天融信政务网站系统等级保护技术方案

参考范围：内部参考 文档编号： HTSEC-XXAQ-2009-0105 中软华泰 政务网站 系统 安全等级保护 技术 方案设计 Version 1.0 北京 中软华泰信息技术有限责任 公司 2009年 1月 中软华泰政务网站系统安全等级保护技术方案设计 第 2 页 共 76 页 文档控制 拟 制 : 审 核 : 批 准 : 标准化 : 读 者： 版本控制 版本号 日期 修改人 说明 V1.0 V1.1 V1.2 V1.3 V1.4 分发控制 编号 读者 文档权限 与文档的主要关系 中软华泰政务网站系统安全等级保护技术方案设计 第 3 页 共 76 页 目 录 1 前言 . 5 1.1 方案 设计目的 . 5 1.2 方案 设计原则 . 6 1.3 方案 参考标准 . 8 2 信息系统运行环境分析 . 10 2.1 应用系统 描述 . 10 2.1.1 政务网站系统 . 10 2.1.2 政务办公系统 . 12 2.1.3 访问用户分类 . 12 2.2 应用环境分析 . 14 2.2.1 主体角色定义 . 14 2.2.2 客体对象定义 . 16 2.2.3 业务流程分析 . 17 2.3 网络结构描述 . 18 2.3.1 政务网站系统 . 19 2.3.2 政务办公系统 . 21 3 信息系统安全需求分析 . 23 3.1 系统定级说明 . 23 3.2 安全风险 分析 . 24 3.2.1 政务网站系统 . 24 3.2.2 政务办公系统 . 26 3.3 安全需求分析 . 27 3.3.1 政务网站系统安全需求 . 27 3.3.2 政务办公系统 . 32 3.3.3 系统隔离与信息交换 . 32 3.3.4 集中管理安全需求 . 33 4 信息系统等保体系概述 . 35 4.1 保护框架概述 . 35 中软华泰政务网站系统安全等级保护技术方案设计 第 4 页 共 76 页 4.2 确定区域边界 . 37 5 信息系统等保建设方案 . 39 5.1 政务网站系统等级保护建设方案 . 39 5.1.1 管理中心设计 . 41 5.1.2 计算环境安全建设 . 48 5.1.3 安全区域边界子系统安全建设 . 54 5.1.4 安全通信网络子系统安全建设 . 55 5.2 政务办公系统等级保护建设方案 . 56 5.2.1 管理中心设计 . 58 5.2.2 计算环境安全建设 . 63 5.2.3 安全区域边界子系统安全建设 . 71 5.2.4 安全通信网络子系统安全建设 . 71 6 信息系统等保方案与相关标准的对照 . 72 中软华泰政务网站系统安全等级保护技术方案设计 第 5 页 共 76 页 1 前言 1.1 方案 设计 目的 社会发展的不同阶段有不同特质的信息安全问题，在社会发展要求网络化信息系统互连互通的信息化时代，信息安全问题的实质直接表现为国家主权、政治、经济、国防、社会安全和公民合法权益保障。 因 此，国家高度重视信息安全保护工作。经党中央和国务院批准，国家信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧安全等 级保护制度建设。这一重大决定，明确落实了中华人民共和国计算机信息系统安全保护条例中关于实行信息安全等级保护制度的有关规定，提出了从整体上根本上解决国家信息安全问题的办法 ,进一步确定了信息安全发展主线、中心任务，提出了总要求。对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。 同时，也为国内的信息安全产业提出了巨大的挑战和机遇。 北京中软华泰信息技术有限责任公司成立于 2000 年，是专业从事信息安 全体系研究，信息安全产品研制、生产、销售企业。公司一直把操作系统安全和信息应用系统安全作为产业方向。近年来，先后参与国家发改委、科技部、北京市科委等重大产业发展研究项目，并成为国家与微软原代码级合作的技术承担单位。公司坚持产、学、研相结合的发展方向，与北京交通大学、北京工业大学共同成立研究生培养基地，在为国家输送大批信息安全专业人才的同时也使公司具备了坚实的技术储备。 