網(wǎng)站應(yīng)用系統(tǒng)等保安全加固方案

1、網(wǎng)站安全加固規(guī)劃XXX門戶網(wǎng)站安全加固規(guī)劃XXX年8月文檔修訂記錄版本日期準(zhǔn)備批準(zhǔn)1修訂描述V1.0XXX-08-02正式發(fā)行文檔審批信息審閱人審閱時(shí)間審閱意見2 / 13 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 背景1 HYPERLINK l bookmark6 o Current Document 概述2目的2目標(biāo)2 HYPERLINK l bookmark8 o Current Document 門戶網(wǎng)站現(xiàn)狀2 HYPERLINK l bookmark10 o Current Document 安全加固規(guī)劃4技術(shù)加固措

2、施4安全管理措施6 HYPERLINK l bookmark12 o Current Document 安全加固預(yù)期效果8 HYPERLINK l bookmark14 o Current Document 經(jīng)費(fèi)保障9 HYPERLINK l bookmark16 o Current Document 組織實(shí)施103 / 131背景電子政務(wù)已經(jīng)變的越來越普及的今天，政府門戶網(wǎng)站作為政府對(duì)外溝通的 重要載體，政府網(wǎng)站已經(jīng)成為各級(jí)人民政府及其部門發(fā)布政府信息、提供在線 服務(wù)、與公眾互動(dòng)交流的重要平臺(tái)和窗口。對(duì)于促進(jìn)政府部門依法行政，提高 社會(huì)管理和公共服務(wù)水平，保障公眾知情權(quán)、參與權(quán)和監(jiān)督權(quán)，加強(qiáng)

3、政府自身 建設(shè)和推進(jìn)行政管理體制改革都具有重要意義。在提高行政效能、提升政府公 信力等方面發(fā)揮了重要作用。然而，政府網(wǎng)站的安全不斷拷問著電子政務(wù)安全防護(hù)體系的建設(shè)。在電子 政務(wù)網(wǎng)站的實(shí)際運(yùn)行中，總存在著技術(shù)防護(hù)手段、安全管理機(jī)制和安全運(yùn)行維 護(hù)體系方面的木桶短板。信息安全形勢(shì)依然不容樂觀。在十八大即將召開之際，網(wǎng)站安全管理的任務(wù)緊迫而艱巨，為深入貫徹落實(shí)國(guó)家和市政府關(guān)于加強(qiáng)政府網(wǎng)站安全管理工作的要求，做好 XXX門戶網(wǎng)站的 安全管理及安全保障工作，預(yù)防重大網(wǎng)站安全事故的發(fā)生。亟待對(duì) XXX的門戶 網(wǎng)站進(jìn)行安全加固。根據(jù)XX市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室發(fā)布的XX市政府網(wǎng)站管理安 全保障指南（試

4、行）（滬網(wǎng)安辦XXX2號(hào)），要求從管理機(jī)制、技術(shù)防護(hù)和 運(yùn)行維護(hù)三個(gè)方面，進(jìn)一步明確政府網(wǎng)站安全防護(hù)和管理的重點(diǎn)。根據(jù)XX市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室發(fā)布的 關(guān)于進(jìn)一步做好政府網(wǎng) 站安全管理試點(diǎn)工作的通知（滬網(wǎng)安辦XXX4號(hào)），委托專業(yè)技術(shù)公司XXX 有限公司對(duì)上海市重要網(wǎng)站進(jìn)行技術(shù)檢測(cè)工作，并組織市委辦局及各區(qū)縣門戶 網(wǎng)站負(fù)責(zé)人召開了中期交流會(huì)，會(huì)上市網(wǎng)安辦領(lǐng)導(dǎo)進(jìn)一步強(qiáng)調(diào)各單位要加強(qiáng)網(wǎng)站安全管理，尤其要防范“匿名者”黑客組織對(duì)我國(guó)政府網(wǎng)站的攻擊根據(jù)國(guó)務(wù)院辦公廳關(guān)于開展重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全檢查行動(dòng)的通知（國(guó)辦函XXX102號(hào)，要求全市各區(qū)縣、各部門和各有關(guān)重點(diǎn)單位抓緊部署和 開展網(wǎng)絡(luò)與信息

