某省电子政务外网等级保护方案技术建议书

参考范围 ：内部参考 文档编号： 电子政务外网 等级 化保护 方案 建议书 京天融信公司 2007年 9月 ，第 2 页 共 284 页 文档控制 拟 制 : 杜旭晖 、崔宗军、刘玉、陈隆沛、刘鸿霞 审 核 : 杨庆华 、田野 批 准 : 标准化 : 杜旭晖 读 者： 天融信售前技术支持工程师 版本控制 版本号 日期 修改人 说明 007年 9月 3日 杜旭晖 、崔宗军、刘玉、陈隆沛、 刘鸿霞 文档初始化以及初稿编写 007 年 9 月11 日 杜旭晖 方案整合及局部调整 分发控制 编号 读者 文档权限 与文档的主要关系 ，第 3 页 共 284 页 目 录 1 项目介绍 . 6 目背景 . 6 考标准 . 8 案指导思想 . 8 案参考标准 . 9 考标准汇总 . 10 案规划范围 . 10 案设计原则 . 11 2 区域划分与定级建议 . 13 子政务外网建设情况 . 13 络平台规划 . 14 用系统规划 . 20 子政务外网区域划分 . 21 子政务外网定级建议 . 24 网管中心 . 25 直单位 . 28 市单位 . 31 3 安全需求分析 . 33 合等级保护安全技术要求的需求 . 33 对三级信息系统的安全技术要求 . 33 对二级信息系统的安全技术要求 . 41 对一级系统的安全技术要求 . 46 合等级保护安全管理要求的需求 . 49 对三级信息系统的安全管理要求 . 49 对二级信息系统的安全管理要求 . 59 对一级信息系统的安全管理要求 . 65 自身防护方面的 安全技术需求 . 69 ，第 4 页 共 284 页 抗物理安全风险 . 69 抗网络安全风险 . 70 抗主机安全风险 . 70 抗应用安全风险 . 71 抗数据安全风险 . 71 抗管理安全风险 . 72 4 安全技术规划 . 73 全方案规划遵循的原则 . 73 对三级区域的安全防护规划 . 74 理安全防护 . 74 络安全防护 . 81 机安全防护 . 88 用安全防护 . 94 据安全防护 . 105 对二级区域的安全防护规划 . 114 理安全防护 . 114 络安全防护 . 118 机安全防护 . 123 用安全防护 . 128 据安全防护 . 131 对一级区域的安全防护规划 . 134 理安全防护 . 134 络安全护 . 136 机安全防护 . 138 用安全防护 . 140 据安全防护 . 142 自身安全防护需求的满足 . 144 抗物理安全风险的需求 . 144 抗网络安全风险的需求 . 144 ，第 5 页 共 284 页 抗主机安全风险的需求 . 145 抗应用安全风险的需求 . 146 抗数据安全风险的需求 . 147 抗管理安全风险的需求 . 147 5 安全管理规划 . 148 对三级区域的安全管理规划 . 148 全策略体系建设 . 148 全组织体系建设 . 149 全运营体系建设 . 151 对二级区域的安全管理规划 . 164 全策略体系建设 . 164 全组织体系建设 . 165 全运营体系建设 . 166 对一级区域的安全管理规划 . 179 6 系统实施规划 . 180 全技术实施规划 . 180 网管中心 . 180 直单位 . 206 市单位 . 235 全管理实施规划 . 254 网管中心 . 254 直单位 . 263 市单位 . 271 7 方案设计总结 . 281 足等级保护的建设要求 . 281 足自身安全防护的需求 . 283 ，第 6 页 共 284 页 1 项目 介绍 目 背景 网络技术的发展已经深入到社会生活的各个方面。网络新业务的不断兴起，为国内政府部门日常办 公提供了极大的便利，通过政府网上办公系统、网上视频会议系统、电话语音系统、互动式政府网站系统、门户型政府网站系统等应用，极大地提高了政府部门的办公效率 。