【正文】 電子政務(wù)外網(wǎng)等級化保護方案建議書電子政務(wù)外網(wǎng)等級化保護方案建議書目 錄1 項目介紹 6 項目背景 6 參考標(biāo)準(zhǔn) 8 方案指導(dǎo)思想 8 方案參考標(biāo)準(zhǔn) 9 參考標(biāo)準(zhǔn)匯總 10 方案規(guī)劃范圍 10 方案設(shè)計原則 112 區(qū)域劃分與定級建議 13 電子政務(wù)外網(wǎng)建設(shè)情況 13 網(wǎng)絡(luò)平臺規(guī)劃 14 應(yīng)用系統(tǒng)規(guī)劃 20 電子政務(wù)外網(wǎng)區(qū)域劃分 21 電子政務(wù)外網(wǎng)定級建議 24 省網(wǎng)管中心 25 省直單位 28 地市單位 313 安全需求分析 33 符合等級保護安全技術(shù)要求的需求 33 針對三級信息系統(tǒng)的安全技術(shù)要求 33 針對二級信息系統(tǒng)的安全技術(shù)要求 41 針對一級系統(tǒng)的安全技術(shù)要求 46 符合等級保護安全管理要求的需求 49 針對三級信息系統(tǒng)的安全管理要求 49 針對二級信息系統(tǒng)的安全管理要求 59 針對一級信息系統(tǒng)的安全管理要求 65 在自身防護方面的安全技術(shù)需求 69 對抗物理安全風(fēng)險 69 對抗網(wǎng)絡(luò)安全風(fēng)險 70 對抗主機安全風(fēng)險 70 對抗應(yīng)用安全風(fēng)險 71 對抗數(shù)據(jù)安全風(fēng)險 71 對抗管理安全風(fēng)險 724 安全技術(shù)規(guī)劃 73 安全方案規(guī)劃遵循的原則 73 針對三級區(qū)域的安全防護規(guī)劃 74 物理安全防護 74 網(wǎng)絡(luò)安全防護 81 主機安全防護 88 應(yīng)用安全防護 94 數(shù)據(jù)安全防護 105 針對二級區(qū)域的安全防護規(guī)劃 114 物理安全防護 114 網(wǎng)絡(luò)安全防護 118 主機安全防護 123 應(yīng)用安全防護 128 數(shù)據(jù)安全防護 131 針對一級區(qū)域的安全防護規(guī)劃 134 物理安全防護 134 網(wǎng)絡(luò)安全護 136 主機安全防護 138 應(yīng)用安全防護 140 數(shù)據(jù)安全防護 142 對自身安全防護需求的滿足 144 對抗物理安全風(fēng)險的需求 144 對抗網(wǎng)絡(luò)安全風(fēng)險的需求 144 對抗主機安全風(fēng)險的需求 145 對抗應(yīng)用安全風(fēng)險的需求 146 對抗數(shù)據(jù)安全風(fēng)險的需求 147 對抗管理安全風(fēng)險的需求 1475 安全管理規(guī)劃 148 針對三級區(qū)域的安全管理規(guī)劃 148 安全策略體系建設(shè) 148 安全組織體系建設(shè) 149 安全運營體系建設(shè) 151 針對二級區(qū)域的安全管理規(guī)劃 164 安全策略體系建設(shè) 164 安全組織體系建設(shè) 165 安全運營體系建設(shè) 166 針對一級區(qū)域的安全管理規(guī)劃 1796 系統(tǒng)實施規(guī)劃 180 安全技術(shù)實施規(guī)劃 180 省網(wǎng)管中心 180 省直單位 206 地市單位 235 安全管理實施規(guī)劃 254 省網(wǎng)管中心 254 省直單位 263 地市單位 2717 方案設(shè)計總結(jié) 281 滿足等級保護的建設(shè)要求 281 滿足自身安全防護的需求 2831 項目介紹 項目背景網(wǎng)絡(luò)技術(shù)的發(fā)展已經(jīng)深入到社會生活的各個方面。網(wǎng)絡(luò)新業(yè)務(wù)的不斷興起，為國內(nèi)政府部門日常辦公提供了極大的便利，通過政府網(wǎng)上辦公系統(tǒng)、網(wǎng)上視頻會議系統(tǒng)、電話語音系統(tǒng)、互動式政府網(wǎng)站系統(tǒng)、門戶型政府網(wǎng)站系統(tǒng)等應(yīng)用，極大地提高了政府部門的辦公效率。