电子政务信息安全等级保护实施综合指南

《电子政务信息安全等级保护实施综合指南》由会员分享，可在线阅读，更多相关《电子政务信息安全等级保护实施综合指南（48页珍藏版）》请在装配图网上搜索。

1、电子政务信息安全等级保护实施指南（试行）国务院信息化工作办公室2005年 9 月目录1 引言 11.1 编写目的 11.2 适用范围 11.3 文档结构 12 基本原理 22.1 基本概念 22.1.1 电子政务等级保护的基本含义 22.1.2 电子政务安全等级的层级划分 32.1.3 电子政务等级保护的基本安全要求 42.2 基本方法 42.2.1 等级保护的要素及其关系 42.2.2 电子政务等级保护实现方法 52.3 实施过程 62.4 角色及职责 92.5 系统间互联互通的等级保护要求 103 定级 103.1 定级过程 113.2 系统识别与描述 113.2.1 系统整体识别与描述

2、113.2.2 划分子系统的方法 123.2.3 子系统识别与描述 133.3 等级确定 133.3.1 电子政务安全属性描述 133.3.2 定级原则 133.3.3 定级方法 163.3.4 复杂系统定级方法 174 安全规划与设计 184.1 系统分域保护框架建立 184.1.1 安全域划分 184.1.2 保护对象分类 194.1.3 系统分域保护框架 214.2 选择和调整安全措施 224.3 安全规划与方案设计 244.3.1 安全需求分析 244.3.2 安全项目规划 244.3.3 安全工作规划 254.3.4 安全方案设计 255 实施、等级评估与运行 255.1 安全措施的

3、实施 255.2 等级评估与验收 255.3 运行监控与改进 26附录 A 术语与定义 27附录 B 大型复杂电子政务系统等级保护实施过程示例 27B.1 大型复杂电子政务系统描述 27B.2 等级保护实施过程描述 28B.3 系统划分与定级 29系统识别和子系统划分 29系统安全等级确定 29系统分域保护框架 30B.4 安全规划与设计 33安全措施的选择与调整 33等级化风险评估 34等级化安全体系设计 34安全规划与方案设计 36B.5 安全措施的实施 39图表目录图 2-1 电子政务等级保护的实现方法 6图 2-2 电子政务等级保护的基本流程 7图 2-3 等级保护过程与新建和已建系统

4、生命周期对应关系 9图 3-1 定级工作流程 11图 4-1 安全规划与设计过程 18图 4-2 电子政务的保护对象及信息资产 20图 4-3 系统分域保护框架示意图 22图 4-4 确定安全措施的过程 22图 4-5 系统安全需求 24图 5-1 安全措施的实施 25图 5-2 等级保护的运行改进过程 26表 2-1 电子政务系统五个安全等级的基本内容 3表 3-1 电子政务安全等级在安全属性方面的描述 15表 4-1 安全措施的调整因素和调整方式 23电子政务信息安全等级保护实施指南（试行）1 引言1.1 编写目的国家信息化领导小组关于加强信息安全保障工作的意见 （中办发 200327 号

5、，以下 简称“ 27 号文件”）明确要求我国信息安全保障工作实行等级保护制度 , 提出“抓紧建立信 息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年 9月发布的关于信息安全等级保护工作的实施意见 （公通字 200466 号，以下简称“ 66 号文件”） 进一步强调了开展信息安全等级保护工作的重要意义， 规定了实施信息安全等级保护制度的 原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办 法。27 号文件和 66号文件不但为各行业开展信息安全等级保护工作指明了方向，同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。 电

6、子政务作为国家 信息化战略的重要组成部分，其安全保障事关国家安全和社会稳定，必须按照 27 号文件要 求，全面实施信息安全等级保护。因此，组织编制电子政务信息安全等级保护实施指南 规范电子政务信息安全等级保护工作的基本思路和实施方法， 指导我国电子政务建设中的信 息安全保障工作，对搞好电子政务信息安全保障具有十分重要的现实意义。1.2 适用范围本指南提供了电子政务信息安全等级保护的基本概念、 方法和过程， 适用于指导各级党 政机关新建电子政务系统和已建电子政务系统的等级保护工作。1.3 文档结构本指南包括五个章节和两个附录。第 1 章为引言，介绍了本指南的编写目的、适用范围和文档结构；第 2

7、章为基本原理， 描述了等级保护的概念、原理、实施过程、角色与职责，以及系统间互联互通的等级保护要 求；第 3 章描述了电子政务等级保护的定级，包括定级过程、系统识别和描述、等级确定； 第 4 章描述了电子政务等级保护的安全规划与设计，包括电子政务系统分域保护框架的建 立，选择和调整安全措施，以及安全规划与方案设计；第 5 章描述了安全措施的实施、等级 评估，以及等级保护的运行改进。附录 A 介绍了本指南术语定义；附录 B 介绍了大型复杂电子政务系统等级保护实施过 程的示例。除明确声明外， 本指南中所提到的等级保护、 电子政务等级保护都是指电子政务信息安 全等级保护。2 基本原理2.1 基本概念

8、2.1.1 电子政务等级保护的基本含义信息安全等级保护是国家在国民经济和社会信息化的发展过程中， 提高信息安全保障能 力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化健康发展的基本策略。 27 号文件对信息安全等级保护做出了系统的描述“信息化发展的不同阶段和不同的信 息系统有着不同的安全需求， 必须从实际出发， 综合平衡安全成本和风险， 优化信息安全资 源的配置，确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方 面的重要信息系统。 ”电子政务信息安全等级保护是根据电子政务系统在国家安全、 经济安全、 社会稳定和保 护公共利益等方面的重要程度， 结合系统面临的风

