的數(shù)據(jù)及圖表在描述安全控制目標實現(xiàn)程度的變化趨勢，證明安全投資合理性方面比非量化的描述更具有優(yōu)勢。因此，試圖從度量要素和度量指標的量化工作出發(fā)，最后給出定量化的安全管理度量結果。在度量要素集合中，各個度量要素對于信息系 統(tǒng)安全的影響是不同。為是度量結果更真的反應安全管理的各個環(huán)節(jié)，需要為各個度量要素賦予不同的權重。類似的，每個度量要素的各指標也應該賦予不同的權重。

在統(tǒng)計信息系統(tǒng)安全管理度量的得分時，首先根據(jù)各個度量指標的得分統(tǒng)計加權得出每個度量要素的得分，然后再由各個度量要素得分的統(tǒng)計加權得出該組織的安全管理度量最后得分。

如上表所示，度量要素的各個度量指標（核查問題）的設計應該標準化，如均為單選選擇題，并知道那個簡單明確、無歧義的評分規(guī)則，如選答案“是”應得滿分M，選答案“否”為0分，選答案“一部分”得5分等。度量指標誰的標準優(yōu)化可保證度量結構不受度量實施人員主觀因素的干擾，維持客觀性。

安全管理度量應該定期進行。一段時間（如一年或一季度）內的幾次安全管理度量的量化結果能夠表現(xiàn)安全控制目標實現(xiàn)程度隨時時間的變化趨勢（如下圖所示），幫助管理者識別抵消的安全控制，引導安全投資，提高安全管理水平，實現(xiàn)組織的信息安全目標。

第六章 總結

本論文主要研究的是基于互聯(lián)網(wǎng)的電子政務等級保護，首先討論了電子政務的現(xiàn)狀和主要問題，敘述了基于互聯(lián)網(wǎng)的電子政務等級保護的建設和研究。主旨是通過對此項問題的研究，對基于互聯(lián)網(wǎng)的電子政務等級保護有更深刻的了解，并且加深印象，對此項問題的研究起到推動作用。

隨著社會的發(fā)展，政府的網(wǎng)絡化越來越重要，使人民的政府成為一個民主的政府，透明的政府，是越來越需要的。

總結近年來的電子政務的發(fā)展，總體來說是相當不錯的，國家對此也十分注重，多次制定法律法規(guī)規(guī)范電子政務的發(fā)展以及應用，為電子政務在我國普及、發(fā)展提供了必要的條件，同時，也是人們對電子政務的重要性有了新的認識。

在未來的時間里，電子政務無疑會成為社會的主流，無論是政府還是企業(yè)，都會把發(fā)展電子政務作為首要問題。電子政務無疑已經成為了一個成熟的企業(yè)、一個發(fā)達的國家的象征。

參考文獻

［１］ 馬作者：燕曹，周湛．信息安全法規(guī)與標準［Ｍ］．北京：機械工業(yè)出版社，２００４． ［２］ 羅海寧 郭紅 吳亞飛

國家電子政務外網(wǎng)安全等級保護定級工作基本完成 ［３］ 劉學忠 劉增良 余達太

基于等級保護的安全管理度量方法研究 ［４］ 孟源 楊宏

基于等級保護的電子政務外網(wǎng)整體安全解決方案 ［５］ 吳海波 有效保障電子政務安全