信息安全整改方案2.docx

《信息安全整改方案2.docx》由会员分享，可在线阅读，更多相关《信息安全整改方案2.docx（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 信息安全整改方案 网站信息安全等级爱护建立整改方案 随着互联网应用和门户网站系统的不断进展和完善，网站系统面临的安全威逼和风险也备受关注。网站系统一方面要加强落实国家信息安全等级爱护制度要求的各项保障措施，另一方面要加强系统自身反抗威逼的力量，同时结合国办2023年40号文件关于进一步加强政府网站治理工作的通知的相关要求，网站系统要切实进展防攻击、防篡改、防病毒各项防护措施的部署和实施，综合提升网站系统的安全保障力量。 依据国家等级爱护有关要求，省级政府门户网站系统的信息安全爱护等级应定为三级，建立符合三级等级爱护相关要求的安全防护措施，能够形成在同一安全策略的指导下，网站系统应建立综合的掌

2、握措施，形成防护、检测、响应和恢复的保障体系。通过采纳信息安全风险分析和等级爱护差距分析，形成网站系统的安全需求，从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 依据网站系统的应用状况，针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进展综合分析，详细需求如下： 1、业务流程安全需求 针对网站类业务重点需要关注公布信息的精确性，采集分析和汇总信息的可控性，以及效劳平台的可用性，系统可能面临的威逼包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击，应加强对于这些威逼的对抗和防护力量，通过严格掌握业务流程中的各个环节，包括信息采集、分析、汇总、公布等过程

3、中的人员访问身份、访问掌握、审批审核等需求，同时要加强系统自身的完整性爱护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、呈现层、应用层、根底应用支撑层、信息资源层和根底支撑运行环境等几个层面，由于几个层面涉及的主要功能和软件实现存在肯定的差异性，因此要通过分析不同层次可能面临的威逼。接入层是目标用户和接入媒介共同构建而成，针对业务系统此层面是一个访问入口，从安全需求方面应当削减入口对于系统的攻击可能性，对于指定的接入和入口可以通过建立可信机制进展爱护，对于非指定的接口可以通过掌握权限进展防护；呈现层是系统内容的展现区域，要确保系统展现信息的完整性，降低被篡改的风险；应

4、用层是对数据信息进展处理的核心局部，应加强系统自身的安全性和软件编码的安全性，削减系统自身的脆弱性；根底应用支撑层主要包括通用组件、用户治理、名目效劳和交换组件等通用应用效劳，该层次重点是确保系统组件自身的安全性，同时要加强与应用之间接口的安全性；信息资源层是由业务数据库和平台数据库共同构成，此层次重点的安全在于数据库安全；根底支撑运行环境层，支撑应用系统运行的操作系统、网络根底设施和安全防护等共同构筑成根底支撑运行环境，该层次面临的主要威逼包括物理攻击、网络攻击、软硬件故障、治理不到位、恶意代码等多类型威逼，应加强资产的综合治理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、治

5、理、审核的数据信息，以及前台的交互信息和后台的数据交换信息，针对这些信息各个环节中的访问关系不同，信息的敏感和重要程度不同，可能面临威逼也存在肯定的差异性，其中读取过程要结合信息的敏感和重要程度进展访问掌握，降低越权、滥用等威逼的发生；录入关注信息自身的完整性和合法性，留意防止恶意代码和木马对系统造成的攻击；治理和审核涉及信息系统的关键性信息，所以根本属于系统中的敏感信息或关键流程治理，加强人员的安全治理；交互和数据交换要通过系统自身的安全防护机制，反抗网络攻击和加强抗抵赖机制。 4、网络和物理安全需求 网络层面重点在于设计合理的网络架构，部署冗余的网络设备，形成可以建立不同安全策略的安全域，

6、从而确保网站系统能够正常稳定运行。 物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。详细包括：物理位置的选择、物理访问掌握、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度掌握、电力供给和电磁防护等方面的需求，应确保机房的建立符合国家相关要求。 5、IT资产安全需求 IT资产重点关注资产本身的漏洞风险，同时依据资产类型的不同，可以区分成硬件资产、软件资产，其中硬件资产可能面临的关键威逼是软硬件故障、物理攻击等；软件资产可能面临的威逼包括篡改、泄密、网络攻击、恶意代码和抗抵赖。 6、综合安全需求 通过对各个方面综合的安全风险和需求分析，网站系统相

