天融信政务网站系统等级保护技术方案.doc

资源描述

《天融信政务网站系统等级保护技术方案.doc》由会员分享，可在线阅读，更多相关《天融信政务网站系统等级保护技术方案.doc（75页珍藏版）》请在三一办公上搜索。

1、参考范围：内部参考文档编号：HTSEC-XXAQ-2009-0105中软华泰政务网站系统安全等级保护技术方案设计Version 1.0北京中软华泰信息技术有限责任公司2009年1月文档控制拟制:审核:批准:标准化:读者：版本控制版本号日期修改人说明V1.0V1.1V1.2V1.3V1.4分发控制编号读者文档权限与文档的主要关系目录1前言51.1方案设计目的51.2方案设计原则61.3方案参考标准82信息系统运行环境分析102.1应用系统描述102.1.1政务网站系统102.1.2政务办公系统122.1.3访问用户分类122.2应用环境分析142.2.1主体角色定义142.2.2客体

2、对象定义162.2.3业务流程分析172.3网络结构描述182.3.1政务网站系统192.3.2政务办公系统213信息系统安全需求分析233.1系统定级说明233.2安全风险分析243.2.1政务网站系统243.2.2政务办公系统263.3安全需求分析273.3.1政务网站系统安全需求273.3.2政务办公系统323.3.3系统隔离与信息交换323.3.4集中管理安全需求334信息系统等保体系概述354.1保护框架概述354.2确定区域边界375信息系统等保建设方案395.1政务网站系统等级保护建设方案395.1.1管理中心设计415.1.2计算环境安全建设485.1.3安全区域边界子系统安全

3、建设545.1.4安全通信网络子系统安全建设555.2政务办公系统等级保护建设方案565.2.1管理中心设计585.2.2计算环境安全建设635.2.3安全区域边界子系统安全建设715.2.4安全通信网络子系统安全建设716信息系统等保方案与相关标准的对照721 前言1.1 方案设计目的社会发展的不同阶段有不同特质的信息安全问题，在社会发展要求网络化信息系统互连互通的信息化时代，信息安全问题的实质直接表现为国家主权、政治、经济、国防、社会安全和公民合法权益保障。因此，国家高度重视信息安全保护工作。经党中央和国务院批准，国家信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基

4、础信息网络和重要信息系统安全，要抓紧安全等级保护制度建设。这一重大决定，明确落实了中华人民共和国计算机信息系统安全保护条例中关于实行信息安全等级保护制度的有关规定，提出了从整体上根本上解决国家信息安全问题的办法,进一步确定了信息安全发展主线、中心任务，提出了总要求。对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。同时，也为国内的信息安全产业提出了巨大的挑战和机遇。北京中软华泰信息技术有限责任公司成立于2000年，是专业从事信息安全体系研究，信息安全产品研制、生产、销售企业。公司一

5、直把操作系统安全和信息应用系统安全作为产业方向。近年来，先后参与国家发改委、科技部、北京市科委等重大产业发展研究项目，并成为国家与微软原代码级合作的技术承担单位。公司坚持产、学、研相结合的发展方向，与北京交通大学、北京工业大学共同成立研究生培养基地，在为国家输送大批信息安全专业人才的同时也使公司具备了坚实的技术储备。2008年初，公安部为制订信息安全信息系统等级保护设计基本要求的国家标准，进行等级安全应用技术平台模拟系统搭建工作，公司在众多竞争者中脱颖而出，承接了目前最高等级四级系统的建设任务，并已于2008年11月底完成项目验收，从而成为等级保护国家标准863课题研究参与单位，目前正在配合国

6、家主管单位参与国家重大支持项目的申请工作。公司今后将致力于等级保护的方案和产品提供。不断推出符合等级保护标准的安全产品，竭尽全力为国家的信息安全事业做出贡献。本方案以一个典型的省级政府部门电子政务网站系统为应用案例，充分分析电子政务网站系统的安全建设需求，结合国家等级保护的建设规范和技术要求，设计了符合其相应的安全等级防护要求的技术方案，并给出了详细的建设方案。1.2 方案设计原则等级保护是国家信息安全建设的重要政策，其核心是对信息系统分等级、按标准进行建设、管理和监督。对于中软华泰公司信息安全建设，应当以适度风险为核心，以重点保护为原则，从业务的角度出发，重点保护重要的业务、研发类信息系统，

