【文章內(nèi)容簡介】 心數(shù)據(jù)中心服務(wù)器區(qū)定級為3級，且對應(yīng)技術(shù)選擇措施為：S3A3G3數(shù)據(jù)存儲備份區(qū)則作為全省電子政務(wù)外網(wǎng)重要的數(shù)據(jù)的備份，保存了全省電子政務(wù)系統(tǒng)內(nèi)重要的公文信息，一旦發(fā)生泄密等事件將嚴重影響到社會秩序和公共利益，嚴重破壞政府形象，但是其可用性出現(xiàn)故障后，不會對社會秩序、公共利益造成嚴重損害，因此在信息安全保護等級和系統(tǒng)服務(wù)安全保護等級方面分別定級如下：確定業(yè)務(wù)信息安全保護等級：業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級確定系統(tǒng)服務(wù)安全保護等級：系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級因此省網(wǎng)管中心數(shù)據(jù)存儲備份區(qū)定級為3級，且對應(yīng)技術(shù)選擇措施為：S3A2G3網(wǎng)管業(yè)務(wù)區(qū)則是將實現(xiàn)對省電子政務(wù)外網(wǎng)的集中管理，出現(xiàn)事故后不會對省電子政務(wù)業(yè)務(wù)造成直接損害，也不會對社會秩序、公共利益造成嚴重損害，因此在信息安全保護等級和系統(tǒng)服務(wù)安全保護等級方面分別定級如下：確定業(yè)務(wù)信息安全保護等級：業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級確定系統(tǒng)服務(wù)安全保護等級：系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級因此省網(wǎng)管中心網(wǎng)管業(yè)務(wù)區(qū)定級為2級，且對應(yīng)技術(shù)選擇措施為：S2A2G2；門戶網(wǎng)站區(qū)則是實現(xiàn)XXXX省電子政務(wù)“政務(wù)公開”，實現(xiàn)公眾訪問的平臺，其出現(xiàn)事故后雖然不會對省電子政務(wù)業(yè)務(wù)造成直接損害，但是會對公眾造成嚴重影響，破壞政府形象，因此在信息安全保護等級和系統(tǒng)服務(wù)安全保護等級方面分別定級如下：確定業(yè)務(wù)信息安全保護等級：業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級確定系統(tǒng)服務(wù)安全保護等級：系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級因此省網(wǎng)管中心網(wǎng)管業(yè)務(wù)區(qū)定級為2級，且對應(yīng)技術(shù)選擇措施為：S2A2G2；機關(guān)辦公區(qū)里只包含了那些個人電腦，本方案中采取與服務(wù)器區(qū)域隔離的辦法，將這些訪問終端單獨劃分區(qū)域，其遭到破壞后不會對信息系統(tǒng)造成很大的損害，因此可適當(dāng)降低該區(qū)域的防護等級：建議對該區(qū)域可定級為一級，實現(xiàn)最基本的安全防護，且對應(yīng)技術(shù)選擇措施為：S1A1G1。 省直單位省直單位包括應(yīng)用服務(wù)器區(qū)、數(shù)據(jù)中心服務(wù)器區(qū)、網(wǎng)管業(yè)務(wù)區(qū)和機關(guān)辦公區(qū)，參考公安部《信息系統(tǒng)安全等級保護定級指南》，分別定級如下：應(yīng)用服務(wù)器區(qū)匯聚了省直單位的應(yīng)用服務(wù)器等信息資產(chǎn)，對維持省直單位各項業(yè)務(wù)的正常開展和業(yè)務(wù)系統(tǒng)的正常運行起著關(guān)鍵作用，一旦應(yīng)用服務(wù)器區(qū)域出現(xiàn)故障將導(dǎo)致省直單位業(yè)務(wù)系統(tǒng)的停滯，影響省直單位的政務(wù)業(yè)務(wù)和對公眾的服務(wù)業(yè)務(wù)，破壞政府形象，因此在信息安全保護等級和系統(tǒng)服務(wù)安全保護等級方面分別定級如下：確定業(yè)務(wù)信息安全保護等級：業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級確定系統(tǒng)服務(wù)安全保護等級：系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級因此省直單位應(yīng)用服務(wù)器區(qū)定級為2級，且對應(yīng)技術(shù)選擇措施為：S2A2G2數(shù)據(jù)中心服務(wù)器區(qū)則匯聚了省直單位重要的數(shù)據(jù)庫等信息資產(chǎn)，保存了省直單位處理各類政務(wù)的重要公文信息，一旦發(fā)生泄密等事件將嚴重影響到社會秩序和公共利益，嚴重破壞政府形象，因此在信息安全保護等級和系統(tǒng)服務(wù)安全保護等級方面分別定級如下：確定業(yè)務(wù)信息安全保護等級：業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級確定系統(tǒng)服務(wù)安全保護等級：系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級因此省直單位數(shù)據(jù)服務(wù)器區(qū)定級為3級，且對應(yīng)技術(shù)選擇措施為：S3A3G3網(wǎng)管業(yè)務(wù)區(qū)則是將實現(xiàn)對省直單位信息網(wǎng)絡(luò)的集中管理，出