【网络工程规划与设计案例教程】项目五_任务6_电子政务信息安全等级.doc
《【网络工程规划与设计案例教程】项目五_任务6_电子政务信息安全等级.doc》由会员分享,可在线阅读,更多相关《【网络工程规划与设计案例教程】项目五_任务6_电子政务信息安全等级.doc(44页珍藏版)》请在三一文库上搜索。
1、电子政务信息安全等级保护 实施指南(试行) 国务院信息化工作办公室 2005 年 9 月 湖南工业职业技术学院 网络技术专业教学资源库 0 目目 录录 1. 引言3 1.1 编写目的3 1.2 适用范围3 1.3 文档结构3 2. 基本原理.4 2.1 基本概念4 2.1.1 电子政务等级保护的基本含义.4 2.1.2 电子政务信息安全等级保护遵循以下原则:4 2.1.3 电子政务等级保护的基本安全要求6 2.2 基本方法6 2.2.1 等级保护的要素及其关系 6 2.2.2 电子政务等级保护各要素之间的关系 7 2.2.3 电子政务等级保护实现方法.8 2.2.4 电子政务系统实施等级保护的
2、方法8 3. 实施过程.8 3.1 角色及职责12 3.1.1 决策者.12 3.1.2 技术负责人12 3.1.3 实施人员12 3.2 系统间互联互通的等级保护要求12 3.3 定级过程13 3.4 系统识别与描述.14 3.4.1 系统整体识别与描述14 3.5 划分子系统的方法 .15 3.5.1 划分原则15 3.5.2 子系统划分方法.15 3.5.3 子系统识别与描述.16 3.6 等级确定16 3.6.1 电子政务安全属性描述16 3.6.2 定级原则16 3.6.3 定级方法19 3.6.4 复杂系统定级方法.20 1.自上向下的定级方式 20 3.7 安全规划与设计.21
3、3.8 系统分域保护框架建立22 3.8.1 安全域划分22 3.8.2 保护对象分类 22 3.9 系统分域保护框架 .24 3.10 选择和调整安全措施26 4. 安全规划与方案设计.28 4.1 安全需求分析.28 湖南工业职业技术学院 网络技术专业教学资源库 1 4.2 安全项目规划.28 4.3 安全工作规划.29 4.4 安全方案设计.29 5. 实施、等级评估与运行 .29 5.1 安全措施的实施.29 5.2 等级评估与验收.29 5.3 运行监控与改进.30 5.4 术语与定义31 5.5 系统划分与定级.33 5.5.1 系统识别和子系统划分33 5.5.2 系统安全等级确
4、定.34 5.6 安全规划与设计.38 5.6.1 安全措施的选择与调整38 5.6.2 等级化风险评估.38 5.6.3 等级化安全体系设计39 5.6.4 等级化安全体系设计方法 39 5.6.5 等级化安全体系设计过程 40 5.7 安全规划与方案设计42 5.7.1 安全需求分析 42 5.7.2 安全工作规划 42 湖南工业职业技术学院 网络技术专业教学资源库 2 1. 引言引言 1.1编写目的编写目的 国家信息化领导小组关于加强信息安全保障工作的意见 (中办发2003 27 号,以下简称“27 号文件” )明确要求我国信息安全保障工作实行等级保护 制度,提出“抓紧建立信息安全等级保
5、护制度,制定信息安全等级保护的管理办 法和技术指南” 。2004 年 9 月发布的关于信息安全等级保护工作的实施意见 (公通字200466 号,以下简称“66 号文件” )进一步强调了开展信息安全等 级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职 责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。 27 号文件和 66 号文件不但为各行业开展信息安全等级保护工作指明了方 向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高 的要求。电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家 安全和社会稳定,必须按照 27 号文件要求,
6、全面实施信息安全等级保护。因此, 组织编制电子政务信息安全等级保护实施指南 ,规范电子政务信息安全等级 保护工作的基本思路和实施方法,指导我国电子政务建设中的信息安全保障工 作,对搞好电子政务信息安全保障具有十分重要的现实意义。 1.2适用范围适用范围 本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适 用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。 1.3文档结构文档结构 本指南包括五个章节和两个附录。 第 1 章为引言,介绍了本指南的编写目的、适用范围和文档结构;第 2 章 为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系 统间互联互
