《电子政务等级保护安全保障体系研究》

作者简介：王莉(1982.04-),女，本科，政工师，主要研 究方向为政工人事工作。
(上接第184页)和上海市的做法，政府部门设置完备的专业 培训体系，定期开展信息技术培训，转变思想观念，提升工作 效率,激发工作热情,在职业道德修养、政务工作和现代化工 具使用等多方面打造综合本领过硬的专业人才。借鉴青岛市 的做法，成立专门的电子政务发展机构来吸引人才,培养全 能型人才队伍。也可以从其他部门借调有熟悉业务流程、实 践经验的工作人员参与工作，还可发挥研究机构、行业协会 的作用，加强国际交流与合作,共同打造专业的政务平台运 营团队，使之适应新时期电子政务管理的需求，最终促进更 高质量的服务型政府建设。
优化黑龙江省“互联网+政务服务”, 实现更智慧的政府治理
文/东北农业大学李杨
摘要:随着互联网的广泛应用，民众对政府的服务质量 和效率要求日益增加。大力推进"互联网+政务服务”，是移 动互联网产业发展的必然趋势。近年来，黑龙江省电子政务 蓬勃发展，但也存在着很多问题。文章借鉴了中西方的发展 优势，着重分析发展现状，归纳总结发展问题，探索改革方 案，实现更智慧的政府治理。
（一）加强政务平台的联动机制建设,实现服务创新 目前，我国省级网上政务服务平台体系已全部建成， "一网通”成为政府提供政务服务的主要形式。政府应当加 快政务服务从中央进一步向地方延伸的步伐，尽快实现"互 联网+政务服务”省、市、县、乡镇、村全覆盖,加强政务平台 的联动机制建设,推动业务融合、数据融合,打通信息壁垒， 构建全国信息资源共享休系。黑龙江省也可以参考部分政 府在选择政企合作运作模式和管理手段时探索形成的多种 实现方式，以及在基础设施建设、运维服务、政务信息资源 利用等方面积累的经验。 "服务型政府”以为民众提供合理、合法、优质的公共服 务为目标。政务服务平台应充分利用大数据系统，通过热点 话题讨论、在线问答、微直播等形式，倾听民意、了解民生， 根据自身优势及目标受众的特点，推进服务标准化和实用 性，以打造政务新媒体传播力、服务力为追求，及时更新平 台信息，打造精品内容，传达受众真正关心的事，推进电子 政务高标准建设、公共服务高质量发展。黑龙江省各级政府 也可根据情况需要进行服务创新，例如疫情防控阶段开通 专门的防疫网站和应用程序，向公众及时准确提供疫情的 官方最新信息。 （-）建立健全法律法规体系，保护公众的电子信息安全 "互联网+政务服务”需具有良好的法制环境，才能实 现长远有序的发展。借鉴美国、日本等国的经验，国家应出台 政务平台的法律制度保障措施，出台《电子政务法》《电子政 务安全法》等基本法，明确电子政府的法律地位、主管部门职 责;出台《信息公开法》《网络信息安全法》等配套法律，保护 公众的电子信息安全。国内一些省市的法律法规也为黑龙江 省提供了经验借鉴,例如浙江省《信息安全等级保护管理办 法》、安徽省《5联网+政务服务办法》等。总之，黑龙江省要 建立高质量的网络安全防护网，为数据开放和数据保护提供 制度保障,消除安全隐患，更好地践行为人民服务的宗旨。 （三）建设高质量人才队伍，打造政务平台专业运营团队 人才对于"互联网+政务服务”优势的充分发挥具有决 定性作用o政府可以借鉴新加坡政府的经验,委托科研机构、 高校等单位培养电子政务人才。借鉴安徽省（下转第192页）