2008 年初，公安部为制订信息安全信息系统等级保护设计基本要求的国家标准，进行等级安全应用技术平台模拟系统搭建工作，公司在众多竞争者中脱颖 而出，承接了目前最高等级四级系统的建设任务，并 已 于2008 年 11 月底完成项目验收，从而成为等级保护国家标准 863 课题研究参与单位，目前正在配合国家主管单位参与国家重大支持项目的申请工作。公司今后将致力于等级保护的方案和产品提供。不断推出符合等级保护标准的安全产品，竭中软华泰政务网站系统安全等级保护技术方案设计 第 6 页 共 76 页 尽全力为国家的信息安全事业做出贡献。 本方案 以一个典型的省级政府部门电子政务 网站 系统为应用案例，充分 分析电子政务 网站 系统 的安全建设需求，结合国家等级保护的建设规范和技术要求 ，设计了符合其相应的安全等级防护要求的技术方案， 并给出了详细的建设方案。 1.2 方案 设计原则 等级保护是国家信息安全建设的重要政策， 其 核心是对信息系统分等级、按标准进行建设、管理和监督。 对于 中软华泰 公司信息安全建设，应当以适度风险为核心，以重点保护为原则，从业务的角度出发，重点保护重要的业务、研发类信息系统，在方案设计中应当遵循以下的原则： 适度安全原则 任何信息系统都不能做到绝对的安全，在 进行 中软华泰 信息安全等级保护规划中 ，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。 适度安全也是等级保护建设的初衷，因此在进行等级保护设 计的过程中，一方面要严格遵循基本要求，从网络、主机、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，另外也要综合成本的角度，针对 中软华泰 公司信息系统的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。 重点保护原则 根据信息系统的重要程度、业务特点，通过划分不同安全 保护 等级的信息 系统 ，实现不同强度的 安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统；本方案在设计中将重点保护涉及生产、研发、销售等关键业务的信息系统，对其他信息系统则降低 保护等级进行一般性设计和防护； 技术管理并重原则 信息安全问题从来就不是单纯的技术 问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的， 仅仅通过部署安全产品很难完全覆盖 所有的 信中软华泰政务网站系统安全等级保护技术方案设计 第 7 页 共 76 页 息安全问题 ，因此必须要把技术措施和管理措施结合起来，更有效的保障 中软华泰 信息系统的整体安全性，形成技术和管理两个部分的建设方案 ； 分区分域建设原则 对信息系统进行安全保护的有效方法就是分区分域，由于信息系统中各个信息资产的重要性是不同的，并且访问特点也不尽相同，因此需要把具有相似特点的信息资产集合起来，进行总体防护，从而可更 好地保障安全策略的有效性和一致性，比如把业务服务器集中起来单独隔离，然后根据各业务部门的访问需求进行隔离和访问控制；另外分区分域还有助于对网络系统进行集中管理，一旦其中某些安全区域内发生安全事件，可通过严格的边界安全防护限制事件在整网蔓延； 标准 性 原则 中软华泰 信息安全保护体系应当同时考虑与其他标准的符合性，在方案中的技术部分将参考 IATF 安全体系框架进行设计，在管理方面同时参考 27001 安全管理指南，使建成后的等级保护体系更具有广泛的实用性； 动态调整原则 信息安全问题不是静态的，它总是随着 管理相关的组织 策略、组织架构、信息系统和操作流程的改变而改变 ，因此必须 要跟踪信息系统的变化情况，调整安全保护措施 ； 标准性原则 信息安全建设是非常复杂的过程，在设计信息安全系统，进行安全体系规划中单纯依赖经验，是无法对抗未知的威胁和攻击，因此需要遵循相应的安全标准，从更全面的角度进行差异性分析，是本方案重点强调的设计原则； 成熟性原则 本方案设计采取的安全措施和产品，在技术上是成熟的，是被检验确实能够解决安全问题并在很多项目中有成功应用的； 科学性原则 本方案的设计是建立在安全评估基础上的，在威胁分析、弱点分析和风险分中软华泰政务网站系统安全等级保护技术方案设计 第 8 页 共 76 页 析 方面，是建立在客观评价的基础上而展开分析的结果，因此方案设计的措施和策略一方面能够符合国家等级保护的相关要求，另一方面也能够很好地解决信息网络中存在的安全问题，满足特性需求。 