信息安全整改方案

信息安全整改方案网站信息平安等级爱护建设整改方案

随着互联网应用和门户网站系统的不断进展和完善，网站系统面临的平安威逼和风险也备受关注。网站系统一方面要加强落实国家信息平安等级爱护制度要求的各项保障措施，另一方面要加强系统自身反抗威逼的力量，同时结合国办2023年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求，网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施，综合提升网站系统的平安保障力量。

依据国家等级爱护有关要求，省级政府门户网站系统的信息平安爱护等级应定为三级，建立符合三级等级爱护相关要求的平安防护措施，能够形成在同一平安策略的指导下，网站系统应建立综合的掌握措施，形成防护、检测、响应和恢复的保障体系。通过采纳信息平安风险分析和等级爱护差距分析，形成网站系统的平安需求，从而建立有针对性的平安保障体系框架和平安防护措施。

网站系统平安需求

依据网站系统的应用状况，针对网站系统的平安需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析，详细需求如下：

1、业务流程平安需求

针对网站类业务重点需要关注发布信息的精确     性，采集分析和汇总信息的可控性，以及服务平台的可用性，系统可能面临的威逼包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击，应加强对于这些威逼的对抗和防护力量，通过严格掌握业务流程中的各个环节，包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问掌握、审批审核等需求，同时要加强系统自身的完整性爱护和抗抵赖机制的实现。

2、软件平安需求

网站系统软件架构一般包括接入层、呈现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面，由于几个层面涉及的主要功能和软件实现存在肯定的差异性，因此要通过分析不同层次可能面临的威逼。接入层是目标用户和接入媒介共同构建而成，针对业务系统此层面是一个访问入口，从平安需求方面应当削减入口对于系统的攻击可能性，对于指定的接入和入口可以通过建立可信机制进行爱护，对于非指定的接口可以通过掌握权限进行防护；呈现层是系统内容的展现区域，要确保系统展现信息的完整性，降低被篡改的风险；应用层是对数据信息进行处理的核心部分，应加强系统自身的平安性和软件编码的平安性，削减系统自身的脆弱性；基础应用支撑层主要包括通用组件、用户管理、名目服务和交换组件等通用应用服务，该层次重点是确保系统组件自身的平安性，同时要加强与应用之间接口的平安性；信息资源层是由业务数据库和平台数据库共同构成，此层次重点的平安在于数据库平安；基础支撑运行环境层，支撑应用系统运行的操作系统、网络基础设施和平安防护等共同构筑成基础支撑运行环境，该层次面临的主要威逼包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威逼，应加强资产的综合管理。

3、数据平安需求

网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息，以及前台的交互信息和后台的数据交换信息，针对这些信息各个环节中的访问关系不同，信息的敏感和重要程度不同，可能面临威逼也存在肯定的差异性，其中读取过程要结合信息的敏感和重要程度进行访问掌握，降低越权、滥用等威逼的发生；录入关注信息自身的完整性和合法性，留意防止恶意代码和木马对系统造成的攻击；管理和审核涉及信息系统的关键性信息，所以基本属于系统中的敏感信息或关键流程管理，加强人员的平安管理；交互和数据交换要通过系统自身的平安防护机制，反抗网络攻击和加强抗抵赖机制。

4、网络和物理平安需求

网络层面重点在于设计合理的网络架构，部署冗余的网络设备，形成可以建立不同平安策略的平安域，从而确保网站系统能够正常稳定运行。

物理平安主要涉及的方面包括环境平安（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。详细包括：物理位置的选择、物理访问掌握、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度掌握、电力供应和电磁防护等方面的需求，应确保机房的建设符合国家相关要求。

5、IT资产平安需求

IT资产重点关注资产本身的漏洞风险，同时依据资产类型的不同，可以区分成硬件资产、软件资产，其中硬件资产可能面临的关键威逼是软硬件故障、物理攻击等；软件资产可能面临的威逼包括篡改、泄密、网络攻击、恶意代码和抗抵赖。

