国家电子政务外网安全等级保护实施指南

国家电子政务外网安全等级保护实施指南ImplementationguideforclassifiedprotectionofNationalE-GovernmentNetwork国家电子政务外网管理中心二○一四年一月I目次前言...............................................................................III引言................................................................................IV1范围..............................................................................12规范性引用文件....................................................................13术语和定义........................................................................14实施概述..........................................................................14.1实施原则......................................................................14.2角色与职责....................................................................24.3政务外网定级对象..............................................................34.4安全等级保护目标..............................................................34.5安全等级保护区域边界..........................................................35网络功能及安全分域................................................................35.1网络功能描述..................................................................35.1.1广域网....................................................................35.1.2城域网....................................................................45.1.3局域网....................................................................45.2安全区域划分..................................................................45.3功能区域划分..................................................................46网络域间互联要求..................................................................66.1广域网与广域网的互联要求......................................................66.2广域网与城域网的互联要求......................................................66.3城域网与接入局域网的互联要求..................................................66.4城域网与互联网的互联要求......................................................76.5城域网与3G等公众网络互联要求.................................................77定级方法..........................................................................77.1定级要素......................................................................77.2定级要求......................................................................88网络等级保护实施过程..............................................................98.1定级..........................................................................98.2安全整改......................................................................98.3测评..........................................................................98.4报备..........................................................................98.5监督检查.....................................................................118.6安全运维.....................................................................11II9具体实施要求......................................................................11附录A（资料性附录）安全等级保护第三级政务外网定级案例（以省级为例）................39附录B（资料性附录）安全等级保护第二级政务外网定级案例（以区、县为例）..............40附录C（资料性附录）《政务外网安全等级保护定级报告》模板............................41III前言为规范国家电子政务外网安全等级保护的工作，落实信息安全等级保护相关技术要求，根据国家标准GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》和国家电子政务外网管理中心文件《关于加快推进国家电子政务外网安全等级保护工作的通知》(政务外网[2011]15号)，针对政务外网的具体情况，特制定《国家电子政务外网安全等级保护实施指南》（以下简称本指南）。本指南由国家电子政务外网管理中心提出。本指南由国家电子政务外网管理中心归口。本指南主要起草单位：国家电子政务外网管理中心办公室、公安部信息安全等级保护评估中心本指南主要起草人：周民、邵国安、任卫红、杨绍亮、张宇翔、罗海宁、吕品、焦迪、冷默本指南由国家电子政务外网管理中心负责解释。IV引言2003年8月发布的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）文件中明确要求我国的信息安全保障工作实行等级保护制度，提出了“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”的要求，2007年6月公安部等信息安全管理部门联合发布的“关于印发《信息安全等级保护管理办法》的通知”（公通字[2007]43号）进一步强调了开展等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，具体部署了实施信息安全等级保护工作的操作办法。国家电子政务外网是我国电子政务重要的行政基础设施，开展政务外网的安全等级保护工作是保证政务外网及各级政务部门业务应用安全的基础性工作。本指南是国家电子政务外网安全等级保护相关系列标准之一。本指南与国标《计算机信息系统安全等级保护划分准则》（GB17859-1999）、《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）、《信息安全技术信息系统安全等级保护实施指南》（GB/T25058-2010）等标准以及《国家电子政务外网网络安全等级保护基本要求》共同构成了国家电子政务外网安全等级保护的相关配套标准。是各级政务外网实施安全等级保护的基本要求。本指南依据国家标准要求和政务外网安全等级保护基本要求，逐条提出了有针对性、可操作的实施意见，供参考使用。对于承载涉及国家秘密信息系统的网络保护要求，按照国家相关法律法规和信息安全主管部门的相关规定和标准实施。对于涉及密码的使用和管理，按照国家密码管理主管部门的相关规定和标准实施。凡涉及政务外网数字证书的相关要求，参照国家电子政务外网管理中心印发的相关管理和技术规定执行。1国家电子政务外网安全等级保护实施指南1范围本指南规定了国家电子政务外网（以下简称政务外网）安全等级保护在实施过程中，为达到国家标准规定和政务外网的基本要求而提出的安全等级保护的方法和手段，适用于指导各级政务外网的安全等级保护工作在定级、整改、报备、检查、测评和运维等实施过程中参考；各级在新建政务外网时可参照本指南开展安全等级保护工作；也可作为政务外网外包服务时对第三方提出安全保障要求的依据。2规范性引用文件下列文件中的条款通过本指南的引用而成为本指南的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本指南。凡是不注明日期的引用文件，其最新版本适用于本指南。GB/T5271.8信息技术词汇第8部分：安全GB17859计算机信息系统安全保护等级划分准则GB/T22239信息安全技术信息系统安全等级保护基本要求GB/T22240信息安全技术信息系统安全等级保护定级指南GB/T25058信息安全技术信息系统安全等级保护实施指南YD/T1729电信网和互联网安全等级保护实施指南中华人民共和国计算机信息系统安全保护条例(1994年2月18日中华人民共和国国务院令147号发布)公安部、国家保密局、国家密码管理局和国务院信息化工作办公室关于印发《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）国务院信息化工作办公室《电子政务信息安全等级保护实施指南（试行）》（国信办[2005]25号）公安部、国家保密局、国家密码管理局和国务院信息化工作办公室“关于印发《信息安全等级保护管理办法》”（公通字[2007]43号）国家电子政务外网管理中心《关于加快推进国家电子政务外网安全等级保护工作的通知》（政务外网[2011]15号），其中附件2《国家电子政务外网安全等级保护基本要求（试行）》3术语和定义GB/T5271.8和GB17859确定的术语和定义适用于本指南。4实施概述4.1实施原则2政务外网安全等级保护应首先满足政务外网安全防护工作提出的适度安全原则以及标准化、可控性、完备性和最小影响的原则，为所承载的各级政务部门信息系统提供网络传输通道的安全保障。在此基础上，政务外网安全等级保护工作在实施过程中还应重点遵循以下原则：a