7、通的等级保护要求;第 3 章描述了电子政务等级保护的定级,包括 定级过程、系统识别和描述、等级确定;第 4 章描述了电子政务等级保护的安 全规划与设计,包括电子政务系统分域保护框架的建立,选择和调整安全措施, 以及安全规划与方案设计;第 5 章描述了安全措施的实施、等级评估,以及等 级保护的运行改进。 附录 A 介绍了本指南术语定义;附录 B 介绍了大型复杂电子政务系统等级 保护实施过程的示例。 除明确声明外,本指南中所提到的等级保护、电子政务等级保护都是指电 湖南工业职业技术学院 网络技术专业教学资源库 3 子政务信息安全等级保护。 2. 基本原理基本原理 2.1基本概念基本概念 2.1.1
8、电子政务等级保护的基本含义 信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信 息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信 息化健康发展的基本策略。27 号文件对信息安全等级保护做出了系统的描述 “信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实 际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要 重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信 息系统。 ” 电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、 社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定 安全保
9、护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应 的安全保护措施,以保障信息和信息系统的安全。 电子政务等级保护工作分为管理层面和用户层面两个方面的工作。管理层 的主要工作是制定电子政务信息安全等级保护的管理办法、定级指南、基本安 全要求、等级评估规范以及对电子政务等级保护工作的管理等。用户层的主要 工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保 障措施,进行系统安全设计与建设,以及运行监控与改进。本指南的内容主要 针对用户层面的工作。 2.1.2电子政务信息安全等级保护遵循以下原则: 1. 重点保护原则 电子政务等级保护要突出重点。对关系国家安全、经济命脉
10、、社会稳 定等方面的重要电子政务系统,应集中资源优先建设。 2. “谁主管谁负责、谁运营谁负责”原则 电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则, 由各主管部门和运营单位依照国家相关法规和标准,自主确定电子政务系 统的安全等级并按照相关要求组织实施安全保障。 3. 分区域保护原则 电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、 业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同 的安全区域,实现不同强度的安全保护。 4. 同步建设原则 电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保 证信息安全与信息化建设相适应。 湖南工业职业技术学院
11、网络技术专业教学资源库 4 5. 动态调整原则 由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处 于不断变化与发展之中,因此信息与信息系统的安全保护等级需要根据变 化情况,适时重新确定,并相应调整对应的保护措施。 电子政务安全等级的层级划分 66 号文件中规定信息系统的安全等级从低到高依次包括自主保护级、指导 保护级、监督保护级、强制保护级、专控保护级五个安全等级。按 66 号文件的 规定,对电子政务的五个安全等级定义如表 2-1 所示。 表表 2-1 电子政务系统五个安全等级的基本内容电子政务系统五个安全等级的基本内容 安全安全 等级等级 等级等级 名称名称 基本描述基本描述安全