在党十六大报告中明确指出，以信息化带动工业化，加快国民经济结构的战略性调整，实现社会生产力的跨越式发展，是电子政务建设的首要任务。国家信息化领导小组决定，将推进电子政务建设作为今后一个时期我国信息化工作的重点。我国电子政务建设指导意见提出当前要以“两网一站四库十二系统”为目标的电子政务建设要求，目的是加强政府监管、提高政府效率、推进政府高效服务。 “两网 一站四库十二系统”的内容是：“两网”指政务内网和政务外网两个基础平台；“一站”指政府门户网站；“四库”指人口信息数据库、法人单位信息数据库、自然资源和空间地理信息数据库以及宏观经济信息数据库；“十二系统”大体可分为三个层次：办公业务资源系统和宏观经济管理系统，将在决策、稳定经济环境方面起主要作用；金税、金关、金财、金融监管（银行、证监和保监）和金审共五个系统主要服务于政府收支的监管；金盾、金保（社会保障）、金农、金水（水利）和金质（市场监管）共五个系统则重点保障社会稳定的国民经济发展的持续。 伴随网络技术的 发展，网上应用的丰富，同时也带来了一系列的安全问题，如网络黑客、网络犯罪、病毒爆发等等，这些问题严重制约了 电子政务 信息化建设的步伐，成为 系统 建设 重点考虑的环节 。 特别是 “一站式”门户网站的开通，大大方便了公众的办事效率，拉近了政府与公众的距离，但也使电子政务平台面临着极大的安全风险，目前在这种广域网中采用的传输协议存在着许多安全问题，这就使基于广域网技术的电子政务平台面临着严峻的挑战：电子政务是党委、，第 7 页 共 284 页 政府、人大、政协有效决策、管理、服务的重要手段，必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。因此 ，信息安全已成为制约电子政务平台建设的首要因素。 国家高度重视电子政务安全保障问题， 2003年中办国办联合发布了 200327号文件 （关于转发国家信息化领导小组关于加强信息安全保障工作的意见 的通知 ） ，文件中 提出 了 关于 加强信息安全保障工作的 “积极防御，综合防范” 的八字方针， 以及 实行信息安全等级保护 的要求； 2004 年公安部、保密局、国密办以及国信办联合发布了公通字 200466 号文件（关于信息安全等级保护工作的实施意见）， 确认等级保护是国家信息安全的基本制度，也是电子政务安全工作的根本方法 ； 2005 年国信办发布了 25 号文件（关于转发电子政务信息系统信息安全等级保护实施指南的通知），对信息系统等级保护的实施过程进行了定义，包括信息系统等级保护的定级、信息系统等级保护的安全规划和设计、安全措施的实施、等级评估以及等级保护的运行改进，这些方法可作为电子政务等级保护体系的过程指导；同年公安部也陆续发布了等级保护实施指南、等级保护定级指南、等级保护基本要求和等级保护测评指南，提出了 等级保护的定级方法、实施办法，并对不同等级需要达到的安全能力要求进行了详细定义，同时对系统保护能力等级测评指出了 具体的指标；这些标准的提出形成等级保护的基本理论框架，制定了方法、过程和标准； 2006 年为全面推进等级保护工作的开展，公安部、国信办在年初下发了关于开展信息系统安全等级保护基础调查工作的通知，从 2006 年 1 月 10 日到 2006 年 4 月 10 日，分三个阶段对国家重要的基础信息系统进行摸底，为等级保护相关标准的制定提供了有力的参考依据； 2007 年公安部、保密局 、国密办和国信办联合发布了 200743 号文件信息安全等级保护管理办法，提出了等级保护的推进和管理的办法； 2007 年7 月公安部、保密局、国密办以及国信 办联合发布公信安 2007861 号文件关于开展全国重要信息系统安全等级保护定级工作的通知，标志等级保护进入实质阶段。 