信息安全技术 政府门户网站系统安全技术指南-编制说明

任务来源2010年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，由北京信息安全测评中心研究制定《政府网站安全实施指南》国家标准，国标计划号：20100391-T-469。该项目由工业和信息化部提出，全国信息安全标准化技术委员会归口，由北京信息安全测评中心、中国电子信息安全研究院及首都之窗运营管理中心负责研制。标准主要起草人：刘海峰、钱秀槟、左晓栋、张晓梅、闵京华、赵章界、李晨旸、李媛、梁博、王春佳、胡冰、李垚、陈萍、王喆。2变更说明在该标准研制过程中，根据标准提出单位意见及2012年7月13日中期评审会专家评审意见，将标准名称调整为《信息安全技术政府门户网站安全技术指南》；根据标准提出单位意见及2013年6月14日专家评审会专家评审意见，将标准名称调整为《信息安全技术政府门户网站系统安全技术指南》。3编制目标本课题研究的目标是在广泛调研的基础上，结合目前政府门户网站的安全现状，提出切实有效的安全技术实施方法，为各类政府机构保障网站安全提供技术指导，提高政府门户网站系统包括防篡改、防泄露、防中断在内的综合安全防范能力。本指南给出了基于互联网的政府门户网站系统安全防护措施，可用于指导政府部门开展网站系统安全技术防护体系建设，也可作为对政府门户网站系统实施安全检查的依据。4编制原则特点突出：重点从网站面临的典型安全威胁出发，突出网站安全相关防护技术，如网页篡改、服务中断、网页挂马、信息窃取等。综合防护：不仅限于网站应用本身，同时考虑到与网站应用安全技术防护相关的其他控制措施，从物理环境、网络通信、系统、终端、数据及应用等全方位提出要求。适度控制：从网站的行政级别、访问量、注册用户数以及业务重要度出发，针对有不同安全防护需求的网站规定了基本、增强两级安全保护强度的技术控制措施。定量指导：给出符合网站建设、运维需求的量化参考值，强调对系统建设方、开发方、运维方的具体指导作用。5主要工作过程《政府门户网站系统安全技术指南》（下文中简称指南）的制定工作大体分以下阶段：大纲编制阶段(2010.12-2011.3)：在2010年《政务网站安全研究》课题研究成果的基础上，收集分析和总结政府门户网站系统的特点、安全现状、主要安全风险以及可采取的安全控制措施，编制《指南》大纲。2011年2月13日召开专家征求意见会，根据专家意见，修改完善大纲内容，细化业务规模等安全要求，完善了数据保护和设备管理等要求。草案编写阶段(2011.3-5)：根据大纲提出的体系框架，编制《指南》（草案）。草案改进阶段(2011.6-2012.7)：在北京市委办局内，选择20余家不同职能的单位征求意见，并根据反馈情况，修改和完善《指南》内容，加强《指南》的可操作性和有效性，并针对各单位反馈意见完善了《指南》内容。2011年7月15日，组织召开了《指南》征求意见会，课题组向与会专家汇报了课题成果，获得相关专家的认可，同时与会专家从数据保护、安全监控等方面提出了改进建议。课题组根据专家会的意见持续对《指南》草案进行修订。中期审查及持续改进阶段（2012.7至今）：2012年7月13日，信安标委组织中期审查，提出了《指南》的修改意见。课题组根据中期审查意见继续修改草案，并于2013年6月14日再次组织召开专家意见评审会，会后进一步完善了草案的结构与内容。2013年8月，草案通过WG5工作组成员单位投票，编制组根据成员单位提出的意见完善了草案，形成征求意见稿。课题组先后召开了大小会议20余次，组织专家评审二次，对文稿进行反复审议并多次易稿，现正式提出“草案”及相关文件。6标准主要内容6.1政府门户网站系统逻辑架构政府门户网站是指政府机构利用互联网发布政务信息、提供在线服务、开展互动交流等而建立的网站，包括为用户提供展示和交互功能的页面及生成和处理页面的应用程序。政府门户网站系统是指政府门户网站及支撑其运行的物理环境、网络环境、服务器操作系统、数据库系统等。