【正文】 附錄 B 大型復(fù)雜電子政務(wù)系統(tǒng)等級保護實施過程示例　大型復(fù)雜電子政務(wù)系統(tǒng)描述大型復(fù)雜電子政務(wù)系統(tǒng)主要是指涉及多個行政級別、多種網(wǎng)絡(luò)以及各類繁雜的信息系統(tǒng)等特征的系統(tǒng)，一般具。i） 風(fēng)險管理組織中識別風(fēng)險、分析風(fēng)險和控制風(fēng)險的活動。28 / 45h） 信息安全風(fēng)險評估依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。g） 風(fēng)險風(fēng)險是指人為或自然的威脅利用系統(tǒng)存在的脆弱性，導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。e） 脆弱性可能被威脅利用對資產(chǎn)造成損害的薄弱環(huán)節(jié)。d） 威脅可能對資產(chǎn)或組織造成損害的潛在原因。b） 服務(wù)信息系統(tǒng)通過提供某些功能來滿足用戶需求的過程。27 / 45圖 52 等級保護的運行改進過程附錄 A 術(shù)語與定義a） 信息資產(chǎn)對組織具有價值的信息資源，是安全策略保護的對象。這一階段的主要工作是對系統(tǒng)的安全風(fēng)險和等級保護體系的運行狀況進行持續(xù)監(jiān)控，確保在系統(tǒng)發(fā)生變化、系統(tǒng)的安全風(fēng)險發(fā)生變化的情況下，能夠及時調(diào)整系統(tǒng)的安全措施，并在系統(tǒng)或系統(tǒng)的安全風(fēng)險發(fā)生重大變化時，進行系統(tǒng)的重新定級和安全措施的調(diào)整，以確保系統(tǒng)得到相應(yīng)的保護。等級評估結(jié)束后，應(yīng)由電子政務(wù)系統(tǒng)的擁有單位或主管單位主持驗收工作，確定完成等級保護建設(shè)工作的電子政務(wù)系統(tǒng)是否達(dá)到相應(yīng)的安全等級，以及是否可以投入運行。c） 委托評估委托評估指信息系統(tǒng)擁有單位委托具有風(fēng)險評估能力的專業(yè)評估機構(gòu)（包括國家建立的測評認(rèn)證機構(gòu)或安全企業(yè)）實施的評估活動。電子政務(wù)等級保護工作的等級評估可以采取以下三種方式：a） 自評估自評估是由電子政務(wù)系統(tǒng)的擁有單位組織單位內(nèi)部人員，評估本單位的電子政務(wù)系統(tǒng)是否滿足電子政務(wù)信息安全等級保護的要求。工程實施過程中應(yīng)避免因第三方人員進場帶來新的安全風(fēng)險。在工程實施過程中應(yīng)充分考慮施工對業(yè)務(wù)系統(tǒng)可能造成的影響，做好應(yīng)急預(yù)案，保障業(yè)務(wù)系統(tǒng)正常運轉(zhuǎn)。5 實施、等級評估與運行 安全措施的實施安全措施的實施是在完成等級保護的安全規(guī)劃與設(shè)計之后，依據(jù)安全解決方案進行安全管理措施和安全技術(shù)措施建設(shè)。安全工作規(guī)劃需要確定安全工作的宗旨、遠(yuǎn)期安全工作目標(biāo)和當(dāng)年目標(biāo)、關(guān)鍵和重點的工作，并分析潛在的風(fēng)險和障礙、所需的資源和預(yù)算，從而進行實施策略選擇，確定當(dāng)年的安全工作計劃和等級保護項目建設(shè)計劃。安全項目規(guī)劃主要包括：a） 將安全措施依據(jù)相關(guān)性，打包成一個或多個的安全項目b） 進行項目分析1) 對項目進行支持或依賴等相關(guān)性分析；2) 對項目進行緊迫性分析；3) 對項目進行實施難易程度分析；4) 對項目進行預(yù)期效果分析。 