电子政务外网是中办发 200217 号、 200618 号文件确定并由国家发改委 20042135 号文件批复立项的国家项目，是国家电子政务外网的省级节，第 8 页 共 284 页 点， 2007 年初在 发改委的指导下， 网管中心 规划了“ 电子政务的可研报告”，根据规划， 电子政务网络 将建成覆盖省、市 两 级的政务处理平台， 建立数据传输的基础通道；建成省 政务 外网网管中心；建成省 政务 外网应用支撑平台；建设全省电子政务系统信息交换共享平台；启动部分应用系统的建设； 建设与国家电子政务外网统一 的安全保障体系 。 并按照等级保护的建设思想和过程，搭建 电子政务外网的等级保护体系。 考标准 案指导思想 电子政务系统属于国家政务信息建设的组成部分，其信息安全保障体系的建设必须 要 符合国家相关法律和要求，我国对信息安全保障工作的要求非常重视，国家相关部门也陆续出台了相应的文件和要求， 在为 电子政务 规划整体解决方案的过程中，在方案指导思想上 参考的政策和标准 主要包括 ： 国务院办公厅 于 2002 年发布的中办发 200217 号文件（关于转发国家信息化领导小组关于我国电子政务建设指导意见的通知）， 该文件提出了电子政务建设的指导思想和原则， 提出了“ 统一规划、加强领导；需求主导、突出重点；统一标准、保障安全”的建设原则，指出 电子政务的建设必须和信息安全保障体系的建设同步进行 。 因此 在 电子政务建设的规划阶段 中，信息安全保障系统的建设被提到 很高的高度 ，信息安全保障系统的规划和设计的到 电子政务领导的高度重视 ； 中央办公厅、国务院办公厅 于 2003 年 9 月 颁布的中办 200327 号 文件（ 关于转发 国家信息化领导小组关于加强信息安全保障工作的意见 的通知 ） ，文件中 提出 了 关于 加强信息安全保障工作的 “积极防御，综合防范” 的八字方针，以及 实行信息安全等级保护 的要求，指出“ 信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际 出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点 ”。 因此，在 电子政务系统的建设中，等级，第 9 页 共 284 页 化保护是安全保障系统的设计原则，信息安全风险评估工作成为等级化保护方案设计的前提。 案参考标准 在等级 化 保护 方案的建设过程 方面， 重点 参考 公安部发布的 信息系统安全等级保护实施指南（报批稿） ： 该文件 指出了等级保护的实施流程，对等级保护的信息系统定级、总体安全规划、安全设计与实施、安全运行与维护以及信息系统终止五个阶段的主要活动进行了定义和描述 ， 电子政务外网系统等级化保护方案的规划和建设，均应按照该文件的描述，完成定级、设计和实施等任务，保障项目过程的严谨性和科学性 ； 在确认系统定级方面，重点参考公安部发布的信息系统安全等级保护定级指南（报批稿） ：该文件提出了定级原理、具体的定级方法和等级变更的操作方法，是信息系统进行等级保护设计的首要环节 ，本方案将按照该方法，对 在安全防护措施设计方面，则参考公安部于发布的 信息系统安全等级保护基本要求 （报批稿） 和信息系统安全等级保护测评准则 （报批稿） ， 该文件对完成定级的信息系统的 安全 威胁、安全目标及安全要求方面 ，进行了详细的描述和设计，在 电子政务等级化保护方案的设计中，我们严格地遵从了该文件提出的要求，并结合 电子政务系统的实际问题，提出了 三个级别的信息系统安全保护建设方案。 在 管 理 制 度 规 划 建设 方 面 ， 本 方 案 在 部 分 措 施 制 定 方 面 参考息安全管理实践准则 ：该准则 是帮助构建信息安全管理框架的国际标准。该标准要求各组织建立并运行一套经过验证的信息安全管理体系，用于解决如下问题：资产的保管、组织的风险管理、管理标的和管理办法、要求达到的安全程度等。 ，第 10 页 共 284 页 考标准汇总 安全要素 遵循标准 指导思想 中办 200217 号文件（关于转发国家信息化领导小组关于我国电子政务建设指导意见的通知） 中办发 200618 号文件转发国家信息化领导小组关于推进国家电子政务网络建设的意见的通知 中办 200327 号 文件（关于转发国家信息化领导小组关于加强信息安全保障工作的意见的通知） 等级保护 公安部发布的信息系统安全等级保护实施指南（报批稿） 系统定级 公安部发布的信息系统安全等级 保护 定级指南 （报批稿） 方案规划 公安部发布的信息系统安全等级保护基本要求 （报批稿） 公安部发布的信息系统安全等级保护测评准则 （报批稿） 安全 管理 息安全管理实施细则 息安全管理体系规范 案规划范围 本方案的规划范围以省政务外网一期工程为主，以省政务外网网管中 心为重点，覆盖联通的省委、省政府、省人大、省政协 的 厅局单位 ；以及 地市单位 和 县级单位 ，根据国家电子政务外网安全保障体系的规划， 电子政务外网安全体系 包括如下三个方面的内容： 网络安全防护体系：按照等级保护技术要求进行分级分区域建设的技术防护体系； 网络信任体系，包括： A 系统、权限管理系统和认证授权审计系统； 安全管理体系，包括：按照国家安全保障体系建设标准，建设省级安全管理中心 (以国家电子政务外网安全标准指南为标准贯彻执，第 11 页 共 284 页 行国家已有安全法规标准，同时制订符合我省 政务外网自身特点和要求的有关规定和技术规范。 案设计原则 根据 国家相关政策和标准，本次规划与设计工作将严格遵循以下的建设原则： 自主保护原则 信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。 重点保护原则 电子政务等级保护要突出重点，对关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统，应集中资源优先建设，对于 子政务外网的安全保障体系建设，同样要抓住重点，特别针对重要的外网服务支撑平台，应采取足够强度的安全防护措施，确保其能够 更好的支撑各类业务的运行； 同步建设原则 信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。 动态调整原则 要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。 标准型原则 ，第 12 页 共 284 页 电子政务外网是进行政务处理的信息系统，信息系统受到破坏会 对省政府甚至国家的安全利益有直接影响，因此本方案在设计和规划的过程中，将严格遵守 国家相关政策和标准，特别是国家电子政务外网的安全保障体系建设规划，进行全面的设计。 灵活性原则 考虑到相应标准的不断完善过程和滞后性，在没有标准依据的地方，我们将通过对等级保护的理解，自行设计相应的保障措施，考虑到产品测评认证的滞后性和片面性，在没有相关通过认证的产品可选用时，将使用通过最高认证级别的产品。 责任制原则 安全管理应做到 “ 谁主管，谁负责 ” 、 “ 谁运营，谁负责 ” ， 在本方案的规划中，我们将注重安全规章制度、安全应急响应制 度的设计，将安全运行提高到一定的高度。 实用性原则 在确保信息系统性能和安全的前提下，充分利用资源，讲究实效，避免重复和盲目投资，积极采用国家法律法规允许的、成熟的先进技术和专业安全服务，运用科学的经营管理方法，降低成本，保障安全运行。 ，第 13 页 共 284 页 2 区域划分与定级建议 子政务外网建设 情况 电子政务外网总体框架从纵向上划分为省政务外网平台、省直厅局网络平台、地市政务外网平台；横向上划分为政务外网数据中心、政务外网门户网站和互联网访问用户。整体政务外网的框架结构如下图表示： 图 电子政务外网 总体框架示意图 根据项目规划，省电子政务外网将上联国家电子政务外网，横向联接省委、省政府、省人大、省政协以及 省直厅局，纵向联接 市级政务外网，边界通过逻辑隔离联接互联网。