在黨十六大報告中明確指出，以信息化帶動工業(yè)化，加快國民經(jīng)濟結(jié)構(gòu)的戰(zhàn)略性調(diào)整，實現(xiàn)社會生產(chǎn)力的跨越式發(fā)展，是電子政務(wù)建設(shè)的首要任務(wù)。國家信息化領(lǐng)導(dǎo)小組決定，將推進電子政務(wù)建設(shè)作為今后一個時期我國信息化工作的重點?！段覈娮诱?wù)建設(shè)指導(dǎo)意見》提出當(dāng)前要以“兩網(wǎng)一站四庫十二系統(tǒng)”為目標(biāo)的電子政務(wù)建設(shè)要求，目的是加強政府監(jiān)管、提高政府效率、推進政府高效服務(wù)?！皟删W(wǎng)一站四庫十二系統(tǒng)”的內(nèi)容是：“兩網(wǎng)”指政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)兩個基礎(chǔ)平臺；“一站”指政府門戶網(wǎng)站；“四庫”指人口信息數(shù)據(jù)庫、法人單位信息數(shù)據(jù)庫、自然資源和空間地理信息數(shù)據(jù)庫以及宏觀經(jīng)濟信息數(shù)據(jù)庫；“十二系統(tǒng)”大體可分為三個層次：辦公業(yè)務(wù)資源系統(tǒng)和宏觀經(jīng)濟管理系統(tǒng)，將在決策、穩(wěn)定經(jīng)濟環(huán)境方面起主要作用；金稅、金關(guān)、金財、金融監(jiān)管（銀行、證監(jiān)和保監(jiān)）和金審共五個系統(tǒng)主要服務(wù)于政府收支的監(jiān)管；金盾、金保（社會保障）、金農(nóng)、金水（水利）和金質(zhì)（市場監(jiān)管）共五個系統(tǒng)則重點保障社會穩(wěn)定的國民經(jīng)濟發(fā)展的持續(xù)。伴隨網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)上應(yīng)用的豐富，同時也帶來了一系列的安全問題，如網(wǎng)絡(luò)黑客、網(wǎng)絡(luò)犯罪、病毒爆發(fā)等等，這些問題嚴(yán)重制約了電子政務(wù)信息化建設(shè)的步伐，成為系統(tǒng)建設(shè)重點考慮的環(huán)節(jié)。特別是 “一站式”門戶網(wǎng)站的開通，大大方便了公眾的辦事效率，拉近了政府與公眾的距離，但也使電子政務(wù)平臺面臨著極大的安全風(fēng)險，目前在這種廣域網(wǎng)中采用的傳輸協(xié)議存在著許多安全問題，這就使基于廣域網(wǎng)技術(shù)的電子政務(wù)平臺面臨著嚴(yán)峻的挑戰(zhàn)：電子政務(wù)是黨委、政府、人大、政協(xié)有效決策、管理、服務(wù)的重要手段，必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。因此，信息安全已成為制約電子政務(wù)平臺建設(shè)的首要因素。國家高度重視電子政務(wù)安全保障問題，2003年中辦國辦聯(lián)合發(fā)布了[2003]27號文件（關(guān)于轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》的通知），文件中提出了關(guān)于加強信息安全保障工作的“積極防御，綜合防范”的八字方針，以及實行信息安全等級保護的要求；2004年公安部、保密局、國密辦以及國信辦聯(lián)合發(fā)布了公通字[2004]66號文件（《關(guān)于信息安全等級保護工作的實施意見》），確認等級保護是國家信息安全的基本制度，也是電子政務(wù)安全工作的根本方法；2005年國信辦發(fā)布了25號文件（關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息系統(tǒng)信息安全等級保護實施指南》的通知），對信息系統(tǒng)等級保護的實施過程進行了定義，包括信息系統(tǒng)等級保護的定級、信息系統(tǒng)等級保護的安全規(guī)劃和設(shè)計、安全措施的實施、等級評估以及等級保護的運行改進，這些方法可作為電