电子政务信息安全(等级保护)综述

电子政务网络

一、概述

1.1 电子政务的概念

电子政务名词：电子政府、电子政务、网络化政府、数字政府、政府上网、办公自动化、无纸化办公、政务信息化、三网一库……还有很多英文名词如：e-Government、Government Online、e-governor、e-Government Affairs等。

联合国经济社会理事会：将电子政务定义为，政府通过信息通信技术手段的密集性和战略性应用组织公共管理的方式，旨在提供效率、增强政府的透明度、改善财政约束、改进公共政策的质量和决策的科学性，建立良好的政府之间、政府与社会、社区以及政府与公民之间的关系，提供公共服务的质量，赢得广泛社会参度。

所谓电子政务，就是应用现代信息和通信技术，将管理和服务通过网络技术进行集成，在互联网上实现组织结构和工作流程的优化重组，超越时间和空间及部门之间的分隔限制，向社会提供优质和全方位的、规范而透明的、符合国际水准的管理和服务。

1.2 电子政务的相关概念

1.2.1 物理隔离和逻辑隔离

◆物理隔离

最初物理隔离的概念是双终端、双网络，即每个用户拥有两台独立的计算机，分别接入两个互相独立的网络，这种方式的最大缺点就是对资源的严重浪费。随着硬件和软件技术的飞速发展，许多新型物理隔离产品相继问世。

物理隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议数据连接。其数据传输机制是存储和转发。

物理隔离的好处是明显的，即使外网在最坏的情况下，内网不会有任何破坏。修复外网系统也非常容易。正常情况下，隔离设备和外网，隔离设备和内网，外网和内网是完全断开的。保证网络之间是完全断开的。隔离设备可以理解为纯粹的存储介质，和一个单纯的调度和控制电路。

每一次数据交换，隔离设备经历了数据的接受，存储和转发三个过程。如果要保证数据最大限度的安全，最好的方法就是采取物理隔离了。通常来说，对于需要保护的内网与公共的外网来说存在着两种概念隔离，这就是物理隔离和逻辑隔离。

物理隔离在技术上主要解决以下三个方面的问题：

在物理传导上隔断内部网与外部网，确保外部网不能通过网络连接而侵入内部网；同时

防止内部网信息通过网络连接泄露到外部网。在物理存储上隔断内部网与外部网，对于断电后会逸失信息的部件，如内存、处理器等暂存部件，要在网络转换时作清除处理，防止残留信息窜网；对于断电后非逸失性设备如磁带机、硬盘等存储设备，内部网与外部网信息要分开存储；严格限制软盘、光盘等可移动介质的使用。在物理辐射上隔断内部网与外部网，确保内部网信息不会通过电磁辐射

或耦合方式泄露到外部网。

物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网，要绝对保证安全；逻辑隔离的哲学是在保证网络正常使用的情况下，尽可能安全。两者是完全不同的概念。

防火墙不是物理隔离产品，有防火墙的根本起因是不同网络间既要保证需要的数据交换和相互访问，又要防御恶意或非法访问。而无论从包过滤技术还是从代理技术来说，其关键点都在于使数据有选择地通过，而不是彻底地把数据隔离。

物理隔离技术与防火墙是两个概念，它们功能互补，但不能互相代替。其安全策略非常清楚，即：把需要保密的核心数据，进行严格的保护，实行物理隔离；而对一般的数据，则交由防火墙去保护。

◆逻辑隔离

安全隔离是一种逻辑隔离，防火墙就是一种逻辑隔离，因此防火墙也是一种安全隔离。物理隔离是要保证绝对安全，内网和外网在物理实体上完全分开，不能有任何连接;逻辑隔离的是保证网络正常使用的情况下，尽可能的安全，通过软件的功能进行内网与外网的隔离。常见的防火墙属于逻辑隔离的范畴，它的功能是不同网络间既要保证需要的数据交换和相互访问，又要防御恶意或非法访问。

电子政务平台包括对外服务的政务外网、政府内部办公的政务内网、和政府内网之间进行数据交换、信息共享和业务协同的政务专网。

1.2.2 政务外网和政务内网

◆政务外网

表现为互联网（Internet）上公共行政部门统一的门户网站、各公共行政部门的政务公开、网上办事平台等，是公共行政部门对外宣传、形象展示以及与社会公众和企业交流、业务受理和咨询的平台与窗口。安全隔离是一种逻辑隔离，防火墙就是一种逻辑隔离，因此防火墙也是一种安全隔离。国家信息化领导小组关于我国电子政务建设的指导意见（中办发〔2002〕17号）：“政务外网是政府的业务专网，主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务”。“政务外网与互联网之间逻辑隔离”。

◆政务内网

政府职能部门的内部OA办公自动化系统，侧重于政府日常协同办公运作，并运用先进的数据交换、共享、采集和发布手段，使得各政府机构在同一平台上传递信息、开展业务，可以促进原来分散的业务系统的整合，加速不同部门之间、不同行业之间的信息交流，紧密的将神经网络中的各级政府部门政务内网（含业务系统）、企事业单位结合在一起，实现协同政务、资源共享和科学决策。

电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。政务内网主要是副省级以上政务部门的办公网，与副省级以下的办公网物理隔离。建设中要统一标准，利用统一网络平台，促进各个业务系统的互联互通、资源共享。政务内网与政务外网之间进行隔离，从而保证电子政务数据和应用的安全性；政务外网通过物理隔离设备和防火墙与政务内网隔离。

政务内网的概念目前比较混乱。根据17号文件的相关规定，政务内网要走涉密信息，但是由于只是对副省级以上部门进行了明确定义，没有对副省级以下进行明确规定，导致副省级以下地区和部门的电子政务内网建设可谓五花八门。

另外，过去国务院和部委之间存在着一个机要网，这个网络专门传输涉密文件，可谓是真正的涉密网，如此一来，内网当中的涉密部分与这个机要网之间就存在了冲突，这个冲突如何解决还没有明确的说法；除此以外，目前例如税务、海关等部门出现了一个政务专网，这个专网从中央到地方连接所属各个部门，既不是完成服务公众的外网职能，也不是内网规定的涉密网络，而是主要传输业务信息，这就造成了混乱，不知道这类网络该如何进行定义，是内网？是外网？

