国家电子政务信息安全试点培训

电子政务信息平安等级保护实施指南

2005年11月8日天马行空官方博客：://；；QQ群文件确定未来3－5年的信息平安纲领天马行空官方博客：://；；QQ群：175569632当前我国信息平安保障工作的九大任务实行信息平安等级保护加强以密码技术为根底的信息保护和网络信任体系建设建设和完善信息平安监控体系重视信息平安应急处理工作加强信息平安技术研究开发，推进信息平安产业开展加强信息平安法制建设标准化建设加快信息平安人才培养，增强全民信息平安意识保证信息平安资金加强对信息平安保障工作的领导，建立健全信息平安管理责任制安全目标基础网络数据业务等级保护的根本概念区域5区域4区域3区域2区域1等级化信息安全体系框架平安措施技术运行组织策略统一终端管理内网监控边界保护策略发布策略制定组织建设运维手册岗位职责检查考核电子政务等级保护的含义实行信息平安等级保护：信息化开展的不同阶段和不同的信息系统有着不同的平安需求，必须从实际出发，综合平衡平安本钱和风险，优化信息平安资源的配置，确保重点。要重点保护根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统。电子政务等级保护的含义依据电子政务系统的使命与目标和系统重要程度，将系统划分为不同的平安等级，并综合平衡考虑系统平安要求、系统所面临平安风险和实施平安保护措施的本钱，进行平安措施的调整和定制，形成不同等级的平安措施进行保护电子政务等级保护工作的内容等级保护管理方法等级保护定级指南根本平安要求等级评估标准定级确定平安保障措施平安设计与建设运行监控与改进管理层用户层电子政务等级保护的根本原那么重点保护原那么：电子政务等级保护要突出重点，重点保护关系国家平安、经济命脉、社会稳定等方面的重要电子政务系统，集中资源首先确保重点系统平安。自主保护原那么：电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责〞的原那么，由各主管部门和运营单位依照国家相关法规和标准，自主确定电子政务系统的平安等级并组织实施平安防护。分区域保护原那么：电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同开展水平，分类、分级、分阶段进行实施，通过划分不同平安保护等级的区域，实现不同强度的平安保护。同步建设、动态调整原那么：电子政务系统在新建、改建、扩建时应当同步建设信息平安设施，保障信息平安与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，平安保护等级需要变更的，应当重新确定系统的平安保护等级。电子政务的五个平安等级安全等级等级名称基本描述安全保护要求第一级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下，按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和运营单位对电子政务系统进行专门控制和保护。安全等级等级名称基本描述安全保护要求第一级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。电子政务的五个平安等级－1安全等级等级名称基本描述安全保护要求第一级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下，按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和运营单位对电子政务系统进行专门控制和保护。安全等级等级名称基本描述安全保护要求第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下，按照国家标准自主进行保护。电子政务的五个平安等级－2电子政务的五个平安等级－3安全等级等级名称基本描述安全保护要求第一级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下，按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和运营单位对电子政务系统进行专门控制和保护。安全等级等级名称基本描述安全保护要求第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。安全等级等级名称基本描述安全保护要求第一级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下，按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和运营单位对电子政务系统进行专门控制和保护。安全等级等级名称基本描述安全保护要求第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。电子政务的五个平安等级-4安全等级等级名称基本描述安全保护要求第一级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下，按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和运营单位对电子政务系统进行专门控制和保护。安全等级等级名称基本描述安全保护要求第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和运营单位对电子政务系统进行专门控制和保护。电子政务的五个平安等级-5电子政务平安措施的等级指标电子政务平安措施等级指标是满足不同等级电子政务系统根本平安要求的平安措施集合。电子政务平安措施指标体系包括五个级别，从第一级至第五级，对应第1－5级的电子政务系统。电子政务的平安措施指标体系可以分解为平安策略、平安组织、平安技术和平安运行四个方面的平安指标。2级要求：采用设备提供的多级用户管理授权，对每一个不同的用户授予不同的设备管理权限。