9、险、 系统特定安全保护要求和成本开销等 因素， 将其划分成不同的安全保护等级， 采取相应的安全保护措施， 以保障信息和信息系统 的安全。电子政务等级保护工作分为管理层面和用户层面两个方面的工作。 管理层的主要工作是 制定电子政务信息安全等级保护的管理办法、 定级指南、 基本安全要求、 等级评估规范以及 对电子政务等级保护工作的管理等。 用户层的主要工作是依据管理层的要求对电子政务系统 进行定级， 确定系统应采取的安全保障措施， 进行系统安全设计与建设， 以及运行监控与改 进。本指南的内容主要针对用户层面的工作。电子政务信息安全等级保护遵循以下原则：a) 重点保护原则电子政务等级保护要突出重点。

10、 对关系国家安全、 经济命脉、 社会稳定等方面的重 要电子政务系统，应集中资源优先建设。b) “谁主管谁负责、谁运营谁负责”原则电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则，由各主管部门 和运营单位依照国家相关法规和标准， 自主确定电子政务系统的安全等级并按照相关要 求组织实施安全保障。c) 分区域保护原则电子政务等级保护要根据各地区、 各行业电子政务系统的重要程度、 业务特点和不 同发展水平，分类、分级、分阶段进行实施，通过划分不同的安全区域，实现不同强度 的安全保护。d) 同步建设原则电子政务系统在新建、 改建、 扩建时应当同步建设信息安全设施， 保证信息安全与 信息化建设相

11、适应。5) 动态调整原则由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中，因此信息与信息系统的安全保护等级需要根据变化情况，适时重新确定，并相应调整对应的保护措施。电子政务安全等级的层级划分66号文件中规定信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。按66号文件的规定，对电子政务的五个安全等级定义如表 2-1所示。表2-1电子政务系统五个安全等级的基本内容安全等级等级名称基本描述安全保护要求第一级自主保护级适用于一般的电子政务系统。系统遭到破坏 后对政务机构履行其政务职能、机构财产、 人员造成较小的负

12、面影响。参照国家标准自主进 行保护。第二级指导保护级适用于处理日常政务信息和提供一般政务服 务的电子政务系统。系统遭到破坏后对政务 机构履行其政务职能、机构财产、人员造成 中等程度的负面影响。在主管部门的指导 下，按照国家标准自 主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服 务的电子政务系统。系统遭到破坏后可能对 政务机构履行其政务职能、机构财产、人员 造成较大的负面影响，可能对国豕安全造成 一定程度的损害。在主管部门的监督 下，按国家标准严格 落实各项保护措施进 行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设 和公共利益的重要电子政务系统。系统遭到 破坏

13、后可能对政务机构履行其政务职能、机 构财产、人员造成严重的负面影响，可能对 国豕安全造成较大损害。在主管部门的强制监 督和检查下，按国家 标准严格落实各项措 施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设 和公共利益的核心系统。系统遭到破坏后对 政务机构履行其政务职能、机构财产、人员 造成极其严重的负面影响，对国家安全造成 严重损害。根据安全需求，由主 管部门和运营单位对 电子政务系统进行专 门控制和保护。2.1.3 电子政务等级保护的基本安全要求电子政务等级保护基本安全要求是对各等级电子政务系统的一般性要求，分为五个等 级，从第一级至第五级， 对应于五个等级的电子政务系统

14、。 对特定电子政务系统的安全保护， 以其相应等级的基本安全要求为基础， 通过对安全措施的调整和定制， 得到适用于该电子政 务系统的安全保护措施。电子政务等级保护基本安全要求分为安全策略、 安全组织、 安全技术和安全运行四个方 面。a) 安全策略 安全策略是为了指导和规范电子政务信息安全工作而制定的安全方针、管理制度、 规范标准、 操作流程和记录模板等文档的总和。 安全策略具有层次化的结构， 包括整体 安全策略、部门级安全策略、系统级安全策略等。b) 安全组织安全组织是为了保障电子政务信息安全而建立的组织体系，包括各级安全组织机 构、岗位安全职责、人员安全管理、第三方安全管理、安全合作与沟通等方

15、面。c) 安全技术 安全技术是指保障电子政务信息安全的安全技术功能要求和安全技术保障要求， 包 括网络与通讯安全、主机与平台安全、数据库安全、应用安全、数据安全、物理环境安 全等方面。d) 安全运行 安全运行是为了保障电子政务系统运行过程中的安全而制定的安全运维要求， 包括 风险管理、配置和变更管理、信息系统工程安全管理、日常运行管理、技术资料安全、 应急响应等方面。具体的电子政务等级保护基本安全要求参见相关的国家标准。2.2 基本方法2.2.1 等级保护的要素及其关系电子政务等级保护的基本原理是： 依据电子政务系统的使命、 目标和重要程度， 将系统 划分为不同的安全等级， 并综合平衡系统特定

16、安全保护要求、 系统面临安全风险情况和实施 安全保护措施的成本， 进行安全措施的调整和定制， 形成与系统安全等级相适应的安全保障 体系。电子政务等级保护包含以下七个要素：a) 电子政务系统电子政务系统是信息安全等级保护的对象， 包括系统中的信息、 系统所提供的服务， 以及执行信息处理、存储、传输的软硬件设备等。b) 目标目标是指电子政务系统的业务目标和安全目标，电子政务等级保护要保障业务目标和安全目标的实现。c) 电子政务信息安全等级 电子政务信息安全等级划分为五级， 分别体现在电子政务系统的等级和安全保护的 等级两个方面。d) 安全保护要求 不同的电子政务系统具有不同类型和不同强度的安全保护

