关于电子政务信息安全等级保护相关文件的学习报告

关于电子政务信息安全等级保护相关文件的学习报告1 引言1.1 编写目的国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327 号，以下简称“27 号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004 年9 月发布的关于信息安全等级保护工作的实施意见（公通字200466 号，以下简称“66 号文件”）进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。27 号文件和66 号文件不但为各行业开展信息安全等级保护工作指明了方向，同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。电子政务作为国家信息化战略的重要组成部分，其安全保障事关国家安全和社会稳定，必须按照27 号文件要求，全面实施信息安全等级保护。因此，组织编制电子政务信息安全等级保护实施指南，规范电子政务信息安全等级保护工作的基本思路和实施方法，指导我国电子政务建设中的信息安全保障工作，对搞好电子政务信息安全保障具有十分重要的现实意义。1.2 适用范围本指南提供了电子政务信息安全等级保护的基本概念、方法和过程，适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。1.3 文档结构本指南包括五个章节和两个附录。第1章为引言，介绍了本指南的编写目的、适用范围和文档结构；第2章为基本原理，描述了等级保护的概念、原理、实施过程、角色与职责，以及系统间互联互通的等级保护要求；第3章描述了电子政务等级保护的定级，包括定级过程、系统识别和描述、等级确定；第4章描述了电子政务等级保护的安全规划与设计，包括电子政务系统分域报护框架的建立，选择和调整安全措施，以及安全规划与方案设计；第5章描述了安全措施的实施、等级评估，以及等级保护的运行改进。2 基本原理2.1 基本概念2.1.1 电子政务等级保护的基本含义信息安全等级保护是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化健康发展的基本策略。27 号文件对信息安全等级保护做出了系统的描述“信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度，结合系统面临的风险、系统特定安全保护要求和成本开销等因素，将其划分成不同的安全保护等级，采取相应的安全保护措施，以保障信息和信息系统的安全。电子政务等级保护工作分为管理层面和用户层面两个方面的工作。管理层的主要工作是制定电子政务信息安全等级保护诉讼的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等。用户层的主要工作是依据管理层的要求对电子政务系统进行定级，确定系统应采取的安全保障措施，进行系统安全设计与建设，以及运行监控与改进。本指南的内容主要针对用户层面的工作。电子政务信息安全等级保护遵三循以下原则：a） 重点保护原则电子政务等级保护要突出重点。对关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统，应集中资源优先建设。b） “谁主管谁负责、谁运营谁负责”原则电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则，由各主管部门和运营单位依照国家相关法规和标准，自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。c） 分区域保护原则电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平，分类、分级、分阶段进行实施，通过划分不同的安全区域，实现不同强度的安全保护。d） 同步建设原则电子政务系统在新建、改建、扩建时应当同步建设信息安全设施，保证信息安全与信息化建设相适应。e) 动态调整原则由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中，因此信息与信息系统的安全保护等级需要根据变化情况，适时重新确定，并相应调整对应的保护措施。2.1.2 电子政务安全等级的层级划分66 号文件中规定信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。按66 号文件的规定，对电子政务的五个安全等级定义如表2-1 所示。2.1.3 电子政务等级保护的基本安全要求电子政务等级保护基本安全要求是对各等级电子政务系统的一般性要求，分为五个等级，从第一级至第五级，对应于五个等级的电子政务系统。对特定电子政务系统的安全保护，以其相应等级的基本安全要求为基础，通过对安全措施的调整和定制，得到适用于该电子政务系统的安全保护措施。