安全資訊

1 引言

1.1 編寫(xiě)目的

《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27 號，以下簡(jiǎn)稱(chēng)“27 號文件”）明確要求我國信息安全保障工作實(shí)行等級保護制度,提出“抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術(shù)指南”。2004
年9 月發(fā)布的《關(guān)于信息安全等級保護工作的實(shí)施意見(jiàn)》（公通字[2004]66
號，以下簡(jiǎn)稱(chēng)“66 號文件”）進(jìn)一步強調了開(kāi)展信息安全等級保護工作的重要意義，規定了實(shí)施信息安全等級保護制度的原則、內容、職責分工、基本要求和實(shí)施計劃，部署了實(shí)施信息安全等級保護工作的操作辦法。

27 號文件和66 號文件不但為各行業(yè)開(kāi)展信息安全等級保護工作指明了方向，同時(shí)也為各行業(yè)如何根據自身特點(diǎn)做好信息安全等級保護工作提出了更高的要求。電子政務(wù)作為國家信息化戰略的重要組成部分，其安全保障事關(guān)國家安全和社會(huì )穩定，必須按照27 號文件要求，全面實(shí)施信息安全等級保護。因此，組織編制《電子政務(wù)信息安全等級保護實(shí)施指南》，規范電子政務(wù)信息安全等級保護工作的基本思路和實(shí)施方法，指導我國電子政務(wù)建設中的信息安全保障工作，對搞好電子政務(wù)信息安全保障具有十分重要的現實(shí)意義。

1.2 適用范圍

本指南提供了電子政務(wù)信息安全等級保護的基本概念、方法和過(guò)程，適用于指導各級黨政機關(guān)新建電子政務(wù)系統和已建電子政務(wù)系統的等級保護工作。

1.3 文檔結構

本指南包括五個(gè)章節和兩個(gè)附錄。

第1章為引言，介紹了本指南的編寫(xiě)目的、適用范圍和文檔結構；第2章為基本原理，描述了等級保護的概念、原理、實(shí)施過(guò)程、角色與職責，以及系統間互聯(lián)互通的等級保護要求；第3章描述了電子政務(wù)等級保護的定級，包括定級過(guò)程、系統識別和描述、等級確定；第4章描述了電子政務(wù)等級保護的安全規劃與設計，包括電子政務(wù)系統分域報護框架的建立，選擇和調整安全措施，以及安全規劃與方案設計；第5章描述了安全措施的實(shí)施、等級評估，以及等級保護的運行改進(jìn)。

2 基本原理

2.1 基本概念

2.1.1 電子政務(wù)等級保護的基本含義

信息安全等級保護是國家在國民經(jīng)濟和社會(huì )信息化的發(fā)展過(guò)程中，提高信息安全保障能力和水平，維護國家安全、社會(huì )穩定和公共利益，保障和促進(jìn)信息化健康發(fā)展的基本策略。27 號文件對信息安全等級保護做出了系統的描述——“信息化發(fā)展的不同階段和不同的信息系統有著(zhù)不同的安全需求，必須從實(shí)際出發(fā)，綜合平衡安全成本和風(fēng)險，優(yōu)化信息安全資源的配置，確保重點(diǎn)。要重點(diǎn)保護基礎信息網(wǎng)絡(luò )和關(guān)系國家安全、經(jīng)濟命脈、社會(huì )穩定等方面的重要信息系統?！?

電子政務(wù)信息安全等級保護是根據電子政務(wù)系統在國家安全、經(jīng)濟安全、社會(huì )穩定和保護公共利益等方面的重要程度，結合系統面臨的風(fēng)險、系統特定安全保護要求和成本開(kāi)銷(xiāo)等因素，將其劃分成不同的安全保護等級，采取相應的安全保護措施，以保障信息和信息系統的安全。電子政務(wù)等級保護工作分為管理層面和用戶(hù)層面兩個(gè)方面的工作。管理層的主要工作是制定電子政務(wù)信息安全等級保護訴訟的管理辦法、定級指南、基本安全要求、等級評估規范以及對電子政務(wù)等級保護工作的管理等。用戶(hù)層的主要工作是依據管理層的要求對電子政務(wù)系統進(jìn)行定級，確定系統應采取的安全保障措施，進(jìn)行系統安全設計與建設，以及運行監控與改進(jìn)。本指南的內容主要針對用戶(hù)層面的工作。

電子政務(wù)信息安全等級保護遵三循以下原則：

a） 重點(diǎn)保護原則

電子政務(wù)等級保護要突出重點(diǎn)。對關(guān)系國家安全、經(jīng)濟命脈、社會(huì )穩定等方面的重要電子政務(wù)系統，應集中資源優(yōu)先建設。

b） “誰(shuí)主管誰(shuí)負責、誰(shuí)運營(yíng)誰(shuí)負責”原則

電子政務(wù)等級保護要貫徹“誰(shuí)主管誰(shuí)負責、誰(shuí)運營(yíng)誰(shuí)負責”的原則，由各主管部門(mén)和運營(yíng)單位依照國家相關(guān)法規和標準，自主確定電子政務(wù)系統的安全等級并按照相關(guān)要求組織實(shí)施安全保障。

c） 分區域保護原則

電子政務(wù)等級保護要根據各地區、各行業(yè)電子政務(wù)系統的重要程度、業(yè)務(wù)特點(diǎn)和不同發(fā)展水平，分類(lèi)、分級、分階段進(jìn)行實(shí)施，通過(guò)劃分不同的安全區域，實(shí)現不同強度的安全保護。

d） 同步建設原則

電子政務(wù)系統在新建、改建、擴建時(shí)應當同步建設信息安全設施，保證信息安全與信息化建設相適應。

e) 動(dòng)態(tài)調整原則

由于信息與信息系統的應用類(lèi)型、覆蓋范圍、外部環(huán)境等約束條件處于不斷變化與發(fā)展之中，因此信息與信息系統的安全保護等級需要根據變化情況，適時(shí)重新確定，并相應調整對應的保護措施。

2.1.2 電子政務(wù)安全等級的層級劃分

66 號文件中規定信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、專(zhuān)控保護級五個(gè)安全等級。按66 號文件的規定，對電子政務(wù)的五個(gè)安全等級定義如所示。

2.1.3 電子政務(wù)等級保護的基本安全要求

電子政務(wù)等級保護基本安全要求是對各等級電子政務(wù)系統的一般性要求，分為五個(gè)等級，從第一級至第五級，對應于五個(gè)等級的電子政務(wù)系統。對特定電子政務(wù)系統的安全保護，以其相應等級的基本安全要求為基礎，通過(guò)對安全措施的調整和定制，得到適用于該電子政務(wù)系統的安全保護措施。電子政務(wù)等級保護基本安全要求分為安全策略、安全組織、安全技術(shù)和安全運行四個(gè)方面。

a） 安全策略

安全策略是為了指導和規范電子政務(wù)信息安全工作而制定的安全方針、管理制度、規范標準、操作流程和記錄模板等文檔的總和。安全策略具有層次化的結構，包括整體安全策略、部門(mén)級安全策略、系統級安全策略等。

b） 安全組織

安全組織是為了保障電子政務(wù)信息安全而建立的組織體系，包括各級安全組織機構、崗位安全職責、人員安全管理、第三方安全管理、安全合作與溝通等方面。

c） 安全技術(shù)

安全技術(shù)是指保障電子政務(wù)信息安全的安全技術(shù)功能要求和安全技術(shù)保障要求，包括網(wǎng)絡(luò )與通訊安全、主機與平臺安全、數據庫安全、應用安全、數據安全、物理環(huán)境安全等方面。

d） 安全運行

安全運行市委了保障電子政務(wù)系統運行過(guò)程中的安全而制定的安全運維要求，包括風(fēng)險管理、配置和變更管理、信息系統工程安全管理、日常運行管理、技術(shù)資料安全、應急響應等方面。

具體的電子政務(wù)等級保護基本安全要求參見(jiàn)相關(guān)的國家標準。

2.2 基本方法

2.2.1 等級保護的要素及其關(guān)系

電子政務(wù)等級保護的基本原理是：依據電子政務(wù)系統的使命、目標和重要程度，將系統劃分為不同的安全等級，并綜合平衡系統特定安全保護要求、系統面臨安全風(fēng)險情況和實(shí)施