17、要求。e) 安全风险 安全风险是指电子政务系统由于本身存在安全弱点， 通过人为或自然的威胁可能导 致安全事件的发生。 安全风险由安全事件发生的可能性及其造成的影响这两种指标来综 合衡量。f) 安全保护措施 安全保护措施是用来对抗安全风险、 满足安全保护要求、 保护电子政务系统和保障 电子政务目标实现的措施，包括安全管理措施和安全技术措施。g) 安全保护措施的成本 不同类型和强度的安全保护措施的实现需要不同的成本， 安全保护措施的成本应包 括设备购买成本、实施成本、维护成本和人员成本等。电子政务等级保护各要素之间的关系是：a) 电子政务系统的安全等级由系统的使命、目标和系统重要程度决定。b) 安

18、全措施需要满足系统安全保护要求，对抗系统所面临的风险。1) 不同电子政务系统的使命和业务目标的差异性， 业务和系统本身的特性 (所属 信息资产特性、 实际运行情况和所处环境等) 的差异性， 决定了系统安全保护 要求特性(安全保护要求的类型和强度)的差异性。2) 系统保护要求类型和强度的差异性， 安全风险情况的差异性， 决定了选择不同 类型和强度的安全措施。c) 电子政务安全措施的确定需要综合平衡系统保护要求的满足程度、系统面临风险的控制和降低程度、 系统残余风险的接受程度、 以及实施安全措施的成本， 在适度成 本下实现适度安全。2.2.2 电子政务等级保护实现方法27 号文件指出，实行信息安全

19、等级保护时“要重视信息安全风险评估工作，对网络与 信息系统安全的潜在威胁、 薄弱环节、 防护措施等进行分析评估， 综合考虑网络与信息系统 的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理” 。电子政务等级保护的实现方法如图 2-1 所示：图2-1电子政务等级保护的实现方法电子政务系统实施等级保护的方法是：a）依据电子政务安全等级的定级规则，确定电子政务系统的安全等级；b）按照电子政务等级保护要求，确定与系统安全等级相对应的基本安全要求；c） 依据系统基本安全要求，并综合平衡系统安全保护要求、系统所面临风险和实施安全保护措施的成本， 进行安全保护措施的定制，确定适用于特

20、定电子政务系统的安全保护措施，并依照本指南相关要求完成规划、设计、实施和验收。2.3实施过程电子政务等级保护的实施过程包括三个阶段，分别为：a）定级阶段b）规划与设计阶段c）实施、等级评估与改进阶段宀歳忝轨讯劭与播述1111黑一阶段像护对象抵架建之第二阶段：级，扩图2-2电子政务等级保护的基本流程憑一 段僅孩恨广坐严込？改竝第一阶段：定级定级阶段主要包括两个步骤：a）系统识别与描述清晰地了解政务机构所拥有的电子政务系统，根据需要将复杂电子政务系统分解为电子政务子系统，描述系统和子系统的组成及边界。b）等级确定完成电子政务系统总体定级和子系统的定级。第二阶段：规划与设计规划与设计阶段主要包括三个

21、步骤，分别为：a) 系统分域保护框架建立保护对象分类， 建立电子政务系统的分域保通过对电子政务系统进行安全域划分、护框架。b) 选择和调整安全措施 根据电子政务系统和子系统的安全等级， 选择对应等级的基本安全要求， 并根据风 险评估的结果， 综合平衡安全风险和成本， 以及各系统特定安全要求， 选择和调整安全 措施，确定出电子政务系统、子系统和各类保护对象的安全措施。c) 安全规划和方案设计 根据所确定的安全措施， 制定安全措施的实施规划， 并制定安全技术解决方案和安 全管理解决方案。第三阶段：实施、等级评估与改进 实施、等级评估与改进阶段主要包括三个步骤，分别为：a) 安全措施的实施 依据安全

22、解决方案建设和实施等级保护的安全技术措施和安全管理措施。b) 评估与验收 按照等级保护的要求，选择相应的方式来评估系统是否满足相应的等级保护要求， 并对等级保护建设的最终结果进行验收。c) 运行监控与改进运行监控是在实施等级保护的各种安全措施之后的运行期间， 监控系统的变化和系 统安全风险的变化， 评估系统的安全状况。 如果经评估发现系统及其风险环境已发生重 大变化， 新的安全保护要求与原有的安全等级已不相适应， 则应进行系统重新定级。 如 果系统只发生部分变化， 例如发现新的系统漏洞， 这些改变不涉及系统的信息资产和威 胁状况的根本改变，则只需要调整和改进相应的安全措施。对于大型复杂电子政务

23、系统， 等级保护过程可以根据实际情况进一步加强和细化， 以满 足其复杂性的要求。附录 B 给出了大型复杂电子政务系统等级保护实施过程的示例。新建电子政务系统的等级保护工作与已经建成的电子政务系统之间， 在等级保护工作的 切入点方面是不相同的，它们各自的切入点及其对应关系如图 2-3 所示。新建电子政务系统在启动时，应当按照等级保护的要求来建设。a) 系统规划阶段， 应分析并确定所建电子政务系统的安全等级， 并在项目建议书中对 系统的安全等级进行论证。b) 系统设计阶段， 要根据所确定的系统安全等级， 设计系统的安全保护措施， 并在可 行性分析中论证安全保护措施；c) 系统实施阶段， 要与信息系

24、统建设同步进行信息安全等级保护体系的实施，之后进行等级评估和验收。d）系统运行维护阶段，要按照所建立的等级保护体系的要求，进行安全维护与安全管理。e）系统废弃阶段，要按照所建立的等级保护体系的要求，对废弃过程进行有效的安全管理。对于已建的电子政务系统， 由于在系统规划、设计和实施阶段没有考虑等级保护的要求， 因此等级保护工作的切入点是系统运行维护阶段。；朋划阶段 设讣阶段 实施阶段运忏维护阶報缓暑经级护功系等保启新建电了政务最统導级恨护过程已雀电r政务糸统諄議保护过柞系畀保VII |图2-3等级保护过程与新建和已建系统生命周期对应关系在确定要实施等级保护工作之后，应对系统进行安全现状分析，深入