电子政务等级保护基本安全要求分为安全策略、安全组织、安全技术和安全运行四个方面。a） 安全策略安全策略是为了指导和规范电子政务信息安全工作而制定的安全方针、管理制度、规范标准、操作流程和记录模板等文档的总和。安全策略具有层次化的结构，包括整体安全策略、部门级安全策略、系统级安全策略等。b） 安全组织安全组织是为了保障电子政务信息安全而建立的组织体系，包括各级安全组织机构、岗位安全职责、人员安全管理、第三方安全管理、安全合作与沟通等方面。c） 安全技术安全技术是指保障电子政务信息安全的安全技术功能要求和安全技术保障要求，包括网络与通讯安全、主机与平台安全、数据库安全、应用安全、数据安全、物理环境安全等方面。d） 安全运行安全运行市委了保障电子政务系统运行过程中的安全而制定的安全运维要求，包括风险管理、配置和变更管理、信息系统工程安全管理、日常运行管理、技术资料安全、应急响应等方面。具体的电子政务等级保护基本安全要求参见相关的国家标准。2.2 基本方法2.2.1 等级保护的要素及其关系电子政务等级保护的基本原理是：依据电子政务系统的使命、目标和重要程度，将系统划分为不同的安全等级，并综合平衡系统特定安全保护要求、系统面临安全风险情况和实施安全保护措施的成本，进行安全措施的调整和定制，形成与系统安全等级相适应的安全保障体系。电子政务等级保护包含以下七个要素：a） 电子政务系统电子政务系统是信息安全等级保护的对象，包括系统中的信息、系统所提供的服务，以及执行信息处理、存储、传输的软硬件设备等。b） 目标目标是指电子政务系统的业务目标和安全目标，电子政务等级保护要保障业务目标和安全目标的实现。c） 电子政务信息安全等级电子政务信息安全等级划分为五级，分别体现在电子政务系统的等级和安全保护的等级两个方面。d） 安全保护要求不同的电子政务系统具有不同类型和不同强度的安全保护要求。e） 安全风险安全风险是指电子政务系统由于本身存在安全弱点，通过人为或自然的威胁可能导致安全事件的发生。安全风险由安全事件发生的可能性及其造成的影响这两种指标来综合衡量。f） 安全保护措施安全保护措施是用来对抗安全风险、满足安全保护要求、保护电子政务系统和保障电子政务目标实现的措施，包括安全管理措施和安全技术措施。g） 安全保护措施的成本不同类型和强度的安全保护措施的实现需要不同的成本，安全保护措施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。电子政务等级保护各要素之间的关系是：a） 电子政务系统的安全等级由系统的使命、目标和系统重要程度决定。b） 安全措施需要满足系统安全保护要求，对抗系统所面临的风险。1) 不同电子政务系统的使命和业务目标的差异性，业务和系统本身的特性（所属信息资产特性、实际运行情况和所处环境等）的差异性，决定了系统安全保护要求特性（安全保护要求的类型和强度）的差异性。2) 系统保护要求类型和强度的差异性，安全风险情况的差异性，决定了选择不同类型和强度的安全措施。c） 电子政务安全措施的确定需要综合平衡系统保护要求的满足程度、系统面临风险的控制和降低程度、系统残余风险的接受程度、以及实施安全措施的成本，在适度成本下实现适度安全。2.2.2 电子政务等级保护实现方法27 号文件指出，实行信息安全等级保护时“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理”。电子政务等级保护的实现方法如图2-1 所示：_电子政务系统实施等级保护的方法是：a） 依据电子政务安全等级的定级规则，确定电子政务系统的安全等级；b） 按照电子政务等级保护要求，确定与系统安全等级相对应的基本安全要求；c） 依据系统基本安全要求，并综合平衡系统安全保护要求、系统所面临风险和实施安全保护措施的成本，进行安全保护措施的定制，确定适用于特定电子政务系统的安全保护措施，并依照本指南相关要求完成规划、设计、实施和验收。2.3 实施过程电子政务等级保护的实施过程包括三个阶段，分别为：a） 定级阶段b） 规划与设计阶段c） 实施、等级评估与改进阶段电子政务等级保护的基本流程如图2-2 所示:第一阶段：定级定级阶段主要包括两个步骤：a） 系统识别与描述清晰地了解政务机构所拥有的电子政务系统，根据需要将复杂电子政务系统分解为电子政务子系统，描述系统和子系统的组成及边界。b） 等级确定完成电子政务系统总体定级和子系统的定级。第二阶段：规划与设计规划与设计阶段主要包括三个步骤，分别为：系统分域保护框架建立通过对电子政务系统进行安全域划分、保护对象分类，建立电子政务系统的分域保护框架。b） 选择和调整安全措施根据电子政务系统和子系统的安全等级，选择对应等级的基本安全要求，并根据风险评估的结果，综合平衡安全风险和成本，以及各系统特定安全要求，选择和调整安全措施，确定出电子政务系统、子系统和各类保护对象的安全措施。c） 安全规划和方案设计根据所确定的安全措施，制定安全措施的实施规划，并制定安全技术解决方案和安全管理解决方案。