安全保護措施的成本，進(jìn)行安全措施的調整和定制，形成與系統安全等級相適應的安全保障體系。

電子政務(wù)等級保護包含以下七個(gè)要素：

a） 電子政務(wù)系統

電子政務(wù)系統是信息安全等級保護的對象，包括系統中的信息、系統所提供的服務(wù)，以及執行信息處理、存儲、傳輸的軟硬件設備等。

b） 目標

目標是指電子政務(wù)系統的業(yè)務(wù)目標和安全目標，電子政務(wù)等級保護要保障業(yè)務(wù)目標

和安全目標的實(shí)現。

c） 電子政務(wù)信息安全等級

電子政務(wù)信息安全等級劃分為五級，分別體現在電子政務(wù)系統的等級和安全保護的等級兩個(gè)方面。

d） 安全保護要求

不同的電子政務(wù)系統具有不同類(lèi)型和不同強度的安全保護要求。

e） 安全風(fēng)險

安全風(fēng)險是指電子政務(wù)系統由于本身存在安全弱點(diǎn)，通過(guò)人為或自然的威脅可能導致安全事件的發(fā)生。安全風(fēng)險由安全事件發(fā)生的可能性及其造成的影響這兩種指標來(lái)綜合衡量。

f） 安全保護措施

安全保護措施是用來(lái)對抗安全風(fēng)險、滿(mǎn)足安全保護要求、保護電子政務(wù)系統和保障電子政務(wù)目標實(shí)現的措施，包括安全管理措施和安全技術(shù)措施。

g） 安全保護措施的成本

不同類(lèi)型和強度的安全保護措施的實(shí)現需要不同的成本，安全保護措施的成本應包括設備購買(mǎi)成本、實(shí)施成本、維護成本和人員成本等。

電子政務(wù)等級保護各要素之間的關(guān)系是：

a） 電子政務(wù)系統的安全等級由系統的使命、目標和系統重要程度決定。

b） 安全措施需要滿(mǎn)足系統安全保護要求，對抗系統所面臨的風(fēng)險。

1) 不同電子政務(wù)系統的使命和業(yè)務(wù)目標的差異性，業(yè)務(wù)和系統本身的特性（所屬信息資產(chǎn)特性、實(shí)際運行情況和所處環(huán)境等）的差異性，決定了系統安全保護要求特性（安全保護要求的類(lèi)型和強度）的差異性。

2) 系統保護要求類(lèi)型和強度的差異性，安全風(fēng)險情況的差異性，決定了選擇不同類(lèi)型和強度的安全措施。

c） 電子政務(wù)安全措施的確定需要綜合平衡系統保護要求的滿(mǎn)足程度、系統面臨風(fēng)險的控制和降低程度、系統殘余風(fēng)險的接受程度、以及實(shí)施安全措施的成本，在適度成本下實(shí)現適度安全。

2.2.2 電子政務(wù)等級保護實(shí)現方法

27 號文件指出，實(shí)行信息安全等級保護時(shí)“要重視信息安全風(fēng)險評估工作，對網(wǎng)絡(luò )與信息系統安全的潛在威脅、薄弱環(huán)節、防護措施等進(jìn)行分析評估，綜合考慮網(wǎng)絡(luò )與信息系統的重要性、涉密程度和面臨的信息安全風(fēng)險等因素，進(jìn)行相應等級的安全建設和管理”。

電子政務(wù)系統實(shí)施等級保護的方法是：

a） 依據電子政務(wù)安全等級的定級規則，確定電子政務(wù)系統的安全等級；

b） 按照電子政務(wù)等級保護要求，確定與系統安全等級相對應的基本安全要求；

c） 依據系統基本安全要求，并綜合平衡系統安全保護要求、系統所面臨風(fēng)險和實(shí)施安全保護措施的成本，進(jìn)行安全保護措施的定制，確定適用于特定電子政務(wù)系統的安全保護措施，并依照本指南相關(guān)要求完成規劃、設計、實(shí)施和驗收。

2.3 實(shí)施過(guò)程

電子政務(wù)等級保護的實(shí)施過(guò)程包括三個(gè)階段，分別為：

a） 定級階段

b） 規劃與設計階段

c） 實(shí)施、等級評估與改進(jìn)階段

第一階段：定級

定級階段主要包括兩個(gè)步驟：

a） 系統識別與描述

清晰地了解政務(wù)機構所擁有的電子政務(wù)系統，根據需要將復雜電子政務(wù)系統分解為電子政務(wù)子系統，描述系統和子系統的組成及邊界。

b） 等級確定

完成電子政務(wù)系統總體定級和子系統的定級。

第二階段：規劃與設計

規劃與設計階段主要包括三個(gè)步驟，分別為：

系統分域保護框架建立

通過(guò)對電子政務(wù)系統進(jìn)行安全域劃分、保護對象分類(lèi)，建立電子政務(wù)系統的分域保護框架。

b） 選擇和調整安全措施

根據電子政務(wù)系統和子系統的安全等級，選擇對應等級的基本安全要求，并根據風(fēng)險評估的結果，綜合平衡安全風(fēng)險和成本，以及各系統特定安全要求，選擇和調整安全措施，確定出電子政務(wù)系統、子系統和各類(lèi)保護對象的安全措施。

c） 安全規劃和方案設計

根據所確定的安全措施，制定安全措施的實(shí)施規劃，并制定安全技術(shù)解決方案和安全管理解決方案。

第三階段：實(shí)施、等級評估與改進(jìn)

實(shí)施、等級評估與改進(jìn)階段主要包括三個(gè)步驟，分別為：

a） 安全措施的實(shí)施

依據安全解決方案建設和實(shí)施等級保護的安全技術(shù)措施和安全管理措施。

b） 評估與驗收

按照等級保護的要求，選擇相應的方式來(lái)評估系統是否滿(mǎn)足相應的等級保護要求，并對等級保護建設的最終結果進(jìn)行驗收。

c） 運行監控與改進(jìn)

運行監控是在實(shí)施等級保護的各種安全措施之后的運行期間，監控系統的變化和系統安全風(fēng)險的變化，評估系統的安全狀況。如果經(jīng)評估發(fā)現系統及其風(fēng)險環(huán)境已發(fā)生重大變化，新的安全保護要求與原有的安全等級已不相適應，則應進(jìn)行系統重新定級。如果系統只發(fā)生部分變化，例如發(fā)現新的系統漏洞，這些改變不涉及系統的信息資產(chǎn)和威脅狀況的根本改變，則只需要調整和改進(jìn)相應的安全措施。

對于大型復雜電子政務(wù)系統，等級保護過(guò)程可以根據實(shí)際情況進(jìn)一步加強和細化，以滿(mǎn)足其復雜性的要求。附錄B 給出了大型復雜電子政務(wù)系統等級保護實(shí)施過(guò)程的示例。

新建電子政務(wù)系統的等級保護工作與已經(jīng)建成的電子政務(wù)系統之間，在等級保護工作的切入點(diǎn)方面是不相同的，它們各自的切入點(diǎn)及其對應關(guān)系如圖2-3 所示。

新建電子政務(wù)系統在啟動(dòng)時(shí)，應當按照等級保護的要求來(lái)建設。

a） 系統規劃階段，應分析并確定所建電子政務(wù)系統的安全等級，并在項目建議書(shū)中對系統的安全等級進(jìn)行論證。

b） 系統設計階段，要根據所確定的系統安全等級，設計系統的安全保護措施，并在可行性分析中論證安全保護措施；

c） 系統實(shí)施階段，要與信息系統建設同步進(jìn)行信息安全等級保護體系的實(shí)施，之后進(jìn)行等級評估和驗收。

d） 系統運行維護階段，要按照所建立的等級保護體系的要求，進(jìn)行安全維護與安全管理。

e） 系統廢棄階段，要按照所建立的等級保護體系的要求，對廢棄過(guò)程進(jìn)行有效的安全管理。

對于已建的電子政務(wù)系統，由于在系統規劃、設計和實(shí)施階段沒(méi)有考慮等級保護的要求，因此等級保護工作的切入點(diǎn)是系統運行維護階段。