25、认识和理解机构所拥有的电子政务系统， 对每个系统进行定级， 之后进行等级保护的安全规划和方案设计，最后进行实施、评估和验收。2.4角色及职责电子政务等级保护工作主要包括决策者、技术负责人、实施人员三类角色。a）决策者决策者是政务机构中对本单位实施电子政务信息安全等级保护工作的最终决策人。决策者在等级保护中的职责如下：1）组织、协调和推动本单位电子政务等级保护工作；2）负责最终确定本单位电子政务系统的安全等级；3）领导和监督本单位电子政务等级保护体系的建设工作；4）与本单位电子政务等级保护建设的上级主管部门进行沟通和协调，组织、配合等级评审与验收；5）监督本单位电子政务等级保护体系的运行与改进。

26、b）技术负责人技术决技术负责人是对本单位实施电子政务信息安全等级保护工作的决策支持者、策人和实施管理者。技术负责人在等级保护中的职责如下：1) 协助决策者组织、协调和推动本单位电子政务等级保护的工作；2) 向决策者提供本单位电子政务系统安全定级的建议及依据；3) 组织实施本单位电子政务等级保护体系的建设；4) 组织和总结本单位等级保护的实施情况， 配合上级主管部门进行等级评估和验 收；5) 组织实施本单位电子政务等级保护体系的运行与改进。c) 实施人员实施人员是政务机构中实施信息安全等级保护的具体工作人员。 实施人员在等级保 护中的职责如下：1) 分析本单位电子政务系统，收集定级理由和证据；2

27、) 在技术负责人的领导下，具体组织和参与完成等级保护各阶段的工作。2.5 系统间互联互通的等级保护要求 不同安全等级的电子政务系统之间可以根据业务需要进行互联互通。 不同安全等级的系 统互联互通， 要根据系统业务要求和安全保护要求， 制定相应的互联互通安全策略， 包括访 问控制策略和数据交换策略等。 要采取相应的边界保护、 访问控制等安全措施， 防止高等级 系统的安全受低等级系统的影响。电子政务系统间的互联互通遵循以下要求：a) 同等级电子政务系统之间的互联互通 由系统的拥有单位参照该等级对访问控制的要求， 协商确定边界防护措施和数据交 换安全措施，保障电子政务系统间互联互通的安全。b) 不同

28、等级电子政务系统间的互联互通 各系统在按照自身安全等级进行相应保护的基础上， 协商对相互连接的保护。 高安 全等级的系统要充分考虑引入低安全等级系统后带来的风险，采取有效措施进行控制。c) 涉密系统与其它系统的互联互通，按照国家保密部门的有关规定执行。d) 电子政务系统互联互通中的密码配置按照国家密码管理部门的要求执行。3 定级电子政务系统定级可以采用以下两种方式进行：a) 对系统总体定级系统总体定级是在识别出政务机构所拥有的电子政务系统后， 针对系统整体确定其 安全等级。b) 将系统分解为子系统后分别定级政务机构所拥有的电子政务系统如果规模庞大、 系统复杂， 则可以将系统分解为多层次的多个子

29、系统后，对所分解的每个子系统分别确定其安全等级。3.1定级过程定级阶段的主要目标是确定电子政务系统及其子系统的安全等级。定级结果是进行安全规划与设计的基础，定级结果应按照相关管理规定提交相关管理部门备案。定级阶段工作主要包含两个过程：a）系统识别与描述应准确识别并描述出整体的电子政务系统， 以及系统可以分解的子系统。系统识别 要确定系统的范围和边界，识别系统包含的信息和系统提供的服务， 作为后续定级工作 的输入。b）等级确定进行系统整体定级和子系统分别定级，形成系统的定级列表，作为后续阶段工作的基础。定级工作流程如图 3-1所示。图3-1定级工作流程3.2系统识别与描述系统整体识别与描述实施等

30、级保护工作首先要求政务机构对其拥有的或拟建的电子政务系统进行深入的识 别和描述，识别和描述的内容至少包括如下信息：a）系统基本信息系统名称，系统的简要描述，所在地点等。b）系统相关单位负责定级的责任单位，系统所属单位，系统运营单位，主管部门，安全运营单位，安全主管部门等。c) 系统范围和边界描述系统所涵盖的信息资产范围、 使用者和管理者范围、 行政区域范围和网络区域 范围等，并清晰描述出其边界。d) 系统提供的主要功能或服务从整体层面描述系统所提供的主要功能或服务，即对公众、企业、相关政府机关、 内部用户等提供的主要服务。e) 系统所包含的主要信息描述系统所输入、处理、存储、输出的主要信息和数

31、据。3.2.2 划分子系统的方法3.2.2.1 划分原则对政务机构所拥有的大型复杂电子政务系统， 可以将其划分为若干子系统进行定级， 子 系统划分基于以下原则：a) 按照系统服务对象划分电子政务系统的服务对象即目标用户， 包括社会公众、 企事业单位、 机构内部人员、其它政务机构等。依据其所服务的目标用户可分为以下几类系统：1) 政务机构对公民的电子政务系统2) 政务机构对企业的电子政务系统3) 政务机构对政务机构的电子政务系统4) 政务机构对公务员的电子政务系统b) 按系统功能类型划分根据系统的功能类型或提供的服务类型划分子系统。划分时除了考虑到对外部用户(社 会公众、企事业单位、其它政务机构