进行信息发布、网上交流、业务处理的政务外网；进行日常办公及进行信息和业务协同的政务内网。政务内网和政务外网之间进行隔离，以保证电子政务数据和应用的安全性；政务外网通过物理隔离设备和防火墙与政务内网连接，并通过可靠的数据传输方式对外部信息进行采集、分析，并实现与外部资源的业务沟通。

一提到电子政务内网建设，多数人马上联想到两个词：“OA（办公自动化）”和“涉密”。目前国家副省级以上部门电子政务内网属于国家规定的涉密范畴，与外网和互联网物理隔离。

内网应用如何成为外网实现服务公众职能的“贤内助”，如何做到“外网受理、内网办理、外网反馈”。

解决网络用户管理的问题

解决网络连接控制的问题

解决网络资源管理的问题

解决网络服务控制的问题

解决网络媒体控制的问题

政务内网服务于政府机构的日常电子化办公，实现包括公文收发、会议管理、人员管理、项目管理和财务管理等完整的电子化办公功能，极大地提高政府机构的管理能力和工作效率。其功能主要包括：

◆知识信息管理

将各职能部门所采集的相关信息进行结构化存储，并提供各种途径的查询功能；通过系统动态管理对外进行政务信息发布及服务的网站；分门户、分权限、个性化管理内部所有知识信息。

◆业务流程管理

实现办公流程规范化，包括公文的下发流程、报告的审批流程、人事管理流程、预算流程、采购流程、年（月）度计划报批流程等，通过办公自动化系统实现自动运转；内部文件流转自动化，可根据文件的不同状态自动进行下步操作，并决定谁是相关责任人；可以为政府机构实现公文流转、网上审批、督办催办、信访接待、在线申报等各种简单到复杂的业务流程定义；实现工作的执行透明化，任务执行状态查询方便，实现管理者与员工之间的互动；实现组织内部的协同工作。

◆人员管理

建立人员卡片，人员资料集中管理，查询方便；任务的下达、执行自动化，提高工作效率；劳资、培训、党务等的管理流程化、规范化；科学工作考核案。

◆资产设备管理

资产集中电子化管理，明确责任人（部门）、使用状态，做到透明化管理；重要资产（如车辆）的管理规范化，能实时查看使用状态，使用和审批流程高效、规范；会议室等公共设备的计划与协调。

◆项目管理

科学的项目（例：土建工程项目、投资项目、网络建设项目、内部项目等）管理；人力、财力、物力、文件等资源与项目集成，实现统一管理；实时监控项目执行状态。

◆会议管理

对会议的参会人员、日程安排、会议服务、会议资料、会议设施、会议审批等进行管理；方便政府机构合理利用并妥善安排会议资源。

◆财务管理

通过各种财务分析、报表和指示器，提供给管理者机构运营、预算、绩效的财务方面的

详细了解；提供与其他财务管理系统的数据接口。

◆决策支持

提供给用户多种分析报告，涵盖信息和业务管理的各个层面，帮助政府机构更有效地组织资源、优化流程、提升效率和服务质量；对各种报告和报表支持自定义功能，极大地方便了不同的机构对数据提取和分析的不同的需求。

内网门户已建成统一的信息资源共享平台、统一的应用系统整合平台和统一的信息安全保障平台。其建设目标：

实现未经认证授权的非法用户“进不来”、“取不走”、“看不懂”、“跑不掉” 。

“业务安全互通、数据可信共享、办公协同灵活”

“有中心、有管理、可信、可靠、安全”

网络必须是可管可控的

“人” 必须是可信可管的

服务是以“人”为中心的。

◆网络必须是可管可控的

网络上的用户是可管可控的

网络上的资源是可管可控的

网络信任等级是可管可控的

◆网络上的用户是可管可控的

本地/异地用户是可管可控的

网络用户的身份是可标识的

网络用户的访问是可授权的

网络用户的访问是可审计的

◆“人” 必须是可信可管的

“人”的网络身份唯一性是可识别的

“人”的网络权限有效性是可鉴别的

“人”的网络行为的责任是可认定的

“人”在网络中移动时是可重定向的

◆网络上的资源是可管可控的

物理资源

网络设备

服务设备

接入设备

逻辑资源

端口

IP地址

网络带宽

服务资源

◆政务专网

政务专网是国家电子政务基础体系架构中的重要组成部分，是实现各级政府机关之间政务信息资源共享和网络协同办公、建立统一的应急指挥信息系统的基础网络平台。政务外网是政府的业务专网，主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务。政务专网特点有三：一是与社会公共信息网络（如互联网）物理隔离，完全独立运行；二是涵盖政府部门用户执行政府职能的信息系统，所涉及的众多信息均带有保密性；三是严格的权限分级，不同的人所访问的权限划分清晰。

政务专网是将原来分散的各级政府机构的内部网络连接起来，实现各级政府机构之间的政务交流、文件审阅、信息交换、政策传达和资源共享等功能，通过统一的应用系统实现政府的全面无纸化办公。不同政府部门之间的沟通不畅一直是阻碍政府办事效率的一个症结。政务专网是通过政务办公网络的互联，实现不同政府部门之间的信息互联，促进部门之间的政务互联。从而使职能部门之间、上下级部门之间沟通顺畅，协调配合密切，政府的整体效能明显提速。

1.3 电子政务系统分类

电子政务的内容非常广泛。从服务对象来看，电子政务主要包括这样几个方面：政府间的电子政务(Government to Government,G2G)；政府对企业的电子政务(Government to Business，G2B)；政府对公民的电子政务(Government to Citizen，G2C)。

1.4 电子政务的意义

创建服务型政府的需要(公众)

电子政务使传统服务管理模式发生很大改变，主要体现在任何管理和服务都在网上进行，而且在一个统一入口的网站上进行操作。

一站式服务

一站式行政

一站式执法

一站式民主

1.5 基本系统

电子政务的基本系统包括三个部分：

一是政务公开和信息发布。职能、法规、程序、时限等，凡是要行使的一切职责，包括处罚原则，必须彻底公开。同时，政务信息应每天发布、更新，凡是没公开的就不能实施，不能想办就办或者想不办就不办。

