《信息安全技術 基于互聯(lián)網(wǎng)電子政務信息安全實施指南 第1部分：總則》編制說明

一、工作簡況

1.1任務來源

《信息安全技術基于互聯(lián)網(wǎng)電子政務信息安全實施指南》修訂是全國信息

安全標準化技術委員會秘書處于2012年12月下達的課題，屬2013年國家標準

修訂項目。

1.2主要工作過程

（1）立項：2013.01

2012.12課題立項評審，確定任務內(nèi)容；

2013.01收到任務下達通知并簽定合同，成立了課題組。

（2）調(diào)研：2013.01－－2013.05

到廣西玉林等外省單位進行調(diào)研；

標準需求分析。

（3）標準編制階段：2013.05－－2015.01

2013.04撰寫標準草案（修訂1個指南，新增7個子規(guī)范）；

2013.05組織學院專家進行研討；

2013.06完成標準草案第一稿；

2013.06向安標委匯報標準草案，在北京組織專家研討；

2013.07組織學院專家進行研討；

2013.09重點對標準的組成和框架進行了修改，完成標準草案第二稿，并提

交安標委；

2013.11完成標準草案的修訂，形成標準草案第三稿，確定了標準的最終

組成（分4部分：1個總則，3個子規(guī)范）；

2014.01草案第三稿提交安標委；

2014.04到國家信息中心調(diào)研；

2014.05到國家安全中心調(diào)研；

2014.01-2014.08根據(jù)調(diào)研情況，對“標準第1部分：總則”的框架進行

了大幅度修改，重點修改了實施模型、安全體系及實施原則，新增了體系的風

險評估。理順了各標準之間的關系及與電子政務外網(wǎng)之前的關系。

2014.08完成標準草案的修訂，形成標準草案第四稿在北京組織專家研討；

2014.08-2014.11根據(jù)專家意見，對標準中的信息安全概要模型與體系進行

了修改；

2014.11完成標準草案第五稿，并提交安標委；

2014.11通過專家論證形成征求意見稿交安標委；

2014.12-2015.01針對網(wǎng)評專家意見對標準的征求意見稿進行修改，并提

交案標委。

二、編制原則和主要內(nèi)容

2.1編制原則

可操作性

充分考慮到我國信息安全技術發(fā)展和應用的實際情況，在有效保證應用的前

提下，基于互聯(lián)網(wǎng)信息安全建設經(jīng)濟適用、易于使用、易于實施，具有可操作性。

先進性

充分利用最新的信息安全技術，采用集成創(chuàng)新的方法，對基于互聯(lián)網(wǎng)電子政

務系統(tǒng)進行有效的信息安全保障。

適度安全、綜合防范

在制定基于互聯(lián)網(wǎng)電子政務信息安全規(guī)范時，必須充分考慮來自互聯(lián)網(wǎng)的

各種威脅，采取適當?shù)陌踩胧?，進行綜合防范。

2.2主要內(nèi)容

本指南的主要內(nèi)容包括四個部分：《第1部分：總則》、《第2部分：接入控

制與安全交換》、《第3部分：身份認證與授權管理》、《第4部分：終端安全防護》。

標準的第1部分明確了基于互聯(lián)網(wǎng)電子政務實施模型，構建基于互聯(lián)網(wǎng)電

子政務信息安全體系，規(guī)范了體系的實施原則、實施框架、實施關鍵技術，并對

風險評估提供了方法性指導。標準的第2部分明確了互聯(lián)網(wǎng)電子政務分域控制的

兩個階段，分別對接入控制和安全交換的實施過程給出指南性建議要求。標準的

第3部分明確了身份認證及授權管理的管理功能要求，分別對安全功能、系統(tǒng)部

署、認證方式、資源和授權管理給出指南性建議要求。標準的第4部分明確了基