重点实现省级城域网和省 现省直部分厅局和省 设省电子政务外网安全保障体系；建设统一的数据交换中心和服务体系；推进应用服务系统建设，实现信息共享、业务，第 14 页 共 284 页 协同和网上服务等建设内容，具体网络平台和应用系统的建设规划如下： 络平台规划 构建统一的政务外网网络平台，建设省级城域网、外网广域网，实现实现省直 部分厅局和省 国家电子政务外网的纵向联接，以及与互联网访问链路的建设等内容； 本期重点建设广域网基础平台，建成后的平台将为 电子政务的通信提供基础数据传输的支撑，广域网基础平台包括 省网管中心 网络平台、省 省网管中心 到省直属单位传输链路、以及共用的互联网传输链路，整体规划示意如下： 图 电子政务外网总体拓扑示意图 ，第 15 页 共 284 页 网管中心 其中省网管中心是 电子政务外网的核心区域，所有的数据均在这里存储、访问、交换，同时也是连接国家外网、省级城 域网、省 联网等不同网络的枢纽，在核心网络全部设备和链路均为冗余设计，同时结合全面的安全保障体系，共同构建一个稳健、可靠、高速的核心网络平台。本期方案的规划范围是以省网管中心为主，结合等级保护的思想，对网管中心进行分区分级的保护，确保系统能够有效支撑各类应用系统。省网管中心及外联系统的布局示意如下： 图 网管中心网络部署示意图 省网管中心包括四个部分： 核心交换区 核心交换区是核心网络的中心区域，也是全省电子政务外网的总核心，根据，第 16 页 共 284 页 规划，在此主要部署两台高性能核心路由交换机，采 用全交叉结构，和两台广域核心路由器采用冗余链路，共同构成核心路由交换架构，连接数据服务区和互联网访问区。两台广域核心路由器通过省城域网横向连接省直厅局的办公网；通过骨干网纵向连接地市电子政务外网平台；与国家外网接入路由器相连，接入到国家电子政务外网平台。 核心交换区同时承载省网管中心本地局域网的接入，在核心交换机上扩展接入交换机，连接到省网管中心的访问终端设备。 数据服务区 数据服务区提供省电子政务外网的数据服务，所有核心业务和数据的存储和访问，所有外网内部各应用服务器和管理服务器、业务核心设备均部署在此。 数据服务区部署两台千兆高端路由交换机，接入各业务核心设备、服务器等，同时在该区域部署了数据存储与备份中心，提升系统的容错容灾能力。 从信息资产的角度，数据服务区汇聚了省电子政务外网平台的关键信息资产，包括业务系统、数据、核心服务器设备等，因此成为本次安全保障体系规划的核心。 互联网访问区 互联网访问区位于核心网络的边缘，连接互联网、 户接入等。实现互联网上公众用户、企业、移动办公用户对省电子政务外网的访问，同时也通过互联网实现电子政务外网各直属单位公务员上网、电子邮件 以及门户网站 等服务。由于互联网的 开放性，使实行省政务业务的重要组成 电子政务外网面临很高的安全威胁，因此如何防范互联网的攻击行为，也是本方案要考虑的因素之一。 移动用户接入区 在政务外网的互联网访问区配置一台接入路由器，当政府公务员以及相关人员出差或在家庭办公时可通过电话拨号访问政务外网；拨号服务器与用户之间建，第 17 页 共 284 页 立 道，实现安全可靠的访问； 此外，对于那些通过互联网平台访问电子政务外网的用户，也可通过 方式，实现对电子政务外网的安全访问，具体的防护措施见后面章节的描述。 直单位 省直单位则包括省发改委、 省社会劳动保障局、省财政厅、省民政厅、省国土局、省公安厅、省法院、省检察院等省直属厅局部门 ，在各省直单位运行着支撑职能的各类业务系统，这些系统通过省网管中心（省政务外网平台）实现了横向的互联互通和信息交换，其网络结构可表示如下： 图 直单位网络部署示意图 省网管中心包括三个部分： ，第 18 页 共 284 页 核心交换区 核心交换区是 省直单位 网络的中心区域， 参考典型省直单位信息网络的建设，在核心交换区 主要部署两台高性能核心路由交换机，采用全交叉结构，和两台广域核心路由器采用冗余链路，共同构成核心路由交换架构，连接数据 服务区和互联网访问区。