7、在方案设计中应当遵循以下的原则：适度安全原则任何信息系统都不能做到绝对的安全，在进行中软华泰信息安全等级保护规划中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷，因此在进行等级保护设计的过程中，一方面要严格遵循基本要求，从网络、主机、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，另外也要综合成本的角度，针对中软华泰公司信息系统的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。重点保护原则根据信息系统的重要程度、业务特点，通过划分不同安全

8、保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统；本方案在设计中将重点保护涉及生产、研发、销售等关键业务的信息系统，对其他信息系统则降低保护等级进行一般性设计和防护；技术管理并重原则信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖所有的信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障中软华泰信息系统的整体安全性，形成技术和管理两个部分的建设方案；分区分域建设原则对信息系统进行安全保护的有效方法就是分区分域，由于信息系统中各个信息资产的重要性是不同的，

9、并且访问特点也不尽相同，因此需要把具有相似特点的信息资产集合起来，进行总体防护，从而可更好地保障安全策略的有效性和一致性，比如把业务服务器集中起来单独隔离，然后根据各业务部门的访问需求进行隔离和访问控制；另外分区分域还有助于对网络系统进行集中管理，一旦其中某些安全区域内发生安全事件，可通过严格的边界安全防护限制事件在整网蔓延；标准性原则中软华泰信息安全保护体系应当同时考虑与其他标准的符合性，在方案中的技术部分将参考IATF安全体系框架进行设计，在管理方面同时参考27001安全管理指南，使建成后的等级保护体系更具有广泛的实用性；动态调整原则信息安全问题不是静态的，它总是随着管理相关的组织策略、组

10、织架构、信息系统和操作流程的改变而改变，因此必须要跟踪信息系统的变化情况，调整安全保护措施；标准性原则信息安全建设是非常复杂的过程，在设计信息安全系统，进行安全体系规划中单纯依赖经验，是无法对抗未知的威胁和攻击，因此需要遵循相应的安全标准，从更全面的角度进行差异性分析，是本方案重点强调的设计原则；成熟性原则本方案设计采取的安全措施和产品，在技术上是成熟的，是被检验确实能够解决安全问题并在很多项目中有成功应用的；科学性原则本方案的设计是建立在安全评估基础上的，在威胁分析、弱点分析和风险分析方面，是建立在客观评价的基础上而展开分析的结果，因此方案设计的措施和策略一方面能够符合国家等级保护的相关要求

11、，另一方面也能够很好地解决信息网络中存在的安全问题，满足特性需求。1.3 方案参考标准本方案根据国家提出的等级保护管理办法和实施指南，针对政务网站系统的特点和安全建设需求，进行全面的安全保障规划，设计中重点参考的政策和标准包括以下部分：本方案重点参考以下的的政策和标准：指导思想中办200327号文件（关于转发国家信息化领导小组关于加强信息安全保障工作的意见的通知）公通字200466号文件（关于印发信息安全等级保护工作的实施意见的通知）公通字200743号文件（关于印发信息安全等级保护管理办法的通知）等级保护GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T aaaaa-xx

12、xx 信息安全技术信息系统安全等级保护实施指南系统定级GB/T aaaaa-xxxx 信息安全技术信息系统安全保护等级定级指南技术方面GB/T aaaaa-xxxx信息安全技术信息系统等级保护安全设计技术要求GB/T 20270-2006 信息安全技术网络基础安全技术要求GB/T 20271-2006 信息安全技术信息系统通用安全技术要求GB/T 20272-2006 信息安全技术操作系统安全技术要求GB/T 20273-2006 信息安全技术数据库管理系统通用安全技术要求GA/T671-2006 信息安全技术终端计算机系统安全等级技术要求GA/T 709-2007 信息安全技术

13、信息系统安全等级保护基本模型GB/T aaaaa-xxxx 信息安全技术信息系统安全等级保护基本要求管理方面GB/T aaaaa-xxxx 信息安全技术信息系统安全等级保护基本要求ISO/IEC 27001 信息系统安全管理体系标准方案设计信息安全技术信息系统等级保护安全建设技术方案设计规范2 信息系统运行环境分析2.1 应用系统描述本方案设计对象为常见的政务网站系统，通常此类系统包含前端和后端两个部分，其中前端系统为政务网站系统，其作用是面向公众开放，实现政务公开；后端主要为实际进行政务处理的电子政务系统。政务网站总体结构表示如下：图2.1 政务网站体系结构示意图2.1.1 政务网站

