信息安全技术基于互联网电子政务信息安全指南.docx
《信息安全技术基于互联网电子政务信息安全指南.docx》由会员分享,可在线阅读,更多相关《信息安全技术基于互联网电子政务信息安全指南.docx(41页珍藏版)》请在冰豆网上搜索。
信息安全技术基于互联网电子政务信息安全指南
前言
引言
基于互联网电子政务信息安全指南
1范围
2规范性引用文件
3术语和定义
4实施原则
5基于互联网电子政务系统安全保障总体架构
5.1实施目标
5.2实施过程
5.3应用分类
5.4总体架构
6安全系统组成
6.1电子政务安全支撑平台的系统结构
6.2电子政务安全支撑平台的系统配置
6.3系统分级防护措施
6.4信息分类保护措施
7安全技术要求
7.1网络互联、接入控制与边界防护
7.2分域子网安全
7.3桌面安全防护
7.4安全管理技术要求
7.5安全服务
7.6应用安全
8安全管理要求
8.1安全策略
8.2组织安全
8.3人员安全
8.4物理和环境安全
8.5设备安全
8.6数据安全
9安全评估要求
9.1评估项目
9.2评估流程
9.3物理安全评估
9.4现场技术实施评估
9.5现场管理实施评估
9.6技术测试
9.7系统整改
10信息安全工程实施
10.1基于互联网电子政务信息安全保护实施过程
10.2需求分析阶段
10.3方案设计阶段
10.4系统实施与集成阶段
10.5系统试运行与完善阶段
10.6系统安全评估
10.7系统正式运行阶段
参考文献
前言
本指导性技术文件由全国信息安全标准化技术委员会提出并归口。
本指导性技术文件起草单位:
解放军信息工程大学电子技术学院、中国电子技术标准化研究所。
本指导性技术文件主要起草人:
陈性元、杜学绘、王超、钱雁斌、张东巍、胡啸。
引言
互联网是我国重要的信息基础设施和战略资源,积极利用互联网进行电子政务建设,既能节约资源、降低成本,又能提高效率、扩大服务的覆盖面。
对于我们这样一个发展中国家来说,具有重要的战略意义和现实意义。
本指导性技术文件旨在对基于互联网电子政务信息安全保障进行规范和指导,提高基于互联网电子政务信息安全保障的科学性、规范性和可操作性,指导我国基于互联网地市级(含地市级以下)电子政务信息安全建设。
把政府的政务办公和公共服务建在互联网上,在我国是一种崭新的尝试。
利用开放的互联网开展电子政务建设,面临着信息泄密、身份假冒、病毒和黑客攻击等安全威胁,必须高度重视信息安全。
基于互联网电子政务信息安全指南的制订,将对地市级(含地市级以下)政府单位开展经济安全的非涉及国家秘密的电子政务建设起到有效的推动作用。
基于互联网电子政务信息安全指南
1 范围
本指导性技术文件描述了基于互联网电子政务的信息安全保障框架、系统组成、信息安全技术、信息安全评估、信息安全管理、安全接口和信息安全保护实施过程。
本指导性技术文件适用于地市级(含地市级以下)政府单位开展不涉及国家秘密的基于互联网电子政务信息安全建设。
可用于指导电子政务系统建设的管理者、信息安全产品的提供者、信息安全的工程技术人员等进行信息安全管理和建设。
2 规范性引用文件
下列文件中的条款通过在本指导性技术文件的引用而成为本指导性技术文件的条款。
凡注明日期的引用文件,其后的任何修改(不包括勘误的内容)或修订版都不适用于本指导性技术文件。
凡未注明日期的引用文件,其最新版本适用于本指导性技术文件。
GB/T2887-2000电子计算机场地通用规范
GB17859-1999计算机信息系统安全保护等级划分准则
GB50174-1993电子计算机机房设计规范
3 术语和定义
下列术语和定义适用于本指导性技术文件。
3.1
基于互联网电子政务(E-GovernmentbasedonInternet)
依托互联网,将对内的政务办公、对外的公共服务和政府间的信息共享集成在同一个网络平台下的电子政务应用。