安全需求分析通過對現(xiàn)有安全措施的評估明確系統(tǒng)的安全現(xiàn)狀，通過對比系統(tǒng)將要達(dá)到的安全等級的安全要求，得到現(xiàn)狀和要求間的差距，即為安全需求。 安全規(guī)劃與方案設(shè)計安全規(guī)劃與方案設(shè)計階段的目的是提出科學(xué)實施安全措施的方案，規(guī)劃綜合防范的安全保障體系，實現(xiàn)整體安全。表 41 安全措施的調(diào)整因素和調(diào)整方式序號 調(diào)整因素 調(diào)整方式1 電子政務(wù)系統(tǒng)的保密性等級、完整性等級、可用性等級之中的一項或兩項低于系統(tǒng)的安全等級降低對應(yīng)控制項的等級2 電子政務(wù)系統(tǒng)的某些特定安全要求在基本安全要求中沒有相應(yīng)的控制項增加控制項24 / 453 電子政務(wù)系統(tǒng)（或其保護對象）不存在相應(yīng)等級基本安全要求中某個控制項所要控制的安全風(fēng)險刪減控制項4 對電子政務(wù)系統(tǒng)風(fēng)險評估中識別的某個風(fēng)險，在相應(yīng)等級基本安全要求中沒有相應(yīng)的控制項增加控制項5 與相應(yīng)等級基本安全要求提供的安全強度相比，風(fēng)險較低降低控制項的強度等級6 與五個等級基本安全要求提供的安全強度相比，風(fēng)險較高提高控制項的強度等級7 相應(yīng)等級基本安全要求中某些安全措施的成本太高，機構(gòu)無法承受可以通過其他措施進行彌補。如果某些安全措施的成本太高，機構(gòu)無法承受，可以通過其他措施進行彌補。b） 根據(jù)風(fēng)險評估的結(jié)果進行調(diào)整1) 如果電子政務(wù)系統(tǒng)（或其保護對象）不存在五個等級基本安全要求中某個控制項所要控制的安全風(fēng)險，或其控制項不適用，則該控制項可以進行刪減；2) 如果風(fēng)險評估中識別的某個風(fēng)險，在五個等級基本安全要求中沒有相應(yīng)的控制項，則可以增加此類控制項；3) 如果風(fēng)險評估的結(jié)果顯示，與五個等級基本安全要求提供的某個安全措施的安全強度相比，風(fēng)險較低，則可以降低控制項的強度等級；4) 如果風(fēng)險評估的結(jié)果顯示，與五個等級基本安全要求提供的某個安全措施的安全強度相比，風(fēng)險較高，則可以提高控制項的強度等級。在確定了基本安全要求的基礎(chǔ)上，再針對每個系統(tǒng)特定安全要求、面臨風(fēng)險的狀況，并考慮安全措施的成本進行安全措施的選擇和調(diào)整，以得到針對特定系統(tǒng)的安全保護措施。 選擇和調(diào)整安全措施電子政務(wù)系統(tǒng)或子系統(tǒng)的安全等級確定后，需要以分域保護框架為基礎(chǔ)確定具體的安全保護措施（包括技術(shù)措施和管理措施） 。圖 43 系統(tǒng)分域保護框架示意圖系統(tǒng)分域保護框架是設(shè)計解決方案的基礎(chǔ)。示例中的網(wǎng)絡(luò)基礎(chǔ)設(shè)施包括政務(wù)專網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施。第一層區(qū)域包括政務(wù)專網(wǎng)區(qū)域和政務(wù)外網(wǎng)區(qū)域。圖 43 描述了某個電子政務(wù)系統(tǒng)的系統(tǒng)分域保護框架的示例，包括了系統(tǒng)所劃分出的計算區(qū)域、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等各類保護對象。當(dāng)一個問題經(jīng)過框架分析后，所有不可再細(xì)分的子問題組合構(gòu)成了一個“框架” 。