參考范圍：內部參考 文檔編號： HTSEC-XXAQ-2009-0105 中軟華泰 政務網站 系統 安全等級保護 技術 方案設計 Version 1.0 北京 中軟華泰信息技術有限責任 公司 2009年 1月 中軟華泰政務網站系統安全等級保護技術方案設計 第 2 頁 共 76 頁 文檔控制 擬 制 : 審 核 : 批 準 : 標準化 : 讀 者： 版本控制 版本號 日期 修改人 說明 V1.0 V1.1 V1.2 V1.3 V1.4 分發控制 編號 讀者 文檔權限 與文檔的主要關系 中軟華泰政務網站系統安全等級保護技術方案設計 第 3 頁 共 76 頁 目 錄 1 前言 . 5 1.1 方案 設計目的 . 5 1.2 方案 設計原則 . 6 1.3 方案 參考標準 . 8 2 信息系統運行環境分析 . 10 2.1 應用系統 描述 . 10 2.1.1 政務網站系統 . 10 2.1.2 政務辦公系統 . 12 2.1.3 訪問用戶分類 . 12 2.2 應用環境分析 . 14 2.2.1 主體角色定義 . 14 2.2.2 客體對象定義 . 16 2.2.3 業務流程分析 . 17 2.3 網絡結構描述 . 18 2.3.1 政務網站系統 . 19 2.3.2 政務辦公系統 . 21 3 信息系統安全需求分析 . 23 3.1 系統定級說明 . 23 3.2 安全風險 分析 . 24 3.2.1 政務網站系統 . 24 3.2.2 政務辦公系統 . 26 3.3 安全需求分析 . 27 3.3.1 政務網站系統安全需求 . 27 3.3.2 政務辦公系統 . 32 3.3.3 系統隔離與信息交換 . 32 3.3.4 集中管理安全需求 . 33 4 信息系統等保體系概述 . 35 4.1 保護框架概述 . 35 中軟華泰政務網站系統安全等級保護技術方案設計 第 4 頁 共 76 頁 4.2 確定區域邊界 . 37 5 信息系統等保建設方案 . 39 5.1 政務網站系統等級保護建設方案 . 39 5.1.1 管理中心設計 . 41 5.1.2 計算環境安全建設 . 48 5.1.3 安全區域邊界子系統安全建設 . 54 5.1.4 安全通信網絡子系統安全建設 . 55 5.2 政務辦公系統等級保護建設方案 . 56 5.2.1 管理中心設計 . 58 5.2.2 計算環境安全建設 . 63 5.2.3 安全區域邊界子系統安全建設 . 71 5.2.4 安全通信網絡子系統安全建設 . 71 6 信息系統等保方案與相關標準的對照 . 72 中軟華泰政務網站系統安全等級保護技術方案設計 第 5 頁 共 76 頁 1 前言 1.1 方案 設計 目的 社會發展的不同階段有不同特質的信息安全問題，在社會發展要求網絡化信息系統互連互通的信息化時代，信息安全問題的實質直接表現為國家主權、政治、經濟、國防、社會安全和公民合法權益保障。 因 此，國家高度重視信息安全保護工作。經黨中央和國務院批準，國家信息化領導小組決定加強信息安全保障工作，實行信息安全等級保護，重點保護基礎信息網絡和重要信息系統安全，要抓緊安全等 級保護制度建設。這一重大決定，明確落實了中華人民共和國計算機信息系統安全保護條例中關于實行信息安全等級保護制度的有關規定，提出了從整體上根本上解決國家信息安全問題的辦法 ,進一步確定了信息安全發展主線、中心任務，提出了總要求。對信息系統實行等級保護是國家法定制度和基本國策，是開展信息安全保護工作的有效辦法，是信息安全保護工作的發展方向。實行信息安全等級保護的決定具有重大的現實和戰略意義。 同時，也為國內的信息安全產業提出了巨大的挑戰和機遇。 北京中軟華泰信息技術有限責任公司成立于 2000 年，是專業從事信息安 全體系研究，信息安全產品研制、生產、銷售企業。公司一直把操作系統安全和信息應用系統安全作為產業方向。近年來，先后參與國家發改委、科技部、北京市科委等重大產業發展研究項目，并成為國家與微軟原代碼級合作的技術承擔單位。公司堅持產、學、研相結合的發展方向，與北京交通大學、北京工業大學共同成立研究生培養基地，在為國家輸送大批信息安全專業人才的同時也使公司具備了堅實的技術儲備。 