二是网上办公。在网上开展审批、申报备案、年检、注册和无纸化办公。

三是网上监管。建立投诉举报机制，查处打击违法行为，建立信誉查询系统。四是与其他相关部门互联互通，实现网上数据库资源共享。

具体来讲，电子政务包括政府的“内”、“外”两个部分，“管理”与“服务”两大职能。

“内”是指政府内部的信息化，也就是我们过去习惯了的说法，办公自动化系统（OA），信息管理系统（MIS）。这些系统往往是为了解决政府某个部门内部管理的问题，提高内部管理效率。

“外”是指政府对外的职能部分，大部分的政府部门总是有若干对外的管理或者服务职能。比如工商局管企业的登记注册，规划局管房地产建筑项目的规划等。

1.6 电子政务系统网络架构

电子政务网络系统可规划为一个四层的安全控制域，网络安全设计以各域的工作特点为依据进行设计。

核心层(核心数据存储与处理)：是政府信息的集中存储与处理的域，该域必须具有极其严格的安全控制策略，信息必须通过中间处理层才能获得。

办公业务层(日常办公与事务处理)：是政府内部的电子办公环境，该区域内的信息只能在内部流动。

信息交换层(友邻、上下级部门间)：一部分需要各部门交换的信息可以通过专网域进行交换。该区域负责将信息从一个内网传送到另一个内网区域，它不与外网域有任何信息交换。

公众服务层(电子窗口与信息服务)：政府部门公共信息的发布场所，实现政府与公众的互操作。该域与内网和专网物理隔离。

典型的电子政务网络架构由内网、外网和专网这三部分组成。

整个电子政务安全环境包括以下部分：基础安全服务设施、网络信任域基础设施、网络安全支撑平台产品和容灾备份系统四部分组成。

政府办公方式变革的需要(政府)

电子政务通过信息化、规范化和程序化的实施，改变了政府传统的办公方式和工作模式，形成以“数据的挖掘分析、整合共享及业务的可信互联、授权管理”为特征的新型政府管理和工作模式。由基于书面纸张操作的、以人员干预为主导的、传统办公处理转变为基于电子化文档管理的、以网络控制与传输为主导的新型安全事务处理，从而为电子政务电子化、网络化和安全化办公的开展提供基础平台。实现：

办公模式的电子化

办公流程的电子化

办公介质的电子化

办公实体的电子化

办公环境的电子化。

整体网络结构示意图（河北保定）

1.7 电子政务系统安全特殊需求

电子电子政务对安全的特殊需求实际上就是要合理地解决网络开放性与安全性之间的矛盾。在电子政务系统信息畅通的基础上，有效阻止非法访问和攻击对系统的破坏。具体到技术层面，除了传统的防病毒、防火墙等安全措施以外，电子政务特殊的安全需求主要表现在以下几个方面。

1）内外网间安全的数据交换。电子政务应用中势必存在内网与专网、外网间的信息交换需求，然而基于内网数据保密性的考虑，我们又不希望内网暴露在对外环境中。解决该问题的有效方式是设置安全岛，通过安全岛来实现内外网间信息的过滤和两个网络间的物理隔离，从而在内外网间实现安全的数据交换。安全岛是独立于电子政务内、外网的一个特殊的过渡网络，它被置于内网、专网和外网相交的边界位置，一方面将内网与外网物理隔离断开防止外网中黑客利用漏洞等攻击手段进入内网，另一方面又完成数据的中转，在其安全策略的控制下安全地进行内外网间的数据交换。

2）网络域的控制。电子政务的网络应该处于严格的控制之下，只有经过认证的设备可以访问网络，并且能明确地限定其访问范围，这对于电子政务的网络安全而言同样十分重要。然而目前绝大部分网络是基于TCP/IPV4网络协议的，它本身不具备这种控制能力。要加强电子政务网络的控制与管理能力，可以采用基于802.1x带网络接入认证功能的交换机来实现。802.1x协议能够对接入设备实现认证，从而控制网络的设备访问，它可以利用第三方的认证系统加强认证的安全强度，如Radius、TACACS以及CA等系统。802.1x协议使得电子政务网络处于中心可管理的状态，从而使得各种网络域管理策略得以实现。

3）标准可信时间源的获取。时间在电子政务安全应用上具有其特定的重要意义。政务文件上的时间标记是重要的政策执行依据和凭证，政务信息传递过程中的时间标记又是防止网络欺诈行为的重要指标，同时，时间也是政府各部门协同办公的参照物，因此，电子政务系统需要建立全系统可信、统一的时间源，这是保证电子政务系统不致出现混乱的关键因素。建立可信统一的时间源可以通过在标准时间源(如本地天文台、电视台等)上附加数字签名的方法来获得，附加数字签名的目的是防止时间在传输途中被篡改情况的发生。

4）信息传递过程中的加密。电子政务应用涵盖政府内部办公和面对公众的信息服务两大方面。就政府内部办公而言，电子政务系统涉及到部门与部门之间、上下级之间、地区与地区间的公文流转，这些公文的信息往往涉及到机密等级的问题，应予以严格保密。因此，在信息传递过程中，必须采取适当的加密方法对信息进行加密。基于IPsec的加密方式正被广泛采用，其优点显而易见：IPSEC对应用系统透明且具有极强的安全性，这一点对于要开发庞大应用的电子政务来说，就显得极有好处了，应用系统开发商不必为数据传输过程中的加密做过多的考虑。IPsec有多种应用方式，采用IPsec网关是比较理想的选择，它同时也易于部署和维护。

5）操作系统的安全性考虑。网络安全的重要基础之一是安全的操作系统，因为所有的政务应用和安全措施(包括防火墙、防病毒、入侵检测等)都依赖操作系统提供底层支持。操

作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。更危险的是，我们无法保证国外厂家的操作系统产品不存在后门。在操作系统安全方面，有两点是值得考虑的：一是采用具有自主知识产权且源代码对政府公开的产品;二是利用漏洞扫描工具定期检查系统漏洞和配置更改情况，及时发现问题。

6）数据备份与容灾。任何的安全措施都无法保证数据万无一失，硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此，在电子政务安全体系中必须包括数据的容灾与备份，并且最好是异地备份。

1.8 三网一库

根据我国国情和政府工作的特点，建立以“三网一库”为基本架构的电子政务系统：即政府机关内部的办公业务网；与内网有条件互联，以及实现地区级政府涉密信息共享的办公业务资源网；以因特网为依托的政府公众信息网；政府系统共建共享的电子信息资源库。