第三阶段：实施、等级评估与改进实施、等级评估与改进阶段主要包括三个步骤，分别为：a） 安全措施的实施依据安全解决方案建设和实施等级保护的安全技术措施和安全管理措施。b） 评估与验收按照等级保护的要求，选择相应的方式来评估系统是否满足相应的等级保护要求，并对等级保护建设的最终结果进行验收。c） 运行监控与改进运行监控是在实施等级保护的各种安全措施之后的运行期间，监控系统的变化和系统安全风险的变化，评估系统的安全状况。如果经评估发现系统及其风险环境已发生重大变化，新的安全保护要求与原有的安全等级已不相适应，则应进行系统重新定级。如果系统只发生部分变化，例如发现新的系统漏洞，这些改变不涉及系统的信息资产和威胁状况的根本改变，则只需要调整和改进相应的安全措施。对于大型复杂电子政务系统，等级保护过程可以根据实际情况进一步加强和细化，以满足其复杂性的要求。附录B 给出了大型复杂电子政务系统等级保护实施过程的示例。新建电子政务系统的等级保护工作与已经建成的电子政务系统之间，在等级保护工作的切入点方面是不相同的，它们各自的切入点及其对应关系如图2-3 所示。新建电子政务系统在启动时，应当按照等级保护的要求来建设。a） 系统规划阶段，应分析并确定所建电子政务系统的安全等级，并在项目建议书中对系统的安全等级进行论证。b） 系统设计阶段，要根据所确定的系统安全等级，设计系统的安全保护措施，并在可行性分析中论证安全保护措施；c） 系统实施阶段，要与信息系统建设同步进行信息安全等级保护体系的实施，之后进行等级评估和验收。d） 系统运行维护阶段，要按照所建立的等级保护体系的要求，进行安全维护与安全管理。e） 系统废弃阶段，要按照所建立的等级保护体系的要求，对废弃过程进行有效的安全管理。对于已建的电子政务系统，由于在系统规划、设计和实施阶段没有考虑等级保护的要求，因此等级保护工作的切入点是系统运行维护阶段。在确定要实施等级保护工作之后，应对系统进行安全现状分析，深入认识和理解机构所拥有的电子政务系统，对每个系统进行定级，之后进行等级保护的安全规划和方案设计，最后进行实施、评估和验收。2.4 角色及职责电子政务等级保护工作主要包括决策者、技术负责人、实施人员三类角色。a） 决策者决策者是政务机构中对本单位实施电子政务信息安全等级保护工作的最终决策人。决策者在等级保护中的职责如下：1) 组织、协调和推动本单位电子政务等级保护工作；2) 负责最终确定本单位电子政务系统的安全等级；3) 领导和监督本单位电子政务等级保护体系的建设工作；4) 与本单位电子政务等级保护建设的上级主管部门进行沟通和协调，组织、配合等级评审与验收；5) 监督本单位电子政务等级保护体系的运行与改进。b） 技术负责人技术负责人是对本单位实施电子政务信息安全等级保护工作的决策支持者、技术决策人和实施管理者。技术负责人在等级保护中的职责如下：1) 协助决策者组织、协调和推动本单位电子政务等级保护的工作；2) 向决策者提供本单位电子政务系统安全定级的建议及依据；3) 组织实施本单位电子政务等级保护体系的建设；4) 组织和总结本单位等级保护的实施情况，配合上级主管部门进行等级评估和验收；5) 组织实施本单位电子政务等级保护体系的运行与改进。c） 实施人员实施人员是政务机构中实施信息安全等级保护的具体工作人员。实施人员在等级保护中的职责如下：1) 分析本单位电子政务系统，收集定级理由和证据；2) 在技术负责人的领导下，具体组织和参与完成等级保护各阶段的工作。2.5 系统间互联互通的等级保护要求不同安全等级的电子政务系统之间可以根据业务需要进行互联互通。不同安全等级的系统互联互通，要根据系统业务要求和安全保护要求，制定相应的互联互通安全策略，包括访问控制策略和数据交换策略等。要采取相应的边界保护、访问控制等安全措施，防止高等级系统的安全受低等级系统的影响。电子政务系统间的互联互通遵循以下要求：a） 同等级电子政务系统之间的互联互通由系统的拥有单位参照该等级对访问控制的要求，协商确定边界防护措施和数据交换安全措施，保障电子政务系统间互联互通的安全。b） 不同等级电子政务系统间的互联互通各系统在按照自身安全等级进行相应保护的基础上，协商对相互连接的保护。高安全等级的系统要充分考虑引入低安全等级系统后带来的风险，采取有效措施进行控制。c） 涉密系统与其它系统的互联互通，按照国家保密部门的有关规定执行。d） 电子政务系统互联互通中的密码配置按照国家密码管理部门的要求执行。3 定级电子政务系统定级可以采用以下两种方式进行：a） 对系统总体定级系统总体定级是在识别出政务机构所拥有的电子政务系统后，针对系统整体确定其安全等级。b） 将系统分解为子系统后分别定级政务机构所拥有的电子政务系统如果规模庞大、系统复杂，则可以将系统分解为多层次的多个子系统后，对所分解的每个子系统分别确定其安全等级。3.1 定级过程 定级阶段的主要目标是确定电子政务系统及其子系统的安全等级。定级结果是进行安全规划与设计的基础，定级结果应按照相关管理规定提交相关管理部门备案。定级阶段工作主要包含两个过程：a） 系统识别与描述应准确识别并描述出整体的电子政务系统，以及系统可以分解的子系统。