1.3 方案 参考 标准 本方案根据国家提出的等级保护管理办法和实施指南，针对 政务网站 系统的特点和安全建设需求，进行全面的安全保障规划，设计中重点参考的政策和标准包括以下部分： 本方案重点参考以下的的政策和标准： 指导思想 中办 200327 号文件（关于转发国家信息化领导小组关于加强信息安全保障工作的意见的通知） 公通字 200466 号文件（关于印发信息安全等级保护工作的实施意见的通知） 公通字 200743 号文件（关于印发信息安全等级保护管理办法的通知） 等级保护 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T aaaaa-xxxx 信息安全技术 信息系统安全等级保护实施指南 系统定级 GB/T aaaaa-xxxx 信息安全技术 信息系统安全保护等级定级指南 技术方面 GB/T aaaaa-xxxx 信息安全技术 信息系统等级保护安全设计技术要求 GB/T 20270-2006 信息安全 技术 网络基础安全技术要求 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 GB/T 20273-2006 信息安全技术 数据库管理系统通用安全技术要求 GA/T671-2006 信息安全技术 终端计算机系统安全等级技术要求 GA/T 709-2007 信息安全技术 信息系统安全等级保护基本模型 中软华泰政务网站系统安全等级保护技术方案设计 第 9 页 共 76 页 GB/T aaaaa-xxxx 信息安全技术 信息系统安全等级保护基本要求 管理方面 GB/T aaaaa-xxxx 信 息安全技术 信息系统安全等级保护基本要求 ISO/IEC 27001 信息系统安全管理体系标准 方案设计 信息安全技术 信息系统等级保护安全建设技术方案设计规范 中软华泰政务网站系统安全等级保护技术方案设计 第 10 页 共 76 页 2 信息系统运行环境分析 2.1 应用系统 描述 本方案设计对象为常见的政务网站系统，通常此类系统包含前端和后端两个部分，其中前端系统为政务网站系统，其作用是面向公众开放，实现政务公开；后端主要为实际进行政务处理的电子政务系统 。政务 网站总体结构表示如下： 图 2.1 政务网站体系结构示意图 2.1.1 政务网站系统 政务网站系统面向互联网开放，提供给公众进行信息查询 、政策查询、新闻检索等单向的信息服务，还提供给公众进行信息上诉、网上实事办理、网上申请提交等双向的信息服务，另外，大多数政务网站还提供面向公务员的接口，使得公务员在出差或移动期间，能够 通过政务网站的专项主题，处理一些简单的政务信息，另外也可以进入公务员邮箱，查询与公众交互的邮件信息。 此外，政务网站系统，除了上述进行发布的的系统外，还包含了对主页进行维护的终端设备，和对系统进行运行维护的终端设备，主页维护终端在完成与主页相关的修改，和编辑后，将完成的主页通过专用发布系统发布出去，提供给公众进行查询。 典型政 务网站的例子有政府门户网站、网上报税、社保在线、网上办事等政务门户类网站信息， 典型 以信息发布为主的 政务网站如下图表示： 中软华泰政务网站系统安全等级保护技术方案设计 第 11 页 共 76 页 图 2.1.1 以信息发布为主的 政务门户网站示意图 典型的以提供服务为主的政务门户网站如下图表示： 图 2.1.1b 以提供服务为主的政务门户网站示意图 中软华泰政务网站系统安全等级保护技术方案设计 第 12 页 共 76 页 2.1.2 政务办公系统 政务网站在接到互联网访问用户所提交的一些政务申请后，还需要将这些申请信息传递到政务办公系统，使各个委办局根据自己责权的范围，对这些信息进行处理 ，处理完毕后将结果再反馈到政务网站系统，并通过政务网站将信息发布给申请方。 这部 分的信息系统我们统称为“政务办公系统”。 