电子政务等级保护

（智慧政务）电子政务信息安全等级保护实施指南电子政务信息安全等级保护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域保护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 保护对象分类 (19)4.1.3 系统分域保护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录B 大型复杂电子政务系统等级保护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级保护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域保护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的保护对象及信息资产 (20)图4-3系统分域保护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级保护的运行改进过程 (26)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级保护实施指南（试行）1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号，以下简称“27号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

电子政务等级保护解决方案一、等级保护技术性要求按照《信息系统安全等级保护基本要求》和其它相关等级保护技术文件提出来的指导意见，电子政务等级保护涉及技术和管理两方面的核心内容。

技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。

电子政务等级保护基本技术要求涉及物理安全、网络安全、主机系统安全、应用和数据安全等几个重要的方面。

二、电子政务等级保护试点核心内容从国信办在广东、天津、河南等地推进的试点反馈情况分析，电子政务等级保护的具体实施取得了很多可资借鉴和推广的经验。

综合电子政务网络的现状和推行等级保护力图实现的目标，在电子政务等级保护实践过程中，需要重点关注以下几个问题：如何体现“适度安全，促进应用，综合防范”的要求。

近年来，党和政府大力倡导政务公开、透明，致力建设公众参与的和谐社会。

在电子政务系统中，运行的涉密信息越来越少。

在等级保护实施过程中，需要有效区分不同密级信息，采取分类安全措施，这样才能确保安全建设成本可控、效果突出。

电子政务的等级保护是一个持续改进、调整的过程，在规划伊始，需要坚持高视野、高起点的原则，保持技术应用方面的灵活性。

所采用的等级保护技术方案必须充分考虑政务内网、专网和互联网等几个网络存在的历史性问题，安全技术的引入，需要保证几个网络的融合与有效区隔共存的现实要求。

在电子政务主机系统安全、应用和数据安全体系建设过程中，需要充分考虑安全系统的整体规划，确保安全系统的可持续升级和扩充能力。

如何在开放互联的环境下，保证电子政务网络的安全性问题，将成为下一阶段电子政务等级保护实施关注的重点问题。

在解决信息共享与互联互通问题的过程中，以密码为核心的信息安全技术将发挥至关重要的作用。

三、Chinasec的解决之道针对电子政务等级保护涉及到的上述突出问题，Chinasec可信网络安全平台基于可信网络技术，提出了一整套完整的解决方案。

电子政务等级保护整体解决方案随着我国电子政务、政府上网等信息化建设快速发展，政府及事业单位与各直属机构、外界相关单位信息交互的网络安全就变得更为必要当前。

对于政府信息化系统的安全问题，大多数考虑最多的还是病毒，认为病毒对政府各系统的影响最大，所以大部分的财力人力都投向了防病毒系统。

但事实证明，这些还远远不够，仍然会有很多心怀叵测的人或者组织对政府部门发起攻击，甚至数据窃密等，往往会对政府部门的核心数据造成不可弥补的损失。

按照《信息系统安全等级保护基本要求》和其它相关等级保护技术文件提出来的指导意见，电子政务等级保护涉及技术和管理两方面的核心内容。

技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。

电子政务等级保护基本技术要求涉及物理安全、网络安全、主机系统安全、应用和数据安全等几个重要的方面。

当前，几乎所有的大型政府和事业单位对于网络安全的重视程度普遍提高了，纷纷采购防火墙等设备希望堵住来自Internet的不安全因素。

然而，Intranet内部的攻击和入侵却依然猖狂。

事实证明，公司内部的不安全因素远比外部的危害更恐怖。

大多政府和事业单位重视提高其网络的边界安全，暂且不提它们在这方面的投资多少，但是大多数政府和事业单位网络的核心内网还是非常脆弱的。

实践证明，很多成功防范政府和事业单位网边界安全的技术对保护政府和事业单位内网却没有效用。

于是网络维护者开始大规模致力于增强内网的防卫能力。

根据电子政务等级保护的具体实施取得了很多可资借鉴和推广的经验，综合电子政务网络的现状和推行等级保护力图实现的目标，在电子政务等级保护实践过程中，需要重点关注以下几个问题：如何体现“适度安全，促进应用，综合防范”的要求。