互联 网流通 ， 如网上远程审批、 电子公文流转等。 电子政务信息安全是 护法 》２ ０ ，０ １年 １月 又 发 布 了“ 护 信 息 系 统 国 家 计 划 ”至 今 已通 过 的 保 ， 指 政 务 数 据 信 息在 接 受 、 生 、 理 、 发 、 档 等 覆 盖 文 件 生 命 周 期 涉及 计 算 机 、 联 网 和信 息 安 全 问题 的 法 律 文 件 就 多 达 ３ ７个 。 为保 产 处 分 存 互 ９
２ 电子 政 务 信 息 安 全 的 基 本 内 涵
法 律 和 法 规 是 保 证 电子 政 务 信 息 资 源 共 建 共 享 中 信 息 安 全 的 基 本 力 量 。 目前 ， 界 上 很 多 国 家 制 定 了相 应 的 法律 法 规 来 加 强 信 息 安 世
电子 政 务 是 指 各 级 政 府 部 门 以互 联 网 络 为 平 台 完 成 日常 的 公 共 全 的法 律保 护 。如 ： 国 的 《 方信 息保 护 法 》俄 罗 斯 的 《 邦 信 息 、 英 官 ； 联 信 管 理 和 内部 事 务 处 理 。 电子 政 务 运 行 过 程 的 显 著 特 点 是 公 务 信 息 通 过 息化 和 信 息 保 护 法 》美 国 早 在 １ ７ ； ９ ５年 就 制 定 了《 邦 计 算 机 系 统 保 联
政 务 信 息 安 全 机 制 来 保 障 共 建 共 享 的 信 息 安 全 。 理 制 度 包 括 系 统 运 管
行 维 护 管 理 制 度 、 档 资 料 管 理 制 度 、 房 安 全 管 理 制 度 、 期 检 查 与 文 机 定 政 管 理 、 务 处 理 的 电子 政 务 。 电子 政 务 运 行 过程 的 显 著 特 点 是 公 务 监 督 制 度 、 络 通 信 安 全 管 理 制 度 、 全 等 级 保 护 制 度 等 。 事 网 安 数 据 信 息 通 过 互 联 网流 通 ， 网上 远 程 审 批 、 如 电子 公 文 流 转 等 。 的推 它 ３３ 加 强 电 子 政 务 信 息 安 全 标 准 化 建 设 － 行 降低 了政 府 运 作 成 本 ， 高 了行 政 效 率 ， 政 务 信 息 实 现 了 跨 地 区 、 提 使 在 信 息 化 社 会 ， 准 化 是 实 现 互 联 互 通 、 源 共 享 、 务 协 同 的 基 标 资 业 跨 国界 快 速 而 自由 的流 动 ； 同时 经 由政 务 网 络传 输 的 政 府 间 敏 感 的 但 石。 信息安全这一特殊高技术领域， 有标准， 在 没 国家 有 关 的 立 法 、 法 执 涉密 数 据 信 息 吸引 了 更 多 的来 自互 联 网 的计 算 机 病 毒 入 侵 和 非 授 权 就 会 因 缺 乏 相 应 的技 术 尺 度 而 失 之 偏 颇 ， 终 会 给 国家 信 息 安 全 的 管 最 访 问攻 击 ， 而 给 政 务 系 统 带 来 严 重 的安 全 威 胁 。 从 近年 来 ， 务 系 统 受 政 理 带 来 严 重 后 果 。缺 乏 安 全 标 准 不 但 会 造 成 管理 上 的混 乱 ， 且 也 会 而 破 坏 带 来 的信 息 安 全 问题 越 来 越 尖 锐 ， 已经 成 为社 会 各 界 关 注 的 重 要 使攻 击 者更 容 易 得 手 。 此 为 保 障 电 子 政 务 信 息 资 源 共 建 与 共 享 过 程 因 课 题 ， 不 能 有 效 保 障 电 子 政 务 系 统 的 安 全 运 行 ， 仅 关 系 到 电 子 政 能 不 中 的 信 息 安 全 ， 须 要 解 决 共建 与 共 享 的 标 准 化 建 设 问题 ， 其 是 信 息 必 尤 务 系 统 本 身 能 否 切 实 得 到 应 用 ． 系 到 政 府 工 作 模 式 的 如 愿 转 变 和 工 关 安全 标 准 化 问 题 。 作 效 率 的提 升 ； 同时 更 深 层 次 地 关 系 到 国家 的 信 息 安 全 与 稳 定 。 ３４ 建立 健 全 电 子 政务 信 息安 全 法 律保 障 体 系 ．

