基于等级保护的电子政务安全保障体系设计与现实
建立信息安全等级保护体系 保障电子政务有效安全
第四阶段 :运维和改进 阶段 。等级 保护主要关注运 行管
理 和 控制 ,变 更管 理和 控制 、安 全状 态监 控 、安全 事件处 置 和应急预案 、安全风险评估和持续 改进以及监督检查 等活
动 。针对该 区信息 系统和业务应用 的特 点 ,参照上级 网络与
信息 安全 事件专项 应急预 案的要求 ,制定 相应 的应急预 案 。 重 点监 控系 统 的变化 和 系统安全 风 险 的变化 ,使 用 了 自保
上 ,通过 划分 安全 域 的方式 ,横 向采 用划 分虚拟 子 网 ,纵
向采用基于 用户组的权限控制 ,对 网络 用户的访问权限进行 有效的控制 。在入侵 检测上 ,在重要 的网络 节点和关键服务
提 出本 期实施 项 目的具体实施 方案。根据安全建设方案 ,主
要在 5 个 层面上进 行实施 : ( 1)在物理环 境安全方面 ,严 格按照 国家计算机系统 物理安全 的有关 规定 ,重点做好机房 内的物理 安全建设 ,使 用防盗 门窗和红外报 警系统 ,配置不 问断 电源 ,做好设备接
设备以及操 作系统 自身 的审计功能 ,定期对主机 日 志、 入侵
检测 日志 、防火墙 日志等进行 审计和检查 ,以便于早期发现 系统被非法 访问的迹象 。在信息传输 上 ,采用安全的连接方 式 进行外 部对 内部 的远程 访问 ( 如 VP N) ,内部对 于路 由器 等网络设备和服务器的访问也采取 S S L加密的方式 ,对于政 府 内网在 建筑物 外的传输 线路 ,都采 用加密机进 行加 密。 ( 3)在 系统 安 全方 面 ,对 已公 布 的操 作系统 漏 洞和 安
电子政务等级保护解决方案
电子政务等级保护解决方案一、等级保护技术性要求按照《信息系统安全等级保护基本要求》和其它相关等级保护技术文件提出来的指导意见,电子政务等级保护涉及技术和管理两方面的核心内容。
技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。
电子政务等级保护基本技术要求涉及物理安全、网络安全、主机系统安全、应用和数据安全等几个重要的方面。
二、电子政务等级保护试点核心内容从国信办在广东、天津、河南等地推进的试点反馈情况分析,电子政务等级保护的具体实施取得了很多可资借鉴和推广的经验。
综合电子政务网络的现状和推行等级保护力图实现的目标,在电子政务等级保护实践过程中,需要重点关注以下几个问题:如何体现“适度安全,促进应用,综合防范”的要求。
近年来,党和政府大力倡导政务公开、透明,致力建设公众参与的和谐社会。
在电子政务系统中,运行的涉密信息越来越少。
在等级保护实施过程中,需要有效区分不同密级信息,采取分类安全措施,这样才能确保安全建设成本可控、效果突出。
电子政务的等级保护是一个持续改进、调整的过程,在规划伊始,需要坚持高视野、高起点的原则,保持技术应用方面的灵活性。
所采用的等级保护技术方案必须充分考虑政务内网、专网和互联网等几个网络存在的历史性问题,安全技术的引入,需要保证几个网络的融合与有效区隔共存的现实要求。
在电子政务主机系统安全、应用和数据安全体系建设过程中,需要充分考虑安全系统的整体规划,确保安全系统的可持续升级和扩充能力。
如何在开放互联的环境下,保证电子政务网络的安全性问题,将成为下一阶段电子政务等级保护实施关注的重点问题。
在解决信息共享与互联互通问题的过程中,以密码为核心的信息安全技术将发挥至关重要的作用。
三、Chinasec的解决之道针对电子政务等级保护涉及到的上述突出问题,Chinasec可信网络安全平台基于可信网络技术,提出了一整套完整的解决方案。
电子政务安全保障体系设计.
电子政务安全保障体系设计1.1 安全保障体系设计1.1.1 概述电子政务内网所涉及的信息/数据涉及国家秘密,其机密性和完整性尤为重要,是信息安全保护的重点对象。
因此,电子政务内网平台的安全建设应符合国家保密局的《涉及国家秘密的计算机信息系统保密技术要求》和《涉及国家秘密的计算机信息系统安全保密方案设计指南》及其他安全管理部门发布的一系列规定和规范的要求。
电子政务内网安全设计应体现:全局和整体上的考虑。
应用深度防御的战略,注重防内和整体防外。
适应信息系统安全的动态性、复杂性和长期性特点。
便于实施和考核。
本设计方案遵循中华人民共和国《涉及国家秘密的计算机信息系统安全保密方案设计指南》和《电子政务试点示范工程技术规范》的要求,依据本期电子政务内网的安全建设目标,提出了电子政务内网的安全策略和安全保障体系,强调了统筹规划,针对内网网络和边界安全、局部计算环境与应用安全,主要从信息安全基础设施、基础安全防护技术和安全监察与管理方面设计具体的建设任务,包括CA认证设施、密钥管理系统、可信时间戳服务系统、密码服务系统、授权服务系统,防火墙系统、加密系统、入侵检测系统、安全扫描系统、防病毒系统、安全审计系统和安全监管系统等等。
1.1.2 安全建设目标和原则1.1.2.1 总体目标电子政务内网安全建设的总体目标是:针对电子政务内网可能遇到的各种安全威胁和风险,着重加强信息安全基础设施、基础安全防护系统和安全监察与管理系统的建设,形成有效的政务内网安全保障体系,保证涉密信息在产生、存储、传递和处理过程中的保密性、完整性、高可用性、高可控性和抗抵赖性,确保电子政务内网能够安全、稳定、可靠地运行,为实现电子政务建设的目标提供安全保障。
电子政务等级保护整体解决方案
电子政务等级保护整体解决方案随着我国电子政务、政府上网等信息化建设快速发展,政府及事业单位与各直属机构、外界相关单位信息交互的网络安全就变得更为必要当前。
对于政府信息化系统的安全问题,大多数考虑最多的还是病毒,认为病毒对政府各系统的影响最大,所以大部分的财力人力都投向了防病毒系统。
但事实证明,这些还远远不够,仍然会有很多心怀叵测的人或者组织对政府部门发起攻击,甚至数据窃密等,往往会对政府部门的核心数据造成不可弥补的损失。
按照《信息系统安全等级保护基本要求》和其它相关等级保护技术文件提出来的指导意见,电子政务等级保护涉及技术和管理两方面的核心内容。