b） 互不重疊同一級別的所有子問題都不允許出現(xiàn)重復(fù)，類似以下的情況不應(yīng)出現(xiàn)在一個框架中：1) 兩個不同的子問題其實是同一個子問題的兩種表述；2) 某一個子問題其實是同一級別的另外兩個子問題或多個子問題的合集。進行結(jié)構(gòu)化處理要遵循以下幾條基本原則：a） 充分覆蓋所有子問題的總和必須覆蓋原問題。 系統(tǒng)分域保護框架系統(tǒng)分域保護框架是從安全角度出發(fā)，通過對各保護對象進行組合來對信息系統(tǒng)進行結(jié)構(gòu)化處理的方法。f） 應(yīng)用軟件資產(chǎn)是指為政務(wù)業(yè)務(wù)和管理應(yīng)用而開發(fā)的各類應(yīng)用軟件及其提供的服務(wù)。這里的主機資產(chǎn)包括大型機、中型機、小型機、磁盤陣列、Unix服務(wù)器、Windows 服務(wù)器、工作站和終端等。網(wǎng)絡(luò)資產(chǎn)包括路由器、交換機、防火墻、網(wǎng)管、網(wǎng)絡(luò)設(shè)備控制臺等。b） 人員資產(chǎn)指與電子政務(wù)系統(tǒng)直接相關(guān)的人員，包括各級安全組織、安全人員、各級管理人員、網(wǎng)管員、系統(tǒng)管理員、業(yè)務(wù)操作人員和第三方人員等。某一個安全區(qū)域或多個安全區(qū)域網(wǎng)絡(luò)支撐平臺構(gòu)成了該區(qū)域的網(wǎng)絡(luò)基礎(chǔ)實施。通過對各安全區(qū)域之間的連接狀況分析，可以得到某個安全區(qū)域與其它區(qū)域之間的邊界。邊界是虛擬對象，不與具體資產(chǎn)對應(yīng)，邊界是一組功能集合，包括邊界訪問控制，邊界入侵檢測和審計等。20 / 45計算區(qū)域可以從安全域劃分的結(jié)果得到。涉及區(qū)域內(nèi)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用軟件層、數(shù)據(jù)層和業(yè)務(wù)流程層面。a) 計算區(qū)域計算區(qū)域是指由相同功能集合在一起，安全價值相近，且面臨相似威脅的一組信息系統(tǒng)組成。 保護對象分類保護對象是信息系統(tǒng)內(nèi)具有相似安全保護需求的一組信息資產(chǎn)的組合，是從安全角度對信息系統(tǒng)的描述。c） 安全要求相似性原則在信息安全的三個基本屬性方面，同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)具有相似的機密性要求、完整性要求和可用性要求。 安全域劃分原則電子政務(wù)安全區(qū)域的劃分主要依據(jù)電子政務(wù)系統(tǒng)的政務(wù)應(yīng)用功能、資產(chǎn)價值、資產(chǎn)所面臨的風(fēng)險，劃分原則如下：a） 系統(tǒng)功能和應(yīng)用相似性原則安全區(qū)域的劃分要以服務(wù)電子政務(wù)應(yīng)用為基本原則，根據(jù)政務(wù)應(yīng)用的功能和應(yīng)用內(nèi)容劃分不同的安全區(qū)域。 安全域劃分方式安全域劃分可以采用以下兩種方式實現(xiàn)：a) 對政務(wù)機構(gòu)整體進行安全域劃分在政務(wù)機構(gòu)所管轄的范圍內(nèi)對其所擁有的所有電子政務(wù)系統(tǒng)統(tǒng)一進行安全域劃分，將整個政務(wù)機構(gòu)的所有系統(tǒng)分為若干個安全區(qū)域。4 安全規(guī)劃與設(shè)計電子政務(wù)系統(tǒng)在完成定級之后，等級保護工作的第二個階段就是要進行安全規(guī)劃與設(shè)計，包括系統(tǒng)分域保護框架建立，選擇和調(diào)整安全措施，安全規(guī)劃與方案設(shè)計三個部分。