3.2
政务办公安全(securitegovernmentaffair)
面向政务人员与政务办公相关的安全政务业务处理。
政务业务包括部门间的公文流转、公文交换、公文处理、办公管理,部门内部的项目管理、项目审批、群众来信的处理与回复等。
3.3
可信公共服务(trustedgovernmentservice)
在保证政务信息可信可靠的前提下面向公众提供的公共服务。
如政策法规咨询、新闻发布、民意调查等。
3.4
信息的安全共享(securiteinformationshare)
信息的安全共享是指政府部门之间安全的数据交换和使用。
如工商与税务部门间的信息安全交换等。
安全移动办公(securitemobileaffair)
在远程移动环境下实现安全的政务办公或主动式公共服务。
3.5
敏感数据处理区(susceptivitydatahandlearea)
仅向政务办公人员开放的政务办公系统或数据的存储区域。
。
3.6
公开数据处理区(publicitydatahandlearea)
向公众开放的公共服务系统或数据的存储区域。
3.7
安全管理区(securitemanagearea)
仅向系统安全管理员开放的安全管理系统或数据的存储区域。
3.8
安全服务区(securiteservicearea)
为用户提供安全服务的系统或数据的存储区域。
3.9
网络互联与接入控制(networkconnectandcontrol)
通过安全技术实现政务网络安全互联,对政务重点区域进行基于策略的接入控制与边界防护。
3.10
桌面安全防护(desktopsecurityDefend)
对政务终端提供网络防护、病毒防护、存储安全、邮件安全等一体化的终端安全保护,保护网上政务办公终端的安全。
3.11
分域防控(defendandcontrolofdifferencearea)
通过制定安全策略,实施用户接入控制和信息交换与访问控制,保证信息的安全隔离和安全交换。
3.12
分类防护(defendofdifferencelevel)
根据基于互联网电子政务系统的实际情况,将信息分为完全公开、内部公享和内部受控三类,并根据不同类别的信息采取不同的安全措施。
4 实施原则
基于互联网电子政务信息安全建设的实施原则如下:
1)涉密信息不上网
基于互联网电子政务系统不得传输或处理涉及国家秘密的信息。
2)综合防范,适度安全
在基于互联网电子政务建设时,必须充分考虑来自互联网的各种威胁,采取适当的安全措施,进行综合防范。
同时,以应用为主导,充分分析应用系统的功能,在有效保证应用的前提下,安全保密建设经济适用、适度安全、易于使用、易于实施。
3)分域防控、分类防护
贯彻等级保护思想,针对不同的安全域采用不同的安全防护策略,通过制定安全策略,实施分区边界防护和区间访问控制,保证信息的安全隔离和安全交换。
4)谁主管谁负责
基于互联网电子政务系统的建设过程中,部门网络的内部安全问题应根据本单位的安全需求和实际情况,依据国家相关政策自行开展信息安全建设。
5)开放环境网络安全与开放服务的协调统一
全面依托互联网建设电子政务系统,不同于政务专网加互联网的方式,不同于基于互联网的单项政务应用,既要有效保障互联网环境下的网络安全,又要解决对公众的开放服务,使安全和开放在互联网环境下达到有机的协调统一。
6)安全保密一体化
在电子政务安全保密建设中,无论是技术的采用、还是设备的选配,必须坚持安全保密一体化的原则,这样建设的系统才最为有效、最为经济。
5 基于互联网电子政务系统安全保障总体架构
5.1 实施目标
基于互联网电子政务系统既包括面向政府工作人员的政务办公应用,又包括面向公众的公共服务应用,同时实现政府各部门间的资源整合与信息共享,通过基于互联网电子政务系统安全建设,构建安全政务网络平台、安全政务办公平台、可信公共服务平台、安全资源整合与信息共享平台,保障电子政务信息的保密性、完整性、可用性、真实性和可控性。