于互聯(lián)網(wǎng)電子政務終端的安全防護技術要求，分別對終端安全功能與實施原則，

終端安全應用模式、終端基本安全防護、終端增強安全防護、移動終端安全防護

給出指南性建議要求。

三、主要試驗（或驗證）的分析、綜述報告，技術經(jīng)濟論證，預期的經(jīng)濟效果

本標準制定與國家開展基于互聯(lián)網(wǎng)電子政務信息安全保障工作緊密相關，

作為了解和使用基于互聯(lián)網(wǎng)電子政務信息安全的標準，本標準匯總了有關信息安

全概要模型、信息安全體系、信息安全實施框架，以及接入控制與安全交換、認

證授權、終端安全防護等信息安全關鍵實施環(huán)節(jié)等方面的術語和定義，為用戶使

用標準提供了很好的內(nèi)容；同時，標準中對基于互聯(lián)網(wǎng)電子政務信息安全標準族

的主要標準范圍、內(nèi)容及適用范圍等進行了簡要描述，有利于用戶根據(jù)需要與實

施過程選擇不同的標準進行實現(xiàn)，以保障信息安全。本標準作為實施指南，不與

直接的經(jīng)濟效益掛鉤，但作為了解和掌握基于互聯(lián)網(wǎng)電子政務信息安全系統(tǒng)建設

的標準，對于促進國家基于互聯(lián)網(wǎng)電子政務信息安全保障工作，具有基礎而重要

的意義。

四、采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的

對比情況，或與測試的國外樣品、樣機的有關數(shù)據(jù)對比情況

無與本標準類同的國際標準。

五、與有關的現(xiàn)行法律、法規(guī)和強制性國家標準的關系

本標準是GB/Z24294《信息安全技術基于互聯(lián)網(wǎng)電子政務信息安全實施指

南》的修訂版，與《總則》、《接入控制與安全交換》、《身份認證與授權管理》、

《終端安全防護》共同構成基于互聯(lián)網(wǎng)電子政務信息安全標準族。本標準在基于

互聯(lián)網(wǎng)電子政務信息安全的引言部分，對每個標準的情況及其作用范圍進行了相

關說明，對于標準用戶了解標準族的情況以及其中每個標準的范圍和目的等信息

具有十分重要的參考作用。本標準對于開展基于互聯(lián)網(wǎng)電子政務信息安全工作具

有重要的意義。GB/TCCCC-DDDD《政府部門互聯(lián)網(wǎng)安全接入要求》提供了互聯(lián)網(wǎng)

出口的接入策略，GB/T30278－2013《政務計算機終端核心配置規(guī)范》提供了安

全核心配置規(guī)范，GB/T31167－2014《信息安全技術-云計算服務安全指南》提

供了基于互聯(lián)網(wǎng)電子政務系統(tǒng)中的信息分類方法，可作為互聯(lián)網(wǎng)電子政務出口接

入、基本終端安全防護、信息分類防護等重要參考。

六、重大分歧意見的處理經(jīng)過和依據(jù)

詳見標準征求稿意見匯總處理表。

七、國家標準作為強制性國家標準或推薦性國家標準的建議

建議本標準作為推薦性國家標準發(fā)布實施。

八、貫徹國家標準的要求和措施建議（包括組織措施、技術措施、過渡辦法等

內(nèi)容）

本標準主要用于基于互聯(lián)網(wǎng)電子政務信息安全系統(tǒng)的建設與維護，為希望

了解和建立基于互聯(lián)網(wǎng)電子政務信息安全體系的組織和用戶提供了有關基于互

聯(lián)網(wǎng)電子政務信息安全體系及其關鍵環(huán)節(jié)的有效指南，有助于更加深刻地理解基

于互聯(lián)網(wǎng)電子政務信息安全體系建設和實施內(nèi)容。因此，本標準貫徹實施時，應

將《總則》、《接入控制與安全交換》、《身份認證與授權管理》和《終端安全防護》

四個標準結(jié)合在一起進行。

九、