2008 年初，公安部為制訂信息安全信息系統等級保護設計基本要求的國家標準，進行等級安全應用技術平臺模擬系統搭建工作，公司在眾多競爭者中脫穎 而出，承接了目前最高等級四級系統的建設任務，并 已 于2008 年 11 月底完成項目驗收，從而成為等級保護國家標準 863 課題研究參與單位，目前正在配合國家主管單位參與國家重大支持項目的申請工作。公司今后將致力于等級保護的方案和產品提供。不斷推出符合等級保護標準的安全產品，竭中軟華泰政務網站系統安全等級保護技術方案設計 第 6 頁 共 76 頁 盡全力為國家的信息安全事業做出貢獻。 本方案 以一個典型的省級政府部門電子政務 網站 系統為應用案例，充分 分析電子政務 網站 系統 的安全建設需求，結合國家等級保護的建設規范和技術要求 ，設計了符合其相應的安全等級防護要求的技術方案， 并給出了詳細的建設方案。 1.2 方案 設計原則 等級保護是國家信息安全建設的重要政策， 其 核心是對信息系統分等級、按標準進行建設、管理和監督。 對于 中軟華泰 公司信息安全建設，應當以適度風險為核心，以重點保護為原則，從業務的角度出發，重點保護重要的業務、研發類信息系統，在方案設計中應當遵循以下的原則： 適度安全原則 任何信息系統都不能做到絕對的安全，在 進行 中軟華泰 信息安全等級保護規劃中 ，要在安全需求、安全風險和安全成本之間進行平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運行的復雜性。 適度安全也是等級保護建設的初衷，因此在進行等級保護設 計的過程中，一方面要嚴格遵循基本要求，從網絡、主機、應用、數據等層面加強防護措施，保障信息系統的機密性、完整性和可用性，另外也要綜合成本的角度，針對 中軟華泰 公司信息系統的實際風險，提出對應的保護強度，并按照保護強度進行安全防護系統的設計和建設，從而有效控制成本。 重點保護原則 根據信息系統的重要程度、業務特點，通過劃分不同安全 保護 等級的信息 系統 ，實現不同強度的 安全保護，集中資源優先保護涉及核心業務或關鍵信息資產的信息系統；本方案在設計中將重點保護涉及生產、研發、銷售等關鍵業務的信息系統，對其他信息系統則降低 保護等級進行一般性設計和防護； 技術管理并重原則 信息安全問題從來就不是單純的技術 問題，把防范黑客入侵和病毒感染理解為信息安全問題的全部是片面的， 僅僅通過部署安全產品很難完全覆蓋 所有的 信中軟華泰政務網站系統安全等級保護技術方案設計 第 7 頁 共 76 頁 息安全問題 ，因此必須要把技術措施和管理措施結合起來，更有效的保障 中軟華泰 信息系統的整體安全性，形成技術和管理兩個部分的建設方案 ； 分區分域建設原則 對信息系統進行安全保護的有效方法就是分區分域，由于信息系統中各個信息資產的重要性是不同的，并且訪問特點也不盡相同，因此需要把具有相似特點的信息資產集合起來，進行總體防護，從而可更 好地保障安全策略的有效性和一致性，比如把業務服務器集中起來單獨隔離，然后根據各業務部門的訪問需求進行隔離和訪問控制；另外分區分域還有助于對網絡系統進行集中管理，一旦其中某些安全區域內發生安全事件，可通過嚴格的邊界安全防護限制事件在整網蔓延； 標準 性 原則 中軟華泰 信息安全保護體系應當同時考慮與其他標準的符合性，在方案中的技術部分將參考 IATF 安全體系框架進行設計，在管理方面同時參考 27001 安全管理指南，使建成后的等級保護體系更具有廣泛的實用性； 動態調整原則 信息安全問題不是靜態的，它總是隨著 管理相關的組織 策略、組織架構、信息系統和操作流程的改變而改變 ，因此必須 要跟蹤信息系統的變化情況，調整安全保護措施 ； 標準性原則 信息安全建設是非常復雜的過程，在設計信息安全系統，進行安全體系規劃中單純依賴經驗，是無法對抗未知的威脅和攻擊，因此需要遵循相應的安全標準，從更全面的角度進行差異性分析，是本方案重點強調的設計原則； 成熟性原則 本方案設計采取的安全措施和產品，在技術上是成熟的，是被檢驗確實能夠解決安全問題并在很多項目中有成功應用的； 科學性原則 本方案的設計是建立在安全評估基礎上的，在威脅分析、弱點分析和風險分中軟華泰政務網站系統安全等級保護技術方案設計 第 8 頁 共 76 頁 析 方面，是建立在客觀評價的基礎上而展開分析的結果，因此方案設計的措施和策略一方面能夠符合國家等級保護的相關要求，另一方面也能夠很好地解決信息網絡中存在的安全問題，滿足特性需求。 