網(wǎng)站應(yīng)用系統(tǒng)等保安全加固方案

1、網(wǎng)站安全加固規(guī)劃XXX門戶網(wǎng)站安全加固規(guī)劃XXX年8月文檔修訂記錄版本日期準備批準1修訂描述V1.0XXX-08-02正式發(fā)行文檔審批信息審閱人審閱時間審閱意見2 / 13 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 背景1 HYPERLINK l bookmark6 o Current Document 概述2目的2目標2 HYPERLINK l bookmark8 o Current Document 門戶網(wǎng)站現(xiàn)狀2 HYPERLINK l bookmark10 o Current Document 安全加固規(guī)劃4技術(shù)加固措

2、施4安全管理措施6 HYPERLINK l bookmark12 o Current Document 安全加固預(yù)期效果8 HYPERLINK l bookmark14 o Current Document 經(jīng)費保障9 HYPERLINK l bookmark16 o Current Document 組織實施103 / 131背景電子政務(wù)已經(jīng)變的越來越普及的今天，政府門戶網(wǎng)站作為政府對外溝通的 重要載體，政府網(wǎng)站已經(jīng)成為各級人民政府及其部門發(fā)布政府信息、提供在線 服務(wù)、與公眾互動交流的重要平臺和窗口。對于促進政府部門依法行政，提高 社會管理和公共服務(wù)水平，保障公眾知情權(quán)、參與權(quán)和監(jiān)督權(quán)，加強

3、政府自身 建設(shè)和推進行政管理體制改革都具有重要意義。在提高行政效能、提升政府公 信力等方面發(fā)揮了重要作用。然而，政府網(wǎng)站的安全不斷拷問著電子政務(wù)安全防護體系的建設(shè)。在電子 政務(wù)網(wǎng)站的實際運行中，總存在著技術(shù)防護手段、安全管理機制和安全運行維 護體系方面的木桶短板。信息安全形勢依然不容樂觀。在十八大即將召開之際，網(wǎng)站安全管理的任務(wù)緊迫而艱巨，為深入貫徹落實國家和市政府關(guān)于加強政府網(wǎng)站安全管理工作的要求，做好 XXX門戶網(wǎng)站的 安全管理及安全保障工作，預(yù)防重大網(wǎng)站安全事故的發(fā)生。亟待對 XXX的門戶 網(wǎng)站進行安全加固。根據(jù)XX市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室發(fā)布的XX市政府網(wǎng)站管理安 全保障指南（試

4、行）（滬網(wǎng)安辦XXX2號），要求從管理機制、技術(shù)防護和 運行維護三個方面，進一步明確政府網(wǎng)站安全防護和管理的重點。根據(jù)XX市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室發(fā)布的 關(guān)于進一步做好政府網(wǎng) 站安全管理試點工作的通知（滬網(wǎng)安辦XXX4號），委托專業(yè)技術(shù)公司XXX 有限公司對上海市重要網(wǎng)站進行技術(shù)檢測工作，并組織市委辦局及各區(qū)縣門戶 網(wǎng)站負責(zé)人召開了中期交流會，會上市網(wǎng)安辦領(lǐng)導(dǎo)進一步強調(diào)各單位要加強網(wǎng)站安全管理，尤其要防范“匿名者”黑客組織對我國政府網(wǎng)站的攻擊根據(jù)國務(wù)院辦公廳關(guān)于開展重點領(lǐng)域網(wǎng)絡(luò)與信息安全檢查行動的通知（國辦函XXX102號，要求全市各區(qū)縣、各部門和各有關(guān)重點單位抓緊部署和 開展網(wǎng)絡(luò)與信息

5、安全檢查，通過檢查發(fā)現(xiàn)存在的問題和薄弱環(huán)節(jié)，分析評估面 臨的安全威脅和風(fēng)險，有針對性地采取防范對策和改進措施，切實保障網(wǎng)絡(luò)與 信息安全。2概述目的通過不斷加強XXX門戶網(wǎng)站從管理機制、技術(shù)防范和運行維護三個方面切 實采取措施加強防范，要確保做到“五防”：防攻擊、防掛馬、防篡改、防癱 瘓、防泄密。在發(fā)生緊急安全事件時，能快速響應(yīng)并從事件中恢復(fù)。目標根據(jù)對當(dāng)前網(wǎng)站環(huán)境進行充分調(diào)研和分析，積極采取諸如網(wǎng)站負載均衡、 網(wǎng)絡(luò)防病毒、服務(wù)器安全加固和網(wǎng)站數(shù)據(jù)存儲等應(yīng)對措施，切實保障XXX門戶網(wǎng)站按照 國辦函 和滬網(wǎng)安辦相關(guān)文件要求將XXX的門戶網(wǎng)站安全建設(shè)落 到實處。3門戶網(wǎng)站現(xiàn)狀XXX通過長期的針對門戶