技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。
电子政务等级保护基本技术要求涉及物理安全、网络安全、主机系统安全、应用和数据安全等几个重要的方面。
当前,几乎所有的大型政府和事业单位对于网络安全的重视程度普遍提高了,纷纷采购防火墙等设备希望堵住来自Internet的不安全因素。
然而,Intranet内部的攻击和入侵却依然猖狂。
事实证明,公司内部的不安全因素远比外部的危害更恐怖。
大多政府和事业单位重视提高其网络的边界安全,暂且不提它们在这方面的投资多少,但是大多数政府和事业单位网络的核心内网还是非常脆弱的。
实践证明,很多成功防范政府和事业单位网边界安全的技术对保护政府和事业单位内网却没有效用。
于是网络维护者开始大规模致力于增强内网的防卫能力。
根据电子政务等级保护的具体实施取得了很多可资借鉴和推广的经验,综合电子政务网络的现状和推行等级保护力图实现的目标,在电子政务等级保护实践过程中,需要重点关注以下几个问题:如何体现“适度安全,促进应用,综合防范”的要求。
近年来,党和政府大力倡导政务公开、透明,致力建设公众参与的和谐社会。
在电子政务系统中,运行的涉密信息越来越少。
在等级保护实施过程中,需要有效区分不同密级信息,采取分类安全措施,这样才能确保安全建设成本可控、效果突出。
《电子政务信息安全等级保护实施指南》
《电子政务信息安全等级保护实施指南》国信办[2005]25号关于印发《电子政务信息安全等级爱护实施指南(试行)》的通知各省、自治区、直辖市信息化领导小组办公室,中央和国家机关各部委信息化领导小组办公室:现将《电子政务信息安全等级爱护实施指南(试行)》印发你们,供你们在开展电子政务信息安全保证工作中参考。
国务院信息化工作办公室二〇〇五年九月十五日电子政务信息安全等级爱护实施指南(试行)国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范畴 (1)1.3 文档结构 (1)2 差不多原理 (2)2.1 差不多概念 (2)2.1.1 电子政务等级爱护的差不多含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级爱护的差不多安全要求 (4)2.2 差不多方法 (4)2.2.1 等级爱护的要素及其关系 (4)2.2.2 电子政务等级爱护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级爱护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.2 划分子系统的方法 (12)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域爱护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 爱护对象分类 (19)4.1.3 系统分域爱护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录A 术语与定义 (27)附录B 大型复杂电子政务系统等级爱护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级爱护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域爱护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表名目图2-1电子政务等级爱护的实现方法 (6)图2-2电子政务等级爱护的差不多流程 (7)图2-3等级爱护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的爱护对象及信息资产 (20)图4-3系统分域爱护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级爱护的运行改进过程 (26)表2-1电子政务系统五个安全等级的差不多内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级爱护实施指南(试行)1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保证工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保证工作实行等级爱护制度,提出“抓紧建立信息安全等级爱护制度,制定信息安全等级爱护的治理方法和技术指南”。
电子政务系统安全保障体系
电子政务系统安全保障体系引言随着信息技术的迅速发展,电子政务系统在政府及公共事务管理中的作用越来越重要。
然而,电子政务系统也面临着安全威胁和风险,例如网络攻击、数据泄露等。
为了确保电子政务系统的安全性,需要建立健全的安全保障体系。
定义电子政务系统安全保障体系是指为了确保电子政务系统的安全性,采取一系列管理、技术和物理措施的集合体。
这些措施旨在防止恶意攻击、保护敏感数据、确保系统正常运行。
安全保障体系的框架电子政务系统安全保障体系的框架可以分为以下几个方面:管理措施管理措施是安全保障体系的基础。
它包括制定安全政策、建立安全管理机构、制定安全流程和规程、进行安全培训等。
安全政策安全政策是指电子政务系统的整体安全目标、原则和规范。
它需要由管理层制定,并在整个组织范围内推行。
安全政策应该包括对系统进行评估和监控的要求,以确保安全政策的有效执行。
安全管理机构安全管理机构负责制定和执行安全措施,并负责电子政务系统的整体安全管理工作。
该机构应该由专业的安全人员组成,并参与到系统的设计、开发和运维过程中。
安全流程和规程安全流程和规程是指按照安全政策制定的具体操作流程和规范。
这些流程和规程应该包括对系统进行访问控制、漏洞管理、事件响应等方面的要求,以确保系统的安全运行。
安全培训安全培训是确保系统用户和管理人员具备安全意识和技能的重要环节。