b） 確定整體系統(tǒng)的等級，即總體定級對 各 子系統(tǒng)等 級 進行總 結(jié) 和 分 析 ， 確 定 整體系統(tǒng)的等級。自下向上的定級方式從各個子系統(tǒng)的屬性出發(fā)，通過考慮各個子系統(tǒng)的實際情況、所處的環(huán)境、之間的差異性來確定各子系統(tǒng)的安全等級。18 / 45 自下向上的定級方式自下向上的定級方式是從各子系統(tǒng)定級向上綜合確定系統(tǒng)總體安全等級的方式。 對 于 等 級 不 合 適 的 部 分進 行 調(diào) 整 ， 最 后 確 定 系 統(tǒng) 的 最 終 安 全 等 級 。自上向下定級方式是從整體系統(tǒng)的屬性出發(fā)，向下細(xì)分，通過考慮整體系統(tǒng)的使命、整體業(yè)務(wù)框架、業(yè)務(wù)特性、安全要求、系統(tǒng)在國家層面的定位等，來把握系統(tǒng)整體的安全等級。 自上向下的定級方式自上向下的定級方式是從系統(tǒng)總體等級向下細(xì)化出子系統(tǒng)等級的方式。 復(fù)雜系統(tǒng)定級方法對于包括多個子系統(tǒng)的復(fù)雜電子政務(wù)系統(tǒng)，定級可以包括系統(tǒng)總體安全等級和各子系統(tǒng)的安全等級。投標(biāo)信息的保密性等級為 3，完整性等級為 2，可用性等級為 2；系統(tǒng)管理信息的保密性等級為 1，完整性等級為 1，可用性等級為 1；招標(biāo)服務(wù)的保密性等級為 1，完整性等級為 1，可用性等級為 2。某個電子政務(wù)系統(tǒng)（假設(shè)其名稱為 A）的安全等級可以表示為：安 全 等 級 (A)＝ Max{ (系 統(tǒng) 保 密 性 等 級 ) ,(系 統(tǒng) 完 整 性 等 級 ),(系 統(tǒng) 可 用 性 等 級 )}其 中 ：系 統(tǒng) 保 密 性 等 級 ＝ Max { (各 信 息 或 服 務(wù) 的 保 密 性 等 級 ) }系 統(tǒng) 完 整 性 等 級 ＝ Max { (各 信 息 或 服 務(wù) 的 完 整 性 等 級 ) }系 統(tǒng) 可 用 性 等 級 ＝ Max { (各 信 息 或 服 務(wù) 的 可 用 性 等 級 ) }電子政務(wù)系統(tǒng) A 最終的安全等級為系統(tǒng)保密性等級、系統(tǒng)完整性等級、系統(tǒng)可用性等級中的最大值。通過對每一類信息和服務(wù)安全等級的分析，最終確定系統(tǒng)的安全等級。對大型復(fù)雜系統(tǒng)，可以引入業(yè)務(wù)系統(tǒng)等級確定方法，具體方法可以參照《附錄B：大型復(fù)雜電子政務(wù)系統(tǒng)等級保護實施過程示例》 。 定級方法確定電子政務(wù)安全等級的基本方法是：通過確定系統(tǒng)保密性、完整性和可用性三個方面的安全等級來綜合確定系統(tǒng)的安全等級。對電子政務(wù)系統(tǒng)和信息的未授權(quán)修改和破壞會對政務(wù)機構(gòu)運行、機構(gòu)財產(chǎn)、人員造成極其嚴(yán)重的負(fù)面影響，對國家安全造成嚴(yán)重?fù)p害。對政務(wù)機構(gòu)運行、機構(gòu)財產(chǎn)、人員造成嚴(yán)重的負(fù)面影響，對國家安全造成較大損害。4 對電子政務(wù)系統(tǒng)中信息的未授權(quán)泄漏會對政務(wù)對電子政務(wù)系統(tǒng)和信息的未授權(quán)修改和破壞會對政授權(quán)人員對電子政務(wù)系統(tǒng)和信息訪問的中斷會16 / 45機構(gòu)運行、機構(gòu)財產(chǎn)、人員造成嚴(yán)重的負(fù)面影響，對國家安全造成較大損害。