5、安全檢查，通過檢查發(fā)現(xiàn)存在的問題和薄弱環(huán)節(jié)，分析評(píng)估面 臨的安全威脅和風(fēng)險(xiǎn)，有針對(duì)性地采取防范對(duì)策和改進(jìn)措施，切實(shí)保障網(wǎng)絡(luò)與 信息安全。2概述目的通過不斷加強(qiáng)XXX門戶網(wǎng)站從管理機(jī)制、技術(shù)防范和運(yùn)行維護(hù)三個(gè)方面切 實(shí)采取措施加強(qiáng)防范，要確保做到“五防”：防攻擊、防掛馬、防篡改、防癱 瘓、防泄密。在發(fā)生緊急安全事件時(shí)，能快速響應(yīng)并從事件中恢復(fù)。目標(biāo)根據(jù)對(duì)當(dāng)前網(wǎng)站環(huán)境進(jìn)行充分調(diào)研和分析，積極采取諸如網(wǎng)站負(fù)載均衡、 網(wǎng)絡(luò)防病毒、服務(wù)器安全加固和網(wǎng)站數(shù)據(jù)存儲(chǔ)等應(yīng)對(duì)措施，切實(shí)保障XXX門戶網(wǎng)站按照 國(guó)辦函 和滬網(wǎng)安辦相關(guān)文件要求將XXX的門戶網(wǎng)站安全建設(shè)落 到實(shí)處。3門戶網(wǎng)站現(xiàn)狀XXX通過長(zhǎng)期的針對(duì)門戶

6、網(wǎng)站的信息安全規(guī)劃和不懈的信息安全建設(shè)。已經(jīng)增加了許多安全措施并且這些安全應(yīng)對(duì)措施在緩解門戶網(wǎng)站面臨的互聯(lián)網(wǎng) 風(fēng)險(xiǎn)方面發(fā)揮了重要作用。然而，為了保障 XXX門戶網(wǎng)站的業(yè)務(wù)正常運(yùn)行這個(gè)主要目標(biāo)，安全建設(shè)是無止境的，需要持續(xù)不斷的改進(jìn)。當(dāng)前的門戶網(wǎng)站的網(wǎng)絡(luò)系統(tǒng)架構(gòu)如下圖：, I .：,i.ilKv)印附火墻 舞人史撰尻接入交接祖 (SW3)接A史幃也 (ST4)接A支接 can)1 letivf )博心之操機(jī)1 (AeLiw)忸心至貴機(jī)B Slnndlix、睬件yh中口 ri戶中文門戶摑網(wǎng)到國(guó)L站負(fù)就均恂就勢(shì)思祥*ht界囂養(yǎng))W 4.L J/衣 W 二-X a 野臺(tái)/ st 平存儲(chǔ)交換機(jī)P S4N

7、些fit自列w n圖3.1 :安全加固前的網(wǎng)絡(luò)結(jié)構(gòu)圖目前已經(jīng)部署的安全應(yīng)對(duì)措施如下：內(nèi)外網(wǎng)及內(nèi)部關(guān)鍵應(yīng)用之間使用防火墻進(jìn)行隔離和過濾；內(nèi)部網(wǎng)絡(luò)區(qū)域之間安全域的劃分；部署了蠕蟲過濾網(wǎng)管以應(yīng)對(duì)網(wǎng)絡(luò)惡意代碼威脅；部署了入侵檢測(cè)系統(tǒng)以實(shí)現(xiàn)對(duì)來自網(wǎng)絡(luò)、傳輸和應(yīng)用層攻擊的告警;采用了網(wǎng)絡(luò)鏈路冗余和網(wǎng)路流量的負(fù)載均衡；部署了 IPSec/SSL VPN盡管XXX門戶網(wǎng)站網(wǎng)絡(luò)系統(tǒng)建設(shè)中已經(jīng)部署了以上安全應(yīng)對(duì)措施，通過分 析，發(fā)現(xiàn)在以下方面仍然存在安全威脅和風(fēng)險(xiǎn)。需要在以后的安全建設(shè)中采取 積極的應(yīng)對(duì)措施。存在的主要安全威脅和風(fēng)險(xiǎn)：外網(wǎng)鏈路單一引起的單點(diǎn)中斷風(fēng)險(xiǎn)；單一 Web應(yīng)用存在的不能應(yīng)付大量并發(fā)訪問的處理