在確定要實(shí)施等級保護工作之后，應對系統進(jìn)行安全現狀分析，深入認識和理解機構所擁有的電子政務(wù)系統，對每個(gè)系統進(jìn)行定級，之后進(jìn)行等級保護的安全規劃和方案設計，最后進(jìn)行實(shí)施、評估和驗收。

2.4 角色及職責

電子政務(wù)等級保護工作主要包括決策者、技術(shù)負責人、實(shí)施人員三類(lèi)角色。

a） 決策者

決策者是政務(wù)機構中對本單位實(shí)施電子政務(wù)信息安全等級保護工作的最終決策人。決策者在等級保護中的職責如下：

1) 組織、協(xié)調和推動(dòng)本單位電子政務(wù)等級保護工作；

2) 負責最終確定本單位電子政務(wù)系統的安全等級；

3) 領(lǐng)導和監督本單位電子政務(wù)等級保護體系的建設工作；

4) 與本單位電子政務(wù)等級保護建設的上級主管部門(mén)進(jìn)行溝通和協(xié)調，組織、配合等級評審與驗收；

5) 監督本單位電子政務(wù)等級保護體系的運行與改進(jìn)。

b） 技術(shù)負責人

技術(shù)負責人是對本單位實(shí)施電子政務(wù)信息安全等級保護工作的決策支持者、技術(shù)決策人和實(shí)施管理者。技術(shù)負責人在等級保護中的職責如下：

1) 協(xié)助決策者組織、協(xié)調和推動(dòng)本單位電子政務(wù)等級保護的工作；

2) 向決策者提供本單位電子政務(wù)系統安全定級的建議及依據；

3) 組織實(shí)施本單位電子政務(wù)等級保護體系的建設；

4) 組織和總結本單位等級保護的實(shí)施情況，配合上級主管部門(mén)進(jìn)行等級評估和驗收；

5) 組織實(shí)施本單位電子政務(wù)等級保護體系的運行與改進(jìn)。

c） 實(shí)施人員

實(shí)施人員是政務(wù)機構中實(shí)施信息安全等級保護的具體工作人員。實(shí)施人員在等級保護中的職責如下：

1) 分析本單位電子政務(wù)系統，收集定級理由和證據；

2) 在技術(shù)負責人的領(lǐng)導下，具體組織和參與完成等級保護各階段的工作。

2.5 系統間互聯(lián)互通的等級保護要求

不同安全等級的電子政務(wù)系統之間可以根據業(yè)務(wù)需要進(jìn)行互聯(lián)互通。不同安全等級的系統互聯(lián)互通，要根據系統業(yè)務(wù)要求和安全保護要求，制定相應的互聯(lián)互通安全策略，包括訪(fǎng)問(wèn)控制策略和數據交換策略等。要采取相應的邊界保護、訪(fǎng)問(wèn)控制等安全措施，防止高等級系統的安全受低等級系統的影響。電子政務(wù)系統間的互聯(lián)互通遵循以下要求：

a） 同等級電子政務(wù)系統之間的互聯(lián)互通

由系統的擁有單位參照該等級對訪(fǎng)問(wèn)控制的要求，協(xié)商確定邊界防護措施和數據交換安全措施，保障電子政務(wù)系統間互聯(lián)互通的安全。

b） 不同等級電子政務(wù)系統間的互聯(lián)互通

各系統在按照自身安全等級進(jìn)行相應保護的基礎上，協(xié)商對相互連接的保護。高安全等級的系統要充分考慮引入低安全等級系統后帶來(lái)的風(fēng)險，采取有效措施進(jìn)行控制。

c） 涉密系統與其它系統的互聯(lián)互通，按照國家保密部門(mén)的有關(guān)規定執行。

d） 電子政務(wù)系統互聯(lián)互通中的密碼配置按照國家密碼管理部門(mén)的要求執行。

3 定級

電子政務(wù)系統定級可以采用以下兩種方式進(jìn)行：

a） 對系統總體定級

系統總體定級是在識別出政務(wù)機構所擁有的電子政務(wù)系統后，針對系統整體確定其安全等級。

b） 將系統分解為子系統后分別定級

政務(wù)機構所擁有的電子政務(wù)系統如果規模龐大、系統復雜，則可以將系統分解為多層次的多個(gè)子系統后，對所分解的每個(gè)子系統分別確定其安全等級。

3.1 定級過(guò)程

定級階段的主要目標是確定電子政務(wù)系統及其子系統的安全等級。定級結果是進(jìn)行安全規劃與設計的基礎，定級結果應按照相關(guān)管理規定提交相關(guān)管理部門(mén)備案。

定級階段工作主要包含兩個(gè)過(guò)程：

a） 系統識別與描述

應準確識別并描述出整體的電子政務(wù)系統，以及系統可以分解的子系統。系統識別要確定系統的范圍和邊界，識別系統包含的信息和系統提供的服務(wù)，作為后續定級工作的輸入。

b） 等級確定

進(jìn)行系統整體定級和子系統分別定級，形成系統的定級列表，作為后續階段工作的基礎。定級工作流程如所示。

3.2 系統識別與描述

3.2.1 系統整體識別與描述

實(shí)施等級保護工作首先要求政務(wù)機構對其擁有的或擬建的電子政務(wù)系統進(jìn)行深入的識別和描述，識別和描述的內容至少包括如下信息：

a） 系統基本信息

系統名稱(chēng)，系統的簡(jiǎn)要描述，所在地點(diǎn)等。

b） 系統相關(guān)單位

負責定級的責任單位，系統所屬單位，系統運營(yíng)單位，主管部門(mén)，安全運營(yíng)單位，安全主管部門(mén)等。

c） 系統范圍和邊界

描述系統所涵蓋的信息資產(chǎn)范圍、使用者和管理者范圍、行政區域范圍和網(wǎng)絡(luò )區域范圍等，并清晰描述出其邊界。

d） 系統提供的主要功能或服務(wù)

從整體層面描述系統所提供的主要功能或服務(wù)，即對公眾、企業(yè)、相關(guān)政府機關(guān)、內部用戶(hù)等提供的主要服務(wù)。

e） 系統所包含的主要信息

描述系統所輸入、處理、存儲、輸出的主要信息和數據。

3.2.2 劃分子系統的方法

3.2.2.1 劃分原則

對政務(wù)機構所擁有的大型復雜電子政務(wù)系統，可以將其劃分為若干子系統進(jìn)行定級，子系統劃分基于以下原則：

a） 按照系統服務(wù)對象劃分

電子政務(wù)系統的服務(wù)對象即目標用戶(hù)，包括社會(huì )公眾、企事業(yè)單位、機構內部人員、其它政務(wù)機構等。依據其所服務(wù)的目標用戶(hù)可分為以下幾類(lèi)系統：

1) 政務(wù)機構對公民的電子政務(wù)系統

2) 政務(wù)機構對企業(yè)的電子政務(wù)系統

3) 政務(wù)機構對政務(wù)機構的電子政務(wù)系統

4) 政務(wù)機構對公務(wù)員的電子政務(wù)系統

b） 按系統功能類(lèi)型劃分

根據系統的功能類(lèi)型或提供的服務(wù)類(lèi)型劃分子系統。劃分時(shí)除了考慮到對外部用戶(hù)（社會(huì )公眾、企事業(yè)單位、其它政務(wù)機構）提供服務(wù)的對外業(yè)務(wù)系統，對內部用戶(hù)（內部公務(wù)員、領(lǐng)導）提供服務(wù)的內部辦公和管理系統外，還應考慮到對前兩類(lèi)系統提供承載、支撐和管理作用的支持系統，如網(wǎng)絡(luò )承載平臺、網(wǎng)管系統、安全系統等。

c） 按照網(wǎng)絡(luò )區域劃分

根據電子政務(wù)系統建設現狀，系統可能運行在不同的電子政務(wù)網(wǎng)絡(luò )范圍內，不同的電子政務(wù)網(wǎng)絡(luò )在涉密程度、隔離模式和管理模式上差異較大，所以可以按照電子政務(wù)系統運行的網(wǎng)絡(luò )區域進(jìn)行子系統劃分。

d） 按行政級別劃分

按系統所處的行政級別，如中央、省部級、地市級、縣區級等進(jìn)行子系統劃分。

3.2.2.2 子系統劃分方法

在子系統劃分時(shí)，應根據系統實(shí)際情況和管理模式，綜合考慮子系統劃分的四個(gè)原則，確定適用于各電子政務(wù)系統的子系統劃分標準。劃分時(shí)可以選擇一個(gè)原則，也可以同時(shí)選用

