【正文】 216。216。216。 人員安全管理人員安全管理是信息系統(tǒng)安全管理的重要方面，三級信息系統(tǒng)對人員安全的關注點集中在人員錄用、離崗、安全考核以及安全意識教育和培訓等多個方面，具體內(nèi)容包括216。216。216。216。216。 安全管理機構三級信息系統(tǒng)需要特定的安全管理機構，從而保障三級信息系統(tǒng)的各項管理事項的順利開展和推動，其規(guī)定了關于管理機構的組織建設、人員、流程等方面的問題，具體內(nèi)容包括：216。216。216。 符合等級保護安全管理要求的需求 針對三級信息系統(tǒng)的安全管理要求針對XXXX電子政務外網(wǎng)，其三級信息系統(tǒng)的安全管理要求，是在二級要求的基礎上，增加了對人員安全管理的力度，以及系統(tǒng)建設、系統(tǒng)運維過程的安全管理強度，以滿足三級系統(tǒng)可用性、機密性和完整性的需求，具體內(nèi)容包括： 安全管理制度三級信息系統(tǒng)的安全管理制度涵蓋了管理制度基本要求，管理制度的制定與發(fā)布以及管理制度的評審和修訂等內(nèi)容，目的是嚴格定義系統(tǒng)的安全管理制度，并采取措施保證制度能夠嚴格地被執(zhí)行，具體內(nèi)容包括：216。216。 數(shù)據(jù)安全技術要求對于某省電子政務系統(tǒng)，一級信息系統(tǒng)的數(shù)據(jù)安全要求包括完整性和數(shù)據(jù)備份與恢復兩個方面，具體內(nèi)容包括：216。216。216。216。 應用安全技術要求對于某省電子政務系統(tǒng)，一級信息系統(tǒng)的應用安全要求包括：對應用系統(tǒng)需要實現(xiàn)基本的身份認證和訪問控制，對應用系統(tǒng)通信采取必要的完整性保障措施，對于一級信息系統(tǒng)的安全要求還體現(xiàn)在軟件容錯能力和軟件代碼的安全性防護，需要采取一定的掃描和脆弱性分析手段，實現(xiàn)應用系統(tǒng)安全能力的提升，具體包括：216。216。216。216。 主機安全技術要求對于某省電子政務系統(tǒng)，一級信息系統(tǒng)的主機安全要求包括：針對主機訪問應實現(xiàn)基本的身份鑒別和訪問控制，能夠有效防范針對主機的攻擊和針對主機的惡意代碼，具體要求包括：216。216。216。 網(wǎng)絡安全技術要求對于某省電子政務系統(tǒng)，一級信息系統(tǒng)的網(wǎng)絡安全要求包括：網(wǎng)絡系統(tǒng)要滿足網(wǎng)絡安全運行的基本保障，對網(wǎng)絡邊界采取一定的訪問控制，實現(xiàn)良好的邊界安全能力，對重要的網(wǎng)絡設備提供保護，具體要求包括：216。216。216。216。216。216。216。 針對一級系統(tǒng)的安全技術要求 物理安全技術要求對于某省電子政務系統(tǒng)，一級信息系統(tǒng)的物理安全要求包括：對出入物理環(huán)境進行基本的控制，有設備的基本防盜措施；物理環(huán)境方面，實現(xiàn)基本的防雷擊、防水、防火、防潮等措施，具體包括：216。216。216。 數(shù)據(jù)安全技術要求對于某省電子政務系統(tǒng)，二級信息系統(tǒng)的數(shù)據(jù)安全要求包括機密性、完整性以及數(shù)據(jù)備份與恢復三個方面，具體內(nèi)容包括：216。216。216。216。216。216。216。 應用安全技術要求二級信息系統(tǒng)的應用系統(tǒng)安全技術要求包括：對應用系統(tǒng)進行身份認證和細粒度訪問控制，需要實現(xiàn)全面的安全審計、剩余信息保護和通信保密防護；此外，對于二級信息系統(tǒng)的安全要求還體現(xiàn)在軟件容錯能力和軟件代碼的安全性防護，需要采取一定的掃描和脆弱性分析手段，實現(xiàn)應用系統(tǒng)安全能力的提升，具體包括：216。216。216。216。216。216。 