天融信政務(wù)網(wǎng)站系統(tǒng)等級(jí)保護(hù)技術(shù)方案.doc

中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級(jí)保護(hù)技術(shù)方案設(shè)計(jì) 參考范圍：內(nèi)部參考文檔編號(hào)：htsec-xxaq-2009-0105中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級(jí)保護(hù)技術(shù)方案設(shè)計(jì)version 1.0北京中軟華泰信息技術(shù)有限責(zé)任公司2009年1月文檔控制擬 制:審 核:批 準(zhǔn):標(biāo)準(zhǔn)化:讀 者：版本控制版本號(hào)日期修改人說(shuō)明v1.0v1.1v1.2v1.3v1.4分發(fā)控制編號(hào)讀者文檔權(quán)限與文檔的主要關(guān)系目 錄1前言51.1方案設(shè)計(jì)目的51.2方案設(shè)計(jì)原則61.3方案參考標(biāo)準(zhǔn)82信息系統(tǒng)運(yùn)行環(huán)境分析102.1應(yīng)用系統(tǒng)描述102.1.1政務(wù)網(wǎng)站系統(tǒng)102.1.2政務(wù)辦公系統(tǒng)122.1.3訪問(wèn)用戶分類122.2應(yīng)用環(huán)境分析142.2.1主體角色定義142.2.2客體對(duì)象定義162.2.3業(yè)務(wù)流程分析172.3網(wǎng)絡(luò)結(jié)構(gòu)描述182.3.1政務(wù)網(wǎng)站系統(tǒng)192.3.2政務(wù)辦公系統(tǒng)213信息系統(tǒng)安全需求分析233.1系統(tǒng)定級(jí)說(shuō)明233.2安全風(fēng)險(xiǎn)分析243.2.1政務(wù)網(wǎng)站系統(tǒng)243.2.2政務(wù)辦公系統(tǒng)263.3安全需求分析273.3.1政務(wù)網(wǎng)站系統(tǒng)安全需求273.3.2政務(wù)辦公系統(tǒng)323.3.3系統(tǒng)隔離與信息交換323.3.4集中管理安全需求334信息系統(tǒng)等保體系概述354.1保護(hù)框架概述354.2確定區(qū)域邊界375信息系統(tǒng)等保建設(shè)方案395.1政務(wù)網(wǎng)站系統(tǒng)等級(jí)保護(hù)建設(shè)方案395.1.1管理中心設(shè)計(jì)415.1.2計(jì)算環(huán)境安全建設(shè)485.1.3安全區(qū)域邊界子系統(tǒng)安全建設(shè)545.1.4安全通信網(wǎng)絡(luò)子系統(tǒng)安全建設(shè)555.2政務(wù)辦公系統(tǒng)等級(jí)保護(hù)建設(shè)方案565.2.1管理中心設(shè)計(jì)585.2.2計(jì)算環(huán)境安全建設(shè)635.2.3安全區(qū)域邊界子系統(tǒng)安全建設(shè)715.2.4安全通信網(wǎng)絡(luò)子系統(tǒng)安全建設(shè)716信息系統(tǒng)等保方案與相關(guān)標(biāo)準(zhǔn)的對(duì)照721 前言1.1 方案設(shè)計(jì)目的社會(huì)發(fā)展的不同階段有不同特質(zhì)的信息安全問(wèn)題，在社會(huì)發(fā)展要求網(wǎng)絡(luò)化信息系統(tǒng)互連互通的信息化時(shí)代，信息安全問(wèn)題的實(shí)質(zhì)直接表現(xiàn)為國(guó)家主權(quán)、政治、經(jīng)濟(jì)、國(guó)防、社會(huì)安全和公民合法權(quán)益保障。因此，國(guó)家高度重視信息安全保護(hù)工作。經(jīng)黨中央和國(guó)務(wù)院批準(zhǔn)，國(guó)家信息化領(lǐng)導(dǎo)小組決定加強(qiáng)信息安全保障工作，實(shí)行信息安全等級(jí)保護(hù)，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，要抓緊安全等級(jí)保護(hù)制度建設(shè)。這一重大決定，明確落實(shí)了中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中關(guān)于實(shí)行信息安全等級(jí)保護(hù)制度的有關(guān)規(guī)定，提出了從整體上根本上解決國(guó)家信息安全問(wèn)題的辦法,進(jìn)一步確定了信息安全發(fā)展主線、中心任務(wù)，提出了總要求。對(duì)信息系統(tǒng)實(shí)行等級(jí)保護(hù)是國(guó)家法定制度和基本國(guó)策，是開展信息安全保護(hù)工作的有效辦法，是信息安全保護(hù)工作的發(fā)展方向。實(shí)行信息安全等級(jí)保護(hù)的決定具有重大的現(xiàn)實(shí)和戰(zhàn)略意義。同時(shí)，也為國(guó)內(nèi)的信息安全產(chǎn)業(yè)提出了巨大的挑戰(zhàn)和機(jī)遇。北京中軟華泰信息技術(shù)有限責(zé)任公司成立于2000年，是專業(yè)從事信息安全體系研究，信息安全產(chǎn)品研制、生產(chǎn)、銷售企業(yè)。公司一直把操作系統(tǒng)安全和信息應(yīng)用系統(tǒng)安全作為產(chǎn)業(yè)方向。近年來(lái)，先后參與國(guó)家發(fā)改委、科技部、北京市科委等重大產(chǎn)業(yè)發(fā)展研究項(xiàng)目，并成為國(guó)家與微軟原代碼級(jí)合作的技術(shù)承擔(dān)單位。公司堅(jiān)持產(chǎn)、學(xué)、研相結(jié)合的發(fā)展方向，與北京交通大學(xué)、北京工業(yè)大學(xué)共同成立研究生培養(yǎng)基地，在為國(guó)家輸送大批信息安全專業(yè)人才的同時(shí)也使公司具備了堅(jiān)實(shí)的技術(shù)儲(chǔ)備。2008年初，公安部為制訂信息安全信息系統(tǒng)等級(jí)保護(hù)設(shè)計(jì)基本要求的國(guó)家標(biāo)準(zhǔn)，進(jìn)行等級(jí)安全應(yīng)用技術(shù)平臺(tái)模擬系統(tǒng)搭建工作，公司在眾多競(jìng)爭(zhēng)者中脫穎而出，承接了目前最高等級(jí)四級(jí)系統(tǒng)的建設(shè)任務(wù)，并已于2008年11月底完成項(xiàng)目驗(yàn)收，從而成為等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn)863課題研究參與單位，目前正在配合國(guó)家主管單位參與國(guó)家重大支持項(xiàng)目的申請(qǐng)工作。公司今后將致力于等級(jí)保護(hù)的方案和產(chǎn)品提供。不斷推出符合等級(jí)保護(hù)標(biāo)準(zhǔn)的安全產(chǎn)品，竭盡全力為國(guó)家的信息安全事業(yè)做出貢獻(xiàn)。本方案以一個(gè)典型的省級(jí)政府部門電子政務(wù)網(wǎng)站系統(tǒng)為應(yīng)用案例，充分分析電子政務(wù)網(wǎng)站系統(tǒng)的安全建設(shè)需求，結(jié)合國(guó)家等級(jí)保護(hù)的建設(shè)規(guī)范和技術(shù)要求，設(shè)計(jì)了符合其相應(yīng)的安全等級(jí)防護(hù)要求的技術(shù)方案，并給出了詳細(xì)的建設(shè)方案。1.2 方案設(shè)計(jì)原則等級(jí)保護(hù)是國(guó)家信息安全建設(shè)的重要政策，其核心是對(duì)信息系統(tǒng)分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。對(duì)于中軟華泰公司信息安全建設(shè)，應(yīng)當(dāng)以適度風(fēng)險(xiǎn)為核心，以重點(diǎn)保護(hù)為原則，從業(yè)務(wù)的角度出發(fā)，重點(diǎn)保護(hù)重要的業(yè)務(wù)、研發(fā)類信息系統(tǒng)，在方案設(shè)計(jì)中應(yīng)當(dāng)遵循以下的原則：適度安全原則任何信息系統(tǒng)都不能做到絕對(duì)的安全，在進(jìn)行中軟華泰信息安全等級(jí)保護(hù)規(guī)劃中，要在安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中，過(guò)多的安全要求必將造成安全成本的迅速增加和運(yùn)行的復(fù)雜性。適度安全也是等級(jí)保護(hù)建設(shè)的初衷，因此在進(jìn)行等級(jí)保護(hù)設(shè)計(jì)的過(guò)程中，一方面要嚴(yán)格遵循基本要求，從網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面加強(qiáng)防護(hù)措施，保障信息系統(tǒng)的機(jī)密性、完整性和可用性，另外也要綜合成本的角度，針對(duì)中軟華泰公司信息系統(tǒng)的實(shí)際風(fēng)險(xiǎn)，提出對(duì)應(yīng)的保護(hù)強(qiáng)度，并按照保護(hù)強(qiáng)度進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計(jì)和建設(shè)，從而有效控制成本。