基层政府网站安全体系建设.docVIP

基层政府网站安全体系建设 　　摘要：政府网站作为“政务公开”和为民服务的窗口，作为政府信息化建设中的重要组成部分；是社会公众获取政府信息和服务的主要接入渠道和信息发布平台，政府网站自然成为我国电子政务的信息安全防护体系中重要组成部分，受到政府各级政府的高度重视，但其安全形势却不容乐观。 　　关键词：政府网；安全体系；建设 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）28-6465-02 　　1 概述 　　在网络安全中，一向是防与攻的道高一尺，魔高一丈，并且我们在开放性和安全性之中找到一个平衡点是相对难的，但是我们是有一系列的防范措施，来确保WEB的安全。在一系列现在被攻击网站的案例来看，都是由于网站缺少安全方面的咨询专家来对网站进行安全评测，我们知道在系统安装结束之后，有许多的默认的选项是开启的，我们必须来设置他们，但是往往会被忽略，这样就造成了系统的漏洞，让黑客有可乘之机，所以我们有很强的安全技术专家来给我们提供咨询和评测手段。 　　2 安全体系设计目标、原则 　　2.1 安全体系设计目标 　　采用用户名和加密密码进行用户身份认证，阻止非授权用户进入后台管理系统。 　　对网站、功能模块、栏目进行严格权限控制及验证机制，阻止无权限用户非法操作其它栏目和功能模块内容。 　　采用硬件设备进行访问控制机制，阻止不法用户和非授权用户对网站进行攻击或进入后台管理系统。 　　对操作系统使用严格的系统用户和网站访问用户权限的控制，限制无授权用户对系统控制的权限。 　　采用合理有效的设计、监控、审核、防抵赖机制来实现整个系统的实时性、安全性和可追溯性。 　　2.2 安全体系设计原则 　　2.2.1 整体性原则 　　整个系统平台包括安全防护机制、安全检测机制和安全恢复机制，根据具体系统存在的各种安全威胁采取的相应的防护措施。在针对网络攻击或破环的情况下可及时对网络服务进行恢复，使其损失减少到最低。 　　2.2.2 标准化 　　制定信息安全政策和标准必须符合国家有关信息安全方面的政策法规，并遵循通用的国内外有关信息安全的标准。 　　2.2.3 技术与管理相结合原则 　　有效的使安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。 　　2.2.4 统筹规划，分步实施原则 　　随着今后随着网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，同步调整或增强安全防护力度，保证整个网络最根本的安全需求。 　　2.2.5 等级性原则 　　整个系统管理平台包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级，对系统实现结构的分级，从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。 　　2.2.6 动态发展原则 　　要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。 　　2.2.7 易操作性原则 　　首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。 　　3 系统软件安全策略 　　3.1 权限设置 　　在整个内容平台系统的用户权限设置中，主要结合角色，模块及功能三个关键，建立起一个立体的、完整的、有效的用户权限组合。 　　3.1.1 角色设置 　　主要根据系统管理要求可设定不同角色的用户，如：信息管理员、审核管理员等。其系统默认的最高权限用户即系统管理员。 　　3.1.2 模块设置 　　根据网站栏目内容进行模块划分，可依据不同管理用户所管理的范围和业务需求，我们可针对性的赋予某用户可访问的模块权限，对其不拥有权限的模块不能进行访问。 　　3.1.3 功能设置 　　主要是对内容管理平台中所涉及的一些功能操作权限的设置，只有特殊要求或特定的用户才具有相关功能的操作权限，这样可以有效地对一般用户和特殊用户进行功能操作范围的控制，更好的维护系统运行有序性和安全性。 　　3.2 身份认证 　　任何用户对内容管理平台进行管理及使用前必须经过严格的身份认证，并通过系统有效验证后才能具有平台系统相应的管理和操作权限。整个系统验证机制采用单入口多出口，即保证进入内容管理平台系统的通道唯一，任何不属于正常通道的访问都将被系统的身份验证机制所阻止，并转入系统唯一通道入口处进行重新用户身份验证。为防止不法用户通过反复试探性验证的形式来获取系统的使用权，我们在系统验证机制上通过增加随机验证码的形式来加强整个系统身份认证的完整性、稳定性和安全性，并在第一时间对不法操作进行相应的处理。在系统使用时我们可以采用两种方式，即结合硬件的形式进行身份认证，以保证系统非授权人员不能进入