主機安全技術要求二級信息系統(tǒng)的主機安全技術要求包括：對主機系統(tǒng)進行較為全面的防護，在實現(xiàn)身份鑒別、細粒度訪問控制的基礎上，加強安全審計、系統(tǒng)保護、剩余信息保護和資源控制等措施，具體要求包括：216。216。216。216。216。216。 網(wǎng)絡安全技術要求對于某省電子政務系統(tǒng)，二級信息系統(tǒng)的網(wǎng)絡安全技術要求包括：重要的網(wǎng)絡系統(tǒng)不僅要滿足網(wǎng)絡安全運行的基本保障，同時還要考慮網(wǎng)絡處理能力要滿足業(yè)務極限時的需要，對網(wǎng)絡邊界的訪問控制粒度進一步增強，同時，需要加強網(wǎng)絡邊界的防護，需要利用網(wǎng)絡入侵檢測、惡意代碼防范、邊界完整性檢查等控制點，對網(wǎng)絡中發(fā)生的行為進行監(jiān)控，具體要求包括：216。216。216。 防靜電（G2）：某省電子政務二級系統(tǒng)的核心機房應采用必要的接地與屏蔽防靜電措施；216。 防水和防潮（G2）：某省電子政務二級系統(tǒng)的核心機房水管安裝，不得穿過屋頂和活動地板下；穿過墻壁和樓板的水管應使用套管，并采取可靠的密封措施；應采取措施防止雨水通過屋頂和墻壁滲透；應采取措施防止室內(nèi)水蒸氣結露和地下積水的轉(zhuǎn)移與滲透。 防火（G2）：某省電子政務二級系統(tǒng)的核心機房應設置滅火設備和火災自動報警系統(tǒng)，并保持滅火設備和火災自動報警系統(tǒng)的良好狀態(tài)。 防雷擊（G2）：某省電子政務二級系統(tǒng)的核心機房建筑應設置避雷裝置；設置避雷地和避雷地。 防盜竊和防破壞（G2）：應將主要設備放置在物理受限的范圍內(nèi)；應對設備或主要部件進行固定，并設置明顯的無法除去的標記；應將通信線纜鋪設在隱蔽處，如鋪設在地下或管道中等；應對介質(zhì)分類標識，存儲在介質(zhì)庫或檔案室中；應安裝必要的防盜報警設施，以防進入機房的盜竊和破壞行為。 物理訪問控制（G2）：某省電子政務二級系統(tǒng)的核心機房出入口應有專人值守，鑒別進入的人員身份并登記在案；應批準進入機房的來訪人員，限制和監(jiān)控其活動范圍。 針對二級信息系統(tǒng)的安全技術要求 物理安全技術要求對于某省電子政務系統(tǒng)，二級信息系統(tǒng)的物理安全要求包括：對出入物理環(huán)境進行基本的控制，對進入后的活動也要控制；物理環(huán)境方面，需要加強各方面的防護，采取比一級信息系統(tǒng)更細的要求來多方面進行防護，具體包括：216。216。216。 數(shù)據(jù)安全技術要求對于某省電子政務系統(tǒng)，三級信息系統(tǒng)的數(shù)據(jù)安全技術要求，是在二級信息系統(tǒng)的技術要求基礎上，增加了抗抵賴措施，即對數(shù)據(jù)進行的任何操作都無法進行抵賴，具體要求包括：216。216。216。216。216。216。216。216。216。216。 應用安全技術要求對于某省電子政務系統(tǒng)，三級信息系統(tǒng)的應用安全技術要求，是在二級信息系統(tǒng)的技術要求基礎上，增加了強制訪問控制和入侵防范措施，具體要求包括：216。216。216。216。216。216。216。216。 主機安全技術要求對于某省電子政務系統(tǒng)，三級信息系統(tǒng)的主機安全技術要求，是在二級信息系統(tǒng)的技術要求基礎上，增加了強制訪問控制和入侵防范措施，具體要求包括：216。216。216。216。216。216。216。216。 網(wǎng)絡安全技術要求對于某省電子政務系統(tǒng)，三級信息系統(tǒng)的網(wǎng)絡安全技術要求，是在二級信息系統(tǒng)的技術要求基礎上，增加了對“優(yōu)先級”的考慮，系統(tǒng)需要保證重要的信息系統(tǒng)能夠在網(wǎng)絡擁堵時仍然能夠正常運行，網(wǎng)絡邊界的其他防護措施進一步增強，不僅能夠被動的“防”，還能夠主動發(fā)出一些動作，具體要求包括：216。