14、系统政务网站系统面向互联网开放，提供给公众进行信息查询、政策查询、新闻检索等单向的信息服务，还提供给公众进行信息上诉、网上实事办理、网上申请提交等双向的信息服务，另外，大多数政务网站还提供面向公务员的接口，使得公务员在出差或移动期间，能够通过政务网站的专项主题，处理一些简单的政务信息，另外也可以进入公务员邮箱，查询与公众交互的邮件信息。此外，政务网站系统，除了上述进行发布的的系统外，还包含了对主页进行维护的终端设备，和对系统进行运行维护的终端设备，主页维护终端在完成与主页相关的修改，和编辑后，将完成的主页通过专用发布系统发布出去，提供给公众进行查询。典型政务网站的例子有政府门户网站、网上报税、

15、社保在线、网上办事等政务门户类网站信息，典型以信息发布为主的政务网站如下图表示：图2.1.1 以信息发布为主的政务门户网站示意图典型的以提供服务为主的政务门户网站如下图表示：图2.1.1b 以提供服务为主的政务门户网站示意图2.1.2 政务办公系统政务网站在接到互联网访问用户所提交的一些政务申请后，还需要将这些申请信息传递到政务办公系统，使各个委办局根据自己责权的范围，对这些信息进行处理，处理完毕后将结果再反馈到政务网站系统，并通过政务网站将信息发布给申请方。这部分的信息系统我们统称为“政务办公系统”。方案中描述的政务办公系统，主要包括政府单位用以处理正常政务部分的信息网络和系统。该系统往往运

16、行在电子政务平台中，与互联网采取必要的隔离措施以保障其安全性，并且相对于政务网站系统，办公系统要求有更高的保密性和安全性，要求有完善的安全防护手段。图2.1.2 典型政务办公系统逻辑框架示意图2.1.3 访问用户分类2.1.3.1 政务网站系统访问用户通常针对政务网站的访问用户包含以下四类：【一般访问用户】也就是互联网上的所有用户，这些用户可以访问政务网站的公开信息，进行查阅；【政务申请用户】也属于公众的一类，但是需要通过政务门户网站提交政务处理申请，由于这些申请数据大都牵扯到一些个人敏感信息（比如通过网上报税系统提交的报税申请，通过金宏门户提交的项目审批申请，通过政务采购门户网站提交的报价单

17、等信息），因此需要对访问信息进行保护，避免不必要的信息泄露或信息篡改；【公务员】实际上属于一种特殊类型的政务访问用户，主要访问网站系统的公务员邮箱，对公众发送的投诉信息进行处理；此外，公务员在移动办公的过程中，通过访问网站系统的主页专用页面，进行相关的政务处理；【网页维护人员】从政务内网得到可发布的政策、标准、新闻等内容，然后利用网站系统内部的维护终端，编辑成网页的形式，在网站系统上进行发布，提供给公众进行查询。2.1.3.2 政务办公系统访问用户针对政务办公系统，其主要的访问用户则包含了以下三个类别【一般工作人员】其主要工作是将那些通过手动方式提交的政务办公申请进行录入，并保障录入信息的完整

18、性；【审核人员】就是将那些通过政务网站自动传递过来的信息，以及一般工作人员录入的申请，根据申请内容，对申请材料进行签批和办理，对于比较重要的文件，还需要传递给领导进行最终审阅；【领导】对一些重要申请的内容和签批结果进行最终审批，对于跨职能部门的申请，还需要转发给相关单位进行处理。除了上述的对系统的访问用户以外，政务网站系统和政务办公系统还包含了系统运行维护管理人员，其中政务网站系统有网页维护人员(主要任务是编辑网页内容)、网页上传审批人员、系统管理员（对各类信息资产进行维护）、安全管理员（负责对系统的安全状态进行监控，对安全设备提供策略配置）、日志审计员（对系统内的访问信息进行查询和检索）；政