政府门户网站系统主要面向互联网履行社会管理、公共服务职能，提供信息发布、在线服务、互动交流等服务，可根据功能需求通过指定的方式与OA系统、审批系统等政府部门其它业务系统交换数据。政府门户网站系统中，公众、企业、团体等用户通过互联网访问网站提供的信息发布、在线服务、互动交流等服务，管理用户使用专用的管理终端从本地网络或通过在互联网上建立可信的VPN安全通道等方式访问并实现对网站内容、系统服务的管理及各类设备的维护。网站数据处理系统用于实现网站系统相关数据的存储及管理。典型的政府门户网站系统逻辑结构如图1所示。图1政府门户网站系统逻辑结构示意图政府门户网站系统为互联网用户提供交互服务，系统与互联网之间存在互联网边界；与部署在本地网络不同安全域中的其他业务系统及终端进行交互，系统与本地网络之间存在安全域边界；与本地网络中的其他业务系统交互特定数据，形成业务边界。6.2政府门户网站系统组成结构政府门户网站系统由门户网站及支撑其运行的物理环境、网络环境、服务器操作系统、数据库系统等构成，并与OA等其它业务系统之间存在数据交互的接口。系统组成结构可分为物理层、网络层、主机层、数据层和网站层五个层面，如图2所示。图2政府门户网站系统组成结构图6.3政府门户网站系统安全保障目标政府门户网站系统由于其代表政府的特殊属性，与普通网站相比更容易遭到来自互联网的攻击。攻击者为了破坏政府形象、干扰政府工作秩序或窃取政府门户网站的敏感信息，采用Web应用攻击、拒绝服务攻击、暴力破解攻击、上传恶意木马等方式，实现篡改网页、中断服务、窃取信息、控制网站等攻击目标。因此，政府门户网站系统的安全保障应重点实现以下目标：提升网页防篡改及监测、恢复能力，降低网页被篡改的安全风险；提高入侵防范能力及系统可用性，降低网站服务中断的安全风险；强化数据安全管控措施，降低网站敏感信息泄露的安全风险；构建纵深防御体系，降低网站被恶意控制的安全风险。6.4政府门户网站系统安全技术保障措施类别为了实现上述安全保障目标，保障政府门户网站系统安全的技术措施贯穿于政府门户网站系统的五个层面中，在物理层、网络层和主机层上，网站系统与一般的信息系统在技术内容方面基本一致，其中主机层包括网站服务器的操作系统和数据库；但在数据层和网站层上，网站系统可能与OA系统等业务系统进行数据共享和交互，且网站具有信息发布、在线服务、互动交流等特定功能。表1给出了各层面上的主要安全技术措施类别。各类别下的具体安全技术措施详见第6章和第7章。表1政府门户网站系统组成结构层面与安全技术措施类别对照表组成层面主要安全技术措施类别网站层Web应用安全运行支撑攻击防范安全监控应急响应数据层内容发布及数据安全主机层服务器安全管理终端安全网络层边界安全、域名安全物理层物理安全6.5政府门户网站系统安全技术措施级别选择本指南中的政府门户网站系统安全技术措施按其保障强度可划分为基本安全技术措施、增强安全技术措施两个等级。各单位可依据政府门户网站系统的行政级别、访问量、注册用户数和业务重要度选择相应强度级别的安全保障措施，见REF_Ref280362835\h表2。其中，满足任意一条级别选择指标的政府门户网站系统均宜选择增强安全技术措施集。对于安全需求更高的政府门户网站系统，在实施增强措施的基础上，可参考附录A中的高级安全技术措施进一步加强防护。在本指南的安全技术措施描述中的粗体字表示较低等级安全技术措施中未出现或较高等级安全技术措施中加强的内容。表2政府门户网站系统安全技术措施级别选择方法级别选择因素级别选择指标适用的安全技术措施级别行政级别部委网站或省级网站是增强安全技术措施集否基本安全技术措施集访问量有效日均访问次数≥20万PV是增强安全技术措施集否基本安全技术措施集注册用户数累计注册用户总数≥50万是增强安全技术措施集否基本安全技术措施集业务重要度在线办事程度较高且网站受到破坏后，会对社会秩序和公共利益造成严重损害或者对国家安全造成损害；或网站等级保护安全级别为三级以上(含三级)是增强安全技术措施集否基本安全技术措施集注：有效日均访问次数应避免重复统计同一访问源在短时间内进行的多次访问。