子政務(wù)等級保護體系的過程指導(dǎo)；同年公安部也陸續(xù)發(fā)布了《等級保護實施指南》、《等級保護定級指南》、《等級保護基本要求》和《等級保護測評指南》，提出了等級保護的定級方法、實施辦法，并對不同等級需要達到的安全能力要求進行了詳細定義，同時對系統(tǒng)保護能力等級測評指出了具體的指標(biāo)；這些標(biāo)準(zhǔn)的提出形成等級保護的基本理論框架，制定了方法、過程和標(biāo)準(zhǔn)；2006年為全面推進等級保護工作的開展，公安部、國信辦在年初下發(fā)了《關(guān)于開展信息系統(tǒng)安全等級保護基礎(chǔ)調(diào)查工作的通知》，從2006年1月10日到2006年4月10日，分三個階段對國家重要的基礎(chǔ)信息系統(tǒng)進行摸底，為等級保護相關(guān)標(biāo)準(zhǔn)的制定提供了有力的參考依據(jù)；2007年公安部、保密局、國密辦和國信辦聯(lián)合發(fā)布了[2007]43號文件《信息安全等級保護管理辦法》，提出了等級保護的推進和管理的辦法；2007年7月公安部、保密局、國密辦以及國信辦聯(lián)合發(fā)布公信安[2007]861號文件《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》，標(biāo)志等級保護進入實質(zhì)階段。某省電子政務(wù)外網(wǎng)是中辦發(fā)[2002]17號、[2006]18號文件確定并由國家發(fā)改委[2004]2135號文件批復(fù)立項的國家項目，是國家電子政務(wù)外網(wǎng)的省級節(jié)點，2007年初在某省發(fā)改委的指導(dǎo)下，某省網(wǎng)管中心規(guī)劃了“某省電子政務(wù)的可研報告”，根據(jù)規(guī)劃，某省電子政務(wù)網(wǎng)絡(luò)將建成覆蓋省、市兩級的政務(wù)處理平臺，建立數(shù)據(jù)傳輸?shù)幕A(chǔ)通道；建成省政務(wù)外網(wǎng)網(wǎng)管中心；建成省政務(wù)外網(wǎng)應(yīng)用支撐平臺；建設(shè)全省電子政務(wù)系統(tǒng)信息交換共享平臺；啟動部分應(yīng)用系統(tǒng)的建設(shè)；建設(shè)與國家電子政務(wù)外網(wǎng)統(tǒng)一的安全保障體系。并按照等級保護的建設(shè)思想和過程，搭建某省電子政務(wù)外網(wǎng)的等級保護體系。 參考標(biāo)準(zhǔn) 方案指導(dǎo)思想XX省電子政務(wù)系統(tǒng)屬于國家政務(wù)信息建設(shè)的組成部分，其信息安全保障體系的建設(shè)必須要符合國家相關(guān)法律和要求，我國對信息安全保障工作的要求非常重視，國家相關(guān)部門也陸續(xù)出臺了相應(yīng)的文件和要求，在為某省電子政務(wù)規(guī)劃整體解決方案的過程中，在方案指導(dǎo)思想上參考的政策和標(biāo)準(zhǔn)主要包括：國務(wù)院辦公廳于2002年發(fā)布的中辦發(fā)[2002]17號文件（關(guān)于轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》的通知），該文件提出了電子政務(wù)建設(shè)的指導(dǎo)思想和原則，提出了“統(tǒng)一規(guī)劃、加強領(lǐng)導(dǎo)；需求主導(dǎo)、突出重點；統(tǒng)一標(biāo)準(zhǔn)、保障安全”的建設(shè)原則，指出電子政務(wù)的建設(shè)必須和信息安全保障體系的建設(shè)同步進行。因此在某省電子政務(wù)建設(shè)的規(guī)劃階段中，信息安全保障系統(tǒng)的建設(shè)被提到很高的高度，信息安全保障系統(tǒng)的規(guī)劃和設(shè)計的到某省電子政務(wù)領(lǐng)導(dǎo)的高度重視；中央辦公廳、國務(wù)院辦公廳于2003年9月頒布的中辦[2003]27號文件（關(guān)于轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》的通知），文件中提出了關(guān)于加強信息安全保障工作的“積極防御，綜合防范”的八字方針，以及實行信息安全等級保護的要求，指出“信息化發(fā)展的不同階段和不同的信息系統(tǒng)有著不同的安全需求，必須從實際出發(fā)，綜合平衡安全成本和風(fēng)險，優(yōu)化信息安全資源的配置，確保重點”。