8、風(fēng)險(xiǎn)；有效集中管理和預(yù)防內(nèi)網(wǎng)計(jì)算機(jī)病毒的風(fēng)險(xiǎn)；務(wù)器配置、權(quán)限管控、漏洞管理、身份認(rèn)證、非授權(quán)訪問、文件數(shù)據(jù) 篡改等風(fēng)險(xiǎn)；前IP-SAN無法應(yīng)對(duì)海量數(shù)據(jù)存儲(chǔ)而存在數(shù)據(jù)處理瓶頸的風(fēng)險(xiǎn)。4安全加固規(guī)劃主要從國(guó)家信息安全等級(jí)保護(hù)相關(guān)政策標(biāo)準(zhǔn)和上海市關(guān)于政府網(wǎng)站安全管 理與防護(hù)的要求為依據(jù)，結(jié)合XXX政府門戶網(wǎng)站安全建設(shè)現(xiàn)狀，以風(fēng)險(xiǎn)評(píng)估為 決策輸入，綜合使用技術(shù)和管理應(yīng)對(duì)措施，進(jìn)一步完善門戶網(wǎng)站系統(tǒng)和網(wǎng)絡(luò)的 冗余能力與安全防護(hù)能力。力爭(zhēng)建設(shè)一個(gè)高安全性、可靠性、可用性的門戶網(wǎng) 站系統(tǒng)。技術(shù)加固措施在充分考慮了 XXX的業(yè)務(wù)現(xiàn)狀、管理體制和人力資源狀況等實(shí)際情況的基 礎(chǔ)上，我們認(rèn)真分析了其門戶網(wǎng)站目前存在

9、的安全問題、安全需求和未來的發(fā)展規(guī)劃，以及該行業(yè)網(wǎng)絡(luò)系統(tǒng)存儲(chǔ)基礎(chǔ)的建設(shè)，認(rèn)為網(wǎng)站系統(tǒng)可以在以下多個(gè) 方面進(jìn)行優(yōu)化加固。采用雙ISP （因特網(wǎng)服務(wù)提供商）鏈路-建議采用雙鏈路接入電信。使用 兩根專線接入電信，以實(shí)現(xiàn)鏈路備份冗余。使用兩根專線接入電信，一方面可以提高帶寬利用率，另一方面可以實(shí)現(xiàn)鏈路冗余，防止鏈路的單點(diǎn)故障。實(shí)現(xiàn)Web應(yīng)用服務(wù)器的負(fù)載均衡-采用兩臺(tái)負(fù)載均衡設(shè)備實(shí)現(xiàn) WEB的負(fù) 載均衡需求。將負(fù)載均衡設(shè)備旁掛在核心交換機(jī)上，通過交換機(jī)完成與服務(wù)器 和客戶端之間的通訊。部署集中管理的網(wǎng)絡(luò)防病毒系統(tǒng) -采用服務(wù)器殺毒軟件企業(yè)版產(chǎn)品對(duì)服務(wù) 器進(jìn)行安全保護(hù)。部署服務(wù)器安全加固以實(shí)現(xiàn)統(tǒng)一服務(wù)器安