6.6安全技术措施本标准提出了政府门户网站的安全技术防护体系建设指南，分基本级和增强级提出了安全技术措施，包括运行支撑、物理安全、边界安全、域名安全、主机安全、终端安全、应用安全、内容安全、数据安全、攻击防范、安全监控及应急响应，如图3所示。图3本指南技术框架图6.7基本级及增强级技术措施的区别指南中基本级及增强级技术措施的区别如下表所示：类项一般级增强级运行支撑网站部署不同网站部署在不同的物理或虚拟服务器上，网站应用系统和数据库应分开部署除一般级要求外，还要求数据库服务器单独部署而不应与其他应用的数据库系统部署在同一主机上资源保障互联网出口带宽应不低于2Mbps，并酌情调整互联网出口带宽应不低于5Mbps，并酌情调整为主要设备提供设备冗余为互联网接入链路和主要设备提供冗余无负载均衡要求实现多台主要设备及多条互联网接入链路之间的负载均衡部署UPS等供电措施提供临时备用电力双路市电供电，并提供UPS、备用发电机等临时备用电力物理安全物理环境控制物理环境访问控制、机房场地防火、防水等方面应符合相关国家标准要求除一般级要求外，机房场地在电磁屏蔽方面也应符合相关国家标准要求边界安全网络边界采取配置访问控制策略、限制管理方式、地址转换等措施实现网络边界防护除一般级要求外，还应采取终止超时会话、地址绑定、管理员身份鉴别方式加强等措施服务器安全系统定制无要求根据需求对操作系统和数据库进行裁剪和安全加固系统配置设置用户名/口令身份鉴别机制，并限制口令长度及复杂度口令强度要求高于一般级设置必要的访问控制，开启业务所需最少服务及端口除一般级要求外，要求在不同用户间形成相互制约关系针对重要事件提供安全审计功能，并进行必要访问控制除一般级要求外，要求设立安全审计员，日志保存180天系统更新及时、安全地实行系统补丁更新和版本升级，定期漏洞扫描除一般级要求外，要求利用升级服务器统一实现更新安全审计审计记录应独立保存，保存时间不少于90天审计记录应保存于专用的日志服务器上，保存时间不宜少于180天管理终端安全接入控制无接入控制策略要求对接入管理终端进行身份认证，实施地址绑定及安全检查控制管理终端的登录IP及非授权外联除一般级要求外，禁止管理终端通过无线方式等连接外部系统配置配置操作系统的身份鉴别及基本访问控制措施除一般级要求外，口令长度要求更高系统更新及时、安全地实行系统补丁更新和版本升级，定期漏洞扫描除一般级要求外，要求利用升级服务器统一实现更新Web应用安全安全功能设计提供用户名/口令身份鉴别、访问控制及安全审计功能身份鉴别及安全审计功能要求高于一般级域名安全域名系统安全采取相应技术保障域名系统的运行安全域名服务冗余、域名信息传输加密等方面要求高于一般级域名系统安全监控无要求对域名解析正确性等方面进行监控内容安全与数据安全内容过滤无要求可提供技术手段辅助进行网站发布内容的过滤抗抵赖无要求要求具有基于电子签章等技术的抗抵赖功能备份恢复针对应用程序、系统数据、系统配置等进行定期备份和恢复除一般级要求外，要求对关键业务数据提供异地备份功能安全监控与应急响应网站挂马监控利用木马监控系统或第三方安全服务，能及时发现网站挂马事件并迅速处理。要求对网站挂马情况进行实时监测和处置。网站内容篡改监控利用网页防篡改系统、人工方式或第三方安全服务，能及时发现网站篡改事件并迅速处理。要求对网站内容进行实时监测和处置。应急响应根据自身特点，参考相关资料，制订应急响应计划。每2年至少开展各类安全事件的应急演练一次.每年至少开展各类安全事件的应急演练一次。7实施本标准的措施建议本标准为首次制定，在实施过程中，应根据实际情况进行修订完善，以适应信息技术服务业发展需求和标准修订工作要求。1）标准示范建议从中央部委、省市和区县等多个层次进行标准的试点示范，并结合实际应用情况进行标准的修