系统识别要确定系统的范围和边界，识别系统包含的信息和系统提供的服务，作为后续定级工作的输入。b） 等级确定进行系统整体定级和子系统分别定级，形成系统的定级列表，作为后续阶段工作的基础。定级工作流程如图3-1 所示。3.2 系统识别与描述3.2.1 系统整体识别与描述实施等级保护工作首先要求政务机构对其拥有的或拟建的电子政务系统进行深入的识别和描述，识别和描述的内容至少包括如下信息：a） 系统基本信息系统名称，系统的简要描述，所在地点等。b） 系统相关单位负责定级的责任单位，系统所属单位，系统运营单位，主管部门，安全运营单位，安全主管部门等。c） 系统范围和边界描述系统所涵盖的信息资产范围、使用者和管理者范围、行政区域范围和网络区域范围等，并清晰描述出其边界。d） 系统提供的主要功能或服务从整体层面描述系统所提供的主要功能或服务，即对公众、企业、相关政府机关、内部用户等提供的主要服务。e） 系统所包含的主要信息描述系统所输入、处理、存储、输出的主要信息和数据。3.2.2 划分子系统的方法3.2.2.1 划分原则对政务机构所拥有的大型复杂电子政务系统，可以将其划分为若干子系统进行定级，子系统划分基于以下原则：a） 按照系统服务对象划分电子政务系统的服务对象即目标用户，包括社会公众、企事业单位、机构内部人员、其它政务机构等。依据其所服务的目标用户可分为以下几类系统：1) 政务机构对公民的电子政务系统2) 政务机构对企业的电子政务系统3) 政务机构对政务机构的电子政务系统4) 政务机构对公务员的电子政务系统b） 按系统功能类型划分根据系统的功能类型或提供的服务类型划分子系统。划分时除了考虑到对外部用户（社会公众、企事业单位、其它政务机构）提供服务的对外业务系统，对内部用户（内部公务员、领导）提供服务的内部办公和管理系统外，还应考虑到对前两类系统提供承载、支撑和管理作用的支持系统，如网络承载平台、网管系统、安全系统等。c） 按照网络区域划分根据电子政务系统建设现状，系统可能运行在不同的电子政务网络范围内，不同的电子政务网络在涉密程度、隔离模式和管理模式上差异较大，所以可以按照电子政务系统运行的网络区域进行子系统划分。d） 按行政级别划分按系统所处的行政级别，如中央、省部级、地市级、县区级等进行子系统划分。3.2.2.2 子系统划分方法在子系统划分时，应根据系统实际情况和管理模式，综合考虑子系统划分的四个原则，确定适用于各电子政务系统的子系统划分标准。划分时可以选择一个原则，也可以同时选用多个原则作为划分标准，如以某一个或两个要素为主要划分标准，其余为辅助划分标准。对于规模庞大的系统，为了便于描述，一般应按照多个层次逐级进行划分。具体的划分方法可参考附录B：大型复杂电子政务系统等级保护实施过程示例。3.2.3 子系统识别与描述子系统的识别与描述可参照3.2.1 系统整体识别与描述。3.3 等级确定3.3.1 电子政务安全属性描述电子政务安全等级主要依据系统的信息安全属性被破坏后所造成的影响来确定。电子政务信息安全属性包括三个方面：保密性、完整性、可用性。a） 保密性确保电子政务系统中的信息只能被授权的人员访问。保密性破坏是指电子政务系统中各类信息的未授权泄漏。电子政务系统中的信息依据其保密程度分为以下类别：1) 涉及国家秘密的信息，包括绝密级、机密级和秘密级信息；2) 敏感信息，指不涉及国家秘密，但在政务工作过程中需要一定范围保密，不对社会公众开放的信息；3) 公开信息，指对社会公众开放的信息。b） 完整性确保电子政务系统中信息及信息处理方法的准确性和完备性。完整性破坏是指对电子政务系统中信息和系统的未授权修改和破坏。电子政务完整性目标包括两个方面：1) 电子政务系统中存储、传输和处理的信息完整性保护；2) 电子政务系统本身的完整性保护。系统完整性保护涉及从物理环境、基础网络、操作系统、数据库系统、电子政务应用系统等信息系统的每一个组成部分的完整性保护。c） 可用性确保已授权用户在需要时可以访问电子政务系统中的信息和相关资产。可用性破坏是指电子政务系统所提供服务的中断，授权人员无法访问电子政务系统和信息。可用性目标是保证授权用户能及时可靠地访问信息、服务和系统资源，不因人为或自然的原因使系统中信息的存储、传输或处理延迟，或者系统服务被破坏或被拒绝达到不能容忍的程度。电子政务可用性目标保护包括两个方面：1) 电子政务系统所提供的服务的可用性；2) 电子政务系统中存储、传输和处理的信息的可用性。3.3.2 定级原则电子政务系统的安全等级可从信息安全的保密性、完整性、可用性三个基本属性在遭到破坏时对政务机构履行其政务职能、机构财产、人员造成的影响来确定。a） 安全等级第一级对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成较小的负面影响，包括：1) 对政务机构运行带来较小的负面影响，政务机构还可以履行其基本的政务职能，但效率有较小程度的降低；2) 对政务机构、相关单位、人员造成较小经济损失；3) 对政务机构、相关单位、人员的形象或名誉造成较小影响；4) 不会造成人身伤害。