通过开展相关培训,可以提高用户的安全意识,降低安全风险。
技术措施技术措施是通过技术手段来保障电子政务系统安全的重要手段。
它包括身份认证、访问控制、加密、防火墙、入侵检测等。
身份认证身份认证是确保系统用户身份真实性的一种方式。
采用强大的身份认证技术,可以防止未经授权的人员进入系统,从而保障系统的安全性。
访问控制访问控制是限制系统用户访问权限的一种手段。
通过合理配置访问控制策略,可以确保只有授权用户才能访问系统的敏感数据和功能。
加密加密是保护数据机密性的重要措施。
通过对数据进行加密,可以防止数据在传输和存储过程中被未经授权的人员访问和篡改。
电子政务的安全保障体系设计与实现
患 , 需 要 建 立 相 应 的 安 全 管 理 体 系 安 全 管 理 体 系 主 要 包 括 有 还 安全 策 略 、 全 组 织 和 安 全 制 度 。 安 ( ) 全 策略 是 管 理 体 系的 灵 魂 。要 做 到 全 面 、 活 使 用 , 须 1安 灵 必 在 对对 信息 系统 进行 全 面细 致 的 调查 、 估 之后 , 合 电子 政务 的业 评 结 务 流程 , 制定 出符合 实 际情况 的安 全策 略体 系 。安 全策 略体 系 包括 安 全 方针 、 主策 略 和子策 略和 电子政 务 系统 日常管 理所 需要 的制 度 。 () 全 组 织 。为 保 障 电 子政 务 系统 信 息 的安 全 , 要 在 条 件 2安 需
( ) 理 层 安 全 威 胁 。这 各 层 次 面 临 的 安 全 威 胁 主要 包 括 有 : 1物 设 备 的被 盗 、 意 破 坏 、 路 截 获 监 听 、 恶 线 电磁 干 扰 、 源 掉 线 以 及 设 电 备 的损 坏 等 。 这些 都 对 整 个 网络 的基 础 设 备 及 上 层 的 各种 应 用 有 着 严 重 的 安全 威 胁 。
电 子 政 务 的 安 全 保 障 体 系 设 计 与 实 现
陶 梅
( 州工 商职 业技 术 学院 5 O 5 ) 广 1 8 0
【 摘 要 】 子 政 务 系统 面 临 着 多 层 次 的 安 全 威 胁 , 响 了 电 子 政 务 系 电 影
同的安 全 区域 , 证 网络 中用户 的可 信 、 备 的可 信 和服 务 的可信 , 保 设 并 以可管 为 目的实 现多 个安 全域 之 问的互 联互 通和 业务协 同。 () 全 策略 配置 。根 据 安 全 体 系框 架 和 安 全 定 级 、 全 域 划 3安 安 分 , 为 电子 政 务 系 统 各 安 全 域 配 置 安 全 策 略 如 全 国信 访 信 息 系 来 统 的 安 全 策 略 配 置 如 下 : 络 接 人 区 : 用 数 据 可 信 传 输 、 界 防 网 采 边 御 、 时 监控 等措 施 , 止 非 法 用 户 和 非 法 数 据 进 入 能 的发 挥 。 本 文 首 先 分 析 了 电 子 政 务 系 统 的 安 全 需 求 ; 此 基 础 在 上 提 出 了 电 子 政 务 系统 的 安 全 体 系 框 架 和 安 全 域 的 划 分 ; 时 指 出 必 同 须从 安 全 支 撑 平 台 体 系 设 计 和 安 全 应 用 支 撑 平 台 体 系 设 计 两 方 面 构 建 电子 政 务 安 全 技 术 体 系 , 安 全 技 术 体 系设 计 的 基 础 上 构 建 安 全 管 理 在
电子政务安全保障体系
电⼦政务安全保障体系2019-10-30电⼦政务涉及对国家秘密信息和⾼敏感度核⼼政务的保护,设计维护公共秩序和⾏政监管的准确实施,涉及到为社会提供公共服务的质量保证。
电⼦政务是党委、政府、⼈⼤、政协有效决策、管理、服务的重要⼿段,必然会遇到各种敌对势⼒、恐怖集团、捣乱分⼦的破坏和攻击。
尤其电⼦政务是搭建在基于互联⽹技术的⽹络平台上,包括政务内⽹、政务外⽹和互联⽹,⽽互联⽹的安全先天不⾜,互联⽹是⼀个⽆⾏政主管的全球⽹络,⾃⾝缺少设防和安全隐患很多,对互联⽹犯罪尚缺乏⾜够的法律威慑,⼤量的跨国⽹络犯罪给执法带来很⼤的难度。
所有上述分⼦利⽤互联⽹进⾏犯罪则有机可乘,使基于互联⽹开展的电⼦政务应⽤⾯临着严峻的挑战。
对电⼦政务的安全威胁,包括⽹上⿊客⼊侵和犯罪、⽹上病毒泛滥和蔓延、信息间谍的潜⼊和窃密、⽹络恐怖集团的攻击和破坏、内部⼈员的违规和违法操作、⽹络系统的脆弱和瘫痪、信息产品的失控等,应引起⾜够警惕,采取安全措施,应对这种挑战。
电⼦政务的安全⽬标和安全策略电⼦政务的安全⽬标是,保护政务信息资源价值不受侵犯,保证信息资产的拥有者⾯临最⼩的风险和获取最⼤的安全利益,使政务的信息基础设施、信息应⽤服务和信息内容为抵御上述威胁⽽具有保密性、完整性、真实性、可⽤性和可控性的能⼒。
为实现上述⽬标应采取积极的安全策略:国家主导、社会参与。
电⼦政务安全关系到政府的办公决策、⾏政监管和公共服务的⾼质量和可信实施的⼤事,必须由国家统筹规划、社会积极参与,才能有效保障电⼦政务安全。
全局治理、积极防御。
电⼦政务安全必须采⽤法律威慑、管理制约、技术保障和安全基础设施⽀撑的全局治理措施,并且实施防护、检测、恢复和反制的积极防御⼿段,才能更为有效。
等级保护、保障发展。
要根据信息的价值等级及所⾯临的威胁等级,选择适度的安全机制强度等级和安全技术保障强壮性等级,寻求⼀个投⼊和风险可承受能⼒间的平衡点,保障电⼦政务系统健康和积极的发展。
电子政务外网信息安全保障体系方案安全管理解决方案
1、对信息资产进行等级划分。
根据信息资产本身的重要性,进行业务的划分并参考国家相关标准,从信息安全和信息服务两个属性进行定级。
2、在等级障至关重要,一般而言,需要从网络管理、安全管理、重要的服务器、一般的服务器、安全终端等几个大的方面进行划分。
6、配套信息安全保障体系其它配套的措施。
比如安全管理和安全运行等措施。
下图是按照上述思路实现的一个电子政务外网安全保障体系。
图1 电子政务外网安全保障体系设计框架