两台广域核心路由器通过省城域网横向连接 省网管中心（省电子政务外网平台） 。 核心交换区同时承载 省直单位 本地局域网的接入，在核心交换机上扩展接入交换机，连接到 省直单位 的访问终端设备。 数据 服务区 数据库 服务区 里主要部署了省直单位的关键应用服务器、数据库和网管系统， 从信息资产的角度，数据服务区汇聚了 省直单位 的关键信息资产，包括业务系统、数据、核心服务器设备等，因此成为本次安全保障体系规划的 重点 。 互联网访问区 互联网访问区位于核心网络的边缘，连接互联网 ，支持省直单位公务员进行上网查询等处理 。 由于互联网的开放性， 省直单位信息网络 面临 较 高的安全威胁，因此如何防范互联网的攻击行为，也是本方案要考虑的因素之一。 市单位 地市单位主要指建设在市政府的电子政务外网节点，其网络结构相对简单，可表示如下： ，第 19 页 共 284 页 省网管中心包括三个部分： 核心交换区 核心交换区是地市单位信息网络的中心区域，针对地市网络在核心交换区主要部署一台高性能核心路由交换机，连接访问终端和应用服务区。 核心交换区上扩展接入交换机，连接到地市单位的访问终端设备。 应用 服务区 应用库服务区里主要部署了地市单位的关键应用服务器，由于 子政务外网采用数据大集中，因此在地市单位仅部署了处理非关键应用的服务器，没有配置数据库。 互联网访问区 互联网访问区位于核心网络的边缘，连接互联网，支持地市单位公务员进行，第 20 页 共 284 页 上网查询等处理。由于互联网的开放性，地市单位信息网络面临较高的安全威胁。 用系统规划 在本期规划中，利用省电子政务外网平台，主要建设综合门户网站、公文交换系统、电子邮件系统、干部在线培训、网上审批、数据存储体系等。 公文交换系统 公文交换是政府部门日常的一项重要工作，依托电子政务外网的数据交换平台，逐步建立覆盖全省政府部门的公文交换系统， 实现公文在不同政府间的有效传递。本期将选择省政府办公厅、省发改委等相关部门做试点，在试点应用获得成功后，再向全省推广； 电子邮件系统 电子邮件作为信息互动的基础工具，可满足政府办公最基本的通信需求，并能够很好地和其他应用服务结合起来，组成更为强大的办公自动化系统，是电子政务的得力助手。本期在省网管中心建设规划的电子邮件系统将提供给全省公务员使用，实现便捷的信息交换； 网上审批系统 行政审批是行政机关依法对社会和经济事务实行监督管理的重要手段。本期规划的网上审批系统搭建在省政务外网的数据交换平台上，声综合门户 网站通过认证网管和数据交换平台相连，同时各单位行政审批系统通过数据交换器（适配器）和数据交换平台相连。社会公众和企业从综合门户网站提交材料，进入到数据交换平台，再由数据交换平台将数据交换到相应的单位办公系统，然后反馈审批结果，从而实现单一部门审批或多部门的联合审批。 ，第 21 页 共 284 页 子政务外网区域划分 对于 电子政务外网，参考 公安部等级保护实施指南 ， 应当 将其划分为若干子系统进行定级， 并根据定级结果，结合子系统的实际状态进行安全保障的设计， 。 参考国家电子政务外网的安全域划分原则和方法，对 电子政务外网（一 期工程）从总体上可将安全域作如下方式划分： 省级网络管理中心局域网 市级接入节点单位网络管理中心局域网 市级接入节点单位接入网络 安全域划分示意图如下： 图 电子政务外网 安全域 总体 划分示意图 ，第 22 页 共 284 页 在总体区域划分的基础上，本方案建议可采用 按照网络区域划分 的方式，进一步的区域细分， 首先根据行政级别划分的原则，从地域上（也是根据信息 进行系统的服务范围上）将 电子政务外网划分为省、市 两 级平台，形成省网管中心、省直厅局、地市节点共 3 个计算环境；然后按照不同区域内信息系统的类型进行划分（这里我们 划分为机关办公区域、服务器区域、网络管理区域和数据中心区域等）。 