10、全管理-采用“節(jié)點(diǎn)-操作系統(tǒng) 安全加固”產(chǎn)品對(duì)服務(wù)器操作系統(tǒng)進(jìn)行安全加固，該產(chǎn)品在功能設(shè)計(jì)上以國(guó)家 信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)為指導(dǎo)，將使服務(wù)器的部分安全能力符合等級(jí)保護(hù) 相關(guān)標(biāo)準(zhǔn)的要求。升級(jí)當(dāng)前的IP-SAN數(shù)據(jù)存儲(chǔ)為FC-SAN架構(gòu)的存儲(chǔ)系統(tǒng)-在對(duì)數(shù)據(jù)安全性 要求較高高的應(yīng)用環(huán)境中，推薦采用基于 FC-SAN架構(gòu)的存儲(chǔ)設(shè)備，以保證整 個(gè)應(yīng)用系統(tǒng)的平穩(wěn)運(yùn)行，使數(shù)據(jù)獲得更高的安全性。采用 FC-SAN架構(gòu)的數(shù)據(jù) 存儲(chǔ)方案，代替目前采用的IP-SAN存儲(chǔ)方案，具體建設(shè)內(nèi)容是采用一臺(tái)FC-SAN存儲(chǔ)交換機(jī)代替現(xiàn)有IP-SAN存儲(chǔ)交換機(jī)，數(shù)據(jù)庫(kù)服務(wù)器與 FC-SAN 存儲(chǔ)交換機(jī)的通信采用光纖鏈路。安全

11、管理措施為了有效支撐XXX的門戶網(wǎng)站業(yè)務(wù)的可靠和安全運(yùn)行。除了采取技術(shù)手段為重要支撐外，以主動(dòng)式防御為主，以風(fēng)險(xiǎn)管理為核心。全面推行和貫徹信息 安全管理，將技術(shù)措施落實(shí)到實(shí)處，使其發(fā)揮到應(yīng)有的效用。信息安全界流行 的一句話“三分技術(shù)，七分管理”，可見安全管理手段，也是非常重要的。分別從信息安全決策層、信息安全管理層和信息安全操作層三個(gè)方面開展信息安全管理工作。制定一套適合 XXX門戶網(wǎng)站管理的信息安全管理體系，包 括安全策略與方針、安全管理制度、安全管理規(guī)范和安全管理指南等?！皬纳现料隆蓖苿?dòng)門戶網(wǎng)站的安全管理工作。信息安全決策層決策.規(guī)劃保證機(jī)制信息安全管理層 安全管理,工程,保證管理信息安全

12、操作層 運(yùn)行.實(shí)施安全管理體系文件列表序號(hào)管理制度名稱文檔描述1定期安全檢查管理制度制定安全檢查的流程及步驟2信息安全組織建設(shè)規(guī)劃規(guī)劃信息安全管理組織及職責(zé)3授權(quán)和審批管理制度制定針對(duì)信息安全管理授權(quán)流程4安全評(píng)審管理制度對(duì)安全管理制度進(jìn)行定期評(píng)審5信息安全建設(shè)總體策略指導(dǎo)信息安全建設(shè)的總策略6信息安全審計(jì)管理制度定期進(jìn)行信息安全審計(jì)7信息安全培訓(xùn)管理制度信息安全意識(shí)和技能培訓(xùn)8人員安全管理制度制定與信息安全相關(guān)的人員管理制度9第二方訪問管理制度制定針對(duì)第三方訪問系統(tǒng)的管理制度10系統(tǒng)測(cè)試與驗(yàn)收管理制度制定系統(tǒng)測(cè)試和驗(yàn)收的管理細(xì)則11產(chǎn)品采購(gòu)管理制度制定產(chǎn)品采購(gòu)時(shí)應(yīng)該參考的管理制度12工程實(shí)施

