文章作者@@:
杨冰之@@ 北京国脉互联信息顾问有限公司董事长@@、国脉互联政府@@网站@@评测研究中心主任@@
郑爱军@@ 北京国脉互联信息顾问有限公司总经理@@、首席规划师@@,国脉网站规划与评测研究中心副主任@@
一@@些政府@@网站@@建设受技术力量@@、资金投入等诸多因素的影响@@,往往存在信息安全管理滞后于网站建设的情况@@。为确保政府@@网站@@内容的安全性和@@完整性@@,可以从管理@@、制度@@、技术各层面建立了网站安全体系@@,确保网站安全@@。
一@@是确保@@“上网不涉密@@,涉密不上网@@”。上网信息的采集@@、发布和@@更新@@,严格执行保密规定@@,妥善处理公开与保密的关系@@。
二是完善规章制度@@@@,制定信息发布审核登记制度@@@@、网站备份制度@@@@、账号使用登记和@@操作权限管理制度@@等多项制度@@@@,以加强人员管理@@,堵塞内部漏洞@@,达到消除安全隐患的目的@@。
三是从技术层面防范病毒侵扰和@@黑客攻击@@。主要从物理层@@、数据链路层@@、网络层@@、应用层@@、系统层等五方面进行了安全设计@@。对中心机房进行了标准化改造@@,安装了硬件防火墙@@、网络杀毒软件@@、网络入侵检测@@,并针对信息发布平台@@的远程管理@@,在全疆政府@@系统首次@@采用了动态口令系统@@,通过@@与发布系统的结合@@,很好地解决了远程管理用户登录的安全性问题@@。
一@@、 网站安全的主要领域@@
1.物理安全@@
a)政府@@网站@@机房应参照@@《电子计算机场地通用规范@@》(GB/T2887-2000)和@@《计算机场地安全要求@@》(GB/T9361-1988)的技术要求进行建设@@;
b)政府@@网站@@应配备专用电源或电源保护设备@@,保证其正常运行@@;
c)政府@@网站@@可采用@@VLAN、VPN以及链路冗余等技术手段@@,提高网站访问链路的安全性和@@可靠性@@。
2.网络安全@@
d)政府@@网站@@应采用防火墙技术@@,通过@@IP包过滤@@、应用代理@@、地址转换@@、访问控制@@等手段@@,提高网站安全水平@@;
e)政府@@网站@@应采用入侵检测技术@@,通过@@实时检测@@、入侵阻断@@、审计取证等手段@@,提高网站防御能力@@。
3.系统安全@@
a)政府@@网站@@应制定完善的系统安全@@策略@@,对不使用的服务应及时关闭@@,对不同级别的用户应设置相应的安全访问权限@@;
b)政府@@网站@@应采用防病毒技术@@,通过@@实时扫描@@、及时查杀@@、阻止扩散等手段@@,提高网站操作系统的病毒防护能力@@;
c)政府@@网站@@应采用身份认证@@、访问控制@@、应用审计等技术手段@@,提高网站应用系统的安全@@;
d)政府@@网站@@应采用漏洞扫描技术@@,通过@@漏洞侦测@@、安全评估@@、系统加固等手段@@,提高网站操作系统和@@应用系统的安全水平@@;
e)政府@@网站@@应对操作系统@@、数据库系统@@、应用系统的运行情况进行记录@@(Log),并定期保存以备核查@@。
4.数据安全@@
a)政府@@网站@@应采用数据加密@@、内容防篡改等技术@@,防止网站敏感数据被非法访问@@、修改和@@破坏@@;
b)政府@@网站@@应采用数据备份技术@@,提高网站灾难恢复能力和@@水平@@;
c)政府@@网站@@对数据维护时@@,应对采取的措施@@、维护的内容@@、数据前后变更的情况等进行详细记录@@。
5.口令安全@@
a)政府@@网站@@必须使用口令对用户的身份进行验证和@@确认@@;
b)政府@@网站@@使用的口令应符合复杂性要求@@;
c)政府@@网站@@使用的口令应定期更换@@,口令的最长使用时间不能超过半年@@;
d)政府@@网站@@在储存和@@传输口令时应进行加密@@,以防止口令被非法修改或泄露@@。