省级平台包括省 网管中心 和省直单位， 省网管中心 电子政务外网的核心区域，所有的数据均在这里存 储、访问、交换，同时也是连接国家外网、省级城域网、省 联网等不同网络的枢纽， 因此我们将其单独作为一个区域进行考虑；省直单位则包括省发改委、省社会劳动保障局、省财政厅、省民政厅、省国土局、省公安厅、省法院、省检察院等省直属厅局部门，这些单位接入省电子政务外网平台，实现横向的信息共享与联合办公，实现便捷的公文信息交换等业务；地市则包括 11 个节点，与各地市的电子政务外网平台连接，各地市委办局可通过垂直的电子政务外网实现纵向的信息共享与公文交换， 11个节点相互独立，形成 11 个安全区域。在本次项目中，主要覆盖了省级平台及与地市节点的广域链路上。划分结果如下图表示： ，第 23 页 共 284 页 图 电子政务外网区域划分示意图 此外，对于省网管中心，还有一些移动办公用户，通过互联网对省网管中心进行访问，从而实现对省电子政务外网平台的访问，在逻辑上形成单独的区域。 整体安全区域划分为两层，其中，第一层保护对象包括 3 个计算环境（省网管中心、省直单位、地市节点）， 3 个区域边界和 3 个网络基础设施；第二层保护对象包括 11 个计算环境（省网管中心 5 个、省直单位 4 个、地市级节 2 个）。汇总起来，对于 电子政务外网，其安全区域总体可划分为以下两个层面，共 11 个安全区域， 5 套网络基础设施。 第一层保护对象 第二层保护对象 计算环境 省网管中心 数据中心服务器区 数据存储备份区 应用服务器区 网管业务区 门户网站区 ，第 24 页 共 284 页 第一层保护对象 第二层保护对象 机关办公 区 省直单位 数据服务器区 应用服务器区 网管业务区 机关办公区 地市级节点 应用服务器区 机关办公区 网络基础设施 省网管中心数据服务区 省网管中心核心交换区 省网管中心互联网访问区 省直单位 地市级网络基础设施 子政务外网定级建议 参考国家电子政务外网区域划分和定级总体原则，我们首先确定 省电子政务外网平台的总体定级为： 省级网络管理中心局域网至少要达到监督保护级 （ 3 级） 的要求。对于这类的安全域，将依照国家管理规范和技术标准进行自主保护，并接受信息安全监管职能部门进行监督、检查 ； 市级接入节点单位网络管理中心局域网和市级接入节点单位接入网络至少达到指导保护级 （ 2 级） 的要求。对于这类安全域，将在信息安全监管职能部门的指导下，依照国家管理规范和技术标准进行自主保护。 在总体定级的基础上，根据 公安部的定级办法 ，针对 电子政务外网的各个安全区域，建议按照以下的方式进行细化的定级。 ，第 25 页 共 284 页 网管中心 省网管中心 包括应用服务器区、数据中心服务器区、数据存储备份区、网管业务区 、门户网站区 和 机关办公区 ， 参考公安部信息系统安全等级保护定级指南，分别定级如下： 应用服务器区 汇聚了全省电子政务外网重要的 应用 服务器等信息资产， 对维持全省电子政务外网各项业务的 正常 开展和业务系统的正常 运行 起着关键作用， 一旦应用服务器区域出现故障将导 致全省电子政务外网系统的停滞，影响政务业务和对公众的服务业务，破坏政府形象， 因此在信息安全保护等级和系统服务安全保护等级方面分别定级如下： 确定业务信息安全保护等级： 业务信息安全被破坏时所侵害的客体 对 相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 确定系统服务安全保护等级： 系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 因此省网管中心应用服务器区定级为 2 级，且对应技术选择措施为： 据中心服务器区 则 汇聚了全省电子政务外网重要的 数据库 等信息资产，保存了