- 相關(guān)推薦
信息安全整改方案
信息安全整改方案
網(wǎng)站信息安全等級保護(hù)建設(shè)整改方案
隨著互聯(lián)網(wǎng)應(yīng)用和門戶網(wǎng)站系統(tǒng)的不斷發(fā)展和完善,網(wǎng)站系統(tǒng)面臨的安全威脅和風(fēng)險(xiǎn)也備受關(guān)注。網(wǎng)站系統(tǒng)一方面要加強(qiáng)落實(shí)國家信息安全等級保護(hù)制度要求的各項(xiàng)保障措施,另一方面要加強(qiáng)系統(tǒng)自身抵抗威脅的能力,同時結(jié)合國辦2011年40號文件《關(guān)于進(jìn)一步加強(qiáng)政府網(wǎng)站管理工作的通知》的相關(guān)要求,網(wǎng)站系統(tǒng)要切實(shí)進(jìn)行防攻擊、防篡改、防病毒各項(xiàng)防護(hù)措施的部署和實(shí)施,綜合提升網(wǎng)站系統(tǒng)的安全保障能力。
根據(jù)國家等級保護(hù)有關(guān)要求,省級政府門戶網(wǎng)站系統(tǒng)的信息安全保護(hù)等級應(yīng)定為三級,建立符合三級等級保護(hù)相關(guān)要求的安全防護(hù)措施,能夠形成在同一安全策略的指導(dǎo)下,網(wǎng)站系統(tǒng)應(yīng)建立綜合的控制措施,形成防護(hù)、檢測、響應(yīng)和恢復(fù)的保障體系。通過采用信息安全風(fēng)險(xiǎn)分析和等級保護(hù)差距分析,形成網(wǎng)站系統(tǒng)的安全需求,從而建立有針對性的安全保障體系框架和安全防護(hù)措施。
網(wǎng)站系統(tǒng)安全需求
根據(jù)網(wǎng)站系統(tǒng)的應(yīng)用情況,針對網(wǎng)站系統(tǒng)的安全需求可以從系統(tǒng)業(yè)務(wù)流程、軟件、數(shù)據(jù)、網(wǎng)絡(luò)和物理幾個方面進(jìn)行綜合分析,具體需求如下:
1、業(yè)務(wù)流程安全需求
針對網(wǎng)站類業(yè)務(wù)重點(diǎn)需要關(guān)注發(fā)布信息的準(zhǔn)確性,采集分析和匯總信息的可控性,以及服務(wù)平臺的可用性,系統(tǒng)可能面臨的威脅包括網(wǎng)絡(luò)攻擊、越權(quán)、濫用、篡改、抗抵賴和物理攻擊,應(yīng)加強(qiáng)對于這些威脅的對抗和防護(hù)能力,通過嚴(yán)格控制業(yè)務(wù)流程中的各個環(huán)節(jié),包括信息采集、分析、匯總、發(fā)布等過程中的人員訪問身份、訪問控制、審批審核等需求,同時要加強(qiáng)系統(tǒng)自身的完整性保護(hù)和抗抵賴機(jī)制的實(shí)現(xiàn)。
2、軟件安全需求
網(wǎng)站系統(tǒng)軟件架構(gòu)一般包括接入層、展現(xiàn)層、應(yīng)用層、基礎(chǔ)應(yīng)用支撐層、信息資源層和基礎(chǔ)支撐運(yùn)行環(huán)境等幾個層面,由于幾個層面涉及的主要功能和軟件實(shí)現(xiàn)存在一定的差異性,因此要通過分析不同層次可能面臨的威脅。接入層是目標(biāo)用戶和接入媒介共同構(gòu)建而成,針對業(yè)務(wù)系統(tǒng)此層面是一個訪問入口,從安全需求方面應(yīng)當(dāng)減少入口對于系統(tǒng)的攻擊可能性,對于指定的接入和入口可以通過建立可信機(jī)制進(jìn)行保護(hù),對于非指定的接口可以通過控制權(quán)限進(jìn)行防護(hù);展現(xiàn)層是系統(tǒng)內(nèi)容的展示區(qū)域,要確保系統(tǒng)展示信息的完整性,降低被篡改的風(fēng)險(xiǎn);應(yīng)用層是對數(shù)據(jù)信息進(jìn)行處理的核心部分,應(yīng)加強(qiáng)系統(tǒng)自身的安全性和軟件編碼的安全性,減少系統(tǒng)自身的脆弱性;基礎(chǔ)應(yīng)用支撐層主要包括通用組件、用戶