6、综合平安需求

通过对各个方面综合的平安风险和需求分析，网站系统相关的业务、软件、数据、网络和相关IT资产，由于其应用类型、环境等因素导致主要威逼分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面，由于其威逼发生的可能性较高，威逼利用后影响较大，导致其平安风险较高，因此应形成对抗这些威逼的必要的平安措施，加强对系统自身的平安性。同时结合信息平安等级爱护基本要求的相关技术和管理掌握点，进一步完善物理平安、网络平安、主机平安、应用平安和数据平安的相关掌握措施，并要能够落实组织、制度、人员、建设和运维相关的管理要求。

网站系统平安方案设计

依据对网站系统平安需求的分析，对于网站系统的平安防护主要从以下两个方面进行设计，一方面是系统的平安爱护对象，合理分析系统的'平安计算环境、区域边界和通信网络，形成清楚的爱护框架；另一方面还是要建立综合的平安保障体系框架，形成对网站系统综合的掌握措施架构，同时加强网站系统可能面临威逼的各项防护机制。

1、平安爱护对象

平安计算环境：重点落实等级爱护基本要求的主机、应用、数据部分的平安掌握项，结合平安设计技术要求中的主要防护内容包括用户身份鉴别、主机和应用访问掌握、系统平安审计、用户数据完整性爱护、用户数据保密性爱护、主机入侵、防病毒等措施；

平安区域边界：重点落实等级爱护基本要求的网络部分的平安掌握项，结合平安设计技术要求中的主要防护内容包括边界访问掌握、网络平安审计和完整性爱护等；

平安通信网络：重点落实等级爱护基本要求的网络和数据部分的平安掌握项，结合平安设计技术要求中的主要防护内容包括通信网络平安审计、通信网络数据传输保密性爱护、数据传输完整性爱护和可信接入爱护。

2、平安保障框架

结合网站系同自身的平安需求，应加强对于网站系统的平安风险评估，同时建立配套的平安管理体系和平安技术体系，其中平安管理体系包括平安策略、平安组织和平安运作的相关掌握管理；平安技术体系结合等级爱护的物理、网络、主机、应用和数据平安，进一步加强系统的软件架构平安、业务流程平安和信息访问平安的掌握，确保系统自身的防病毒、防篡改、方攻击力量的提升。

通过加强对互联网边界的平安防护机制落实，建立与网站系统相配套的互联网服务区、业务服务区、数据库区、备份区和平安管理区的平安防护措施，建立网站系统的综合防护措施。

县政府门户网站加强网络与信息平安整改工作措施

为深化贯彻落实市网络与信息平安协调小组办公室《关于加强网络与信息平安整改工作的通知》（东信安办发〔2023〕4号）文件精神，保障县政府门户网站平安运行，针对我县政府网站存在的问题，我们实行软硬件升级、漏洞修补、加强管理等措施，从三个方面做好了政府网站网络与信息平安工作。

一、对网站漏洞准时进行修补完善

接到省电子产品监督检验所和省网络与信息平安应急支援中心对我县政府网站做的网站平安检测报告后，我们具体讨论分析了报告内容，准时联系了网站开发公司，对网站存在的SQL注入高危漏洞进行了修补完善，并在网站服务器上加装平安监控软件，使我县政府网站削减了可能存在的漏洞风险，降低了数据库被注入修改的可能性。

二、加强对硬件平安防护设备的升级

为确保网站平安运行，2023年，我们新上了平安网关（SG）和WEB应用防护系统（WAF），平安网关采纳先进的多核CPU硬件构架，同时集成了防火墙、VPN、抗拒绝服务、流量管理、入侵检测及防护、上网行为管理、内容过滤等多种功能模块，实现了立体化、全方位的爱护网络平安；绿盟WEB应用防护系统可以对数据盗窃、网页篡改、网站挂马、虚假信息传播、针对客户端的攻击等行为，供应完善的防护措施。同时，针对WEB应用漏洞数量多、变化快、共性化的特点，我们还定期对WEB应用防护系统进行软件升级，安装了补丁程序，爱护了服务器上的网站平安。自安装硬件平安防护设备以来，网站没消失任何平安性问题。

三、连续加强对政府网站的平安管理

为加强政府网站信息发布的平安，我们在添加信息时严格执行"三级审核制"和"登记备案制",在网站上发布的信息首先由信息审核员审核签字后报科室主任，