19、务办公系统有网页维护人员（主要任务是对采用B/S架构的政务办公系统的主页进行维护）、系统管理员（对各类信息资产进行维护）、安全管理员（负责对系统的安全状态进行监控，对安全设备提供策略配置）、日志审计员（对系统内的访问信息进行查询和检索）。2.2 应用环境分析等级保护的核心是应用系统的安全，三级系统等级保护的要点是：实现基于业务全过程的访问控制，因此有必要对应用系统支撑的流程，和主/体标识进行详细的设计，并实现基于标识的强制访问控制。从应用保障的角度，对应用运行环境的要素分析如下：2.2.1 主体角色定义根据等级保护对主体的定义，在本方案中将主体形式化为访问信息系统的用户，那么针对政务网站系统和

20、政务办公系统，确定的主题角色包括：2.2.1.1 政务网站系统主体角色定义包括以下两个大类，七个主体角色，分别是：操作员类的四个主体角色：【一般访问用户】从互联网访问网站系统，获取政务相关法规、制度、流程、新闻等静态文本信息的互联网访问用户。【政务申请用户】利用网站提交相关申请材料，需要对访问行为进行认证，并根据决定的身份控制可访问的页面的互联网访问用户。【公务员】访问网站系统的公务员邮箱系统，处理相关文件，或者在移动办公状态下从互联网上访问网站系统的特定页面，进行一些政务处理的人员。【网页维护人员】维护网站系统的网页内容，进行编辑并上传网页服务器进行发布的操作用户。管理类的三个主体角色【系统

21、管理员】对网站系统的信息资产进行集中管理和配置，保障信息系统的稳定正常运行的运行维护人员。【安全管理员】对网站系统的活动状态进行实时监控，对安全设备进行策略配置，对网络的安全运行负责的维护人员。【安全审计员】对网站的活动日志进行集中收集和分析，掌握网站的受访状态，并进行深度关联分析，从而对网站系统的安全状态进行透彻解析和掌握的维护人员。2.2.1.2 政务办公系统主体角色定义包括以下两个大类，六个主体角色，分别是：操作员类的四个主体角色：【一般工作人员】通过手工方式录入申请材料的政务办公工作人员。【审核人员】针对从手工录入的，以及从网站系统传递过来的申请材料进行审核，并对一般性申请进行审核的人

22、员，同时对于重要项目申请需提交领导进行最终审核。【领导】对重要的申请进行最终审核的人员管理类的三个主体角色【系统管理员】对政务办公系统的信息资产进行集中管理和配置，保障信息系统的稳定正常运行的运行维护人员，同时还要维护政务办公的应用软件。【安全管理员】对政务办公系统的活动状态进行实时监控，对安全设备进行策略配置，对网络的安全运行负责的维护人员。【安全审计员】对政务办公系统的活动日志进行集中收集和分析，掌握网站的受访状态，并进行深度关联分析，从而对网站系统的安全状态进行透彻解析和掌握的维护人员。2.2.2 客体对象定义根据等级保护对客体的定义，在本方案中将客体形式化为信息系统中处理的文件和数据材

23、料，那么针对政务网站系统和政务办公系统，确定的主题角色包括：2.2.2.1 政务网站系统客体对象【静态网页文件】通过静态的形式发布在网站上的信息，包括政策法规、办事流程、新闻等信息。【申请表单】存放在数据库中，作为网站政务申请用户提交的申请文件。【审核结果表单】经政务办公系统内审核人员和领导审核后，并反馈回政务网站，提供给政务申请用户的表单文件，存放在数据库中。2.2.2.2 政务办公系统客体对象【申请表单】存放在数据库中，是政务申请用户通过网站系统提交的，传递到政务办公系统待审核的申请表单数据。【审核结果表单】经政务办公系统内审核人员和领导审核后，并反馈回政务网站，提供给政务申请用户的表单文

24、件，存放在数据库中。2.2.3 业务流程分析业务流程体系那了主体对客体的操作过程，是等级保护访问控制策略的依据。针对政务网站和办公系统，其业务流程分别包括：2.2.3.1 政务网站系统业务流程政务网站系统共包含了两个主要流程，分别为：【静态网页发布流程】该流程的具体过程为：1 网页维护人员得到需要发布的内容；2 网页维护人员通过网页维护终端，对发布内容进行编辑，并进行格式化的处理；3 处理后的内容，经网页维护终端上传到网页发布系统内，等待发布；4 网页发布系统自动在夜间完成网页内容的上传，更换当前的网页或增加到当前网页下，以提供给网站一般访问用户进行查询。【网站申请提交流程】该流程的具体过程为