信息平安等级化指标库举例平安体系指标框架技术框架网络根底设施网络设备管理网络设备管理授权1级要求：采用网络设备自身提供的普通/特权两级授权管理机制管理设备。对应措施：?网络设备配置标准??网络设备管理流程??网络设备配置检查流程?3级要求：采用集中统一设备管理授权，通过中心效劳器实现对各个设备的用户管理、用户授权。例如TACACS+、RADIOUS等。量化了平安要求量化了平安措施电子政务等级保护的根本要素电子政务系统使命与目标信息平安等级平安保护要求平安风险平安保护措施平安保护本钱等级保护各要素之间的关系根本关系是不同等级的电子政务系统对应不同等级的平安措施核心问题是平安措施确实定平安措施需要满足系统保护要求，对抗系统所面临的风险系统保护要求确实定：不同电子政务系统的使命和业务目标的差异性，业务和系统本身的特性〔所属信息资产特性、实际运行情况和所处环境等〕的差异性，决定了系统保护要求特性〔平安保护要求的类型和强度〕的差异性。平安措施确实定：系统保护要求类型和强度的差异性，平安风险的差异性，决定了选择不同类型和强度的平安措施；平安措施的选择需要符合系统保护要求的满足程度，面临风险的控制和降低程度和实施平安措施的本钱三者之间的平衡，在适度本钱下实现适度平安电子政务等级保护是以等级化的电子政务保护对象和电子政务平安措施等级指标为参照系，以风险管理过程为主线，建立并实施电子政务等级保护体系的过程。电子政务等级保护的实现原理电子政务等级保护实施过程等级保护过程与新建和已建系统生命周期对应关系系统间互联互通的等级保护要求同等级电子政务系统之间的互联互通：由系统的拥有单位参照该等级的平安措施等级指标对访问控制的要求，协商确定边界防护措施，保障互联互通电子政务系统的平安不同等级电子政务系统间的互联互通：各系统要按照自身相应的平安等级要求进行保护，在此根底上协商对相互连接的保护。同时，高平安等级的系统要充分考虑引入低平安等级系统后带来的风险，采取有效措施进行控制。涉密系统与其它系统的互联互通，按照国家保密部门的有关规定执行。电子政务系统互联互通中的密码配置按照国家密码管理部门的要求执行。定级的方式与过程电子政务系统定级可以采用以下两种方式进行：对系统整体定级：系统整体定级是在识别出政务机构所拥有的电子政务系统后，针对系统整体确定其平安等级。将系统分解为子系统后分别定级：假设规模庞大、系统复杂，那么可以将系统分解为多层次的多个子系统后，对所分解的每个子系统分别确定其平安等级。定级原那么依据电子政务五个平安等级的根本要求，从信息平安的保密性、完整性、可用性三个根本属性在遭到破坏时对政务机构履行其政务职能、机构财产、人员造成的影响来定义平安级别，并划分为五个等级。平安级别确实定应在单位层面和国家层面的整体环境下进行考虑。平安级别第一级对政务机构自身造成较小的负面影响,包括：对政务机构履行其政务职能带来较小的负面影响，政务机构还可以履行其根本的政务职能，但效率有较小程度的降低；对政务机构、相关单位、人员造成较小经济损失；对政务机构、相关单位、人员的形象或名誉造成较小影响；不会造成人身伤害；不会造成犯罪或防碍对犯罪行为的调查；平安级别第二级对政务机构自身造成中等程度的负面影响,包括：对政务机构运行带来中等程度的负面影响，政务机构还可以履行其根本的政务职能，但效率有较大程度的降低；对政务机构、相关单位、人员造成一定程度的经济损失；对政务机构、相关单位、人员的形象或名誉造成一定程度的负面影响；造成轻微的人身伤害；不会造成犯罪或防碍对犯罪行为的调查；平安级别第三级对政务机构自身造成较大的负面影响，对国家平安造成一定程度的损害，包括：对政务机构运行带来较大的负面影响，政务机构的一项或多项政务职能无法履行；对政务机构、相关单位、人员造成较大经济损失；对政务机构、相关单位、人员的形象或名誉造成较大的负面影响；导致严重的人身伤害；导致犯罪或防碍对犯罪行为的调查；平安级别第四级对政务机构自身造成严重的负面影响，对国家平安造成较大损害，包括：对政务机构运行带来严重的负面影响，政务机构的多项政务职能无法履行，并在省级行政区域范围内造成严重影响；对国家造成严重的经济损失；对国家形象造成严重影响；导致较多的人员伤亡；导致危害国家平安的犯罪行为；平安级别第五级对政务机构自身造成极其严重的负面影响，对国家平安造成严重损害，包括：对政务机构运行带来较小的负面影响，中央政务机构的一项或多项政务职能无法履行，并在全国范围内造成极其严重的影响；对国家造成极大的经济损失；对国家形象造成极大影响；导致大量人员伤亡；导致危害国家平安的严重犯罪行为；定级方法考虑信息和效劳两个因素，通过对每一类信息和效劳平安级别的分析，得到系统三性的级别，最终确定系统的平安等级。平安级别可以根据实际情况进行调整。系统定级公式：系统平安等级(A)＝Max{(系统保密性级别),(系统完整性级别),(系统可用性级别)}系统保密性级别＝Max{(各信息或效劳的保密性级别)}系统完整性级别＝Max{(各信息或效劳的完整性级别)}系统可用性级别＝Max{(各信息或效劳的可用性级别)}平安规划与设计的过程平安域划分原那么功能应用相似性原那么平安属性相似性原那么资产价值平安要求平安威胁保护对象分类建立系统分域保护框架的方法充分覆盖互不重叠无需细分如何构建系统分域保护框架选择和调整平安措施的过程平安措施调整因素和调整方式序号调整因素调整方式1三性等级中的1－2项低于系统安全等级降低对应控制项的等级2出现基本安全要求之外的特定安全要求增加控制项3不存在基本安全要求所要控制的安全风险删减控制项4风险评估识别出的风险在基本安全要求中没有控制项增加控制项5与相应基本安全要求提供的安全强度相比，风险较低降低控制项的强度等级6与对应基本安全要求提供的安全强度相比，风险较高提高控制项的强度等级7相应基本安全要求中某些措施成本太高，无法承受通过其他措施进行弥补平安规划与方案设计平安需求分析平安现状和等级要求之间的差距平安工程规划对平安工程的相关性、紧迫性、难易程度和预期效果等因素进行分析，确定实施的先后顺序平安工作规划确定平安工作的宗旨、远期平安工作目标和当年目标、关键和重点的工作，并分析潜在的风险和障碍、所需的资源和预算，进行实施策略选择，确定当年的平安工作方案和