电子政务外网安全等级保护基本要求(试行)

附件 2：国家电子政务外网安全等级保护基本要求(试行)Baseline for classified protection of National E-Government Network国家电子政务外网管理中心二○一一年十二月目次前言 (1)引言 (2)适用范围 (3)2. 规范性引用文件 (3)3. 术语和定义 (3)4. 政务外网资产、威胁分析和脆弱性 (5)4.1. 资产分析 (5)4.2. 威胁分析 (6)4.3. 脆弱性分析 (7)5. 政务外网安全等级保护概述 (8)5.1. 政务外网安全保护等级 (8)5.2. 不同等级的安全保护能力 (8)6. 第二级基本要求 (9)6.1. IP 承载网 96.1.1. 广域网 (9)6.1.2. 城域网 (9)6.1.3. 用户局域网 (10)6.2. 业务区域网络 (10)6.2.1. 公用网络区 (10)6.2.2. 互联网接入区 (10)6.3. 管理区域网络 (11)6.3.1. 网络管理区 (11)6.3.2. 安全管理区 (11)7. 第三级基本要求 (11)7.1. IP 承载网 117.1.1. 广域网 (11)I7.1.2. 城域网 (12)7.1.3. 用户局域网 (13)7.2. 业务区域网络 (14)7.2.1. 公用网络区 (14)7.2.2. 互联网接入区 (14)7.2.3. 专用网络区 (15)7.3. 管理区域网络 (15)7.3.1. 网络管理区 (15)7.3.2. 安全管理区 (16)7.3.3. 电子认证区 (16)II为了贯彻国家信息安全相关法律法规，落实信息安全等级保护相关技术要求，根据国家标准GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求，为规范国家电子政务外网安全等级保护的工作，针对政务外网的具体情况，特制定本要求。

本要求由国家电子政务外网管理中心提出。

本要求由国家电子政务外网管理中心归口。

电子政务信息系统安全等级保护定级一、业务信息安全保护等级的确定1、业务信息描述电子政务系统业务信息包括：通知公告、行政办公、查询统计、图形浏览、个人助理、公共交流、综合服务等业务模块。

属于行政机关办理业务过程中形成的专有信息。

2、业务信息受到破坏时所侵害客体的确定，侵害的客体包括：1国家安全，2社会秩序和公共利益，3公民、法人和其他组织的合法权益等共三个客体。

3、该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益。

4、侵害的客观方面是指定级对象的具体侵害行为，侵害形势以及对客体的造成的侵害结果，表现为：5、一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害，形式可以包括丢失、破坏、损坏等，会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为：影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等。

6、可以对社会秩序、公共利益造成侵害。

7、信息受到破坏后对侵害客体的侵害程度及上述分析的结果的表现程度。

上述对公民、法人和其他组织侵害的程度表现为严重损害，及工作职能受到严重影响，业务能力显著下降，出现较严重的法律问题，较大范围的不良影响等。

对社会利益和公共秩序侵害的程度表现为一般损害。

8、确定业务信息安全等级，《定级指南》业务信息安全保护等级为第二级。

二、系统服务安全保护等级的确定1、系统服务描述该系统属于为国计民生和国家经济建设等提供服务的信息系统。

2、系统服务受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公民利益，但不损害国家安全。

客观方面表现的侵害结果为：1、可以对公民、法人和其他组织的合法权益造成侵害，影响正常工作的开展，导致业务能力下降，造成不良影响，引发法律纠纷等。

2、可以对社会公共利益造成侵害，造成社会不良影响，引起公共利益的损害等。

根据《定级指南》的要求，出现上述两个侵害客体时，优先考虑社会秩序和公共利益，另外一个不做考虑。

《电子政务信息安全等级保护实施指南》国信办[2005]25号关于印发《电子政务信息安全等级爱护实施指南（试行）》的通知各省、自治区、直辖市信息化领导小组办公室，中央和国家机关各部委信息化领导小组办公室：现将《电子政务信息安全等级爱护实施指南（试行）》印发你们，供你们在开展电子政务信息安全保证工作中参考。

国务院信息化工作办公室二〇〇五年九月十五日电子政务信息安全等级爱护实施指南（试行）国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范畴 (1)1.3 文档结构 (1)2 差不多原理 (2)2.1 差不多概念 (2)2.1.1 电子政务等级爱护的差不多含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级爱护的差不多安全要求 (4)2.2 差不多方法 (4)2.2.1 等级爱护的要素及其关系 (4)2.2.2 电子政务等级爱护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级爱护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.2 划分子系统的方法 (12)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域爱护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 爱护对象分类 (19)4.1.3 系统分域爱护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录A 术语与定义 (27)附录B 大型复杂电子政务系统等级爱护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级爱护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域爱护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表名目图2-1电子政务等级爱护的实现方法 (6)图2-2电子政务等级爱护的差不多流程 (7)图2-3等级爱护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的爱护对象及信息资产 (20)图4-3系统分域爱护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级爱护的运行改进过程 (26)表2-1电子政务系统五个安全等级的差不多内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级爱护实施指南（试行）1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保证工作的意见》（中办发[2003]27号，以下简称“27号文件”）明确要求我国信息安全保证工作实行等级爱护制度,提出“抓紧建立信息安全等级爱护制度，制定信息安全等级爱护的治理方法和技术指南”。

1.1.1.1.1.2电子政务信息安全等级保护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (11)3.1 定级过程 (11)3.2 系统识别与描述 (12)3.2.1 系统整体识别与描述 (12)3.2.2 划分子系统的方法 (13)3.2.3 子系统识别与描述 (13)3.3 等级确定 (14)3.3.1 电子政务安全属性描述 (14)3.3.2 定级原则 (14)3.3.3 定级方法 (17)3.3.4 复杂系统定级方法 (18)4 安全规划与设计 (19)4.1 系统分域保护框架建立 (20)4.1.1 安全域划分 (20)4.1.2 保护对象分类 (20)4.1.3 系统分域保护框架 (22)4.2 选择和调整安全措施 (23)4.3 安全规划与方案设计 (25)4.3.1 安全需求分析 (25)4.3.2 安全项目规划 (26)4.3.3 安全工作规划 (26)4.3.4 安全方案设计 (26)5 实施、等级评估与运行 (27)5.1 安全措施的实施 (27)5.2 等级评估与验收 (27)5.3 运行监控与改进 (28)附录A 术语与定义 (28)附录B 大型复杂电子政务系统等级保护实施过程示例 (29)B.1 大型复杂电子政务系统描述 (29)B.2 等级保护实施过程描述 (30)B.3 系统划分与定级 (31)B.3.1 系统识别和子系统划分 (31)B.3.2 系统安全等级确定 (31)B.3.3 系统分域保护框架 (32)B.4 安全规划与设计 (35)B.4.1 安全措施的选择与调整 (35)B.4.2 等级化风险评估 (35)B.4.3 等级化安全体系设计 (36)B.4.4 安全规划与方案设计 (38)B.5 安全措施的实施 (41)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (12)图4-1安全规划与设计过程 (19)图4-2电子政务的保护对象及信息资产 (21)图4-3系统分域保护框架示意图 (23)图4-4确定安全措施的过程 (24)图4-5系统安全需求 (26)图5-1安全措施的实施 (27)图5-2等级保护的运行改进过程 (28)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (16)表4-1安全措施的调整因素和调整方式 (25)电子政务信息安全等级保护实施指南（试行）1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号，以下简称“27号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

电子政务外网安全等级保护基本要求(试行)附件 2：国家电子政务外网安全等级保护基本要求(试行)Baseline for classified protection of National E-Government Network国家电子政务外网管理中心二○一一年十二月目次前言 .............................................................................................................................................................. (1)引言 (2)适用范围 (3)2. 规范性引用文件 (3)3. 术语和定义 (3)4. 政务外网资产、威胁分析和脆弱性 (5)4.1. 资产分析 (5)4.2. 威胁分析 (6)4.3. 脆弱性分析 (7)5. 政务外网安全等级保护概述 (8)5.1. 政务外网安全保护等级 (8)5.2. 不同等级的安全保护能力 (8)6. 第二级基本要求 (9)6.1. IP 承载网96.1.1. 广域网 (9)6.1.2. 城域网 (9)6.1.3. 用户局域网 (10)6.2. 业务区域网络 (10)6.2.1. 公用网络区 (10)6.2.2. 互联网接入区 (10)6.3. 管理区域网络 (11)6.3.1. 网络管理区 (11)6.3.2. 安全管理区 (11)7. 第三级基本要求 (11)7.1. IP 承载网117.1.1. 广域网 (11)I7.1.2. 城域网 (12)7.1.3. 用户局域网 (13)7.2. 业务区域网络 (14)7.2.1. 公用网络区 (14)7.2.2. 互联网接入区 (14)7.2.3. 专用网络区 (15)7.3. 管理区域网络 (15)7.3.1. 网络管理区 (15)7.3.2. 安全管理区 (16)7.3.3. 电子认证区 (16)II为了贯彻国家信息安全相关法律法规，落实信息安全等级保护相关技术要求，根据国家标准GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求，为规范国家电子政务外网安全等级保护的工作，针对政务外网的具体情况，特制定本要求。