从图可以看出,省、市两级节点分为了三级和二级两种安全域,终端和服务器按照不同级别相应部署到各自的安全域中(在网络上采取了VLAN、防火墙、商密网络加密机、安全隔离与信息交换系统等进行安全域的隔离与访问控制)。其中三级安全域有机密性保护的需求,网络传输采用商密密码机进行保护;二级安全域有需要进行访问控制和隔离的安全要求,采用安全隔离与信息交换系统进行隔离,终端采用防火墙进行隔离。各安全域边界有严格的访问控制策略,并部署了全网的入侵检测、审计等安全产品。
3、采用先进的信息安全理念进行方案的设计。
采用纵深防御的思想和卫士通提出的“深度服务 深度安全”的理念进行安全方案的设计。
4、部署合适的安全产品。
优先采用国内先进的安全产品进行部署,做到较好的性价比。
5、部署最恰当的安全策略。
安全策略的设置是信息安全保障体系能否取得效果的最为关键步骤,必须从信息平台的功能出发,结合各方面的意见(尤其是业务部门的意见),形成符合需要的安全策略。
卫士通政务营销事业部 吴鸿钟
以资源整合、平台共享、高效服务为目的的电子政务外网建设是当前政府信息化建设的重点内容。在统一的电子政务外网平台上,需要容纳各级厅、局、委、办的电子政务外网应用,这就表明,需要为此提供信息安全保障的电子政务外网平台不是一个业务单一、安全级别统一的单纯信息网络平台,而是承载多种级别信息,需要根据不同的安全风险进行量身设计,形成差异化的等级保护保障体系的综合性的信息网络平台。
电子政务信息安全等级保护实施指南
电子政务信息安然等级庇护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)编写目的 (1)适用范围 (1)文档布局 (1)2 底子道理 (2)底子概念 (2)电子政务等级庇护的底子含义 (2)电子政务安然等级的层级划分 (3)电子政务等级庇护的底子安然要求 (4)底子方法 (4)等级庇护的要素及其关系 (4)电子政务等级庇护实现方法 (5)实施过程 (6)角色及职责 (9)系统间互联互通的等级庇护要求 (10)3 定级 (10)定级过程 (11)系统识别与描述 (11)系统整体识别与描述 (11)划分子系统的方法 (12)子系统识别与描述 (13)等级确定 (13)电子政务安然属性描述 (13)定级原那么 (14)定级方法 (16)复杂系统定级方法 (17)4 安然规划与设计 (18)系统分域庇护框架成立 (18)安然域划分 (18)庇护对象分类 (19)系统分域庇护框架 (21)选择和调整安然办法 (22)安然规划与方案设计 (24)安然需求阐发 (24)安然工程规划 (24)安然工作规划 (25)安然方案设计 (25)5 实施、等级评估与运行 (25)安然办法的实施 (25)等级评估与验收 (25)运行监控与改进 (26)附录A 术语与定义 (27)附录B 大型复杂电子政务系统等级庇护实施过程例如 (27)大型复杂电子政务系统描述 (27)等级庇护实施过程描述 (28)系统划分与定级 (29)系统识别和子系统划分 (29)系统安然等级确定 (29)系统分域庇护框架 (30)安然规划与设计 (33)安然办法的选择与调整 (33)等级化风险评估 (34)等级化安然体系设计 (34)安然规划与方案设计 (36)安然办法的实施 (39)图表目录图2-1电子政务等级庇护的实现方法 (6)图2-2电子政务等级庇护的底子流程 (7)图2-3等级庇护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安然规划与设计过程 (18)图4-2电子政务的庇护对象及信息资产 (20)图4-3系统分域庇护框架示意图 (22)图4-4确定安然办法的过程 (22)图4-5系统安然需求 (24)图5-1安然办法的实施 (25)图5-2等级庇护的运行改进过程 (26)表2-1电子政务系统五个安然等级的底子内容 (3)表3-1电子政务安然等级在安然属性方面的描述 (15)表4-1安然办法的调整因素和调整方式 (23)电子政务信息安然等级庇护实施指南〔试行〕1 引言1.1 编写目的国家信息化带领小组关于加强信息安然保障工作的定见〔中办发[2003]27号,以下简称“27号文件〞〕明确要求我国信息安然保障工作实行等级庇护制度,提出“抓紧成立信息安然等级庇护制度,制定信息安然等级庇护的办理方法和技术指南〞。
XX电子政务项目等级保护方案
目录1概述 (3)1.1编制目的 (3)1.2编制背景 (3)1.3等级安全体系设计目标 (4)1.3.1总体目标 (4)1.3.2安全技术体系目标 (5)2安全需求分析 (5)2.1现状分析 (6)2.2安全风险威胁分析 (7)2.3安全问题总结 (8)2.3.1网络安全问题 (8)2.3.2安全保障和应用支撑 (8)2.4安全需求总结 (8)2.4.1入侵防御与边界防护 (9)2.4.2运维审计 (10)3等保安全体系总体设计 (10)3.1等级保护体系概述 (10)3.1.1标准体系的内容 (10)3.1.2标准体系的组成与相互关系 (11)3.1.3标准体系的主要特点 (12)3.2等级化安全体系设计方法 (13)3.2.1设计原则 (13)3.2.2总体设计参考标准与规范 (14)4安全保障技术体系详细设计 (15)4.1网络安全设计 (15)4.1.1网络基础设施安全 (15)4.1.2网络边界安全 (15)4.1.3统一安全认证与运维审计 (16)1概述1.1编制目的根据福建XX的现状和将来的应用需求,并结合公安部关于等级化保护的相关要求,而制定针对性的技术方案与管理方案,可为XX的等级化安全体系改造和加固提供参考和实施依据。
本文将主要阐述和针对福建省XX的改造和信息安全体系的规划设计。
项目的主要内容是福建省XX的总体信息安全体系安全改造,包括以下几个方面:●建设福建XX网络安全基础设施;●福建XX的边界安全保护;1.2编制背景电子政务即政务信息化,是指国家机关在政务活动中,全面应用现代信息技术进行办公和管理,为社会公众提供服务。
主要包括四方面内容:一是在因特网上发布政务信息,供公众了解和使用;二是通过因特网对政府与公众之间的事务进行互动处理;三是在政府机构内部实现办公自动化,提高政府机构办公效率;四是公务员从网络中获得机构内部的工作信息和机构外部的业务信息,为日常的政务工作和领导决策提供服务。