的管理和控 制 。同时 ，按信 息安全等级保 护的要求 ，必须
安全管理 平 台的一 个再要作 用是 用于收集设 备运行 目 志 ，但不 同厂 家 Ｖ志格式没有 统一标准 ，导 致安管平 台无 Ｉ
法兼 容 ，只能通过 定制 ，针对不 同厂家设备一一 定制 ，一
旦系 统升级 ，定制 部分面临重新开 发的问题 ，阻碍 了平台
设 之初 ，就 应 该考 虑 电子政 务 安全 体 系建设 ，就 必须 把
于复 杂 ，会给今后管理 带来很大不 便 ；在划分 的保证 各个 安全域之 间路 由或者交换跳数不应该过多 。
另外 ，安 全域 划 分 的 目的是 发挥 安 全 产品 的 整 体效
安 全 保障 作 为首 要任 务 。安全 体 系 的设 计和建 设应 按 照
４４ 从 国 家有 关 法 律 、法 规 、安 全 保 密 要 求 ．遵
去 。山西省 电子政 务外 网Ｋ 中心 也是 国家 电子政务外 网 Ａ Ｃ 信任体系 的省 级注册节 点 ，由国家统一规划与安排 。在 Ａ 向市级节点 的延 伸工作 中 ，将根据业 务系统建设 的进展情
在电子政务 的安全保 障体系建设 和运维过程 中要严格
与 实践 的磨合 ，山西省 电子政务外 网在 等级保护测评 和风 险评估方 面是走在省级 平台前列 的，但在 工作开展过程 中 也发现 了一 些问题 ：如按 照相关要求进行 安全整改 ，要 求
统外 ，还建 立 了业 务监控系 统主 要负责对 应用业务 的监控
和 管理 ， 网络层 、服务层 、 用层三个方 面综合考 虑 ， 从 应 网络管理 、 务管理 、业务管理 一个都不 能少 ，实现 了网 服 络 的融合 、业 务的融合 、管理 的融合 ，形成 涵盖物理层 到

电子政务信息安全等级保护实施指南（试行）国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.2 划分子系统的方法 (12)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域保护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 保护对象分类 (19)4.1.3 系统分域保护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录A术语与定义 (27)附录B 大型复杂电子政务系统等级保护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级保护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域保护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的保护对象及信息资产 (20)图4-3系统分域保护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级保护的运行改进过程 (26)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级保护实施指南（试行）1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号，以下简称“27号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

山西省电子政务外网标准规范体系建设研究【摘要】本文结合山西省电子政务外网标准规范体系建设实践，从标准规范的总体框架、建设内容、指标选取、编制经验等方面介绍了如何制定一套适用于全省电子政务外网建设和运维管理的标准规范体系。

【关键词】标准规范;电子政务电子政务外网是国家电子政务网络的重要组成部分，是在信息化条件下支撑各级政务部门行使职能的重要基础设施，而标准化是电子政务外网建设的基础，是电子政务系统实现互联互通、信息共享、业务协同和安全可靠的重要前提。

“统一标准，保障安全”是我国电子政务建设重要的工作原则之一。

标准化是支撑电子政务的重要手段。

为规范山西省电子政务外网平台建设，指导各级、各政府部门更好地推进电子政务建设，促进山西省电子政务外网的健康发展，根据省发改委《关于山西省电子政务外网（一期）工程初步设计的批复》内容，在山西省政务外网建设的同时，进行了有关标准规范的编制。

一、山西省电子政务外网标准规范体系总体框架本标准规范总体框架分为技术标准、管理规范和附录三部分，涉及网络、安全、应用、管理和机房五个方面15项（山西省电子政务外网技术标准和管理规范总体框架如图1所示）。

其中：网络方面的标准规范是本项目建设的重点内容。

内容涵盖网络总体标准、网络基础设施标准和网络管理标准;安全方面的标准规范主要内容是如何确保网络和应用系统的安全运行。

其技术标准和管理规范以直接采用为主;应用方面的标准规范主要内容在目前省电子政务外网应用需求情况下，参考相关电子政务应用标准制定;管理方面的标准规范，涉及外网网络基础设施、应用等各层面的技术和运营管理，主要包括在外网项目建设阶段直接采用国家有关项目管理的相关标准、规范以及建立在外网项目运行维护阶段需要的相关标准、规范等。

图1 《山西省电子政务外网技术标准和管理规范》总体框架图二、本标准规范体系主要内容（一）内容选择原则《山西省电子政务外网技术标准和管理规范》主要内容选择的原则是：坚持国家已有标准为主、制定为辅的原则：所选指标元素都要求符合国家统一的技术路线、符合国家外网体系标准要求。

电子政务涉密信息系统的分级保护建设作者：姜楚江来源：《信息化建设》2009年第01期当前，我国电子政务建设取得了显著成效。

同时，由于国际国内形势特点，信息安全保密问题日益突出，病毒、木马、网络攻击等越来越多，给国家安全带来威胁。

很多单位开始准备涉及国家秘密的信息系统（以下简称涉密信息系统）建设,但由于对政策的不了解,加之建设标准的复杂和操作难度等问题,导致一些单位感到无从下手,建设进度缓慢。

本文从涉密信息系统准备、实施、测评、监管等方面作了阐述，供大家参考。

2003年9月7日，中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强国家信息安全保障工作的意见》，明确提出了开展信息安全等级保护的任务，指出涉密信息系统要按照党和国家的有关保密规定进行保护。