1）各级政府机关内部办公业务网。基本实现中央、省、市、县多级政府文电、信息、督查、会务、值班、接待等主要办公业务的数字化、信息化和网络化。具体实施起来，内网将实现六个主要功能，一是办公自动化，二是文档管理，三是领导辅助决策，四是视频点播，五是数据安全与恢复，六是网络安全。

2）各级政府办公业务资源网：实现政府部门内部网之间的互联和资源共享。例如，通过电子邮件系统的互通互联，实现专网内政府工作人员间的邮件传递，有效地沟通信息传递渠道；通过公文交换平台，实现省、市、县三级纵向以及政府与部门间横向传递。

3）政府公共信息外部网：及时发布公共信息，如政府机构设置、工作职责、政策规定、招商引资、工作进度、政务信息、公共信息，提供便民服务等。将政府内部办公职能面向公众延伸，逐步开展网上申报、审批、注册、年检、采购、招标、纳税、招商、举报、信访、服务等，提高工作透明度，树立政府的良好形象。

4）信息资源数据库：负责共享政府办公业务信息资源，使政府行政管理、应急指挥和快速反应的能力进一步提高，高效率、高质量地宏观管理和科学决策。在政府信息资源开发利用方面，资源数据库的功能体现在建立政府信息资源管理体制，建立政府信息公开和面向社会服务制度，制定政府信息资源管理、信息采集、交换、公告、信息网络建设实施标准、信息库建设规范，建设一批能对主要地政府业务工作和重大决策提供支持地数据库群，保证政府信息在政府机构内部实现畅通流转、充分共享。

1.9 电子政务网络发展趋势

行政体制改革是电子政务应用发展的重要力量

“大集中”的电子政务建设思路成为共识

信息资源的开发利用受到高度重视

政府门户网站朝着构建统一门户网站的方向发展

“条条”信息化与“块块”信息化互动和良性发展

电子政务示范工程的带动作用进一步加强

“以公众为中心”的服务理念被广泛接受

支撑电子政务应用的技术、标准和规范等有新的突破

二、国家电子政务系统

2.1 国家电子政务系统结构

国家电子政务系统总体结构分为三个层次

基础设施层

包括网络基础设施层和国家信息安全基础设施层。网络基础设施层是为电子政务系统提供政务信息以及其它运行管理信息的传输和交换平台，它是整个电子政务体系的最终信息承载者，位于整个系统的最底层。

国家信息安全基础设施层在网络基础设施层所提供的信息传输服务平台的基础上，为电子政务应用提供一个通用的、高性能的、智能化的可信和授权的平台。

统一的安全电子政务平台层

统一的安全电子政务平台层是指在基础设施层之上，承载最终电子政务应用的软、硬件综合平台。具体包括统一可信的Web服务平台、统一的Web门户平台、统一的数据交换平台。

电子政务应用层

电子政务应用层是在统一的安全电子政务平台层之上，加载和运行的一系列政务业务应用系统。

2.2 国家电子政务系统建设内容

电子政务系统的具体建设内容概括为以下几个方面：

一个统一的安全电子政务平台

两个基础设施

两类电子政务应用系统

2.3 一个统一的安全电子政务平台

统一的安全电子政务平台是承载最终电子政务应用的软、硬件综合平台，是电子政务系统的关键。它一方面作为电子政务系统的统一对外门户，提供公众服务；另一方面作为电子政务的统一对内门户，提供对内的数据共享、协同办公、决策支持、数据挖掘等服务。2.4 两个基础设施

电子政务系统主要涉及两个基础设施，即网络基础设施和国家信息安全基础设施。他们分别向电子政务系统提供网络传输以及互联服务、智能化的信人服务、有效的授权服务以及安全保密管理等服务。是国家电子政务的基础运行平台。

网络基础设施

网络基础设施是提供信息传输与交换的基础设施体系，是整个电子政务系统正常运行的

基础。

整个网络基础设施可以根据电子政务应用的实际需求划分为互联网、业务网、非涉密办公网和涉密办公网等部分。

网络基础设施是针对互联网“对等的、无中心的、无管理的”组织设计思想，旨在构建一个可以管理的、有中心的网络基础设施。

国家信息安全基础设施

国家信息安全基础设施NISI以公钥基础设施、授权管理基础设施和可信时间戳服务系统为重点，还包括安全保密管理系统。

2.5 两类电子政务应用系统

国家电子政务应用系统可分为电子政务内网应用和电子政务外网应用两大类。其中电子政务内网应用主要面向政府公务员，提供办公支持、决策支持、公文流转等服务；而电子政务外网应用主要面向公众，提供各政府职能部门的相关服务，如网上项目申报、网上纳税等。

三、政务内网

3.1 电子公文处理和传输系统

公文拟制电子化

机关内部公文流转电子化

政府系统机关之间公文传输电子化

3.2 桌面视频会议系统

根据支持视频会议的网络不同可分为:基于通用电话网(POTS)、基于局域网（LAN）、基于综合业务数字网(ISDN)、基于异步传输网(ATM)和基于Internet的视频会议系统。

根据传输的内容不同可分为：文件会议系统、数据会议系统、可视会议系统、桌面视频会议系统。目前大量采用的是桌面视频会议系统，又称多媒体会议系统。

视频会议系统的功能一般包括会议管理、数据会议、媒体流管理和会议文档管理四部分。

3.3 电子会议通知报名系统

包括:会议通知、安排、报名、日程、议程等。

3.4 督察管理系统

包括：在办事务的监控和已结案事务的监控。

3.5 事务管理系统

包括：处理来信来访、后勤服务、电子日程表、任务安排等。

3.6 网上审批系统

行政审批是政府机关的重要职能。网上审批系统就是将传统需要手工办理的审批业务搬到网上，提高政府的办事效率和服务质量，并增加政府办公的透明度。

3.7 应急指挥系统

包括紧急突发事件处理的全过程：从突发事件的上报、相关数据的采集、紧急程度的判断、实时沟通、联动指挥、领导辅助决策。

3.8 决策支持系统

主要提供必要的地理空间信息、政务信息、专题业务信息和其他各类决策信息，共领导决策参考。

四、政务外网

4.1 外网应用的种类

按服务对象划分:公民、企业和政府

按职能领域划分：政治服务、经济服务、文化服务和社会服务

按具体行政行为划分：行政许可服务、行政征收服务、行政确认服务、行政给付服务、行政合同订立服务

按服务提供方式分：信息发布服务、信息搜索服务、文件下载服务、电子邮件服务、公共论坛服务、在线业务处理服务

4.2 公共服务系统

目前我国政府公共服务系统实际应用中的服务内容有:

面向公众的服务

面向企业的服务

面向社会的服务。

4.3 政府门户网站

政府公共服务系统主要以政府门户网站的形式出现。政府门户网站是连接政府和政府、政府和公众、政府和企业的桥梁。其突出特征是：

友好的网站界面

清晰的网站导航

完善的帮助系统

完整的多类信息

完善的在线服务。

政府门户网站所提供的公共服务内容一般包括：政府新闻

统计资料

政府出版物

数据库查询

问题咨询

邮件列表

服务承诺

隐私保护政策

办事指南

政务公告

网上投诉

网上查询投诉结果

各种政府表格下载

在线提交申请表格

网上查询办事进程

网上招标

网上采购

网上缴税

网上支付各种费用。

五、电子政务网络系统方案设计

5.1 政务内网方案设计

为提高网络的性能，减少网络瓶颈，同时便于网络的实施及管理，电子政务内网分三层：核心层、汇聚层、接入层。主要设备的所有关键模块均实现1+1冗余，易于扩容和维护。所有模块具备热插拔的功能。

1)核心层：完成网络各汇聚节点之间的互联以及实现高效高速的数据处理、传输、交换转发及路由分发。

2)汇聚层：负责将各种接入业务集中起来，除了进行局部数据的交换、转发以外，通过高速接口将数据输送到核心层去，在更大的范围内进行数据的路由以及处理。

3)接入层：提供各种标准接口将数据接入到网络中，完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。

◆核心层

核心层节点位于电子政务信息中心，主要完成网络覆盖范围内所有业务的高速交换和路由转发，对网络的可靠性、业务的支持能力和报文的转发性能有很高的要求。因此骨干核心交换机要求具有高性能的交换处理能力，灵活的可扩充性，特别强调设备的高可靠性、高可用性要求。在中心机房核心层节点采用大容量、高性能的路由交换机，以提供强大的QOS

保证机制，完备的业务控制、用户管理能力，以及电信级的可靠性和高密度、大容量交换能力，从而完全满足政府当前业务的处理。考虑到数据服务器的可靠性，我们采用了双链路接入两个核心设备设计形式。

同时从下图可以看，我们在核心层设计考虑了主、备核心设备之间的带宽瓶颈问题，我们在主、备核心交换机之间采用了链路聚合方式，提高双核心设备之间访问的线路带宽，克服了核心层的网络带宽瓶颈问题。核心层的网络结构如下图所示：

◆汇聚层

汇聚层节点包括了各办公局域网和中心办公楼局域网互联，采用千兆以太网链路连接至核心交换机。由于政府部门的层次较多，因此，汇聚层将包含一个很大的范围，汇聚层交换机也相应地分布在不同的网络区域。

此外，从整个电子政务网络的的角度来看，政府办公局域网（内网或外网）的核心同时也就是整个电子政务网络的汇聚层。在很多情况下，电子政务网的汇聚层交换机上都为办公业务服务器或信息资源库提供千兆接入端口。汇聚层网络结构示意图如下所示：

◆接入层

电子政务内网的接入层对应于区政府内部各部门办公局域网的接入：

◆与各办事机构互联

与各办事机构的互联链中可以有许多方式，可以选择DDN/FR、2M SDH传输专线、IP VPN 方式等，DDN和FR链路在过去的几年里风糜全国，但由于其带宽和租用费用的限制约束，这几年来已逐渐退出了互联网络的历史舞台，2M SDH专线传输链路虽然保障了互联链路的传输带宽，同时也保障了互联的安全性(基于点对点的互联)，但由于其租用费用较高，一般用户很少采用，对于IP VPN互联方式则深受用户所喜爱，一方面它的接入方式简单，可以通过光纤收发器直接接入运营商的宽带IP网络中，通过路由设备，VPN网关设备实现各级节点的互联，另一方面每个接点的接入费用仅需要几百元，完全可以被用户所承受。

政府电子政务内网与各办事机构互联结构示意图如下所示：

5.2 政务外网建设

外网建设，可以采用一台路由器通过宽带链路接入Internet互联网络，在政务内网与互联网之间配置一台高性的防火墙，一方面防火墙安全设备提供内网到Internet的地址转换功能，另一方面可以提供外部服务器到互联网的信息发布功能。防火墙设备可以采用联想、天融信产品，路由器我们采用了联想RT-2621路由器，该路由器自身配置有2个10/100M自适应以太网接口，其中一个用于互联网Internet高速连接，另外一个接口用于防火墙外网口的互连，其结构示意图如下所示：

下图是一个完整的电子政务网络拓扑图：

六、电子政务安全系统设计

6.1 项目背景

某检察院广域网分为三个层面，第一部分是包括省高院内部网及与Internet互联的外部网部分，该部分是全省广域网的核心，是地市级检察院交换的枢纽；第二部分是铁路检察院

信息安全等级保护建设方案

信息安全等级保护（二级）建设方案 2016年3月 目录 1. 项目概述 (3) 1.1. 项目建设目标 (3) 1.2. 项目参考标准 (4) 1.3. 方案设计原则 (5)

2. 系统现状分析 (6) 2.1. 系统定级情况说明 (6) 2.2. 业务系统说明 (6) 2.3. 网络结构说明 (7) 3. 安全需求分析 (8) 3.1. 物理安全需求分析 (8) 3.2. 网络安全需求分析 (8) 3.3. 主机安全需求分析 (8) 3.4. 应用安全需求分析 (8) 3.5. 数据安全需求分析 (9) 3.6. 安全管理制度需求分析 (9) 4. 总体方案设计 (9) 4.1. 总体设计目标 (9) 4.2. 总体安全体系设计 (9) 4.3. 总体网络架构设计 (12) 4.4. 安全域划分说明 (12) 5. 详细方案设计技术部分 (13) 5.1. 物理安全 (13) 5.2. 网络安全 (13) 5.2.1. 安全域边界隔离技术 (13) 5.2.2. 入侵防范技术 (13) 5.2.3. 网页防篡改技术 (13) 5.2.4. 链路负载均衡技术 (13) 5.2.5. 网络安全审计 (14) 5.3. 主机安全 (14) 5.3.1. 数据库安全审计 (14) 5.3.2. 运维堡垒主机 (14) 5.3.3. 主机防病毒技术 (15) 5.4. 应用安全 (15) 6. 详细方案设计管理部分 (16) 6.1. 总体安全方针与安全策略 (16) 6.2. 信息安全管理制度 (17) 6.3. 安全管理机构 (17) 6.4. 人员安全管理 (17) 6.5. 系统建设管理 (18) 6.6. 系统运维管理 (18) 6.7. 安全管理制度汇总 (20) 7. 咨询服务和系统测评 (21) 7.1. 系统定级服务 (21) 7.2. 风险评估和安全加固服务 (21) 7.2.1. 漏洞扫描 (21) 7.2.2. 渗透测试 (21) 7.2.3. 配置核查 (21) 7.2.4. 安全加固 (21) 7.2.5. 安全管理制度编写 (23)

