信息系统等级保护建设方案

边界接入平台终端安全保护系统

建设方案

2009年6月5日

文件修改记录

目录

1项目建设的必要性

1.1政策必要性

随着全球信息化进程的不断推进，我国政府及各行各业也在进行大量的信息系统的建设，这些信息系统已经成为国家重要的基础设施，因此，信息系统安全问题已经被提升到关系国家安全和国家主权的战略性高度，已引起党和国家领导以及社会各界的关注。随着政府上网、电子商务、电子军事等信息化建设和发展，作为现代信息社会重要基础设施的信息系统，其安全问题必将对我国的政治、军事、经济、科技、文化等领域产生至关重要的影响。能否有效的保护信息资源，保护信息化进程健康、有序、可持续发展，直接关乎国家安危，关乎民族兴亡，是国家民族的头等大事。没有信息安全，就没有真正意义上的政治安全，就没有稳固的经济安全和军事安全，没有完整意义上的国家安全。

随着国家信息化的不断推进与当前电子政务的大力建设，信息已经成为最能代表综合国力的战略资源，因此，信息资源的保护、信息化进程的健康是关乎国家安危、民族兴旺的大事；信息安全是保障国家主权、政治、经济、国防、社会安全和公民合法权益的重要保证。经党中央和国务院批准，国家信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧信息安全等级保护制度的建设。对信息系统实行等级保护是我国的法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。

1.2整体安全需要

信息安全遵循“木桶原理”，任何一个不完善的环节都可能成为危及整个系统安全的“短板”。在信息通信网边界接入平台中数据交换业务前置机和社区警务室终端是边界接入平台的重要组成部分，终端的安全将直接影响整个信息系统的安全。终端既可能是安全事件的源头，又可能是安全事件的目标。从有关安全权威单位得知，绝大多数的攻击事件都是从终端发起的，也就是说安全事件往往都是终端体系结构和操作系统的不安全所引起的。因此，必须从终端操作系统平台实施安全防范，将不安全因素从终端源头被控制，只有这样才能保证信息系统的整体安全。

1.3合规性需要

XX信息通信网边界接入平台将按照等级保护3级的要求对信息系统进行安全建设和加固。等级保护3级和4级标准均对操作系统的身份鉴别、访问控制、安全审计、恶意代码防范、入侵检测等提出了明确要求，而目前边界接入平台数据交换业务前置机和社区警务室计算机终端操作系统同以上要求相比尚有不少差距。为达到等级保护要求，必须对终端进行安全加固。

2法规、政策和技术依据

国家高度重视信息安全保护工作，为了进一步提高信息安全的保障能力和防护水平。经党中央和国务院批准，国家信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧信息安全等级保护制度的建设。

国家针对等级保护制定了一系列的法规和标准，这些法规和标准是建设等级保护系统的依据。制定了包括《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护定级指南》(GB/T 22240-2008)、《信息系统安全等级保护基本要求》(GB/T22239-2008)、《信息安全技术操作系统安全评估准则》（GB/T20009-2005）、《信息安全技术信息系统安全管理要求》（GB/T20269-2006）等50多个国标、行标以及已报批标准，初步形成了信息安全等级保护标准体系。2.1信息安全等级保护有关法规、政策、文件

2.1.1《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）

1994年国务院颁布了第147号令《中华人民共和国计算机信息系统安全保护条例》（以下简称《条例》），是最早提及信息安全等级保护的法规。

《条例》明确了实行信息安全等级保护制度的有关规定，提出了从整体上、根本上解决国家信息安全问题的办法，进一步确定了信息安全发展主线、中心任务，提出了总要求。《条例》指出对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。

《条例》指明“信息系统安全等级的划分标准和安全等级保护的具体办法由XX 部会同有关部门制定”；指明了等级保护是计算机信息系统安全保护的一项制度；明确规定由XX部会同有关部门制定信息系统等级保护配套的规章和技术标准。

2.1.2《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27

号）

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）（以下简称《27号文件》）明确指出要“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。标志

着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时，《27号文件》明确了各级党委和政府在信息安全保障工作中的领导地位，以及“谁主管谁负责，谁运营谁负责”的信息安全保障责任制。

《27号文件》针对等级保护提出了明确的三方面要求：

1）要从实际出发，优化信息安全资源的配置，建立信息安全等级保护制度，重点保护信息基础网络和关系国家安全、经济命脉、社会稳定的信息系统，这就是提到的关键技术；

2）要重视安全信息覆盖评估工作，对网络与信息系统，对信息安全等级因素进行相应的建设，落脚点还是信息安全方面；

3）对涉及国家秘密的信息系统要按照国家要求进行保护。

2.1.3《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）

2004年，《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）（以下简称《实施意见》）发布。《实施意见》明确指出“信息安全等级保护工作是个庞大的系统工程，关系到国家信息化建设的方方面面，这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施，信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。”信息安全等级保护工作第一阶段为准备阶段，准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。

《实施意见》中进一步明确了信息安全等级保护制度的基本内容：

1）根据信息和信息系统在国家安全、社会秩序、公共利益、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素，确定信息和信息系统的安全保护等级，共分五级。

2）国家通过制定统一管理规范和技术标准，组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监督管理。

3）国家对信息安全产品的使用实行分级管理。

4）信息安全事件实行分等级响应、处置的制度。

2.1.4《信息安全等级保护管理办法》（公通字[2007]43号）

2007年6月22日，XX部与国家保密局、密码管理局、国务院信息办联合会签