《信息安全技術(shù) 基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南 第1部分：總則》編制說明

一、工作簡況

1.1任務(wù)來源

《信息安全技術(shù)基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南》修訂是全國信息

安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處于2012年12月下達(dá)的課題，屬2013年國家標(biāo)準(zhǔn)

修訂項(xiàng)目。

1.2主要工作過程

（1）立項(xiàng)：2013.01

2012.12課題立項(xiàng)評審，確定任務(wù)內(nèi)容；

2013.01收到任務(wù)下達(dá)通知并簽定合同，成立了課題組。

（2）調(diào)研：2013.01－－2013.05

到廣西玉林等外省單位進(jìn)行調(diào)研；

標(biāo)準(zhǔn)需求分析。

（3）標(biāo)準(zhǔn)編制階段：2013.05－－2015.01

2013.04撰寫標(biāo)準(zhǔn)草案（修訂1個(gè)指南，新增7個(gè)子規(guī)范）；

2013.05組織學(xué)院專家進(jìn)行研討；

2013.06完成標(biāo)準(zhǔn)草案第一稿；

2013.06向安標(biāo)委匯報(bào)標(biāo)準(zhǔn)草案，在北京組織專家研討；

2013.07組織學(xué)院專家進(jìn)行研討；

2013.09重點(diǎn)對標(biāo)準(zhǔn)的組成和框架進(jìn)行了修改，完成標(biāo)準(zhǔn)草案第二稿，并提

交安標(biāo)委；

2013.11完成標(biāo)準(zhǔn)草案的修訂，形成標(biāo)準(zhǔn)草案第三稿，確定了標(biāo)準(zhǔn)的最終

組成（分4部分：1個(gè)總則，3個(gè)子規(guī)范）；

2014.01草案第三稿提交安標(biāo)委；

2014.04到國家信息中心調(diào)研；

2014.05到國家安全中心調(diào)研；

2014.01-2014.08根據(jù)調(diào)研情況，對“標(biāo)準(zhǔn)第1部分：總則”的框架進(jìn)行

了大幅度修改，重點(diǎn)修改了實(shí)施模型、安全體系及實(shí)施原則，新增了體系的風(fēng)

險(xiǎn)評估。理順了各標(biāo)準(zhǔn)之間的關(guān)系及與電子政務(wù)外網(wǎng)之前的關(guān)系。

2014.08完成標(biāo)準(zhǔn)草案的修訂，形成標(biāo)準(zhǔn)草案第四稿在北京組織專家研討；

2014.08-2014.11根據(jù)專家意見，對標(biāo)準(zhǔn)中的信息安全概要模型與體系進(jìn)行

了修改；

2014.11完成標(biāo)準(zhǔn)草案第五稿，并提交安標(biāo)委；

2014.11通過專家論證形成征求意見稿交安標(biāo)委；

2014.12-2015.01針對網(wǎng)評專家意見對標(biāo)準(zhǔn)的征求意見稿進(jìn)行修改，并提

交案標(biāo)委。

二、編制原則和主要內(nèi)容

2.1編制原則

可操作性

充分考慮到我國信息安全技術(shù)發(fā)展和應(yīng)用的實(shí)際情況，在有效保證應(yīng)用的前

提下，基于互聯(lián)網(wǎng)信息安全建設(shè)經(jīng)濟(jì)適用、易于使用、易于實(shí)施，具有可操作性。

先進(jìn)性

充分利用最新的信息安全技術(shù)，采用集成創(chuàng)新的方法，對基于互聯(lián)網(wǎng)電子政

務(wù)系統(tǒng)進(jìn)行有效的信息安全保障。

適度安全、綜合防范

在制定基于互聯(lián)網(wǎng)電子政務(wù)信息安全規(guī)范時(shí)，必須充分考慮來自互聯(lián)網(wǎng)的

各種威脅，采取適當(dāng)?shù)陌踩胧?，進(jìn)行綜合防范。

2.2主要內(nèi)容

本指南的主要內(nèi)容包括四個(gè)部分：《第1部分：總則》、《第2部分：接入控

制與安全交換》、《第3部分：身份認(rèn)證與授權(quán)管理》、《第4部分：終端安全防護(hù)》。

標(biāo)準(zhǔn)的第1部分明確了基于互聯(lián)網(wǎng)電子政務(wù)實(shí)施模型，構(gòu)建基于互聯(lián)網(wǎng)電

子政務(wù)信息安全體系，規(guī)范了體系的實(shí)施原則、實(shí)施框架、實(shí)施關(guān)鍵技術(shù)，并對

風(fēng)險(xiǎn)評估提供了方法性指導(dǎo)。標(biāo)準(zhǔn)的第2部分明確了互聯(lián)網(wǎng)電子政務(wù)分域控制的

兩個(gè)階段，分別對接入控制和安全交換的實(shí)施過程給出指南性建議要求。標(biāo)準(zhǔn)的

第3部分明確了身份認(rèn)證及授權(quán)管理的管理功能要求，分別對安全功能、系統(tǒng)部

署、認(rèn)證方式、資源和授權(quán)管理給出指南性建議要求。標(biāo)準(zhǔn)的第4部分明確了基

于互聯(lián)網(wǎng)電子政務(wù)終端的安全防護(hù)技術(shù)要求，分別對終端安全功能與實(shí)施原則，

終端安全應(yīng)用模式、終端基本安全防護(hù)、終端增強(qiáng)安全防護(hù)、移動(dòng)終端安全防護(hù)