12、保护要求安全保护要求 第一级自主保 护级 适用于一般的电子政务系统。系统遭到破坏 后对政务机构履行其政务职能、机构财产、 人员造成较小的负面影响。 参照国家标准自主进 行保护。 第二级指导保 护级 适用于处理日常政务信息和提供一般政务服 务的电子政务系统。系统遭到破坏后对政务 机构履行其政务职能、机构财产、人员造成 中等程度的负面影响。 在主管部门的指导下, 按照国家标准自主进 行保护。 第三级监督保 护级 适用于处理重要政务信息和提供重要政务服 务的电子政务系统。系统遭到破坏后可能对 政务机构履行其政务职能、机构财产、人员 造成较大的负面影响,可能对国家安全造成 一定程度的损害。 在主管部门
13、的监督下, 按国家标准严格落实 各项保护措施进行保 护。 第四级强制保 护级 适用于涉及国家安全、社会秩序、经济建设 和公共利益的重要电子政务系统。系统遭到 破坏后可能对政务机构履行其政务职能、机 构财产、人员造成严重的负面影响,可能对 国家安全造成较大损害。 在主管部门的强制监 督和检查下,按国家 标准严格落实各项措 施进行保护。 第五级专控保 护级 适用于关系国家安全、社会秩序、经济建设 和公共利益的核心系统。系统遭到破坏后对 政务机构履行其政务职能、机构财产、人员 造成极其严重的负面影响,对国家安全造成 严重损害。 根据安全需求,由主 管部门和运营单位对 电子政务系统进行专 门控制和保护
14、。 湖南工业职业技术学院 网络技术专业教学资源库 5 2.1.3电子政务等级保护的基本安全要求 电子政务等级保护基本安全要求是对各等级电子政务系统的一般性要求, 分为五个等级,从第一级至第五级,对应于五个等级的电子政务系统。对特定 电子政务系统的安全保护,以其相应等级的基本安全要求为基础,通过对安全 措施的调整和定制,得到适用于该电子政务系统的安全保护措施。 电子政务等级保护基本安全要求分为安全策略、安全组织、安全技术和安 全运行四个方面。 1. 安全策略 安全策略是为了指导和规范电子政务信息安全工作而制定的安全方针、 管理制度、规范标准、操作流程和记录模板等文档的总和。安全策略具有 层次化的
15、结构,包括整体安全策略、部门级安全策略、系统级安全策略等。 2. 安全组织 安全组织是为了保障电子政务信息安全而建立的组织体系,包括各级 安全组织机构、岗位安全职责、人员安全管理、第三方安全管理、安全合 作与沟通等方面。 3. 安全技术 安全技术是指保障电子政务信息安全的安全技术功能要求和安全技术 保障要求,包括网络与通讯安全、主机与平台安全、数据库安全、应用安 全、数据安全、物理环境安全等方面。 4. 安全运行 安全运行是为了保障电子政务系统运行过程中的安全而制定的安全运 维要求,包括风险管理、配置和变更管理、信息系统工程安全管理、日常 运行管理、技术资料安全、应急响应等方面。 具体的电子政
16、务等级保护基本安全要求参见相关的国家标准。 2.2基本方法基本方法 2.2.1等级保护的要素及其关系 电子政务等级保护的基本原理是:依据电子政务系统的使命、目标和重要 程度,将系统划分为不同的安全等级,并综合平衡系统特定安全保护要求、系 统面临安全风险情况和实施安全保护措施的成本,进行安全措施的调整和定制, 形成与系统安全等级相适应的安全保障体系。 电子政务等级保护包含以下七个要素: 1. 电子政务系统 电子政务系统是信息安全等级保护的对象,包括系统中的信息、系统 所提供的服务,以及执行信息处理、存储、传输的软硬件设备等。 2. 目标 目标是指电子政务系统的业务目标和安全目标,电子政务等级保护
17、要 湖南工业职业技术学院 网络技术专业教学资源库 6 保障业务目标和安全目标的实现。 3. 电子政务信息安全等级 电子政务信息安全等级划分为五级,分别体现在电子政务系统的等级 和安全保护的等级两个方面。 4. 安全保护要求 不同的电子政务系统具有不同类型和不同强度的安全保护要求。 5. 安全风险 安全风险是指电子政务系统由于本身存在安全弱点,通过人为或自然 的威胁可能导致安全事件的发生。安全风险由安全事件发生的可能性及其 造成的影响这两种指标来综合衡量。 6. 安全保护措施 安全保护措施是用来对抗安全风险、满足安全保护要求、保护电子政 务系统和保障电子政务目标实现的措施,包括安全管理措施和安全
18、技术措 施。 7. 安全保护措施的成本 不同类型和强度的安全保护措施的实现需要不同的成本,安全保护措 施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。 2.2.2电子政务等级保护各要素之间的关系 1. 电子政务系统的安全等级由系统的使命、目标和系统重要程度决定。 2. 安全措施需要满足系统安全保护要求,对抗系统所面临的风险。 1) 不同电子政务系统的使命和业务目标的差异性,业务和系统本身的特性 (所属信息资产特性、实际运行情况和所处环境等)的差异性,决定了系统安 全保护要求特性(安全保护要求的类型和强度)的差异性。 2) 系统保护要求类型和强度的差异性,安全风险情况的差异性,决定了
