电子政务外网安全等级保护基本要求(试行)

合集下载

我国电子政务等级保护的基本原则

务职能、机构财产、人项措施进行要电子政务系统，系统遭到破坏后对政务机构履行其政务职
能、机构财产、人员造成严重的负面影响，对国家安全造成
查下，按国家标准严格落实各项措施进行保护。
较大损害。
员造成严重的负面影响，保护。适用于关系国家安全、社会秩序、经济建设和公共利益的核根据安全需求，由主管部门
对国家安全造成较大损心系统，系统遭到破坏后对政务机构履行其政务职能、机构
财产、人员造成极其严重的负面影响，对国家安全造成严重
和运营单位对电子政务系统进行专门控制和保护。
损害。
害。
国家电子政务信息安全试点培训
济源
2005.11.08
电子政务的五个安全等级- 5
安安全全等等级级
等级
名称
基基本本描述描述
第三级
监督保护级
适用于处理重要政务信息和提供重要政务服务的电子政务系在主管部门的监督下，按国统，系统遭到破坏后对政务机构履行其政务职能、机构财产、家标准严格落实各项保护措人员造成较大的负面影响，对国家安全造成一定程度的损害。施进行保护。
第四级第五级
强制保护级
适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。
级
指导保护适用于处理日常政务信息和提供一般政务服务的电子政务系
指导适用于处理日常政务信级
统，系统遭到破坏后对政务机构履行其政务职能、机构财产、
人员造成中等程度的负面影响。
保护息和提供一般政务服务监督保护适用于处理重要政务信息和提供重要政务服务的电子政务系
级的电子政务系统，系统级

电子政务外网安全等级保护基本要求(试行)

件3
3.术语和定
义3
4.政务外网资产、威胁分析和脆弱
性5
4.1.资产分
析5
4.2.威胁分
析6
4.3.脆弱性分
析7
5.政务外网安全等级保护概
述8
5.1.政务外网安全保护等
级8
52不同等级的安全保护能
力8
6.第二级基本要
求9
6.1.IP承载网9
6.1.1.广域
网9
6.1.2.城域
网9
6.1.3.用户局域
YD/T 1746-2008 IP
«＜信息安全等级保护商用密码管理办法＞实施意见》（国密局发[2009]10号）
《电子政务电子认证服务管理办法》（国密局发[2009]7号）
3.术语和定义
GB/T 5271.8和GB 17859-1999确定的以及下列术语和定义适用于本要求。
3.1.安全保护能力Security Protection Ability
强的要求。对于承载涉及国家秘密信息系统的网络保护要求，按照国家相关法律法规和信息安全主
管部门的相关规定和标准实施。对于涉及密码的使用和管理，按照国家密码管理主管部门的相关规定和标
准实施。凡涉及政务外网数字证书的相关要求，参照国家电子政务外网管理中心印发的相关管理和技术规定执行。
国家电子政务外网安全等级保护基本要求（试行）
1.适用范围
本要求规定了国家电子政务外网（以下简称政务外网）不同安全保护等级网络的基本技术保护要求，适用
于指导政务外网安全等级保护的建设、整改、自查和测评工作，可作为安全等级保护和信息安全主管部门
对政务外网安全进行检查和指导时的依据。
本要求只涉及政务外网安全等级保护的基本技术要求，有关物理环境、主机/服务器、应用、数据和管理

电子政务外网安全等级保护基本要求(试行)