信息安全等级保护操作的指南和操作流程图

信息安全等级保护操作流程 1信息系统定级 1.1定级工作实施范围 “关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下： （一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 （二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 （三）市（地）级以上党政机关的重要网站和办公信息系统。 （四）涉及国家秘密的信息系统（以下简称“涉密信息系统”）。 注：跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

1.2定级依据标准 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发【2003】27 号文件） 《关于信息安全等级保护工作的实施意见》（公通字【2004】66号文件） 《电子政务信息系统安全等级保护实施指南（试行）》（国信办【2005】25 号文件） 《信息安全等级保护管理办法》（公通字【2007】43 号文件）《计算机信息系统安全保护等级划分准则》 《电子政务信息安全等级保护实施指南》 《信息系统安全等级保护定级指南》 《信息系统安全等级保护基本要求》 《信息系统安全等级保护实施指南》 《信息系统安全等级保护测评指南》

1.3定级工作流程 信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案? 网络拓扑调查? 资产信息调查? 服务信息调查? 系统边界调查? …… ? 管理机构分析? 业务类型分析? 物理位置分析? 运行环境分析? …… ? 业务信息分析? 系统服务分析? 综合分析? 确定等级? …… ? 编写定级报告? …… ? 协助评审审批? 形成最终报告? 协助定级备案 图 1-1信息系统定级工作流程 1.3.1信息系统调查 信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查，全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。同时，通过信息系统调查还可以明确信息系统存在的资产价值、威胁等级、风险等级以及可能造成的影响客体、影响范围等基本情况。 信息系统调查结果将作为信息系统安全等级保护定级工作的主要依据，保证定级结果的客观、合理和准确。

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;

c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运

信息安全等级保护答案

一、单选题（题数：32，共64.0 分）1 信息安全等级保护工作直接作用的具体的信息和信息系统称为（2.0分） 2.0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务 正确答案：B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: （2.0分） A、 3 B、 4 C、 5 D、 6 正确答案：C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。（2.0分） A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 正确答案：D 4 对社会秩序、公共利益造成特别严重损害,定义为几级（2.0分） A、第一级 B、第二级 C、第三级 D、第四级 正确答案：D 5 对国家安全造成特别严重损害,定义为几级（2.0分） A、第二级 B、第三级 C、第四级 D、第五级 正确答案：D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。（2.0分） A.二级及以上 B.三级及以上 C.四级及以上 D.五级 正确答案：B

7 计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由( )合同有关部门制定。（2.0分） A、教育部 B、国防部 C、安全部 D、公安部 正确答案：B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。（2.0分） A、7 B、8 C、 6 D、 5 正确答案：D 9 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益,在等保定义中应定义为第几级（2.0分） A、第一级 B、第二级 C、第三级 D、第四级 正确答案：A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。（2.0分） A、安全定级 B、安全评估 C、安全规划 D、安全实施 正确答案：A 11 安全建设整改无论是安全管理建设整改还是安全技术建设整改,使用的和新标准是( ) （2.0分） A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共和国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》 正确答案：B 12 从系统服务安全角度反映的信息系统安全保护等级称（2.0分） A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 正确答案：C

信息安全等级保护答案

一、单选题(题数:32,共64、0 分)1 信息安全等级保护工作直接作用的具体的信息与信息系统称为(2、0分) 2、0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务 正确答案:B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: (2、0分) A、 3 B、 4 C、 5 D、 6 正确答案:C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范与标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。(2、0分) A、公安机关 B、国家保密工作部门 C、国家密码管理部门 D、信息系统的主管部门 正确答案:D 4 对社会秩序、公共利益造成特别严重损害,定义为几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:D 5 对国家安全造成特别严重损害,定义为几级(2、0分) A、第二级 B、第三级 C、第四级 D、第五级 正确答案:D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。(2、0分) A、二级及以上 B、三级及以上 C、四级及以上 D、五级 正确答案:B 7 计算机信息系统实行安全等级保护,安全等级的划分标准与安全

等级保护的具体办法,由( )合同有关部门制定。(2、0分) A、教育部 B、国防部 C、安全部 D、公安部 正确答案:B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。(2、0分) A、7 B、8 C、 6 D、 5 正确答案:D 9 信息系统受到破坏后,会对公民、法人与其她组织的合法权益造成损害,但不损害国家安全、社会秩序与公共利益,在等保定义中应定义为第几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。(2、0分) A、安全定级 B、安全评估 C、安全规划 D、安全实施 正确答案:A 11 安全建设整改无论就是安全管理建设整改还就是安全技术建设整改,使用的与新标准就是( ) (2、0分) A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共与国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》 正确答案:B 12 从系统服务安全角度反映的信息系统安全保护等级称(2、0分) A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 正确答案:C 13 对拟确定为( )以上信息系统的,运营、使用单位或者主管部门应