13、管理制度制定在進(jìn)行工程實(shí)施的管理制度13交付管理制度制定關(guān)于如何交付信息系統(tǒng)的制度14外包軟件開發(fā)管理制度制定當(dāng)有軟件外包時(shí)應(yīng)采用的制度15安全事件報(bào)告和處置制度制定進(jìn)行安全事件艮告和處置的流程16安全保密管理制度制定信息安全保密的管理制度17數(shù)據(jù)備份與恢復(fù)管理制度制定數(shù)據(jù)備份與恢復(fù)的管理策略18變更管理制度制定在系統(tǒng)運(yùn)維中應(yīng)采取的變更流程19惡意代碼防范管理制度制定如何防范和管理惡意代碼的制度20機(jī)房安全管理制度制定保障機(jī)房環(huán)境安全的管理制度21介質(zhì)安全管理制度制定關(guān)于使用移動(dòng)介質(zhì)的管理制度22密碼使用管理制度制定關(guān)于使用密碼的管理制度23設(shè)備安全管理制度制定關(guān)于保障設(shè)備安全的管理制度24網(wǎng)

14、絡(luò)安全管理制度制定保障網(wǎng)絡(luò)安全的管理制度25系統(tǒng)安全管理制度制定保障系統(tǒng)安全應(yīng)該米取的應(yīng)對(duì)施26系統(tǒng)運(yùn)維和日志管理制度制定關(guān)于系統(tǒng)運(yùn)維和日志管理的制度27資產(chǎn)安全管理制度制定關(guān)于信息資產(chǎn)管理的若干規(guī)定28機(jī)房施工管理制度制定關(guān)于在機(jī)房施工應(yīng)該遵守的制度5安全加固預(yù)期效果通過對(duì)XXX的門戶網(wǎng)站進(jìn)行安全加固，在項(xiàng)目完成后，達(dá)到的預(yù)期的安全防護(hù)效果如下：第一、構(gòu)建安全可靠的冗余網(wǎng)絡(luò)環(huán)境，保障業(yè)務(wù)連續(xù)性；第二、實(shí)現(xiàn)Web應(yīng)用的更高性能和高可用性；第三、實(shí)現(xiàn)基于系統(tǒng)底層的安全環(huán)境從而抵御非授權(quán)訪問；。第四、彌補(bǔ)傳統(tǒng)防御手段的不足以切斷黑客攻擊路徑；第五、實(shí)現(xiàn)對(duì)服務(wù)器的統(tǒng)一安全管理和策略配置；第六、實(shí)現(xiàn)對(duì)

15、內(nèi)網(wǎng)病毒防治的統(tǒng)一集中管理；第七、實(shí)現(xiàn)未來快速的恢復(fù)和備份數(shù)據(jù)，提高業(yè)務(wù)連續(xù)性。交操機(jī)(Active J交操機(jī)l 新4L Standby 防曬國(guó)眼若和件冏比事件，上英門戶網(wǎng)處MJLH學(xué)器負(fù)鼓均衡, (Active)接入文接機(jī) f啊)倏飛門戶眄站W(wǎng)b*馨君接入全接機(jī) fST2)覆入交般機(jī) (SVD厚生良機(jī)防火(Elandby】盤人交腕機(jī)口 一中文】廣片心文盤機(jī)” 1ActiveJ修心交焦機(jī)R(StHndbf )、中文門戶兩 拈貝覷均勒 %b*l而出朝rAD*落粉刖騎率 HGS或恥力荷B 3rHMhy)，三 - ，1 科夫“資平臺(tái)勝塞防火修 Mr ive)螟有H站軒摒芬#安宅E用軟片 或管理P心3系專就件謖tr理中心圖5.1 :安全加固后的網(wǎng)絡(luò)拓?fù)鋱D6經(jīng)費(fèi)保障本次關(guān)于XXX1戶網(wǎng)站的安全加固項(xiàng)目的規(guī)劃，包括新部署 We蛻用負(fù)載均 衡系統(tǒng)、網(wǎng)絡(luò)集中防病毒系統(tǒng)和服務(wù)器安全加固系統(tǒng)等安全應(yīng)對(duì)措施。包括相 關(guān)系統(tǒng)集成規(guī)劃、設(shè)計(jì)、實(shí)施、調(diào)試和后期運(yùn)維及相關(guān)配套安全管理規(guī)范的制 定等工作，擬申請(qǐng)專項(xiàng)費(fèi)用XXH元。7組織實(shí)施為確保