現(xiàn)事故后不會對省直單位信息網(wǎng)絡(luò)造成直接損害，也不會對社會秩序、公共利益造成嚴重損害，因此在信息安全保護等級和系統(tǒng)服務(wù)安全保護等級方面分別定級如下：確定業(yè)務(wù)信息安全保護等級：業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級確定系統(tǒng)服務(wù)安全保護等級：系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級因此省直單位網(wǎng)管業(yè)務(wù)區(qū)定級為2級，且對應(yīng)技術(shù)選擇措施為：S2A2G2；機關(guān)辦公區(qū)里只包含了那些個人電腦，本方案中采取與服務(wù)器區(qū)域隔離的辦法，將這些訪問終端單獨劃分區(qū)域，其遭到破壞后不會對信息系統(tǒng)造成很大的損害，因此可適當(dāng)降低該區(qū)域的防護等級：建議對該區(qū)域可定級為一級，實現(xiàn)最基本的安全防護，且對應(yīng)技術(shù)選擇措施為：S1A1G1。 地市單位地市節(jié)點相對簡單，主要包括機關(guān)辦公區(qū)省網(wǎng)管中心包括應(yīng)用服務(wù)器區(qū)、數(shù)據(jù)中心服務(wù)器區(qū)、數(shù)據(jù)存儲備份區(qū)、網(wǎng)管業(yè)務(wù)區(qū)和機關(guān)辦公區(qū)，參考公安部《信息系統(tǒng)安全等級保護定級指南》，分別定級如下：XX省電子政務(wù)系統(tǒng)采取了“數(shù)據(jù)大集中”和“重要應(yīng)用大集中”模式，因此在市級的應(yīng)用服務(wù)器僅提供市級單位的一些非關(guān)鍵性應(yīng)用，比如主頁發(fā)布、郵件、視頻等內(nèi)容，重要程度相對很低，因此服務(wù)器出現(xiàn)信息泄密和數(shù)據(jù)丟失等，不會造成很大損失，在信息安全保護等級和系統(tǒng)服務(wù)安全保護等級方面分別定級如下：確定業(yè)務(wù)信息安全保護等級：業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級確定系統(tǒng)服務(wù)安全保護等級：系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級因此地市單位應(yīng)用服務(wù)器區(qū)定級為2級，且對應(yīng)技術(shù)選擇措施為：S2A2G2類似省網(wǎng)管中心和省直單位，在地市節(jié)點機關(guān)辦公區(qū)里只包含了那些個人電腦，本方案中采取與服務(wù)器區(qū)域隔離的辦法，將這些訪問終端單獨劃分區(qū)域，其遭到破壞后不會對信息系統(tǒng)造成很大的損害，因此可適當(dāng)降低該區(qū)域的防護等級：建議對該區(qū)域可定級為一級，實現(xiàn)最基本的安全防護，且對應(yīng)技術(shù)選擇措施為：S1A1G1。匯總以上定級建議，XX省電子政務(wù)保護對象可按照以下進行定級：第一層保護對象第二層保護對象定級建議技術(shù)要求選擇計算環(huán)境省網(wǎng)管中心數(shù)據(jù)中心服務(wù)器區(qū)3S3A3G3數(shù)據(jù)存儲備份區(qū)3S3A2G3應(yīng)用服務(wù)器區(qū)2S2A2G2網(wǎng)管業(yè)務(wù)區(qū)2S2A2G2門戶網(wǎng)站區(qū)2S2A2G2機關(guān)辦公區(qū)1S1A1G1省直單位數(shù)據(jù)中心服務(wù)器區(qū)3S3A3G3應(yīng)用服務(wù)器區(qū)2S2A2G2網(wǎng)管業(yè)務(wù)區(qū)2S2A2G2機關(guān)辦公區(qū)1S1A1G1地市級節(jié)點應(yīng)用服務(wù)器區(qū)2S2A2G2機關(guān)辦公區(qū)1S1A1G1下面我們將根據(jù)對XXXX省政務(wù)外網(wǎng)的總體定級情況，參考公安部各個級別信息系統(tǒng)的技術(shù)要求，對各個區(qū)域進行安全措施的規(guī)劃和設(shè)計。3 安全需求分析 符合等級保護安全技術(shù)要求的需求按照公安部《信息系統(tǒng)安全等級保護基本要求》，針對二、三級信息系統(tǒng)的安全防護能力提出了具體的要求，具體內(nèi)容如下： 針對三級信息系統(tǒng)的安全技術(shù)要求 物理安全技術(shù)要求對于XXXX省電子政務(wù)系統(tǒng)，三級信息系統(tǒng)的物理安全要求，是在二級信息系統(tǒng)物理安全要的基礎(chǔ)上，在電磁防護、防靜電、防火等方面，進一步加強防護手段，具體包括：216。 物理位置的選擇（G3）：XXXX省電子政務(wù)的三級系統(tǒng)運行的機房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；機房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。216。 物理訪問控制（G3）：XXXX省電子政務(wù)三級系統(tǒng)運行的機房出入口應(yīng)安排專人值守，控制、鑒別和記錄進入的人員；需進入機房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍；應(yīng)對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。216。 