因此，在某省電子政務(wù)系統(tǒng)的建設(shè)中，等級化保護是安全保障系統(tǒng)的設(shè)計原則，信息安全風(fēng)險評估工作成為等級化保護方案設(shè)計的前提。 方案參考標(biāo)準(zhǔn)在等級化保護方案的建設(shè)過程方面，重點參考公安部發(fā)布的《信息系統(tǒng)安全等級保護實施指南》（報批稿）：該文件指出了等級保護的實施流程，對等級保護的信息系統(tǒng)定級、總體安全規(guī)劃、安全設(shè)計與實施、安全運行與維護以及信息系統(tǒng)終止五個階段的主要活動進行了定義和描述，某省電子政務(wù)外網(wǎng)系統(tǒng)等級化保護方案的規(guī)劃和建設(shè)，均應(yīng)按照該文件的描述，完成定級、設(shè)計和實施等任務(wù)，保障項目過程的嚴(yán)謹性和科學(xué)性；在確認系統(tǒng)定級方面，重點參考公安部發(fā)布的《信息系統(tǒng)安全等級保護定級指南》（報批稿）：該文件提出了定級原理、具體的定級方法和等級變更的操作方法，是信息系統(tǒng)進行等級保護設(shè)計的首要環(huán)節(jié)，本方案將按照該方法，對某省電子政務(wù)外網(wǎng)系統(tǒng)進行定級；在安全防護措施設(shè)計方面，則參考公安部于發(fā)布的《信息系統(tǒng)安全等級保護基本要求》（報批稿）和《信息系統(tǒng)安全等級保護測評準(zhǔn)則》（報批稿），該文件對完成定級的信息系統(tǒng)的安全威脅、安全目標(biāo)及安全要求方面，進行了詳細的描述和設(shè)計，在某省電子政務(wù)等級化保護方案的設(shè)計中，我們嚴(yán)格地遵從了該文件提出的要求，并結(jié)合某省電子政務(wù)系統(tǒng)的實際問題，提出了某省三個級別的信息系統(tǒng)安全保護建設(shè)方案。在管理制度規(guī)劃建設(shè)方面，本方案在部分措施制定方面參考BS7799/ISO17799《信息安全管理實踐準(zhǔn)則》：該準(zhǔn)則是幫助構(gòu)建信息安全管理框架的國際標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)要求各組織建立并運行一套經(jīng)過驗證的信息安全管理體系，用于解決如下問題：資產(chǎn)的保管、組織的風(fēng)險管理、管理標(biāo)的和管理辦法、要求達到的安全程度等。 參考標(biāo)準(zhǔn)匯總安全要素遵循標(biāo)準(zhǔn)指導(dǎo)思想中辦[2002]17號文件（關(guān)于轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》的通知）中辦發(fā)[2006]18號文件《轉(zhuǎn)發(fā)〈國家信息化領(lǐng)導(dǎo)小組關(guān)于推進國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見〉的通知》中辦[2003]27號文件（關(guān)于轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》的通知）等級保護公安部發(fā)布的《信息系統(tǒng)安全等級保護實施指南》（報批稿）系統(tǒng)定級公安部發(fā)布的《信息系統(tǒng)安全等級保護定級指南》（報批稿）方案規(guī)劃公安部發(fā)布的《信息系統(tǒng)安全等級保護基本要求》（報批稿）公安部發(fā)布的《信息系統(tǒng)安全等級保護測評準(zhǔn)則》（報批稿）安全管理BS77991 信息安全管理實施細則BS77992 信息安全管理體系規(guī)范 方案規(guī)劃范圍本方案的規(guī)劃范圍以省政務(wù)外網(wǎng)一期工程為主，以省政務(wù)外網(wǎng)網(wǎng)管中心為重點，覆蓋聯(lián)通的省委、省政府、省人大、省政協(xié)的XX個廳局單位；以及XX個地市單位和XX個縣級單位，根據(jù)國家電子政務(wù)外網(wǎng)安全保障體系的規(guī)劃，某省電子政務(wù)外網(wǎng)安全體系包括如下三個方面的內(nèi)容：216。 