中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》，明确提出要建立健全涉密信息系统分级保护制度。

2006年1月17日，公安部等四部门下发了《信息安全等级保护管理办法（试行）》，其中规定：涉密信息系统应当依据国家信息安全等级保护的基本要求，按照涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

从广义上来讲, 涉密信息系统分级保护是信息安全等级保护的一个重要内容和组成部分，但两者有区别也有联系，从表一可以看出，涉密信息系统分级保护三个等级的防护水平不低于国家等级保护的第三、四、五级要求。

涉密信息系统分级保护是指建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全。

按照处理信息的最高密级确定，涉密信息系统由低到高划分为秘密、机密和绝密三个等级。

绝密级信息系统应限定在封闭、安全可控的独立建筑群内。

下面谈下建设过程。

一、涉密信息系统分级保护实施过程（一）学习相关文件和标准。

近年来，由于信息安全技术的快速发展，涉密信息系统的建设标准也不断变化。

行业电子政务平台数据安全方案第一章数据安全概述 (3)1.1 数据安全重要性 (3)1.2 电子政务平台数据安全现状 (3)第二章数据安全法律法规与政策 (4)2.1 国家相关法律法规 (4)2.1.1 法律层面 (4)2.1.2 行政法规层面 (4)2.2 政策标准与规范 (5)2.2.1 政策层面 (5)2.2.2 标准与规范层面 (5)2.3 行业数据安全要求 (5)第三章数据安全组织架构与职责 (6)3.1 组织架构设计 (6)3.1.1 建立数据安全领导小组 (6)3.1.2 设立数据安全管理机构 (6)3.1.3 建立数据安全责任体系 (6)3.2 数据安全管理职责 (6)3.2.1 数据安全领导小组职责 (7)3.2.2 数据安全管理机构职责 (7)3.2.3 各部门职责 (7)3.3 数据安全培训与考核 (7)3.3.1 数据安全培训 (7)3.3.2 数据安全考核 (7)第四章数据安全风险识别与评估 (8)4.1 数据安全风险类型 (8)4.2 风险识别方法 (8)4.3 风险评估与处理 (8)第五章数据安全防护技术 (9)5.1 数据加密技术 (9)5.1.1 加密算法选择 (9)5.1.2 加密技术应用 (9)5.2 数据访问控制 (9)5.2.1 访问控制策略 (9)5.2.2 访问控制实施 (10)5.3 数据备份与恢复 (10)5.3.1 备份策略 (10)5.3.2 备份存储 (10)5.3.3 恢复策略 (10)第六章数据安全监测与预警 (11)6.1 监测系统设计与实施 (11)6.1.1 监测系统设计原则 (11)6.2 预警机制建设 (11)6.2.1 预警机制设计原则 (11)6.2.2 预警机制建设内容 (12)6.3 应急预案制定 (12)6.3.1 应急预案编制原则 (12)6.3.2 应急预案编制内容 (12)第七章数据安全事件处理与应急响应 (13)7.1 数据安全事件分类 (13)7.1.1 按影响范围分类 (13)7.1.2 按紧急程度分类 (13)7.1.3 按攻击类型分类 (13)7.2 应急响应流程 (13)7.2.1 事件发觉与报告 (13)7.2.2 事件评估 (14)7.2.3 应急响应启动 (14)7.2.4 应急处置 (14)7.2.5 事件调查与原因分析 (14)7.2.6 事件总结与改进 (14)7.3 数据安全事件通报与总结 (14)7.3.1 事件通报 (14)7.3.2 总结报告 (14)第八章数据安全审计与合规 (14)8.1 审计制度与流程 (14)8.1.1 审计制度的建立 (14)8.1.2 审计流程的设计 (15)8.2 数据安全合规性评估 (15)8.2.1 评估指标的设定 (15)8.2.2 评估方法的选择 (15)8.2.3 评估结果的运用 (15)8.3 审计报告与应用 (16)8.3.1 审计报告的编制 (16)8.3.2 审计报告的提交与审批 (16)8.3.3 审计报告的应用 (16)第九章数据安全培训与文化建设 (16)9.1 培训体系构建 (16)9.1.1 培训目标 (16)9.1.2 培训内容 (16)9.1.3 培训方式 (17)9.2 数据安全文化建设 (17)9.2.1 文化内涵 (17)9.2.2 文化建设策略 (17)9.3 数据安全意识提升 (17)9.3.1 意识提升目标 (17)第十章数据安全国际合作与交流 (18)10.1 国际数据安全法规与标准 (18)10.2 国际合作与交流平台 (18)10.3 数据安全国际发展趋势与应对策略 (19)第一章数据安全概述1.1 数据安全重要性在当今信息化社会，数据已成为国家、企业和个人重要的战略资源。