附件 2：国家电子政务外网安全等级保护基本要求(试行)Baseline for classified protection of National E-Government Network国家电子政务外网管理中心二○一一年十二月目次前言 (1)引言 (2)适用范围 (3)2. 规范性引用文件 (3)3. 术语和定义 (3)4. 政务外网资产、威胁分析和脆弱性 (5)4.1. 资产分析 (5)4.2. 威胁分析 (6)4.3. 脆弱性分析 (7)5. 政务外网安全等级保护概述 (8)5.1. 政务外网安全保护等级 (8)5.2. 不同等级的安全保护能力 (8)6. 第二级基本要求 (9)6.1. IP 承载网 96.1.1. 广域网 (9)6.1.2. 城域网 (9)6.1.3. 用户局域网 (10)6.2. 业务区域网络 (10)6.2.1. 公用网络区 (10)6.2.2. 互联网接入区 (10)6.3. 管理区域网络 (11)6.3.1. 网络管理区 (11)6.3.2. 安全管理区 (11)7. 第三级基本要求 (11)7.1. IP 承载网 117.1.1. 广域网 (11)I7.1.2. 城域网 (12)7.1.3. 用户局域网 (13)7.2. 业务区域网络 (14)7.2.1. 公用网络区 (14)7.2.2. 互联网接入区 (14)7.2.3. 专用网络区 (15)7.3. 管理区域网络 (15)7.3.1. 网络管理区 (15)7.3.2. 安全管理区 (16)7.3.3. 电子认证区 (16)II为了贯彻国家信息安全相关法律法规，落实信息安全等级保护相关技术要求，根据国家标准GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求，为规范国家电子政务外网安全等级保护的工作，针对政务外网的具体情况，特制定本要求。

本要求由国家电子政务外网管理中心提出。

本要求由国家电子政务外网管理中心归口。

国家电子政务外网建设要求

谢谢！谢谢！
专用网络区
公用网络区
互联网接入区
移动办公
政务外网网络基础设施
国家外网网络层次划分
• 国家政务外网按照管理层次划分，可分为一级网、二级网、三级网和四级网。 • 一级网络主要指中央广域骨干网、中央城域网。 • 二级网络主要指省级广域骨干网、省级城域网。 • 三级网络主要指地市级广域骨干网和地市级城域网， • 四级网主要指县级及以下接入网。
云南省电子政务外网建设思路
云南省根据国家的规划对应也划分为三个区，公共网络区、专用网络区和互联网接入区。 • 公共网络区是今年建设的云南省电子政务外网 • 专用网络区是2003年建成的电子政务专网 • 互联网接入区就是现在的因特网门户区。
各州（市）电子政务外网建设要求
• 公共网络区与因特网逻辑隔离 • 专用网络区与因特网物理隔离 • 两者之间通过手工和隔离网闸进行数据交换 • 互联网接入区可与外网连接，但必须进行逻辑隔离
云南省电子政务外网应用规划
• 全省统一的应用平台集中在省级数据中心，各州市县乡通过网络开展应用。 • 本州市内的应用统一集中在州市级数据中心，区县不再部署服务器。 • 如果县级有特殊应用，原则上也统一部署在州市级数据中心，通过网络远程管理和维护。
电子政务外网各网络区的应用划分
• 利用公共网络区可开展州市以下横向政务部门的应用，如州县公文交换，县级OA等。 • 利用公共网络区开展面向公众业务，如企业统计信息报送系统、外来人员计划生育管理系统等。 • 利用专用网络区主要开展重要的纵向业务应用，如省政府非涉密公文交换系统。
国家外网工程办要求
8、牢固树立“服务至上”理念。各地方政务外网建设运维单位都要牢牢树立“服务第一、用户至上”的理念,加强作风建设,切实把服务工作摆在更加重要的位置。 9、建立服务型组织机构。各级政务外网建设运维单位都要加强运维组织体系和队伍建设，按照“前台服务客户、后台专业支撑”的服务模式，着手调整现有工作机构。

电子政务信息系统安全等级保护定级

电子政务信息系统安全等级保护定级一、业务信息安全保护等级的确定1、业务信息描述电子政务系统业务信息包括：通知公告、行政办公、查询统计、图形浏览、个人助理、公共交流、综合服务等业务模块。

属于行政机关办理业务过程中形成的专有信息。

2、业务信息受到破坏时所侵害客体的确定，侵害的客体包括：1国家安全，2社会秩序和公共利益，3公民、法人和其他组织的合法权益等共三个客体。

3、该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益。

4、侵害的客观方面是指定级对象的具体侵害行为，侵害形势以及对客体的造成的侵害结果，表现为：5、一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害，形式可以包括丢失、破坏、损坏等，会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为：影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等。