多個(gè)原則作為劃分標準，如以某一個(gè)或兩個(gè)要素為主要劃分標準，其余為輔助劃分標準。對于規模龐大的系統，為了便于描述，一般應按照多個(gè)層次逐級進(jìn)行劃分。具體的劃分方法可參考《附錄B：大型復雜電子政務(wù)系統等級保護實(shí)施過(guò)程示例》。

3.2.3 子系統識別與描述

子系統的識別與描述可參照3.2.1 系統整體識別與描述。

3.3 等級確定

3.3.1 電子政務(wù)安全屬性描述

電子政務(wù)安全等級主要依據系統的信息安全屬性被破壞后所造成的影響來(lái)確定。電子政務(wù)信息安全屬性包括三個(gè)方面：保密性、完整性、可用性。

a） 保密性

確保電子政務(wù)系統中的信息只能被授權的人員訪(fǎng)問(wèn)。保密性破壞是指電子政務(wù)系統中各類(lèi)信息的未授權泄漏。電子政務(wù)系統中的信息依據其保密程度分為以下類(lèi)別：

1) 涉及國家秘密的信息，包括絕密級、機密級和秘密級信息；

2) 敏感信息，指不涉及國家秘密，但在政務(wù)工作過(guò)程中需要一定范圍保密，不對

社會(huì )公眾開(kāi)放的信息；

3) 公開(kāi)信息，指對社會(huì )公眾開(kāi)放的信息。

b） 完整性

確保電子政務(wù)系統中信息及信息處理方法的準確性和完備性。完整性破壞是指對電

子政務(wù)系統中信息和系統的未授權修改和破壞。電子政務(wù)完整性目標包括兩個(gè)方面：

1) 電子政務(wù)系統中存儲、傳輸和處理的信息完整性保護；

2) 電子政務(wù)系統本身的完整性保護。系統完整性保護涉及從物理環(huán)境、基礎網(wǎng)絡(luò )、操作系統、數據庫系統、電子政務(wù)應用系統等信息系統的每一個(gè)組成部分的完整性保護。

c） 可用性

確保已授權用戶(hù)在需要時(shí)可以訪(fǎng)問(wèn)電子政務(wù)系統中的信息和相關(guān)資產(chǎn)?？捎眯云茐氖侵鸽娮诱?wù)系統所提供服務(wù)的中斷，授權人員無(wú)法訪(fǎng)問(wèn)電子政務(wù)系統和信息?？捎眯阅繕耸潜ＷC授權用戶(hù)能及時(shí)可靠地訪(fǎng)問(wèn)信息、服務(wù)和系統資源，不因人為或

自然的原因使系統中信息的存儲、傳輸或處理延遲，或者系統服務(wù)被破壞或被拒絕達到不能容忍的程度。電子政務(wù)可用性目標保護包括兩個(gè)方面：

1) 電子政務(wù)系統所提供的服務(wù)的可用性；

2) 電子政務(wù)系統中存儲、傳輸和處理的信息的可用性。

3.3.2 定級原則

電子政務(wù)系統的安全等級可從信息安全的保密性、完整性、可用性三個(gè)基本屬性在遭到破壞時(shí)對政務(wù)機構履行其政務(wù)職能、機構財產(chǎn)、人員造成的影響來(lái)確定。

a） 安全等級第一級

對電子政務(wù)信息和信息系統安全屬性的破壞會(huì )對政務(wù)機構履行其政務(wù)職能、機構財產(chǎn)、人員造成較小的負面影響，包括：

1) 對政務(wù)機構運行帶來(lái)較小的負面影響，政務(wù)機構還可以履行其基本的政務(wù)職能，但效率有較小程度的降低；

2) 對政務(wù)機構、相關(guān)單位、人員造成較小經(jīng)濟損失；

3) 對政務(wù)機構、相關(guān)單位、人員的形象或名譽(yù)造成較小影響；

4) 不會(huì )造成人身傷害。

b） 安全等級第二級

對電子政務(wù)信息和信息系統安全屬性的破壞會(huì )對政務(wù)機構履行其政務(wù)職能、機構財產(chǎn)、人員造成中等程度的負面影響，包括：

1) 對政務(wù)機構運行帶來(lái)中等程度的負面影響，政務(wù)機構還可以履行其基本的政務(wù)

職能，但效率有較大程度的降低；

2) 對政務(wù)機構、相關(guān)單位、人員造成一定程度的經(jīng)濟損失；

3) 對政務(wù)機構、相關(guān)單位、人員的形象或名譽(yù)造成一定程度的負面影響；

4) 造成輕微的人身傷害。

c） 安全等級第三級

對電子政務(wù)信息和信息系統安全屬性的破壞會(huì )對政務(wù)機構履行其政務(wù)職能、機構財產(chǎn)、人員造成較大的負面影響，對國家安全造成一定程度的損害，包括：

1) 對政務(wù)機構運行帶來(lái)較大的負面影響，政務(wù)機構的一項或多項政務(wù)職能無(wú)法履行；

2) 對政務(wù)機構、相關(guān)單位、人員造成較大經(jīng)濟損失；

3) 對政務(wù)機構、相關(guān)單位、人員的形象或名譽(yù)造成較大的負面影響；

4) 導致嚴重的人身傷害。

d） 安全等級第四級

對電子政務(wù)信息和信息系統安全屬性的破壞會(huì )對政務(wù)機構履行其政務(wù)職能、機構財產(chǎn)、人員造成嚴重的負面影響，對國家安全造成較大損害，包括：

1) 對政務(wù)機構運行帶來(lái)嚴重的負面影響，政務(wù)機構的多項政務(wù)職能無(wú)法履行，并

在省級行政區域范圍內造成嚴重影響；

2) 對國家造成嚴重的經(jīng)濟損失；

3) 對國家形象造成嚴重影響；

4) 導致較多的人員傷亡；

5) 導致危害國家安全的犯罪行為。

e） 安全等級第五級

對電子政務(wù)信息和信息系統安全屬性的破壞會(huì )對政務(wù)機構履行其政務(wù)職能、機構財產(chǎn)、人員造成極其嚴重的負面影響，對國家安全造成嚴重損害，包括：

1) 對政務(wù)機構運行帶來(lái)極其嚴重的負面影響，中央政務(wù)機構的一項或多項政務(wù)職能無(wú)法履行，并在全國范圍內造成極其嚴重的影響；

2) 對國家造成極大的經(jīng)濟損失；

3) 對國家形象造成極大影響；

4) 導致大量人員傷亡；

5) 導致危害國家安全的嚴重犯罪行為。

電子政務(wù)五個(gè)安全等級在保密性、完整性和可用性三個(gè)安全屬性方面的描述如所示。

3.3.3 定級方法

確定電子政務(wù)安全等級的基本方法是：通過(guò)確定系統保密性、完整性和可用性三個(gè)方面的安全等級來(lái)綜合確定系統的安全等級。定級方法適用于電子政務(wù)系統整體定級和各子系統定級。對大型復雜系統，可以引入業(yè)務(wù)系統等級確定方法，具體方法可以參照《附錄B：大型復雜電子政務(wù)系統等級保護實(shí)施過(guò)程示例》。

系統定級主要考慮兩個(gè)方面：一是系統中所存儲、處理、傳輸的主要信息，二是系統所提供的主要服務(wù)。通過(guò)對每一類(lèi)信息和服務(wù)安全等級的分析，最終確定系統的安全等級。系

統安全等級是系統中各類(lèi)信息和服務(wù)安全等級的最大值，并且可以根據系統整體實(shí)際情況進(jìn)行調整，確定系統最終的安全等級。某個(gè)電子政務(wù)系統（假設其名稱(chēng)為A）的安全等級可以表示為：安全等級(A)＝Max{ (系統保密性等級) ,(系統完整性等級),(系統可用性等級)}其中：