6、網(wǎng)站的信息安全規(guī)劃和不懈的信息安全建設(shè)。已經(jīng)增加了許多安全措施并且這些安全應(yīng)對措施在緩解門戶網(wǎng)站面臨的互聯(lián)網(wǎng) 風(fēng)險方面發(fā)揮了重要作用。然而，為了保障 XXX門戶網(wǎng)站的業(yè)務(wù)正常運行這個主要目標，安全建設(shè)是無止境的，需要持續(xù)不斷的改進。當(dāng)前的門戶網(wǎng)站的網(wǎng)絡(luò)系統(tǒng)架構(gòu)如下圖：, I .：,i.ilKv)印附火墻 舞人史撰尻接入交接祖 (SW3)接A史幃也 (ST4)接A支接 can)1 letivf )博心之操機1 (AeLiw)忸心至貴機B Slnndlix、睬件yh中口 ri戶中文門戶摑網(wǎng)到國L站負就均恂就勢思祥*ht界囂養(yǎng))W 4.L J/衣 W 二-X a 野臺/ st 平存儲交換機P S4N

7、些fit自列w n圖3.1 :安全加固前的網(wǎng)絡(luò)結(jié)構(gòu)圖目前已經(jīng)部署的安全應(yīng)對措施如下：內(nèi)外網(wǎng)及內(nèi)部關(guān)鍵應(yīng)用之間使用防火墻進行隔離和過濾；內(nèi)部網(wǎng)絡(luò)區(qū)域之間安全域的劃分；部署了蠕蟲過濾網(wǎng)管以應(yīng)對網(wǎng)絡(luò)惡意代碼威脅；部署了入侵檢測系統(tǒng)以實現(xiàn)對來自網(wǎng)絡(luò)、傳輸和應(yīng)用層攻擊的告警;采用了網(wǎng)絡(luò)鏈路冗余和網(wǎng)路流量的負載均衡；部署了 IPSec/SSL VPN盡管XXX門戶網(wǎng)站網(wǎng)絡(luò)系統(tǒng)建設(shè)中已經(jīng)部署了以上安全應(yīng)對措施，通過分 析，發(fā)現(xiàn)在以下方面仍然存在安全威脅和風(fēng)險。需要在以后的安全建設(shè)中采取 積極的應(yīng)對措施。存在的主要安全威脅和風(fēng)險：外網(wǎng)鏈路單一引起的單點中斷風(fēng)險；單一 Web應(yīng)用存在的不能應(yīng)付大量并發(fā)訪問的處理

8、風(fēng)險；有效集中管理和預(yù)防內(nèi)網(wǎng)計算機病毒的風(fēng)險；務(wù)器配置、權(quán)限管控、漏洞管理、身份認證、非授權(quán)訪問、文件數(shù)據(jù) 篡改等風(fēng)險；前IP-SAN無法應(yīng)對海量數(shù)據(jù)存儲而存在數(shù)據(jù)處理瓶頸的風(fēng)險。4安全加固規(guī)劃主要從國家信息安全等級保護相關(guān)政策標準和上海市關(guān)于政府網(wǎng)站安全管 理與防護的要求為依據(jù)，結(jié)合XXX政府門戶網(wǎng)站安全建設(shè)現(xiàn)狀，以風(fēng)險評估為 決策輸入，綜合使用技術(shù)和管理應(yīng)對措施，進一步完善門戶網(wǎng)站系統(tǒng)和網(wǎng)絡(luò)的 冗余能力與安全防護能力。力爭建設(shè)一個高安全性、可靠性、可用性的門戶網(wǎng) 站系統(tǒng)。技術(shù)加固措施在充分考慮了 XXX的業(yè)務(wù)現(xiàn)狀、管理體制和人力資源狀況等實際情況的基 礎(chǔ)上，我們認真分析了其門戶網(wǎng)站目前存在