25、：1 政务申请用户访问指定的网页（可提交政务申请的页面），在制定的登录窗口下输入用户名和口令，完成认证后进入申请页面；2 政务申请用户在制定页面上填写相关申请信息，提交相关的申报材料；3 申报材料经政务申请用户确认后，保存在数据库中；4 政务申请表单被自动传递到政务办公系统内，供审核人员进行相关审批动作。2.2.3.2 政务办公系统业务流程政务办公系统共包含了两个主要流程，分别为：【大厅申请提交流程】该流程的具体过程为：1 政务申请用户到办事大厅，提交纸质的申请材料（无上网条件的政务申请用户）；2 政务办公系统的一般工作人员，将申请材料手工录入到政务办公系统内，经确认后保存在数据中；3 录入后

26、将等待审核人员和领导的进一步确认。【申请处理流程】该流程的具体过程为：1 审核人员通过政务办公系统，调出待审核的政务申请表单；2 审核人员针对政务申请表单的内容进行审核，对于符合相关要求，并且是不重要的政务申请则立即给出审核意见，并形成审核结果表单；3 对于重要的政务申请（主要指超出审核人员的权限的），需要提交领导做进一步的审批；4 领导对重要的政务申请表单进行最终审核，对于需要其他相关部门签批意见的申请表单则进行转发；5 通过审核的表单自动生成审核结果表单，并存放在政务办公系统的数据库中；6 数据库自动将审核反馈表单传递到政务网站系统数据库，并通过政务网站将信息提交给政务申请人员进行查询；另

27、外，审核人员也可电话通知政务申请人员的审核结果。2.3 网络结构描述如前描述，本方案设计对象包含了两个系统，一是提供公开信息发布的政务网站系统，一是实现政务业务处理的政务办公系统，两个系统之间通过政务广域网连接，同时政务门户网站面向互联网开放，提供给互联网公众进行查询，同时也提供给公务员在移动办公时进行访问，以及进行简单的政务处理。典型的网络结构如下图表示：图2.2 政务网站结构示意图参考图2.2，方案设计对象包含了两套系统，分别是政务办公系统以及政务网站系统。在网络组成上均采用星形的结构进行设计，采用核心交换机连接主机，出口通过路由器连接外部网络的办法，属于典型的政务网络。各系统包含的信息资

28、产包括：2.3.1 政务网站系统政务网站系统包括主页服务器、数据库服务器、网页上传服务器、网页维护终端、网站系统运行维护终端以及相关的网络设备和通信链路；从信息资产的性质角度，包含以下部分：2.3.1.1 服务器由三大类服务器组成，也是政务网站系统最重要的信息资产，应当进行重点保护，具体服务器包括：第一类是主页服务器，运行了政务对外的网页系统，用于互联网访问用户进行查询，常见的操作系统为WINDOWS 2003/linux，以及IIS/apache主页发布软件。第二类是数据库服务器，运行着支撑网页的数据库系统，提供给网页进行信息发布，同时也将通过网页收集互联网访问用户提交的各类申请，记录并传递

29、到政务办公系统，对申请进行相关的处理后再次反馈到该数据库中发布出去。常见服务器的操作系统为WINDOWS 2003，数据库为ORACLE/SQL SERVER/DB2等。第三类是网页上传服务器，主要用途是将网页维护终端上传的主页进行缓存，并在制定的时间与网页服务器进行交换，将最新的网页更换过来。2.3.1.2 终端在政务网站系统内，需要进行保护的终端包括以下两类：第一类是网页维护终端，用于网页编辑，并将编辑好的网页传递到网页上传服务器，进行发布，这些终端的数量比较多，操作系统主要是WINDOWS XP/2000等；第二类是网站维护终端，用于对系统进行运行维护，包括服务器维护、数据库维护、网络设

30、备维护等，终端数量不是很多，操作系统主要是WINDOWS XP/2000等；2.3.1.3 网络设备对于政务网站系统，其网络结构比较简单，属于典型的星形结构设计，其网络设备包括：核心交换机：通常采用具有三层功能的交换机，根据连接的服务器和网络设备划分多个VLAN，分别将主页服务器、数据库服务器、网页上传服务器、网页维护终端以及网站维护终端连接到不同的VLAN，并在VLAN之间定义了ACL（访问控制规则），限制了外部用户对服务器访问的随意性，使得网站系统的访问在一个相对受控和有序的情况下接受访问；边界路由器：分别部署在政务网站系统与互联网之间，以及政务网站与政务广域网之间，实现互联网用户的接入管