根据信息系统的重要程度,进行分域防控和信息分类防护,对重要的信息系统、重点区域进行重点安全保障,根据系统面临的实际安全威胁,采用适当的安全保障措施,提高电子政务信息安全保障的整体效能。
5.2 实施过程
基于互联网电子政务信息安全保护实施过程可被划分为6个阶段,即:
需求分析、方案设计、系统实施与集成、系统试运行与完善、系统安全评估、正式运行。
5.2.1 需求分析阶段
信息系统的需求方应根据市场要求,结合自身的应用目标、需求程度以及建设规划的具体要求,以市场发展总体规划为主要依据,编制信息系统安全工程的中长期规划。
5.2.2 方案设计阶段
应针对安全需求设计安全防护解决方案,建立信息系统安全机制,设计方案应能根据网络现状提供直接的解决方案,应从技术和管理两个方面进行考虑,应是管理制度和网络解决方案的结合。
5.2.3 系统实施与集成阶段
根据设计方案对信息系统进行工程建设实施和系统开发。
5.2.4 系统试运行与完善阶段
局部范围内进行系统试运行,建立开发文档,并进行系统完善。
5.2.5 系统安全评估
制定系统安全评估方案,进行安全自评估或聘请专业机构进行安全评估。
5.2.6 系统正式运行阶段
完成系统验收,系统正式运行,并根据运行过程中出现的实际情况对系统安全不断加强与改进。
5.3 应用分类
5.3.1 信息分类
基于互联网电子政务系统中信息分为完全公开、内部共享和内部受控三类:
1)完全公开信息
完全公开信息是指在互联网上可以完全公开的信息。
2)内部共享信息
内部共享信息是指对政务人员公开的信息。
3)内部受控信息
内部受控信息是指对政务人员实行受控访问的信息。
5.3.2 系统分类
基于互联网电子政务系统的政务应用包括政务办公、公共服务、资源整合与信息共享。
1)政务办公
政务办公主要面向政府部门实现政府部门内部的业务处理。
如政府部门间的公文流转、公文交换、公文处理、办公管理、项目管理、项目审批、群众来信的处理与回复等。
这类应用处理的信息大部分不宜对外公开,属于敏感信息,安全的重点主要包括对政务人员的身份认证、政务资源的授权访问和信息安全传输等方面。
2)公共服务
公共服务平台主要面向社会向公众提供政策咨询、信息查询、政务数据上报等公众服务。
公众服务的对象比较广泛,可以是企业管理人员、普通群众,也可以面向三农提供农村公众服务信息。
这类应用处理的前台信息一般不涉及工作秘密,可以对外开放,但它涉及政府在公众的服务形象,要保证该类应用的可靠性、可用性,同时,应保证应用中发布信息的真实与可信,安全防护的重点应放在系统的可靠性、信息的可信性等方面。
3)资源整合与信息共享
主要指部门间的资源整合与信息共享,如工商企业信息面向税务的资源整合与信息共享、工商企业信用信息面向全市其它部门的资源整合与信息共享等。
安全的重点包括信息在交流中的传输安全和系统间的访问控制等方面。
5.4 总体架构
5.4.1 系统组成
基于互联网电子政务系统包括安全政务网络平台、安全政务办公平台、安全信息共享平台、可信公共服务平台和安全支撑平台等,基于互联网电子政务系统组成。
互联网是构建电子政务网络的基础设施。
安全政务网络平台是依托互联网,由VPN设备将各接入单位安全互联起来的电子政务网络;安全支撑平台为基于互联网的电子政务系统提供安全互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑;电子政务应用既是安全保障平台的保护对象,又是基于互联网实施电子政务的主体,它包括公开信息、内部共享信息、内部受控信息等,这三类信息运行于电子政务办公平台、电子政务服务平台和电子政务信息共享平台之上;电子政务管理制度体系是电子政
升级会员 