系統保密性等級＝Max { (各信息或服務(wù)的保密性等級) }

系統完整性等級＝Max { (各信息或服務(wù)的完整性等級) }

系統可用性等級＝Max { (各信息或服務(wù)的可用性等級) }

電子政務(wù)系統A 最終的安全等級為系統保密性等級、系統完整性等級、系統可用性等級中的最大值。

舉例：某個(gè)政務(wù)機構招標采購系統進(jìn)行定級，系統中包含兩類(lèi)信息和一種服務(wù)，一類(lèi)信息為開(kāi)標前各投標單位的投標信息，另一類(lèi)信息為系統管理信息，系統提供的服務(wù)為招標服務(wù)。投標信息的保密性等級為3，完整性等級為2，可用性等級為2；系統管理信息的保密性等級為1，完整性等級為1，可用性等級為1；招標服務(wù)的保密性等級為1，完整性等級為1，可用性等級為2。通過(guò)比較兩類(lèi)信息各安全屬性等級的最大值，得到系統在三個(gè)安全屬性方面的等級：

系統保密性等級＝Max { (投標信息保密性等級：3),(系統管理信息保密性等級：

1) ,(招標服務(wù)保密性等級：1)
}＝3

系統完整性等級＝Max { (投標信息完整性等級：2),(系統管理信息完整性等級：1) ,(招標服務(wù)完整性等級：1) }＝2，

系統可用性等級＝Max { (投標信息可用性等級：2),(系統管理信息可用性等級：1) ，標服務(wù)可用性等級：2) }＝2，

得到該政務(wù)機構招標采購系統的安全等級為：安全等級(投標采購系統)= Max {(保密性等級：3),(完整性等級：2),(可用性等級：2)}＝3該政務(wù)機構招標采購系統的最終安全等級確定為3。

3.3.4 復雜系統定級方法

對于包括多個(gè)子系統的復雜電子政務(wù)系統，定級可以包括系統總體安全等級和各子系統的安全等級。系統總體定級和各子系統定級可以分別采用自上向下的定級方式和自下向上的

定級方式，也可以綜合兩種方式進(jìn)行。

3.3.4.1 自上向下的定級方式

自上向下的定級方式是從系統總體等級向下細化出子系統等級的方式。首先依據系統的整體情況，根據定級規則對電子政務(wù)系統進(jìn)行總體定級，然后根據系統總體安全等級，對子

系統采用同一等級或適當降低等級，從而確定子系統等級。自上向下定級方式是從整體系統的屬性出發(fā)，向下細分，通過(guò)考慮整體系統的使命、整體業(yè)務(wù)框架、業(yè)務(wù)特性、安全要求、系統在國家層面的定位等，來(lái)把握系統整體的安全等級。自上向下的定級方式包含如下步驟：

a） 確定整體系統的等級，即總體定級

1) 對整體系統識別的主要信息或服務(wù)分別分析其保密性、完整性和可用性的等級，得到一個(gè)列表；

2) 按照系統定級規則，計算得到整體系統的保密性、完整性和可用性的初始安全等級，和初始的總體定級；

3) 對已確定的系統三性的初始安全等級和初始的總體定級應進(jìn)行適用性評審，評審時(shí)要考慮系統在政務(wù)機構履行其職能中所起的作用、系統的使命、整體業(yè)務(wù)框架、系統在國家層面的定位，以及本系統的外部環(huán)境等因素。對于等級不合適的部分進(jìn)行調整，最后確定系統的最終安全等級。

b） 確定各子系統的等級

1) 從總體等級出發(fā)，對子系統采用相同等級或適當降低等級，從而確定子系統等級；

2) 也可以對各子系統識別的每一類(lèi)信息或服務(wù)分別分析其保密性、完整性和可用性的等級，按照系統定級規則確定各子系統等級；

3) 把上述的兩種定級結果進(jìn)行比較，最終確定各子系統的等級。

3.3.4.2 自下向上的定級方式

自下向上的定級方式是從各子系統定級向上綜合確定系統總體安全等級的方式。首先依據各子系統的屬性，根據定級規則對各子系統進(jìn)行定級，然后以各子系統的安全等級為基礎，

綜合考慮，得到系統總體的安全等級。自下向上的定級方式從各個(gè)子系統的屬性出發(fā)，通過(guò)考慮各個(gè)子系統的實(shí)際情況、所處的環(huán)境、之間的差異性來(lái)確定各子系統的安全等級。自下向上的定級方式包含如下步驟：

a） 確定各子系統的等級

1) 對各子系統已識別的每一類(lèi)信息或服務(wù)分別分析其保密性、完整性和可用性的等級，得到一系列的列表；

2) 針對每個(gè)子系統，按照系統定級規則得到各子系統安全等級。

b） 確定整體系統的等級，即總體定級對各子系統等級進(jìn)行總結和分析，確定整體系統的等級?？傮w安全等級的確定可以選用最高的子系統等級，但對于只有比例極少的子系統是最高等級的情況下，可以調低一級。

4 安全規劃與設計

電子政務(wù)系統在完成定級之后，等級保護工作的第二個(gè)階段就是要進(jìn)行安全規劃與設計，包括系統分域保護框架建立，選擇和調整安全措施，安全規劃與方案設計三個(gè)部分。其主要工作內容與輸入輸出如所示

4.1 系統分域保護框架建立

4.1.1 安全域劃分

安全域劃分是將電子政務(wù)系統劃分為不同安全區域，分別進(jìn)行安全保護的過(guò)程。

4.1.1.1 安全域劃分方式

安全域劃分可以采用以下兩種方式實(shí)現：

a) 對政務(wù)機構整體進(jìn)行安全域劃分

在政務(wù)機構所管轄的范圍內對其所擁有的所有電子政務(wù)系統統一進(jìn)行安全域劃分，將整個(gè)政務(wù)機構的所有系統分為若干個(gè)安全區域。

b) 在每個(gè)電子政務(wù)系統內進(jìn)行安全域劃分

在每個(gè)電子政務(wù)系統內部，劃分為若干個(gè)安全區域。

4.1.1.2 安全域劃分原則

電子政務(wù)安全區域的劃分主要依據電子政務(wù)系統的政務(wù)應用功能、資產(chǎn)價(jià)值、資產(chǎn)所面臨的風(fēng)險，劃分原則如下：

a） 系統功能和應用相似性原則

安全區域的劃分要以服務(wù)電子政務(wù)應用為基本原則，根據政務(wù)應用的功能和應用內容劃分不同的安全區域。

b） 資產(chǎn)價(jià)值相似性原則

同一安全區域內的信息資產(chǎn)應具有相近的資產(chǎn)價(jià)值，重要電子政務(wù)應用與一般的電子政務(wù)應用分成不同區域。

c） 安全要求相似性原則

在信息安全的三個(gè)基本屬性方面，同一安全區域內的信息資產(chǎn)應具有相似的機密性要求、完整性要求和可用性要求。

d） 威脅相似性原則

同一安全區域內的信息資產(chǎn)應處在相似的風(fēng)險環(huán)境中，面臨相似的威脅。

4.1.2 保護對象分類(lèi)

保護對象是信息系統內具有相似安全保護需求的一組信息資產(chǎn)的組合，是從安全角度對信息系統的描述。依據電子政務(wù)系統的功能特性、安全價(jià)值以及面臨威脅的相似性，電子政務(wù)保護對象可分為計算區域、區域邊界、網(wǎng)絡(luò )基礎設施三類(lèi)。

a) 計算區域

計算區域是指由相同功能集合在一起，安全價(jià)值相近，且面臨相似威脅的一組信息系統組成。計算區域的信息資產(chǎn)包括：主機資產(chǎn)、平臺資產(chǎn)、應用軟件資產(chǎn)和政務(wù)數據資產(chǎn)等。涉及區域內的物理層、網(wǎng)絡(luò )層、系統層、應用軟件層、數據層和業(yè)務(wù)流程層面。包含的安全屬性包括所屬信息資產(chǎn)的物理安全、網(wǎng)絡(luò )安全、邊界安全、系統安全、應用系統安全、數據安全和業(yè)務(wù)流程安全等。計算區域可以從安全域劃分的結果得到。

b) 區域邊界

區域邊界是指兩個(gè)區域或兩組區域之間的隔離功能集。邊界是虛擬對象，不與具體資產(chǎn)對應，邊界是一組功能集合，包括邊界訪(fǎng)問(wèn)控制，邊界入侵檢測和審計等。設計系統分域保護框架時(shí)區域邊界可以作為計算區域的一個(gè)屬性進(jìn)行處理。通過(guò)對各安全區域之間的連接狀況分析，可以得到某個(gè)安全區域與其它區域之間的邊界。

c) 網(wǎng)絡(luò )基礎設施

網(wǎng)絡(luò )基礎設施是指由相同功能集合在一起，安全價(jià)值相近，且面臨相似威脅來(lái)源的一組網(wǎng)絡(luò )系統組成，包括由路由器、交換機和防火墻等構成的局域網(wǎng)或廣域網(wǎng)，一般指區域邊界之間的連接網(wǎng)絡(luò )。某一個(gè)安全區域或多個(gè)安全區域網(wǎng)絡(luò )支撐平臺構成了該區域的網(wǎng)絡(luò )基礎實(shí)施。電子政務(wù)保護對象及所包括信息資產(chǎn)如所示：

