电子政务外网安全等级保护基本要求(试行)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件 2:
国家电子政务外网
安全等级保护基本要求(试行)
Baseline for classified protection of National E-Government Network
国家电子政务外网管理中心二○一一年十二月
目次
前
言 .............................................................................................................................................................. (1)
引言 (2)
适用范围 (3)
2. 规范性引用文件 (3)
3. 术语和定
义 (3)
4. 政务外网资产、威胁分析和脆弱
性 (5)
4.1. 资产分析 (5)
4.2. 威胁分析 (6)
4.3. 脆弱性分析 (7)
5. 政务外网安全等级保护概述 (8)
5.1. 政务外网安全保护等
级 (8)
5.2. 不同等级的安全保护能
力 (8)
6. 第二级基本要求 (9)
6.1. IP 承载网9
6.1.1. 广域
网 (9)
6.1.2. 城域
网 (9)
6.1.3. 用户局域
网 (10)
6.2. 业务区域网
络 (10)
6.2.1. 公用网络
区 (10)
6.2.2. 互联网接入
区 (10)
6.3. 管理区域网
络 (11)
6.3.1. 网络管理
区 (11)
6.3.2. 安全管理
区 (11)
7. 第三级基本要求 (11)
7.1. IP 承载网11
7.1.1. 广域
网 (11)
I
7.1.2. 城域
网 (12)
7.1.3. 用户局域网 (13)
7.2. 业务区域网络 (14)
7.2.1. 公用网络区 (14)
7.2.2. 互联网接入
区 (14)
7.2.3. 专用网络区 (15)
7.3. 管理区域网络 (15)
7.3.1. 网络管理区 (15)
7.3.2. 安全管理区 (16)
7.3.3. 电子认证区 (16)
II
为了贯彻国家信息安全相关法律法规,落实信息安全等级保护相关技术要求,根据国家标准
GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求,为规范国家电子政务外网安全等级保护的工作,针对政务外网的具体情况,特制定本要求。
本要求由国家电子政务外网管理中心提出。本要求由国家电子政务外网管理中心归口。本要求主要起草单位:国家电子政务外网管理中心办公室、国家信息中心信息安全研究
与服务中心
本要求主要起草人:孙大奇、周民、沈解伍、吴亚非、刘建国、邵国安、禄凯、陈永刚、罗海宁、吕品、徐春学、刘晓光
本要求由国家电子政务外网管理中心负责解释。
本要求是国家电子政务外网安全等级保护相关系列标准之一。 本要求与国标《计算机信息系统安全保护等级划分准则》(GB 17859-1999)、《信息系
统安全等级保护基本要求》(GB/T 22239-2008)等标准共同构成了国家电子政务外网安全等 级保护的相关配套标准。其中GB 17859-1999、GB/T 22239-2008是基础性标准,为政务外网 安全等级保护遵从的基本要求。本要求是针对国家电子政务外网现状、技术特点和安全防护 要求作进一步细化和扩展,是对GB/T 22239-2008的补充,本要求未提到部分均按 GB/T 22239-2008的基本要求执行。
与本要求相关的系列标准包括:
——《国家电子政务外网安全等级保护实施指南》 在本要求文本中,黑体字表示较低等级中没有出现或增强的要求。 对于承载涉及国家秘密信息系统的网络保护要求,按照国家相关法律法规和信息安全主
管部门的相关规定和标准实施。 对于涉及密码的使用和管理,按照国家密码管理主管部门的相关规定和标准实施。 凡涉及政务外网数字证书的相关要求,参照国家电子政务外网管理中心印发的相关管理 和技术规定执行。
国家电子政务外网安全等级保护基本要求(试行)
1. 适用范围
本要求规定了国家电子政务外网(以下简称政务外网)不同安全保护等级网络的基本技 术保护要求,适用于指导政务外网安全等级保护的建设、整改、自查和测评工作,可作为安 全等级保护和信息安全主管部门对政务外网安全进行检查和指导时的依据。
本要求只涉及政务外网安全等级保护的基本技术要求,有关物理环境、主机/服务器、应 用、数据和管理安全等共性要求,请按照国家标准 GB/T 22239-2008 执行。
2. 规范性引用文件
下列文件中的条款通过本要求的引用而成为本要求的条款。凡是注日期的引用文件,其 随后所有的修改单(不包括勘误的内容)或修订版均不适用于本要求。凡是不注明日期的引 用文件,其最新版本适用于本要求。
GB/T 5271.8 信息技术 词汇 第 8 部分:安全
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 20270-2006 信息安全技术 网络基础安全技术要求
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 21061-2007 国家电子政务网络技术和运行管理规范