国家电子政务外网 安全等级保护实施指南 Implementation guide for classified protection of National E-Government Network 国家电子政务外网管理中心 二○一四年一月 目 次 前言 ............................................................................... III 引言 ................................................................................ IV 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 实施概述 .......................................................................... 1 4.1 4.2 4.3 4.4 4.5 5 实施原则 ...................................................................... 角色与职责 .................................................................... 政务外网定级对象 .............................................................. 安全等级保护目标 .............................................................. 安全等级保护区域边界 .......................................................... 网络功能及安全分域 ................................................................ 3 5.1 网络功能描述 .................................................................. 5.1.1 广域网 .................................................................... 5.1.2 城域网 .................................................................... 5.1.3 局域网 .................................................................... 5.2 安全区域划分 .................................................................. 5.3 功能区域划分 .................................................................. 6 3 3 4 4 4 4 网络域间互联要求 .................................................................. 6 6.1 6.2 6.3 6.4 6.5 7 1 2 3 3 3 广域网与广域网的互联要求 ...................................................... 广域网与城域网的互联要求 ...................................................... 城域网与接入局域网的互联要求 .................................................. 城域网与互联网的互联要求 ...................................................... 城域网与 3G 等公众网络互联要求 ................................................. 6 6 6 7 7 定级方法 .......................................................................... 7 7.1 定级要素 ...................................................................... 7 7.2 定级要求 ...................................................................... 8 8 网络等级保护实施过程 .............................................................. 9 8.1 8.2 8.3 8.4 8.5 8.6 定级 .......................................................................... 9 安全整改 ...................................................................... 9 测评 .......................................................................... 9 报备 .......................................................................... 9 监督检查 ..................................................................... 11 安全运维 ..................................................................... 11 I 9 具体实施要求 ...................................................................... 11 附录 A（资料性附录） 安全等级保护第三级政务外网定级案例（以省级为例） ................ 39 附录 B（资料性附录） 安全等级保护第二级政务外网定级案例（以区、县为例） .............. 40 附录 C（资料性附录） 《政务外网安全等级保护定级报告》模板............................ 41 II 前 言 为规范国家电子政务外网安全等级保护的工作，落实信息安全等级保护相关技术要求，根据国家标 准GB/T22239-2008 《信息安全技术 信息系统安全等级保护基本要求》和国家电子政务外网管理中心文 件《关于加快推进国家电子政务外网安全等级保护工作的通知》(政务外网[2011]15号)，针对政务外网 的具体情况，特制定《国家电子政务外网安全等级保护实施指南》（以下简称本指南）。 本指南由国家电子政务外网管理中心提出。 本指南由国家电子政务外网管理中心归口。 本指南主要起草单位：国家电子政务外网管理中心办公室、公安部信息安全等级保护评估中心 本指南主要起草人：周民、邵国安、任卫红、杨绍亮、张宇翔、罗海宁、吕品、焦迪、冷默 本指南由国家电子政务外网管理中心负责解释。 III 引 言 2003年8月发布的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号） 文件中明确要求我国的信息安全保障工作实行等级保护制度，提出了“要重点保护基础信息网络和关系 国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安 全等级保护的管理办法和技术指南”的要求，2007年6月公安部等信息安全管理部门联合发布的“关于 印发《信息安全等级保护管理办法》的通知”（公通字[2007]43号）进一步强调了开展等级保护工作的 重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，具体部 署了实施信息安全等级保护工作的操作办法。国家电子政务外网是我国电子政务重要的行政基础设施， 开展政务外网的安全等级保护工作是保证政务外网及各级政务部门业务应用安全的基础性工作。 本指南是国家电子政务外网安全等级保护相关系列标准之一。 本指南与国标《计算机信息系统安全等级保护划分准则》（GB17859-1999）、《信息安全技术 信 息系统安全等级保护基本要求》（GB/T22239-2008）、《信息安全技术 信息系统安全等级保护实施指 南》（GB/T 25058-2010）等标准以及《国家电子政务外网网络安全等级保护基本要求》共同构成了国 家电子政务外网安全等级保护的相关配套标准。是各级政务外网实施安全等级保护的基本要求。本指南 依据国家标准要求和政务外网安全等级保护基本要求，逐条提出了有针对性、可操作的实施意见，供参 考使用。 对于承载涉及国家秘密信息系统的网络保护要求，按照国家相关法律法规和信息安全主管部门的相 关规定和标准实施。 对于涉及密码的使用和管理，按照国家密码管理主管部门的相关规定和标准实施。 凡涉及政务外网数字证书的相关要求，参照国家电子政务外网管理中心印发的相关管理和技术规定 执行。 IV 国家电子政务外网安全等级保护实施指南 1 范围 本指南规定了国家电子政务外网（以下简称政务外网）安全等级保护在实施过程中，为达到国家标 准规定和政务外网的基本要求而提出的安全等级保护的方法和手段，适用于指导各级政务外网的安全等 级保护工作在定级、整改、报备、检查、测评和运维等实施过程中参考；各级在新建政务外网时可参照 本指南开展安全等级保护工作；也可作为政务外网外包服务