电子政务外网安全等级保护基本要求(试行)附件 2：国家电子政务外网安全等级保护基本要求(试行)Baseline for classified protection of National E-Government Network国家电子政务外网管理中心二○一一年十二月目次前言 .............................................................................................................................................................. (1)引言 (2)适用范围 (3)2. 规范性引用文件 (3)3. 术语和定义 (3)4. 政务外网资产、威胁分析和脆弱性 (5)4.1. 资产分析 (5)4.2. 威胁分析 (6)4.3. 脆弱性分析 (7)5. 政务外网安全等级保护概述 (8)5.1. 政务外网安全保护等级 (8)5.2. 不同等级的安全保护能力 (8)6. 第二级基本要求 (9)6.1. IP 承载网96.1.1. 广域网 (9)6.1.2. 城域网 (9)6.1.3. 用户局域网 (10)6.2. 业务区域网络 (10)6.2.1. 公用网络区 (10)6.2.2. 互联网接入区 (10)6.3. 管理区域网络 (11)6.3.1. 网络管理区 (11)6.3.2. 安全管理区 (11)7. 第三级基本要求 (11)7.1. IP 承载网117.1.1. 广域网 (11)I7.1.2. 城域网 (12)7.1.3. 用户局域网 (13)7.2. 业务区域网络 (14)7.2.1. 公用网络区 (14)7.2.2. 互联网接入区 (14)7.2.3. 专用网络区 (15)7.3. 管理区域网络 (15)7.3.1. 网络管理区 (15)7.3.2. 安全管理区 (16)7.3.3. 电子认证区 (16)II为了贯彻国家信息安全相关法律法规，落实信息安全等级保护相关技术要求，根据国家标准GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求，为规范国家电子政务外网安全等级保护的工作，针对政务外网的具体情况，特制定本要求。

是副科 级 ，有 的是股级 。由于缺乏统一 的规划和协调 ，基础设施平台没 有形成统一体系 。各级 、各部门主要应用没有形成统一的应用平台和相
性上存在很大隐患， 对网络安全产品的重视程度和应用现状仍令人担忧。
二、解决我 国电子政务安全 问题的对策
（ 一 ）加 强领 导 和 协 调 ，健 全组 织机 构
好的人才任用环境。 （ 三 ）完善信 息安全协调监管机 制
怒锶 群黜躲躺 髓
龆 麟群
成立我国各市 网络与信息安全协调小组 ，统筹信息安全工作 ，加强 安全管理和应急指挥 ，建立信息安全通报和应急处置机制 ，落实信息安
全责任制 、应急预案等一系列制度 ，形成全市统一的信息安全协调管理 体系 ，有效防范 、及时控制和消除在基础网络和重要信息系统中各类重
（ 一 ）电子政 务管理体制机制没有理顺 １ 、 信息化机构不健全 ， 协调力度不够 。我国电子政务经常出现的一
安全保密工作提出了更高 的要求 。目前在政府机关中 ， 很多单位在互联
网和内部办公 自动化网之 间未能实现完全的物理隔离 ，在安全Ｊ ｌ 生和保密
个问题 就是 ，信息化管理部门行政级别也不一样 ，有的是正科级 ，有的
术的犯罪活动 。 筹划建设我 国各市网络信息安全中心工程 ， 分步启动建设数据灾难 备份 中心 、安全测评 中心 、安全服务中心，加强对全市信息化 系统 ，特
务 的内涵。有 的领导干部不重视信息化安全建设 ，宁愿花钱盖高层办公 大楼 、高档装修办公大楼 、 买高档办公家具 、购置小汽车 ，也不愿意把 钱花在信息化安全建设方面。 （ 三） 政府 网络建设 比较混乱
搬 ％鹄峨辞ｓ 瓴瓿 ■ 剃鹕 能 胤校
大安全事件和安全隐患。 （ 四 ）加快实施信 息安全等级保护制度

第1篇一、引言随着互联网技术的飞速发展，网络安全问题日益突出，网络攻击、数据泄露等事件频发，给国家安全、社会稳定和人民生活带来了严重影响。

为了加强网络安全保障，维护国家安全和社会公共利益，我国制定了《网络安全等级保护法》（以下简称《等级保护法》）。

本文将详细介绍《等级保护法》的规定，帮助读者全面了解网络安全等级保护制度。

二、法律依据《等级保护法》的法律依据最早可以追溯到1994年国务院发布的《计算机信息系统安全保护条例》。

此后，随着网络安全形势的不断变化，等保制度经历了多次修订和完善。

2017年6月1日起施行的《网络安全法》将网络安全等级保护制度纳入法律层面，明确了网络运营者、网络服务提供者等各方在网络安全保护方面的责任和义务。

三、等保制度概述网络安全等级保护制度是指根据信息系统的重要程度和被破坏后的危害程度，将信息系统划分为五个安全保护等级，从低到高依次为：一级（自主保护级）、二级（指导保护级）、三级（监督保护级）、四级（强制保护级）和五级（专控保护级）。

