電子政務(wù)系統(tǒng)信息安全建設(shè)方案詳細版

1、文件編號：GD/FS-7388（方案范本系列）設(shè)方案詳細版The Common Structure Of The Specific Plan For Daily Work Includes The Expected Objectives,Implementation Steps, Implementation Measures, Specific Requirements And Other Items.編輯：單位：日期：電子政務(wù)系統(tǒng)信息安全建設(shè)方案詳細版提示語：本方案文件適合使用于日常進行工作的具體計劃或?qū)δ骋粏栴}制定規(guī)劃，常見結(jié)構(gòu)包 含預(yù)期目標、實施步驟、實施措施、具體要求等項目。文檔所展

2、示內(nèi)容即為所得，可在下載完 成后直接進行編輯。概述電子政務(wù)作為國家信息化建設(shè)的重點工程，按敏 感級別和業(yè)務(wù)類型，可劃分為：涉密機要專網(wǎng)、電子 政務(wù)專網(wǎng)和電子政務(wù)外網(wǎng)。電子政務(wù)外網(wǎng)是為市民提 供政務(wù)公開信息和網(wǎng)上服務(wù)場所的媒體，直接同因特 網(wǎng)連接；政務(wù)專網(wǎng)上運行關(guān)鍵的政務(wù)應(yīng)用，是為公務(wù) 員提供協(xié)同辦公、信息、傳輸交互和業(yè)務(wù)數(shù)據(jù)處理的網(wǎng) 絡(luò)平臺；涉密機要專網(wǎng)與電子政務(wù)專網(wǎng)實行物理隔 離、與政府外網(wǎng)實行物理隔離。2安全建設(shè)內(nèi)容為了保障政府的管理和服務(wù)職能的有效實現(xiàn)，需 要為電子政務(wù)網(wǎng)絡(luò)建立完善的信息安全體系，選擇符 合國家信息安全主管部門認證的安全技術(shù)和產(chǎn)品，在 電子政務(wù)系統(tǒng)的建設(shè)中實施信息、安全工

3、程，保證電子 政務(wù)三大網(wǎng)絡(luò)的安全。電子政務(wù)安全保障體系包括： 建立信息系統(tǒng)安全管理體系、網(wǎng)絡(luò)安全技術(shù)和運行體 系、系統(tǒng)安全服務(wù)體系、安全風(fēng)險管理體系。3安全管理體系安全不是一個目標，而應(yīng)該作為一個過程去考慮、設(shè)計、實現(xiàn)、執(zhí)行。只有通過建立科學(xué)、嚴密的 安全管理體系，不斷完善管理行為，形成一個動態(tài)的 安全過程，才能為電子政務(wù)網(wǎng)絡(luò)提供制度上的保證， 它包括：安全方針、安全組織、資產(chǎn)分類與控制、人 員安全、物理與環(huán)境的安全、通信與運行的管理操作 過程與職責(zé)、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務(wù)連續(xù) 性管理、遵循性與法律要求的一致性。4技術(shù)和運行一個信息系統(tǒng)的信息安全保障體系包括人、技術(shù) 和運行三部分，其中

4、技術(shù)體系包括保衛(wèi)主機與應(yīng)用系 統(tǒng)、保衛(wèi)邊界、保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施以及支持性基礎(chǔ) 設(shè)施等部分。4.1局域網(wǎng)主機與應(yīng)用系統(tǒng)安全局域網(wǎng)主機與應(yīng)用系統(tǒng)的安全性比較復(fù)雜，數(shù)據(jù) 的計算、交換、存儲和調(diào)用都是在局域網(wǎng)中進行的， 黑客和不法分子常使用的破壞行為就是攻擊局域網(wǎng)。 局域網(wǎng)環(huán)境保護所關(guān)注的問題是：在用戶進入、離開 或駐留于用戶終端與服務(wù)器的情況下，采用信息保障 技術(shù)保護其信息的可用性、完整性與機密性。4.1.1主機防護主機保護與監(jiān)控系統(tǒng)用于保護電子政務(wù)內(nèi)部局域 網(wǎng)用戶的主機，針對連接到internet 上的個人主機易受外部黑客和內(nèi)部成員攻擊的特性，提供對個人主 機操作（文件、注冊表、網(wǎng)絡(luò)通訊、撥號網(wǎng)絡(luò)

5、等方 面）的實時監(jiān)測，有效保障個人主機數(shù)據(jù)的完整性和 真實性。4.1.2非法外聯(lián)監(jiān)控物理隔離網(wǎng)內(nèi)經(jīng)常出現(xiàn)私自撥號等非法上網(wǎng)行 為，導(dǎo)致物理隔離措施形同虛設(shè)，泄密、非法入侵事 件時有發(fā)生。就需要撥號監(jiān)控系統(tǒng)可以實時地對這些 行為進行監(jiān)控與報警，并記錄操作者的主機名、主機 ip以及撥號時間。4.2邊界安全保衛(wèi)邊界的目的就是要對流入、流出邊界的數(shù)據(jù) 流進行有效的控制和監(jiān)督，包括基于網(wǎng)絡(luò)的入侵檢測 系統(tǒng)、脆弱性掃描器、局域網(wǎng)上的病毒檢測器等。綜 合應(yīng)用以構(gòu)成完整的動態(tài)防御體系，從而對邊界內(nèi)的 各類系統(tǒng)提供保護。4.2.1入侵檢測網(wǎng)絡(luò)入侵檢測系統(tǒng)位于有敏感數(shù)據(jù)需要保護的網(wǎng) 絡(luò)上，通過實時偵聽網(wǎng)絡(luò)數(shù)據(jù)流，