6、可以对社会秩序、公共利益造成侵害。

7、信息受到破坏后对侵害客体的侵害程度及上述分析的结果的表现程度。

上述对公民、法人和其他组织侵害的程度表现为严重损害，及工作职能受到严重影响，业务能力显著下降，出现较严重的法律问题，较大范围的不良影响等。

对社会利益和公共秩序侵害的程度表现为一般损害。

8、确定业务信息安全等级，《定级指南》业务信息安全保护等级为第二级。

二、系统服务安全保护等级的确定1、系统服务描述该系统属于为国计民生和国家经济建设等提供服务的信息系统。

2、系统服务受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公民利益，但不损害国家安全。

客观方面表现的侵害结果为：1、可以对公民、法人和其他组织的合法权益造成侵害，影响正常工作的开展，导致业务能力下降，造成不良影响，引发法律纠纷等。

2、可以对社会公共利益造成侵害，造成社会不良影响，引起公共利益的损害等。

根据《定级指南》的要求，出现上述两个侵害客体时，优先考虑社会秩序和公共利益，另外一个不做考虑。

《电子政务信息安全等级保护实施指南》

《电子政务信息安全等级保护实施指南》国信办[2005]25号关于印发《电子政务信息安全等级爱护实施指南（试行）》的通知各省、自治区、直辖市信息化领导小组办公室，中央和国家机关各部委信息化领导小组办公室：现将《电子政务信息安全等级爱护实施指南（试行）》印发你们，供你们在开展电子政务信息安全保证工作中参考。

国务院信息化工作办公室二〇〇五年九月十五日电子政务信息安全等级爱护实施指南（试行）国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范畴 (1)1.3 文档结构 (1)2 差不多原理 (2)2.1 差不多概念 (2)2.1.1 电子政务等级爱护的差不多含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级爱护的差不多安全要求 (4)2.2 差不多方法 (4)2.2.1 等级爱护的要素及其关系 (4)2.2.2 电子政务等级爱护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级爱护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.2 划分子系统的方法 (12)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域爱护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 爱护对象分类 (19)4.1.3 系统分域爱护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录A 术语与定义 (27)附录B 大型复杂电子政务系统等级爱护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级爱护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域爱护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表名目图2-1电子政务等级爱护的实现方法 (6)图2-2电子政务等级爱护的差不多流程 (7)图2-3等级爱护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的爱护对象及信息资产 (20)图4-3系统分域爱护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级爱护的运行改进过程 (26)表2-1电子政务系统五个安全等级的差不多内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级爱护实施指南（试行）1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保证工作的意见》（中办发[2003]27号，以下简称“27号文件”）明确要求我国信息安全保证工作实行等级爱护制度,提出“抓紧建立信息安全等级爱护制度，制定信息安全等级爱护的治理方法和技术指南”。

电子政务信息安全等级保护实施指南

1.1.1.1.1.2电子政务信息安全等级保护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (11)3.1 定级过程 (11)3.2 系统识别与描述 (12)3.2.1 系统整体识别与描述 (12)3.2.2 划分子系统的方法 (13)3.2.3 子系统识别与描述 (13)3.3 等级确定 (14)3.3.1 电子政务安全属性描述 (14)3.3.2 定级原则 (14)3.3.3 定级方法 (17)3.3.4 复杂系统定级方法 (18)4 安全规划与设计 (19)4.1 系统分域保护框架建立 (20)4.1.1 安全域划分 (20)4.1.2 保护对象分类 (20)4.1.3 系统分域保护框架 (22)4.2 选择和调整安全措施 (23)4.3 安全规划与方案设计 (25)4.3.1 安全需求分析 (25)4.3.2 安全项目规划 (26)4.3.3 安全工作规划 (26)4.3.4 安全方案设计 (26)5 实施、等级评估与运行 (27)5.1 安全措施的实施 (27)5.2 等级评估与验收 (27)5.3 运行监控与改进 (28)附录A 术语与定义 (28)附录B 大型复杂电子政务系统等级保护实施过程示例 (29)B.1 大型复杂电子政务系统描述 (29)B.2 等级保护实施过程描述 (30)B.3 系统划分与定级 (31)B.3.1 系统识别和子系统划分 (31)B.3.2 系统安全等级确定 (31)B.3.3 系统分域保护框架 (32)B.4 安全规划与设计 (35)B.4.1 安全措施的选择与调整 (35)B.4.2 等级化风险评估 (35)B.4.3 等级化安全体系设计 (36)B.4.4 安全规划与方案设计 (38)B.5 安全措施的实施 (41)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (12)图4-1安全规划与设计过程 (19)图4-2电子政务的保护对象及信息资产 (21)图4-3系统分域保护框架示意图 (23)图4-4确定安全措施的过程 (24)图4-5系统安全需求 (26)图5-1安全措施的实施 (27)图5-2等级保护的运行改进过程 (28)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (16)表4-1安全措施的调整因素和调整方式 (25)电子政务信息安全等级保护实施指南（试行）1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号，以下简称“27号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