重點(diǎn)保護(hù)原則根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過(guò)劃分不同安全保護(hù)等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)；本方案在設(shè)計(jì)中將重點(diǎn)保護(hù)涉及生產(chǎn)、研發(fā)、銷售等關(guān)鍵業(yè)務(wù)的信息系統(tǒng)，對(duì)其他信息系統(tǒng)則降低保護(hù)等級(jí)進(jìn)行一般性設(shè)計(jì)和防護(hù)；技術(shù)管理并重原則信息安全問(wèn)題從來(lái)就不是單純的技術(shù)問(wèn)題，把防范黑客入侵和病毒感染理解為信息安全問(wèn)題的全部是片面的，僅僅通過(guò)部署安全產(chǎn)品很難完全覆蓋所有的信息安全問(wèn)題，因此必須要把技術(shù)措施和管理措施結(jié)合起來(lái)，更有效的保障中軟華泰信息系統(tǒng)的整體安全性，形成技術(shù)和管理兩個(gè)部分的建設(shè)方案；分區(qū)分域建設(shè)原則對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)的有效方法就是分區(qū)分域，由于信息系統(tǒng)中各個(gè)信息資產(chǎn)的重要性是不同的，并且訪問(wèn)特點(diǎn)也不盡相同，因此需要把具有相似特點(diǎn)的信息資產(chǎn)集合起來(lái)，進(jìn)行總體防護(hù)，從而可更好地保障安全策略的有效性和一致性，比如把業(yè)務(wù)服務(wù)器集中起來(lái)單獨(dú)隔離，然后根據(jù)各業(yè)務(wù)部門的訪問(wèn)需求進(jìn)行隔離和訪問(wèn)控制；另外分區(qū)分域還有助于對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行集中管理，一旦其中某些安全區(qū)域內(nèi)發(fā)生安全事件，可通過(guò)嚴(yán)格的邊界安全防護(hù)限制事件在整網(wǎng)蔓延；標(biāo)準(zhǔn)性原則中軟華泰信息安全保護(hù)體系應(yīng)當(dāng)同時(shí)考慮與其他標(biāo)準(zhǔn)的符合性，在方案中的技術(shù)部分將參考iatf安全體系框架進(jìn)行設(shè)計(jì)，在管理方面同時(shí)參考27001安全管理指南，使建成后的等級(jí)保護(hù)體系更具有廣泛的實(shí)用性；動(dòng)態(tài)調(diào)整原則信息安全問(wèn)題不是靜態(tài)的，它總是隨著管理相關(guān)的組織策略、組織架構(gòu)、信息系統(tǒng)和操作流程的改變而改變，因此必須要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施；標(biāo)準(zhǔn)性原則信息安全建設(shè)是非常復(fù)雜的過(guò)程，在設(shè)計(jì)信息安全系統(tǒng)，進(jìn)行安全體系規(guī)劃中單純依賴經(jīng)驗(yàn)，是無(wú)法對(duì)抗未知的威脅和攻擊，因此需要遵循相應(yīng)的安全標(biāo)準(zhǔn)，從更全面的角度進(jìn)行差異性分析，是本方案重點(diǎn)強(qiáng)調(diào)的設(shè)計(jì)原則；成熟性原則本方案設(shè)計(jì)采取的安全措施和產(chǎn)品，在技術(shù)上是成熟的，是被檢驗(yàn)確實(shí)能夠解決安全問(wèn)題并在很多項(xiàng)目中有成功應(yīng)用的；科學(xué)性原則本方案的設(shè)計(jì)是建立在安全評(píng)估基礎(chǔ)上的，在威脅分析、弱點(diǎn)分析和風(fēng)險(xiǎn)分析方面，是建立在客觀評(píng)價(jià)的基礎(chǔ)上而展開分析的結(jié)果，因此方案設(shè)計(jì)的措施和策略一方面能夠符合國(guó)家等級(jí)保護(hù)的相關(guān)要求，另一方面也能夠很好地解決信息網(wǎng)絡(luò)中存在的安全問(wèn)題，滿足特性需求。1.3 方案參考標(biāo)準(zhǔn)本方案根據(jù)國(guó)家提出的等級(jí)保護(hù)管理辦法和實(shí)施指南，針對(duì)政務(wù)網(wǎng)站系統(tǒng)的特點(diǎn)和安全建設(shè)需求，進(jìn)行全面的安全保障規(guī)劃，設(shè)計(jì)中重點(diǎn)參考的政策和標(biāo)準(zhǔn)包括以下部分：本方案重點(diǎn)參考以下的的政策和標(biāo)準(zhǔn)：指導(dǎo)思想中辦200327號(hào)文件（關(guān)于轉(zhuǎn)發(fā)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)的通知）公通字200466號(hào)文件（關(guān)于印發(fā)信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)的通知）公通字200743號(hào)文件（關(guān)于印發(fā)信息安全等級(jí)保護(hù)管理辦法的通知）等級(jí)保護(hù)gb 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則gb/t aaaaa-xxxx 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南系統(tǒng)定級(jí)gb/t aaaaa-xxxx 信息安全技術(shù) 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南技術(shù)方面gb/t aaaaa-xxxx信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求gb/t 20270-2006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求gb/t 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求gb/t 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求gb/t 20273-2006 信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)通用安全技術(shù)要求ga/t671-2006 信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求ga/t 709-2007 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本模型gb/t aaaaa-xxxx 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求管理方面gb/t aaaaa-xxxx 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求iso/iec 27001 信息系統(tǒng)安全管理體系標(biāo)準(zhǔn)方案設(shè)計(jì)信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)規(guī)范2 信息系統(tǒng)運(yùn)行環(huán)境分析2.1 應(yīng)用系統(tǒng)描述本方案設(shè)計(jì)對(duì)象為常見(jiàn)的政務(wù)網(wǎng)站系統(tǒng)，通常此類系統(tǒng)包含前端和后端兩個(gè)部分，其中前端系統(tǒng)為政務(wù)網(wǎng)站系統(tǒng)，其作用是面向公眾開放，實(shí)現(xiàn)政務(wù)公開；后端主要為實(shí)際進(jìn)行政務(wù)處理的電子政務(wù)系統(tǒng)。政務(wù)網(wǎng)站總體結(jié)構(gòu)表示如下：圖2.1 政務(wù)網(wǎng)站體系結(jié)構(gòu)示意圖2.1.1 政務(wù)網(wǎng)站系統(tǒng)政務(wù)網(wǎng)站系統(tǒng)面向互聯(lián)網(wǎng)開放，提供給公眾進(jìn)行信息查詢、政策查詢、新聞檢索等單向的信息服務(wù)，還提供給公眾進(jìn)行信息上訴、網(wǎng)上實(shí)事辦理、網(wǎng)上申請(qǐng)?zhí)峤坏入p向的信息服務(wù)，另外，大多數(shù)政務(wù)網(wǎng)站還提供面向公務(wù)員的接口，使得公務(wù)員在出差或移動(dòng)期間，能夠通過(guò)政務(wù)網(wǎng)站的專項(xiàng)主題，處理一些簡(jiǎn)單的政務(wù)信息，另外也可以進(jìn)入公務(wù)員郵箱，查詢與公眾交互的郵件信息。此外，政務(wù)網(wǎng)站系統(tǒng)，除了上述進(jìn)行發(fā)布的的系統(tǒng)外，還包含了對(duì)主頁(yè)進(jìn)行維護(hù)的終端設(shè)備，和對(duì)系統(tǒng)進(jìn)行運(yùn)行維護(hù)的終端設(shè)備，主頁(yè)維護(hù)終端在完成與主頁(yè)相關(guān)的修改，和編輯后，將完成的主頁(yè)通過(guò)專用發(fā)布系統(tǒng)發(fā)布出去，提供給公眾進(jìn)行查詢。典型政務(wù)網(wǎng)站的例子有政府門戶網(wǎng)站、網(wǎng)上報(bào)稅、社保在線、網(wǎng)上辦事等政務(wù)門戶類網(wǎng)站信息，典型以信息發(fā)布為主的政務(wù)網(wǎng)站如下圖表示：圖2.1.1 以信息發(fā)布為主的政務(wù)門戶網(wǎng)站示意圖典型的以提供服務(wù)為主的政務(wù)門戶網(wǎng)站如下圖表示：圖2.1.1b 以提供服務(wù)為主的政務(wù)門戶網(wǎng)站示意圖2.1.2 政務(wù)辦公系統(tǒng)政務(wù)網(wǎng)站在接到互聯(lián)網(wǎng)訪問(wèn)用戶所提交的一些政務(wù)申請(qǐng)后，還需要將這些申請(qǐng)信息傳遞到政務(wù)辦公系統(tǒng)，使各個(gè)委辦局根據(jù)自己責(zé)權(quán)的范圍，對(duì)這些信息進(jìn)行處理，處理完畢后將結(jié)果再反饋到政務(wù)網(wǎng)站系統(tǒng)，并通過(guò)政務(wù)網(wǎng)站將信息發(fā)布給申請(qǐng)方。