1.3 方案 參考 標準 本方案根據國家提出的等級保護管理辦法和實施指南，針對 政務網站 系統的特點和安全建設需求，進行全面的安全保障規劃，設計中重點參考的政策和標準包括以下部分： 本方案重點參考以下的的政策和標準： 指導思想 中辦 200327 號文件（關于轉發國家信息化領導小組關于加強信息安全保障工作的意見的通知） 公通字 200466 號文件（關于印發信息安全等級保護工作的實施意見的通知） 公通字 200743 號文件（關于印發信息安全等級保護管理辦法的通知） 等級保護 GB 17859-1999 計算機信息系統安全保護等級劃分準則 GB/T aaaaa-xxxx 信息安全技術 信息系統安全等級保護實施指南 系統定級 GB/T aaaaa-xxxx 信息安全技術 信息系統安全保護等級定級指南 技術方面 GB/T aaaaa-xxxx 信息安全技術 信息系統等級保護安全設計技術要求 GB/T 20270-2006 信息安全 技術 網絡基礎安全技術要求 GB/T 20271-2006 信息安全技術 信息系統通用安全技術要求 GB/T 20272-2006 信息安全技術 操作系統安全技術要求 GB/T 20273-2006 信息安全技術 數據庫管理系統通用安全技術要求 GA/T671-2006 信息安全技術 終端計算機系統安全等級技術要求 GA/T 709-2007 信息安全技術 信息系統安全等級保護基本模型 中軟華泰政務網站系統安全等級保護技術方案設計 第 9 頁 共 76 頁 GB/T aaaaa-xxxx 信息安全技術 信息系統安全等級保護基本要求 管理方面 GB/T aaaaa-xxxx 信 息安全技術 信息系統安全等級保護基本要求 ISO/IEC 27001 信息系統安全管理體系標準 方案設計 信息安全技術 信息系統等級保護安全建設技術方案設計規范 中軟華泰政務網站系統安全等級保護技術方案設計 第 10 頁 共 76 頁 2 信息系統運行環境分析 2.1 應用系統 描述 本方案設計對象為常見的政務網站系統，通常此類系統包含前端和后端兩個部分，其中前端系統為政務網站系統，其作用是面向公眾開放，實現政務公開；后端主要為實際進行政務處理的電子政務系統 。政務 網站總體結構表示如下： 圖 2.1 政務網站體系結構示意圖 2.1.1 政務網站系統 政務網站系統面向互聯網開放，提供給公眾進行信息查詢 、政策查詢、新聞檢索等單向的信息服務，還提供給公眾進行信息上訴、網上實事辦理、網上申請提交等雙向的信息服務，另外，大多數政務網站還提供面向公務員的接口，使得公務員在出差或移動期間，能夠 通過政務網站的專項主題，處理一些簡單的政務信息，另外也可以進入公務員郵箱，查詢與公眾交互的郵件信息。 此外，政務網站系統，除了上述進行發布的的系統外，還包含了對主頁進行維護的終端設備，和對系統進行運行維護的終端設備，主頁維護終端在完成與主頁相關的修改，和編輯后，將完成的主頁通過專用發布系統發布出去，提供給公眾進行查詢。 典型政 務網站的例子有政府門戶網站、網上報稅、社保在線、網上辦事等政務門戶類網站信息， 典型 以信息發布為主的 政務網站如下圖表示： 中軟華泰政務網站系統安全等級保護技術方案設計 第 11 頁 共 76 頁 圖 2.1.1 以信息發布為主的 政務門戶網站示意圖 典型的以提供服務為主的政務門戶網站如下圖表示： 圖 2.1.1b 以提供服務為主的政務門戶網站示意圖 中軟華泰政務網站系統安全等級保護技術方案設計 第 12 頁 共 76 頁 2.1.2 政務辦公系統 政務網站在接到互聯網訪問用戶所提交的一些政務申請后，還需要將這些申請信息傳遞到政務辦公系統，使各個委辦局根據自己責權的范圍，對這些信息進行處理 ，處理完畢后將結果再反饋到政務網站系統，并通過政務網站將信息發布給申請方。 這部 分的信息系統我們統稱為“政務辦公系統”。 方案中描述的政務辦公系統，主要包括政府單位用以處理正常政務部分的信息網絡和系統。