电子政务外网安全等级保护基本要求(试行)

电子政务外网安全等级保护基本要求(试行)附件 2：国家电子政务外网安全等级保护基本要求(试行)Baseline for classified protection of National E-Government Network国家电子政务外网管理中心二○一一年十二月目次前言 .............................................................................................................................................................. (1)引言 (2)适用范围 (3)2. 规范性引用文件 (3)3. 术语和定义 (3)4. 政务外网资产、威胁分析和脆弱性 (5)4.1. 资产分析 (5)4.2. 威胁分析 (6)4.3. 脆弱性分析 (7)5. 政务外网安全等级保护概述 (8)5.1. 政务外网安全保护等级 (8)5.2. 不同等级的安全保护能力 (8)6. 第二级基本要求 (9)6.1. IP 承载网96.1.1. 广域网 (9)6.1.2. 城域网 (9)6.1.3. 用户局域网 (10)6.2. 业务区域网络 (10)6.2.1. 公用网络区 (10)6.2.2. 互联网接入区 (10)6.3. 管理区域网络 (11)6.3.1. 网络管理区 (11)6.3.2. 安全管理区 (11)7. 第三级基本要求 (11)7.1. IP 承载网117.1.1. 广域网 (11)I7.1.2. 城域网 (12)7.1.3. 用户局域网 (13)7.2. 业务区域网络 (14)7.2.1. 公用网络区 (14)7.2.2. 互联网接入区 (14)7.2.3. 专用网络区 (15)7.3. 管理区域网络 (15)7.3.1. 网络管理区 (15)7.3.2. 安全管理区 (16)7.3.3. 电子认证区 (16)II为了贯彻国家信息安全相关法律法规，落实信息安全等级保护相关技术要求，根据国家标准GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求，为规范国家电子政务外网安全等级保护的工作，针对政务外网的具体情况，特制定本要求。

电子政务信息安全等级保护实施指南

电子政务信息安全等级保护实施指南电子政务信息安全等级保护实施指南（试行）国务院信息化工作办公室2005年9 月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.2 划分子系统的方法 (12)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域保护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 保护对象分类 (19)4.1.3 系统分域保护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录A 术语与定义 (27)附录B 大型复杂电子政务系统等级保护实施过程示例 (27) B.1 大型复杂电子政务系统描述 (27)B.2 等级保护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域保护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表目录图2-1 电子政务等级保护的实现方法 (6)图2-2 电子政务等级保护的基本流程 (7)图2-3 等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1 定级工作流程 (11)图4-1 安全规划与设计过程 (18)图4-2 电子政务的保护对象及信息资产 (20)图4-3 系统分域保护框架示意图 (22)图4-4 确定安全措施的过程 (22)图4-5 系统安全需求 (24)图5-1 安全措施的实施 (25)图5-2 等级保护的运行改进过程 (26)表2-1 电子政务系统五个安全等级的基本内容 (3)表3-1 电子政务安全等级在安全属性方面的描述 (15)表4-1 安全措施的调整因素和调整方式 (23)电子政务信息安全等级保护实施指南（试行）1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号，以下简称“ 27 号文件”）明确要求我国信息安全保障工作实行等级保护制度, 提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

江苏省人民政府办公厅关于印发江苏省电子政务外网管理办法（试行）的通知

江苏省人民政府办公厅关于印发江苏省电子政务外网管理办法（试行）的通知文章属性•【制定机关】江苏省人民政府办公厅•【公布日期】2023.09.05•【字号】苏政办发〔2023〕32号•【施行日期】2023.09.05•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】机关工作正文江苏省人民政府办公厅关于印发江苏省电子政务外网管理办法（试行）的通知苏政办发〔2023〕32号各市、县（市、区）人民政府，省各委办厅局，省各直属单位：《江苏省电子政务外网管理办法（试行）》已经省人民政府同意，现印发给你们，请认真贯彻实施。