国家信息安全等级第二级保护制度

国家信息安全等级保护制度 （二级） 一、技术要求 1、物理安全 1.1物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 1.2 物理访问控制 （1）机房出入口应有专人值守，鉴别进入的人员身份并登记在案； （2）应批准进入机房的来访人员，限制和监控其活动范围。 1.3 防盗窃和防破坏 （1）应将主要设备放置在物理受限的范围内； （2）应对设备或主要部件进行固定，并设置明显的不易除去的标记； （3）应将通信线缆铺设在隐蔽处，如铺设在地下或管道中等； （4）应对介质分类标识，存储在介质库或档案室中； （5）应安装必要的防盗报警设施，以防进入机房的盗窃和破坏行为。 1.4 防雷击 （1）机房建筑应设置避雷装置; （2）应设置交流电源地线。 1.5 防火 应设置灭火设备和火灾自动报警系统，并保持灭火设备和火灾自动报警系统的良好状态。 1.6 防水和防潮 （1）水管安装，不得穿过屋顶和活动地板下； （2）应对穿过墙壁和楼板的水管增加必要的保护措施，如设置套管； （3）应采取措施防止雨水通过屋顶和墙壁渗透； （4）应采取措施防止室内水蒸气结露和地下积水的转移与渗透。 1.7 防静电 应采用必要的接地等防静电措施 1.8 温湿度控制 应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 1.9 电力供应 （1）计算机系统供电应与其他供电分开；

（2）应设置稳压器和过电压防护设备； （3）应提供短期的备用电力供应（如UPS设备）。 1.10 电磁防护 （1）应采用接地方式防止外界电磁干扰和设备寄生耦合干扰； （2）电源线和通信线缆应隔离，避免互相干扰。 2、网络安全 2.1结构安全与网段划分 （1）网络设备的业务处理能力应具备冗余空间，要求满足业务高峰期需要； （2）应设计和绘制与当前运行情况相符的网络拓扑结构图； （3）应根据机构业务的特点，在满足业务高峰期需要的基础上，合理设计网络带宽； （4）应在业务终端与业务服务器之间进行路由控制，建立安全的访问路径； （5）应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段； （6）重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗。 2.2 访问控制 （1）应能根据会话状态信息（包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用），为数据流提供明确的允许/拒绝访问的能力。 （2）应在基于安全属性的允许远程用户对系统访问的规则的基础上，对系统所有资源允许或拒绝用户进行访问，控制粒度为单个用户； （3）应限制具有拨号访问权限的用户数量。 2.3 安全审计 （1）应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录； （2）对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息 2.4 边界完整性检查

信息安全等级保护工作实施细则.doc

内部明电 发往：签发： 信息安全等级保护工作实施细则 第一章总则 第一条信息安全等级保护制度是国家在国民经济和 社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、 社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。为加 强本局信息安全等级保护工作，规范信息安全等级保护安全管理，促进各职能 部门之间的分工与协调合作，提高信息安全保障能力和水平，制定本实施细则。 第二条信息安全等级保护，是指对国家秘密信息及公民、法人和其他组织 的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行 安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中 发生的信息安全事件分等级响应、处置。 第三条本实施细则所指的重要信息系统，是指包括本局公共服务网络与管理信息系统。 第四条信息系统运营、使用单位是指信息系统的所有者或信息系统所承载 业务的主管单位，且对该信息系统的安全运行负主要责任的县区分局。本实施 细则适用于新建和已建的所有信息系统。 第五条本局内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负

责的原则，对其信息系统分等级进行保护，履行信息安全等级保护职责。 第六条信息系统安全保护等级分为五级： （一）第一级为自主保护级，信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。 （二）第二级为指导保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时，相关职能部门可以对其信息安全等级保护工作进行指导。 （三）第三级为监督保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护，相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。 （四）第四级为强制保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护，相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。 第七条市局成立信息安全等级保护领导小组，负责市局信息安 全等级保护工作的整体协调和指导。市局信息安全等级保护领导小组下设办公室负责： （一）对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查； （二）对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导；

信息安全等级保护制度

第一条 为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条

信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

某单位信息安全等级保护建设方案

xxxxxx 信息安全等级保护（三级）建设项目 设计方案 二〇一八年二月

文档控制 文档名称： xxxxxx 信息安全等保保护建设（三级）设计方案 版本信息

本文档版权归xxxxxx股份有限公司所有，未经xxxx有限公司允许，本文档里的任何内容都不得被用来宣传和传播。未经xxxx有限公司书面批准，文档或任何类似的资讯都不允许被发布。

目录 第一章项目概述 (5) 项目概述 (5) 项目建设背景 (6) 1.2.1法律要求 (6) 1.2.2政策要求 (8) 项目建设目标及内容 (8) 1.3.1项目建设目标 (8) 1.3.2建设内容 (9) 第二章现状与差距分析 (10) 现状概述 (10) 2.1.1信息系统现状 (10) 现状与差距分析 (12) 2.2.1物理安全现状与差距分析 (12) 2.2.2网络安全现状与差距分析 (21) 2.2.3主机安全现状与差距分析 (34) 2.2.4应用安全现状与差距分析 (46) 2.2.5数据安全现状与差距分析 (57) 2.2.6安全管理现状与差距分析 (61) 综合整改建议 (66) 2.3.1技术措施综合整改建议 (66) 2.3.2安全管理综合整改建议 (81)

v1.0 可编辑可修改 第三章安全建设目标 (83) 第四章安全整体规划 (85) 建设指导 (85) 4.1.1指导原则 (85) 4.1.2安全防护体系设计整体架构 (86) 安全技术规划 (88) 4.2.1安全建设规划拓朴图 (88) 4.2.2安全设备功能 (89) 建设目标规划 (95) 第五章工程建设 (97) 工程一期建设 (97) 5.1.1区域划分 (97) 5.1.2网络环境改造 (97) 5.1.3网络边界安全加固 (98) 5.1.4网络及安全设备部署 (99) 5.1.5安全管理体系建设服务 (132) 5.1.6安全加固服务 (149) 5.1.7应急预案和应急演练 (157) 5.1.8安全等保认证协助服务 (157) 工程二期建设 (159) 5.2.1安全运维管理平台（soc） (159) 5.2.2APT高级威胁分析平台 (163) 产品清单 (165)

信息安全等级保护标准规范

信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 （一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 （二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业