19、选 择不同类型和强度的安全措施。 3. 电子政务安全措施的确定需要综合平衡系统保护要求的满足程度、系统 面临风险的控制和降低程度、系统残余风险的接受程度、以及实施安全措施的 成本,在适度成本下实现适度安全。 2.2.3电子政务等级保护实现方法 27 号文件指出,实行信息安全等级保护时“要重视信息安全风险评估工作, 对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综 合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进 行相应等级的安全建设和管理” 。电子政务等级保护的实现方法如图 2-1 所示: 湖南工业职业技术学院 网络技术专业教学资源库 7 图图 2-1
20、电子政务等级保护的实现电子政务等级保护的实现方法方法 2.2.4电子政务系统实施等级保护的方法 1.依据电子政务安全等级的定级规则,确定电子政务系统的安全等级; 2.按照电子政务等级保护要求,确定与系统安全等级相对应的基本安全要 求; 3.依据系统基本安全要求,并综合平衡系统安全保护要求、系统所面临风 险和实施安全保护措施的成本,进行安全保护措施的定制,确定适用于特定电 子政务系统的安全保护措施,并依照本指南相关要求完成规划、设计、实施和 验收。 3. 实施实施过程过程 电子政务等级保护的实施过程包括三个阶段,分别为: 1.定级阶段 2.规划与设计阶段 3.实施、等级评估与改进阶段 湖南工业职
21、业技术学院 网络技术专业教学资源库 8 图图 2-1 电子政务等级保护的基本流程电子政务等级保护的基本流程 第一阶段:定级 定级阶段主要包括两个步骤: 1. 系统识别与描述 清晰地了解政务机构所拥有的电子政务系统,根据需要将复杂电子政 务系统分解为电子政务子系统,描述系统和子系统的组成及边界。 2. 等级确定 完成电子政务系统总体定级和子系统的定级。 第二阶段:规划与设计 规划与设计阶段主要包括三个步骤,分别为: 1. 系统分域保护框架建立 通过对电子政务系统进行安全域划分、保护对象分类,建立电子政务 湖南工业职业技术学院 网络技术专业教学资源库 9 系统的分域保护框架。 2. 选择和调整安全
22、措施 根据电子政务系统和子系统的安全等级,选择对应等级的基本安全要 求,并根据风险评估的结果,综合平衡安全风险和成本,以及各系统特定 安全要求,选择和调整安全措施,确定出电子政务系统、子系统和各类保 护对象的安全措施。 3. 安全规划和方案设计 根据所确定的安全措施,制定安全措施的实施规划,并制定安全技术 解决方案和安全管理解决方案。 第三阶段:实施、等级评估与改进 实施、等级评估与改进阶段主要包括三个步骤,分别为: 1. 安全措施的实施 依据安全解决方案建设和实施等级保护的安全技术措施和安全管理措 施。 2. 评估与验收 按照等级保护的要求,选择相应的方式来评估系统是否满足相应的等 级保护要
23、求,并对等级保护建设的最终结果进行验收。 3. 运行监控与改进 运行监控是在实施等级保护的各种安全措施之后的运行期间,监控系 统的变化和系统安全风险的变化,评估系统的安全状况。如果经评估发现 系统及其风险环境已发生重大变化,新的安全保护要求与原有的安全等级 已不相适应,则应进行系统重新定级。如果系统只发生部分变化,例如发 现新的系统漏洞,这些改变不涉及系统的信息资产和威胁状况的根本改变, 则只需要调整和改进相应的安全措施。 对于大型复杂电子政务系统,等级保护过程可以根据实际情况进一步加强 和细化,以满足其复杂性的要求。附录 B 给出了大型复杂电子政务系统等级保 护实施过程的示例。 新建电子政务
24、系统的等级保护工作与已经建成的电子政务系统之间,在等 级保护工作的切入点方面是不相同的,它们各自的切入点及其对应关系如图 2-3 所示。 新建电子政务系统在启动时,应当按照等级保护的要求来建设。 1.系统规划阶段,应分析并确定所建电子政务系统的安全等级,并在项目 建议书中对系统的安全等级进行论证。 2.系统设计阶段,要根据所确定的系统安全等级,设计系统的安全保护措 湖南工业职业技术学院 网络技术专业教学资源库 10 施,并在可行性分析中论证安全保护措施; 3.系统实施阶段,要与信息系统建设同步进行信息安全等级保护体系的实 施,之后进行等级评估和验收。 4.系统运行维护阶段,要按照所建立的等级保
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络工程规划与设计案例教程 网络 工程规划 设计 案例 教程 项目 任务 电子 政务信息 安全 等级
链接地址:https://www.31doc.com/p-2231674.html