管理、目錄服務(wù)和交換組件等通用應(yīng)用服務(wù),該層次重點(diǎn)是確保系統(tǒng)組件自身的安全性,同時要加強(qiáng)與應(yīng)用之間接口的安全性;信息資源層是由業(yè)務(wù)數(shù)據(jù)庫和平臺數(shù)據(jù)庫共同構(gòu)成,此層次重點(diǎn)的安全在于數(shù)據(jù)庫安全;基礎(chǔ)支撐運(yùn)行環(huán)境層,支撐應(yīng)用系統(tǒng)運(yùn)行的操作系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全防護(hù)等共同構(gòu)筑成基礎(chǔ)支撐運(yùn)行環(huán)境,該層次面臨的主要威脅包括物理攻擊、網(wǎng)絡(luò)攻擊、軟硬件故障、管理不到位、惡意代碼等多類型威脅,應(yīng)加強(qiáng)資產(chǎn)的綜合管理。
3、數(shù)據(jù)安全需求
網(wǎng)站系統(tǒng)的數(shù)據(jù)主要包括互聯(lián)網(wǎng)讀取、錄入、管理、審核的數(shù)據(jù)信息,以及前臺的交互信息和后臺的數(shù)據(jù)交換信息,針對這些信息各個環(huán)節(jié)中的訪問關(guān)系不同,信息的敏感和重要程度不同,可能面臨威脅也存在一定的差異性,其中讀取過程要結(jié)合信息的敏感和重要程度進(jìn)行訪問控制,降低越權(quán)、濫用等威脅的發(fā)生;錄入關(guān)注信息自身的完整性和合法性,注意防止惡意代碼和木馬對系統(tǒng)造成的攻擊;管理和審核涉及信息系統(tǒng)的關(guān)鍵性信息,所以基本屬于系統(tǒng)中的敏感信息或關(guān)鍵流程管理,加強(qiáng)人員的安全管理;交互和數(shù)據(jù)交換要通過系統(tǒng)自身的安全防護(hù)機(jī)制,抵抗網(wǎng)絡(luò)攻擊和加強(qiáng)抗抵賴機(jī)制。
4、網(wǎng)絡(luò)和物理安全需求
網(wǎng)絡(luò)層面重點(diǎn)在于設(shè)計(jì)合理的網(wǎng)絡(luò)架構(gòu),部署冗余的網(wǎng)絡(luò)設(shè)備,形成可以建立不同安全策略的安全域,從而確保網(wǎng)站系統(tǒng)能夠正常穩(wěn)定運(yùn)行。
物理安全主要涉及的方面包括環(huán)境安全(防火、防水、防雷擊等)設(shè)備和介質(zhì)的防盜竊防破壞等方面。具體包括:物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等方面的需求,應(yīng)確保機(jī)房的建設(shè)符合國家相關(guān)要求。
5、IT資產(chǎn)安全需求
IT資產(chǎn)重點(diǎn)關(guān)注資產(chǎn)本身的漏洞風(fēng)險(xiǎn),同時根據(jù)資產(chǎn)類型的不同,可以區(qū)分成硬件資產(chǎn)、軟件資產(chǎn),其中硬件資產(chǎn)可能面臨的關(guān)鍵威脅是軟硬件故障、物理攻擊等;軟件資產(chǎn)可能面臨的威脅包括篡改、泄密、網(wǎng)絡(luò)攻擊、惡意代碼和抗抵賴。
6、綜合安全需求
通過對各個方面綜合的安全風(fēng)險(xiǎn)和需求分析,網(wǎng)站系統(tǒng)相關(guān)的業(yè)務(wù)、軟件、數(shù)據(jù)、網(wǎng)絡(luò)和相關(guān)IT資產(chǎn),由于其應(yīng)用類型、環(huán)境等因素導(dǎo)致主要威脅分布在網(wǎng)絡(luò)攻擊、篡改、物理攻擊、惡意代碼、越權(quán)、濫用和抗抵賴等幾個方面,由于其威脅發(fā)生的可能性較高,威脅利用后影響較大,導(dǎo)致其安全風(fēng)險(xiǎn)較高,因此應(yīng)形成對抗這些威脅的必要的安全措施,加強(qiáng)對系統(tǒng)自身的安全性。同時結(jié)合信息安全等級保護(hù)基本要求的相關(guān)技術(shù)和管理控制點(diǎn),進(jìn)一步完善物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全的相關(guān)控制措施,并要能夠落實(shí)組織、制度、人員、建設(shè)和運(yùn)維相關(guān)的管理要求。