該系統往往運行在電子政務平臺中， 與互聯網采取必要的隔離措施以保障其安全性，并且相對于政務網站系統，辦公系統要求有更高的保密性和安全性，要求有完善的安全防護手段。 圖 2.1.2 典型政務辦公系統邏輯框架示意圖 2.1.3 訪問用戶分類 2.1.3.1 政務網站系統訪問用戶 通常針對政務網站的訪問用戶包含以下四類： 【 一般訪問用戶 】 也就是互聯網上的所有用戶，這些用戶可以訪問政務網站的公開信息，進行查閱； 【 政務申 請 用戶 】 中軟華泰政務網站系統安全等級保護技術方案設計 第 13 頁 共 76 頁 也屬于公眾的一類，但是需要通過政務門戶網站提交政務處理申請，由于這些申請數據大都牽扯到一些個人敏感信息（比如通過網上報稅系統提交的報稅申請，通過金宏門戶提交的項目審批申請，通過政務采購門戶網站提交的報價單等信息），因此需要對訪問信息進行保護，避免不必要的信息泄露或信息篡改； 【 公務員 】 實際上屬于一種特殊類型的政務訪問用戶， 主要訪問網站系統的 公務員郵箱 ，對公眾發送的投訴信息進行處理；此外，公務員在移動辦公的過程中，通過訪問網站系統的主頁專用頁面，進行 相關的政務處理； 【網頁維護人員】 從政務內網得 到可發布的政策、標準、新聞等內容，然后利用網站系統內部的維護終端，編輯成網頁的形式，在網站系統上進行發布，提供給公眾進行查詢。 2.1.3.2 政務 辦公 系統訪問用戶 針對政務辦公系統， 其 主要的訪問用戶則 包含了 以下 三 個類別 【 一般工作人員 】 其主要工作是將那些通過手動方式提交的政務辦公申請進行錄入，并保障錄入信息的完整性 ； 【 審 核 人員 】 就是將那些通過政務網站自動傳遞過來的信息，以及一般工作人員錄入的申請，根據申請內容，對申請材料進行簽批和辦理，對于比較重要的文件，還需要傳遞給領導進行最終審閱； 【 領導 】 對一些重要申請的 內容和簽批結果進行最終審批，對于跨職能部門的申請，還需要轉發給相關單位進行處理。 除了上述的對系統的訪問用戶以外，政務網站系統和政務辦公系統還包含了系統運行維護管理人員，其中政務網站系統有網頁維護人員 (主要任務是編輯網頁內容 )、 網頁上傳審批人員、 系統管理員（對各類信息資產進行維護）、安全管理員（負責對系統的安全狀態進行監控，對安全設備提供策略配置）、日志審計中軟華泰政務網站系統安全等級保護技術方案設計 第 14 頁 共 76 頁 員（對系統內的訪問信息進行查詢和檢索）； 政務辦公系統有網頁維護人員（主要任務是對采用 B/S 架構的政務辦公系統的主頁進行維護）、系統管理員（對各類信息資 產進行維護）、安全管理員（負責對系統的安全狀態進行監控，對安全設備提供策略配置）、日志審計員（對系統內的訪問信息進行查詢和檢索）。 2.2 應用環境分析 等級保護的核心是應用系統的安全，三級系統等級保護的要點是：實現基于業務全過程的訪問控制，因此有必要對應用系統支撐的流程，和主 /體標識進行詳細的設計， 并實現基于標識的強制訪問控制。 從應用保障的角度，對應用運行環境的要素分析如下： 2.2.1 主體角色定義 根據等級保護對主體的定義，在本方案中將主體形式化為訪問信息系統的用戶，那么針對政務網站系統和政務辦公系統，確定的主題角色包 括： 2.2.1.1 政務網站系統主體角色定義 包括以下兩個大類，七個主體角色，分別是： 操作員類的四個主體角色： 【 一般訪問用戶 】 從互聯網訪問網站系統，獲取政務相關法規、制度、流程、新聞等靜態文本信息的互聯網訪問用戶。 【 政務申請 用戶】 利用網站提交相關申請材料， 需要對訪問行為進行認證，并根據決定的身份控制可訪問的頁面的互聯網訪問用戶。 【公務員】 訪問網站系統的公務員郵箱系統，處理相關文件，或者在移動辦公狀態下從中軟華泰政務網站系統安全等級保護技術方案設計 第 15 頁 共 76 頁 互聯網上訪問網站系統的特定頁面，進行一些政務處理的人員。 【網頁維護人員】 維護網站系統的網頁內容，進行編 輯并上傳網頁服務器進行發布的操作用戶。 管理類的三個主體角色 【系統管理員】 對網站系統的信息資產進行集中管理和配置，保障信息系統的穩定正常運行的運行維護人員。 