江苏省人民政府办公厅2023年9月5日江苏省电子政务外网管理办法（试行）目录第一章总则第二章职责分工第三章接入管理第四章运行管理第五章IP地址与域名管理第六章安全管理第七章监督与检查第八章附则第一章总则第一条为进一步加强全省电子政务外网（以下简称政务外网）建设管理，提升网络支撑能力和安全保障能力，确保网络安全可靠、高效稳定运行，根据《中华人民共和国网络安全法》等相关法律法规和国家政务外网管理相关标准规范，结合我省实际，制定本办法。

第二条本办法适用于全省政务外网建设、接入、运行、安全管理等活动。

第三条本办法所称全省政务外网，是国家政务外网的组成部分，与互联网逻辑隔离，为非涉密网络。

省政务外网由省级政务外网和设区市及以下政务外网组成，服务全省各级党委、人大、政府、政协、纪委监委、法院、检察院和人民团体等，主要运行各级政务部门数字化履职的非涉密业务和不需在政务内网运行的业务，支撑跨部门、跨层级、跨区域数据共享和业务协同，满足科学决策、社会治理、公共服务等工作需要。

第四条省政务外网遵循统一规划、统一标准、统一管理、统筹建设、分级负责、保障安全的原则。

第五条除国家另有规定外，各级部门和单位不得新建非涉密业务专网；已经建成的，应当按相关标准规范整合至政务外网。

第二章职责分工第六条省政务服务管理办公室是省级政务外网主管部门，负责制定相关标准规范，组织、协调、指导、监督全省政务外网管理工作。

电子政务信息安全等级保护实施指南

电子政务信息安然等级庇护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)编写目的 (1)适用范围 (1)文档布局 (1)2 底子道理 (2)底子概念 (2)电子政务等级庇护的底子含义 (2)电子政务安然等级的层级划分 (3)电子政务等级庇护的底子安然要求 (4)底子方法 (4)等级庇护的要素及其关系 (4)电子政务等级庇护实现方法 (5)实施过程 (6)角色及职责 (9)系统间互联互通的等级庇护要求 (10)3 定级 (10)定级过程 (11)系统识别与描述 (11)系统整体识别与描述 (11)划分子系统的方法 (12)子系统识别与描述 (13)等级确定 (13)电子政务安然属性描述 (13)定级原那么 (14)定级方法 (16)复杂系统定级方法 (17)4 安然规划与设计 (18)系统分域庇护框架成立 (18)安然域划分 (18)庇护对象分类 (19)系统分域庇护框架 (21)选择和调整安然办法 (22)安然规划与方案设计 (24)安然需求阐发 (24)安然工程规划 (24)安然工作规划 (25)安然方案设计 (25)5 实施、等级评估与运行 (25)安然办法的实施 (25)等级评估与验收 (25)运行监控与改进 (26)附录A 术语与定义 (27)附录B 大型复杂电子政务系统等级庇护实施过程例如 (27)大型复杂电子政务系统描述 (27)等级庇护实施过程描述 (28)系统划分与定级 (29)系统识别和子系统划分 (29)系统安然等级确定 (29)系统分域庇护框架 (30)安然规划与设计 (33)安然办法的选择与调整 (33)等级化风险评估 (34)等级化安然体系设计 (34)安然规划与方案设计 (36)安然办法的实施 (39)图表目录图2-1电子政务等级庇护的实现方法 (6)图2-2电子政务等级庇护的底子流程 (7)图2-3等级庇护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安然规划与设计过程 (18)图4-2电子政务的庇护对象及信息资产 (20)图4-3系统分域庇护框架示意图 (22)图4-4确定安然办法的过程 (22)图4-5系统安然需求 (24)图5-1安然办法的实施 (25)图5-2等级庇护的运行改进过程 (26)表2-1电子政务系统五个安然等级的底子内容 (3)表3-1电子政务安然等级在安然属性方面的描述 (15)表4-1安然办法的调整因素和调整方式 (23)电子政务信息安然等级庇护实施指南〔试行〕1 引言1.1 编写目的国家信息化带领小组关于加强信息安然保障工作的定见〔中办发[2003]27号，以下简称“27号文件〞〕明确要求我国信息安然保障工作实行等级庇护制度,提出“抓紧成立信息安然等级庇护制度，制定信息安然等级庇护的办理方法和技术指南〞。