這部分的信息系統(tǒng)我們統(tǒng)稱為“政務(wù)辦公系統(tǒng)”。方案中描述的政務(wù)辦公系統(tǒng)，主要包括政府單位用以處理正常政務(wù)部分的信息網(wǎng)絡(luò)和系統(tǒng)。該系統(tǒng)往往運(yùn)行在電子政務(wù)平臺(tái)中，與互聯(lián)網(wǎng)采取必要的隔離措施以保障其安全性，并且相對(duì)于政務(wù)網(wǎng)站系統(tǒng)，辦公系統(tǒng)要求有更高的保密性和安全性，要求有完善的安全防護(hù)手段。圖2.1.2 典型政務(wù)辦公系統(tǒng)邏輯框架示意圖2.1.3 訪問(wèn)用戶分類2.1.3.1 政務(wù)網(wǎng)站系統(tǒng)訪問(wèn)用戶通常針對(duì)政務(wù)網(wǎng)站的訪問(wèn)用戶包含以下四類：【一般訪問(wèn)用戶】也就是互聯(lián)網(wǎng)上的所有用戶，這些用戶可以訪問(wèn)政務(wù)網(wǎng)站的公開信息，進(jìn)行查閱；【政務(wù)申請(qǐng)用戶】也屬于公眾的一類，但是需要通過(guò)政務(wù)門戶網(wǎng)站提交政務(wù)處理申請(qǐng)，由于這些申請(qǐng)數(shù)據(jù)大都牽扯到一些個(gè)人敏感信息（比如通過(guò)網(wǎng)上報(bào)稅系統(tǒng)提交的報(bào)稅申請(qǐng)，通過(guò)金宏門戶提交的項(xiàng)目審批申請(qǐng)，通過(guò)政務(wù)采購(gòu)門戶網(wǎng)站提交的報(bào)價(jià)單等信息），因此需要對(duì)訪問(wèn)信息進(jìn)行保護(hù)，避免不必要的信息泄露或信息篡改；【公務(wù)員】實(shí)際上屬于一種特殊類型的政務(wù)訪問(wèn)用戶，主要訪問(wèn)網(wǎng)站系統(tǒng)的公務(wù)員郵箱，對(duì)公眾發(fā)送的投訴信息進(jìn)行處理；此外，公務(wù)員在移動(dòng)辦公的過(guò)程中，通過(guò)訪問(wèn)網(wǎng)站系統(tǒng)的主頁(yè)專用頁(yè)面，進(jìn)行相關(guān)的政務(wù)處理；【網(wǎng)頁(yè)維護(hù)人員】從政務(wù)內(nèi)網(wǎng)得到可發(fā)布的政策、標(biāo)準(zhǔn)、新聞等內(nèi)容，然后利用網(wǎng)站系統(tǒng)內(nèi)部的維護(hù)終端，編輯成網(wǎng)頁(yè)的形式，在網(wǎng)站系統(tǒng)上進(jìn)行發(fā)布，提供給公眾進(jìn)行查詢。2.1.3.2 政務(wù)辦公系統(tǒng)訪問(wèn)用戶針對(duì)政務(wù)辦公系統(tǒng)，其主要的訪問(wèn)用戶則包含了以下三個(gè)類別【一般工作人員】其主要工作是將那些通過(guò)手動(dòng)方式提交的政務(wù)辦公申請(qǐng)進(jìn)行錄入，并保障錄入信息的完整性；【審核人員】就是將那些通過(guò)政務(wù)網(wǎng)站自動(dòng)傳遞過(guò)來(lái)的信息，以及一般工作人員錄入的申請(qǐng)，根據(jù)申請(qǐng)內(nèi)容，對(duì)申請(qǐng)材料進(jìn)行簽批和辦理，對(duì)于比較重要的文件，還需要傳遞給領(lǐng)導(dǎo)進(jìn)行最終審閱；【領(lǐng)導(dǎo)】對(duì)一些重要申請(qǐng)的內(nèi)容和簽批結(jié)果進(jìn)行最終審批，對(duì)于跨職能部門的申請(qǐng)，還需要轉(zhuǎn)發(fā)給相關(guān)單位進(jìn)行處理。除了上述的對(duì)系統(tǒng)的訪問(wèn)用戶以外，政務(wù)網(wǎng)站系統(tǒng)和政務(wù)辦公系統(tǒng)還包含了系統(tǒng)運(yùn)行維護(hù)管理人員，其中政務(wù)網(wǎng)站系統(tǒng)有網(wǎng)頁(yè)維護(hù)人員(主要任務(wù)是編輯網(wǎng)頁(yè)內(nèi)容)、網(wǎng)頁(yè)上傳審批人員、系統(tǒng)管理員（對(duì)各類信息資產(chǎn)進(jìn)行維護(hù)）、安全管理員（負(fù)責(zé)對(duì)系統(tǒng)的安全狀態(tài)進(jìn)行監(jiān)控，對(duì)安全設(shè)備提供策略配置）、日志審計(jì)員（對(duì)系統(tǒng)內(nèi)的訪問(wèn)信息進(jìn)行查詢和檢索）；政務(wù)辦公系統(tǒng)有網(wǎng)頁(yè)維護(hù)人員（主要任務(wù)是對(duì)采用b/s架構(gòu)的政務(wù)辦公系統(tǒng)的主頁(yè)進(jìn)行維護(hù)）、系統(tǒng)管理員（對(duì)各類信息資產(chǎn)進(jìn)行維護(hù)）、安全管理員（負(fù)責(zé)對(duì)系統(tǒng)的安全狀態(tài)進(jìn)行監(jiān)控，對(duì)安全設(shè)備提供策略配置）、日志審計(jì)員（對(duì)系統(tǒng)內(nèi)的訪問(wèn)信息進(jìn)行查詢和檢索）。2.2 應(yīng)用環(huán)境分析等級(jí)保護(hù)的核心是應(yīng)用系統(tǒng)的安全，三級(jí)系統(tǒng)等級(jí)保護(hù)的要點(diǎn)是：實(shí)現(xiàn)基于業(yè)務(wù)全過(guò)程的訪問(wèn)控制，因此有必要對(duì)應(yīng)用系統(tǒng)支撐的流程，和主/體標(biāo)識(shí)進(jìn)行詳細(xì)的設(shè)計(jì)，并實(shí)現(xiàn)基于標(biāo)識(shí)的強(qiáng)制訪問(wèn)控制。從應(yīng)用保障的角度，對(duì)應(yīng)用運(yùn)行環(huán)境的要素分析如下：2.2.1 主體角色定義根據(jù)等級(jí)保護(hù)對(duì)主體的定義，在本方案中將主體形式化為訪問(wèn)信息系統(tǒng)的用戶，那么針對(duì)政務(wù)網(wǎng)站系統(tǒng)和政務(wù)辦公系統(tǒng)，確定的主題角色包括：2.2.1.1 政務(wù)網(wǎng)站系統(tǒng)主體角色定義包括以下兩個(gè)大類，七個(gè)主體角色，分別是：操作員類的四個(gè)主體角色：【一般訪問(wèn)用戶】從互聯(lián)網(wǎng)訪問(wèn)網(wǎng)站系統(tǒng)，獲取政務(wù)相關(guān)法規(guī)、制度、流程、新聞等靜態(tài)文本信息的互聯(lián)網(wǎng)訪問(wèn)用戶?！菊?wù)申請(qǐng)用戶】利用網(wǎng)站提交相關(guān)申請(qǐng)材料，需要對(duì)訪問(wèn)行為進(jìn)行認(rèn)證，并根據(jù)決定的身份控制可訪問(wèn)的頁(yè)面的互聯(lián)網(wǎng)訪問(wèn)用戶?！竟珓?wù)員】訪問(wèn)網(wǎng)站系統(tǒng)的公務(wù)員郵箱系統(tǒng)，處理相關(guān)文件，或者在移動(dòng)辦公狀態(tài)下從互聯(lián)網(wǎng)上訪問(wèn)網(wǎng)站系統(tǒng)的特定頁(yè)面，進(jìn)行一些政務(wù)處理的人員?！揪W(wǎng)頁(yè)維護(hù)人員】維護(hù)網(wǎng)站系統(tǒng)的網(wǎng)頁(yè)內(nèi)容，進(jìn)行編輯并上傳網(wǎng)頁(yè)服務(wù)器進(jìn)行發(fā)布的操作用戶。管理類的三個(gè)主體角色【系統(tǒng)管理員】對(duì)網(wǎng)站系統(tǒng)的信息資產(chǎn)進(jìn)行集中管理和配置，保障信息系統(tǒng)的穩(wěn)定正常運(yùn)行的運(yùn)行維護(hù)人員?！景踩芾韱T】對(duì)網(wǎng)站系統(tǒng)的活動(dòng)狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)安全設(shè)備進(jìn)行策略配置，對(duì)網(wǎng)絡(luò)的安全運(yùn)行負(fù)責(zé)的維護(hù)人員?！景踩珜徲?jì)員】對(duì)網(wǎng)站的活動(dòng)日志進(jìn)行集中收集和分析，掌握網(wǎng)站的受訪狀態(tài)，并進(jìn)行深度關(guān)聯(lián)分析，從而對(duì)網(wǎng)站系統(tǒng)的安全狀態(tài)進(jìn)行透徹解析和掌握的維護(hù)人員。2.2.1.2 政務(wù)辦公系統(tǒng)主體角色定義包括以下兩個(gè)大類，六個(gè)主體角色，分別是：操作員類的四個(gè)主體角色：【一般工作人員】通過(guò)手工方式錄入申請(qǐng)材料的政務(wù)辦公工作人員?！緦徍巳藛T】針對(duì)從手工錄入的，以及從網(wǎng)站系統(tǒng)傳遞過(guò)來(lái)的申請(qǐng)材料進(jìn)行審核，并對(duì)一般性申請(qǐng)進(jìn)行審核的人員，同時(shí)對(duì)于重要項(xiàng)目申請(qǐng)需提交領(lǐng)導(dǎo)進(jìn)行最終審核?！绢I(lǐng)導(dǎo)】對(duì)重要的申請(qǐng)進(jìn)行最終審核的人員管理類的三個(gè)主體角色【系統(tǒng)管理員】對(duì)政務(wù)辦公系統(tǒng)的信息資產(chǎn)進(jìn)行集中管理和配置，保障信息系統(tǒng)的穩(wěn)定正常運(yùn)行的運(yùn)行維護(hù)人員，同時(shí)還要維護(hù)政務(wù)辦公的應(yīng)用軟件。【安全管理員】對(duì)政務(wù)辦公系統(tǒng)的活動(dòng)狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)安全設(shè)備進(jìn)行策略配置，對(duì)網(wǎng)絡(luò)的安全運(yùn)行負(fù)責(zé)的維護(hù)人員?！景踩珜徲?jì)員】對(duì)政務(wù)辦公系統(tǒng)的活動(dòng)日志進(jìn)行集中收集和分析，掌握網(wǎng)站的受訪狀態(tài)，并進(jìn)行深度關(guān)聯(lián)分析，從而對(duì)網(wǎng)站系統(tǒng)的安全狀態(tài)進(jìn)行透徹解析和掌握的維護(hù)人員。2.2.2 客體對(duì)象定義根據(jù)等級(jí)保護(hù)對(duì)客體的定義，在本方案中將客體形式化為信息系統(tǒng)中處理的文件和數(shù)據(jù)材料，那么針對(duì)政務(wù)網(wǎng)站系統(tǒng)和政務(wù)辦公系統(tǒng)，確定的主題角色包括：2.2.2.1 政務(wù)網(wǎng)站系統(tǒng)客體對(duì)象【靜態(tài)網(wǎng)頁(yè)文件】通過(guò)靜態(tài)的形式發(fā)布在網(wǎng)站上的信息，包括政策法規(guī)、辦事流程、新聞等信息。【申請(qǐng)表單】存放在數(shù)據(jù)庫(kù)中，作為網(wǎng)站政務(wù)申請(qǐng)用戶提交的申請(qǐng)文件?！緦徍私Y(jié)果表單】經(jīng)政務(wù)辦公系統(tǒng)內(nèi)審核人員和領(lǐng)導(dǎo)審核后，并反饋回政務(wù)網(wǎng)站，提供給政務(wù)申請(qǐng)用戶的表單文件，存放在數(shù)據(jù)庫(kù)中。2.2.2.2 政務(wù)辦公系統(tǒng)客體對(duì)象【申請(qǐng)表單】存放在數(shù)據(jù)庫(kù)中，是政務(wù)申請(qǐng)用戶通過(guò)網(wǎng)站系統(tǒng)提交的，傳遞到政務(wù)辦公系統(tǒng)待審核的申請(qǐng)表單數(shù)據(jù)?！緦徍私Y(jié)果表單】經(jīng)政務(wù)辦公系統(tǒng)內(nèi)審核人員和領(lǐng)導(dǎo)審核后，并反饋回政務(wù)網(wǎng)站，提供給政務(wù)申請(qǐng)用戶的表單文件，存放在數(shù)據(jù)庫(kù)中。2.2.3 業(yè)務(wù)流程分析業(yè)務(wù)流程體系那了主體對(duì)客體的操作過(guò)程，是等級(jí)保護(hù)訪問(wèn)控制策略的依據(jù)。針對(duì)政務(wù)網(wǎng)站和辦公系統(tǒng)，其業(yè)務(wù)流程分別包括：2.2.3.1 政務(wù)網(wǎng)站系統(tǒng)業(yè)務(wù)流程政務(wù)網(wǎng)站系統(tǒng)共包含了兩個(gè)主要流程，分別為：【靜態(tài)網(wǎng)頁(yè)發(fā)布流程】該流程的具體過(guò)程為：1 網(wǎng)頁(yè)維護(hù)人員得到需要發(fā)布的內(nèi)容；2 網(wǎng)頁(yè)維護(hù)人員通過(guò)網(wǎng)頁(yè)維護(hù)終端，對(duì)發(fā)布內(nèi)容進(jìn)行編輯，并進(jìn)行格式化的處理；3 處理后的內(nèi)容，經(jīng)網(wǎng)頁(yè)維護(hù)終端上傳到網(wǎng)頁(yè)發(fā)布系統(tǒng)內(nèi)，等待發(fā)布；4 網(wǎng)頁(yè)發(fā)布系統(tǒng)自動(dòng)在夜間完成網(wǎng)頁(yè)內(nèi)容的上傳，更換當(dāng)前的網(wǎng)頁(yè)或增加到當(dāng)前網(wǎng)頁(yè)下，以提供給網(wǎng)站一般訪問(wèn)用戶進(jìn)行查詢。【網(wǎng)站申請(qǐng)?zhí)峤涣鞒獭吭摿鞒痰木唧w過(guò)程為：1 政務(wù)申請(qǐng)用戶訪問(wèn)指定的網(wǎng)頁(yè)（可提交政務(wù)申請(qǐng)的頁(yè)面），在制定的登錄窗口下輸入用戶名和口令，完成認(rèn)證后進(jìn)入申請(qǐng)頁(yè)面；2 政務(wù)申請(qǐng)用戶在制定頁(yè)面上填寫相關(guān)申請(qǐng)信息，提交相關(guān)的申報(bào)材料；3 申報(bào)材料經(jīng)政務(wù)申請(qǐng)用戶確認(rèn)后，保存在數(shù)據(jù)庫(kù)中；4 政務(wù)申請(qǐng)表單被自動(dòng)傳遞到政務(wù)辦公系統(tǒng)內(nèi)，供審核人員進(jìn)行相關(guān)審批動(dòng)作。2.2.3.2 政務(wù)辦公系統(tǒng)業(yè)務(wù)流程政務(wù)辦公系統(tǒng)共包含了兩個(gè)主要流程，分別為：【大廳申請(qǐng)?zhí)峤涣鞒獭吭摿鞒痰木唧w過(guò)程為：1 政務(wù)申請(qǐng)用戶到辦事大廳，提交紙質(zhì)的申請(qǐng)材料（無(wú)上網(wǎng)條件的政務(wù)申請(qǐng)用戶）；2 政務(wù)辦公系統(tǒng)的一般工作人員，將申請(qǐng)材料手工錄入到政務(wù)辦公系統(tǒng)內(nèi)，經(jīng)確認(rèn)后保存在數(shù)據(jù)中；3 錄入后將等待審核人員和領(lǐng)導(dǎo)的進(jìn)一步確認(rèn)?！旧暾?qǐng)?zhí)幚砹鞒獭吭摿鞒痰木唧w過(guò)程為：1 審核人員通過(guò)政務(wù)辦公系統(tǒng)，調(diào)出待審核的政務(wù)申請(qǐng)表單；2 審核人員針對(duì)政務(wù)申請(qǐng)表單的內(nèi)容進(jìn)行審核，對(duì)于符合相關(guān)要求，并且是不重要的政務(wù)申請(qǐng)則立即給出審核意見(jiàn)，并形成審核結(jié)果表單；3 對(duì)于重要的政務(wù)申請(qǐng)（主要指超出審核人員的權(quán)限的），需要提交領(lǐng)導(dǎo)做進(jìn)一步的審批；4 領(lǐng)導(dǎo)對(duì)重要的政務(wù)申請(qǐng)表單進(jìn)行最終審核，對(duì)于需要其他相關(guān)部門簽批意見(jiàn)的申請(qǐng)表單則進(jìn)行轉(zhuǎn)發(fā)；5 通過(guò)審核的表單自動(dòng)生成審核結(jié)果表單，并存放在政務(wù)辦公系統(tǒng)的數(shù)據(jù)庫(kù)中；6 數(shù)據(jù)庫(kù)自動(dòng)將審核反饋表單傳遞到政務(wù)網(wǎng)站系統(tǒng)數(shù)據(jù)庫(kù)，并通過(guò)政務(wù)網(wǎng)站將信息提交給政務(wù)申請(qǐng)人員進(jìn)行查詢；另外，審核人員也可電話通知政務(wù)申請(qǐng)人員的審核結(jié)果。2.3 網(wǎng)絡(luò)結(jié)構(gòu)描述如前描述，本方案設(shè)計(jì)對(duì)象包含了兩個(gè)系統(tǒng)，一是提供公開信息發(fā)布的政務(wù)網(wǎng)站系統(tǒng)，一是實(shí)現(xiàn)政務(wù)業(yè)務(wù)處理的政務(wù)辦公系統(tǒng)，兩個(gè)系統(tǒng)之間通過(guò)政務(wù)廣域網(wǎng)連接，同時(shí)政務(wù)門戶網(wǎng)站面向互聯(lián)網(wǎng)開放，提供給互聯(lián)網(wǎng)公眾進(jìn)行查詢，同時(shí)也提供給公務(wù)員在移動(dòng)辦公時(shí)進(jìn)行訪問(wèn)，以及進(jìn)行簡(jiǎn)單的政務(wù)處理。典型的網(wǎng)絡(luò)結(jié)構(gòu)如下圖表示：圖2.2 政務(wù)網(wǎng)站結(jié)構(gòu)示意圖參考圖2.2，方案設(shè)計(jì)對(duì)象包含了兩套系統(tǒng)，分別是政務(wù)辦公系統(tǒng)以及政務(wù)網(wǎng)站系統(tǒng)。在網(wǎng)絡(luò)組成上均采用星形的結(jié)構(gòu)進(jìn)行設(shè)計(jì)，采用核心交換機(jī)連接主機(jī)，出口通過(guò)路由器連接外部網(wǎng)絡(luò)的辦法，屬于典型的政務(wù)網(wǎng)絡(luò)。各系統(tǒng)包含的信息資產(chǎn)包括：2.3.1 政務(wù)網(wǎng)站系統(tǒng)政務(wù)網(wǎng)站系統(tǒng)包括主頁(yè)服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、網(wǎng)頁(yè)上傳服務(wù)器、網(wǎng)頁(yè)維護(hù)終端、網(wǎng)站系統(tǒng)運(yùn)行維護(hù)終端以及相關(guān)的網(wǎng)絡(luò)設(shè)備和通信鏈路；從信息資產(chǎn)的性質(zhì)角度，包含以下部分：2.3.1.1 服務(wù)器由三大類服務(wù)器組成，也是政務(wù)網(wǎng)站系統(tǒng)最重要的信息資產(chǎn)，應(yīng)當(dāng)進(jìn)行重點(diǎn)保護(hù)，具體服務(wù)器包括：第一類是主頁(yè)服務(wù)器，運(yùn)行了政務(wù)對(duì)外的網(wǎng)頁(yè)系統(tǒng)，用于互聯(lián)網(wǎng)訪問(wèn)用戶進(jìn)行查詢，常見(jiàn)的操作系統(tǒng)為windows 2003/linux，以及iis/apache主頁(yè)發(fā)布軟件。第二類是數(shù)據(jù)庫(kù)服務(wù)器，運(yùn)行著支撐網(wǎng)頁(yè)的數(shù)據(jù)庫(kù)系統(tǒng)，提供給網(wǎng)頁(yè)進(jìn)行信息發(fā)布，同時(shí)也將通過(guò)網(wǎng)頁(yè)收集互聯(lián)網(wǎng)訪問(wèn)用戶提交的各類申請(qǐng)，記錄并傳遞到政務(wù)辦公系統(tǒng)，對(duì)申請(qǐng)進(jìn)行相關(guān)的處理后再次反饋到該數(shù)據(jù)庫(kù)中發(fā)布出去。常見(jiàn)服務(wù)器的操作系統(tǒng)為windows 2003，數(shù)據(jù)庫(kù)為oracle/sql server/db2等。第三類是網(wǎng)頁(yè)上傳服務(wù)器，主要用途是將網(wǎng)頁(yè)維護(hù)終端上傳的主頁(yè)進(jìn)行緩存，并在制定的時(shí)間與網(wǎng)頁(yè)服務(wù)器進(jìn)行交換，將最新的網(wǎng)頁(yè)更換過(guò)來(lái)。2.3.1.2 終端在政務(wù)網(wǎng)站系統(tǒng)內(nèi)，需要進(jìn)行保護(hù)的終端包括以下兩類：第一類是網(wǎng)頁(yè)維護(hù)終端，用于網(wǎng)頁(yè)編輯，并將編輯好的網(wǎng)頁(yè)傳遞到網(wǎng)頁(yè)上傳服務(wù)器，進(jìn)行發(fā)布，這些終端的數(shù)量比較多，操作系統(tǒng)主要是windows xp/2000等；第二類是網(wǎng)站維護(hù)終端，用于對(duì)系統(tǒng)進(jìn)行運(yùn)行維護(hù)，包括服務(wù)器維護(hù)、數(shù)據(jù)庫(kù)維護(hù)、網(wǎng)絡(luò)設(shè)備維護(hù)等，終端數(shù)量不是很多，操作系統(tǒng)主要是windows xp/2000等；2.3.1.3 網(wǎng)絡(luò)設(shè)備對(duì)于政務(wù)網(wǎng)站系統(tǒng)，其網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單，屬于典型的星形結(jié)構(gòu)設(shè)計(jì)，其網(wǎng)絡(luò)設(shè)備包括：核心交換機(jī)：通常采用具有三層功能的交換機(jī)，根據(jù)連接的服務(wù)器和網(wǎng)絡(luò)設(shè)備劃分多個(gè)vlan，分別將主頁(yè)服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、網(wǎng)頁(yè)上傳服務(wù)器、網(wǎng)頁(yè)維護(hù)終端以及網(wǎng)站維護(hù)終端連接到不同的vlan，并在vlan之間定義了acl（訪問(wèn)控制規(guī)則），限制了外部用戶對(duì)服務(wù)器訪問(wèn)的隨意性，使得網(wǎng)站系統(tǒng)的訪問(wèn)在一個(gè)相對(duì)受控和有序的情況下接受訪問(wèn)；邊界路由器：分別部署在政務(wù)網(wǎng)站系統(tǒng)與互聯(lián)網(wǎng)之間，以及政務(wù)網(wǎng)站與政務(wù)廣域網(wǎng)之間，實(shí)現(xiàn)互聯(lián)網(wǎng)用戶的接入管理，以及政務(wù)網(wǎng)站系統(tǒng)與政務(wù)辦公系統(tǒng)之間的通訊。2.3.2 政務(wù)辦公系統(tǒng)政務(wù)辦公系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)類似于政務(wù)網(wǎng)站系統(tǒng)，也包含了服務(wù)器、終端以及網(wǎng)絡(luò)設(shè)備三類信息資產(chǎn)，具體說(shuō)明如下：2.3.2.1 服務(wù)器包含兩大類服務(wù)器，分別是辦公系統(tǒng)應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器。服務(wù)器是政務(wù)辦公系統(tǒng)內(nèi)最為重要的信息資產(chǎn)，也是支撐政務(wù)辦公應(yīng)用的核心部件，因此必須采取足夠強(qiáng)度的防護(hù)措施。應(yīng)用服務(wù)器：運(yùn)行著政務(wù)辦公應(yīng)用系統(tǒng)軟件，提供給政務(wù)內(nèi)部辦公人員，對(duì)各類公眾政務(wù)申請(qǐng)進(jìn)行處理，并將處理的結(jié)果通過(guò)政務(wù)網(wǎng)站系統(tǒng)反饋回去。通常該服務(wù)器采用windows 2003/linux操作系統(tǒng)。數(shù)據(jù)庫(kù)服務(wù)器：是政務(wù)辦公系統(tǒng)的支撐平臺(tái)，將政務(wù)處理的過(guò)程數(shù)據(jù)進(jìn)行記錄，并在處理完畢后通過(guò)“擺渡”的方式傳遞帶政務(wù)網(wǎng)站系統(tǒng)的數(shù)據(jù)庫(kù)，進(jìn)行發(fā)布，常見(jiàn)服務(wù)器的操作系統(tǒng)為windows 2003，數(shù)據(jù)庫(kù)為oracle/sql server/db2等。2.3.2.2 終端主要是政務(wù)辦公終端組成，通過(guò)這些終端完成各類政務(wù)操作。終端上常安裝的操作系統(tǒng)類型包括windows xp/2000等。2.3.2.3 網(wǎng)絡(luò)設(shè)備類似于政務(wù)網(wǎng)站系統(tǒng)，其網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單，屬于典型的星形結(jié)構(gòu)設(shè)計(jì)，其網(wǎng)絡(luò)設(shè)備包括：核心交換機(jī)：通常采用具有三層功能的交換機(jī)，根據(jù)連接的服務(wù)器和網(wǎng)絡(luò)設(shè)備劃分多個(gè)vlan，分別將應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器以及政務(wù)處理終端連接到不同的vlan，并在vlan之間定義了acl（訪問(wèn)控制規(guī)則），使得政務(wù)辦公系統(tǒng)的訪問(wèn)在一個(gè)相對(duì)受控和有序的情況下接受訪問(wèn)；邊界路由器：分別部署在政務(wù)辦公系統(tǒng)與政務(wù)廣域網(wǎng)之間，實(shí)現(xiàn)政務(wù)網(wǎng)站系統(tǒng)與政務(wù)辦公系統(tǒng)之間的通訊。3 信息系統(tǒng)安全需求分析3.1 系統(tǒng)定級(jí)說(shuō)明本方案主要是為電子政務(wù)網(wǎng)站提供的等級(jí)保護(hù)技術(shù)方案。關(guān)于等級(jí)保護(hù)的定級(jí)問(wèn)題，一般應(yīng)依據(jù)網(wǎng)站設(shè)計(jì)的業(yè)務(wù)信息的機(jī)密性和網(wǎng)頁(yè)發(fā)布信息完整性被破壞時(shí)的危害程度，并參考信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南（gb/t 22240-2008）的系統(tǒng)定級(jí)標(biāo)準(zhǔn)來(lái)界定信息系統(tǒng)的保護(hù)等級(jí)。但作為一個(gè)方案分析案例，本方案將假定分析的對(duì)象是一個(gè)三級(jí)電子政務(wù)網(wǎng)站及其相關(guān)的電子政務(wù)辦公系統(tǒng)（電子政務(wù)網(wǎng)站及其發(fā)布系統(tǒng)的構(gòu)成如圖1所示）。其中，政務(wù)網(wǎng)站系統(tǒng)主要負(fù)責(zé)發(fā)布相關(guān)國(guó)家政策、法規(guī)等相關(guān)重要信息，是政府公布信息和提供服務(wù)的網(wǎng)上窗口，也是人民與政府進(jìn)行信息溝通的一個(gè)重要渠道。如果網(wǎng)站受到破壞或攻擊，特別是網(wǎng)頁(yè)的內(nèi)容被篡改，將會(huì)造成人們對(duì)國(guó)家相關(guān)政策誤讀，甚至無(wú)法有效地為公民提供政策指導(dǎo)與相關(guān)服務(wù)，這不僅會(huì)造成政府形象的損害，嚴(yán)重時(shí)甚至?xí)?duì)國(guó)家的經(jīng)濟(jì)與社會(huì)穩(wěn)定造成嚴(yán)重的影響。因此政務(wù)網(wǎng)站系統(tǒng)對(duì)網(wǎng)頁(yè)內(nèi)容的完整性以及服務(wù)的安全性與可用性要求很高。為了保證政務(wù)網(wǎng)站系統(tǒng)的安全，需要重點(diǎn)從主頁(yè)內(nèi)容完整性保護(hù)的角度，嚴(yán)格控制主頁(yè)服務(wù)器的內(nèi)容更新操作以及網(wǎng)頁(yè)維護(hù)人員的管理和系統(tǒng)用戶的認(rèn)證與授權(quán)控制。而政務(wù)辦公系統(tǒng)則是相關(guān)政府機(jī)關(guān)的內(nèi)部辦公網(wǎng)，因涉及政府的日常工作及業(yè)務(wù)處理，系統(tǒng)中的信息具有較高的機(jī)密性。因此為了保證系統(tǒng)的安全，不僅該系統(tǒng)要與外部網(wǎng)絡(luò)實(shí)施有效的隔離，防止外部的網(wǎng)絡(luò)攻擊，更主要的是加強(qiáng)對(duì)內(nèi)部人員的管理以及對(duì)政務(wù)辦公系統(tǒng)的用戶進(jìn)行嚴(yán)格的身份認(rèn)證和行為審計(jì)，來(lái)確保系統(tǒng)的安全。顯然，政務(wù)辦公系統(tǒng)與政務(wù)網(wǎng)站系統(tǒng)所處理的業(yè)務(wù)不同、所面臨的威脅和風(fēng)險(xiǎn)也有所不同，在進(jìn)行安全建設(shè)時(shí)兩個(gè)系統(tǒng)所關(guān)注的安全問(wèn)題也有很大的不同，因此對(duì)這兩個(gè)系統(tǒng)將采用兩個(gè)安全域分別建設(shè)，政務(wù)辦公系統(tǒng)通過(guò)信息與交換系統(tǒng)提供政務(wù)網(wǎng)站所需網(wǎng)頁(yè)信息數(shù)據(jù)，體現(xiàn)兩個(gè)同級(jí)別安全域的信息交換問(wèn)題。下面將按照等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn)對(duì)電子政務(wù)網(wǎng)站的安全技術(shù)要求以及系統(tǒng)相關(guān)的業(yè)務(wù)流程對(duì)兩個(gè)系統(tǒng)中存在的安全風(fēng)險(xiǎn)進(jìn)行全面的分析。并在安全風(fēng)險(xiǎn)分析的基礎(chǔ)上，提出電子政務(wù)網(wǎng)站系統(tǒng)安全體系的建設(shè)需求。3.2 安全風(fēng)險(xiǎn)分析隨著信息化迅猛發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為人們工作和生活不可或缺的部分。為了適應(yīng)社會(huì)的發(fā)展、加強(qiáng)國(guó)家政策法規(guī)的宣傳力度、提高為人民服務(wù)的能力。從中央到地方政務(wù)建立了自己的內(nèi)部信息化辦公系統(tǒng)以及對(duì)公眾的政策發(fā)布與提供網(wǎng)絡(luò)服務(wù)業(yè)務(wù)的網(wǎng)站。國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子政務(wù)建設(shè)指導(dǎo)意見(jiàn)中指出，整個(gè)“十五”期間，從中央到地方政府，將有60%以上的政府業(yè)務(wù)和30%以上的政府對(duì)企業(yè)和公眾的辦公業(yè)務(wù)上網(wǎng)進(jìn)行。因此，政務(wù)相關(guān)的網(wǎng)上服務(wù)已經(jīng)成了政府部門的非常重要的業(yè)務(wù)之一。這些政務(wù)網(wǎng)站因擔(dān)負(fù)著政府與人民溝通信息的重要職責(zé)，需要放在互聯(lián)網(wǎng)上來(lái)被公眾訪問(wèn)，因此，這些暴露在互聯(lián)網(wǎng)上的政務(wù)網(wǎng)站就不可避免地存在遭到各種各樣外來(lái)攻擊的安全風(fēng)險(xiǎn)。3.2.1 政務(wù)網(wǎng)站系統(tǒng)由圖1可以看出，政務(wù)網(wǎng)站系統(tǒng)的網(wǎng)頁(yè)發(fā)布、服務(wù)流程以及運(yùn)維過(guò)程中，主要與如下幾種角色的用戶有關(guān)：l 互聯(lián)網(wǎng)普通訪問(wèn)用戶，來(lái)自互聯(lián)網(wǎng)，只能瀏覽網(wǎng)頁(yè)內(nèi)容。l 互聯(lián)網(wǎng)認(rèn)證訪問(wèn)用戶，不僅能夠?yàn)g覽網(wǎng)頁(yè)內(nèi)容，而且能夠通過(guò)授權(quán)的服務(wù)頁(yè)面與網(wǎng)站所提供的政務(wù)服務(wù)進(jìn)行信息交互，比如報(bào)稅、社保等服務(wù)。l 網(wǎng)站主頁(yè)內(nèi)容維護(hù)用戶，負(fù)責(zé)網(wǎng)頁(yè)的制作、發(fā)布和完整性驗(yàn)證。l 網(wǎng)站的系統(tǒng)維護(hù)用戶，主要負(fù)責(zé)網(wǎng)站系統(tǒng)的可用性維護(hù)等。在網(wǎng)頁(yè)發(fā)布流程中，合法的用戶角色主要是主頁(yè)維護(hù)人員，存在的風(fēng)險(xiǎn)主要是：其他角色的用戶通過(guò)入侵攻擊或越權(quán)操作假冒主頁(yè)維護(hù)用戶的身份，對(duì)主頁(yè)內(nèi)容的完整性進(jìn)行篡改或違規(guī)發(fā)布含有機(jī)密內(nèi)容的信息，造成機(jī)密泄露。合法認(rèn)證用戶通過(guò)互聯(lián)網(wǎng)訪問(wèn)網(wǎng)站的網(wǎng)站申請(qǐng)?zhí)峤涣鞒讨?，所存在的風(fēng)險(xiǎn)主要包括：身份被假冒，遠(yuǎn)程通信數(shù)據(jù)被竊聽(tīng)、被篡改，否認(rèn)提交服務(wù)行為或內(nèi)容（抵賴行為）以及網(wǎng)站自身安全造成的風(fēng)險(xiǎn)（諸如：服務(wù)網(wǎng)頁(yè)被篡改，造成合法認(rèn)證用戶的個(gè)人或業(yè)務(wù)信息泄露。大廳的提交申請(qǐng)流程也是針對(duì)合法認(rèn)證用戶的，只不過(guò)這個(gè)合法認(rèn)證用戶是政府工作人員（為客戶提供服務(wù)的業(yè)務(wù)操作員），可能會(huì)因業(yè)務(wù)操作員的無(wú)意誤操作或越權(quán)操作造成客戶信息的泄露或提交信息的不完整或不真實(shí)。因此，在政務(wù)網(wǎng)站的運(yùn)營(yíng)過(guò)程中，不僅要抵御來(lái)自外部的黑客或信息間諜的入侵攻擊（以獲取權(quán)限假冒合法用戶，進(jìn)而獲取認(rèn)證用戶的業(yè)務(wù)信息，甚至獲得網(wǎng)站維護(hù)權(quán)限造成對(duì)整個(gè)網(wǎng)站的網(wǎng)頁(yè)內(nèi)容完整性、機(jī)密性與可用性造成破壞或從事信息恐怖活動(dòng)）以及網(wǎng)絡(luò)病毒傳播等，而且也要防范網(wǎng)站內(nèi)部的系統(tǒng)維護(hù)用戶的越權(quán)訪問(wèn)對(duì)網(wǎng)站內(nèi)網(wǎng)頁(yè)內(nèi)容的完整性、機(jī)密性以及網(wǎng)站系統(tǒng)可用性造成破壞的風(fēng)險(xiǎn)。3.2.1.1 典型外部攻擊目前常見(jiàn)的網(wǎng)站攻擊方式：一是利用web服務(wù)器的漏洞進(jìn)行攻擊，如cgi緩沖區(qū)溢出，目錄遍歷漏洞利用等攻擊；二是利用網(wǎng)頁(yè)自身的安全漏洞進(jìn)行攻擊，如sql注入，跨站腳本攻擊等。典型的攻擊有：l 緩沖區(qū)溢出攻擊者利用超出緩沖區(qū)大小的請(qǐng)求和構(gòu)造的二進(jìn)制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令；或取系統(tǒng)的操作權(quán)限等l cookie假冒精心修改cookie數(shù)據(jù)進(jìn)行用戶假冒；l 認(rèn)證逃避攻擊者利用不安全的證書和身份管理；l 非法輸入在動(dòng)態(tài)網(wǎng)頁(yè)的輸入中使用各種非法數(shù)據(jù)，獲取服務(wù)器敏感數(shù)據(jù)；l 強(qiáng)制訪問(wèn)訪問(wèn)未授權(quán)的網(wǎng)頁(yè)；l 隱藏變量篡改對(duì)網(wǎng)頁(yè)中的隱藏變量進(jìn)行修改，欺騙服務(wù)器程序；l 拒絕服務(wù)攻擊構(gòu)造大量的非法請(qǐng)求，使web服務(wù)器不能相應(yīng)正常用戶的訪問(wèn)；l 跨站腳本攻擊提交非法腳本，其他用戶瀏覽時(shí)盜取用戶帳號(hào)等信息；l sql注入構(gòu)造sql代碼讓服務(wù)器執(zhí)行，獲取敏感數(shù)據(jù)；此外，黑客或蓄意破壞者，還會(huì)利用病毒、蠕蟲、木馬和間諜軟件等惡意代碼實(shí)施攻擊，上述攻擊方式都將是對(duì)網(wǎng)站安全造成威脅的主要風(fēng)險(xiǎn)因素。3.2.1.2 常見(jiàn)內(nèi)部威脅政務(wù)網(wǎng)站系統(tǒng)內(nèi)部人員（網(wǎng)站系統(tǒng)維護(hù)人員、網(wǎng)站主頁(yè)及內(nèi)容維護(hù)人員）的有意或無(wú)意的非法操作或蓄意地通過(guò)設(shè)置系統(tǒng)后門、主頁(yè)掛馬、傳播病毒等措施，來(lái)破壞政務(wù)網(wǎng)站系統(tǒng)的可用性，甚至通過(guò)越權(quán)操作篡改網(wǎng)頁(yè)內(nèi)容或故意歪曲信息，竊取機(jī)密信息。對(duì)外加或社會(huì)造成更大的危害。由于內(nèi)部人員直接接觸重要信息，并且了解網(wǎng)站系統(tǒng)的安全防御措施和管理手段，因此，相對(duì)于外部用戶而言，其更容易規(guī)避安全保障措施，利用系統(tǒng)安全防御措施的漏洞或管理體系的弱點(diǎn)，從內(nèi)部發(fā)起攻擊來(lái)破壞網(wǎng)站系統(tǒng)的安全。l 來(lái)自內(nèi)部的威脅主要來(lái)源于內(nèi)部人員惡意破壞、管理人員濫用職權(quán)、執(zhí)行人員操作不當(dāng)、內(nèi)部管理疏漏、軟硬件缺陷等。具體體現(xiàn)在以下幾個(gè)方面：l 安全管理制度不健全，執(zhí)行力度不到位。例如，存在非法接入、非法外聯(lián)、網(wǎng)絡(luò)濫用、外設(shè)濫用等情況。l 系統(tǒng)本身存在漏洞。例如，未能有效檢測(cè)出移動(dòng)設(shè)備（筆記本電腦等）或新增設(shè)備中存在的不安全因素，導(dǎo)致病毒的傳播、黑客的入侵。l 內(nèi)部懂技術(shù)、會(huì)編程的人員直接編寫攻擊代碼，從而竊取或破壞系統(tǒng)中的重要敏感信息。3.2.2 政務(wù)辦公系統(tǒng)政務(wù)辦公系統(tǒng)作為政府機(jī)關(guān)的內(nèi)部辦公網(wǎng)，所涉及的是政府日常的工作及政務(wù)處理流程，系統(tǒng)中的信息具有較高的機(jī)密性。因此，必須禁止外部互聯(lián)網(wǎng)用戶對(duì)該系統(tǒng)訪問(wèn)的權(quán)限，實(shí)施系統(tǒng)與外界的有效隔離，來(lái)防止外來(lái)的風(fēng)險(xiǎn)。顯然該系統(tǒng)所面臨的安全風(fēng)險(xiǎn)主要來(lái)自于內(nèi)部（常見(jiàn)的內(nèi)部威脅參考第1.2.1.2的內(nèi)容），所考慮的問(wèn)題也主要側(cè)重于系統(tǒng)中信息的機(jī)密性，也就是說(shuō)主要考慮泄密風(fēng)險(xiǎn)的防護(hù)。具體的來(lái)講本系統(tǒng)所涉及的政務(wù)處理流程所面臨的安全風(fēng)險(xiǎn)主要來(lái)自于：內(nèi)部用戶的身份假冒、合法用戶的越權(quán)訪問(wèn)或違規(guī)操作、政務(wù)辦公系統(tǒng)的系統(tǒng)缺陷（服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端系統(tǒng)）被利用、病毒木馬、移動(dòng)設(shè)備違規(guī)使用（竊密）、終端非法接入與違規(guī)外聯(lián)（泄密）等。但政務(wù)辦公系統(tǒng)與政務(wù)網(wǎng)站系統(tǒng)的信息交互流程中，所面臨的風(fēng)險(xiǎn)主要是：機(jī)密信息交換過(guò)程能否有效控制，機(jī)密信息的泄露（被竊聽(tīng)等）、被篡改，病毒、木馬等惡意代碼的域間傳播等。3.3 安全需求分析隨著計(jì)算機(jī)科學(xué)技術(shù)的不斷發(fā)展，信息系統(tǒng)也變得越來(lái)越復(fù)雜。但是無(wú)論如何發(fā)展，任何一個(gè)信息系統(tǒng)都由計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三個(gè)層次組成。所謂計(jì)算環(huán)境就是用戶的工作環(huán)境，由完成信息存儲(chǔ)與處理的計(jì)算機(jī)系統(tǒng)硬件和系統(tǒng)軟件以及外部設(shè)備及其聯(lián)接部件組成，對(duì)圖1所示的政務(wù)網(wǎng)站系統(tǒng)中，其維護(hù)終端、數(shù)據(jù)庫(kù)服務(wù)器、主頁(yè)服務(wù)器構(gòu)成了網(wǎng)站提供對(duì)外服務(wù)的計(jì)算環(huán)境，計(jì)算環(huán)境的安全是網(wǎng)站系統(tǒng)安全的核心；區(qū)域邊界是計(jì)算環(huán)境的邊界，對(duì)進(jìn)入和流出計(jì)算環(huán)境的信息進(jìn)行保護(hù)；通信網(wǎng)絡(luò)是計(jì)算環(huán)境之間實(shí)現(xiàn)信息傳輸功能的部分。在這三個(gè)層次中，如果每一個(gè)使用者都是經(jīng)過(guò)認(rèn)證和授權(quán)的，而且其操作都是符合規(guī)定的，那么就不會(huì)產(chǎn)生攻擊性的事故，就能保證整個(gè)信息系統(tǒng)的安全。下面，我們就從維護(hù)系統(tǒng)安全、主頁(yè)服務(wù)器安全、集中管理安全和安全保證四個(gè)方面詳細(xì)分析政務(wù)網(wǎng)站系統(tǒng)正常運(yùn)營(yíng)的安全需求。3.3.1 政務(wù)網(wǎng)站系統(tǒng)安全需求作為等級(jí)保護(hù)三級(jí)以上的網(wǎng)站系統(tǒng)，安全威脅不僅來(lái)源與外部，而且也來(lái)源于內(nèi)部。對(duì)于外部主要是防止外部的非授權(quán)用戶通過(guò)黑客技術(shù)利用系統(tǒng)的缺陷獲取主頁(yè)服務(wù)器的維護(hù)權(quán)限，進(jìn)而防止對(duì)網(wǎng)站的主頁(yè)內(nèi)容的非法篡改。對(duì)于內(nèi)部則主要是防止內(nèi)部精通業(yè)務(wù)、懂技術(shù)、會(huì)編程的專業(yè)人員的主動(dòng)攻擊。如果網(wǎng)站系統(tǒng)的安全防護(hù)措施能全面防止內(nèi)部人員的攻擊，那么毫無(wú)疑問(wèn)它一定也能有效防止來(lái)自外部的攻擊，這是因?yàn)橥鈦?lái)攻擊也是為了獲得合法用戶的權(quán)限后才能夠?qū)崿F(xiàn)對(duì)主頁(yè)內(nèi)容的篡改。因此，對(duì)于網(wǎng)站系統(tǒng)而言，要做到防內(nèi)為主，內(nèi)外兼防，不僅要保證面向公眾提供服務(wù)的網(wǎng)站服務(wù)器的安全，還應(yīng)重點(diǎn)保護(hù)網(wǎng)站維護(hù)系統(tǒng)，包括維護(hù)終端、數(shù)據(jù)庫(kù)服務(wù)器（保存業(yè)務(wù)上傳的數(shù)據(jù)，主頁(yè)維護(hù)用戶只能讀取該數(shù)據(jù)庫(kù)中的數(shù)據(jù)）以及主頁(yè)服務(wù)器（維護(hù)人員上傳網(wǎng)頁(yè)）的安全，確保維護(hù)人員只能執(zhí)行權(quán)限范圍內(nèi)的操作，不會(huì)出現(xiàn)非授權(quán)和越權(quán)訪問(wèn)，從而確保網(wǎng)站系統(tǒng)的安全。為此，對(duì)于政務(wù)網(wǎng)站的安全保護(hù)目標(biāo)是從源頭出發(fā)，在操作系統(tǒng)層實(shí)現(xiàn)用戶的最小權(quán)限和職責(zé)分離限制，采用身份鑒別、訪問(wèn)控制、加密存儲(chǔ)、數(shù)據(jù)完整性保護(hù)、安全審計(jì)、執(zhí)行程序控制等安全機(jī)制，構(gòu)建網(wǎng)站維護(hù)系統(tǒng)的可信應(yīng)用環(huán)境。3.3.1.1 用戶身份鑒別具有用戶身份鑒別能力，提供多因子身份認(rèn)證方式，使用密碼算法進(jìn)行身份認(rèn)證，只有經(jīng)過(guò)授權(quán)的用戶才能夠按照授權(quán)策略登錄相應(yīng)的維護(hù)終端。系統(tǒng)能識(shí)別不同身份的用戶，做到按身份及身份相關(guān)的策略對(duì)不同的資源進(jìn)行相應(yīng)的操作。另外，除了用戶的身份認(rèn)證之外，平臺(tái)之間在進(jìn)行網(wǎng)絡(luò)通信時(shí)，也要主動(dòng)驗(yàn)證對(duì)方的平臺(tái)身份及安全狀態(tài)。通過(guò)平臺(tái)身份的驗(yàn)證，確保只有授權(quán)的網(wǎng)絡(luò)維護(hù)終端能夠訪問(wèn)網(wǎng)站上傳服務(wù)器；通過(guò)平臺(tái)安全狀態(tài)的驗(yàn)證，決定是否允許該通信請(qǐng)求。這樣將非授權(quán)接入內(nèi)部網(wǎng)絡(luò)的終端或內(nèi)部網(wǎng)絡(luò)上不安全的終端孤立起來(lái)，實(shí)現(xiàn)了非授權(quán)終端“進(jìn)不來(lái)”系統(tǒng)環(huán)境，從而確保重要信息不會(huì)從這些終端泄露出去，這些終端也不會(huì)破壞信息系統(tǒng)的安全。3.3.1.2 訪問(wèn)控制政務(wù)網(wǎng)站系統(tǒng)的系統(tǒng)或主頁(yè)內(nèi)容維護(hù)用戶因精通業(yè)務(wù)并且直接接觸網(wǎng)站重要敏感信息，如果對(duì)職責(zé)權(quán)限不加以控制，會(huì)對(duì)網(wǎng)站系統(tǒng)的機(jī)密性和完整性構(gòu)成嚴(yán)重威脅。而且對(duì)于外部的普通網(wǎng)頁(yè)瀏覽用戶以及通過(guò)互聯(lián)網(wǎng)訪問(wèn)的網(wǎng)站服務(wù)的認(rèn)證用戶都需要進(jìn)行嚴(yán)格的身份認(rèn)證以及授權(quán)控制。因此，首先要依據(jù)用戶的角色來(lái)限制用戶的操作權(quán)限。具體將依據(jù)用戶角色的權(quán)利和職責(zé)范圍，既要明確用戶能夠訪問(wèn)、維護(hù)終端的哪些文件、進(jìn)程、服務(wù)、端口、設(shè)備，也要確定用戶能夠訪問(wèn)網(wǎng)絡(luò)維護(hù)系統(tǒng)中的上傳服務(wù)器中的哪些目錄和文件。根據(jù)最小權(quán)限原則，系統(tǒng)只賦予每個(gè)角色或用戶完成任務(wù)所需的最小權(quán)限。例如，可以假定網(wǎng)站系統(tǒng)維護(hù)人員只能夠?qū)ι蟼鞣?wù)器的配置進(jìn)行設(shè)定，但無(wú)權(quán)訪問(wèn)網(wǎng)站內(nèi)容信息；網(wǎng)頁(yè)發(fā)布人員只能夠?qū)⒇?fù)責(zé)信息內(nèi)容上傳至網(wǎng)站服務(wù)器的相應(yīng)目錄，但無(wú)權(quán)修改網(wǎng)站配置，也無(wú)權(quán)修改網(wǎng)站其它欄目及目錄。另外，規(guī)定執(zhí)行程序的權(quán)限，使其在滿足用戶權(quán)限訪問(wèn)控制規(guī)則的前提下，只擁有正常完成任務(wù)的最小權(quán)限。以iexlpoer.exe為例，安全管理員可以配置其只能讀哪些文件或?qū)懩男┪募?，不允許其訪問(wèn)系統(tǒng)內(nèi)的重要信息、不允許其修改系統(tǒng)內(nèi)的關(guān)鍵配置文件，那么即使系統(tǒng)被惡意代碼所攻擊，重要信息的安全性也不會(huì)受到威脅，系統(tǒng)本身的完整性也不會(huì)受到破壞。需要注意的是：本方案解決的是三級(jí)信息系統(tǒng)的等級(jí)保護(hù)方案，因此按照信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求，還需要在對(duì)安全管理員進(jìn)行嚴(yán)格的身份鑒別和權(quán)限控制基礎(chǔ)上，由安全管理員通過(guò)特定操作界面對(duì)主、客體進(jìn)行安全標(biāo)記；并按安全標(biāo)記和強(qiáng)制訪問(wèn)控制規(guī)則，對(duì)確定主體訪問(wèn)客體的操作進(jìn)行控制；強(qiáng)制訪問(wèn)控制主體的粒度應(yīng)為用戶級(jí)，客體的粒度應(yīng)為文件或數(shù)據(jù)庫(kù)表級(jí)；應(yīng)確保系統(tǒng)安全計(jì)算環(huán)境內(nèi)的所有主、客體具有一致的標(biāo)記信息，并實(shí)施相同的強(qiáng)制訪問(wèn)控制規(guī)則。3.3.1.3 敏感信息保護(hù)敏感信息的機(jī)密性保護(hù)需求采用密碼技術(shù)支持的保密性保護(hù)機(jī)制或其他具有相當(dāng)安全強(qiáng)度的保密性保護(hù)機(jī)制，對(duì)在安全計(jì)算環(huán)境中存儲(chǔ)和傳輸?shù)挠脩魯?shù)據(jù)進(jìn)行保密性保護(hù)。對(duì)政務(wù)網(wǎng)站系統(tǒng)中的敏感信息實(shí)行安全控制，采用自主和強(qiáng)制雙重訪問(wèn)控制，防止非授權(quán)訪問(wèn)文件，對(duì)系統(tǒng)中被保護(hù)的敏感數(shù)據(jù)信息，能防止非法讀/寫。當(dāng)敏感信息從存儲(chǔ)介質(zhì)中刪除時(shí)，要對(duì)敏感信息的殘留痕跡做到徹底擦除，能防止利用惡意的數(shù)據(jù)恢復(fù)技術(shù)對(duì)敏感信息的竊取。敏感信息的完整性保護(hù)需求政務(wù)網(wǎng)站系統(tǒng)作為政府等重要部門的對(duì)外服務(wù)窗口，其所發(fā)布信息的真?zhèn)瓮鶗?huì)影響社會(huì)秩序、公眾利益甚至國(guó)家的安全和穩(wěn)定。因此，網(wǎng)站內(nèi)容的完整性級(jí)別非常高，對(duì)于網(wǎng)站信息的寫權(quán)限必須嚴(yán)格控制，需要利用操作系統(tǒng)底層的控制機(jī)制，保證非授權(quán)的人員不能篡改網(wǎng)頁(yè)內(nèi)容信息和網(wǎng)站配置信息。網(wǎng)頁(yè)內(nèi)容以及文件的完整性進(jìn)行分析和檢查，監(jiān)視網(wǎng)頁(yè)文件的非授權(quán)或不期望的改變，檢測(cè)和通知系統(tǒng)管理員改變的、增加的、刪除的文件。敏感信息在持久性存儲(chǔ)介質(zhì)中加密存儲(chǔ)，防止存儲(chǔ)介質(zhì)在發(fā)生丟失、失竊時(shí)造成信息泄漏。采用密碼機(jī)制支持的完整性校驗(yàn)機(jī)制或其他具有相當(dāng)安全強(qiáng)度的完整性校驗(yàn)機(jī)制，檢驗(yàn)在系統(tǒng)的安全計(jì)算環(huán)境中存儲(chǔ)和傳輸?shù)臄?shù)據(jù)信息的完整性，并在其受到破壞時(shí)能夠?qū)χ匾獢?shù)據(jù)進(jìn)行恢復(fù)。3.3.1.4 網(wǎng)頁(yè)內(nèi)容防篡改保護(hù)政務(wù)網(wǎng)站作為政府、企業(yè)等部門對(duì)外的窗口和政府實(shí)施電子政務(wù)、企業(yè)開展電子商務(wù)的重要平臺(tái)，其發(fā)布的信息是面向大眾的，尤其政府網(wǎng)站作為一級(jí)政府發(fā)布重要新聞、重大方針政策以及法規(guī)等的重要渠道，發(fā)布的內(nèi)容一旦遭到黑客的非法篡改，將會(huì)給社會(huì)穩(wěn)定、國(guó)計(jì)民生造成重大影響。因此，對(duì)于網(wǎng)站內(nèi)容信息的寫權(quán)限必須嚴(yán)格控制，采取操作系統(tǒng)底層的控制機(jī)制，保證非授權(quán)的人員不能夠篡改網(wǎng)頁(yè)內(nèi)容信息和網(wǎng)站配置信息，在靜態(tài)文件修改權(quán)限控制的同時(shí)，不影響網(wǎng)絡(luò)用戶瀏覽網(wǎng)站內(nèi)容。3.3.1.5 審計(jì)對(duì)于政務(wù)網(wǎng)站系統(tǒng)安全而言，需要審計(jì)的內(nèi)容包括：第一，維護(hù)終端用戶的登錄、文件讀寫等操作、網(wǎng)絡(luò)訪問(wèn)行為需要記錄；第二，對(duì)網(wǎng)站發(fā)布內(nèi)容的更新、上傳、刪除等操作行為同樣需要審計(jì)。這樣，非授權(quán)人員試圖實(shí)施的攻擊行為將被審計(jì)，攻擊行為賴不掉；授權(quán)人員的合法操作行為也將被記錄在案，內(nèi)部人員有意或無(wú)意行為造成的事故責(zé)任也可追究。應(yīng)提供審計(jì)信息的安全管理：審計(jì)記錄查詢、分類、分析和存儲(chǔ)保護(hù)；能對(duì)特定安全事件進(jìn)行報(bào)警；確保審計(jì)記錄不被破壞或非授權(quán)訪問(wèn)。應(yīng)為安全管理中心提供接口；對(duì)不能由系統(tǒng)獨(dú)立處理的安全事件，提供由授權(quán)主體調(diào)用的接口。3.3.1.6 服務(wù)器的安全需求網(wǎng)站資源隔離保護(hù)網(wǎng)站處于互聯(lián)網(wǎng)這樣相對(duì)開放的環(huán)境中，各類網(wǎng)頁(yè)應(yīng)用系統(tǒng)的復(fù)雜性和多樣性導(dǎo)致系統(tǒng)漏洞層出不窮，病毒木馬和惡意代碼網(wǎng)上肆虐，黑客入侵和篡改網(wǎng)站的安全事件時(shí)有發(fā)生。對(duì)網(wǎng)站系統(tǒng)中的重要資源必須通過(guò)隔離的方式重點(diǎn)保護(hù)，所謂隔離就是將重要信息資源分別納入容器之中，只有經(jīng)過(guò)授權(quán)的網(wǎng)站維護(hù)人員運(yùn)行經(jīng)過(guò)授權(quán)維護(hù)工具、啟動(dòng)經(jīng)過(guò)授權(quán)的網(wǎng)站服務(wù)進(jìn)程才能對(duì)容器中的資源實(shí)施操作，在此基礎(chǔ)上哪些操作是允許的也要以安全管理中心制定的安全策略為依據(jù)。這樣，即使是病毒、木馬獲得了執(zhí)行機(jī)會(huì)，也無(wú)法破壞容器中的重要資源。惡意攻擊防護(hù)針對(duì)網(wǎng)站的攻擊方式多樣，最常見(jiàn)的是使用緩沖區(qū)溢出方式獲得管理員權(quán)限，從而任意修改網(wǎng)頁(yè)內(nèi)容，竊取信息。系統(tǒng)漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計(jì)上的缺陷或在編寫時(shí)產(chǎn)生的錯(cuò)誤，這個(gè)缺陷或錯(cuò)誤可以被不法者或者電腦黑客利用，通過(guò)植入木馬、病毒等方式來(lái)攻擊或控制整個(gè)電腦，從而竊取電腦中的重要資料和信息，甚至破壞系統(tǒng)。為此，除了基于用戶身份的訪問(wèn)控制機(jī)制之外，必須提供面向重要資源對(duì)象的動(dòng)態(tài)訪問(wèn)控制措施，使得即使黑客利用系統(tǒng)漏洞獲取到管理員權(quán)限，也不能破壞網(wǎng)站系統(tǒng)的重要資源。另外、針對(duì)常見(jiàn)的sql注入攻擊、dos/ddos攻擊，xss(跨站腳本攻擊)等惡意破壞方式，也必須采取軟硬件結(jié)合的過(guò)濾機(jī)制，阻斷惡意的網(wǎng)絡(luò)數(shù)據(jù)包，有效保證網(wǎng)站服務(wù)器正常提供服務(wù)。惡意代碼防護(hù)當(dāng)前網(wǎng)站服務(wù)器已經(jīng)成為惡意代碼編寫者傳播惡意代碼的主要載體，也是惡意代碼攻擊的主要目標(biāo)。目前大部分網(wǎng)站服務(wù)器軟、硬件結(jié)構(gòu)簡(jiǎn)化，軟硬件配置、信息資源很容易被篡改或誤用，而傳統(tǒng)安全防護(hù)措施對(duì)執(zhí)行代碼不檢查一致性，也沒(méi)有嚴(yán)格的訪問(wèn)控制，尤其是缺乏高安全等級(jí)的操作系統(tǒng)的保護(hù)，不能很好的防范系統(tǒng)攻擊和病毒傳播，惡意代碼很容易利用操作系統(tǒng)的漏洞發(fā)起攻擊，給惡意代碼的執(zhí)行和傳播提供了可乘之機(jī)。通過(guò)可執(zhí)行代碼的可信校驗(yàn)機(jī)制，對(duì)網(wǎng)站服務(wù)器中運(yùn)行的可執(zhí)行代碼嚴(yán)格控制，明確限定與網(wǎng)站服務(wù)及業(yè)務(wù)無(wú)關(guān)的軟件和程序不能在服務(wù)器中執(zhí)行，以白名單的方式實(shí)現(xiàn)網(wǎng)站服務(wù)器對(duì)惡意代碼的“自我免疫”，才能保證網(wǎng)站服務(wù)器正常工作，保證網(wǎng)站發(fā)布內(nèi)容不被篡改。作為高等級(jí)的網(wǎng)站系統(tǒng)，應(yīng)做到對(duì)惡意代碼的自我免疫，以防止已知和未知的惡意代碼入侵系統(tǒng)。3.3.2 政務(wù)辦公系統(tǒng)政務(wù)網(wǎng)站的信息來(lái)源與政務(wù)辦公系統(tǒng)，待發(fā)布的政務(wù)信息通過(guò)政務(wù)辦公系統(tǒng)的業(yè)務(wù)流程，把相關(guān)的數(shù)據(jù)信息通過(guò)信息交換系統(tǒng)放入政務(wù)網(wǎng)站的數(shù)據(jù)庫(kù)服務(wù)器。因政務(wù)辦公系統(tǒng)涉及政府的日常工作及業(yè)務(wù)處理，系統(tǒng)中的信息具有較高的機(jī)密性，因此為了保證政務(wù)辦公系統(tǒng)的