網(wǎng)站系統(tǒng)安全方案設(shè)計(jì)
根據(jù)對網(wǎng)站系統(tǒng)安全需求的分析,對于網(wǎng)站系統(tǒng)的安全防護(hù)主要從以下兩個方面進(jìn)行設(shè)計(jì),一方面是系統(tǒng)的安全保護(hù)對象,合理分析系統(tǒng)的安全計(jì)算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò),形成清晰的保護(hù)框架;另一方面還是要建立綜合的安全保障體系框架,形成對網(wǎng)站系統(tǒng)綜合的控制措施架構(gòu),同時加強(qiáng)網(wǎng)站系統(tǒng)可能面臨威脅的各項(xiàng)防護(hù)機(jī)制。
1、安全保護(hù)對象
安全計(jì)算環(huán)境:重點(diǎn)落實(shí)等級保護(hù)基本要求的主機(jī)、應(yīng)用、數(shù)據(jù)部分的安全控制項(xiàng),結(jié)合安全設(shè)計(jì)技術(shù)要求中的主要防護(hù)內(nèi)容包括用戶身份鑒別、主機(jī)和應(yīng)用訪問控制、系統(tǒng)安全審計(jì)、用戶數(shù)據(jù)完整性保護(hù)、用戶數(shù)據(jù)保密性保護(hù)、主機(jī)入侵、防病毒等措施;
安全區(qū)域邊界:重點(diǎn)落實(shí)等級保護(hù)基本要求的網(wǎng)絡(luò)部分的安全控制項(xiàng),結(jié)合安全設(shè)計(jì)技術(shù)要求中的主要防護(hù)內(nèi)容包括邊界訪問控制、網(wǎng)絡(luò)安全審計(jì)和完整性保護(hù)等;
安全通信網(wǎng)絡(luò):重點(diǎn)落實(shí)等級保護(hù)基本要求的網(wǎng)絡(luò)和數(shù)據(jù)部分的安全控制項(xiàng),結(jié)合安全設(shè)計(jì)技術(shù)要求中的主要防護(hù)內(nèi)容包括通信網(wǎng)絡(luò)安全審計(jì)、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)、數(shù)據(jù)傳輸完整性保護(hù)和可信接入保護(hù)。
2、安全保障框架
結(jié)合網(wǎng)站系同自身的安全需求,應(yīng)加強(qiáng)對于網(wǎng)站系統(tǒng)的安全風(fēng)險(xiǎn)評估,同時建立配套的安全管理體系和安全技術(shù)體系,其中安全管理體系包括安全策略、安全組織和安全運(yùn)作的相關(guān)控制管理;安全技術(shù)體系結(jié)合等級保護(hù)的物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)安全,進(jìn)一步加強(qiáng)系統(tǒng)的軟件架構(gòu)安全、業(yè)務(wù)流程安全和信息訪問安全的控制,確保系統(tǒng)自身的防病毒、防篡改、方攻擊能力的提升。
通過加強(qiáng)對互聯(lián)網(wǎng)邊界的安全防護(hù)機(jī)制落實(shí),建立與網(wǎng)站系統(tǒng)相配套的互聯(lián)網(wǎng)服務(wù)區(qū)、業(yè)務(wù)服務(wù)區(qū)、數(shù)據(jù)庫區(qū)、備份區(qū)和安全管理區(qū)的安全防護(hù)措施,建立網(wǎng)站系統(tǒng)的綜合防護(hù)措施。
縣政府門戶網(wǎng)站加強(qiáng)網(wǎng)絡(luò)與信息安全整改工作措施