216。216。216。216。216。 防火（G3）216。 防雷擊（G3）：某省電子政務系統(tǒng)三級信息系統(tǒng)運行的機房建筑應設置避雷裝置；應設置防雷保安器，防止感應雷；機房應設置交流電源地線。 防盜竊和防破壞（G3）：應將某省電子政務系統(tǒng)三級信息的主要設備放置在機房內(nèi)；設備或主要部件進行固定，并設置明顯的不易除去的標記；通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；應對某省電子政務系統(tǒng)三級信息系統(tǒng)的介質(zhì)分類標識，存儲在介質(zhì)庫或檔案室中；應利用光、電等技術設置機房防盜報警系統(tǒng)；應對機房設置監(jiān)控報警系統(tǒng)。 物理訪問控制（G3）：某省電子政務三級系統(tǒng)運行的機房出入口應安排專人值守，控制、鑒別和記錄進入的人員；需進入機房的來訪人員應經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍；應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設置物理隔離裝置，在重要區(qū)域前設置交付或安裝等過渡區(qū)域；重要區(qū)域應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。 物理位置的選擇（G3）：某省電子政務的三級系統(tǒng)運行的機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi)；機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。匯總以上定級建議，XX省電子政務保護對象可按照以下進行定級：第一層保護對象第二層保護對象定級建議技術要求選擇計算環(huán)境省網(wǎng)管中心數(shù)據(jù)中心服務器區(qū)3S3A3G3數(shù)據(jù)存儲備份區(qū)3S3A2G3應用服務器區(qū)2S2A2G2網(wǎng)管業(yè)務區(qū)2S2A2G2門戶網(wǎng)站區(qū)2S2A2G2機關辦公區(qū)1S1A1G1省直單位數(shù)據(jù)中心服務器區(qū)3S3A3G3應用服務器區(qū)2S2A2G2網(wǎng)管業(yè)務區(qū)2S2A2G2機關辦公區(qū)1S1A1G1地市級節(jié)點應用服務器區(qū)2S2A2G2機關辦公區(qū)1S1A1G1下面我們將根據(jù)對某省政務外網(wǎng)的總體定級情況，參考公安部各個級別信息系統(tǒng)的技術要求，對各個區(qū)域進行安全措施的規(guī)劃和設計。 省直單位省直單位包括應用服務器區(qū)、數(shù)據(jù)中心服務器區(qū)、網(wǎng)管業(yè)務區(qū)和機關辦公區(qū)，參考公安部《信息系統(tǒng)安全等級保護定級指南》，分別定級如下：應用服務器區(qū)匯聚了省直單位的應用服務器等信息資產(chǎn)，對維持省直單位各項業(yè)務的正常開展和業(yè)務系統(tǒng)的正常運行起著關鍵作用，一旦應用服務器區(qū)域出現(xiàn)故障將導致省直單位業(yè)務系統(tǒng)的停滯，影響省直單位的政務業(yè)務和對公眾的服務業(yè)務，破壞政府形象，因此在信息安全保護等級和系統(tǒng)服務安全保護等級方面分別定級如下：確定業(yè)務信息安全保護等級：業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級確定系統(tǒng)服務安全保護等級：系統(tǒng)服務安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級因此省直單位應用服務器區(qū)定級為2級，且對應技術選擇措施為：S2A2G2數(shù)據(jù)中心服務器區(qū)則匯聚了省直單位重要的數(shù)