32、)提供服务的对外业务系统，对内部用户(内部公 务员、领导)提供服务的内部办公和管理系统外，还应考虑到对前两类系统提供承载、 支撑和管理作用的支持系统，如网络承载平台、网管系统、安全系统等。c) 按照网络区域划分根据电子政务系统建设现状， 系统可能运行在不同的电子政务网络范围内， 不同的 电子政务网络在涉密程度、 隔离模式和管理模式上差异较大， 所以可以按照电子政务系 统运行的网络区域进行子系统划分。d) 按行政级别划分 按系统所处的行政级别，如中央、省部级、地市级、县区级等进行子系统划分。3.2.2.2 子系统划分方法在子系统划分时，应根据系统实际情况和管理模式，综合考虑子系统划分的四个原则，

33、 确定适用于各电子政务系统的子系统划分标准。 划分时可以选择一个原则， 也可以同时选用 多个原则作为划分标准，如以某一个或两个要素为主要划分标准，其余为辅助划分标准。对于规模庞大的系统， 为了便于描述， 一般应按照多个层次逐级进行划分。 具体的划分 方法可参考附录 B ：大型复杂电子政务系统等级保护实施过程示例 。子系统识别与描述 子系统的识别与描述可参照 系统整体识别与描述。3.3 等级确定3.3.1 电子政务安全属性描述 电子政务安全等级主要依据系统的信息安全属性被破坏后所造成的影响来确定。 电子政 务信息安全属性包括三个方面：保密性、完整性、可用性。a) 保密性确保电子政务系统中的信息只

34、能被授权的人员访问。 保密性破坏是指电子政务系统 中各类信息的未授权泄漏。电子政务系统中的信息依据其保密程度分为以下类别：1) 涉及国家秘密的信息，包括绝密级、机密级和秘密级信息；2) 敏感信息， 指不涉及国家秘密， 但在政务工作过程中需要一定范围保密， 不对 社会公众开放的信息；3) 公开信息，指对社会公众开放的信息。b) 完整性确保电子政务系统中信息及信息处理方法的准确性和完备性。 完整性破坏是指对电 子政务系统中信息和系统的未授权修改和破坏。电子政务完整性目标包括两个方面：1) 电子政务系统中存储、传输和处理的信息完整性保护；2) 电子政务系统本身的完整性保护。 系统完整性保护涉及从物理

35、环境、 基础网络、 操作系统、 数据库系统、 电子政务应用系统等信息系统的每一个组成部分的完 整性保护。c) 可用性 确保已授权用户在需要时可以访问电子政务系统中的信息和相关资产。 可用性破坏 是指电子政务系统所提供服务的中断，授权人员无法访问电子政务系统和信息。可用性目标是保证授权用户能及时可靠地访问信息、 服务和系统资源， 不因人为或 自然的原因使系统中信息的存储、 传输或处理延迟， 或者系统服务被破坏或被拒绝达到 不能容忍的程度。电子政务可用性目标保护包括两个方面：1) 电子政务系统所提供的服务的可用性；2) 电子政务系统中存储、传输和处理的信息的可用性。3.3.2 定级原则电子政务系统

36、的安全等级可从信息安全的保密性、完整性、 可用性三个基本属性在遭到破坏时对政务机构履行其政务职能、机构财产、人员造成的影响来确定。a) 安全等级第一级 对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、 机构财 产、人员造成较小的负面影响，包括：1) 对政务机构运行带来较小的负面影响，政务机构还可以履行其基本的政务职 能，但效率有较小程度的降低；2) 对政务机构、相关单位、人员造成较小经济损失；3) 对政务机构、相关单位、人员的形象或名誉造成较小影响；4) 不会造成人身伤害。b) 安全等级第二级 对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、 机构财 产、人

37、员造成中等程度的负面影响，包括：1) 对政务机构运行带来中等程度的负面影响， 政务机构还可以履行其基本的政务 职能，但效率有较大程度的降低；2) 对政务机构、相关单位、人员造成一定程度的经济损失；3) 对政务机构、相关单位、人员的形象或名誉造成一定程度的负面影响；4) 造成轻微的人身伤害。c) 安全等级第三级 对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、 机构财 产、人员造成较大的负面影响，对国家安全造成一定程度的损害，包括：1) 对政务机构运行带来较大的负面影响， 政务机构的一项或多项政务职能无法履 行；2) 对政务机构、相关单位、人员造成较大经济损失；3) 对政务机构

38、、相关单位、人员的形象或名誉造成较大的负面影响；4) 导致严重的人身伤害。d) 安全等级第四级 对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、 机构财 产、人员造成严重的负面影响，对国家安全造成较大损害，包括：1) 对政务机构运行带来严重的负面影响， 政务机构的多项政务职能无法履行， 并 在省级行政区域范围内造成严重影响；2) 对国家造成严重的经济损失；3) 对国家形象造成严重影响；4) 导致较多的人员伤亡；5) 导致危害国家安全的犯罪行为。e）安全等级第五级对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造

39、成严重损害，包括：1）对政务机构运行带来极其严重的负面影响，中央政务机构的一项或多项政务职能无法履行，并在全国范围内造成极其严重的影响；2）对国家造成极大的经济损失；3）对国家形象造成极大影响；4）导致大量人员伤亡；5）导致危害国家安全的严重犯罪行为。电子政务五个安全等级在保密性、完整性和可用性三个安全属性方面的描述如表3-1所示。表3-1电子政务安全等级在安全属性方面的描述安全等级电子政务安全等级描述保密性完整性可用性1对电子政务系统中信息 的未授权泄漏会对政务 机构运行、机构财产、人 员造成较小的负面影响。对电子政务系统和信息的 未授权修改和破坏会对政 务机构运行、机构财产、人 员造成较小

