1 项目背景

　　为了全面加强外网项目立项、建设、验收和运行的规范管理，加强外网和重要应用系统的安全保障，确保外网项目的建设质量，提高投资效益，根据国家发展改革委《关于进一步加强国家电子政务工程项目管理工作的通知》(发改高技【2008】2071号)和《关于加强国家电子政务区工程建设项目信息安全风险评估工作的通知》(发改高技【2008】2544号)文件精神，按照主管部门的要求，对电子政务外网项目信息安全系统进行风险评估。

　　2 项目依据的技术标准

　　对电子政务外网信息安全风险评估，主要依据国内信息安全技术标准与规范进行安全评估，以保证本次评估项目具有规范性。

　　信息安全风险评估依据的标准：

　　(1)信息安全技术信息安全风险评估规范GB/T20984-2007;

　　(2)信息技术安全技术信息安全事件管理指南GB/T20985-2007;

　　(3)信息技术安全技术信息安全管理体系要求GB/T22080-2008。

　　3 应用需求和目标

　　3.1 项目需求

　　为了保证网络和信息安全，建立了较完善的管理制度和规定，采取了相应的技术防范措施。随着数字技术及网络技术的日益发展，病毒技术也在不断发展提高。它们的传播途径越来越广，传播速度越来越快，造成的危害越来越大。电子政务外网主要用于运行政务部门不需要在内网上运行的业务和政务部门面向社会的服务业务，为政务部门的业务系统提供网络、信息、安全等支撑服务，为社会公众提供政务信息支撑服务。由于其网络业务的重要性和特殊性，很容易成为国内、外敌对势力攻击的对象。除了黑客的攻击、病毒的传播外，还包括其他很多安全威胁。对内部网络而言，安全威胁也可能存在。按照国家信息安全管理规定，对省电子政务外网信息安全进行风险评估，是非常必要的。

　　项目实施解决的问题：

　　(1)电子政务外网项目(一期工程)的外网网络平台、安全保障体系和外网服务支撑体系当前的安全状况与规划建设的安全要求进行对比，分析安全要求实现的符合度;

　　(2)对外网网络平台、安全保障体系和外网服务支撑体系系统受到的安全威胁进行分析，并于脆弱性进行关联;

　　(3)对外网网络平台、安全保障体系和外网服务支撑体系系统内的网络设备、重要主机服务器、安全设备等的安全配置信息进行分析，是否存在高风险脆弱性;

　　(4)对外网网络平台、安全保障体系和外网服务支撑体系内各设备的系统漏洞扫描信息进行分析，是否存在高风险系统漏洞;

　　(5)对外网网络平台、安全保障体系和外网服务支撑体系系统已有的安全控制措施的有效性进行分析;

　　(6)对建立的安全管理制度、安全策略、应急预案等与规划建设的安全管理要求进行对比，分析安全管理要求的符合度;

　　3.2 项目目标

　　本次风险评估的主要是以电子政务外网(一期建设)的网络平台、安全保障体系(包括安全组织、安全策略、管理制度、管理规范、人员管理)、外网服务支撑体系为核心，围绕其相关资产，对各网络区域的网络设备、安全设备及服务支撑体系所存在的脆弱性、面临的安全威胁展开核查与分析工作;同时分析和确认已经部署的安全措施是否发挥了应有的效力，最终找到安全风险所在，并提出风险消减的风险控制建议。

(责任编辑：)