电子政务外网等级化保护方案建议书.doc

电子政务外网 等级化保护方案建议书 目 录 1 项目介绍 6 1.1 项目背景 6 1.2 参考标准 8 1.2.1 方案指导思想 8 1.2.2 方案参考标准 9 1.2.3 参考标准汇总 10 1.3 方案规划范围 10 1.4 方案设计原则 11 2 区域划分与定级建议 13 2.1 电子政务外网建设情况 13 2.1.1 网络平台规划 14 2.1.2 应用系统规划 20 2.2 电子政务外网区域划分 21 2.3 电子政务外网定级建议 24 2.3.1 省网管中心 25 2.3.2 省直单位 28 2.3.3 地市单位 31 3 安全需求分析 33 3.1 符合等级保护安全技术要求的需求 33 3.1.1 针对三级信息系统的安全技术要求 33 3.1.2 针对二级信息系统的安全技术要求 41 3.1.3 针对一级系统的安全技术要求 46 3.2 符合等级保护安全管理要求的需求 49 3.2.1 针对三级信息系统的安全管理要求 49 3.2.2 针对二级信息系统的安全管理要求 59 3.2.3 针对一级信息系统的安全管理要求 65 3.3 在自身防护方面的安全技术需求 69 3.3.1 对抗物理安全风险 69 3.3.2 对抗网络安全风险 70 3.3.3 对抗主机安全风险 70 3.3.4 对抗应用安全风险 71 3.3.5 对抗数据安全风险 71 3.3.6 对抗管理安全风险 72 4 安全技术规划 73 4.1 安全方案规划遵循的原则 73 4.2 针对三级区域的安全防护规划 74 4.2.1 物理安全防护 74 4.2.2 网络安全防护 81 4.2.3 主机安全防护 88 4.2.4 应用安全防护 94 4.2.5 数据安全防护 105 4.3 针对二级区域的安全防护规划 114 4.3.1 物理安全防护 114 4.3.2 网络安全防护 118 4.3.3 主机安全防护 123 4.3.4 应用安全防护 128 4.3.5 数据安全防护 131 4.4 针对一级区域的安全防护规划 134 4.4.1 物理安全防护 134 4.4.2 网络安全护 136 4.4.3 主机安全防护 138 4.4.4 应用安全防护 140 4.4.5 数据安全防护 142 4.5 对自身安全防护需求的满足 144 4.5.1 对抗物理安全风险的需求 144 4.5.2 对抗网络安全风险的需求 144 4.5.3 对抗主机安全风险的需求 145 4.5.4 对抗应用安全风险的需求 146 4.5.5 对抗数据安全风险的需求 147 4.5.6 对抗管理安全风险的需求 147 5 安全管理规划 148 5.1 针对三级区域的安全管理规划 148 5.1.1 安全策略体系建设 148 5.1.2 安全组织体系建设 149 5.1.3 安全运营体系建设 151 5.2 针对二级区域的安全管理规划 164 5.2.1 安全策略体系建设 164 5.2.2 安全组织体系建设 165 5.2.3 安全运营体系建设 166 5.3 针对一级区域的安全管理规划 179 6 系统实施规划 180 6.1 安全技术实施规划 180 6.1.1 省网管中心 180 6.1.2 省直单位 206 6.1.3 地市单位 235 6.2 安全管理实施规划 254 6.2.1 省网管中心 254 6.2.2 省直单位 263 6.2.3 地市单位 271 7 方案设计总结 281 7.1 满足等级保护的建设要求 281 7.2 满足自身安全防护的需求 283 项目介绍 项目背景 网络技术的发展已经深入到社会生活的各个方面。网络新业务的不断兴起，为国内政府部门日常办公提供了极大的便利，通过政府网上办公系统、网上视频会议系统、电话语音系统、互动式政府网站系统、门户型政府网站系统等应用，极大地提高了政府部门的办公效率伴随网络技术的发展，网上应用的丰富，同时也带来了一系列的安全问题，如网络黑客、网络犯罪、病毒爆发等等，这些问题严重制约了信息化建设的步伐，成为建设。 国家高度重视电子政务安全保障问题，2003年中办国办联合发布了[2003]27号文件（关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知），文件中提出了关于加强信息安全保障工作的“积极防御，综合防范”的八字方针，以及实行信息安全等级保护的要求；2004年公安部、保密局、国密办以及国信办联合发布了公通字[2004]66号文件（《关于信息安全等级保护工作的实施意见》），确认等级保护是国家信息安全的基本制度，也是电子政务安全工作的根本方法；2005年国信办发布了25号文件（关于转发《电子政务信息系统信息安全等级保护实施指南》的通知），对信息系统等级保护的实施过程进行了定义，包括信息系统等级