40、的负面影响。授权人员对电子政务系 统和信息访问的中断会 对政务机构运行、机构财 产、人员造成较小的负面 影响。2对电子政务系统中信息 的未授权泄漏会对政务 机构运行、机构财产、人 员造成中等程度的负面 影响。对电子政务系统和信息的 未授权修改和破坏会对政 务机构运行、机构财产、人 员造成中等程度的负面影 响。授权人员对电子政务系 统和信息访问的中断会 对政务机构运行、机构财 产、人员造成中等程度的 负面影响。3对电子政务系统中信息 的未授权泄漏会对政务 机构运行、机构财产、人 员造成较大的负面影响， 对国家安全造成一定程 度的损害。对电子政务系统和信息的未授权修改和破坏会对政务机构运行、机构财

41、产、人 员造成较大的负面影响， 对 国家安全造成一定程度的 损害。授权人员对电子政务系 统和信息访问的中断会 对政务机构运行、机构财 产、人员造成较大的负面 影响，对国家安全造成一 定程度的损害。4对电子政务系统中信息 的未授权泄漏会对政务 机构运行、机构财产、人 员造成严重的负面影响， 对国家安全造成较大损 害。对电子政务系统和信息的未授权修改和破坏会对政 务机构运行、机构财产、人 员造成严重的负面影响， 对 国豕安全造成较大损害。授权人员对电子政务系 统和信息访问的中断会 对政务机构运行、机构财 产、人员造成严重的负面 影响，对国家安全造成较 大损害。5对电子政务系统中信息 的未授权泄漏会

42、对政务 机构运行、机构财产、人 员造成极其严重的负面 影响，对国家安全造成严 重损害。对电子政务系统和信息的 未授权修改和破坏会对政 务机构运行、机构财产、人 员造成极其严重的负面影 响，对国家安全造成严重损 害。授权人员对电子政务系 统和信息访问的中断会 对政务机构运行、机构财 产、人员造成极其严重的 负面影响，对国家安全造 成严重损害。333定级方法确定电子政务安全等级的基本方法是：通过确定系统保密性、完整性和可用性三个方面的安全等级来综合确定系统的安全等级。定级方法适用于电子政务系统整体定级和各子系统定级。对大型复杂系统，可以引入业务系统等级确定方法，具体方法可以参照附录B :大型复杂电

43、子政务系统等级保护实施过程示例。系统定级主要考虑两个方面：一是系统中所存储、处理、传输的主要信息，二是系统所提供的主要服务。通过对每一类信息和服务安全等级的分析，最终确定系统的安全等级。系统安全等级是系统中各类信息和服务安全等级的最大值，并且可以根据系统整体实际情况进行调整，确定系统最终的安全等级。某个电子政务系统（假设其名称为A）的安全等级可以表示为：安全等级（A） = Max（系统保密性等级）,（系统完整性等级）,（系统可用性等级） 其中：系统保密性等级=Max （各信息或服务的保密性等级）系统完整性等级=Max （各信息或服务的完整性等级）系统可用性等级=Max （各信息或服务的可用性等

44、级）电子政务系统 A最终的安全等级为系统保密性等级、系统完整性等级、系统可用性等 级中的最大值。举例：某个政务机构招标采购系统进行定级，系统中包含两类信息和一种服务，一类信息为开标前各投标单位的投标信息，另一类信息为系统管理信息，系统提供的服务为招标服务。投标信息的保密性等级为3,完整性等级为 2,可用性等级为 2;系统管理信息的保密性等级为1，完整性等级为1，可用性等级为1;招标服务的保密性等级为1，完整性等级为1,可用性等级为 2。通过比较两类信息各安全属性等级的最大值，得到系统在三个安全属性方面的等级：系统保密性等级 =Max （投标信息保密性等级：3）,（系统管理信息保密性等级：1）,

45、（招标服务保密性等级：1） =3系统完整性等级=Max（投标信息完整性等级：2）,（系统管理信息完整性等级：1）,（招 标服务完整性等级：1） = 2系统可用性等级=Max（投标信息可用性等级：2）,（系统管理信息可用性等级：1）,（招 标服务可用性等级：2) = 2得到该政务机构招标采购系统的安全等级为：安全等级(投标采购系统)=Max (保密性等级：3),(完整性等级：2),(可用性等级：2) = 3 该政务机构招标采购系统的最终安全等级确定为3。复杂系统定级方法对于包括多个子系统的复杂电子政务系统， 定级可以包括系统总体安全等级和各子系统 的安全等级。 系统总体定级和各子系统定级可以分别

46、采用自上向下的定级方式和自下向上的 定级方式，也可以综合两种方式进行。3.3.4.1 自上向下的定级方式 自上向下的定级方式是从系统总体等级向下细化出子系统等级的方式。 首先依据系统的整体情况， 根据定级规则对电子政务系统进行总体定级， 然后根据系统总体安全等级， 对子 系统采用同一等级或适当降低等级，从而确定子系统等级。自上向下定级方式是从整体系统的属性出发， 向下细分， 通过考虑整体系统的使命、 整 体业务框架、 业务特性、 安全要求、 系统在国家层面的定位等， 来把握系统整体的安全等级。自上向下的定级方式包含如下步骤：a) 确定整体系统的等级，即总体定级1) 对整体系统识别的主要信息或服

47、务分别分析其保密性、 完整性和可用性的等级， 得到 一个列表；2) 按照系统定级规则，计算得到整体系统的保密性、完整性和可用性的初始安全等级， 和初始的总体定级；3) 对已确定的系统三性的初始安全等级和初始的总体定级应进行适用性评审， 评审时要 考虑系统在政务机构履行其职能中所起的作用、系统的使命、整体业务框架、系 统在国家层面的定位，以及本系统的外部环境等因素。 对于等级不合适的部分进行 调整，最后确定系统的最终安全等级。b) 确定各子系统的等级1) 从总体等级出发，对子系统采用相同等级或适当降低等级，从而确定子系统等级；2) 也可以对各子系统识别的每一类信息或服务分别分析其保密性、 完整性