31、理，以及政务网站系统与政务办公系统之间的通讯。2.3.2 政务办公系统政务办公系统的网络结构类似于政务网站系统，也包含了服务器、终端以及网络设备三类信息资产，具体说明如下：2.3.2.1 服务器包含两大类服务器，分别是办公系统应用服务器和数据库服务器。服务器是政务办公系统内最为重要的信息资产，也是支撑政务办公应用的核心部件，因此必须采取足够强度的防护措施。应用服务器：运行着政务办公应用系统软件，提供给政务内部办公人员，对各类公众政务申请进行处理，并将处理的结果通过政务网站系统反馈回去。通常该服务器采用WINDOWS 2003/linux操作系统。数据库服务器：是政务办公系统的支撑平台，将政务处

32、理的过程数据进行记录，并在处理完毕后通过“摆渡”的方式传递带政务网站系统的数据库，进行发布，常见服务器的操作系统为WINDOWS 2003，数据库为ORACLE/SQL SERVER/DB2等。2.3.2.2 终端主要是政务办公终端组成，通过这些终端完成各类政务操作。终端上常安装的操作系统类型包括WINDOWS XP/2000等。2.3.2.3 网络设备类似于政务网站系统，其网络结构比较简单，属于典型的星形结构设计，其网络设备包括：核心交换机：通常采用具有三层功能的交换机，根据连接的服务器和网络设备划分多个VLAN，分别将应用服务器、数据库服务器以及政务处理终端连接到不同的VLAN，并在VLA

33、N之间定义了ACL（访问控制规则），使得政务办公系统的访问在一个相对受控和有序的情况下接受访问；边界路由器：分别部署在政务办公系统与政务广域网之间，实现政务网站系统与政务办公系统之间的通讯。3 信息系统安全需求分析3.1 系统定级说明本方案主要是为电子政务网站提供的等级保护技术方案。关于等级保护的定级问题，一般应依据网站设计的业务信息的机密性和网页发布信息完整性被破坏时的危害程度，并参考信息系统安全等级保护定级指南（GB/T 22240-2008）的系统定级标准来界定信息系统的保护等级。但作为一个方案分析案例，本方案将假定分析的对象是一个三级电子政务网站及其相关的电子政务办公系统（电子政务网站

34、及其发布系统的构成如图1所示）。其中，政务网站系统主要负责发布相关国家政策、法规等相关重要信息，是政府公布信息和提供服务的网上窗口，也是人民与政府进行信息沟通的一个重要渠道。如果网站受到破坏或攻击，特别是网页的内容被篡改，将会造成人们对国家相关政策误读，甚至无法有效地为公民提供政策指导与相关服务，这不仅会造成政府形象的损害，严重时甚至会对国家的经济与社会稳定造成严重的影响。因此政务网站系统对网页内容的完整性以及服务的安全性与可用性要求很高。为了保证政务网站系统的安全，需要重点从主页内容完整性保护的角度，严格控制主页服务器的内容更新操作以及网页维护人员的管理和系统用户的认证与授权控制。而政务办公

35、系统则是相关政府机关的内部办公网，因涉及政府的日常工作及业务处理，系统中的信息具有较高的机密性。因此为了保证系统的安全，不仅该系统要与外部网络实施有效的隔离，防止外部的网络攻击，更主要的是加强对内部人员的管理以及对政务办公系统的用户进行严格的身份认证和行为审计，来确保系统的安全。显然，政务办公系统与政务网站系统所处理的业务不同、所面临的威胁和风险也有所不同，在进行安全建设时两个系统所关注的安全问题也有很大的不同，因此对这两个系统将采用两个安全域分别建设，政务办公系统通过信息与交换系统提供政务网站所需网页信息数据，体现两个同级别安全域的信息交换问题。下面将按照等级保护国家标准对电子政务网站的安全

36、技术要求以及系统相关的业务流程对两个系统中存在的安全风险进行全面的分析。并在安全风险分析的基础上，提出电子政务网站系统安全体系的建设需求。3.2 安全风险分析随着信息化迅猛发展，互联网已经成为人们工作和生活不可或缺的部分。为了适应社会的发展、加强国家政策法规的宣传力度、提高为人民服务的能力。从中央到地方政务建立了自己的内部信息化办公系统以及对公众的政策发布与提供网络服务业务的网站。国家信息化领导小组关于我国电子政务建设指导意见中指出，整个“十五”期间，从中央到地方政府，将有60%以上的政府业务和30%以上的政府对企业和公众的办公业务上网进行。因此，政务相关的网上服务已经成了政府部门的非常重要的