电子政务安全保障体系
电子政务安全保障体系随着信息技术的飞速发展,电子政务已经成为政府工作中不可或缺的一部分。
电子政务通过信息化的手段,优化了政府机构的管理,提高了政府服务的效能,使得政府工作更加高效、透明、便民。
但是,由于信息化技术自身的开放性、复杂性和普及性,电子政务所面临的安全问题也越来越突出。
电子政务安全问题包括信息泄露、恶意攻击、黑客入侵、网络病毒、非法访问等多个方面。
一旦出现安全漏洞,政府公共信息系统和网络将受到严重威胁,不仅仅会导致对政府机密信息的窃取和泄露,也会让个人隐私暴露在网络空间,对社会造成不可预估的损害。
因此,建立电子政务安全保障体系已经成为当前电子政务建设的重要任务,以保障公共信息资源的安全。
一个完备的电子政务安全保障体系应该包括以下几个方面:一、加强安全意识培训一方面,政府工作人员应该加强对电子政务安全重要性的意识教育,提高其安全防范意识和应对能力;另一方面,普通公民也应该接受相关安全教育,提高其上网安全意识,避免成为网络犯罪活动的受害者。
二、加强技术保障手段政府机构在建设电子政务平台时,应采用最新的安全技术和措施,如数据加密、身份认证、网络防火墙、入侵检测和防病毒软件等,以构筑一道坚实的安全防线。
三、加强安全管理电子政务建设需要严格的管理制度和流程,除了加强技术管理,还要加强人员的管理。
任何人都不得擅自修改、更改电子政务系统的数据,政府机构应当对公民个人信息的采集、处理、存储、使用等进行严格的管理和保护。
四、加强监管和维护政府部门在建设电子政务服务平台后,应该建立针对性的监控系统,对电子政务系统进行24小时监视,发现和防范任何安全威胁。
同时,加强电子政务系统的维护和升级,保证电子政务系统处于一个良好的、安全的工作状态。
五、加强应急预案政府部门应该制定紧急处理方案,以保障电子政务系统在出现突发安全事件时能够迅速、有效地处理。
同时,应该加强与各相关部门的沟通和协作,做好故障信息的交流共享,以保证能够迅速应对各种安全事件。
基于等级保护2.0的政务信息系统安全保障体系设计思路
办公自动化杂志0前言随着社会信息化应用程度不断加深,技术和应用场景不断创新,自20世纪80年代至今,我国政务信息系统持续高速发展,国家政务服务逐步实现数字化。
信息系统建设旨在快速提高政务信息化水平,然而在四十年的发展过程中,政务信息系统由于资金和技术等多方面的限制,往往忽略了系统的网络安全防护,暴露在外的电子政务外网和互联网信息系统的安全风险长期处于高位。
1政务信息系统网络安全威胁越发严重根据国家计算机网络应急技术处理协调中心(National-Internet Emergency Center,缩写CNCERT)发布的《2019年中国互联网网络安全报告》统计,2019年全年捕获计算机恶意程序样本量超过6200万个,日均传播次数达824万余次;国家信息安全漏洞共享平台(CNVD)收录安全漏洞数量创下历史新高,攻击16193个,同比增长14%;DDoS 攻击事件平均每日220起,同比增加40%;网站安全方面,发现约8.5万个针对我国境内网站的仿冒页面,同比增长59.7%,我国网络安全环境逐渐恶化[1]。
同时,我国持续遭受来自“方程式组织”、“APT28”、“蔓灵花”、“海莲花”、“黑店”、“白金”等30余个APT 组织的网络窃密攻击,攻击对象以我国党政机关、国防军工和科研院所为主,并逐渐向军民融合、“一带一路”、基础行业、物联网和供应链等领域延伸,电信、外交、能源、商务、金融、军工、海洋等领域也逐渐成为境外网络攻击组织的重点攻击对象。
某黑客组织2019年对我国300余个政府网站发起了1000余次DDoS 攻击,在攻击初期阶段导致80%以上的攻击目标网站正常服务受到不同程度的影响。
政务信息系统网络安全威胁越发严重。
2网络安全等级保护制度日趋完善1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》(等保1.0时代),规定要求计算机信息系统实行安全等级保护。
二十多年来,我国的计算机等级保护制度得到了完善的发展,并实践执行于各个行业,对我国的网络信息安全具有重要的指导作用。
电子政务系统安全保障体系
PPT文档演模板
•图9.3 CA中心的系统结构
电子政务系统安全保障体系
应用业务及服务支持层安全(续七)
n CA中心的系统结构如图9.3所示。从图中可以 看出,CA中心由Web服务器、策略服务器、 CA业务服务器、证书管理服务器、源LDAP 服务器、证书签发服务器、密码服务系统以 及信息安全防御系统等组成,提供数字证书 签发、分发、撤消和管理等功能。
PPT文档演模板
电子政务系统安全保障体系
网络基础平台层安全(续五)
4).病毒防治系统 I. 病毒防治系统建设简述
病毒防治系统负责对各类计算机病毒的检测与杀灭,主 要功能包括:系统病毒预防、病毒诊断、病毒杀灭 和网络病毒检测
PPT文档演模板
电子政务系统安全保障体系
网络基础平台层安全(续六)
病毒防治系统建设时要注意以下几点: ➢ 构建综合的安全体系 ➢ 多层防御体系 ➢ 防毒与网络管理集成 ➢ 在网关、服务器上防毒 ➢ 及时更新防毒软件。
PPT文档演模板
电子政务系统安全保障体系
电子政务系统安全保障体系框架(续一)
PPT文档演模板
•图9.1 电子政务系统安全保障体系框架
电子政务系统安全保障体系
电子政务系统安全保障体系框架(续二)
n 电子政务安全保障体系是电子政务系统的有机组成部分, 是电子政务系统运行的必要组成部分。
n 电子政务安全保障体系一般分为安全技术系统和安全管 理系统。
电子政务系统安全保障 体系
PPT文档演模板
2023/5/10
电子政务系统安全保障体系
9.1 电子政务系统安全保障体系框架
电子政务系统安全需求分析
1.政务业务对电子政务系统的基本安全要求 严格的保密要求 ➢ 信息交换准确的要求 ➢ 严格的权限管理要求 ➢ 严格的程序和流程要求 ➢ 确保责任
电子政务信息安全等级保护实施指南
电子政务信息安全等级保护实施指南一、引言随着信息技术的快速发展,电子政务已经逐渐成为政府机构重要的工作手段和服务方式。