【安全管理員】 對網站系統的活動狀態進行實時監控，對安全設備進行策略配置，對網絡的安全運行負責的維護人員。 【安全審計員】 對網站的活動日志進行集中收集和分析，掌握網站的受訪狀態，并進行深度關聯分析，從而對網站系統的安全狀態進行透徹解析和掌握的維護人員。 2.2.1.2 政務 辦公 系統主體角色定義 包括以下兩個大類，六個主體角色，分別是： 操作員類的四個主體角色： 【 一般工作人員 】 通過手工方式錄入申請材料的政務辦公工作人員 。 【 審核人員 】 針對從手工錄入的，以及從網站系統傳遞過來的申請材料進行審核，并對一般性申請進行審核的人員，同時對于重要項目申請需提交領導進行最終審核 。 【 領導 】 對重要的申請進行最終審核的人員 管理類的三個主體角色 【系統管理員】 對 政務辦公 系統的信息資產進行集中管理和配置，保障信息系統的穩定正常運行的運行維護人員 ，同時還要維護政務辦公的應用軟件。 中軟華泰政務網站系統安全等級保護技術方案設計 第 16 頁 共 76 頁 【安全管理員】 對 政務辦公 系統的活動狀態進行實時監控，對安全設備進行策略配置，對網絡的安全運行負責 的維護人員。 【安全審計員】 對 政務辦公系統 的活動日志進行集中收集和分析，掌握網站的受訪狀態，并進行深度關聯分析，從而對網站系統的安全狀態進行透徹解析和掌握的維護人員。 2.2.2 客體對象定義 根據等級保護對客體的定義，在本方案中將客體形式化為信息系統中處理的文件和數據材料，那么針對政務網站系統和政務辦公系統，確定的主題角色包括： 2.2.2.1 政務網站系統客體對象 【靜態網頁文件】 通過靜態的形式發布在網站上的信息，包括政策法規、辦事流程、新聞等信息。 【申請表單】 存放在數據庫中，作為網站政務申請用戶提交的申請文件。 【審核結 果表單】 經政務辦公系統內審核人員和領導審核后，并反饋回政務網站，提供給政務申請用戶的表單文件，存放在數據庫中。 2.2.2.2 政務辦公系統客體對象 【申請表單】 存放在數據庫中，是政務申請用戶通過網站系統提交的，傳遞到政務辦公系統待審核的申請表單數據。 【審核結果表單】 中軟華泰政務網站系統安全等級保護技術方案設計 第 17 頁 共 76 頁 經政務辦公系統內審核人員和領導審核后，并反饋回政務網站，提供給政務申請用戶的表單文件，存放在數據庫中。 2.2.3 業務流程分析 業務流程體系那了主體對客體的操作過程，是等級保護訪問控制策略的依據。針對政務網站和辦公系統，其業務流程分別包括： 2.2.3.1 政務網站系統業務流程 政務網站系統共包含了兩個主要流程，分別為： 【靜態網頁發布流程】 該流程的具體過程為： 1 網頁維護人員得到需要發布的內容； 2 網頁維護人員通過網頁維護終端，對發布內容進行編輯，并進行格式化的處理； 3 處理后的內容，經網頁維護終端上傳到網頁發布系統內，等待發布； 4 網頁發布系統自動在夜間完成網頁內容的上傳，更換當前的網頁或增加到當前網頁下，以提供給網站一般訪問用戶進行查詢。 【網站申請提交流程】 該流程的具體過程為： 1 政務申請用戶訪問指定的網頁（可提交政務申請的頁面），在制定的登錄窗口下輸入用戶 名和口令，完成認證后進入申請頁面； 2 政務申請用戶在制定頁面上填寫相關申請信息，提交相關的申報材料； 3 申報材料經政務申請用戶確認后，保存在數據庫中； 4 政務申請表單被自動傳遞到政務辦公系統內，供審核人員進行相關審批動作。 中軟華泰政務網站系統安全等級保護技術方案設計 第 18 頁 共 76 頁 2.2.3.2 政務辦公系統業務流程 政務辦公系統共包含了兩個主要流程，分別為： 【大廳申請提交流程】 該流程的具體過程為： 1 政務申請用戶到辦事大廳，提交紙質的申請材料（無上網條件的政務申請用戶）； 2 政務辦公系統的一般工作人員，將申請材料手工錄入到政務辦公系統內，經確認后保存在數據中； 3 錄入后將等待審核人員和領導的進一步確認。 