48、和可用性的等 级，按照系统定级规则确定各子系统等级；3) 把上述的两种定级结果进行比较，最终确定各子系统的等级。3.3.4.2 自下向上的定级方式自下向上的定级方式是从各子系统定级向上综合确定系统总体安全等级的方式。首先依据各子系统的属性， 根据定级规则对各子系统进行定级， 然后以各子系统的安全等级为基础， 综合考虑，得到系统总体的安全等级。自下向上的定级方式从各个子系统的属性出发， 通过考虑各个子系统的实际情况、 所处的环境、之间的差异性来确定各子系统的安全等级。自下向上的定级方式包含如下步骤:a）确定各子系统的等级1）对各子系统已识别的每一类信息或服务分别分析其保密性、完整性和可用性的等级

49、, 得到一系列的列表；2）针对每个子系统，按照系统定级规则得到各子系统安全等级。b）确定整体系统的等级，即总体定级对各子系统等级进行总结和分析，确定整体系统的等级。总体安全等级的确定可以选用最高的子系统等级，但对于只有比例极少的子系统是最高等级的情况下，可以调低一级。4安全规划与设计电子政务系统在完成定级之后，等级保护工作的第二个阶段就是要进行安全规划与设计，包括系统分域保护框架建立，选择和调整安全措施，安全规划与方案设计三个部分。其主要工作内容与输入输出如图4-1所示：输入迥程揃出A 系纯芬域保护林樂瓏4电r政务系统力域保护选择扣调整安今诸施屮,政务*偷安伞措怜女全规划与方案设计图4-1安全

50、规划与设计过程安全規划说明H 安全技术解决方案 女全昔迎制决方案系统和子系统划分结聚 東统和子系统安卒尊级/特级慄护垩本安全荽求 系続药迩衣亍屋求安全措施成木 /心政务系统安全州施 安全措施的成本 凤险评佔结杲4.1系统分域保护框架建立安全域划分安全域划分是将电子政务系统划分为不同安全区域，分别进行安全保护的过程。安全域划分方式安全域划分可以采用以下两种方式实现：a）对政务机构整体进行安全域划分在政务机构所管辖的范围内对其所拥有的所有电子政务系统统一进行安全域划分,将整个政务机构的所有系统分为若干个安全区域。b) 在每个电子政务系统内进行安全域划分 在每个电子政务系统内部，划分为若干个安全区域

51、。4.1.1.2 安全域划分原则 电子政务安全区域的划分主要依据电子政务系统的政务应用功能、 资产价值、 资产所面 临的风险，划分原则如下：a) 系统功能和应用相似性原则 安全区域的划分要以服务电子政务应用为基本原则， 根据政务应用的功能和应用内 容划分不同的安全区域。b) 资产价值相似性原则同一安全区域内的信息资产应具有相近的资产价值， 重要电子政务应用与一般的电 子政务应用分成不同区域。c) 安全要求相似性原则在信息安全的三个基本属性方面， 同一安全区域内的信息资产应具有相似的机密性 要求、完整性要求和可用性要求。d) 威胁相似性原则 同一安全区域内的信息资产应处在相似的风险环境中，面临相

52、似的威胁。4.1.2 保护对象分类 保护对象是信息系统内具有相似安全保护需求的一组信息资产的组合， 是从安全角度对 信息系统的描述。 依据电子政务系统的功能特性、 安全价值以及面临威胁的相似性， 电子政 务保护对象可分为计算区域、区域边界、网络基础设施三类。a) 计算区域 计算区域是指由相同功能集合在一起， 安全价值相近， 且面临相似威胁的一组信息 系统组成。计算区域的信息资产包括：主机资产、平台资产、应用软件资产和政务数据 资产等。 涉及区域内的物理层、 网络层、 系统层、 应用软件层、 数据层和业务流程层面。 包含的安全属性包括所属信息资产的物理安全、网络安全、边界安全、系统安全、应用 系

53、统安全、数据安全和业务流程安全等。计算区域可以从安全域划分的结果得到。b) 区域边界 区域边界是指两个区域或两组区域之间的隔离功能集。 边界是虚拟对象， 不与具体 资产对应，边界是一组功能集合，包括边界访问控制，边界入侵检测和审计等。设计系 统分域保护框架时区域边界可以作为计算区域的一个属性进行处理。通过对各安全区域之间的连接状况分析， 可以得到某个安全区域与其它区域之间的 边界。c）网络基础设施网络基础设施是指由相同功能集合在一起，安全价值相近，且面临相似威胁来源的一组网络系统组成， 包括由路由器、交换机和防火墙等构成的局域网或广域网，一般指区域边界之间的连接网络。某一个安全区域或多个安全区

54、域网络支撑平台构成了该区域的网络基础实施。电子政务保护对象及所包括信息资产如图4-2所示：图4-2电子政务的保护对象及信息资产一區域厲功德$ JI JBT t. KA AS KA 1 .1 tF各类信息资产描述如下：a）物理环境是指支撑电子政务系统的场所、所处的周边环境以及场所内保障计算机系统正常运 行的设备，包括机房、门禁、监控、电源、空调等。b）人员资产指与电子政务系统直接相关的人员，包括各级安全组织、安全人员、各级管理人员、网管员、系统管理员、业务操作人员和第三方人员等。c）网络资产是指电子政务系统网络传输环境的设备，软件和通信介质。网络资产包括路由器、 交换机、防火墙、网管、网络设备控