9、的安全問題、安全需求和未來的發(fā)展規(guī)劃，以及該行業(yè)網(wǎng)絡(luò)系統(tǒng)存儲基礎(chǔ)的建設(shè)，認為網(wǎng)站系統(tǒng)可以在以下多個 方面進行優(yōu)化加固。采用雙ISP （因特網(wǎng)服務(wù)提供商）鏈路-建議采用雙鏈路接入電信。使用 兩根專線接入電信，以實現(xiàn)鏈路備份冗余。使用兩根專線接入電信，一方面可以提高帶寬利用率，另一方面可以實現(xiàn)鏈路冗余，防止鏈路的單點故障。實現(xiàn)Web應(yīng)用服務(wù)器的負載均衡-采用兩臺負載均衡設(shè)備實現(xiàn) WEB的負 載均衡需求。將負載均衡設(shè)備旁掛在核心交換機上，通過交換機完成與服務(wù)器 和客戶端之間的通訊。部署集中管理的網(wǎng)絡(luò)防病毒系統(tǒng) -采用服務(wù)器殺毒軟件企業(yè)版產(chǎn)品對服務(wù) 器進行安全保護。部署服務(wù)器安全加固以實現(xiàn)統(tǒng)一服務(wù)器安

10、全管理-采用“節(jié)點-操作系統(tǒng) 安全加固”產(chǎn)品對服務(wù)器操作系統(tǒng)進行安全加固，該產(chǎn)品在功能設(shè)計上以國家 信息安全等級保護相關(guān)標準為指導(dǎo)，將使服務(wù)器的部分安全能力符合等級保護 相關(guān)標準的要求。升級當(dāng)前的IP-SAN數(shù)據(jù)存儲為FC-SAN架構(gòu)的存儲系統(tǒng)-在對數(shù)據(jù)安全性 要求較高高的應(yīng)用環(huán)境中，推薦采用基于 FC-SAN架構(gòu)的存儲設(shè)備，以保證整 個應(yīng)用系統(tǒng)的平穩(wěn)運行，使數(shù)據(jù)獲得更高的安全性。采用 FC-SAN架構(gòu)的數(shù)據(jù) 存儲方案，代替目前采用的IP-SAN存儲方案，具體建設(shè)內(nèi)容是采用一臺FC-SAN存儲交換機代替現(xiàn)有IP-SAN存儲交換機，數(shù)據(jù)庫服務(wù)器與 FC-SAN 存儲交換機的通信采用光纖鏈路。安全

11、管理措施為了有效支撐XXX的門戶網(wǎng)站業(yè)務(wù)的可靠和安全運行。除了采取技術(shù)手段為重要支撐外，以主動式防御為主，以風(fēng)險管理為核心。全面推行和貫徹信息 安全管理，將技術(shù)措施落實到實處，使其發(fā)揮到應(yīng)有的效用。信息安全界流行 的一句話“三分技術(shù)，七分管理”，可見安全管理手段，也是非常重要的。分別從信息安全決策層、信息安全管理層和信息安全操作層三個方面開展信息安全管理工作。制定一套適合 XXX門戶網(wǎng)站管理的信息安全管理體系，包 括安全策略與方針、安全管理制度、安全管理規(guī)范和安全管理指南等?！皬纳现料隆蓖苿娱T戶網(wǎng)站的安全管理工作。信息安全決策層決策.規(guī)劃保證機制信息安全管理層 安全管理,工程,保證管理信息安全

12、操作層 運行.實施安全管理體系文件列表序號管理制度名稱文檔描述1定期安全檢查管理制度制定安全檢查的流程及步驟2信息安全組織建設(shè)規(guī)劃規(guī)劃信息安全管理組織及職責(zé)3授權(quán)和審批管理制度制定針對信息安全管理授權(quán)流程4安全評審管理制度對安全管理制度進行定期評審5信息安全建設(shè)總體策略指導(dǎo)信息安全建設(shè)的總策略6信息安全審計管理制度定期進行信息安全審計7信息安全培訓(xùn)管理制度信息安全意識和技能培訓(xùn)8人員安全管理制度制定與信息安全相關(guān)的人員管理制度9第二方訪問管理制度制定針對第三方訪問系統(tǒng)的管理制度10系統(tǒng)測試與驗收管理制度制定系統(tǒng)測試和驗收的管理細則11產(chǎn)品采購管理制度制定產(chǎn)品采購時應(yīng)該參考的管理制度12工程實施