各類(lèi)信息資產(chǎn)描述如下：

a） 物理環(huán)境

是指支撐電子政務(wù)系統的場(chǎng)所、所處的周邊環(huán)境以及場(chǎng)所內保障計算機系統正常運行的設備，包括機房、門(mén)禁、監控、電源、空調等。

b） 人員資產(chǎn)

指與電子政務(wù)系統直接相關(guān)的人員，包括各級安全組織、安全人員、各級管理人員、網(wǎng)管員、系統管理員、業(yè)務(wù)操作人員和第三方人員等。

c） 網(wǎng)絡(luò )資產(chǎn)

是指電子政務(wù)系統網(wǎng)絡(luò )傳輸環(huán)境的設備，軟件和通信介質(zhì)。網(wǎng)絡(luò )資產(chǎn)包括路由器、交換機、防火墻、網(wǎng)管、網(wǎng)絡(luò )設備控制臺等。

d） 主機資產(chǎn)

是指電子政務(wù)系統中承載業(yè)務(wù)系統和軟件的計算機系統、外圍系統（不含網(wǎng)絡(luò )設備）及其操作系統。這里的主機資產(chǎn)包括大型機、中型機、小型機、磁盤(pán)陣列、Unix 服務(wù)器、Windows 服務(wù)器、工作站和終端等。

e） 平臺資產(chǎn)

主要是指電子政務(wù)系統的軟件平臺系統，包括數據庫、中間件、群件、郵件、Web服務(wù)器、集成開(kāi)發(fā)環(huán)境和工具軟件等。

f） 應用軟件資產(chǎn)

是指為政務(wù)業(yè)務(wù)和管理應用而開(kāi)發(fā)的各類(lèi)應用軟件及其提供的服務(wù)。

g） 數據資產(chǎn)

是電子政務(wù)系統所存儲、傳輸、處理的數據對象，是電子政務(wù)系統的核心資產(chǎn)。

4.1.3 系統分域保護框架

系統分域保護框架是從安全角度出發(fā)，通過(guò)對各保護對象進(jìn)行組合來(lái)對信息系統進(jìn)行結構化處理的方法。結構化是指通過(guò)特定的結構將問(wèn)題拆分成子問(wèn)題的迭代過(guò)程，其目標是更

好地體現信息系統的安全特性和安全要求。進(jìn)行結構化處理要遵循以下幾條基本原則：

a） 充分覆蓋

所有子問(wèn)題的總和必須覆蓋原問(wèn)題。如果不能充分覆蓋，那么解決問(wèn)題的方法就可能出現遺漏，嚴重影響方法的可行性。

b） 互不重疊

同一級別的所有子問(wèn)題都不允許出現重復，類(lèi)似以下的情況不應出現在一個(gè)框架中：

1) 兩個(gè)不同的子問(wèn)題其實(shí)是同一個(gè)子問(wèn)題的兩種表述；

2) 某一個(gè)子問(wèn)題其實(shí)是同一級別的另外兩個(gè)子問(wèn)題或多個(gè)子問(wèn)題的合集。

c） 不需再細分

所有子問(wèn)題都必須細分到不需再細分，或不可再細分的程度。當一個(gè)問(wèn)題經(jīng)過(guò)框架分析后，所有不可再細分的子問(wèn)題組合構成了一個(gè)“框架”。以安全域劃分和保護對象分類(lèi)為基礎，經(jīng)過(guò)結構化的分解，可以將電子政務(wù)系統分解為不同類(lèi)別的保護對象，形成系統分域保護框架。

描述了某個(gè)電子政務(wù)系統的系統分域保護框架的示例，包括了系統所劃分出的計算區域、區域邊界、網(wǎng)絡(luò )基礎設施等各類(lèi)保護對象。示例中的計算區域包括兩個(gè)層面，細分為7 個(gè)計算區域。第一層區域包括政務(wù)專(zhuān)網(wǎng)區域和政務(wù)外網(wǎng)區域。政務(wù)專(zhuān)網(wǎng)區域又分為核心數據區、業(yè)務(wù)服務(wù)器區、辦公服務(wù)器區、網(wǎng)絡(luò )管理區和機關(guān)辦公區；政務(wù)外網(wǎng)區域分為WEB 服務(wù)區和機關(guān)工作區。示例中的網(wǎng)絡(luò )基礎設施包括政務(wù)專(zhuān)網(wǎng)網(wǎng)絡(luò )基礎設施、政務(wù)外網(wǎng)網(wǎng)絡(luò )基礎設施。

示例中的區域邊界包括：政務(wù)專(zhuān)網(wǎng)與其它政務(wù)專(zhuān)網(wǎng)系統的邊界、政務(wù)專(zhuān)網(wǎng)與政務(wù)外網(wǎng)的邊界、政務(wù)外網(wǎng)與互聯(lián)網(wǎng)的邊界，以及內部各計算區域之間的邊界。

系統分域保護框架是設計解決方案的基礎。大型復雜系統的分域保護框架見(jiàn)附錄B。

4.2 選擇和調整安全措施

電子政務(wù)系統或子系統的安全等級確定后，需要以分域保護框架為基礎確定具體的安全保護措施（包括技術(shù)措施和管理措施）。確定安全措施的過(guò)程如圖4-4 所示：

確定安全措施首先是根據電子政務(wù)系統的安全等級選擇適用等級的基本安全要求，如電子政務(wù)系統A 的安全等級為3 級，應選擇3 級基本安全要求。在確定了基本安全要求的基礎上，再針對每個(gè)系統特定安全要求、面臨風(fēng)險的狀況，并考慮安全措施的成本進(jìn)行安全措施的選擇和調整，以得到針對特定系統的安全保護措施。對安全措施的調整基于以下原則：

a） 根據電子政務(wù)系統特定安全要求進(jìn)行調整

1) 如果電子政務(wù)系統的保密性等級、完整性等級、可用性等級之中的一項或兩項

低于系統的安全等級，則可以降低該等級安全措施中對應的控制項的等級；

2) 如果電子政務(wù)系統的某些特定安全要求在基本安全要求中沒(méi)有相應的控制項，

則可以添加與特定安全要求相適應的安全措施。

b） 根據風(fēng)險評估的結果進(jìn)行調整

1) 如果電子政務(wù)系統（或其保護對象）不存在五個(gè)等級基本安全要求中某個(gè)控制項所要控制的安全風(fēng)險，或其控制項不適用，則該控制項可以進(jìn)行刪減；

2) 如果風(fēng)險評估中識別的某個(gè)風(fēng)險，在五個(gè)等級基本安全要求中沒(méi)有相應的控制項，則可以增加此類(lèi)控制項；

3) 如果風(fēng)險評估的結果顯示，與五個(gè)等級基本安全要求提供的某個(gè)安全措施的安全強度相比，風(fēng)險較低，則可以降低控制項的強度等級；

4) 如果風(fēng)險評估的結果顯示，與五個(gè)等級基本安全要求提供的某個(gè)安全措施的安全強度相比，風(fēng)險較高，則可以提高控制項的強度等級。

c） 根據安全措施的成本進(jìn)行調整在安全措施的調整過(guò)程中，安全措施的成本也是一個(gè)重要的考慮因素，各機構要根

據實(shí)際情況，基于合理成本選擇和調整安全措施。如果某些安全措施的成本太高，機構無(wú)法承受，可以通過(guò)其他措施進(jìn)行彌補。如果無(wú)法找到其他措施進(jìn)行彌補，則需要改變機構的業(yè)務(wù)流程、運作方式或管理模式。