b） 安全等级第二级对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响，包括：1) 对政务机构运行带来中等程度的负面影响，政务机构还可以履行其基本的政务职能，但效率有较大程度的降低；2) 对政务机构、相关单位、人员造成一定程度的经济损失；3) 对政务机构、相关单位、人员的形象或名誉造成一定程度的负面影响；4) 造成轻微的人身伤害。c） 安全等级第三级对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害，包括：1) 对政务机构运行带来较大的负面影响，政务机构的一项或多项政务职能无法履行；2) 对政务机构、相关单位、人员造成较大经济损失；3) 对政务机构、相关单位、人员的形象或名誉造成较大的负面影响；4) 导致严重的人身伤害。d） 安全等级第四级对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害，包括：1) 对政务机构运行带来严重的负面影响，政务机构的多项政务职能无法履行，并在省级行政区域范围内造成严重影响；2) 对国家造成严重的经济损失；3) 对国家形象造成严重影响；4) 导致较多的人员伤亡；5) 导致危害国家安全的犯罪行为。e） 安全等级第五级对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害，包括：1) 对政务机构运行带来极其严重的负面影响，中央政务机构的一项或多项政务职能无法履行，并在全国范围内造成极其严重的影响；2) 对国家造成极大的经济损失；3) 对国家形象造成极大影响；4) 导致大量人员伤亡；5) 导致危害国家安全的严重犯罪行为。电子政务五个安全等级在保密性、完整性和可用性三个安全属性方面的描述如表3-1 所示。 3.3.3 定级方法确定电子政务安全等级的基本方法是：通过确定系统保密性、完整性和可用性三个方面的安全等级来综合确定系统的安全等级。定级方法适用于电子政务系统整体定级和各子系统定级。对大型复杂系统，可以引入业务系统等级确定方法，具体方法可以参照附录B：大型复杂电子政务系统等级保护实施过程示例。系统定级主要考虑两个方面：一是系统中所存储、处理、传输的主要信息，二是系统所提供的主要服务。通过对每一类信息和服务安全等级的分析，最终确定系统的安全等级。系统安全等级是系统中各类信息和服务安全等级的最大值，并且可以根据系统整体实际情况进行调整，确定系统最终的安全等级。某个电子政务系统（假设其名称为A）的安全等级可以表示为：安全等级(A)Max (系统保密性等级) ,(系统完整性等级),(系统可用性等级)其中：系统保密性等级Max (各信息或服务的保密性等级) 系统完整性等级Max (各信息或服务的完整性等级) 系统可用性等级Max (各信息或服务的可用性等级) 电子政务系统A 最终的安全等级为系统保密性等级、系统完整性等级、系统可用性等级中的最大值。举例：某个政务机构招标采购系统进行定级，系统中包含两类信息和一种服务，一类信息为开标前各投标单位的投标信息，另一类信息为系统管理信息，系统提供的服务为招标服务。投标信息的保密性等级为3，完整性等级为2，可用性等级为2；系统管理信息的保密性等级为1，完整性等级为1，可用性等级为1；招标服务的保密性等级为1，完整性等级为1，可用性等级为2。通过比较两类信息各安全属性等级的最大值，得到系统在三个安全属性方面的等级：系统保密性等级Max (投标信息保密性等级：3),(系统管理信息保密性等级：1) ,(招标服务保密性等级：1) 3系统完整性等级Max (投标信息完整性等级：2),(系统管理信息完整性等级：1) ,(招标服务完整性等级：1) 2，系统可用性等级Max (投标信息可用性等级：2),(系统管理信息可用性等级：1) ，标服务可用性等级：2) 2，得到该政务机构招标采购系统的安全等级为：安全等级(投标采购系统)= Max (保密性等级：3),(完整性等级：2),(可用性等级：2)3该政务机构招标采购系统的最终安全等级确定为3。3.3.4 复杂系统定级方法对于包括多个子系统的复杂电子政务系统，定级可以包括系统总体安全等级和各子系统的安全等级。系统总体定级和各子系统定级可以分别采用自上向下的定级方式和自下向上的定级方式，也可以综合两种方式进行。3.3.4.1 自上向下的定级方式自上向下的定级方式是从系统总体等级向下细化出子系统等级的方式。首先依据系统的整体情况，根据定级规则对电子政务系统进行总体定级，然后根据系统总体安全等级，对子系统采用同一等级或适当降低等级，从而确定子系统等级。自上向下定级方式是从整体系统的属性出发，向下细分，通过考虑整体系统的使命、整体业务框架、业务特性、安全要求、系统在国家层面的定位等，来把握系统整体的安全等级。