7、关的业务、软件、数据、网络和相关IT资产，由于其应用类型、环境等因素导致主要威逼分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面，由于其威逼发生的可能性较高，威逼利用后影响较大，导致其安全风险较高，因此应形成对抗这些威逼的必要的安全措施，加强对系统自身的安全性。同时结合信息安全等级爱护根本要求的相关技术和治理掌握点，进一步完善物理安全、网络安全、主机安全、应用安全和数据安全的相关掌握措施，并要能够落实组织、制度、人员、建立和运维相关的治理要求。 网站系统安全方案设计 依据对网站系统安全需求的分析，对于网站系统的安全防护主要从以下两个方面进展设计，一方面是系统的安全爱护对象

8、，合理分析系统的”安全计算环境、区域边界和通信网络，形成清楚的爱护框架；另一方面还是要建立综合的安全保障体系框架，形成对网站系统综合的掌握措施架构，同时加强网站系统可能面临威逼的各项防护机制。 1、安全爱护对象 安全计算环境：重点落实等级爱护根本要求的主机、应用、数据局部的安全掌握项，结合安全设计技术要求中的主要防护内容包括用户身份鉴别、主机和应用访问掌握、系统安全审计、用户数据完整性爱护、用户数据保密性爱护、主机入侵、防病毒等措施； 安全区域边界：重点落实等级爱护根本要求的网络局部的安全掌握项，结合安全设计技术要求中的主要防护内容包括边界访问掌握、网络安全审计和完整性爱护等； 安全通信网络：

9、重点落实等级爱护根本要求的网络和数据局部的安全掌握项，结合安全设计技术要求中的主要防护内容包括通信网络安全审计、通信网络数据传输保密性爱护、数据传输完整性爱护和可信接入爱护。 2、安全保障框架 结合网站系同自身的安全需求，应加强对于网站系统的安全风险评估，同时建立配套的安全治理体系和安全技术体系，其中安全治理体系包括安全策略、安全组织和安全运作的相关掌握治理；安全技术体系结合等级爱护的物理、网络、主机、应用和数据安全，进一步加强系统的软件架构安全、业务流程安全和信息访问安全的掌握，确保系统自身的防病毒、防篡改、方攻击力量的提升。 通过加强对互联网边界的安全防护机制落实，建立与网站系统相配套的互

10、联网效劳区、业务效劳区、数据库区、备份区和安全治理区的安全防护措施，建立网站系统的综合防护措施。 县政府门户网站加强网络与信息安全整改工作措施 为深入贯彻落实市网络与信息安全协调小组办公室关于加强网络与信息安全整改工作的通知（东信安办发20234号）文件精神，保障县政府门户网站安全运行，针对我县政府网站存在的问题，我们实行软硬件升级、漏洞修补、加强治理等措施，从三个方面做好了政府网站网络与信息安全工作。 一、对网站漏洞准时进展修补完善 接到省电子产品监视检验所和省网络与信息安全应急支援中心对我县政府网站做的网站安全检测报告后，我们具体讨论分析了报告内容，准时联系了网站开发公司，对网站存在的SQ

11、L注入高危漏洞进展了修补完善，并在网站效劳器上加装安全监控软件，使我县政府网站削减了可能存在的漏洞风险，降低了数据库被注入修改的可能性。 二、加强对硬件安全防护设备的升级 为确保网站安全运行，2023年，我们新上了安全网关（SG）和WEB应用防护系统（WAF），安全网关采纳先进的多核CPU硬件构架，同时集成了防火墙、VPN、抗拒绝效劳、流量治理、入侵检测及防护、上网行为治理、内容过滤等多种功能模块，实现了立体化、全方位的爱护网络安全；绿盟WEB应用防护系统可以对数据盗窃、网页篡改、网站挂马、虚假信息传播、针对客户端的攻击等行为，供应完善的防护措施。同时，针对WEB应用漏洞数量多、变化快、共性化

12、的特点，我们还定期对WEB应用防护系统进展软件升级，安装了补丁程序，爱护了效劳器上的网站安全。自安装硬件安全防护设备以来，网站没消失任何安全性问题。 三、连续加强对政府网站的安全治理 为加强政府网站信息公布的安全，我们在添加信息时严格执行“三级审核制“和“登记备案制“,在网站上公布的信息首先由信息审核员审核签字后报科室主任，科室主任审核签字后报分管领导，由分管领导审核签字后才可将信息公布到网站上去，确保了网站公布信息的精确性和安全性。同时，为保证网站数据安全，确保网站在患病严峻攻击或者数据库受损后能够第一时间恢复数据，我们对网站数据备份做了两套方案，一是设置数据库自动备份，确保每天都有最新的数据库备份；二是安排专人对网站代码和数据库定期进展异地备份，实现了数据备份工作的双重保险。