方案中描述的政务办公系统，主要包括政府单位用以处理正常政务部分的信息网络和系统。该系统往往运行在电子政务平台中， 与互联网采取必要的隔离措施以保障其安全性，并且相对于政务网站系统，办公系统要求有更高的保密性和安全性，要求有完善的安全防护手段。 图 2.1.2 典型政务办公系统逻辑框架示意图 2.1.3 访问用户分类 2.1.3.1 政务网站系统访问用户 通常针对政务网站的访问用户包含以下四类： 【 一般访问用户 】 也就是互联网上的所有用户，这些用户可以访问政务网站的公开信息，进行查阅； 【 政务申 请 用户 】 中软华泰政务网站系统安全等级保护技术方案设计 第 13 页 共 76 页 也属于公众的一类，但是需要通过政务门户网站提交政务处理申请，由于这些申请数据大都牵扯到一些个人敏感信息（比如通过网上报税系统提交的报税申请，通过金宏门户提交的项目审批申请，通过政务采购门户网站提交的报价单等信息），因此需要对访问信息进行保护，避免不必要的信息泄露或信息篡改； 【 公务员 】 实际上属于一种特殊类型的政务访问用户， 主要访问网站系统的 公务员邮箱 ，对公众发送的投诉信息进行处理；此外，公务员在移动办公的过程中，通过访问网站系统的主页专用页面，进行 相关的政务处理； 【网页维护人员】 从政务内网得 到可发布的政策、标准、新闻等内容，然后利用网站系统内部的维护终端，编辑成网页的形式，在网站系统上进行发布，提供给公众进行查询。 2.1.3.2 政务 办公 系统访问用户 针对政务办公系统， 其 主要的访问用户则 包含了 以下 三 个类别 【 一般工作人员 】 其主要工作是将那些通过手动方式提交的政务办公申请进行录入，并保障录入信息的完整性 ； 【 审 核 人员 】 就是将那些通过政务网站自动传递过来的信息，以及一般工作人员录入的申请，根据申请内容，对申请材料进行签批和办理，对于比较重要的文件，还需要传递给领导进行最终审阅； 【 领导 】 对一些重要申请的 内容和签批结果进行最终审批，对于跨职能部门的申请，还需要转发给相关单位进行处理。 除了上述的对系统的访问用户以外，政务网站系统和政务办公系统还包含了系统运行维护管理人员，其中政务网站系统有网页维护人员 (主要任务是编辑网页内容 )、 网页上传审批人员、 系统管理员（对各类信息资产进行维护）、安全管理员（负责对系统的安全状态进行监控，对安全设备提供策略配置）、日志审计中软华泰政务网站系统安全等级保护技术方案设计 第 14 页 共 76 页 员（对系统内的访问信息进行查询和检索）； 政务办公系统有网页维护人员（主要任务是对采用 B/S 架构的政务办公系统的主页进行维护）、系统管理员（对各类信息资 产进行维护）、安全管理员（负责对系统的安全状态进行监控，对安全设备提供策略配置）、日志审计员（对系统内的访问信息进行查询和检索）。 2.2 应用环境分析 等级保护的核心是应用系统的安全，三级系统等级保护的要点是：实现基于业务全过程的访问控制，因此有必要对应用系统支撑的流程，和主 /体标识进行详细的设计， 并实现基于标识的强制访问控制。 从应用保障的角度，对应用运行环境的要素分析如下： 2.2.1 主体角色定义 根据等级保护对主体的定义，在本方案中将主体形式化为访问信息系统的用户，那么针对政务网站系统和政务办公系统，确定的主题角色包 括： 2.2.1.1 政务网站系统主体角色定义 包括以下两个大类，七个主体角色，分别是： 操作员类的四个主体角色： 【 一般访问用户 】 从互联网访问网站系统，获取政务相关法规、制度、流程、新闻等静态文本信息的互联网访问用户。 【 政务申请 用户】 利用网站提交相关申请材料， 需要对访问行为进行认证，并根据决定的身份控制可访问的页面的互联网访问用户。 【公务员】 访问网站系统的公务员邮箱系统，处理相关文件，或者在移动办公状态下从中软华泰政务网站系统安全等级保护技术方案设计 第 15 页 共 76 页 互联网上访问网站系统的特定页面，进行一些政务处理的人员。 【网页维护人员】 维护网站系统的网页内容，进行编 辑并上传网页服务器进行发布的操作用户。 管理类的三个主体角色 【系统管理员】 对网站系统的信息资产进行集中管理和配置，保障信息系统的稳定正常运行的运行维护人员。 