1、信息平安整改方案 信息平安整改方案 信息平安等级保护建设整改方案 随着互联网应用和门户网站系统的不断开展和完善,网站系统面临的平安威胁和风险也备受关注。网站系统一方面要加强落实国家信息平安等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2023年40号文件关于进一步加强政府网站管理工作的通知的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的平安保障能力。 根据国家等级保护有关要求,省级政府门户网站系统的信息平安保护等级应定为三级,建立符合三级等级保护相关要求的平安防护措施,能够形成在同一平安策略的指导下,网站系统应
2、建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息平安风险分析和等级保护差距分析,形成网站系统的平安需求,从而建立有针对性的平安保障体系框架和平安防护措施。 系统平安需求 根据网站系统的应用情况,针对网站系统的平安需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下: 1、业务流程平安需求 针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及效劳平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发
3、布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件平安需求 系统软件架构一般包括接入层、展现层、应用层、根底应用支撑层、信息资源层和根底支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从平安需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险
4、;应用层是对数据信息进行处理的核心局部,应加强系统自身的平安性和软件编码的平安性,减少系统自身的脆弱性;根底应用支撑层主要包括通用组件、用户管理、目录效劳和交换组件等通用应用效劳,该层次重点是确保系统组件自身的平安性,同时要加强与应用之间接口的平安性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的平安在于数据库平安;根底支撑运行环境层,支撑应用系统运行的操作系统、网络根底设施和平安防护等共同构筑成根底支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。 3、数据平安需求 系统的数据主要包括互联网读取、录入、管
5、理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面临威胁也存在一定的差异性,其中读取过程要结合信息的敏感和重要程度进行访问控制,降低越权、滥用等威胁的发生;录入关注信息自身的完整性和合法性,注意防止恶意代码和木马对系统造成的攻击;管理和审核涉及信息系统的关键性信息,所以根本属于系统中的敏感信息或关键流程管理,加强人员的平安管理;交互和数据交换要通过系统自身的平安防护机制,抵抗网络攻击和加强抗抵赖机制。 4、网络和物理平安需求 网络层面重点在于设计合理的网络架构,部署冗余的网络设备,形成可以建立不同平安策略的平安域,
6、从而确保网站系统能够正常稳定运行。 物理平安主要涉及的方面包括环境平安(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的需求,应确保机房的建设符合国家相关要求。 5、it资产平安需求 it资产重点关注资产本身的漏洞风险,同时根据资产类型的不同,可以区分成硬件资产、软件资产,其中硬件资产可能面临的关键威胁是软硬件故障、物理攻击等;软件资产可能面临的威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖。 6、综合平安需求 通过对各个方面综合的平安风险和需求分析,网站系统相
7、关的业务、软件、数据、网络和相关it资产,由于其应用类型、环境等因素导致主要威胁分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面,由于其威胁发生的可能性较高,威胁利用后影响较大,导致其平安风险较高,因此应形成对抗这些威胁的必要的平安措施,加强对系统自身的平安性。同时结合信息平安等级保护根本要求的相关技术和管理控制点,进一步完善物理平安、网络平安、主机平安、应用平安和数据平安的相关控制措施,并要能够落实组织、制度、人员、建设和运维相关的管理要求。 系统平安方案设计 根据对网站系统平安需求的分析,对于网站系统的平安防护主要从以下两个方面进行设计,一方面是系统的平安保护对象,合
8、理分析系统的平安计算环境、区域边界和通信网络,形成清晰的保护框架;另一方面还是要建立综合的平安保障体系框架,形成对网站系统综合的控制措施架构,同时加强网站系统可能面临威胁的各项防护机制。 1、平安保护对象 平安计算环境:重点落实等级保护根本要求的主机、应用、数据局部的平安控制项,结合平安设计技术要求中的主要 内容总结(1)信息平安整改方案 信息平安整改方案 信息平安等级保护建设整改方案 随着互联网应用和门户网站系统的不断开展和完善,网站系统面临的平安威胁和风险也备受关注(2)信息资源层是由业务数据库和平台数据库共同构成,此层次重点的平安在于数据库平安(3)软件资产可能面临的威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖
