“十二五”政府網(wǎng)站安全保障策略分析

  文章作者:

  楊冰之 北京國脈互聯(lián)信息顧問有限公司董事長、國脈互聯(lián)政府網(wǎng)站評測研究中心主任

  鄭愛軍 北京國脈互聯(lián)信息顧問有限公司總經(jīng)理、首席規(guī)劃師,國脈網(wǎng)站規(guī)劃與評測研究中心副主任  

  一些政府網(wǎng)站建設(shè)受技術(shù)力量、資金投入等諸多因素的影響,往往存在信息安全管理滯后于網(wǎng)站建設(shè)的情況。為確保政府網(wǎng)站內(nèi)容的安全性和完整性,可以從管理、制度、技術(shù)各層面建立了網(wǎng)站安全體系,確保網(wǎng)站安全。

  一是確保“上網(wǎng)不涉密,涉密不上網(wǎng)”。上網(wǎng)信息的采集、發(fā)布和更新,嚴(yán)格執(zhí)行保密規(guī)定,妥善處理公開與保密的關(guān)系。

  二是完善規(guī)章制度,制定信息發(fā)布審核登記制度、網(wǎng)站備份制度、賬號使用登記和操作權(quán)限管理制度等多項制度,以加強(qiáng)人員管理,堵塞內(nèi)部漏洞,達(dá)到消除安全隱患的目的。

  三是從技術(shù)層面防范病毒侵?jǐn)_和黑客攻擊。主要從物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、應(yīng)用層、系統(tǒng)層等五方面進(jìn)行了安全設(shè)計。對中心機(jī)房進(jìn)行了標(biāo)準(zhǔn)化改造,安裝了硬件防火墻、網(wǎng)絡(luò)殺毒軟件、網(wǎng)絡(luò)入侵檢測,并針對信息發(fā)布平臺的遠(yuǎn)程管理,在全疆政府系統(tǒng)首次采用了動態(tài)口令系統(tǒng),通過與發(fā)布系統(tǒng)的結(jié)合,很好地解決了遠(yuǎn)程管理用戶登錄的安全性問題。

  一、 網(wǎng)站安全的主要領(lǐng)域

  1.物理安全

  a)政府網(wǎng)站機(jī)房應(yīng)參照《電子計算機(jī)場地通用規(guī)范》(GB/T2887-2000)和《計算機(jī)場地安全要求》(GB/T9361-1988)的技術(shù)要求進(jìn)行建設(shè);

  b)政府網(wǎng)站應(yīng)配備專用電源或電源保護(hù)設(shè)備,保證其正常運(yùn)行;

  c)政府網(wǎng)站可采用VLAN、VPN以及鏈路冗余等技術(shù)手段,提高網(wǎng)站訪問鏈路的安全性和可靠性。

  2.網(wǎng)絡(luò)安全

  d)政府網(wǎng)站應(yīng)采用防火墻技術(shù),通過IP包過濾、應(yīng)用代理、地址轉(zhuǎn)換、訪問控制等手段,提高網(wǎng)站安全水平;

  e)政府網(wǎng)站應(yīng)采用入侵檢測技術(shù),通過實時檢測、入侵阻斷、審計取證等手段,提高網(wǎng)站防御能力。

  3.系統(tǒng)安全

  a)政府網(wǎng)站應(yīng)制定完善的系統(tǒng)安全策略,對不使用的服務(wù)應(yīng)及時關(guān)閉,對不同級別的用戶應(yīng)設(shè)置相應(yīng)的安全訪問權(quán)限;

  b)政府網(wǎng)站應(yīng)采用防病毒技術(shù),通過實時掃描、及時查殺、阻止擴(kuò)散等手段,提高網(wǎng)站操作系統(tǒng)的病毒防護(hù)能力;

  c)政府網(wǎng)站應(yīng)采用身份認(rèn)證、訪問控制、應(yīng)用審計等技術(shù)手段,提高網(wǎng)站應(yīng)用系統(tǒng)的安全;

  d)政府網(wǎng)站應(yīng)采用漏洞掃描技術(shù),通過漏洞偵測、安全評估、系統(tǒng)加固等手段,提高網(wǎng)站操作系統(tǒng)和應(yīng)用系統(tǒng)的安全水平;

  e)政府網(wǎng)站應(yīng)對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)的運(yùn)行情況進(jìn)行記錄(Log),并定期保存以備核查。

  4.數(shù)據(jù)安全

  a)政府網(wǎng)站應(yīng)采用數(shù)據(jù)加密、內(nèi)容防篡改等技術(shù),防止網(wǎng)站敏感數(shù)據(jù)被非法訪問、修改和破壞;

  b)政府網(wǎng)站應(yīng)采用數(shù)據(jù)備份技術(shù),提高網(wǎng)站災(zāi)難恢復(fù)能力和水平;

  c)政府網(wǎng)站對數(shù)據(jù)維護(hù)時,應(yīng)對采取的措施、維護(hù)的內(nèi)容、數(shù)據(jù)前后變更的情況等進(jìn)行詳細(xì)記錄。

  5.口令安全

  a)政府網(wǎng)站必須使用口令對用戶的身份進(jìn)行驗證和確認(rèn);

  b)政府網(wǎng)站使用的口令應(yīng)符合復(fù)雜性要求;

  c)政府網(wǎng)站使用的口令應(yīng)定期更換,口令的最長使用時間不能超過半年;

  d)政府網(wǎng)站在儲存和傳輸口令時應(yīng)進(jìn)行加密,以防止口令被非法修改或泄露。

責(zé)任編輯:admin