對電子政務(wù)系統(tǒng)和信息的未授權(quán)修改和破壞會對政務(wù)機構(gòu)運行、機構(gòu)財產(chǎn)、人員造成較大的負(fù)面影響，對國家安全造成一定程度的損害。授權(quán)人員對電子政務(wù)系統(tǒng)和信息訪問的中斷會對政務(wù)機構(gòu)運行、機構(gòu)財產(chǎn)、人員造成中等程度的負(fù)面影響。2 對電子政務(wù)系統(tǒng)中信息的未授權(quán)泄漏會對政務(wù)機構(gòu)運行、機構(gòu)財產(chǎn)、人員造成中等程度的負(fù)面影響。對電子政務(wù)系統(tǒng)和信息的未授權(quán)修改和破壞會對政務(wù)機構(gòu)運行、機構(gòu)財產(chǎn)、人員造成較小的負(fù)面影響。電子政務(wù)五個安全等級在保密性、完整性和可用性三個安全屬性方面的描述如表 31所示。d） 安全等級第四級對電子政務(wù)信息和信息系統(tǒng)安全屬性的破壞會對政務(wù)機構(gòu)履行其政務(wù)職能、機構(gòu)財產(chǎn)、人員造成嚴(yán)重的負(fù)面影響，對國家安全造成較大損害，包括：1) 對政務(wù)機構(gòu)運行帶來嚴(yán)重的負(fù)面影響，政務(wù)機構(gòu)的多項政務(wù)職能無法履行，并在省級行政區(qū)域范圍內(nèi)造成嚴(yán)重影響；15 / 452) 對國家造成嚴(yán)重的經(jīng)濟損失；3) 對國家形象造成嚴(yán)重影響；4) 導(dǎo)致較多的人員傷亡；5) 導(dǎo)致危害國家安全的犯罪行為。b） 安全等級第二級對電子政務(wù)信息和信息系統(tǒng)安全屬性的破壞會對政務(wù)機構(gòu)履行其政務(wù)職能、機構(gòu)財產(chǎn)、人員造成中等程度的負(fù)面影響，包括：1) 對政務(wù)機構(gòu)運行帶來中等程度的負(fù)面影響，政務(wù)機構(gòu)還可以履行其基本的政務(wù)職能，但效率有較大程度的降低；2) 對政務(wù)機構(gòu)、相關(guān)單位、人員造成一定程度的經(jīng)濟損失；3) 對政務(wù)機構(gòu)、相關(guān)單位、人員的形象或名譽造成一定程度的負(fù)面影響；4) 造成輕微的人身傷害。 定級原則電子政務(wù)系統(tǒng)的安全等級可從信息安全的保密性、完整性、可用性三個基本屬性在遭到破壞時對政務(wù)機構(gòu)履行其政務(wù)職能、機構(gòu)財產(chǎn)、人員造成的影響來確定?？捎眯阅繕?biāo)是保證授權(quán)用戶能及時可靠地訪問信息、服務(wù)和系統(tǒng)資源，不因人為或自然的原因使系統(tǒng)中信息的存儲、傳輸或處理延遲，或者系統(tǒng)服務(wù)被破壞或被拒絕達(dá)到不能容忍的程度。c） 可用性確保已授權(quán)用戶在需要時可以訪問電子政務(wù)系統(tǒng)中的信息和相關(guān)資產(chǎn)。電子政務(wù)完整性目標(biāo)包括兩個方面：1) 電子政務(wù)系統(tǒng)中存儲、傳輸和處理的信息完整性保護；2) 電子政務(wù)系統(tǒng)本身的完整性保護。b） 完整性確保電子政務(wù)系統(tǒng)中信息及信息處理方法的準(zhǔn)確性和完備性。保密性破壞是指電子政務(wù)系統(tǒng)中各類信息的未授權(quán)泄漏。電子政務(wù)信息安全屬性包括三個方面：保密性、完整性、可用性。 子系統(tǒng)識別與描述子系統(tǒng)的識別與描述可參照 系統(tǒng)整體識別與描述。對于規(guī)模龐大的系統(tǒng)，為了便于描述，一般應(yīng)按照多個層次逐級進行劃分。13 / 45 子系統(tǒng)劃分方法在子系統(tǒng)劃分時，應(yīng)