自上向下的定级方式包含如下步骤：a） 确定整体系统的等级，即总体定级1) 对整体系统识别的主要信息或服务分别分析其保密性、完整性和可用性的等级，得到一个列表；2) 按照系统定级规则，计算得到整体系统的保密性、完整性和可用性的初始安全等级，和初始的总体定级；3) 对已确定的系统三性的初始安全等级和初始的总体定级应进行适用性评审，评审时要考虑系统在政务机构履行其职能中所起的作用、系统的使命、整体业务框架、系统在国家层面的定位，以及本系统的外部环境等因素。对于等级不合适的部分进行调整，最后确定系统的最终安全等级。b） 确定各子系统的等级1) 从总体等级出发，对子系统采用相同等级或适当降低等级，从而确定子系统等级；2) 也可以对各子系统识别的每一类信息或服务分别分析其保密性、完整性和可用性的等级，按照系统定级规则确定各子系统等级；3) 把上述的两种定级结果进行比较，最终确定各子系统的等级。3.3.4.2 自下向上的定级方式自下向上的定级方式是从各子系统定级向上综合确定系统总体安全等级的方式。首先依据各子系统的属性，根据定级规则对各子系统进行定级，然后以各子系统的安全等级为基础，综合考虑，得到系统总体的安全等级。自下向上的定级方式从各个子系统的属性出发，通过考虑各个子系统的实际情况、所处的环境、之间的差异性来确定各子系统的安全等级。自下向上的定级方式包含如下步骤：a） 确定各子系统的等级1) 对各子系统已识别的每一类信息或服务分别分析其保密性、完整性和可用性的等级，得到一系列的列表；2) 针对每个子系统，按照系统定级规则得到各子系统安全等级。b） 确定整体系统的等级，即总体定级对各子系统等级进行总结和分析，确定整体系统的等级。总体安全等级的确定可以选用最高的子系统等级，但对于只有比例极少的子系统是最高等级的情况下，可以调低一级。4 安全规划与设计电子政务系统在完成定级之后，等级保护工作的第二个阶段就是要进行安全规划与设计，包括系统分域保护框架建立，选择和调整安全措施，安全规划与方案设计三个部分。其主要工作内容与输入输出如图4-1 所示：4.1 系统分域保护框架建立4.1.1 安全域划分安全域划分是将电子政务系统划分为不同安全区域，分别进行安全保护的过程。4.1.1.1 安全域划分方式安全域划分可以采用以下两种方式实现：a) 对政务机构整体进行安全域划分在政务机构所管辖的范围内对其所拥有的所有电子政务系统统一进行安全域划分，将整个政务机构的所有系统分为若干个安全区域。b) 在每个电子政务系统内进行安全域划分在每个电子政务系统内部，划分为若干个安全区域。4.1.1.2 安全域划分原则电子政务安全区域的划分主要依据电子政务系统的政务应用功能、资产价值、资产所面临的风险，划分原则如下：a） 系统功能和应用相似性原则安全区域的划分要以服务电子政务应用为基本原则，根据政务应用的功能和应用内容划分不同的安全区域。b） 资产价值相似性原则同一安全区域内的信息资产应具有相近的资产价值，重要电子政务应用与一般的电子政务应用分成不同区域。c） 安全要求相似性原则在信息安全的三个基本属性方面，同一安全区域内的信息资产应具有相似的机密性要求、完整性要求和可用性要求。d） 威胁相似性原则同一安全区域内的信息资产应处在相似的风险环境中，面临相似的威胁。4.1.2 保护对象分类保护对象是信息系统内具有相似安全保护需求的一组信息资产的组合，是从安全角度对信息系统的描述。依据电子政务系统的功能特性、安全价值以及面临威胁的相似性，电子政务保护对象可分为计算区域、区域边界、网络基础设施三类。a) 计算区域计算区域是指由相同功能集合在一起，安全价值相近，且面临相似威胁的一组信息系统组成。计算区域的信息资产包括：主机资产、平台资产、应用软件资产和政务数据资产等。涉及区域内的物理层、网络层、系统层、应用软件层、数据层和业务流程层面。包含的安全属性包括所属信息资产的物理安全、网络安全、边界安全、系统安全、应用系统安全、数据安全和业务流程安全等。计算区域可以从安全域划分的结果得到。b) 区域边界区域边界是指两个区域或两组区域之间的隔离功能集。边界是虚拟对象，不与具体资产对应，边界是一组功能集合，包括边界访问控制，边界入侵检测和审计等。设计系统分域保护框架时区域边界可以作为计算区域的一个属性进行处理。通过对各安全区域之间的连接状况分析，可以得到某个安全区域与其它区域之间的边界。c) 网络基础设施网络基础设施是指由相同功能集合在一起，安全价值相近，且面临相似威胁来源的一组网络系统组成，包括由路由器、交换机和防火墙等构成的局域网或广域网，一般指区域边界之间的连接网络。某一个安全区域或多个安全区域网络支撑平台构成了该区域的网络基础实施。电子政务保护对象及所包括信息资产如图4-2 所示：各类信息资产描述如下：a） 物理环境是指支撑电子政务系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设备，包括机房、门禁、监控、电源、空调等。b） 人员资产指与电子政务系统直接相关的人员，包括各级安全组织、安全人员、各级管理人员、网管员、系统管理员、业务操作人员和第三方人员等。