給出指南性建議要求。

三、主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果

本標(biāo)準(zhǔn)制定與國家開展基于互聯(lián)網(wǎng)電子政務(wù)信息安全保障工作緊密相關(guān)，

作為了解和使用基于互聯(lián)網(wǎng)電子政務(wù)信息安全的標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)匯總了有關(guān)信息安

全概要模型、信息安全體系、信息安全實(shí)施框架，以及接入控制與安全交換、認(rèn)

證授權(quán)、終端安全防護(hù)等信息安全關(guān)鍵實(shí)施環(huán)節(jié)等方面的術(shù)語和定義，為用戶使

用標(biāo)準(zhǔn)提供了很好的內(nèi)容；同時(shí)，標(biāo)準(zhǔn)中對基于互聯(lián)網(wǎng)電子政務(wù)信息安全標(biāo)準(zhǔn)族

的主要標(biāo)準(zhǔn)范圍、內(nèi)容及適用范圍等進(jìn)行了簡要描述，有利于用戶根據(jù)需要與實(shí)

施過程選擇不同的標(biāo)準(zhǔn)進(jìn)行實(shí)現(xiàn)，以保障信息安全。本標(biāo)準(zhǔn)作為實(shí)施指南，不與

直接的經(jīng)濟(jì)效益掛鉤，但作為了解和掌握基于互聯(lián)網(wǎng)電子政務(wù)信息安全系統(tǒng)建設(shè)

的標(biāo)準(zhǔn)，對于促進(jìn)國家基于互聯(lián)網(wǎng)電子政務(wù)信息安全保障工作，具有基礎(chǔ)而重要

的意義。

四、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的

對比情況，或與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對比情況

無與本標(biāo)準(zhǔn)類同的國際標(biāo)準(zhǔn)。

五、與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系

本標(biāo)準(zhǔn)是GB/Z24294《信息安全技術(shù)基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指

南》的修訂版，與《總則》、《接入控制與安全交換》、《身份認(rèn)證與授權(quán)管理》、

《終端安全防護(hù)》共同構(gòu)成基于互聯(lián)網(wǎng)電子政務(wù)信息安全標(biāo)準(zhǔn)族。本標(biāo)準(zhǔn)在基于

互聯(lián)網(wǎng)電子政務(wù)信息安全的引言部分，對每個(gè)標(biāo)準(zhǔn)的情況及其作用范圍進(jìn)行了相

關(guān)說明，對于標(biāo)準(zhǔn)用戶了解標(biāo)準(zhǔn)族的情況以及其中每個(gè)標(biāo)準(zhǔn)的范圍和目的等信息

具有十分重要的參考作用。本標(biāo)準(zhǔn)對于開展基于互聯(lián)網(wǎng)電子政務(wù)信息安全工作具

有重要的意義。GB/TCCCC-DDDD《政府部門互聯(lián)網(wǎng)安全接入要求》提供了互聯(lián)網(wǎng)

出口的接入策略，GB/T30278－2013《政務(wù)計(jì)算機(jī)終端核心配置規(guī)范》提供了安

全核心配置規(guī)范，GB/T31167－2014《信息安全技術(shù)-云計(jì)算服務(wù)安全指南》提

供了基于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中的信息分類方法，可作為互聯(lián)網(wǎng)電子政務(wù)出口接

入、基本終端安全防護(hù)、信息分類防護(hù)等重要參考。

六、重大分歧意見的處理經(jīng)過和依據(jù)

詳見標(biāo)準(zhǔn)征求稿意見匯總處理表。

七、國家標(biāo)準(zhǔn)作為強(qiáng)制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議

建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實(shí)施。

八、貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等

內(nèi)容）

本標(biāo)準(zhǔn)主要用于基于互聯(lián)網(wǎng)電子政務(wù)信息安全系統(tǒng)的建設(shè)與維護(hù)，為希望

了解和建立基于互聯(lián)網(wǎng)電子政務(wù)信息安全體系的組織和用戶提供了有關(guān)基于互

聯(lián)網(wǎng)電子政務(wù)信息安全體系及其關(guān)鍵環(huán)節(jié)的有效指南，有助于更加深刻地理解基

于互聯(lián)網(wǎng)電子政務(wù)信息安全體系建設(shè)和實(shí)施內(nèi)容。因此，本標(biāo)準(zhǔn)貫徹實(shí)施時(shí)，應(yīng)

將《總則》、《接入控制與安全交換》、《身份認(rèn)證與授權(quán)管理》和《終端安全防護(hù)》

四個(gè)標(biāo)準(zhǔn)結(jié)合在一起進(jìn)行。

九、