[PDF] GBZ24294-2009 - 中国标准 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GB/Z 24294-2009 | RFQ | 点击询价 | <=6 | 信息安全技术 基于互联网电子政务信息安全实施指南 |
| 基本信息 | |
|---|---|
| 标准编号 | GB/Z 24294-2009 (GB/Z24294-2009) |
| 中文名称 | 信息安全技术 基于互联网电子政务信息安全实施指南 |
| 英文名称 | Information security technology -- Guide of implementation for internet-based E-government information security |
| 行业 | 国家标准 |
| 中标分类 | L80 |
| 国际标准分类 | 35.040 |
| 字数估计 | 34,391 |
| 发布日期 | 2009-07-30 |
| 实施日期 | 2010-02-01 |
| 引用标准 | GB/T 2887; GB 17859-1999; GB/T 17902.2; GB/T 17902.3; GB/T 19714; GB/Z 19717; GB/T 19771; GB/T 20269; GB/T 20271; GB/T 20275; GB/T 20280; GB/T 20281; GB/T 20282; GB/T 20518; GB/T 20945; GB/T 20984; GB/Z 20985; GB/T 22081; GB/T 22239; GB/T 22240; GB/T 24363-2009; ISO/IEC 18028 |
| 标准依据 | 国家标准批准发布公告2009年第9号(总第149号) |
| 发布机构 | 中华人民共和国卫生部 |
| 范围 | 本指导性技术文件确立了基于互联网电子政务信息安全保障总体架构, 为基于互联网电子政务所涉及的信息安全技术、信息安全管理、信息安全工程建设等方面安全要求的实施提供指导。本指导性技术文件适用于地市级(含以下)政府单位, 基于互联网开展不涉及国家秘密的电子政务信息安全建设, 为管理人员、工程技术人员、信息安全产品提供者进行信息安全建设提供管理和技术参考。 |
GB/Z 24294-2009
Information security technology.Guide of implementation for internet-based E-government information security
ICS 35.040
L80
中华人民共和国国家标准化指导性技术文件
GB /Z24294-2009
信息安全技术
基于互联网电子政务信息安全实施指南
2009-07-30发布
2010-02-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 2
4 缩略语 2
5 基于互联网电子政务安全需求与实施原则 3
5.1 威胁分析 3
5.2 安全需求 3
5.3 实施原则 3
6 基于互联网电子政务安全保障总体架构 4
6.1 政务系统安全架构 4
6.2 政务网络结构 4
6.3 安全系统组成 5
6.4 安全系统配置 6
6.5 密码要求 7
7 系统分类分域控制机制 7
7.1 概述 7
7.2 政务信息和应用分类 7
7.3 信息分类防护措施 7
7.4 系统分域控制措施 8
8 安全技术要求 9
8.1 网络互联、接入控制与边界防护 9
8.2 区域安全 9
8.3 桌面安全 10
8.4 安全管理技术要求 11
8.5 安全服务 12
8.6 应用安全 12
9 安全管理要求 13
9.1 综述 13
9.2 安全策略 13
9.3 安全管理制度 14
9.4 组织安全 14
9.5 数据安全 14
9.6 人员安全 14
9.7 物理和环境安全 14
9.8 设备安全 14
9.9 安全管理人员的配置与职责 15
GB /Z24294-2009
9.10 安全评估 15
10 信息安全工程实施 15
10.1 基于互联网电子政务信息安全工程流程 15
10.2 需求分析 15
10.3 方案设计 16
10.4 系统实施与集成 17
10.5 系统试运行与完善 17
10.6 系统安全评估 17
10.7 系统正式运行 17
附录A(资料性附录) 某市基于互联网电子政务网络拓扑 19
附录B(资料性附录) 某市基于互联网电子政务安全制度管理体系 20
附录C(资料性附录) 某市基于互联网电子政务信息安全实施评估流程 22
参考文献 28
GB /Z24294-2009
前言
本指导性技术文件的附录A、附录B和附录C是资料性附录。
本指导性技术文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本指导性技术文件起草单位:解放军信息工程大学电子技术学院、中国电子技术标准化研究所。
本指导性技术文件主要起草人:陈性元、杜学绘、王超、张东巍、胡啸、王鲁、张红旗、曹利峰、钱雁斌。
GB /Z24294-2009
引 言
互联网已成为重要的信息基础设施,积极利用互联网进行我国电子政务建设,既能提高效率、扩大
服务的覆盖面,又能节约资源、降低成本。利用开放的互联网开展电子政务建设,面临着计算机病毒、网
络攻击、信息泄漏、身份假冒等安全威胁和风险,应该高度重视信息安全。
为推进互联网在我国电子政务中的应用,指导基于互联网电子政务信息安全保障工作,特制定本指
导性技术文件。本指导性技术文件确立了基于互联网电子政务系统信息安全保障的总体架构,对基于
互联网电子政务所涉及的信息安全技术、信息安全管理、信息安全实施等提出了相关要求。
本指导性技术文件主要适用于地市级(含以下)政府单位基于互联网开展非涉及国家秘密的电子政
务建设。
GB /Z24294-2009
信息安全技术
基于互联网电子政务信息安全实施指南
1 范围
本指导性技术文件确立了基于互联网电子政务信息安全保障总体架构,为基于互联网电子政务所
涉及的信息安全技术、信息安全管理、信息安全工程建设等方面安全要求的实施提供指导。
本指导性技术文件主要对统一的安全政务网络平台、安全政务办公平台、可信公共服务平台和安全
支撑平台的建设提出规范与要求。对于相关政务部门专有的业务系统,其安全防护根据明确责任、各负
其责的原则,由主管部门采取适当的安全措施,本指导性技术文件不涉及对它的安全要求。
本指导性技术文件适用于地市级(含以下)政府单位,基于互联网开展不涉及国家秘密的电子政务
信息安全建设,为管理人员、工程技术人员、信息安全产品提供者进行信息安全建设提供管理和技术
参考。
2 规范性引用文件
下列标准中的条款通过本指导性技术文件的引用而成为本指导性技术文件的条款。凡是注日期的
引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本指导性技术文件,然而,鼓
励根据本指导性技术文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用
文件,其最新版本适用于本指导性技术文件。
GB/T 2887 电子计算机场地通用规范
GB 17859-1999 计算机信息系统 安全保护等级划分准则
GB/T 17902.2 信息技术 安全技术 带附录的数字签名 第2部分:基于身份的机制
(GB/T 17902.2-2005,ISO /IEC 14888-2:1999,IDT)
GB/T 17902.3 信息技术 安全技术 带附录的数字签名 第3部分:基于证书的机制
(GB/T 17902.3-2005,ISO /IEC 14888-3:1998,IDT)
GB/T 19714 信息技术 安全技术 公钥基础设施 证书管理协议
GB /Z19717 基于多用途互联网邮件扩展(MIME)的安全报文交换(GB /Z19717-2005,
RF2630,NEQ)
GB/T 19771 信息技术 安全技术 公钥基础设施 PKI组件最小互操作规范
GB/T 20269 信息安全技术 信息系统安全管理要求
GB/T 20271 信息安全技术 信息系统通用安全技术要求
GB/T 20275 信息安全技术 入侵检测系统技术要求和测试评价方法
GB/T 20280 信息安全技术 网络脆弱性扫描产品测试评价方法
GB/T 20281 信息安全技术 防火墙技术要求和测试评价方法
GB/T 20282 信息安全技术 信息系统安全工程管理要求
GB/T ......