c） 网络资产是指电子政务系统网络传输环境的设备，软件和通信介质。网络资产包括路由器、交换机、防火墙、网管、网络设备控制台等。d） 主机资产是指电子政务系统中承载业务系统和软件的计算机系统、外围系统（不含网络设备）及其操作系统。这里的主机资产包括大型机、中型机、小型机、磁盘阵列、Unix 服务器、Windows 服务器、工作站和终端等。e） 平台资产主要是指电子政务系统的软件平台系统，包括数据库、中间件、群件、邮件、Web服务器、集成开发环境和工具软件等。f） 应用软件资产是指为政务业务和管理应用而开发的各类应用软件及其提供的服务。g） 数据资产是电子政务系统所存储、传输、处理的数据对象，是电子政务系统的核心资产。4.1.3 系统分域保护框架系统分域保护框架是从安全角度出发，通过对各保护对象进行组合来对信息系统进行结构化处理的方法。结构化是指通过特定的结构将问题拆分成子问题的迭代过程，其目标是更好地体现信息系统的安全特性和安全要求。进行结构化处理要遵循以下几条基本原则：a） 充分覆盖所有子问题的总和必须覆盖原问题。如果不能充分覆盖，那么解决问题的方法就可能出现遗漏，严重影响方法的可行性。b） 互不重叠同一级别的所有子问题都不允许出现重复，类似以下的情况不应出现在一个框架中：1) 两个不同的子问题其实是同一个子问题的两种表述；2) 某一个子问题其实是同一级别的另外两个子问题或多个子问题的合集。c） 不需再细分所有子问题都必须细分到不需再细分，或不可再细分的程度。当一个问题经过框架分析后，所有不可再细分的子问题组合构成了一个“框架”。以安全域划分和保护对象分类为基础，经过结构化的分解，可以将电子政务系统分解为不同类别的保护对象，形成系统分域保护框架。图4-3 描述了某个电子政务系统的系统分域保护框架的示例，包括了系统所划分出的计算区域、区域边界、网络基础设施等各类保护对象。示例中的计算区域包括两个层面，细分为7 个计算区域。第一层区域包括政务专网区域和政务外网区域。政务专网区域又分为核心数据区、业务服务器区、办公服务器区、网络管理区和机关办公区；政务外网区域分为WEB 服务区和机关工作区。示例中的网络基础设施包括政务专网网络基础设施、政务外网网络基础设施。示例中的区域边界包括：政务专网与其它政务专网系统的边界、政务专网与政务外网的边界、政务外网与互联网的边界，以及内部各计算区域之间的边界。系统分域保护框架是设计解决方案的基础。大型复杂系统的分域保护框架见附录B。4.2 选择和调整安全措施电子政务系统或子系统的安全等级确定后，需要以分域保护框架为基础确定具体的安全保护措施（包括技术措施和管理措施）。确定安全措施的过程如图4-4 所示：确定安全措施首先是根据电子政务系统的安全等级选择适用等级的基本安全要求，如电子政务系统A 的安全等级为3 级，应选择3 级基本安全要求。在确定了基本安全要求的基础上，再针对每个系统特定安全要求、面临风险的状况，并考虑安全措施的成本进行安全措施的选择和调整，以得到针对特定系统的安全保护措施。对安全措施的调整基于以下原则：a） 根据电子政务系统特定安全要求进行调整1) 如果电子政务系统的保密性等级、完整性等级、可用性等级之中的一项或两项低于系统的安全等级，则可以降低该等级安全措施中对应的控制项的等级；2) 如果电子政务系统的某些特定安全要求在基本安全要求中没有相应的控制项，则可以添加与特定安全要求相适应的安全措施。b） 根据风险评估的结果进行调整1) 如果电子政务系统（或其保护对象）不存在五个等级基本安全要求中某个控制项所要控制的安全风险，或其控制项不适用，则该控制项可以进行删减；2) 如果风险评估中识别的某个风险，在五个等级基本安全要求中没有相应的控制项，则可以增加此类控制项；3) 如果风险评估的结果显示，与五个等级基本安全要求提供的某个安全措施的安全强度相比，风险较低，则可以降低控制项的强度等级；4) 如果风险评估的结果显示，与五个等级基本安全要求提供的某个安全措施的安全强度相比，风险较高，则可以提高控制项的强度等级。c） 根据安全措施的成本进行调整在安全措施的调整过程中，安全措施的成本也是一个重要的考虑因素，各机构要根据实际情况，基于合理成本选择和调整安全措施。如果某些安全措施的成本太高，机构无法承受，可以通过其他措施进行弥补。如果无法找到其他措施进行弥补，则需要改变机构的业务流程、运作方式或管理模式。4.3 安全规划与方案设计安全规划与方案设计阶段的目的是提出科学实施安全措施的方案，规划综合防范的安全保障体系，实现整体安全。安全规划与方案设计包括安全需求分析、安全项目规划、安全工作规划、安全方案设计等几个步骤。4.3.1 安全需求分析通过对现有安全措施的评估明确系统的安全现状，通过对比系统将要达到的安全等级的安全要求，得到现状和要求间的差距，即为安全需求。如图4-5 所示：4.3.2 安全项目规划安全项目规划是通过对安全项目的相关性、紧迫性、难易程度和预期效果等因素进行分析，确定实施的先后顺序。