55、制台等。d）主机资产是指电子政务系统中承载业务系统和软件的计算机系统、外围系统（不含网络设备）及其操作系统。这里的主机资产包括大型机、中型机、小型机、磁盘阵列、Unix服务器、Windows服务器、工作站和终端等。e) 平台资产主要是指电子政务系统的软件平台系统，包括数据库、中间件、群件、邮件、 Web 服务器、集成开发环境和工具软件等。f) 应用软件资产是指为政务业务和管理应用而开发的各类应用软件及其提供的服务。g) 数据资产 是电子政务系统所存储、传输、处理的数据对象，是电子政务系统的核心资产。4.1.3 系统分域保护框架 系统分域保护框架是从安全角度出发， 通过对各保护对象进行组合来对信

56、息系统进行结 构化处理的方法。 结构化是指通过特定的结构将问题拆分成子问题的迭代过程， 其目标是更 好地体现信息系统的安全特性和安全要求。进行结构化处理要遵循以下几条基本原则：a) 充分覆盖所有子问题的总和必须覆盖原问题。 如果不能充分覆盖， 那么解决问题的方法就可 能出现遗漏，严重影响方法的可行性。b) 互不重叠同一级别的所有子问题都不允许出现重复，类似以下的情况不应出现在一个框架中：1) 两个不同的子问题其实是同一个子问题的两种表述；2) 某一个子问题其实是同一级别的另外两个子问题或多个子问题的合集。c) 不需再细分所有子问题都必须细分到不需再细分，或不可再细分的程度。 当一个问题经过框架

57、分析后，所有不可再细分的子问题组合构成了一个“框架” 。 以安全域划分和保护对象分类为基础， 经过结构化的分解， 可以将电子政务系统分解为 不同类别的保护对象，形成系统分域保护框架。图 4-3 描述了某个电子政务系统的系统分域保护框架的示例， 包括了系统所划分出的计 算区域、区域边界、网络基础设施等各类保护对象。示例中的计算区域包括两个层面， 细分为 7 个计算区域。 第一层区域包括政务专网区域 和政务外网区域。政务专网区域又分为核心数据区、业务服务器区、办公服务器区、网络管 理区和机关办公区；政务外网区域分为 WEB 服务区和机关工作区。示例中的网络基础设施包括政务专网网络基础设施、政务外网

58、网络基础设施。示例中的区域边界包括： 政务专网与其它政务专网系统的边界、 政务专网与政务外网的 边界、政务外网与互联网的边界，以及内部各计算区域之间的边界。.T政务专网政务&网机关T柞K计算区城0 卄豔图4-3系统分域保护框架示意图系统分域保护框架是设计解决方案的基础。 大型复杂系统的分域保护框架见附录B。4.2选择和调整安全措施电子政务系统或子系统的安全等级确定后，需要以分域保护框架为基础确定具体的安全保护措施（包括技术措施和管理措施）。确定安全措施的过程如图4-4所示：电子政务 系统图4-4确定安全措施的过程确定安全措施首先是根据电子政务系统的安全等级选择适用等级的基本安全要求，如电子政务

59、系统 A的安全等级为3级，应选择3级基本安全要求。在确定了基本安全要求的基 础上，再针对每个系统特定安全要求、面临风险的状况，并考虑安全措施的成本进行安全措 施的选择和调整，以得到针对特定系统的安全保护措施。对安全措施的调整基于以下原则：a）根据电子政务系统特定安全要求进行调整1）如果电子政务系统的保密性等级、完整性等级、可用性等级之中的一项或两项低于系统的安全等级，则可以降低该等级安全措施中对应的控制项的等级；2）如果电子政务系统的某些特定安全要求在基本安全要求中没有相应的控制项， 则可以添加与特定安全要求相适应的安全措施。b）根据风险评估的结果进行调整1）如果电子政务系统（或其保护对象）不

60、存在五个等级基本安全要求中某个控制项所要控制的安全风险，或其控制项不适用，则该控制项可以进行删减；2）如果风险评估中识别的某个风险，在五个等级基本安全要求中没有相应的控制项，则可以增加此类控制项；3）如果风险评估的结果显示，与五个等级基本安全要求提供的某个安全措施的安 全强度相比，风险较低，则可以降低控制项的强度等级；4）如果风险评估的结果显示，与五个等级基本安全要求提供的某个安全措施的安 全强度相比，风险较高，则可以提高控制项的强度等级。c）根据安全措施的成本进行调整在安全措施的调整过程中， 安全措施的成本也是一个重要的考虑因素， 各机构要根 据实际情况，基于合理成本选择和调整安全措施。 如

61、果某些安全措施的成本太高， 机构 无法承受，可以通过其他措施进行弥补。如果无法找到其他措施进行弥补， 则需要改变 机构的业务流程、运作方式或管理模式。表4-1安全措施的调整因素和调整方式序号调整因素调整方式1电子政务系统的保密性等级、完整性等级、 可用性等级之中的一项或两项低于系统的 安全等级降低对应控制项的等级2电子政务系统的某些特定安全要求在基本 安全要求中没有相应的控制项增加控制项3电子政务系统（或其保护对象）不存在相应等级基本安全要求中某个控制项所要控制的安全风险删减控制项4对电子政务系统风险评估中识别的某个风 险，在相应等级基本安全要求中没有相应的 控制项增加控制项5与相应等级基本安全要求提供的安全强度降低控制项的强度等级相比，风险较低6与五个等级基本安全要求提供的安全强度 相比，风险较咼提高控制项的强度等级7相应等级基本安全要求中某些安全措施的 成本太咼，机构无法承受可以通过其他措施进行弥补。如果 无法弥补，则需要改变机构的业务 流程、运作方式或管理模式。4.3安全规划