每个等级都有相应的安全保护要求，包括安全管理制度、安全建设、安全运维等方面。

四、等保制度分级与要求1. 一级（自主保护级）一级保护对象为公民、法人和其他组织的合法权益，信息系统受到破坏后，会对合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

安全保护要求：（1）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（3）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（4）采取数据分类、重要数据备份和加密等措施；（5）法律、行政法规规定的其他义务。

2. 二级（指导保护级）二级保护对象为重要行业和领域的信息系统，信息系统受到破坏后，会对国家安全、社会秩序和公共利益造成一定影响。

安全保护要求：在一级保护要求的基础上，增加以下要求：（1）建立网络安全监测预警体系，及时发现和处置网络安全事件；（2）开展网络安全风险评估，制定网络安全事件应急预案；（3）加强网络安全培训，提高网络安全意识。

本指南是国家电子政务外网安全等级保护相关系列标准之一。 本指南与国标《计算机信息系统安全等级保护划分准则》（GB17859-1999）、《信息安全技术 信 息系统安全等级保护基本要求》（GB/T22239-2008）、《信息安全技术 信息系统安全等级保护实施指 南》（GB/T 25058-2010）等标准以及《国家电子政务外网网络安全等级保护基本要求》共同构成了国 家电子政务外网安全等级保护的相关配套标准。是各级政务外网实施安全等级保护的基本要求。本指南 依据国家标准要求和政务外网安全等级保护基本要求，逐条提出了有针对性、可操作的实施意见，供参 考使用。 对于承载涉及国家秘密信息系统的网络保护要求，按照国家相关法律法规和信息安全主管部门的相 关规定和标准实施。 对于涉及密码的使用和管理，按照国家密码管理主管部门的相关规定和标准实施。 凡涉及政务外网数字证书的相关要求，参照国家电子政务外网管理中心印发的相关管理和技术规定 执行。
4.1 实施原则 ...................................................................... 1 4.2 角色与职责 .................................................................... 2 4.3 政务外网定级对象 .............................................................. 3 4.4 安全等级保护目标 .............................................................. 3 4.5 安全等级保护区域边界 .......................................................... 3 5 网络功能及安全分域 ................................................................ 3 5.1 网络功能描述 .................................................................. 3

等保制度进入2.0时代。

建立覆盖物理设施、网络、平台、应用、数据的全方位、多层次、一致性网络安全技术防护体系，打造保障数字政府安全运行的坚固城墙。

强化对算力和数据资源的安全防护,提升底层基础设施国产化自主可控水平，保障数据安全能力。

破除数字技术配套跟随“路径依赖”，构建贯穿安全技术综合防护、数据安全合规性评估认证、数据加密保护机制、安全保密检查的安全保障体系，采用安全可靠的国产化计算机终端、服务器、操作系统、数据库等关键信息基础设施产品。

“等保”是指网络安全等级保护。

《中华人民共和国网络安全法》（2017年6月1日起实施）第二十一条规定：国家实行网络安全等级保护制度。

等保1.0：2007年6月，公安部发布《信息安全等级保护管理办法》（公通字[2007]43号），标志着等级保护1.0的正式启动。

等保2.0：2019年5月13日，国家市场监督管理总局、国家标准化管理委员会发布了3个网络安全领域的国家标准（2019年12月1日起实施）标志着我国进入等级保护2.0时代。

等保的级别：根据信息系统受到破坏后，对公民、法人和其他组织的合法权益，以及对公共利益、社会秩序和国家安全的损害程度，等级保护分为五级：第一级：自主保护级第二级：指导保护级第三级：监督保护级第四级：强制保护级第五级：专控保护级“分保”是指涉密信息系统分级保护。

《中华人民共和国保守国家秘密法》（2010年4月29日修订，2010年10月1日起实施）第二十三条规定：存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照涉密程度实行分级保护。

涉密信息系统的等级分为秘密级、机密级、绝密级三个级别《保守国家秘密法》第九条规定：下列涉及国家安全和利益的事项，泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的，应当确定为国家秘密：(一) 国家事务重大决策中的秘密事项;(二) 国防建设和武装力量活动中的秘密事项;(三) 外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;(四) 国民经济和社会发展中的秘密事项;(五) 科学技术中的秘密事项;(六) 维护国家安全活动和追查刑事犯罪中的秘密事项;(七) 经国家保密行政管理部门确定的其他秘密事项。