4.3 安全規劃與方案設計

安全規劃與方案設計階段的目的是提出科學(xué)實(shí)施安全措施的方案，規劃綜合防范的安全保障體系，實(shí)現整體安全。安全規劃與方案設計包括安全需求分析、安全項目規劃、安全工作規劃、安全方案設計等幾個(gè)步驟。

4.3.1 安全需求分析

通過(guò)對現有安全措施的評估明確系統的安全現狀，通過(guò)對比系統將要達到的安全等級的安全要求，得到現狀和要求間的差距，即為安全需求。如圖4-5 所示：

4.3.2 安全項目規劃

安全項目規劃是通過(guò)對安全項目的相關(guān)性、緊迫性、難易程度和預期效果等因素進(jìn)行分析，確定實(shí)施的先后順序。安全項目規劃主要包括：

a） 將安全措施依據相關(guān)性，打包成一個(gè)或多個(gè)的安全項目

b） 進(jìn)行項目分析

1) 對項目進(jìn)行支持或依賴(lài)等相關(guān)性分析；

2) 對項目進(jìn)行緊迫性分析；

3) 對項目進(jìn)行實(shí)施難易程度分析；

4) 對項目進(jìn)行預期效果分析。

c） 綜合項目分析結果，形成項目實(shí)施先后順序的列表

4.3.3 安全工作規劃

我們在安全規劃中，不僅要做項目建設的規劃，還要做安全工作方面的規劃，以此來(lái)讓等級保護的建設實(shí)施和運行能夠融入到日常的安全管理和運維工作當中去，來(lái)確保等級保護

工作落到實(shí)處。安全工作規劃需要確定安全工作的宗旨、遠期安全工作目標和當年目標、關(guān)鍵和重點(diǎn)的工作，并分析潛在的風(fēng)險和障礙、所需的資源和預算，從而進(jìn)行實(shí)施策略選擇，確定當年的安全工作計劃和等級保護項目建設計劃。

4.3.4 安全方案設計

在解決方案設計階段，將對安全規劃中所提到的近期應實(shí)現的安全措施和項目進(jìn)行分析，編制系列的技術(shù)解決方案和管理解決方案。

5 實(shí)施、等級評估與運行

5.1 安全措施的實(shí)施

安全措施的實(shí)施是在完成等級保護的安全規劃與設計之后，依據安全解決方案進(jìn)行安全管理措施和安全技術(shù)措施建設。

安全措施的實(shí)施應依據國家有關(guān)規定和標準執行。在工程實(shí)施過(guò)程中應充分考慮施工對業(yè)務(wù)系統可能造成的影響，做好應急預案，保障業(yè)務(wù)系統正常運轉。應與第三方實(shí)施單位簽訂保密協(xié)議和服務(wù)質(zhì)量協(xié)議，同時(shí)要加強對第三方履行保密協(xié)議和服務(wù)質(zhì)量協(xié)議的監督。工程實(shí)施過(guò)程中應避免因第三方人員進(jìn)場(chǎng)帶來(lái)新的安全風(fēng)險。

5.2 等級評估與驗收

完成電子政務(wù)系統定級、安全措施選擇與實(shí)施之后，應啟動(dòng)等級評估與驗收工作，以便評估電子政務(wù)系統是否滿(mǎn)足信息安全等級保護的要求，并由電子政務(wù)系統的擁有單位或主管

單位組織驗收。

電子政務(wù)等級保護工作的等級評估可以采取以下三種方式：

a） 自評估

自評估是由電子政務(wù)系統的擁有單位組織單位內部人員，評估本單位的電子政務(wù)系統是否滿(mǎn)足電子政務(wù)信息安全等級保護的要求。

b） 檢查評估

檢查評估是由信息安全主管機關(guān)或業(yè)務(wù)主管機關(guān)發(fā)起，依據已經(jīng)頒布的電子政務(wù)等級保護的法規或標準進(jìn)行的評估活動(dòng)。

c） 委托評估

委托評估指信息系統擁有單位委托具有風(fēng)險評估能力的專(zhuān)業(yè)評估機構（包括國家建立的測評認證機構或安全企業(yè)）實(shí)施的評估活動(dòng)。電子政務(wù)系統的擁有單位應根據系統的安全等級選擇一種或多種評估模式。等級評估結束后，應由電子政務(wù)系統的擁有單位或主管單位主持驗收工作，確定完成等級保護建設工作的電子政務(wù)系統是否達到相應的安全等級，以及是否可以投入運行。

5.3 運行監控與改進(jìn)

電子政務(wù)等級保護在完成實(shí)施、評估與驗收工作之后，則進(jìn)入了安全運行與改進(jìn)階段。這一階段的主要工作是對系統的安全風(fēng)險和等級保護體系的運行狀況進(jìn)行持續監控，確保在

系統發(fā)生變化、系統的安全風(fēng)險發(fā)生變化的情況下，能夠及時(shí)調整系統的安全措施，并在系統或系統的安全風(fēng)險發(fā)生重大變化時(shí)，進(jìn)行系統的重新定級和安全措施的調整，以確保系統得到相應的保護。等級保護的運行改進(jìn)過(guò)程如圖5-2 所示。

附錄A 術(shù)語(yǔ)與定義

a） 信息資產(chǎn)

對組織具有價(jià)值的信息資源，是安全策略保護的對象。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識別的主要內容。

b） 服務(wù)

信息系統通過(guò)提供某些功能來(lái)滿(mǎn)足用戶(hù)需求的過(guò)程。

c） 信息系統生命周期

信息系統生命周期是某一信息系統從無(wú)到有，再到廢棄的整個(gè)過(guò)程，包括規劃、設計、實(shí)施、運維和廢棄五個(gè)階段。

d） 威脅

可能對資產(chǎn)或組織造成損害的潛在原因。威脅可以通過(guò)威脅主體、資源、動(dòng)機、途徑等多種屬性來(lái)刻畫(huà)。

e） 脆弱性

可能被威脅利用對資產(chǎn)造成損害的薄弱環(huán)節。

f） 影響

信息安全事件造成的后果。

g） 風(fēng)險

風(fēng)險是指人為或自然的威脅利用系統存在的脆弱性，導致安全事件發(fā)生的可能性及其造成的影響。它由安全事件發(fā)生的可能性及其造成的影響這兩種指標來(lái)衡量。

h） 信息安全風(fēng)險評估

依據有關(guān)信息安全技術(shù)與管理標準，對信息系統及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進(jìn)行評價(jià)的過(guò)程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對組織造成的影響。

i） 風(fēng)險管理

組織中識別風(fēng)險、分析風(fēng)險和控制風(fēng)險的活動(dòng)。

j） 安全措施

保護資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、規程和機制的總稱(chēng)。

附錄B 大型復雜電子政務(wù)系統等級保護實(shí)施過(guò)程示例

B.1 大型復雜電子政務(wù)系統描述

大型復雜電子政務(wù)系統主要是指涉及多個(gè)行政級別、多種網(wǎng)絡(luò )以及各類(lèi)繁雜的信息系統等特征的系統，一般具有以下特點(diǎn)：

a） 覆蓋多級行政級別，涉及的部門(mén)多、范圍和地域廣；

b） 信息系統種類(lèi)繁多、應用眾多、服務(wù)類(lèi)型多并且結構復雜；

c） 網(wǎng)絡(luò )建設涉及涉密政務(wù)內網(wǎng)、涉密和非涉密政務(wù)專(zhuān)網(wǎng)、政務(wù)外網(wǎng)以及互聯(lián)網(wǎng)。大型復雜電子政務(wù)系統信息安全建設保障工作目前存在的主要困難包括：

1） 信息安全涵蓋內容極為廣泛，從物理安全，網(wǎng)絡(luò )安全，系統安全一直到應用安全，數據安全，安全管理，安全組織等等，凡是涉及到影響正常運行的和業(yè)務(wù)連續性的都可以認為是信息安全問(wèn)題；