【申請處理流程】 該流程的具體過程為： 1 審核人員通過政務辦公系統，調出待審核的政務申請表單； 2 審核人員針對政務申請表單的內容進行審核，對于符合相關要求，并且是不重要的政務申請則立即給出審核意見，并形成審核結果表單； 3 對于重要的政務申請（主要指超出審核人員的權限的），需要提交領導做進一步的審批； 4 領導對重要的政務申請表單進行最終審核，對于需要其他相關部門簽批意見的申請表單則進行轉發； 5 通過審核的表單自動生成審核結果表單，并存放在政務辦公系統的數據 庫中； 6 數據庫自動將審核反饋表單傳遞到政務網站系統數據庫，并通過政務網站將信息提交給政務申請人員進行查詢；另外，審核人員也可電話通知政務申請人員的審核結果。 2.3 網絡 結構 描述 如前描述，本方案設計對象包含了兩個系統，一是提供公開信息發布的 政務網站 系統，一是實現政務業務處理的政務辦公系統， 兩個系統之間通過政務廣域網連接，同時政務門戶網站面向互聯網開放，提供給互聯網公眾進行查詢，同時中軟華泰政務網站系統安全等級保護技術方案設計 第 19 頁 共 76 頁 也提供給公務員在移動辦公時進行訪問，以及進行簡單的政務處理。典型的網絡結構如下圖表示： 圖 2.2 政務網站結構示意圖 參考圖 2.2，方案設計對象包含了兩套系統，分別是政務辦公系統以及政務網站系統。 在網絡組成上均采用星形的結構進行設計，采用核心交換機連接主機，出口通過路由器連接外部網絡的辦法，屬于典型的政務網絡。各系統 包含的信息資產 包括 ： 2.3.1 政務網站系統 政務網站系統包括主頁服務器、數據庫服務器、網頁上傳服務器、網頁維護終端、網站系統運行維護終端以及相關的網絡設備和通信鏈路；從信息資產的性質角度，包含以下部分： 2.3.1.1 服務器 由三大類服務器組成，也是政務網站系統最重要的信息資產，應當進行重點保護，具體服務器包括： 第一類是主頁服務器，運行了 政務對外的網頁系統，用于互聯網訪問用戶進行查詢，常見的操作系統為 WINDOWS 2003/linux， 以及 IIS/apache 主頁發布軟件。 第二類是數據庫服務器，運行著支撐網頁的數據庫系統，提供給網頁進行信中軟華泰政務網站系統安全等級保護技術方案設計 第 20 頁 共 76 頁 息發布，同時也將通過網頁 收集互聯網訪問用戶提交的各類申請，記錄并傳遞到政務辦公系統，對申請進行相關的處理 后再次反饋到該數據庫中發布出去。常見服務器的操作系統為 WINDOWS 2003，數據庫為 ORACLE/SQL SERVER/DB2 等 。 第三類是網頁上傳服務器，主要用途是將網頁維護終端上傳的主頁進行緩存，并在制定的時間與網頁服務器進行交換，將最新的網頁更換過來。 2.3.1.2 終端 在政務網站系統內，需要進行保護的終端包括以下兩類： 第一類是網頁維護終端，用于網頁編輯，并將編輯好的網頁傳遞到網頁上傳服務器，進行發布，這些終端的數量比較多，操作系統主要是 WINDOWS XP/2000等； 第二類是網站維護終端，用于對系統進行運行維護，包括服務器維護、數據庫維護、網絡設備維護等，終端數量不是很多，操作系統主要是 WINDOWS XP/2000等； 2.3.1.3 網絡設備 對于政務網站系統，其網絡結構比較簡單，屬于典型的星形結構設計，其網絡設備包括： 核心交換機：通常采用具有三層功能的交換機，根據連接的服務器和網絡設備劃分多個 VLAN， 分別將主頁服務器、數據庫服務器、網頁上傳服務器、網頁維護終端以及網站維護終端連接到不同的 VLAN，并在 VLAN 之間定義了 ACL（訪問控制規則），限制了外部用戶對服務器訪問的隨意性，使得網站系統的訪問在一個相對受控和有序的情況下接受訪問； 邊界路由器：分別部署在政務網站系統與互聯網之間，以及政務網站與政務廣域網之間，實現互聯網用戶的接入管理，以及政務網站系統與政務辦公系統之間的通訊。 中軟華泰政務網站系統安全等級保護技術方案設計 第 21 頁 共 76 頁 2.3.2 政務辦公系統 政務辦公系統 的網絡結構類似于政務網站系統，也包含了服務器、終端以及網絡設備三類信息資產，具體說明如下： 2.3.2.1 服務器 包含兩大類 服務器，分別是辦公系統應用服務器和數據庫服務器。服務器是政務辦公系統內最為重要的信息資產，也是支撐政務辦公應用的核心部件，因此必須采取足夠強度的防護措施。 應用服務器：運行著政務辦公應用系統軟件，提供給政務內部辦公人員，對各類公眾政務申請進行處理，并將處理的結果通過政務網站系統反饋回去。