然而,电子政务也伴随着信息安全的风险和挑战。
为了保障电子政务信息的安全,政府机构需要制定和实施信息安全等级保护措施,确保电子政务系统的安全稳定运行。
本文将详细介绍电子政务信息安全等级保护实施指南。
二、电子政务信息安全等级划分针对电子政务系统,应根据其重要程度和风险程度,将其划分为多个安全等级。
划分安全等级可参考以下因素:1.信息价值:根据电子政务系统所涉及的敏感信息、业务流程、数据量等方面的综合评估,确定其信息价值。
2.风险评估:通过对潜在威胁和风险的评估,确定系统的风险程度。
3.法规要求:根据国家相关法规和标准,确定需要达到的安全等级。
在划分安全等级时,应确保安全等级与系统的敏感性和价值相适应,以确保资源和投入的有效利用。
1.安全政策和管理措施:建立并定期修订电子政务系统的安全政策,明确责任和权限,制定信息安全管理措施,保证系统的安全运行。
2.组织与人员安全:建立信息安全保护组织机构,明确各部门和人员的职责和权限。
配备专业的信息安全管理人员,通过培训和考核提升员工的信息安全意识和技能。
3.物理安全控制:采取物理安全措施,保护电子政务系统的物理环境安全。
包括门禁控制、机房布局、监控摄像等措施,防止物理攻击和非法入侵。
4.系统与网络安全管理:建立完善的系统和网络安全管理制度,包括身份认证、访问控制、日志审计等措施,保护系统和网络免受非法入侵和恶意活动的侵害。
5.数据安全管理:制定数据安全保护政策和措施,包括数据备份、加密和恢复等,确保敏感信息的机密性和完整性。
6.应用系统安全:建立应用系统安全管理制度,包括软件开发和安全测试、安全访问控制、漏洞修复等措施,保护应用系统的安全。
7.通信与传输安全:采取安全的通信和传输措施,保护数据在传输过程中的安全。
使用加密技术、防火墙等,防止数据泄露和篡改。
电子政务的安全保障体系设计与实现
( 二)网络层安全威胁
网络层是网络入侵 者进 攻信 息系统 的渠道和通 路,许 多 安全 问题都集 中体现在 网络 的安全方面 。大型 网络系统 内运 行 的T P I协 议并非专 为安全通讯而设计 ,所 以网络系统存 C\P 在 大 量 安 全 隐 患和 威 胁 。 ( )系统层安全威胁 三 系统层 的安全威胁主要是操作系统平 台的安全威胁 。由 于 现 代 操 作 系 统 的 代 码 庞 大 ,从 而 在 不 同 程 度 上 都 存 在 一 些 安全漏洞 。操作系统 自身的脆弱性将直接影响到其上所有的 应 用 系统 的安 全 性
电子政务的安全保障体系设计与实现
陶梅
( 广州工商职业技术学 院
广东 广州
505) 1 80
f 摘要】电子政 务 系统 面临着 多层 次 的安 全威胁 ,影响 了电子政 务 系统功 能的发挥 。本文首先 分析 了电子政 务 系统的安 全需求 ;在此基础上提 出 了电子政 务 系统 的安 全体 系框架和安 全域 的划分 ;同时 指 出必须从安 全支撑平 台体 系设计和安 全应 用支撑平 台体 系设计 两方 面构建 电子政 务安 全技术体 系, 在 安 全技 术体 系设 计 的 基础 上 构建 安 全 管理 体 系和 安 全服 务体 系。 【 关键词 】电子 政 务 安 全体 系 技 术体 系 管理体 系 服 务体 系 [ 中图分类号】T 5 5 0 [ P 9 .8 文献标 识码】A [ 文章编号】1 0 - 5 9 ( 0 0 6 i 8 2 9 5 4 2 1 )O —0 1 一O 0
《电子政务等级保护安全保障体系研究》
《电子政务等级保护安全保障体系研究》摘要。
随着5g网络通信技术的发展,万物互联逐步形成,网络攻击行为越来越频繁和多样化,构建符合等级保护2.0技术要求、主动防御网络攻击行为的电子政务安全保障体系,尤为重要。
关键词:电子政务;等级保护;安全保障体系;区域边界安全随着5g网络通信技术的发展,万物互联正逐步形成,每个被接入网络的点都有可能被黑客利用,网络攻击的行为越来越频繁,攻击方式越来越多样化;政府大力推进“一网办”,电子政务网作为“一网办”的承载体,安全保障体系尤为重要。
本文以市级电子政务网为例,结合实际工作,阐述如何构建具有主动防御功能的安全保障体系。
1电子政务主动防御体系2电子政务安全等级确定按照《ga/t1389-xx信息安全技术网络安全等级保护定级指南》,从业务信息安全和系统服务安全两个方面对电子政务网进行定级。
电子政务网承载了政府办公业务以及公众服务业务,业务安全级别较高;一旦业务数据遭受攻击,将影响政府办公、公众办理业务,更严重者,可能导致政府决策信息泄露或数篡改,影响社会秩序和公共利益,不影响国家安全。
在系统安全服务层面,电子政务保障了各业务系统正常被访问,数据正常传输,安全级别较高;一旦电子政务遭受攻击,导致网络中断,影响社会秩序和公共利益,不影响国家安全。
综合业务信息安全和系统服务安全两个方面的认识,根据定级指南,电子政务定级为三级。
3电子政务等级保护安全总体设计针对电子政务按照不同的区域以及行业进行分域保护,充分考虑到电子政务发展中的不同类别、阶段以及等级等,将其划分为相应的安全区域进行管理[2]。
电子政务等级保护安全总体设计,遵循等级保护2.0技术标准,从技术和管理两个方面构建,技术方面包括安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面;管理方面包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面。
由此构建电子政务的安全保障机制[3]。
电子政务安全保障体系研究
电子政务安全保障体系研究随着信息技术的不断发展和普及,电子政务的应用越来越广泛。
然而,电子政务的应用面临着安全保障方面的挑战。
安全问题是电子政务发展过程中必不可少的问题。
本文主要研究电子政务安全保障体系的构建和完善。
一、电子政务的安全问题及其挑战电子政务是指利用信息技术实现政务活动的方式,其实现方式包括领导间的信息交流、公共服务的提供、制定和决策等。
电子政务的出现,极大的提高了政务工作的效率和便捷性,但也同时带来了一系列尤其是安全方面的挑战。
首先,电子政务面临着网络安全和信息安全的问题。
