2023年信息安全整改方案.doc

信息平安整改方案 信息平安等级保护建设整改方案 随着互联网应用和门户网站系统的不断开展和完善，网站系统面临的平安威胁和风险也备受关注。网站系统一方面要加强落实国家信息平安等级保护制度要求的各项保障措施，另一方面要加强系统自身抵抗威胁的能力，同时结合国办2023年40号文件关于进一步加强政府网站管理工作的通知的相关要求，网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施，综合提升网站系统的平安保障能力。 根据国家等级保护有关要求，省级政府门户网站系统的信息平安保护等级应定为三级，建立符合三级等级保护相关要求的平安防护措施，能够形成在同一平安策略的指导下，网站系统应建立综合的控制措施，形成防护、检测、响应和恢复的保障体系。通过采用信息平安风险分析和等级保护差距分析，形成网站系统的平安需求，从而建立有针对性的平安保障体系框架和平安防护措施。 系统平安需求 根据网站系统的应用情况，针对网站系统的平安需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析，具体需求如下： 1、业务流程平安需求 针对网站类业务重点需要关注发布信息的准确性，采集分析和汇总信息的可控性，以及效劳平台的可用性，系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击，应加强对于这些威胁的对抗和防护能力，通过严格控制业务流程中的各个环节，包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求，同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件平安需求 系统软件架构一般包括接入层、展现层、应用层、根底应用支撑层、信息资源层和根底支撑运行环境等几个层面，由于几个层面涉及的主要功能和软件实现存在一定的差异性，因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成，针对业务系统此层面是一个访问入口，从平安需求方面应当减少入口对于系统的攻击可能性，对于指定的接入和入口可以通过建立可信机制进行保护，对于非指定的接口可以通过控制权限进行防护；展现层是系统内容的展示区域，要确保系统展示信息的完整性，降低被篡改的风险；应用层是对数据信息进行处理的核心局部，应加强系统自身的平安性和软件编码的平安性，减少系统自身的脆弱性；根底应用支撑层主要包括通用组件、用户管理、目录效劳和交换组件等通用应用效劳，该层次重点是确保系统组件自身的平安性，同时要加强与应用之间接口的平安性；信息资源层是由业务数据库和平台数据库共同构成，此层次重点的平安在于数据库平安；根底支撑运行环境层，支撑应用系统运行的操作系统、网络根底设施和平安防护等共同构筑成根底支撑运行环境，该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁，应加强资产的综合管理。 3、数据平安需求 系统的数据主要包括互联网读取、录入、管理、审核的数据信息，以及前台的交互信息和后台的数据交换信息，针对这些信息各个环节中的访问关系不同，信息的敏感和重要程度不同，可能面临威胁也存在一定的差异性，其中读取过程要结合信息的敏感和重要程度进行访问控制，降低越权、滥用等威胁的发生；录入关注信息自身的完整性和合法性，注意防止恶意代码和木马对系统造成的攻击；管理和审核涉及信息系统的关键性信息，所以根本属于系统中的敏感信息或关键流程管理，加强人员的平安管理；交互和数据交换要通过系统自身的平安防护机制，抵抗网络攻击和加强抗抵赖机制。 4、网络和物理平安需求 网络层面重点在于设计合理的网络架构，部署冗余的网络设备，形成可以建立不同平安策略的平安域，从而确保网站系统能够正常稳定运行。 物理平安主要涉及的方面包括环境平安（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。具体包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的需求，应确保机房的建设符合国家相关要求。 5、it资产平安需求 it资产重点关注资产本身的漏洞风险，同时根据资产类型的不同，可以区分成硬件资产、软件资产，其中硬件资产可能面临的关键威胁是软硬件故障、物理攻击等；软件资产可能面临的威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖。 