网站系统信息安全等级保护建设整改方案

网站系统信息安全等级保护建设整改方案 随着互联网应用和门户网站系统的不断发展和完善，网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施，另一方面要加强系统自身抵抗威胁的能力，同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求，网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施，综合提升网站系统的安全保障能力。 根据国家等级保护有关要求，省级政府门户网站系统的信息安全保护等级应定为三级，建立符合三级等级保护相关要求的安全防护措施，能够形成在同一安全策略的指导下，网站系统应建立综合的控制措施，形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析，形成网站系统的安全需求，从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 根据网站系统的应用情况，针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析，具体需求如下： 1、业务流程安全需求 针对网站类业务重点需要关注发布信息的准确性，采集分析和汇总信息的可控性，以及服务平台的可用性，系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击，应加强对于这些威胁的对抗和防护能力，通过严格控制业务流程中的各个环节，包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求，同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面，由于几个层面涉及的主要功能和软件实现存在一定的差异性，因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成，针对业务系统此层面是一个访问入口，从安全需求方面应当减少入口对于系统的攻击可能性，对于指定的接入和入口可以通过建立可信机制进行保护，对于非指定的接口可以通过控制权限进行防护；展现层是系统内容的展示区域，要确保系统展示信息的完整性，降低被篡改的风险；应用层是对数据信息进行处理的核心部分，应加强系统自身的安全性和软件编码的安全性，减少系统自身的脆弱性；基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务，该层次重点是确保系统组件自身的安全性，同时要加强与应用之间接口的安全性；信息资源层是由业务数据库和平台数据库共同构成，此层次重点的安全在于数据库安全；基础支撑运行环境层，支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境，该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁，应加强资产的综合管理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息，以及前台的交互信息和后台的数据交换信息，针对这些信息各个环节中的访问关系不同，信息的敏感和重要程度不同，可能面

国家信息安全等级保护制度介绍

信息安全等级保护制度介绍 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 （一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 （二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业

信息安全等级保护测评工作管理规范(试行)完整篇.doc

信息安全等级保护测评工作管理规范(试 行)1 附件一： 信息安全等级保护测评工作管理规范 （试行） 第一条为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作（以下简称“等级测评工作”）的顺利开展，根据《信息安全等级保护管理办法》等有关规定，制订本规范。 第二条本规范适用于等级测评机构和人员及其测评活动的管理。 第三条等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。 第四条省级以上等保办负责等级测评机构的审核和推荐工作。 公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。

第五条等级测评机构应当具备以下基本条件： （一）在中华人民共和国境内注册成立（港澳台地区除外）； （二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）； （三）产权关系明晰，注册资金100万元以上； （四）从事信息系统检测评估相关工作两年以上，无违法记录； （五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； （七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求； （八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （九）对国家安全、社会秩序、公共利益不构成威胁; （十）应当具备的其他条件。 第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。

信息安全等级保护定级指南

附件2 信息系统安全保护等级定级指南 （试用稿） 公安部 二〇〇五年十二月

目次 1范围 (11) 2术语和定义 (11) 2.1 业务信息（Business Information） (11) 2.2 业务信息安全性（Security of Business Information） (11) 2.3 业务服务保证性（Assurance of Business Service） (11) 2.4 信息系统（Information System） (11) 2.5 业务子系统（Business Subsystem） (11) 3定级对象 (11) 3.1 信息系统的划分 (12) 3.2 信息系统和业务子系统 (12) 4决定信息系统安全保护等级的要素 (12) 4.1 决定信息系统重要性的要素 (13) 4.2 定级要素赋值 (13) 5确定信息系统安全保护等级的步骤 (15) 6信息系统安全保护等级的确定方法 (16) 6.1 确定业务信息安全性等级 (16) 6.2 确定业务服务保证性等级 (16) 6.3 确定信息系统安全保护等级 (18) 7信息系统安全保护等级的调整 (18) 8附录 (20) 8.1 实例1 (20) 8.2 实例2 (21)

信息系统安全保护等级定级指南 1范围 本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。 有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统，该系统的安全保护等级定为5级，不再使用本指南的方法定级。 各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。 2术语和定义 下列术语和定义适用于本指南。 2.1 业务信息（Business Information） 为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。2.2 业务信息安全性（Security of Business Information） 保证业务信息机密性、完整性和可用性程度的表征。 2.3 业务服务保证性（Assurance of Business Service） 保证信息系统完成业务使命程度的表征。业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。 2.4 信息系统（Information System） 基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。 2.5 业务子系统（Business Subsystem） 由信息系统的一部分组件构成，是信息系统中能够承载某项业务工作的子系统。 3定级对象 如果信息系统只承载一项业务，可以直接为该信息系统确定等级，不必划分业务子系统。 如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。

信息安全等级保护工作流程图

信息安全等级保护工作流程

一、定级 一、等级划分 计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定，分为五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 二、定级程序 信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 三、定级注意事项 第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。

第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统，地市级以上国家机关、企事业单位网站等 第三级信息系统：一般适用于地市级以上国家机关、企事业单位内部重要的信息系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省门户网站和重要网站；跨省连接的网络系统等。例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。 第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等 第五级信息系统：适用于国家特殊领域的极端重要系统。 二、备案 一、总体要求 新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 二、备案管辖 （一）管辖原则。 备案管辖分工采取级别管辖和属地管辖相结合。 （二）中央在京单位。 隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由公安部公共信息网络安全监察局受理备案，其他信息系统由北京市公安局公共信息网络安全监察部门（简称网监部门，下同）受理备案。

单位信息安全等级保护建设方案V完整版

单位信息安全等级保护 建设方案V HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】

x x x x x x 信息安全等级保护（三级）建设项目 设计方案 二〇一八年二月

文档控制 文档名称： xxxxxx 信息安全等保保护建设（三级）设计方案 版本信息

本文档版权归xxxxxx股份有限公司所有，未经xxxx有限公司允许，本文档里的任何内容都不得被用来宣传和传播。未经xxxx有限公司书面批准，文档或任何类似的资讯都不允许被发布。

目录 第一章项目概述 ................................................. 1.1 项目概述 ................................................. 1.2 项目建设背景 ............................................. 1.2.1 法律要求 .......................................... 1.2.2 政策要求 .......................................... 1.3 项目建设目标及内容 ....................................... 1.3.1 项目建设目标 ...................................... 1.3.2 建设内容 .......................................... 第二章现状与差距分析 ........................................... 2.1 现状概述 ................................................. 2.1.1 信息系统现状 ...................................... 2.2 现状与差距分析 ........................................... 2.2.1 物理安全现状与差距分析 ............................ 2.2.2 网络安全现状与差距分析 ............................

《信息安全等级保护管理办法》(公通字[2007]43号文件)

信息安全等级保护管理办法（公通字[2007]43号） 作者: 来源: 公安部、国家保密局、国家密码管理局、 字体：大中小国务院信息工作办公室时间：2007-06-22 第一章总则 第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。