国家电子政务外网标准 GW0101—2014 国家电子政务外网信息安全标准体系框架 Information Security Standards Framework of National E-Government Network 2014 - 11 - 13 发布 2015 - 1 - 1 实施 国家电子政务外网管理中心 目 次 前 言 ............................................................................... I 引 言 .............................................................................. II 1 2 3 4 5 6 范围 ............................................................................... 规范性引用文件 ..................................................................... 术语和定义 ......................................................................... 标准体系框架建立原则 ............................................................... 标准体系框架 ....................................................................... 标准分类和内容 ..................................................................... 6.1 标准分类 ....................................................................... 6.2 标准内容 ....................................................................... 1 1 1 1 2 3 3 3 附录 A （资料性附录） 政务外网信息安全标准计划清单 .................................... 6 前 言 本标准按照GB/T 1.1-2009的规则起草。 本标准由国家电子政务外网管理中心提出并归口。 本标准主要起草单位：国家电子政务外网管理中心、中国电子技术标准化研究院。 本标准的主要起草人：邵国安、罗海宁、杨瑛、周民、杨绍亮、王延鸣、周明霞、焦迪、陈星、吕 品。 I 引 言 国家电子政务外网（以下简称“政务外网”）信息安全标准体系框架是指导规范政务外网建设运维 单位组织开展信息安全标准研制的依据，也是政务外网信息安全建设、管理的基础。 本标准为政务外网信息安全标准的制定、修订与管理提供了依据。 II 国家电子政务外网信息安全标准体系框架 1 范围 本标准适用于指导各级政务外网建设运维单位开展信息安全标准的规划、制定、修订与管理，也可 作为政务外网信息安全建设和管理的基础依据之一。 2 规范性引用文件 下列文件对于本标准的应用是必不可少的。凡是注明日期的引用文件，仅所注明日期的版本适用于 本标准。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB/T 13016-2009 标准体系表编制原则和要求 GB/T 20000.1-2002 标准化工作指南 第1部分：标准化和相关活动的通用词汇 GB/T 25069-2010 信息安全技术 术语 3 术语和定义 下列术语和定义适用于本标准。 3.1 标准体系 Standard System 一定范围内的标准按其内在的联系形成的科学有机整体。 [GB/T 13016-2009，定义3.3] 3.2 信息安全 Information Security 保护、维持信息的保密性、完整性和可用性，也可包括真实性、可核查性、抗抵赖性、可靠性等性 质。 [GB/T 25069，定义2.1.52] 3.3 服务标准 Service Standard 规定服务应满足的要求以确保其适用性的标准。 [GB/T 20000.1，定义2.5.6] 4 标准体系框架建立原则 政务外网信息安全标准体系要坚持适用性、综合性、先进性与开放性等原则，建立适应政务外网建 设、管理与应用需求的标准体系。 1 a) 遵循适用性原则。根据政务外网技术与管理的需求，协调标准与应用的关系，建立符合业务 应用实际需要的标准体系； b) 遵循综合性原则。建立框架结构清晰、层次分类明确的标准体系，形成总体与子类各层次标 准之间、技术与管理各类别标准之间协调、配套的整体； c) 遵循先进性原则。适应信息新技术发展，满足政务外网建设实践中先进技术应用的需求； d) 遵循开放性原则。标准体系修订及标准化工作是开放的，可根据技术、应用等的发展需要进 行更新、完善和扩充。 