防盜竊和防破壞（G3）：應(yīng)將XXXX省電子政務(wù)系統(tǒng)三級信息的主要設(shè)備放置在機房內(nèi)；設(shè)備或主要部件進行固定，并設(shè)置明顯的不易除去的標(biāo)記；通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；應(yīng)對XXXX省電子政務(wù)系統(tǒng)三級信息系統(tǒng)的介質(zhì)分類標(biāo)識，存儲在介質(zhì)庫或檔案室中；應(yīng)利用光、電等技術(shù)設(shè)置機房防盜報警系統(tǒng)；應(yīng)對機房設(shè)置監(jiān)控報警系統(tǒng)。216。 防雷擊（G3）：XXXX省電子政務(wù)系統(tǒng)三級信息系統(tǒng)運行的機房建筑應(yīng)設(shè)置避雷裝置；應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；機房應(yīng)設(shè)置交流電源地線。216。 防火（G3）216。 機房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；機房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材料；機房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。216。 防水和防潮（G3）：水管安裝，不得穿過機房屋頂和活動地板下；應(yīng)采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；應(yīng)采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；應(yīng)安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警。216。 防靜電（G3）：主要設(shè)備應(yīng)采用必要的接地防靜電措施；機房應(yīng)采用防靜電地板。216。 溫濕度控制（G3）：機房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。216。 電力供應(yīng)（A3）：應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備；應(yīng)提供短期的備用電力供應(yīng)，至少滿足主要設(shè)備在斷電情況下的正常運行要求；應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；應(yīng)建立備用供電系統(tǒng)。216。 電磁防護（S3）：應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾；應(yīng)對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。 網(wǎng)絡(luò)安全技術(shù)要求對于XXXX省電子政務(wù)系統(tǒng)，三級信息系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)要求，是在二級信息系統(tǒng)的技術(shù)要求基礎(chǔ)上，增加了對“優(yōu)先級”的考慮，系統(tǒng)需要保證重要的信息系統(tǒng)能夠在網(wǎng)絡(luò)擁堵時仍然能夠正常運行，網(wǎng)絡(luò)邊界的其他防護措施進一步增強，不僅能夠被動的“防”，還能夠主動發(fā)出一些動作，具體要求包括：216。 結(jié)構(gòu)安全與網(wǎng)段劃分（G3）：XXXX省電子政務(wù)系統(tǒng)三級信息系統(tǒng)的關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力應(yīng)具備冗余空間，要求滿足業(yè)務(wù)高峰期需要；應(yīng)設(shè)計和繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；應(yīng)根據(jù)機構(gòu)業(yè)務(wù)的特點，在滿足業(yè)務(wù)高峰期需要的基礎(chǔ)上，合理設(shè)計網(wǎng)絡(luò)帶寬；應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑；應(yīng)根據(jù)各部門的工作職能、重要性、所涉及信息等級等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；重要網(wǎng)段應(yīng)采取網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址綁定措施，防止地址欺騙；應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要業(yè)務(wù)數(shù)據(jù)主機。216。 網(wǎng)絡(luò)訪問控制（G3）：XXXX省電子政務(wù)系統(tǒng)三級信息系統(tǒng)的關(guān)鍵網(wǎng)絡(luò)設(shè)備應(yīng)能根據(jù)會話狀態(tài)信息（包括數(shù)據(jù)包的源地址、目的地址、源端口號、目的端口號、協(xié)議、出入的接口、會話序列號、發(fā)出信息的主機名等信息，并應(yīng)支持地址通配符的使用），為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；應(yīng)依據(jù)安全策略允許或者拒絕便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入；應(yīng)