近年来，党和政府大力倡导政务公开、透明，致力建设公众参与的和谐社会。

在电子政务系统中，运行的涉密信息越来越少。

在等级保护实施过程中，需要有效区分不同密级信息，采取分类安全措施，这样才能确保安全建设成本可控、效果突出。

加强安全管理组织实现电子政务等级保护随着《电子政务信息安全等级保护实施指南》和《信息安全等级保护管理办法》等一系列文件颁布以来，政府部门如何来做等级保护，确保电子政务安全已经变成非常热门的话题。

我们知道，电子政务等级保护工作分为管理层面和用户层面两部分。

管理层的主要工作是制定电子政务信息安全等级保护的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等；用户层的主要工作是依据管理层的要求对电子政务系统进行定级，确定系统应采取的安全保障措施，进行系统安全设计与建设，以及运行监控和改进。

具体落到实处对电子政务实现等级保护，政府部门一般都需要做以下的工作。

一、加强安全管理组织是实现等级保护的基础由于电子政务安全管理涉及到众多的国家安全职能部门，其安全管理职能的协调需要由国家信息化领导机构，如国家信息化领导小组、国家电子政务协调小组、国家信息安全协调小组等来进行。

各地区和部委建立相应的信息安全管理机构，以完成和强化信息安全的管理，形成自顶向下的信息安全管理组织体系，是电子政务安全实施的必要条件。

安全组织包括建立健全组织体系；明确负责安全管理的主要领导、主管部门、技术支持部门和宣传、保卫部门；制定系统安全保障方案，实施安全宣传教育、安全监管和安全服务。

只有建设一个国家到省市纵向和横向各部委、厅局架构的安全管理组织，才能真正实现全面的安全等级保护。

二、规划与制度是规范等级保护的根本保证电子政务信息系统存在着来自社会环境、技术环境和物理自然环境的安全风险，其安全威胁无时无处不在。

对于电子政务信息系统的安全问题，不能企图单凭利用一些集成了信息安全技术的安全产品来解决，而必须建立电子政务信息系统安全保障体系，考虑技术、管理和法律的因素，全方位地、综合解决系统安全问题。

按照《电子政务信息安全等级保护实施指南》等文件的工作要求，需制定《省市电子政务等级保护总体安全方案》，对电子政务信息安全等级保护进行明确的界定，根据电子政务系统在国家安全、社会稳定、经济秩序和公共利益等方面的重要程度，结合系统面临的风险、安全保护要求和成本等因素，将其划分成不同的安全保护等级，采取相应等级的安全保护措施，以保障信息和信息系统的安全。

电子政务信息系统安全等级保护定级一、业务信息安全保护等级的确定1、业务信息描述电子政务系统业务信息包括：通知公告、行政办公、查询统计、图形浏览、个人助理、公共交流、综合服务等业务模块。

属于行政机关办理业务过程中形成的专有信息。

2、业务信息受到破坏时所侵害客体的确定，侵害的客体包括：1国家安全，2社会秩序和公共利益，3公民、法人和其他组织的合法权益等共三个客体。

3、该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益。

4、侵害的客观方面是指定级对象的具体侵害行为，侵害形势以及对客体的造成的侵害结果，表现为：5、一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害，形式可以包括丢失、破坏、损坏等，会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为：影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等。