6、尋找網(wǎng)絡(luò)違規(guī)模式 和未授權(quán)的網(wǎng)絡(luò)訪問。當發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán) 的網(wǎng)絡(luò)訪問時，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略 做出反應(yīng)，包括實時報警、事件登錄，或執(zhí)行用戶自 定義的安全策略等。網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以部署在網(wǎng)絡(luò)中 存在安全風(fēng)險的地方。天闐黑客入侵檢測與預(yù)警系統(tǒng) 是啟明星辰信息技術(shù)公司自行研制開發(fā)的入侵檢測系 統(tǒng)，通過了公安部、人民解放軍、國家保密局、中國 信息安全產(chǎn)品測評認證中心的權(quán)威評測。產(chǎn)品包括基 本型、多級分布型、大規(guī)模高速千兆型、主機（forsolairs，forwin，foraix）六種適用于不同網(wǎng) 絡(luò)環(huán)境的系統(tǒng)。4.2.2脆弱性檢查網(wǎng)絡(luò)漏洞掃描系統(tǒng)能夠測試和評價系統(tǒng)的安全 性，并及時發(fā)

7、現(xiàn)安全漏洞，包括網(wǎng)絡(luò)模擬攻擊，漏洞 檢測，報告服務(wù)進程，提取對象信息，以及評測風(fēng) 險，提供安全建議和改進措施等功能，幫助用戶控制 可能發(fā)生的安全事件，發(fā)現(xiàn)安全隱患。4.2.3網(wǎng)絡(luò)防毒網(wǎng)絡(luò)防病毒系統(tǒng)加強對服務(wù)器進行保護，提供對 病毒的檢測、清除、免疫和對抗能力。在客戶端的主 機也安裝防病毒軟件，將病毒在本地清除而不至于擴 散到其他主機或服務(wù)器。再加上防病毒制度與措施， 就構(gòu)成了一套完整的防病毒體系。4.3網(wǎng)絡(luò)與網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全電子政務(wù)系統(tǒng)，廣域網(wǎng)絡(luò)以及為其提供支撐的相 關(guān)基礎(chǔ)設(shè)施必須受到更深層次的保護。保衛(wèi)電子政務(wù)系統(tǒng)和基礎(chǔ)設(shè)施的總的策略是，使用安全性較高的專 線和密碼技術(shù)來傳輸系統(tǒng)網(wǎng)絡(luò)節(jié)點之間

8、的機密數(shù)據(jù)，加密方式采用國家相關(guān)部門批準的算法。4.4支撐基礎(chǔ)設(shè)施 4.4.1應(yīng)急響應(yīng)設(shè)立安全應(yīng)急小組目的在于：對于網(wǎng)絡(luò)中的突發(fā)事件能夠及時地響應(yīng)；減少業(yè)務(wù)停頓的時間；避免非 法入侵對數(shù)據(jù)破壞；避免主頁被黑造成影響；對于已 經(jīng)破壞的數(shù)據(jù)采取相應(yīng)的技術(shù)手段進行恢復(fù)；通過培 訓(xùn)提高人員對突發(fā)事件的處理能力；追蹤非法入侵人4.4.2災(zāi)難恢復(fù)災(zāi)難恢復(fù)是在發(fā)生計算機系統(tǒng)災(zāi)難后，可利用在 本地或遠離災(zāi)難現(xiàn)場的地方的備份系統(tǒng)重新組織系統(tǒng) 運行和恢復(fù)業(yè)務(wù)的過程。災(zāi)難恢復(fù)的目標是:保護數(shù)據(jù)的完整性，使電子政務(wù)數(shù)據(jù)損失最少、甚至沒有數(shù) 據(jù)損失；快速恢復(fù)工作，使業(yè)務(wù)停頓時間最短，甚至 不中斷業(yè)務(wù)。4.4.3系統(tǒng)備份

9、建立備份系統(tǒng)的主要目標：避免由于各種情況造 成的網(wǎng)絡(luò)、數(shù)據(jù)、系統(tǒng)的不可用給網(wǎng)絡(luò)中運行的業(yè)務(wù) 造成影響，一旦災(zāi)難發(fā)生，可以通過該系統(tǒng)為網(wǎng)絡(luò)的 恢復(fù)提供有力的保證。備份措施要保證主要線路、關(guān) 鍵設(shè)備、重要數(shù)據(jù)、重要系統(tǒng)等要素的可用性，從而保證電子政務(wù)系統(tǒng)的穩(wěn)定運 行，提高其對各類事件的免疫能力。5安全服務(wù)5.1風(fēng)險評估信息安全管理體系是建立在風(fēng)險分析和評估的基 礎(chǔ)上的。風(fēng)險分析是指確定資產(chǎn)的安全威脅和脆弱性、并估計可能由此造成的損失或影響的過程。其結(jié) 果是制定安全政策的重要依據(jù)，可以按照資產(chǎn)列表制 定相應(yīng)的安全政策。風(fēng)險分析與評估基本包括準備階 段；培訓(xùn)階段；資產(chǎn)確定階段；風(fēng)險評估階段；風(fēng)險 策略階段。5.2c-sas安全服務(wù)體系客戶化安全保障服務(wù)強調(diào)以安全人”為核心來 進行安全理念、風(fēng)險評估、策略制定、體系設(shè)計、安 全管理、實施防御、應(yīng)急響應(yīng)、安全培訓(xùn)等安全措 施。6保障體系建設(shè)原則1、安全保密原則：安全保密性是系統(tǒng)建設(shè)的重 要前提。2、先進性原則：采用國際上最先進和成熟的體 系結(jié)構(gòu)，使系統(tǒng)能夠適應(yīng)今后的業(yè)務(wù)發(fā)展變化需要。3、可擴展原則：在盡量節(jié)省投資同時實現(xiàn)系統(tǒng) 平滑擴展。4、可靠性原則：采用成熟的主流技術(shù)