国家电子政务外网安全等级保护实施指南

本指南是国家电子政务外网安全等级保护相关系列标准之一。本指南与国标《计算机信息系统安全等级保护划分准则》（GB17859-1999）、《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）、《信息安全技术信息系统安全等级保护实施指南》（GB/T 25058-2010）等标准以及《国家电子政务外网网络安全等级保护基本要求》共同构成了国家电子政务外网安全等级保护的相关配套标准。是各级政务外网实施安全等级保护的基本要求。本指南依据国家标准要求和政务外网安全等级保护基本要求，逐条提出了有针对性、可操作的实施意见，供参考使用。对于承载涉及国家秘密信息系统的网络保护要求，按照国家相关法律法规和信息安全主管部门的相关规定和标准实施。对于涉及密码的使用和管理，按照国家密码管理主管部门的相关规定和标准实施。凡涉及政务外网数字证书的相关要求，参照国家电子政务外网管理中心印发的相关管理和技术规定执行。
4.1 实施原则 ...................................................................... 1 4.2 角色与职责 .................................................................... 2 4.3 政务外网定级对象 .............................................................. 3 4.4 安全等级保护目标 .............................................................. 3 4.5 安全等级保护区域边界 .......................................................... 3 5 网络功能及安全分域 ................................................................ 3 5.1 网络功能描述 .................................................................. 3

电子政务外网安全管理制度

第一章总则第一条为确保电子政务外网的安全稳定运行，保护国家信息安全，根据《中华人民共和国网络安全法》及相关法律法规，结合本单位的实际情况，特制定本制度。

第二条本制度适用于本单位电子政务外网的规划、建设、运行、维护等各个环节，以及所有使用电子政务外网的单位和个人。

第三条电子政务外网安全管理工作遵循以下原则：1. 预防为主、防治结合；2. 安全责任到人；3. 科学管理、持续改进；4. 合法合规、保障效率。

第二章电子政务外网安全组织与职责第四条成立电子政务外网安全管理领导小组，负责本单位电子政务外网安全工作的统筹规划、组织实施和监督考核。

第五条电子政务外网安全管理领导小组下设办公室，负责日常安全管理工作，具体职责如下：1. 制定电子政务外网安全管理制度；2. 组织开展安全检查和风险评估；3. 落实安全防护措施；4. 处理安全事件；5. 开展安全培训和教育。

第六条各部门、单位应明确电子政务外网安全管理责任人，负责本部门、单位电子政务外网的安全管理工作。

第三章电子政务外网安全管理制度第七条电子政务外网应采用物理隔离、逻辑隔离、访问控制等技术手段，确保政务信息的安全。

第八条电子政务外网接入设备应通过安全认证，符合国家相关标准。

第九条电子政务外网用户应遵守以下规定：1. 使用合法身份注册账号；2. 设置复杂密码，定期更换；3. 不得将政务信息泄露给他人；4. 不得利用电子政务外网进行违法活动。