【安全管理员】 对网站系统的活动状态进行实时监控，对安全设备进行策略配置，对网络的安全运行负责的维护人员。 【安全审计员】 对网站的活动日志进行集中收集和分析，掌握网站的受访状态，并进行深度关联分析，从而对网站系统的安全状态进行透彻解析和掌握的维护人员。 2.2.1.2 政务 办公 系统主体角色定义 包括以下两个大类，六个主体角色，分别是： 操作员类的四个主体角色： 【 一般工作人员 】 通过手工方式录入申请材料的政务办公工作人员 。 【 审核人员 】 针对从手工录入的，以及从网站系统传递过来的申请材料进行审核，并对一般性申请进行审核的人员，同时对于重要项目申请需提交领导进行最终审核 。 【 领导 】 对重要的申请进行最终审核的人员 管理类的三个主体角色 【系统管理员】 对 政务办公 系统的信息资产进行集中管理和配置，保障信息系统的稳定正常运行的运行维护人员 ，同时还要维护政务办公的应用软件。 中软华泰政务网站系统安全等级保护技术方案设计 第 16 页 共 76 页 【安全管理员】 对 政务办公 系统的活动状态进行实时监控，对安全设备进行策略配置，对网络的安全运行负责 的维护人员。 【安全审计员】 对 政务办公系统 的活动日志进行集中收集和分析，掌握网站的受访状态，并进行深度关联分析，从而对网站系统的安全状态进行透彻解析和掌握的维护人员。 2.2.2 客体对象定义 根据等级保护对客体的定义，在本方案中将客体形式化为信息系统中处理的文件和数据材料，那么针对政务网站系统和政务办公系统，确定的主题角色包括： 2.2.2.1 政务网站系统客体对象 【静态网页文件】 通过静态的形式发布在网站上的信息，包括政策法规、办事流程、新闻等信息。 【申请表单】 存放在数据库中，作为网站政务申请用户提交的申请文件。 【审核结 果表单】 经政务办公系统内审核人员和领导审核后，并反馈回政务网站，提供给政务申请用户的表单文件，存放在数据库中。 2.2.2.2 政务办公系统客体对象 【申请表单】 存放在数据库中，是政务申请用户通过网站系统提交的，传递到政务办公系统待审核的申请表单数据。 【审核结果表单】 中软华泰政务网站系统安全等级保护技术方案设计 第 17 页 共 76 页 经政务办公系统内审核人员和领导审核后，并反馈回政务网站，提供给政务申请用户的表单文件，存放在数据库中。 2.2.3 业务流程分析 业务流程体系那了主体对客体的操作过程，是等级保护访问控制策略的依据。针对政务网站和办公系统，其业务流程分别包括： 2.2.3.1 政务网站系统业务流程 政务网站系统共包含了两个主要流程，分别为： 【静态网页发布流程】 该流程的具体过程为： 1 网页维护人员得到需要发布的内容； 2 网页维护人员通过网页维护终端，对发布内容进行编辑，并进行格式化的处理； 3 处理后的内容，经网页维护终端上传到网页发布系统内，等待发布； 4 网页发布系统自动在夜间完成网页内容的上传，更换当前的网页或增加到当前网页下，以提供给网站一般访问用户进行查询。 【网站申请提交流程】 该流程的具体过程为： 1 政务申请用户访问指定的网页（可提交政务申请的页面），在制定的登录窗口下输入用户 名和口令，完成认证后进入申请页面； 2 政务申请用户在制定页面上填写相关申请信息，提交相关的申报材料； 3 申报材料经政务申请用户确认后，保存在数据库中； 4 政务申请表单被自动传递到政务办公系统内，供审核人员进行相关审批动作。 中软华泰政务网站系统安全等级保护技术方案设计 第 18 页 共 76 页 2.2.3.2 政务办公系统业务流程 政务办公系统共包含了两个主要流程，分别为： 【大厅申请提交流程】 该流程的具体过程为： 1 政务申请用户到办事大厅，提交纸质的申请材料（无上网条件的政务申请用户）； 2 政务办公系统的一般工作人员，将申请材料手工录入到政务办公系统内，经确认后保存在数据中； 3 录入后将等待审核人员和领导的进一步确认。 