5 标准体系框架 政务外网信息安全标准体系框架见图1，标准体系分类列表见表1： a) 标准体系框架是政务外网信息安全标准制定工作的范围和对象； b) 标准体系框架分为总体和子类共二层； c) 标准体系框架第一层分为基础标准、技术标准、管理标准、网络信任标准、测评标准、服务 标准等总体六类； d) 标准体系框架第二层按照第一层类别分别细分为不同子类，如基础标准分为总体、体系框架、 等级保护、安全基线等子类四项。 国家电子政务外网信息安全标准体系 基础标准 技术标准 管理标准 网络信任标准 测评标准 物理环境安全 安全检查 身份认证 等级测评 公共应用服务 安全支撑 体系框架 网络安全 事件与通报 授权管理 风险评估 部门用户服务 安全规范 等级保护 业务应用安全 应急与灾备 责任认定 产品准入检测 安全基线 终端与设备 安全 运维管理 网络信任服务 管理 岗位人员许可 评定 总 体 图1 国家电子政务外网安全标准体系框架 表1：国家电子政务外网信息安全标准体系分类列表 一级分类 二级分类 总体 基础标准 体系框架 等级保护 安全基线 物理环境安全 技术标准 网络安全 业务应用安全 终端与设备安全 管理标准 2 服务标准 安全检查 跨部门业务 交互服务 安全指南 一级分类 二级分类 事件与通报 应急与灾备 运维管理 身份认证 网络信任标准 授权管理 责任认定 网络信任服务管理 等级测评 测评标准 风险评估 产品准入检测 岗位人员许可评定 公共应用服务安全支撑 服务标准 部门用户服务安全规范 跨部门业务服务安全指南 6 标准分类和内容 6.1 标准分类 a) b) c) d) e) f) 基础标准是保障政务外网安全运行的总体性、框架性标准，是保障政务外网安全需要遵循的技 术与管理基本要求； 技术标准是与政务外网建设、运行相关的安全产品、技术解决方案需要遵循的技术性规范，包 括物理环境安全、网络安全、业务应用安全、终端与设备安全等； 管理标准是政务外网网络与信息安全的技术管理规程，通过执行管理措施与流程，规范政务外 网安全检查、事件通报、应急灾备、运维管理等管理工作； 网络信任标准是对基于政务外网数字证书认证建立网络与应用身份信任源点的相关技术与管 理规范，指导政务外网业务系统采用身份认证、授权管理、和责任认定的方法以及网络信任体 系服务管理流程； 测评标准是与政务外网建设和运行相关的安全测试与评估类标准，包括等级测评、风险评估、 产品准入、岗位人员许可评定等； 服务标准是政务外网面向公共服务、部门应用以及跨部门业务交互时所需遵循的具体业务流 程、服务安全、服务质量等规范化服务要求。 6.2 标准内容 6.2.1 基础标准 a) b) c) d) 总体标准是总体性、通用性标准，包括政务外网特有的信息安全术语、模型和记法； 体系框架标准反映政务外网信息安全标准的层次结构，包括政务外网技术、管理、业务、服务 等体系结构、架构的标准； 等级保护标准是按照国家信息安全等级保护相关制度和标准要求，结合政务外网实际需要制定 的实施规范； 安全基线标准是以政务外网达到基本安全防护水平为目标制定的安全策略和安全措施等基本 要求。 3 6.2.2 技术标准 a) b) c) d) 物理环境安全标准是从物理环境角度对存储和传输的网络信息安全保护提出规范，使得政务外 网物理环境免遭地震、水灾、火灾等事故以及人为行为导致的破坏，如对各级政务外网机房、 计算机系统设备、通信与网络设备、存储媒体设备和人员所采取的区域防护、受灾防护等安全 技术措施； 网络安全标准是政务外网的广域网、城域网和各级接入网、局域网等网络承载和传输上所提出 的边界安全、接入与互联安全等技术要求； 业务应用安全标准是规范应用层安全防护策略、技术措施等以保护政务外网用户单位或用户的 应用平台安全、访问程序安全、数据安全等，如数据、内容、交换等具体业务应用的安全； 终端与设备安全标准是对接入政务外网的用户计算机终端、移动智能终端、网络设备、服务器 设备等进行安全配置与加固的规范。 6.2.3 管理标准 a) b) c) d) 安全检查标准是针对各级政务外网主管单位或建设运维单位实施信息安全检查工作的流程、管 理机制等提出的安全管理要求； 事件与通报标准是针对政务外网识别信息安全事件的方法、发生信息安全事件时事件响应与处 置流程以及所遵循的安全通报流程等提出的安全管理要求； 应急与灾备标准是针对政务外网制定应急预案、组织应急演练、实施灾难恢复、部署容灾备份 等所提出的安全管理要求； 运维管理标准是面向各级政务外网网络的运行和维护工作在人员管理、网络维护管理、信息系 统维护管理、运维外包管理以及运维角色管理等方面提出的安全管理要求。 6.2.4 网络信任标准 a) b) c) d) 身份认证标准是政务外网认证机构、数字证书注册认证系统、证书格式以及证书命名空间等所 遵循的标准； 授权管理标准是基于数字证书的信任源点对政务外网应用资源权限控制提供应用设施支撑的 相关规范性要求； 责任认定标准是基于数字证书的信任源点在对政务外网网络与应用访问行为责任进行认定过 程中提供技术支撑的相关规范性要求； 网络信任服务管理是对注册机构、多级注册点、电子认证支撑应用等提出的服务管理要求。 6.2.5 测评标准 a) b) c) d) 等级测评标准是按照政务外网等级保护标准要求，依据