安全检查评价-广东电子政务协会.pdfVIP

政府网站安全检查与评估 工业和信息化部电子第五研究所 赛宝信息安全研究中心 刘志祥 高级工程师 163.com 提 纲 1 政府网站安全工作背景 3 2 通报政务系统预警情况 3 3 政府网站安全检查评估 3 4 安全防护建议 （一 ）中华人民共和国网络安全法 第三十一条　国家对公共通信和信息服务、能源、交通、水利、 金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破 坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公 共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实 行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院 制定。 （一 ）中华人民共和国网络安全法 第三十三条　建设关键信息基础设施应当确保其具有支持业务稳 定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同 步使用。 第三十八条　关键信息基础设施的运营者应当自行或者委托网络 安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次 检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础 设施安全保护工作的部门。 （一 ）中华人民共和国网络安全法 第五十四条　网络安全事件发生的风险增大时，省级以上人民政 府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点 和可能造成的危害，采取下列措施： 　 （一）要求有关部门、机构和人员及时收集、报告有关信息，加强 对网络安全风险的监测； 　 （二）组织有关部门、机构和专业人员，对网络安全风险信息进行 分析评估，预测事件发生的可能性、影响范围和危害程度； 　 （三）向社会发布网络安全风险预警，发布避免、减轻危害的措施。 （二 ）国家网络安全事件应急预案 《中央网信办关于印发国家网络安全事件应急预案的通知》 （中网办发文 〔2017〕4号）：建立健全国家网络安全事件应急工作 机制，提高应对网络安全事件能力，预防和减少网络安全事件造成的 损失和危害，保护公众利益，维护国家安全、公共安全和社会秩序。 （三 ）广东省2017年度政府网站考评方案 《广东省人民政府办公厅关于印发广东省2017年度政府网站考评 方案的通知》 （粤办函 〔2017〕198号）文件精神，广东省政府将依 据 《广东省2017年度政府网站考评方案》对各地级以上市人民政府， 各县 （市、区）人民政府，省政府各部门、各直属机构的政府网站进 行考评，考评内容第六条支撑保障中安全防范指标为3分 （去年此指 标为2分）。 政府网站安全漏洞及安全事件发生次数、整改时限、整改结果 等情况。 需要加强防护，如果出现漏洞和安全事件，需要及时整改并反馈。 提 纲 1 政府网站安全工作背景 3 2 通报政务系统预警情况 3 3 政府网站安全检查评估 3 4 安全防护建议 （一 ）政务系统安全事件统计 2016年1月至2017年3月，安全事件共计380起，主要类别为： （二 ）政务系统安全漏洞统计 2016年1月至2017年3月，安全漏洞共计893起，主要类别为： （二 ）政务系统安全漏洞统计 OWASP TOP10的最新情况： （三 ）地市安全事件和漏洞整体情况 提 纲 1 政府网站安全工作背景 3 2 通报政务系统预警情况 3 3 政府网站安全检查评估 3 4 安全防护建议 （一 ）安全检查评估 本项内容中涉及的安全检查与评估，主要是远程安全检查，也就 是渗透测试 （非破坏性）。主要查看被测系统中是否存在安全漏洞， 并通过人工验证安全漏洞的可利用性，从而综合评判是否可以对被测 对象获得管理员权限或者得到敏感信息。 安全漏洞的成因 Ø 使用了存在漏洞的