據(jù)庫等信息資產(chǎn)，保存了省直單位處理各類政務的重要公文信息，一旦發(fā)生泄密等事件將嚴重影響到社會秩序和公共利益，嚴重破壞政府形象，因此在信息安全保護等級和系統(tǒng)服務安全保護等級方面分別定級如下：確定業(yè)務信息安全保護等級：業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級確定系統(tǒng)服務安全保護等級：系統(tǒng)服務安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級因此省直單位數(shù)據(jù)服務器區(qū)定級為3級，且對應技術選擇措施為：S3A3G3網(wǎng)管業(yè)務區(qū)則是將實現(xiàn)對省直單位信息網(wǎng)絡的集中管理，出現(xiàn)事故后不會對省直單位信息網(wǎng)絡造成直接損害，也不會對社會秩序、公共利益造成嚴重損害，因此在信息安全保護等級和系統(tǒng)服務安全保護等級方面分別定級如下：確定業(yè)務信息安全保護等級：業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級確定系統(tǒng)服務安全保護等級：系統(tǒng)服務安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級因此省直單位網(wǎng)管業(yè)務區(qū)定級為2級，且對應技術選擇措施為：S2A2G2；機關辦公區(qū)里只包含了那些個人電腦，本方案中采取與服務器區(qū)域隔離的辦法，將這些訪問終端單獨劃分區(qū)域，其遭到破壞后不會對信息系統(tǒng)造成很大的損害，因此可適當降低該區(qū)域的防護等級：建議對該區(qū)域可定級為一級，實現(xiàn)最基本的安全防護，且對應技術選擇措施為：S1A1G1。在總體定級的基礎上，根據(jù)公安部的定級辦法，針對某省電子政務外網(wǎng)的各個安全區(qū)域，建議按照以下的方式進行細化的定級。對于這類的安全域，將依照國家管理規(guī)范和技術標準進行自主保護，并接受信息安全監(jiān)管職能部門進行監(jiān)督、檢查；市級接入節(jié)點單位網(wǎng)絡管理中心局域網(wǎng)和市級接入節(jié)點單位接入網(wǎng)絡至少達到指導保護級（2級）的要求。匯總起來，對于某省電子政務外網(wǎng)，其安全區(qū)域總體可劃分為以下兩個層面，共11個安全區(qū)域，5套網(wǎng)絡基礎設施。劃分結果如下圖表示： 某省電子政務外網(wǎng)區(qū)域劃分示意圖此外，對于省網(wǎng)管中心，還有一些移動辦公用戶，通過互聯(lián)網(wǎng)對省網(wǎng)管中心進行訪問，從而實現(xiàn)對省電子政務外網(wǎng)平臺的訪問，在邏輯上形成單獨的區(qū)域。省級平臺包括省網(wǎng)管中心和省直單位，省網(wǎng)管中心某省電子政務外網(wǎng)的核心區(qū)域，所有的數(shù)據(jù)均在這里存儲、訪問、交換，同時也是連接國家外網(wǎng)、省級城域網(wǎng)、省市廣域網(wǎng)、互聯(lián)網(wǎng)等不同網(wǎng)絡的樞紐，因此我們將其單獨作為一個區(qū)域進行考慮；省直單位則包括省發(fā)改委、省社會勞動保障局、省財政廳、省民政廳、省國土局、省公安廳、省法院、省檢察院等省直屬廳局部門，這些單位接入省電子政務外網(wǎng)平臺，實現(xiàn)橫向的信息共享與聯(lián)合辦公，實現(xiàn)便捷的公文信息交換等業(yè)務；地市則包括11個節(jié)點，與各地市的電子政務外網(wǎng)平臺連接，各地市委辦局可通過垂直的電子政務外網(wǎng)實現(xiàn)縱向的信息共享與公文交換，11個節(jié)點相互獨立，形成11個安全區(qū)域。 市級接入節(jié)點單位網(wǎng)絡管理中心局域網(wǎng)216。參考國家電子政務外網(wǎng)的安全域劃分原則和方法，對某