通常該服務器采用 WINDOWS 2003/linux 操作系統。 數據庫服務器：是政務辦公系統的支撐平臺，將政務處理 的過程數據進行記錄， 并在處理完畢后通過“擺渡”的方式傳遞帶政務網站系統的數據庫，進行發布，常見服務器的操作系統為 WINDOWS 2003，數據庫為 ORACLE/SQL SERVER/DB2等。 2.3.2.2 終端 主要是政務辦公終端組成，通過這些終端完成各類政務操作。 終端上常安裝的操作系統類型包括 WINDOWS XP/2000 等。 2.3.2.3 網絡設備 類似于政務網站系統，其網絡結構比較簡單，屬于典型的星形結構設計，其網絡設備包括： 核心交換機：通常采用具有三層功能的交換機，根據連接的服務器和網絡設備劃分多個 VLAN，分別將應用服 務器、數據庫服務器以及政務處理終端連接到不同的 VLAN，并在 VLAN 之間定義了 ACL（訪問控制規則），使得政務辦公系統的中軟華泰政務網站系統安全等級保護技術方案設計 第 22 頁 共 76 頁 訪問在一個相對受控和有序的情況下接受訪問； 邊界路由器：分別部署在政務辦公系統與政務廣域網之間，實現政務網站系統與政務辦公系統之間的通訊。 中軟華泰政務網站系統安全等級保護技術方案設計 第 23 頁 共 76 頁 3 信息系統安全需求 分析 3.1 系統定級說明 本方案主要是為電子 政務網站 提供的 等級保護技術方案 。關于等級保護的定級問題，一般應依據網站設計的業務信息的機密性和網頁發布信息完整性被破壞時的危害程度，并參考 信息系統安全等級保護定級指南（ GB/T 22240-2008）的系統定級標準來界定信息系統的保護等級。但作為一個方案分析案例，本方案將假定分析的對象是一個三級電子政務網站及其相關的電子政務辦公系統（電子政務網站及其發布系統的構成如圖 1 所示）。 其中，政務網站系統主要負責發布相關國家 政策 、法規 等 相關重要信息， 是政府公布信息和提供服務的網上窗口，也是人民與政府進行信息溝通的一個重要渠道 。如果網站受到破壞或攻擊，特別是網頁的內容被篡改，將會造成人們對國家相關政策誤讀，甚至無法有效地為公民提供政策指導與相關服務，這不僅會造成政府形象的損害，嚴重時甚至會對國家的經濟與社會 穩定造成 嚴重的影響。 因此政務網站系統對網頁內容的完整性以及服務的安全性與可用性要求很高。為了保證政務網站系統的安全，需要重點從主頁內容完整性保護的角度，嚴格控制主頁服務器的內容更新操作以及網頁維護人員的管理和系統用戶的認證與授權控制。而政務辦公系統則是相關政府機關的內部辦公網，因涉及政府的日常工作及業務處理，系統中的信息具有較高的機密性。因此為了保證系統的安全，不僅該系統要與外部網絡實施有效的隔離，防止外部的網絡攻擊，更主要的是加強對內部人員的管理以及對政務辦公系統的用戶進行嚴格的身份認證和行為審計，來確保 系統的安全。 顯然，政務辦公系統與政務網站系統所處理的業務不同、所面臨的威脅和風險也有所不同，在進行安全建設時兩個系統所關注的安全問題也有很大的不同，因此對這兩個系統將采用兩個安全域分別建設，政務辦公系統通過信息與交換系統提供政務網站所需網頁信息數據，體現兩個同級別安全域的信息交換問題。 下面將按照等級保護國家標準對電子政務網站的安全技術要求以及系統相關的業務流程對兩個系統中存在的安全風險進行全面的分析。并在安全風險分析中軟華泰政務網站系統安全等級保護技術方案設計 第 24 頁 共 76 頁 的基礎上，提出電子政務網站系統安全體系的建設需求。 3.2 安全風險分析 隨著信息化迅猛發展，互 聯網已經成為人們工作和生活不可或缺的部分。 為了適應社會的發展 、加強國家政策法規的宣傳力度、提高為人民服務的能力。從中央到地方政務 建立 了自己的內部信息化辦公系統以及對公眾的政策發布與提供網絡服務業務的網站 。國家信息化領導小組關于我國電子政務建設指導意見中 指出， 整個 “ 十五 ” 期間，從中央到地方政府，將有 60%以上的政府業務和 30%以上的政府對企業 和公眾的辦公業務上網進行。 因此，政務相關的網上服務 已經成了政府部門的非常重要的業務之一。這些政務網站因擔負著政府與人民溝通信息的重要職責，需要放在互聯網上來被公眾訪問 ，因此，這些暴露在互聯網上的政務網站就不可避免地存在遭到各種各樣外來攻擊的安全風險。 