6、可以对社会秩序、公共利益造成侵害。

7、信息受到破坏后对侵害客体的侵害程度及上述分析- 2 -的结果的表现程度。

上述对公民、法人和其他组织侵害的程度表现为严重损害，及工作职能受到严重影响，业务能力显著下降，出现较严重的法律问题，较大范围的不良影响等。

对社会利益和公共秩序侵害的程度表现为一般损害。

8、确定业务信息安全等级，《定级指南》业务信息安全保护等级为第二级。

二、系统服务安全保护等级的确定1、系统服务描述该系统属于为国计民生和国家经济建设等提供服务的信息系统。

2、系统服务受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公民利益，但不损害国家安全。

客观方面表现的侵害结果为：1、可以对公民、法人和其他组织的合法权益造成侵害，影响正常工作的开展，导致业务能力下降，造成不良影响，引发法律纠纷等。

2、可以对社会公共利益造成侵害，造成社会不良影响，引起公共利益的损害等。

根据《定级指南》的要求，出现上述两个侵害客体时，优先考虑社会秩序和公共利益，另外一个不做考虑。

1.1.1.1.1.2电子政务信息安全等级保护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (11)3.1 定级过程 (11)3.2 系统识别与描述 (12)3.2.1 系统整体识别与描述 (12)3.2.2 划分子系统的方法 (13)3.2.3 子系统识别与描述 (13)3.3 等级确定 (14)3.3.1 电子政务安全属性描述 (14)3.3.2 定级原则 (14)3.3.3 定级方法 (17)3.3.4 复杂系统定级方法 (18)4 安全规划与设计 (19)4.1 系统分域保护框架建立 (20)4.1.1 安全域划分 (20)4.1.2 保护对象分类 (20)4.1.3 系统分域保护框架 (22)4.2 选择和调整安全措施 (23)4.3 安全规划与方案设计 (25)4.3.1 安全需求分析 (25)4.3.2 安全项目规划 (26)4.3.3 安全工作规划 (26)4.3.4 安全方案设计 (26)5 实施、等级评估与运行 (27)5.1 安全措施的实施 (27)5.2 等级评估与验收 (27)5.3 运行监控与改进 (28)附录A 术语与定义 (28)附录B 大型复杂电子政务系统等级保护实施过程示例 (29)B.1 大型复杂电子政务系统描述 (29)B.2 等级保护实施过程描述 (30)B.3 系统划分与定级 (31)B.3.1 系统识别和子系统划分 (31)B.3.2 系统安全等级确定 (31)B.3.3 系统分域保护框架 (32)B.4 安全规划与设计 (35)B.4.1 安全措施的选择与调整 (35)B.4.2 等级化风险评估 (35)B.4.3 等级化安全体系设计 (36)B.4.4 安全规划与方案设计 (38)B.5 安全措施的实施 (41)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (12)图4-1安全规划与设计过程 (19)图4-2电子政务的保护对象及信息资产 (21)图4-3系统分域保护框架示意图 (23)图4-4确定安全措施的过程 (24)图4-5系统安全需求 (26)图5-1安全措施的实施 (27)图5-2等级保护的运行改进过程 (28)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (16)表4-1安全措施的调整因素和调整方式 (25)电子政务信息安全等级保护实施指南（试行）1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号，以下简称“27号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

电子政务信息安全等级保护实施指南电子政务信息安全等级保护实施指南（试行）国务院信息化工作办公室2005年9 月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.2 划分子系统的方法 (12)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域保护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 保护对象分类 (19)4.1.3 系统分域保护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录A 术语与定义 (27)附录B 大型复杂电子政务系统等级保护实施过程示例 (27) B.1 大型复杂电子政务系统描述 (27)B.2 等级保护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域保护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表目录图2-1 电子政务等级保护的实现方法 (6)图2-2 电子政务等级保护的基本流程 (7)图2-3 等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1 定级工作流程 (11)图4-1 安全规划与设计过程 (18)图4-2 电子政务的保护对象及信息资产 (20)图4-3 系统分域保护框架示意图 (22)图4-4 确定安全措施的过程 (22)图4-5 系统安全需求 (24)图5-1 安全措施的实施 (25)图5-2 等级保护的运行改进过程 (26)表2-1 电子政务系统五个安全等级的基本内容 (3)表3-1 电子政务安全等级在安全属性方面的描述 (15)表4-1 安全措施的调整因素和调整方式 (23)电子政务信息安全等级保护实施指南（试行）1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号，以下简称“ 27 号文件”）明确要求我国信息安全保障工作实行等级保护制度, 提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