安全项目规划主要包括：a） 将安全措施依据相关性，打包成一个或多个的安全项目b） 进行项目分析1) 对项目进行支持或依赖等相关性分析；2) 对项目进行紧迫性分析；3) 对项目进行实施难易程度分析；4) 对项目进行预期效果分析。c） 综合项目分析结果，形成项目实施先后顺序的列表4.3.3 安全工作规划我们在安全规划中，不仅要做项目建设的规划，还要做安全工作方面的规划，以此来让等级保护的建设实施和运行能够融入到日常的安全管理和运维工作当中去，来确保等级保护工作落到实处。安全工作规划需要确定安全工作的宗旨、远期安全工作目标和当年目标、关键和重点的工作，并分析潜在的风险和障碍、所需的资源和预算，从而进行实施策略选择，确定当年的安全工作计划和等级保护项目建设计划。4.3.4 安全方案设计在解决方案设计阶段，将对安全规划中所提到的近期应实现的安全措施和项目进行分析，编制系列的技术解决方案和管理解决方案。5 实施、等级评估与运行5.1 安全措施的实施安全措施的实施是在完成等级保护的安全规划与设计之后，依据安全解决方案进行安全管理措施和安全技术措施建设。安全措施的实施应依据国家有关规定和标准执行。在工程实施过程中应充分考虑施工对业务系统可能造成的影响，做好应急预案，保障业务系统正常运转。应与第三方实施单位签订保密协议和服务质量协议，同时要加强对第三方履行保密协议和服务质量协议的监督。工程实施过程中应避免因第三方人员进场带来新的安全风险。5.2 等级评估与验收完成电子政务系统定级、安全措施选择与实施之后，应启动等级评估与验收工作，以便评估电子政务系统是否满足信息安全等级保护的要求，并由电子政务系统的拥有单位或主管单位组织验收。电子政务等级保护工作的等级评估可以采取以下三种方式：a） 自评估自评估是由电子政务系统的拥有单位组织单位内部人员，评估本单位的电子政务系统是否满足电子政务信息安全等级保护的要求。b） 检查评估检查评估是由信息安全主管机关或业务主管机关发起，依据已经颁布的电子政务等级保护的法规或标准进行的评估活动。c） 委托评估委托评估指信息系统拥有单位委托具有风险评估能力的专业评估机构（包括国家建立的测评认证机构或安全企业）实施的评估活动。电子政务系统的拥有单位应根据系统的安全等级选择一种或多种评估模式。等级评估结束后，应由电子政务系统的拥有单位或主管单位主持验收工作，确定完成等级保护建设工作的电子政务系统是否达到相应的安全等级，以及是否可以投入运行。5.3 运行监控与改进电子政务等级保护在完成实施、评估与验收工作之后，则进入了安全运行与改进阶段。这一阶段的主要工作是对系统的安全风险和等级保护体系的运行状况进行持续监控，确保在系统发生变化、系统的安全风险发生变化的情况下，能够及时调整系统的安全措施，并在系统或系统的安全风险发生重大变化时，进行系统的重新定级和安全措施的调整，以确保系统得到相应的保护。等级保护的运行改进过程如图5-2 所示。附录A 术语与定义a） 信息资产对组织具有价值的信息资源，是安全策略保护的对象。资产价值是资产的属性，也是进行资产识别的主要内容。b） 服务信息系统通过提供某些功能来满足用户需求的过程。c） 信息系统生命周期信息系统生命周期是某一信息系统从无到有，再到废弃的整个过程，包括规划、设计、实施、运维和废弃五个阶段。d） 威胁可能对资产或组织造成损害的潜在原因。威胁可以通过威胁主体、资源、动机、途径等多种属性来刻画。e） 脆弱性可能被威胁利用对资产造成损害的薄弱环节。f） 影响信息安全事件造成的后果。g） 风险风险是指人为或自然的威胁利用系统存在的脆弱性，导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。h） 信息安全风险评估依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。i） 风险管理组织中识别风险、分析风险和控制风险的活动。j） 安全措施保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制的总称。附录B 大型复杂电子政务系统等级保护实施过程示例B.1 大型复杂电子政务系统描述大型复杂电子政务系统主要是指涉及多个行政级别、多种网络以及各类繁杂的信息系统等特征的系统，一般具有以下特点：a） 覆盖多级行政级别，涉及的部门多、范围和地域广；b） 信息系统种类繁多、应用众多、服务类型多并且结构复杂；c） 网络建设涉及涉密政务内网、涉密和非涉密政务专网、政务外网以及互联网。大型复杂电子政务系统信息安全建设保障工作目前存在的主要困难包括：1） 信息安全涵盖内容极为广泛，从物理安全，网络安全，系统安全一直到应用安全，数据安全，安全管理，安全组织等等，凡是涉及到影响正常运行的和业务连续性的都可以认为是信息安全问题；2） 安全保障是个系统化的工程，各个要素之间存在紧密联系，互相依赖，牵一发而动全身；3） 安全保障是个长期性的工作，伴随信息系统的整个生命周期，是一个不断实施、检查和改进的过程；4） 不同行业、不同信息化发展阶段、不同地域和行政隶属层次的安全要求属性和强度存