文章作者:
杨冰之 北京国脉互联信息顾问有限公司董事长、国脉互联政府网站评测研究中心主任
郑爱军 北京国脉互联信息顾问有限公司总经理、首席规划师,国脉网站规划与评测研究中心副主任
一些政府网站建设受技术力量、资金投入等诸多因素的影响,往往存在信息安全管理滞后于网站建设的情况。为确保政府网站内容的安全性和完整性,可以从管理、制度、技术各层面建立了网站安全体系,确保网站安全。
一是确保“上网不涉密,涉密不上网”。上网信息的采集、发布和更新,严格执行保密规定,妥善处理公开与保密的关系。
二是完善规章制度,制定信息发布审核登记制度、网站备份制度、账号使用登记和操作权限管理制度等多项制度,以加强人员管理,堵塞内部漏洞,达到消除安全隐患的目的。
三是从技术层面防范病毒侵扰和黑客攻击。主要从物理层、数据链路层、网络层、应用层、系统层等五方面进行了安全设计。对中心机房进行了标准化改造,安装了硬件防火墙、网络杀毒软件、网络入侵检测,并针对信息发布平台的远程管理,在全疆政府系统首次采用了动态口令系统,通过与发布系统的结合,很好地解决了远程管理用户登录的安全性问题。
一、 网站安全的主要领域
1.物理安全
a)政府网站机房应参照《电子计算机场地通用规范》(GB/T2887-2000)和《计算机场地安全要求》(GB/T9361-1988)的技术要求进行建设;
b)政府网站应配备专用电源或电源保护设备,保证其正常运行;
c)政府网站可采用VLAN、VPN以及链路冗余等技术手段,提高网站访问链路的安全性和可靠性。
2.网络安全
d)政府网站应采用防火墙技术,通过IP包过滤、应用代理、地址转换、访问控制等手段,提高网站安全水平;
e)政府网站应采用入侵检测技术,通过实时检测、入侵阻断、审计取证等手段,提高网站防御能力。
3.系统安全
a)政府网站应制定完善的系统安全策略,对不使用的服务应及时关闭,对不同级别的用户应设置相应的安全访问权限;
b)政府网站应采用防病毒技术,通过实时扫描、及时查杀、阻止扩散等手段,提高网站操作系统的病毒防护能力;
c)政府网站应采用身份认证、访问控制、应用审计等技术手段,提高网站应用系统的安全;
d)政府网站应采用漏洞扫描技术,通过漏洞侦测、安全评估、系统加固等手段,提高网站操作系统和应用系统的安全水平;
e)政府网站应对操作系统、数据库系统、应用系统的运行情况进行记录(Log),并定期保存以备核查。
4.数据安全
a)政府网站应采用数据加密、内容防篡改等技术,防止网站敏感数据被非法访问、修改和破坏;
b)政府网站应采用数据备份技术,提高网站灾难恢复能力和水平;
c)政府网站对数据维护时,应对采取的措施、维护的内容、数据前后变更的情况等进行详细记录。
5.口令安全
a)政府网站必须使用口令对用户的身份进行验证和确认;
b)政府网站使用的口令应符合复杂性要求;
c)政府网站使用的口令应定期更换,口令的最长使用时间不能超过半年;
d)政府网站在储存和传输口令时应进行加密,以防止口令被非法修改或泄露。