电子政务信息安然等级庇护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)编写目的 (1)适用范围 (1)文档布局 (1)2 底子道理 (2)底子概念 (2)电子政务等级庇护的底子含义 (2)电子政务安然等级的层级划分 (3)电子政务等级庇护的底子安然要求 (4)底子方法 (4)等级庇护的要素及其关系 (4)电子政务等级庇护实现方法 (5)实施过程 (6)角色及职责 (9)系统间互联互通的等级庇护要求 (10)3 定级 (10)定级过程 (11)系统识别与描述 (11)系统整体识别与描述 (11)划分子系统的方法 (12)子系统识别与描述 (13)等级确定 (13)电子政务安然属性描述 (13)定级原那么 (14)定级方法 (16)复杂系统定级方法 (17)4 安然规划与设计 (18)系统分域庇护框架成立 (18)安然域划分 (18)庇护对象分类 (19)系统分域庇护框架 (21)选择和调整安然办法 (22)安然规划与方案设计 (24)安然需求阐发 (24)安然工程规划 (24)安然工作规划 (25)安然方案设计 (25)5 实施、等级评估与运行 (25)安然办法的实施 (25)等级评估与验收 (25)运行监控与改进 (26)附录A 术语与定义 (27)附录B 大型复杂电子政务系统等级庇护实施过程例如 (27)大型复杂电子政务系统描述 (27)等级庇护实施过程描述 (28)系统划分与定级 (29)系统识别和子系统划分 (29)系统安然等级确定 (29)系统分域庇护框架 (30)安然规划与设计 (33)安然办法的选择与调整 (33)等级化风险评估 (34)等级化安然体系设计 (34)安然规划与方案设计 (36)安然办法的实施 (39)图表目录图2-1电子政务等级庇护的实现方法 (6)图2-2电子政务等级庇护的底子流程 (7)图2-3等级庇护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安然规划与设计过程 (18)图4-2电子政务的庇护对象及信息资产 (20)图4-3系统分域庇护框架示意图 (22)图4-4确定安然办法的过程 (22)图4-5系统安然需求 (24)图5-1安然办法的实施 (25)图5-2等级庇护的运行改进过程 (26)表2-1电子政务系统五个安然等级的底子内容 (3)表3-1电子政务安然等级在安然属性方面的描述 (15)表4-1安然办法的调整因素和调整方式 (23)电子政务信息安然等级庇护实施指南〔试行〕1 引言1.1 编写目的国家信息化带领小组关于加强信息安然保障工作的定见〔中办发[2003]27号，以下简称“27号文件〞〕明确要求我国信息安然保障工作实行等级庇护制度,提出“抓紧成立信息安然等级庇护制度，制定信息安然等级庇护的办理方法和技术指南〞。

电子政务信息安全等级保护实施指南（试行）随着信息化时代的到来，各级政府部门越来越依赖电子政务系统来处
理政务事务，这也使得电子政务信息的安全成为了一个重要话题。

为
了保障电子政务信息的安全，国家发布了《电子政务信息安全等级保
护实施指南（试行）》，该指南的实施对于保障电子政务信息的安全
具有十分重要的意义。

实施指南中，首先明确了电子政务系统安全等级分类及保护要求，分
为4个等级，从低到高分别为一般等级、重要等级、核心等级、关键
等级。

对于不同等级的电子政务系统，其安全保护措施也应该不同，
从而确保各个等级的信息安全可靠。

其次，实施指南对于电子政务系统安全保护的管理框架做了详细的阐
述。

管理框架主要由政策、机构、人员、技术四个方面构成。

政策方
面，需要出台相关政策、技术规范、管理制度等；机构方面，应当设
立专门的安全保护机构并负责实施相关工作；人员方面，需要进行人
员背景核查、负责人员安全保密培训等；技术方面，应当采用安全防
护技术，如防火墙、入侵检测系统等技术来保护信息安全。

最后，实施指南对于安全等级保护评估做了详细说明。

通过对于数据
流程图、信息系统网络拓扑图等内容的评估，可以确定电子政务系统
的安全等级，从而确定相应的安全措施。

同时，还需要对评估结果进
行反馈、更改，并定期进行复查，从而确保电子政务系统一直处于安
全可靠的状态。

总之，实施指南对于电子政务信息安全保护做了详细的阐述，为政府
各级部门提供了指导性的意见。

只有全面贯彻实施，才能够保障电子
政务信息的安全，为政务事项的处理提供有力支持。

关于电子政务信息安全等级保护相关文件的学习报告1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号，以下简称“27 号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

2004 年9 月发布的《关于信息安全等级保护工作的实施意见》（公通字[2004]66 号，以下简称“66 号文件”）进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。

27 号文件和66 号文件不但为各行业开展信息安全等级保护工作指明了方向，同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。

电子政务作为国家信息化战略的重要组成部分，其安全保障事关国家安全和社会稳定，必须按照27 号文件要求，全面实施信息安全等级保护。

因此，组织编制《电子政务信息安全等级保护实施指南》，规范电子政务信息安全等级保护工作的基本思路和实施方法，指导我国电子政务建设中的信息安全保障工作，对搞好电子政务信息安全保障具有十分重要的现实意义。

1.2 适用范围本指南提供了电子政务信息安全等级保护的基本概念、方法和过程，适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。

1.3 文档结构本指南包括五个章节和两个附录。

第1章为引言，介绍了本指南的编写目的、适用范围和文档结构；第2章为基本原理，描述了等级保护的概念、原理、实施过程、角色与职责，以及系统间互联互通的等级保护要求；第3章描述了电子政务等级保护的定级，包括定级过程、系统识别和描述、等级确定；第4章描述了电子政务等级保护的安全规划与设计，包括电子政务系统分域报护框架的建立，选择和调整安全措施，以及安全规划与方案设计；第5章描述了安全措施的实施、等级评估，以及等级保护的运行改进。

目录1概述 (3)1.1编制目的 (3)1.2编制背景 (3)1.3等级安全体系设计目标 (4)1.3.1总体目标 (4)1.3.2安全技术体系目标 (5)2安全需求分析 (5)2.1现状分析 (6)2.2安全风险威胁分析 (7)2.3安全问题总结 (8)2.3.1网络安全问题 (8)2.3.2安全保障和应用支撑 (8)2.4安全需求总结 (8)2.4.1入侵防御与边界防护 (9)2.4.2运维审计 (10)3等保安全体系总体设计 (10)3.1等级保护体系概述 (10)3.1.1标准体系的内容 (10)3.1.2标准体系的组成与相互关系 (11)3.1.3标准体系的主要特点 (12)3.2等级化安全体系设计方法 (13)3.2.1设计原则 (13)3.2.2总体设计参考标准与规范 (14)4安全保障技术体系详细设计 (15)4.1网络安全设计 (15)4.1.1网络基础设施安全 (15)4.1.2网络边界安全 (15)4.1.3统一安全认证与运维审计 (16)1概述1.1编制目的根据福建XX的现状和将来的应用需求，并结合公安部关于等级化保护的相关要求，而制定针对性的技术方案与管理方案，可为XX的等级化安全体系改造和加固提供参考和实施依据。

本文将主要阐述和针对福建省XX的改造和信息安全体系的规划设计。

项目的主要内容是福建省XX的总体信息安全体系安全改造，包括以下几个方面：●建设福建XX网络安全基础设施；●福建XX的边界安全保护；1.2编制背景电子政务即政务信息化，是指国家机关在政务活动中，全面应用现代信息技术进行办公和管理，为社会公众提供服务。

主要包括四方面内容：一是在因特网上发布政务信息，供公众了解和使用；二是通过因特网对政府与公众之间的事务进行互动处理；三是在政府机构内部实现办公自动化，提高政府机构办公效率；四是公务员从网络中获得机构内部的工作信息和机构外部的业务信息，为日常的政务工作和领导决策提供服务。