随着网络的广泛应用,安全问题日益突出。
例如,黑客攻击、病毒侵袭、网络诈骗等问题都时有发生,而这些问题的发生也会对政务工作产生影响,比如泄露领导机密信息、瘫痪系统等,因此,安全问题是电子政务发展必须面对的问题。
其次,安全问题还有领导部门的管理问题。
例如,电子政务中领导部门违规使用信息和滥用权力的现象经常发生,这也会影响公众对电子政务的信任。
领导部门还需要加强对其计算机网络系统的管理和安全监管工作,尤其是对员工的安全意识和安全培训等。
再次,个人隐私信息的保护问题也值得注意。
例如,一些网站通过广告等方式收集公众的个人隐私信息,这对公众的权益产生影响。
二、电子政务安全保障体系的基础构成要素为了有效应对电子政务的安全问题,需要构建完备的电子政务安全保障体系。
电子政务安全保障体系包括以下几方面的要素:1. 安全法律法规体系:包括《中华人民共和国网络安全法》、《中华人民共和国电子签名法》等法律规定。
2. 安全技术保障体系:包括加密技术、防病毒技术、安全检测技术等,可以保障领导部门在做决策或提供服务时,信息能够得到保护不会泄露。
3. 安全管理体系:包括安全检测和漏洞管理、网络监管等,可以及时发现并解决安全漏洞问题。
4. 安全培训管理体系:加强领导部门员工安全意识和安全培训等,提高员工信息安全素质。
三、电子政务安全保障体系的完善方案电子政务安全保障体系的完善包括以下几个方面:1. 法规的制定和完善。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于等级保护的电子政务安全保障体系设计与现实苏阳浪海南神州希望网络有限公司海口市570125摘要:根据《“十二五”国家信息化规划》和《国家电子政务"十二五"规划》对电子政务安全保障的要求,依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护安全设计技术要求》等标准,结合等级保护的等级化核心思路,结合IATF“一个中心,三重防护”的安全保障体系,本文将研究设计一套覆盖省级电子政务网络建设与业务应用、重点突出、节约成本、持续运行的等级化安全保障体系,确保国家关键信息基础设施持续运行服务。
关键字:电子政务等级保护信息安全引言根据“ 十二五” 行政管理体制改革目标和发展电子政务发展方向,电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须全面实施信息安全等级保护。
本文将结合等级保护制度和电子政务,探讨研究基于等级保护的电子政务安全保障体系设计与实现。
根据电子政务系统的业务应用、资产价值、资产所面临的风险,将电子政务系统的安全域分为“5域15区”的防控框架,实现“分而治之”,实现电子政务系统“等级保护、按需防御”的安全保障体系。
第1章电子政务我们常说的电子政务就是政务信息化,包括政府办公、对外服务等,是保障上级命令畅通下达,保证社情、民情及社会热点信息、城市运行管理信息和经济运行信息的及时上通的信息系统。
实施电子政务的内涵就是运用信息技术打破原政府部门之间的界限,构建一个全面电子化的虚拟政府。
通过电子政务信息公开和网上服务,提高政府公信力,使政府受到公众的监督,促进政府部门的廉政建设,支撑服务型政府的建设;通过电子政务建设促进政府职能转变、改变行政管理方式、优化政府业务处理流程、提高行政效率,推动政府的勤政廉政建设。
根据“ 十二五” 行政管理体制改革目标和发展电子政务发展方向,政府的组织结构、业务流程和工作方式将会进一步优化,继续深化我国政府信息化应用水平,实现业务系统纵向贯通、横向联动,不断地提高信息资源开发、利用与共享能力,将全方位地向社会民众提供超越时间、空间与部门分隔的限制的优质、规范、透明、符合国际水准的管理和服务,支持大部制改革和城乡一体化战略。
1.1 电子政务总体框架依据《国家电子政务"十二五"规划》、《国家信息化领导小组关于推进国家电子政务网络建设的意见》(中发办[2006] 18号)、《关于进一步加强电子政务网络建设和应用工作的通知》(发改高技 [2012] 1986号)等文件,设计省级电子政务建设总体框架如图1-1:1、建设以先进通信技术为基础的电子政务网络平台,将电子政务网络延伸到乡镇一级,实现省、市县和乡镇三级政府网络的互连互通。
2、建设满足各党政部门之间、各市县之间、政府与公众之间信息资源公开、交换与共享的数据中心,实现全省各政府部门信息资源数据大集中;3、建设基础信息资源目录和交换体系,实现基础数据的整合与共享,为政务信息资源的深度开发与综合利用创造条件,提高政府的宏观决策与宏观监管的能力,为基础公开、业务协同、辅助决策、公共服务等提供信息支撑。
4、建设政府办公、公众服务、社会管理所需要的应用系统和门户网站,建设金字工程项目,实现业务系统纵向贯通、横向联动,增强信息公开水平,推进信息资源共享,提升政务协同水平,提高政府办事效率,降低行政管理成本,增强公共服务能力等几个方面,为经济社会发展服务。
5、建设有效的电子政务管理和安全保障体系;在保障信息安全的前提下,合理部署信息安全措施,最大限度地推动政务信息共享,避免以安全保密为由阻碍政务信息资源整合。
6、建立完善的法规和标准规范体系。
各级政府部门要统筹规划,加强顶层设计,及时出台相关法律法规和标准规范。
图1-1电子政务建设总体框架1.2 等级保护在电子政务中的应用电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照中央办公厅、国务院办公厅印发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中发办【2003】27号)、公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合印发的《信息安全等级保护管理办法》(公通字【2007】43号)文件要求,全面实施信息安全等级保护。
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。