37、业务之一。这些政务网站因担负着政府与人民沟通信息的重要职责，需要放在互联网上来被公众访问，因此，这些暴露在互联网上的政务网站就不可避免地存在遭到各种各样外来攻击的安全风险。3.2.1 政务网站系统由图1可以看出，政务网站系统的网页发布、服务流程以及运维过程中，主要与如下几种角色的用户有关：l 互联网普通访问用户，来自互联网，只能浏览网页内容。l 互联网认证访问用户，不仅能够浏览网页内容，而且能够通过授权的服务页面与网站所提供的政务服务进行信息交互，比如报税、社保等服务。l 网站主页内容维护用户，负责网页的制作、发布和完整性验证。l 网站的系统维护用户，主要负责网站系统的可用性维护等。在网页发布

38、流程中，合法的用户角色主要是主页维护人员，存在的风险主要是：其他角色的用户通过入侵攻击或越权操作假冒主页维护用户的身份，对主页内容的完整性进行篡改或违规发布含有机密内容的信息，造成机密泄露。合法认证用户通过互联网访问网站的网站申请提交流程中，所存在的风险主要包括：身份被假冒，远程通信数据被窃听、被篡改，否认提交服务行为或内容（抵赖行为）以及网站自身安全造成的风险（诸如：服务网页被篡改，造成合法认证用户的个人或业务信息泄露。大厅的提交申请流程也是针对合法认证用户的，只不过这个合法认证用户是政府工作人员（为客户提供服务的业务操作员），可能会因业务操作员的无意误操作或越权操作造成客户信息的泄露或提交

39、信息的不完整或不真实。因此，在政务网站的运营过程中，不仅要抵御来自外部的黑客或信息间谍的入侵攻击（以获取权限假冒合法用户，进而获取认证用户的业务信息，甚至获得网站维护权限造成对整个网站的网页内容完整性、机密性与可用性造成破坏或从事信息恐怖活动）以及网络病毒传播等，而且也要防范网站内部的系统维护用户的越权访问对网站内网页内容的完整性、机密性以及网站系统可用性造成破坏的风险。3.2.1.1 典型外部攻击目前常见的网站攻击方式：一是利用Web服务器的漏洞进行攻击，如CGI缓冲区溢出，目录遍历漏洞利用等攻击；二是利用网页自身的安全漏洞进行攻击，如SQL注入，跨站脚本攻击等。典型的攻击有：l 缓冲区溢出

40、攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令；或取系统的操作权限等l Cookie假冒精心修改cookie数据进行用户假冒；l 认证逃避攻击者利用不安全的证书和身份管理；l 非法输入在动态网页的输入中使用各种非法数据，获取服务器敏感数据；l 强制访问访问未授权的网页；l 隐藏变量篡改对网页中的隐藏变量进行修改，欺骗服务器程序；l 拒绝服务攻击构造大量的非法请求，使Web服务器不能相应正常用户的访问；l 跨站脚本攻击提交非法脚本，其他用户浏览时盗取用户帐号等信息；l SQL注入构造SQL代码让服务器执行，获取敏感数据；此外，黑客或蓄意破坏者，还会利用病毒、蠕虫

41、、木马和间谍软件等恶意代码实施攻击，上述攻击方式都将是对网站安全造成威胁的主要风险因素。3.2.1.2 常见内部威胁政务网站系统内部人员（网站系统维护人员、网站主页及内容维护人员）的有意或无意的非法操作或蓄意地通过设置系统后门、主页挂马、传播病毒等措施，来破坏政务网站系统的可用性，甚至通过越权操作篡改网页内容或故意歪曲信息，窃取机密信息。对外加或社会造成更大的危害。由于内部人员直接接触重要信息，并且了解网站系统的安全防御措施和管理手段，因此，相对于外部用户而言，其更容易规避安全保障措施，利用系统安全防御措施的漏洞或管理体系的弱点，从内部发起攻击来破坏网站系统的安全。l 来自内部的威胁主要来源于