成都市人民政府办公厅关于印发成都市电子政务项目管理办法的通知文章属性•【制定机关】成都市人民政府办公厅•【公布日期】2018.04.16•【字号】成办函〔2018〕64号•【施行日期】2018.04.16•【效力等级】地方规范性文件•【时效性】失效•【主题分类】机关工作正文成都市人民政府办公厅关于印发成都市电子政务项目管理办法的通知成办函〔2018〕64号各区（市）县政府，市政府各部门：《成都市电子政务项目管理办法》已经2018年市政府第2次常务会议审议通过，现印发你们，请认真贯彻执行。

成都市人民政府办公厅2018年4月16日成都市电子政务项目管理办法第一章总则第一条为进一步规范电子政务项目管理，落实政务信息系统整合共享要求，推动电子政务基础设施集约建设和信息资源共享利用，提高财政资金使用效益，根据国家和省电子政务相关管理规定，结合我市电子政务工作实际，制定本办法。

第二条本办法所称的电子政务项目是指由政府投资建设、政府和社会企业联合建设、政府向社会购买服务或需要政府运行维护的，用于支撑政务部门履行管理和服务职能的各类信息化项目。

第三条本办法适用于使用市本级财政性资金的新建、续建、运行维护、购买服务的电子政务项目。

第四条电子政务项目建设应当以国家、省、市电子政务及信息化建设有关规划为主要依据，充分利用现有基础设施资源，大力推进跨区域、跨部门业务系统的信息共享、应用集成和业务协同，充分发挥电子政务对提高决策水平、加强经济社会管理、强化公共服务和应急指挥能力的作用。

严格控制分散、独立、封闭的单一部门电子政务项目建设，避免重复建设和重复投资，切实提高资金使用效益。

第五条市大数据产业发展和政务云建设工作推进领导小组负责全市电子政务项目管理的领导和协调工作。

电子政务主管部门负责牵头组织电子政务项目的建设需求审核、技术方案审查、建设运维全过程备案和绩效评估管理工作。

发改部门负责依法进行招投标的电子政务项目审批工作，信息化行业主管部门负责招投标活动监督管理工作。

信息安全等级保护
电子政务信息系统如何定级
邯郸信息港
目录
• 信息系统安全保护等级的依据 • 信息系统安全保护等级的确定 • 信息系统安全保护等级的报告 • 信息系统安全保护等级的案例
信息系统安全保护等级的依据
• 开展安全等级保护工作依据的政策和法律依据 开展安全等级保护工作依据的政策和法律依据
信息系统安全保护等级的确定
• 摸底调查－4）识别信息
– 调查了解定级对象信息系统所处理的信息，及对信息的三个安全属性 调查了解定级对象信息系统所处理的信息， 的需求 – 了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、 了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、 单位资金、单位信誉、人身安全等方面可能对国家、社会、 单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造 成的影响， 成的影响，对影响程度的描述应尽可能量化 – 根据系统不同业务数据可能是用户数据、业务处理数据、业务过程记 根据系统不同业务数据可能是用户数据、业务处理数据、 流水）数据、 录（流水）数据、系统控制数据或文件等 – 了解数据信息还应关注信息系统的数据流，以及不同信息系统之间的 了解数据信息还应关注信息系统的数据流， 数据交换或共享关系
– 产品标准：防火墙、入侵检测、终端设备隔离部件等 产品标准：防火墙、入侵检测、
信息系统安全保护等级的依据
信息系统安全保护等级的依据
• 等级确定原则和要求
– “自主定级、自主保护”与国家监管相统一原则 自主定级、自主保护” 国家监管相统一原则 – “谁主管谁负责，谁运营谁负责”的原则 谁主管谁负责，谁运营谁负责” – 定级工作的要求 • 加强领导，落实保障 加强领导， • 明确责任，密切配合 明确责任， • 动员部署，开展培训 动员部署， • 及时总结，提出建议 及时总结，