3.2.1 政務網站系統 由圖 1 可以看出，政務網站系統的網頁發布、服務流程以及運維過程中，主要與如下幾種角色的用戶有關： 互聯網普通訪問用戶，來自互聯網，只能瀏覽網頁內容。 互聯網認證訪問用戶，不僅能夠瀏覽網頁內容，而且能夠通過授權的服務頁面與網站所提供的政務服務進行信息交互，比如報稅、社保等服務。 網站主頁內容維護用戶，負責網頁的制作、發布和完整性驗證。 網站的系統維護用戶，主要負責網站系統的可用性維護等。 在網頁發布流程中，合法的 用戶角色主要是主頁維護人員，存在的風險主要是：其他角色的用戶通過入侵攻擊或越權操作假冒主頁維護用戶的身份，對主頁內容的完整性進行篡改或違規發布含有機密內容的信息，造成機密泄露。 合法認證用戶通過互聯網訪問網站的網站申請提交流程中，所存在的風險主要包括：身份被假冒，遠程通信數據被竊聽、被篡改，否認提交服務行為或內容（抵賴行為）以及網站自身安全造成的風險（諸如：服務網頁被篡改 ，造成合法認證用戶的個人或業務信息泄露。 中軟華泰政務網站系統安全等級保護技術方案設計 第 25 頁 共 76 頁 大廳的提交申請流程也是針對合法認證用戶的，只不過這個合法認證 用戶是政府工作人員（為客戶提供服務的業務操作員），可能會因業務操作員的無意誤操作或越權操作造成客戶信息的泄露或提交信息的不完整或不真實。 因此，在政務網站的運營過程中，不僅要抵御來自外部的黑客或信息間諜的入侵攻擊（以獲取權限假冒合法用戶，進而獲取認證用戶的業務信息，甚至獲得網站維護權限造成對整個網站的網頁內容完整性、機密性與可用性造成破壞或從事信息恐怖活動）以及網絡病毒傳播等，而且也要防范網站內部的系統維護用戶的越權訪問對網站內網頁內容的完整性、機密性以及網站系統可用性造成破壞的風險。 3.2.1.1 典型外部攻擊 目前常 見的網站攻擊方式 ：一是利用 Web 服務器的漏洞進行攻擊，如 CGI 緩沖區溢出，目錄遍歷漏洞利用等攻擊；二是利用網頁自身的安全漏洞進行攻擊，如 SQL 注入，跨站腳本攻擊等。 典型的攻擊有： 緩沖區溢出 攻擊者利用超出緩沖區大小的請求和構造的二進制代碼讓服務器執行溢出堆棧中的惡意指令 ；或取系統的操作權限等 Cookie 假冒 精心修改 cookie 數據進行用戶假冒 ； 認證逃避 攻擊者利用不安全的證書和身份管理 ； 非法輸入 在動態網頁的輸入中使用各種非法數據，獲取服務器敏感數據 ； 強制訪問 訪問未授權的網頁 ； 隱藏 變量篡改 對網頁中的隱藏變量進行修改，欺騙服務器程序 ； 拒絕服務攻擊 構造大量的非法請求，使 Web 服務器不能相應正常用戶的訪問 ； 跨站腳本攻擊 提交非法腳本，其他用戶瀏覽時盜取用戶帳號等信息 ； SQL 注入 構造 SQL 代碼讓服務器執行，獲取敏感數據 ； 此外，黑客或蓄意破壞者，還會 利用病毒、蠕蟲、木馬和間諜軟件等惡意代碼實施攻擊 ，上述攻擊方式都將是對 網站 安全造成威脅的主要風險因素。 中軟華泰政務網站系統安全等級保護技術方案設計 第 26 頁 共 76 頁 3.2.1.2 常見內部威脅 政務 網站 系統 內部人員 （網站系統維護人員、網站主頁及內容維護人員）的有意或無意的非法操作 或蓄意地通過設置系統后 門、主頁掛馬、傳播病毒等措施 ，來破壞政務網站系統的可用性，甚至通過越權操作 篡改網頁內容或故意歪曲信息，竊取機密信息。對外加或社會造成更大的危害。 由于內部人員直接接觸重要信息，并且了解網站系統的安 全防御措施和管理手段，因此，相對于外部用戶而言，其更容易規避安全保障措施 ，利用系統安全防御措施的漏洞或管理體系的弱點，從內部發起攻擊來破壞網 站系統的安全 。 來自內部的威脅主要來源于 內部人員惡意破壞、管理人員濫用職權、執行人員操作不當、內部管理疏漏、軟硬件缺陷等 。具體體現在以下幾個方面： 安全管理制度不健全，執行力 度不到位。例如，存在 非法接入、非法外聯、網絡濫用、外設濫用 等情況。 系統本身存在漏洞。例如，未能有效檢測出 移動設備（筆記本電腦等）或 新增設備 中存在的不安全因素，導致 病毒 的 傳播、黑客 的入侵 。 內部懂技術、會編程的人員直接編寫攻擊代碼