电子政务信息安全等级保护实施指南一、引言随着信息技术的快速发展，电子政务已经逐渐成为政府机构重要的工作手段和服务方式。

然而，电子政务也伴随着信息安全的风险和挑战。

为了保障电子政务信息的安全，政府机构需要制定和实施信息安全等级保护措施，确保电子政务系统的安全稳定运行。

本文将详细介绍电子政务信息安全等级保护实施指南。

二、电子政务信息安全等级划分针对电子政务系统，应根据其重要程度和风险程度，将其划分为多个安全等级。

划分安全等级可参考以下因素：1.信息价值：根据电子政务系统所涉及的敏感信息、业务流程、数据量等方面的综合评估，确定其信息价值。

2.风险评估：通过对潜在威胁和风险的评估，确定系统的风险程度。

3.法规要求：根据国家相关法规和标准，确定需要达到的安全等级。

在划分安全等级时，应确保安全等级与系统的敏感性和价值相适应，以确保资源和投入的有效利用。

1.安全政策和管理措施：建立并定期修订电子政务系统的安全政策，明确责任和权限，制定信息安全管理措施，保证系统的安全运行。

2.组织与人员安全：建立信息安全保护组织机构，明确各部门和人员的职责和权限。

配备专业的信息安全管理人员，通过培训和考核提升员工的信息安全意识和技能。

3.物理安全控制：采取物理安全措施，保护电子政务系统的物理环境安全。

包括门禁控制、机房布局、监控摄像等措施，防止物理攻击和非法入侵。

4.系统与网络安全管理：建立完善的系统和网络安全管理制度，包括身份认证、访问控制、日志审计等措施，保护系统和网络免受非法入侵和恶意活动的侵害。

5.数据安全管理：制定数据安全保护政策和措施，包括数据备份、加密和恢复等，确保敏感信息的机密性和完整性。

6.应用系统安全：建立应用系统安全管理制度，包括软件开发和安全测试、安全访问控制、漏洞修复等措施，保护应用系统的安全。

7.通信与传输安全：采取安全的通信和传输措施，保护数据在传输过程中的安全。

使用加密技术、防火墙等，防止数据泄露和篡改。

《电子政务等级保护安全保障体系研究》摘要。

随着5g网络通信技术的发展，万物互联逐步形成，网络攻击行为越来越频繁和多样化，构建符合等级保护2.0技术要求、主动防御网络攻击行为的电子政务安全保障体系，尤为重要。

关键词：电子政务；等级保护；安全保障体系；区域边界安全随着5g网络通信技术的发展，万物互联正逐步形成，每个被接入网络的点都有可能被黑客利用，网络攻击的行为越来越频繁，攻击方式越来越多样化;政府大力推进“一网办”，电子政务网作为“一网办”的承载体，安全保障体系尤为重要。

本文以市级电子政务网为例，结合实际工作，阐述如何构建具有主动防御功能的安全保障体系。

1电子政务主动防御体系2电子政务安全等级确定按照《ga/t1389-xx信息安全技术网络安全等级保护定级指南》，从业务信息安全和系统服务安全两个方面对电子政务网进行定级。

电子政务网承载了政府办公业务以及公众服务业务，业务安全级别较高;一旦业务数据遭受攻击，将影响政府办公、公众办理业务，更严重者，可能导致政府决策信息泄露或数篡改，影响社会秩序和公共利益，不影响国家安全。

在系统安全服务层面，电子政务保障了各业务系统正常被访问，数据正常传输，安全级别较高;一旦电子政务遭受攻击，导致网络中断，影响社会秩序和公共利益，不影响国家安全。

综合业务信息安全和系统服务安全两个方面的认识，根据定级指南，电子政务定级为三级。

3电子政务等级保护安全总体设计针对电子政务按照不同的区域以及行业进行分域保护，充分考虑到电子政务发展中的不同类别、阶段以及等级等，将其划分为相应的安全区域进行管理[2]。

电子政务等级保护安全总体设计，遵循等级保护2.0技术标准，从技术和管理两个方面构建，技术方面包括安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面;管理方面包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面。

由此构建电子政务的安全保障机制[3]。