第2章基于等级保护的电子政务安全保障体系2.1 等级保护核心思路等级保护的核心思路就是“等级化”。
等级保护通过风险评估、系统定级识别业务系统、信息资产、安全边界的安全风险,确定系统的安全等级,根据安全等级确定不同等级的安全目标,实现“分而治之”,实现信息系统“等级保护、按需防御”的思想。
等保的安全保障体系包括技术和管理两大部分,其中技术部分分为物理安全、网络安全、主机安全、应用安全和数据安全5个方面;管理部分分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理5个方面;整个安全保障体系各部分既有机结合,又相互支撑。
2.2 电子政务等级化安全保障体系电子政务系统既包括面向政府工作人员的政务办公应用,各行业各部门实现业务职能加强业务管理所需的业务应用,又包括面向公众的公共服务应用,同时实现政府各部门间的资源整合与信息共享,通过基于等级保护的电子政务安全保障体系建设,构建安全政务网络平台、安全政务办公平台、可信公共服务平台、安全资源整合与信息共享平台,保障电子政务信息的保密性、完整性、可用性、真实性和不可抵赖性。
根据信息系统的重要程度,对信息系统进行分级分域防控,对重要的信息系统、重点区域进行重点安全保障,根据系统面临的实际安全威胁,采用适当的安全保障措施,提高电子政务信息安全保障的整体效能。
基于等级保护的电子政务安全保障体系如图2-1:图2-1基于等级保护的电子政务安全保障体系等级化的电子政务安全保障体系是基于电子政务系统运行的安全保障,确保国家关键信息基础设施持续运行服务,建设以先进通信技术为基础的电子政务通信网络平台,依托电子政务统一身份认证与授权管理平台,通过分级和分域进行安全管理与保障,实现各个分域子网安全,实现基于安全域的安全互联、接入控制与边界安全防护,构建安全管理中心,提供安全管理、安全监控、安全审计、容灾备份、应急响应等安全服务手段,保证电子政务计算环境安全,保证电子政务应用安全,最终形成“安全开放、等级保护、按需防御”的等级化安全保障体系。
2.3 等级化安全防护措施2.3.1 电子政务分域保护框架电子政务系统安全域的划分主要根据电子政务系统的业务应用、资产价值、资产所面临的风险进行。
由于具备不同价值的信息系统所面临的安全威胁不同,因此实际划分的时候是根据信息系统承载不同的应用,实现不同的功能,不同的管理模式,对应用系统、基础网络进行分割管理,并在此基础上进行安全域的划分,明确不同的安全防护边界,进行合理归类,分域防控,统一治理。
划分安全域的目标是针对不同的安全域采用不同的安全防护策略,既保证信息的安全访问,又兼顾信息的开放性。
依据“基于等级保护的电子政务安全保障体系”,根据电子政务系统的业务应用、资产价值、资产所面临的风险,电子政务的安全域防控分为“5域15区”的防控框架。
如下图2-2:第一层域为基础设施、通信网络、区域边界、计算环境、安全管理为5域。
第二层区为涉密机房、非涉密机房那个、电子政务内网、电子政务外网、网络边界、终端边界、核心数据区、业务系统区、资源共享交换区、托管服务区、办公区、安全服务、安全管理、业务测试。
图2-2 电子政务系统分域防控架构图2.3.2 安全域划分2.3.2.1、基础设施域电子政务系统基础设施是指为电子政务业务应用提供持续的可靠安全的系统服务的一组工程设施,包括由物理机房、场地环境、设备设施等,主要分为2类:数据中心机房、办公环境;其中数据中心机房根据电子政务系统信息的分类分为泄密机房和非涉密机房;2.3.2.2、通信网络域电子政务网络由电子政务内网和电子政务外网组成。
2.3.2.3、区域边界域区域边界是指两个区域或两组区域之间的隔离功能集。
边界是一组功能集合,包括边界访问控制,边界入侵检测和审计等。
电子政务系统区域边界域分主要为网络边界区、终端边界区。
2.3.2.4、计算环境域依据等级保护技术体系,计算区域的信息资产包括:主机资产、平台资产、应用软件资产和政务数据资产等。
涉及区域内的物理层、网络层、系统层、应用软件层、数据层和业务流程层面。
包含的安全属性包括所属信息资产的物理安全、网络安全、边界安全、系统安全、应用系统安全、数据安全和业务流程安全等。
依据“基于等级保护的电子政务安全保障体系”,电子政务计算环境域分为核心数据区、业务系统区、资源共享交换区、WEB服务区、托管服务区、办公区。
(一)、核心数据区核心数据区按照电子政务应用系统信息和应用分类的安全需求,划分为敏感数据处理区和公开数据处理区;敏感数据处理区用来承载处理敏感信息的电子政务系统(可以是子系统)和数据。
敏感数据处理区是只被政务人员访问的信息,主要包括政府单位不宜公开的工作信息、企业的商业秘密、个人隐私等。
根据业务应用,敏感数据处理区存放两类信息分为内部公开信息和内部受控信息。
内部公开信息是允许所有政务人员访问的信息。
内部受控信息是允许授权的政务人员才能访问的信息。
公开数据处理区用来承载处理在互联网上可以向公众完全开放的电子政务系统(可以是子系统)和数据。
面向社会公众和企业提供信息公开、在线办事、便民服务、互动交流等服务。
(二)、业务系统区根据应用系统承载不同的应用,实现不同的功能,不同的管理模式,不同的应用系统划分为不同的保护等级,业务系统区分为二级系统区和三级系统区。
(三)、托管服务区依据“电子政务总体框架”,省级电子政务将建成满足各党政部门之间、各市县之间、政府与公众之间信息资源公开、交换与共享的数据中心,实现全省各政府部门信息资源数据大集中,实现统一机房管理,即各单位会将设备托管到省数据中心的中心机房。
实现各单位设备托管的托管服务区分为2类为安全托管区、非安全托管区。
电子政务的非安全托管区需要托管单位自带安全设备以及安全配置运维等管理工作。
2.3.2.5、安全管理域安全管理域分为安全服务区、安全管理区和业务测试区。
安全管理区面向电子政务系统安全管理人员,承载安全管理中心等,为全省电子政务系统提供统一的系统管理、策略管理、审计监控、备份容灾、应急响应和安全可视化管理等。
安全服务区作为安全管理中心的一部分,为所有的电子政务系统用户,提供共性安全支撑服务,如系统补丁升级、防恶意代码库升级、统一身份鉴别和权限验证等。