构建三位一体政府网站安全保障体系.docVIP

构建三位一体政府网站安全保障体系 　　网络的精妙之处在于互联，由此带来的各种问题也出在互联。其国际化、社会化、开放化和个人化的特点，在给人们提供“信息共享”，带来工作高效率和生活高质量的同时，也不可避免投下了不安全的阴影。随着政府部门对网络环境和网络资源依赖程度的加强，政府网站安全已成为广受关注的重大战略问题。 　　作为政府部门的对外服务窗口，政府网站随着电子政务的不断发展，正在扮演着愈来愈重要的角色。同时，网站作为组织信息系统的一种边界，与生俱来就是外部攻击的首选，其面临的安全形势在智慧城市建设阶段更为复杂严峻。2011年底，国务院办公厅和工信部分别发布了《关于进一步加强政府网站管理工作的通知》（国办函［2011］40号）和《委托开展政府网站安全管理试点工作的通知》（工信厅协函［2011］416号），要求提高政府网站的安全保障水平。据此，上海三零卫士信息安全有限公司在上海市网安办的指导下，在前期参与信安标委《政府网站系统安全指南》国家标准和长期从事信息安全服务的基础上，提出了“三位一体”的政府网站安全保障体系。 　　所谓“三位一体”，就是从“技术”、“管理”和“运维”三个方面来构建完整的政府网站安全保障体系，主要遵循信息安全“技术与管理并重”、“建设与运维并重”两大原则。从现有的国家《信息系统安全等级保护基本要求》来看，也是分为技术和管理两大类，技术类按信息系统的层次结构再细分，管理类则强调管理体系、建设管理和运维管理。因此，一个有效的信息安全保障体系不是安全产品的堆砌，而是需要建立完善的安全管理体系，并通过专业的安全服务来实现的。就目前政府网站的安全保障而言，管理体系主要应由政府网站主管部门负责，安全服务可以采用可控可信的服务外包的方式实现。 　　相关信息安全标准 　　目前，与电子政务相关的信息安全政策要求，主要有国家信息安全等级保护制度（2007年之后普遍开始推行）和工信部政府信息系统安全检查（2009年起每年一次）两项：前者是针对所有计算机和信息系统均需要实施的，主要参照《信息系统安全等级保护实施指南》和《信息系统安全等级保护基本要求》等国家标准，通过自查、测评和整改的方式落实；后者是针对政府部门的信息系统进行年度整体检查，主要参照《政府信息系统安全检查指南》，通过自查和监督的方式落实。具体来看，等级保护的相关标准是面向网络信息系统的通用技术架构（物理环境→网络→主机→应用→数据）来设置的，并没有体现网站类信息系统特有的体系架构（如IIS、Apache等Web应用服务，网站脚本源代码等），在管理要求上也缺乏对网站运行中普遍的托管、外包和内容发布等控制条款，而政府信息系统安全检查中与网站直接相关的检查项更是寥寥几笔。 　　在美国NIST（国家标准和技术研究所）发布的SP800系列（关于计算机安全的特殊出版物）中，有一份专门针对公共服务网站的安全指南：SP800-44（Guidelines on Securing Public Web Servers）。该指南从网站服务器的规划和管理、网络基础设施安全、操作系统安全、Web服务安全、Web内容安全、认证和加密、运维管理等方面提出了安全要求，并提供了一套非常翔实实用的检查表，已作为联邦政府部门和机构实施网站安全保障的推荐标准。 　　由此可见，目前国内并没有完全针对政府网站这类电子政务信息系统的信息安全标准，而国外的SP800-44所提供的详细的安全规范，还需要和等级保护制度、电子政务管理办法等国情相结合，这也是信安标委进行相关标准研究和工信部开展相关试点的原因。目的是希望能研究制定适合我国各类各级政府网站的信息安全保障标准，从而切实指导政府网站的建设、运行和管理，提高政府网站防篡改、防病毒、防攻击、防瘫痪、防泄密能力。 　　为政府网站安装保障之门 　　“三位一体”的政府网站安全保障体系是基于《信息系统安全等级保护基本要求》国家标准，并结合SP800-44和国内信息安全服务企业的最佳实践提出来的，由技术防护、管理机制和运行维护三大部分组成，共计16个控制点，下图给出了本体系结构以及与等级保护、SP800-44的对应关系。事实上，该体系不仅适用于政府网站，对于其他服务性和商业性网站同样可以参照使用。 　　安全技术防护 　　技术防护部分主要基于等级保护的系统分层概念和IATF（信息保障技术框架）纵深防御理念，给出了网站基本架构，如下图所示。为保证网站安全各相关方语义上的一致，这里的网站基本架构统一将网站系统分为网站基础设施、网站应用系统和网站数据三大层次，事实上不同层次的安全保障手段也各不相同。 　　基于这一基本架构，就要求在各层面均满足安全保障的基本要求。首先，应在网络边界部署防火墙、入侵防护和检测等安全网关产品；其次，应将不同的服务器部署在不同的安全区域，并采用合适的隔离措