第十条电子政务外网应定期进行安全检查，发现问题及时整改。

第十一条电子政务外网应建立安全事件应急预案，确保在发生安全事件时能够迅速响应。

第四章电子政务外网安全教育与培训第十二条定期组织电子政务外网安全教育和培训，提高用户安全意识。

第十三条加强对电子政务外网管理人员和运维人员的安全培训，提高其安全技能。

第五章监督与考核第十四条对电子政务外网安全管理工作进行定期检查和考核，对存在问题进行通报和整改。

第十五条对违反电子政务外网安全管理制度的行为，依法依规进行处理。

网络安全等级保护基本要求

02
网络安全等级保护分为五个等级，分别是第一级到第五级，其中第一级为最低等级，第五级为最高等级。
03
网络安全等级保护的目的是为了保护信息系统的安全，防止信息泄露、篡改、破坏等安全事件发生。
04
网络安全等级保护要求信息系统的运营者按照相应的等级要求，采取相应的安全保护措施，确保信息系统的安全。
网络安全等级保护的重要性
网络安全等级保护的基本原则
自主保护原则：网络运营者应自主负责网络安全保护工作，采取有效措施防范网络安全风险
重点保护原则：根据网络的重要性和面临的网络安全风险，确定网络安全保护等级，实施重点保护
整体保护原则：从整体上考虑网络安全保护，综合运用各种安全技术和管理措施，确保网络安全
03
专项检查：针对特定问题或领域进行专项检查
04
抽查检查：随机抽取部分系统或设备进行检查
05
模拟攻击检查：通过模拟攻击来检查系统的安全性能
06
漏洞扫描检查：通过漏洞扫描工具来检查系统的安全漏
洞
安全评估与检查的结果处理
01
评估结果：对网络安全等级保护的评估结果进行分析和总结
02
检查结果：对网络安全等级保护的检查结果进行分析和总结
安全管理中心需要具
2 备安全风险评估、安全事件监测、安全事件响应、安全审计等功能。
安全管理中心需要建
3 立安全策略和流程，确保安全策略的实施和执行，并定期进行安全审计和检查。
安全管理中心需要建
4 立安全事件监测和响应机制，及时发现和处理安全事件，并协调和组织安全响应。
3
网络安全等级保护的实施

网络安全等级保护基本要求

随着互联网技术的飞速发展，网络安全问题日益凸显，网络安全等级保护作为我国网络安全的基本制度，旨在确保国家信息安全、社会稳定和人民生活安宁。

本文将从网络安全等级保护的基本要求、实施步骤和注意事项等方面进行阐述。

一、网络安全等级保护基本要求1. 物理安全物理安全是指对信息系统所在环境的保护，主要包括以下几个方面：（1）物理位置选择：机房场地应选择在具有防震、防风和防雨等能力的建筑内，避免设在建筑物的顶层或地下室。

如设在顶层或地下室，应加强防水和防潮措施。

（2）物理访问控制：机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

（3）防盗窃和防破坏：应将设备或主要部件进行固定，并设置明显的不易除去的标识；通信线缆应铺设在隐蔽安全处；应设置机房防盗报警系统或设置有专人值守的视频监控系统。

（4）防雷击：应将各类机柜、设施和设备等通过接地系统安全接地；应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。

（5）防火：机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。

（6）防水和防潮：采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；采取措施防止机房内水蒸气结露和地下积水的转移与渗透；安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

（7）防静电：采用防静电地板或地面并采用必要的接地防静电措施；采用措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等。

2. 通信网络安全通信网络安全主要包括以下几个方面：（1）网络架构：采用合理的网络架构，提高网络的可扩展性和可靠性。

（2）通信传输：确保数据传输的加密和完整性，防止数据泄露和篡改。

（3）可信验证：对网络设备和用户进行身份验证，确保网络访问的安全性。

3. 区域边界安全区域边界安全主要包括以下几个方面：（1）边界防护：对网络边界进行安全防护，防止恶意攻击和非法访问。

网络安全等级保护要求

网络安全等级保护要求
网络安全等级保护要求
网络安全等级保护要求是为了确保信息资源在搜索、访问和使用中的安全问题。

随着高科技的普及，保护网络安全的等级保护要求逐渐提高。

首先，企业、政府和机构应将信息安全作为优先事项，经常培训员工，防止社
会的网络信息犯罪活动。

其次，建立严格的访问控制机制，比如可以采取分层身份验证方式，将信息资源分层管理；对管理人员定期加强安全培训，增强安全意识和风险识别能力，建立安全策略，定期更新软件及病毒库，定期备份网络信息数据。

此外，采用双重身份认证机制，进行安全登录，确认身份及操作者才能进入系统安全登录，并严格限制操作人员对信息资源的操作，避免数据泄露。

同时，在硬件上，我们可以采用UPS等不间断电源保护数据；在软件方面，使
用安全软件、安全服务和安全网络设备，定期监控网络信息安全，及时发现问题，以及网上信息安全事件，及时做出调整和处理。

从上述可以看出，网络安全等级保护要求的提出，不仅是为了防范网络犯罪，
更是为了确保社会正常正直的经济和社会秩序。

网络安全等级保护要求的提出，绝不是为了打压热衷网络的人，而是为了使大家的信息共享更加安全、可靠、可控，从而打造更加安全的网络空间。