2） 安全保障是個(gè)系統化的工程，各個(gè)要素之間存在緊密聯(lián)系，互相依賴(lài)，牽一發(fā)而動(dòng)全身；

3） 安全保障是個(gè)長(cháng)期性的工作，伴隨信息系統的整個(gè)生命周期，是一個(gè)不斷實(shí)施、檢查和改進(jìn)的過(guò)程；

4） 不同行業(yè)、不同信息化發(fā)展階段、不同地域和行政隸屬層次的安全要求屬性和強度存在較大差異性；

5） 安全保障除了耗費人力財力，還會(huì )損失易用性，降低效率，所以應該考慮信息安全要求與資金人力投入的平衡,控制安全的成本。

B.2 等級保護實(shí)施過(guò)程描述

大型復雜電子政務(wù)系統的等級保護實(shí)施過(guò)程應符合等級保護的整體實(shí)施過(guò)程，但對于這類(lèi)電子政務(wù)系統由于存在系統復雜、龐大、行政級別多以及涉及范圍廣等特點(diǎn)，因此建議在

各階段增加以下相關(guān)工作和實(shí)施方法：

第一階段：定級階段

本階段主要的三個(gè)步驟包括系統識別與描述、子系統劃分以及對于系統總體和子系統進(jìn)行定級，對于大型復雜電子政務(wù)系統建議在進(jìn)行系統識別和子系統劃分的過(guò)程中結合“系統分域保護框架”的設計思路進(jìn)行不同層次劃分，可以從整體的角度出發(fā)，根據適合的劃分方法進(jìn)行整體性劃分（例如行政級別、行政區域以及網(wǎng)絡(luò )等要素），也可以從各個(gè)子系統的角度出發(fā)，總結和歸類(lèi)進(jìn)行合并，最終形成多個(gè)層次的保護對象。每個(gè)

層次的保護對象都能夠對應相應的等級，形成“等級系統分域保護框架”。這里建議從整體角度出發(fā)進(jìn)行劃分，從子系統的角度出發(fā)進(jìn)行驗證，形成從下到上和從上到下的統一和平衡。

第二階段：規劃與設計階段

本階段主要的三個(gè)步驟包括系統分域保護框架建立、選擇和調整五個(gè)等級基本安全要求、安全規劃和方案設計。對于大型復雜電子政務(wù)系統在選擇和調整安全措施等級時(shí)建議首先根據行業(yè)背景、政府職能特征以及相對應的安全特性整體進(jìn)行安全措施指標的選擇，制定相關(guān)行業(yè)和政務(wù)機構的五個(gè)等級整體的基本安全要求，在這個(gè)基礎上相關(guān)的各級部門(mén)和政務(wù)機構可以根據已經(jīng)選擇的安全等級指標進(jìn)行進(jìn)一步的修訂和細化，這樣可以確保從整體性出發(fā)安全措施的有效性和可控性；在進(jìn)行安全規劃與方案設計的過(guò)程時(shí)，不僅要根據不同安全等級系統選擇不同安全措施進(jìn)行規劃和方案設計，這里建議采用“體系化”設計的方法，既能夠從整體上進(jìn)行統一規劃，又能夠通過(guò)安全解決方案解決現有安全問(wèn)題，同時(shí)覆蓋安全的各個(gè)層面，實(shí)現了等級化和體系化的相互結合，最終形成等級化的安全體系。

第三階段：實(shí)施階段

本階段主要是對等級保護的具體實(shí)施，在實(shí)施的過(guò)程中，針對大型復雜電子政務(wù)系統建議采用“基礎平臺”的安全措施建設方法，結合安全體系的內容對于需要統一規劃的基礎性工作進(jìn)行總體性考慮，建立基于平臺概念的基礎性設施。在具體實(shí)施過(guò)程中可以考慮建立“管理基礎平臺”，平臺中包括策略體系、組織體系以及運作體系，能夠實(shí)現安全管理的整體性運作；建立“技術(shù)基礎平臺”，把支撐性基礎設施的實(shí)現采用基礎平臺方法，例如統一認證平臺、監控和審計平臺等。

B.3 系統劃分與定級

B.3.1 系統識別和子系統劃分

對于大型復雜電子政務(wù)系統進(jìn)行系統識別時(shí)，首先要進(jìn)行整體性信息描述，包括系統基本信息、涉及部門(mén)以及范圍等相關(guān)信息，同時(shí)還要對劃分后的不同層次的子系統分別進(jìn)行描

述，進(jìn)一步細化系統信息、范圍、邊界以及功能和服務(wù)。在對于大型復雜電子政務(wù)系統進(jìn)行子系統劃分的過(guò)程中，應從整體性出發(fā)，結合系統分域保護框架的思路，分層次進(jìn)行劃分?？梢詤⒄找韵虏襟E進(jìn)行子系統劃分：

第一步：按照行政級別和行政區域進(jìn)行第一層系統的劃分，將整個(gè)系統劃分為總部子系統、省級子系統、地市級子系統、縣區級子系統；

第二步：按照系統所屬的網(wǎng)絡(luò )進(jìn)行第二層系統的劃分，將第一層系統進(jìn)一步劃分為涉密網(wǎng)子系統、外網(wǎng)子系統和互聯(lián)網(wǎng)接入子系統；

第三步：按照系統功能和系統服務(wù)的對象進(jìn)行第三次系統的劃分，將第二層系統分解為具有不同功能、不同服務(wù)對象的子系統。

進(jìn)行上述三層系統分解之后，第三層子系統大部分應該能夠滿(mǎn)足系統定級的要求，可以不再細分，如果個(gè)別系統還很復雜的話(huà)，這些系統可再分解一層。

B.3.2 系統安全等級確定

B.3.2.1 定級方式

大型復雜系統的定級一般是自上向下和自下向上兩種定級方法結合使用，并且會(huì )經(jīng)過(guò)初始定級和調整定級的過(guò)程。首先按自上向下的方法進(jìn)行初始的總體定級，以初始的總體等級

為基礎，逐層對下層系統進(jìn)行定級，之后再按自下向上的方法從底層系統開(kāi)始逐層向上修正、調整并確定各層系統的最終等級。

B.3.2.2 定級方法

對于大型復雜電子政務(wù)系統，在判斷系統的安全等級的過(guò)程中，系統自身的重要性對安全屬性等級的確定有重要的影響，因此在進(jìn)行安全等級判定時(shí)最好能夠充分判斷系統自身的

等級。本過(guò)程中，系統等級的確定可以直接影響系統安全等級的可用性等級的確定，在確定可用性等級時(shí)，需要把對于系統等級確定的要素作為影響性的直接參考要素，以便確定可用

性等級。系統等級確定的參考要素可以包括：

a） 系統涉及到的用戶(hù)數量；

b） 系統涉及到的用戶(hù)級別；

c） 系統對于業(yè)務(wù)或政務(wù)運作的支撐程度；

d） 系統對于其他系統的影響程度；

e） 系統是否是國家戰略發(fā)展的重要組成部分；

f） 系統是否支撐政務(wù)機構的重點(diǎn)發(fā)展工作。

B.3.3 系統分域保護框架

結合系統分域保護框架的分析方法，經(jīng)過(guò)系統識別、子系統劃分和系統定級之后，形成的系統分域保護框架如下圖所示（以某“金”字工程為例）：

本案例中的電子政務(wù)系統縱向覆蓋了五個(gè)行政級別，分別為中央節點(diǎn)、直屬節點(diǎn)、省級節點(diǎn)、地市級節點(diǎn)和縣級節點(diǎn)，橫向覆蓋了國家政務(wù)內網(wǎng)、國家政務(wù)外圍、互聯(lián)網(wǎng)三類(lèi)網(wǎng)絡(luò )平臺。

根據已經(jīng)識別的保護對象的整體框架，可以看到：

第一層保護對象包括3個(gè)計算環(huán)境、3個(gè)區域邊界、3個(gè)網(wǎng)絡(luò )基礎設施；第二層保護對象包括13個(gè)計算環(huán)境、13個(gè)區域邊界、13個(gè)網(wǎng)絡(luò )基礎設施；第三層保護對象包括44個(gè)計算環(huán)境、

44個(gè)區域邊界、13個(gè)網(wǎng)絡(luò )基礎設施。通過(guò)對等級保護的對象整體的定級、業(yè)務(wù)系統的影響、信息與資產(chǎn)影響的判斷，可以基本確定各層保護對象匯總及定級表