為深入貫徹落實(shí)市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室《關(guān)于加強(qiáng)網(wǎng)絡(luò)與信息安全整改工作的通知》(東信安辦發(fā)〔2014〕4號)文件精神,保障縣政府門戶網(wǎng)站安全運(yùn)行,針對我縣政府網(wǎng)站存在的問題,我們采取軟硬件升級、漏洞修補(bǔ)、加強(qiáng)管理等措施,從三個方面做好了政府網(wǎng)站網(wǎng)絡(luò)與信息安全工作。
一、對網(wǎng)站漏洞及時進(jìn)行修補(bǔ)完善
接到省電子產(chǎn)品監(jiān)督檢驗(yàn)所和省網(wǎng)絡(luò)與信息安全應(yīng)急支援中心對我縣政府網(wǎng)站做的網(wǎng)站安全檢測報(bào)告后,我們詳細(xì)研究分析了報(bào)告內(nèi)容,及時聯(lián)系了網(wǎng)站開發(fā)公司,對網(wǎng)站存在的SQL注入高危漏洞進(jìn)行了修補(bǔ)完善,并在網(wǎng)站服務(wù)器上加裝安全監(jiān)控軟件,使我縣政府網(wǎng)站減少了可能存在的漏洞風(fēng)險(xiǎn),降低了數(shù)據(jù)庫被注入修改的可能性。
二、加強(qiáng)對硬件安全防護(hù)設(shè)備的升級
為確保網(wǎng)站安全運(yùn)行,2013年,我們新上了安全網(wǎng)關(guān)(SG)和WEB應(yīng)用防護(hù)系統(tǒng)(WAF),安全網(wǎng)關(guān)采用先進(jìn)的多核CPU硬件構(gòu)架,同時集成了防火墻、VPN、抗拒絕服務(wù)、流量管理、入侵檢測及防護(hù)、上網(wǎng)行為管理、內(nèi)容過濾等多種功能模塊,實(shí)現(xiàn)了立體化、全方位的保護(hù)網(wǎng)絡(luò)安全;綠盟WEB應(yīng)用防護(hù)系統(tǒng)可以對數(shù)據(jù)盜竊、網(wǎng)頁篡改、網(wǎng)站掛馬、虛假信息傳播、針對客戶端的攻擊等行為,提供完善的防護(hù)措施。同時,針對WEB應(yīng)用漏洞數(shù)量多、變化快、個性化的特點(diǎn),我們還定期對WEB應(yīng)用防護(hù)系統(tǒng)進(jìn)行軟件升級,安裝了補(bǔ)丁程序,保護(hù)了服務(wù)器上的網(wǎng)站安全。自安裝硬件安全防護(hù)設(shè)備以來,網(wǎng)站沒出現(xiàn)任何安全性問題。
三、繼續(xù)加強(qiáng)對政府網(wǎng)站的安全管理
為加強(qiáng)政府網(wǎng)站信息發(fā)布的安全,我們在添加信息時嚴(yán)格執(zhí)行"三級審核制"和"登記備案制",在網(wǎng)站上發(fā)布的信息首先由信息審核員審核簽字后報(bào)科室主任,科室主任審核簽字后報(bào)分管領(lǐng)導(dǎo),由分管領(lǐng)導(dǎo)審核簽字后才可將信息發(fā)布到網(wǎng)站上去,確保了網(wǎng)站發(fā)布信息的準(zhǔn)確性和安全性。同時,為保證網(wǎng)站數(shù)據(jù)安全,確保網(wǎng)站在遭受嚴(yán)重攻擊或者數(shù)據(jù)庫受損后能夠第一時間恢復(fù)數(shù)據(jù),我們對網(wǎng)站數(shù)據(jù)備份做了兩套方案,一是設(shè)置數(shù)據(jù)庫自動備份,確保每天都有最新的數(shù)據(jù)庫備份;二是安排專人對網(wǎng)站代碼和數(shù)據(jù)庫定期進(jìn)行異地備份,實(shí)現(xiàn)了數(shù)據(jù)備份工作的雙重保險(xiǎn)。
【信息安全整改方案】相關(guān)文章:
學(xué)校安全管理整改方案08-17
安全狀況檢查及隱患整改方案08-12
個人整改方案08-17
安全工作整改匯報(bào)02-12
工會機(jī)關(guān)整改方案08-15
公司食堂整改方案08-24
幼兒園班級安全隱患排查及整改方案08-17
政府辦公室支部整改整改方案及措施08-16
安全評價(jià)問題整改計(jì)劃08-23
安全整改承諾書07-10