项目安全保障体系建设方案目录第一部分系统建设方案 (2)1 项目概述 (2)1.1 项目背景 (2)1.2 建设单位概况 (2)1.3 建设目标 (2)2 项目建设依据 (2)3 安全保障体系建设方案 (3)3.1 安全保障体系总体设计 (3)3.2 安全保障技术设计 (4)3.3 安全管理设计 (10)3.4 安全服务设计 (15)第一部分系统建设方案1 项目概述1.1 项目背景1.2 建设单位概况1.3 建设目标2 项目建设依据中心城区非生活用水户远程监控系统（一期）建设依据的相关标准规范包括：《国家电子政务标准化体系》《电子政务工程技术指南》（国信办［2003］2 ）《关于我国电子政务建设的指导意见（即17 号文件）》《信息资源规划—信息化建设基础工程》《关于加强信息资源开发利用工作的若干意见》（中办发［2004］34 号）《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27 号)《电子政务信息安全等级保护实施指南》（国信办[2005]25 号）《信息系统安全等级保护基本要求》（GB/T 22239—2008）《关于信息安全等级保护工作的实施意见》（公通字[2004]66 号）《信息安全等级保护管理办法》（公通字[2007]43 号）《电子政务业务流程设计方法通用规范》（GB/T 19487-2004）《计算机软件需求说明编制指南》（GB/T 9385-2008）《计算机软件文档编制规范》（GB/T 8567-2006）《中华人民共和国计算机信息系统安全保护条例》（国务院令第147 号）《信息技术安全技术信息技术安全性评估准则》（GB/T 18336-2001）《GB/T 9385-2008 计算机软件需求规格说明规范》《计算机软件需求说明编制指南》（GB9385-1988）《功能建模方法IDEF0》（IEEE 1320.1-1998）《信息建模方法》（IEEE 1320.2-1998）《中华人民共和国计算机信息系统安全保护条例》《计算机信息系统保密管理暂行规定》（国保发[1998]1 号）《计算机软件产品开发文件编制指南》（GB/T 8567-1988）《计算机信息系统安全保护等级划分准则》（GB/T 17859-1999）《涉及国家秘密的计算机信息系统安全保密方案设计指南》（BMZ2-2001）《信息技术开放系统互联高层安全模型》（GB/T 17965-2000）《信息技术开放系统互联基本参考模型》（GB/T 9387）《信息技术开放系统互联应用层结构》（GB/T 17176-1997）《信息技术开放系统互联开放系统安全框架》（GB/T 18794）《信息技术开放系统互联通用高层安全》（GB/T 18237）《数据元和交换格式信息交换日期和时间表示法》ISO 8601—1988《电子政务数据元》《计算机软件需求说明编制指南》（GB/T 9385-1988）《计算机软件产品开发文件编制指南》《GB/T 8567-1988》。

1.1.1.1.1.2电子政务信息安全等级保护实施指南（试行）国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.2 划分子系统的方法 (12)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域保护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 保护对象分类 (19)4.1.3 系统分域保护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录A 术语与定义 (27)附录B 大型复杂电子政务系统等级保护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级保护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域保护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的保护对象及信息资产 (20)图4-3系统分域保护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级保护的运行改进过程 (26)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级保护实施指南（试行）1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号，以下简称“27号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

国家发展改革委、公安部、财政部等关于进一步加强国家电子政务网络建设和应用工作的通知文章属性•【制定机关】公安部,财政部•【公布日期】2012.07.06•【文号】发改高技[2012]1986号•【施行日期】2012.07.06•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】公共信息网络安全监察正文国家发展改革委、公安部、财政部、国家保密局、国家电子政务内网建设和管理协调小组办公室关于进一步加强国家电子政务网络建设和应用工作的通知（发改高技[2012]1986号）中央和国家机关各部委、各直属机构，各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委、公安厅（局）、财政厅（局）、保密局，国家电子外网管理中心，各级政务内网、政务外网建设和运维管理单位：为贯彻党的十七届五中全会《中共中央关于制定国民经济和社会发展第十二个五年规划的建议》精神和《国民经济和社会发展第十二个五年规划纲要》的战略部署，有效落实《“十二五”国家政务信息化工程建设规划》，加快推进国家电子政务网络建设和应用，加强对政务信息化工程利用国家电子政务网络的管理，依据《国家信息化领导小组关于推进国家电子政务网络建设的意见》（中办发[2006]18号）、《国家电子政务内网建设和管理规划（2011-2015年）》（厅字[2011]21号）、《关于加强党政机关和涉密单位网络保密管理的规定》（中办发[2011]11号），以及《信息安全等级保护管理办法》（公通字[2007]43号）等有关文件精神，现将有关工作要求通知如下：一、国家电子政务网络由国家电子政务内网和国家电子政务外网组成，应按照统一规划、分级负责的原则进行建设。

各部门、各地方要充分认识加快国家电子政务网络建设的重要性和紧迫性，严格按照有关文件要求，采取切实有效措施，加快推进国家电子政务内网和国家电子政务外网的建设和应用。

国家电子政务网络建设目标是：到“十二五”期末，形成统一完整、安全可靠、管理规范、保障有力的国家电子政务网络，基本满足政务应用需要。