網(wǎng)絡(luò)安全防護體系：按照等級保護技術(shù)要求進行分級分區(qū)域建設(shè)的技術(shù)防護體系；216。 網(wǎng)絡(luò)信任體系，包括：PKI/CA系統(tǒng)、權(quán)限管理系統(tǒng)和認證授權(quán)審計系統(tǒng)；216。 安全管理體系，包括：按照國家安全保障體系建設(shè)標(biāo)準(zhǔn)，建設(shè)省級安全管理中心(SOC)；以《國家電子政務(wù)外網(wǎng)安全標(biāo)準(zhǔn)指南》為標(biāo)準(zhǔn)貫徹執(zhí)行國家已有安全法規(guī)標(biāo)準(zhǔn)，同時制訂符合我省政務(wù)外網(wǎng)自身特點和要求的有關(guān)規(guī)定和技術(shù)規(guī)范。 方案設(shè)計原則根據(jù)國家相關(guān)政策和標(biāo)準(zhǔn)，本次規(guī)劃與設(shè)計工作將嚴(yán)格遵循以下的建設(shè)原則：自主保護原則信息系統(tǒng)運營、使用單位及其主管部門按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護等級，自行組織實施安全保護。重點保護原則電子政務(wù)等級保護要突出重點，對關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要電子政務(wù)系統(tǒng)，應(yīng)集中資源優(yōu)先建設(shè)，對于XXXX電子政務(wù)外網(wǎng)的安全保障體系建設(shè)，同樣要抓住重點，特別針對重要的外網(wǎng)服務(wù)支撐平臺，應(yīng)采取足夠強度的安全防護措施，確保其能夠更好的支撐各類業(yè)務(wù)的運行；同步建設(shè)原則信息系統(tǒng)在新建、改建、擴建時應(yīng)當(dāng)同步規(guī)劃和設(shè)計安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。動態(tài)調(diào)整原則要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護措施。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全保護等級需要變更的，應(yīng)當(dāng)根據(jù)等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護等級，根據(jù)信息系統(tǒng)安全保護等級的調(diào)整情況，重新實施安全保護。標(biāo)準(zhǔn)型原則某省電子政務(wù)外網(wǎng)是進行政務(wù)處理的信息系統(tǒng)，信息系統(tǒng)受到破壞會對省政府甚至國家的安全利益有直接影響，因此本方案在設(shè)計和規(guī)劃的過程中，將嚴(yán)格遵守國家相關(guān)政策和標(biāo)準(zhǔn)，特別是國家電子政務(wù)外網(wǎng)的安全保障體系建設(shè)規(guī)劃，進行全面的設(shè)計。靈活性原則考慮到相應(yīng)標(biāo)準(zhǔn)的不斷完善過程和滯后性，在沒有標(biāo)準(zhǔn)依據(jù)的地方，我們將通過對等級保護的理解，自行設(shè)計相應(yīng)的保障措施，考慮到產(chǎn)品測評認證的滯后性和片面性，在沒有相關(guān)通過認證的產(chǎn)品可選用時，將使用通過最高認證級別的產(chǎn)品。責(zé)任制原則安全管理應(yīng)做到“誰主管，誰負責(zé)”、“誰運營，誰負責(zé)”，在本方案的規(guī)劃中，我們將注重安全規(guī)章制度、安全應(yīng)急響應(yīng)制度的設(shè)計，將安全運行提高到一定的高度。實用性原則在確保信息系統(tǒng)性能和安全的前提下，充分利用資源，講究實效，避免重復(fù)和盲目投資，積極采用國家法律法規(guī)允許的、成熟