42、内部人员恶意破坏、管理人员滥用职权、执行人员操作不当、内部管理疏漏、软硬件缺陷等。具体体现在以下几个方面：l 安全管理制度不健全，执行力度不到位。例如，存在非法接入、非法外联、网络滥用、外设滥用等情况。l 系统本身存在漏洞。例如，未能有效检测出移动设备（笔记本电脑等）或新增设备中存在的不安全因素，导致病毒的传播、黑客的入侵。l 内部懂技术、会编程的人员直接编写攻击代码，从而窃取或破坏系统中的重要敏感信息。3.2.2 政务办公系统政务办公系统作为政府机关的内部办公网，所涉及的是政府日常的工作及政务处理流程，系统中的信息具有较高的机密性。因此，必须禁止外部互联网用户对该系统访问的权限，实施系统与外

43、界的有效隔离，来防止外来的风险。显然该系统所面临的安全风险主要来自于内部（常见的内部威胁参考第1.2.1.2的内容），所考虑的问题也主要侧重于系统中信息的机密性，也就是说主要考虑泄密风险的防护。具体的来讲本系统所涉及的政务处理流程所面临的安全风险主要来自于：内部用户的身份假冒、合法用户的越权访问或违规操作、政务办公系统的系统缺陷（服务器、网络设备、终端系统）被利用、病毒木马、移动设备违规使用（窃密）、终端非法接入与违规外联（泄密）等。但政务办公系统与政务网站系统的信息交互流程中，所面临的风险主要是：机密信息交换过程能否有效控制，机密信息的泄露（被窃听等）、被篡改，病毒、木马等恶意代码的域间传播

44、等。3.3 安全需求分析随着计算机科学技术的不断发展，信息系统也变得越来越复杂。但是无论如何发展，任何一个信息系统都由计算环境、区域边界、通信网络三个层次组成。所谓计算环境就是用户的工作环境，由完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其联接部件组成，对图1所示的政务网站系统中，其维护终端、数据库服务器、主页服务器构成了网站提供对外服务的计算环境，计算环境的安全是网站系统安全的核心；区域边界是计算环境的边界，对进入和流出计算环境的信息进行保护；通信网络是计算环境之间实现信息传输功能的部分。在这三个层次中，如果每一个使用者都是经过认证和授权的，而且其操作都是符合规定的，那么就不会

45、产生攻击性的事故，就能保证整个信息系统的安全。下面，我们就从维护系统安全、主页服务器安全、集中管理安全和安全保证四个方面详细分析政务网站系统正常运营的安全需求。3.3.1 政务网站系统安全需求作为等级保护三级以上的网站系统，安全威胁不仅来源与外部，而且也来源于内部。对于外部主要是防止外部的非授权用户通过黑客技术利用系统的缺陷获取主页服务器的维护权限，进而防止对网站的主页内容的非法篡改。对于内部则主要是防止内部精通业务、懂技术、会编程的专业人员的主动攻击。如果网站系统的安全防护措施能全面防止内部人员的攻击，那么毫无疑问它一定也能有效防止来自外部的攻击，这是因为外来攻击也是为了获得合法用户的权限后

46、才能够实现对主页内容的篡改。因此，对于网站系统而言，要做到防内为主，内外兼防，不仅要保证面向公众提供服务的网站服务器的安全，还应重点保护网站维护系统，包括维护终端、数据库服务器（保存业务上传的数据，主页维护用户只能读取该数据库中的数据）以及主页服务器（维护人员上传网页）的安全，确保维护人员只能执行权限范围内的操作，不会出现非授权和越权访问，从而确保网站系统的安全。为此，对于政务网站的安全保护目标是从源头出发，在操作系统层实现用户的最小权限和职责分离限制，采用身份鉴别、访问控制、加密存储、数据完整性保护、安全审计、执行程序控制等安全机制，构建网站维护系统的可信应用环境。3.3.1.1 用户身份鉴别具有用户身份鉴别能力，提供多因子身份认证方式，使用密码算法进行身份认证，只有经过授权的用户才能够按照授权策略登录相应的维护终端。系统能识别不同身份的用户，做到按身份及身份相关的策略对不同的资源进行相应的操作。另外，除了用户的身份认证之外，平台之间在进行网络通信时，也要主动验证对方的平台身份及安全状态。通过平台身份的验证，确保只有授权的网络维护终端能够访问网站上传服务器；通过平台安全状态的验证，决定是否允许该通信请求。这样将

展开阅读全文