13、管理制度制定在進行工程實施的管理制度13交付管理制度制定關(guān)于如何交付信息系統(tǒng)的制度14外包軟件開發(fā)管理制度制定當(dāng)有軟件外包時應(yīng)采用的制度15安全事件報告和處置制度制定進行安全事件艮告和處置的流程16安全保密管理制度制定信息安全保密的管理制度17數(shù)據(jù)備份與恢復(fù)管理制度制定數(shù)據(jù)備份與恢復(fù)的管理策略18變更管理制度制定在系統(tǒng)運維中應(yīng)采取的變更流程19惡意代碼防范管理制度制定如何防范和管理惡意代碼的制度20機房安全管理制度制定保障機房環(huán)境安全的管理制度21介質(zhì)安全管理制度制定關(guān)于使用移動介質(zhì)的管理制度22密碼使用管理制度制定關(guān)于使用密碼的管理制度23設(shè)備安全管理制度制定關(guān)于保障設(shè)備安全的管理制度24網(wǎng)

14、絡(luò)安全管理制度制定保障網(wǎng)絡(luò)安全的管理制度25系統(tǒng)安全管理制度制定保障系統(tǒng)安全應(yīng)該米取的應(yīng)對施26系統(tǒng)運維和日志管理制度制定關(guān)于系統(tǒng)運維和日志管理的制度27資產(chǎn)安全管理制度制定關(guān)于信息資產(chǎn)管理的若干規(guī)定28機房施工管理制度制定關(guān)于在機房施工應(yīng)該遵守的制度5安全加固預(yù)期效果通過對XXX的門戶網(wǎng)站進行安全加固，在項目完成后，達到的預(yù)期的安全防護效果如下：第一、構(gòu)建安全可靠的冗余網(wǎng)絡(luò)環(huán)境，保障業(yè)務(wù)連續(xù)性；第二、實現(xiàn)Web應(yīng)用的更高性能和高可用性；第三、實現(xiàn)基于系統(tǒng)底層的安全環(huán)境從而抵御非授權(quán)訪問；。第四、彌補傳統(tǒng)防御手段的不足以切斷黑客攻擊路徑；第五、實現(xiàn)對服務(wù)器的統(tǒng)一安全管理和策略配置；第六、實現(xiàn)對

15、內(nèi)網(wǎng)病毒防治的統(tǒng)一集中管理；第七、實現(xiàn)未來快速的恢復(fù)和備份數(shù)據(jù)，提高業(yè)務(wù)連續(xù)性。交操機(Active J交操機l 新4L Standby 防曬國眼若和件冏比事件，上英門戶網(wǎng)處MJLH學(xué)器負鼓均衡, (Active)接入文接機 f啊)倏飛門戶眄站W(wǎng)b*馨君接入全接機 fST2)覆入交般機 (SVD厚生良機防火(Elandby】盤人交腕機口 一中文】廣片心文盤機” 1ActiveJ修心交焦機R(StHndbf )、中文門戶兩 拈貝覷均勒 %b*l而出朝rAD*落粉刖騎率 HGS或恥力荷B 3rHMhy)，三 - ，1 科夫“資平臺勝塞防火修 Mr ive)螟有H站軒摒芬#安宅E用軟片 或管理P心3系專就件謖tr理中心圖5.1 :安全加固后的網(wǎng)絡(luò)拓撲圖6經(jīng)費保障本次關(guān)于XXX1戶網(wǎng)站的安全加固項目的規(guī)劃，包括新部署 We蛻用負載均 衡系統(tǒng)、網(wǎng)絡(luò)集中防病毒系統(tǒng)和服務(wù)器安全加固系統(tǒng)等安全應(yīng)對措施。包括相 關(guān)系統(tǒng)集成規(guī)劃、設(shè)計、實施、調(diào)試和后期運維及相關(guān)配套安全管理規(guī)范的制 定等工作，擬申請專項費用XXH元。7組織實施為確保