6、综合平安需求 通过对各个方面综合的平安风险和需求分析，网站系统相关的业务、软件、数据、网络和相关it资产，由于其应用类型、环境等因素导致主要威胁分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面，由于其威胁发生的可能性较高，威胁利用后影响较大，导致其平安风险较高，因此应形成对抗这些威胁的必要的平安措施，加强对系统自身的平安性。同时结合信息平安等级保护根本要求的相关技术和管理控制点，进一步完善物理平安、网络平安、主机平安、应用平安和数据平安的相关控制措施，并要能够落实组织、制度、人员、建设和运维相关的管理要求。 系统平安方案设计 根据对网站系统平安需求的分析，对于网站系统的平安防护主要从以下两个方面进行设计，一方面是系统的平安保护对象，合理分析系统的平安计算环境、区域边界和通信网络，形成清晰的保护框架；另一方面还是要建立综合的平安保障体系框架，形成对网站系统综合的控制措施架构，同时加强网站系统可能面临威胁的各项防护机制。 1、平安保护对象 平安计算环境：重点落实等级保护根本要求的主机、应用、数据局部的平安控制项，结合平安设计技术要求中的主要 防护内容包括用户身份鉴别、主机和应用访问控制、系统平安审计、用户数据完整性保护、用户数据保密性保护、主机入侵、防病毒等措施； 平安区域边界：重点落实等级保护根本要求的网络局部的平安控制项，结合平安设计技术要求中的主要防护内容包括边界访问控制、网络平安审计和完整性保护等； 平安通信网络。重点落实等级保护根本要求的网络和数据局部的平安控制项，结合平安设计技术要求中的主要防护内容包括通信网络平安审计、通信网络数据传输保密性保护、数据传输完整性保护和可信接入保护。 2、平安保障框架 结合网站系同自身的平安需求，应加强对于网站系统的平安风险评估，同时建立配套的平安管理体系和平安技术体系，其中平安管理体系包括平安策略、平安组织和平安运作的相关控制管理；平安技术体系结合等级保护的物理、网络、主机、应用和数据平安，进一步加强系统的软件架构平安、业务流程平安和信息访问平安的控制，确保系统自身的防病毒、防篡改、方攻击能力的提升。 通过加强对互联网边界的平安防护机制落实，建立与网站系统相配套的互联网效劳区、业务效劳区、数据库区、备份区和平安管理区的平安防护措施，建立网站系统的综合防护措施。 县政府门户网站加强网络与信息平安整改工作措施 为深入贯彻落实市网络与信息平安协调小组办公室关于加强网络与信息平安整改工作的通知（东信安办发（2023）4号）文件精神，保障县政府门户网站平安运行，针对我县政府网站存在的问题，我们采取软硬件升级、漏洞修补、加强管理等措施，从三个方面做好了政府网站网络与信息平安工作。 一、对网站漏洞及时进行修补完善 接到省电子产品监督检验所和省网络与信息平安应急支援中心对我县政府网站做的网站平安检测报告后，我们详细研究分析了报告内容，及时联系了网站开发公司，对网站存在的sql注入高危漏洞进行了修补完善，并在网站效劳器上加装平安监控软件，使我县政府网站减少了可能存在的漏洞风险，降低了数据库被注入修改的可能性。 二、加强对硬件平安防护设备的升级 为确保网站平安运行，2023年，我们新上了平安网关（sg）和web应用防护系统（waf），平安网关采用先进的多核cpu硬件构架，同时集成了防火墙、vpn、抗拒绝效劳、流量管理、入侵检测及防护、上网行为管理、内容过滤等多种功能模块，实现了立体化、全方位的保护网络平安；绿盟web应用防护系统可以对数据盗窃、网页篡改、网站挂马、虚假信息传播、针对客户端的攻击等行为，提供完善的防护措施。同时，针对web应用漏洞数量多、变化快、个性化的特点，我们还定期对web应用防护系统进行软件升级，安装了补丁程序，保护了效劳器上的网站平安。自安装硬件平安防护设备以来，网站没出现任何平安性问题。 三、继续加强对政府网站的平安管理 为加强政府网站信息发布的平安，我们在添加信息时严格执行"三级审核制"和"登记备案制"，在网站上发布的信息首先由信息审核员审核签字后报科室主任，科室主任审核签字后报分管领导，由分管领导审核签字后才可将信息发布到网站上去，确保了网站发布信息的准确性和平安性。同时，为保证网站数据平安，确保网站在遭受严重攻击或者数据库受损后能够第一时间恢复数据，我们对网站数据备份做了两套方案，一是设置数据库自动备份，确保每天都有最新的数据库备份；二是安排专人对网站代码和数据库定期进行异地备份，实现了数据备份工作的双重保险。 内容总结 （1）信息平安整改方案 信息平安等级保护建设整改方案 随着互联网应用和门户网站系统的不断开展和完善，网站系统面临的平安威胁和风险也备受关注 （2）信息资源层是由业务数据库和平台数据库共同构成，此层次重点的平安在于数据库平安 （3）二是安排专人对网站代码和数据库定期进行异地备份，实现了数据备份工作的双重保险