【申请处理流程】 该流程的具体过程为： 1 审核人员通过政务办公系统，调出待审核的政务申请表单； 2 审核人员针对政务申请表单的内容进行审核，对于符合相关要求，并且是不重要的政务申请则立即给出审核意见，并形成审核结果表单； 3 对于重要的政务申请（主要指超出审核人员的权限的），需要提交领导做进一步的审批； 4 领导对重要的政务申请表单进行最终审核，对于需要其他相关部门签批意见的申请表单则进行转发； 5 通过审核的表单自动生成审核结果表单，并存放在政务办公系统的数据 库中； 6 数据库自动将审核反馈表单传递到政务网站系统数据库，并通过政务网站将信息提交给政务申请人员进行查询；另外，审核人员也可电话通知政务申请人员的审核结果。 2.3 网络 结构 描述 如前描述，本方案设计对象包含了两个系统，一是提供公开信息发布的 政务网站 系统，一是实现政务业务处理的政务办公系统， 两个系统之间通过政务广域网连接，同时政务门户网站面向互联网开放，提供给互联网公众进行查询，同时中软华泰政务网站系统安全等级保护技术方案设计 第 19 页 共 76 页 也提供给公务员在移动办公时进行访问，以及进行简单的政务处理。典型的网络结构如下图表示： 图 2.2 政务网站结构示意图 参考图 2.2，方案设计对象包含了两套系统，分别是政务办公系统以及政务网站系统。 在网络组成上均采用星形的结构进行设计，采用核心交换机连接主机，出口通过路由器连接外部网络的办法，属于典型的政务网络。各系统 包含的信息资产 包括 ： 2.3.1 政务网站系统 政务网站系统包括主页服务器、数据库服务器、网页上传服务器、网页维护终端、网站系统运行维护终端以及相关的网络设备和通信链路；从信息资产的性质角度，包含以下部分： 2.3.1.1 服务器 由三大类服务器组成，也是政务网站系统最重要的信息资产，应当进行重点保护，具体服务器包括： 第一类是主页服务器，运行了 政务对外的网页系统，用于互联网访问用户进行查询，常见的操作系统为 WINDOWS 2003/linux， 以及 IIS/apache 主页发布软件。 第二类是数据库服务器，运行着支撑网页的数据库系统，提供给网页进行信中软华泰政务网站系统安全等级保护技术方案设计 第 20 页 共 76 页 息发布，同时也将通过网页 收集互联网访问用户提交的各类申请，记录并传递到政务办公系统，对申请进行相关的处理 后再次反馈到该数据库中发布出去。常见服务器的操作系统为 WINDOWS 2003，数据库为 ORACLE/SQL SERVER/DB2 等 。 第三类是网页上传服务器，主要用途是将网页维护终端上传的主页进行缓存，并在制定的时间与网页服务器进行交换，将最新的网页更换过来。 2.3.1.2 终端 在政务网站系统内，需要进行保护的终端包括以下两类： 第一类是网页维护终端，用于网页编辑，并将编辑好的网页传递到网页上传服务器，进行发布，这些终端的数量比较多，操作系统主要是 WINDOWS XP/2000等； 第二类是网站维护终端，用于对系统进行运行维护，包括服务器维护、数据库维护、网络设备维护等，终端数量不是很多，操作系统主要是 WINDOWS XP/2000等； 2.3.1.3 网络设备 对于政务网站系统，其网络结构比较简单，属于典型的星形结构设计，其网络设备包括： 核心交换机：通常采用具有三层功能的交换机，根据连接的服务器和网络设备划分多个 VLAN， 分别将主页服务器、数据库服务器、网页上传服务器、网页维护终端以及网站维护终端连接到不同的 VLAN，并在 VLAN 之间定义了 ACL（访问控制规则），限制了外部用户对服务器访问的随意性，使得网站系统的访问在一个相对受控和有序的情况下接受访问； 边界路由器：分别部署在政务网站系统与互联网之间，以及政务网站与政务广域网之间，实现互联网用户的接入管理，以及政务网站系统与政务办公系统之间的通讯。 中软华泰政务网站系统安全等级保护技术方案设计 第 21 页 共 76 页 2.3.2 政务办公系统 政务办公系统 的网络结构类似于政务网站系统，也包含了服务器、终端以及网络设备三类信息资产，具体说明如下： 2.3.2.1 服务器 包含两大类 服务器，分别是办公系统应用服务器和数据库服务器。服务器是政务办公系统内最为重要的信息资产，也是支撑政务办公应用的核心部件，因此必须采取足够强度的防护措施。 应用服务器：运行着政务办公应用系统软件，提供给政务内部办公人员，对各类公众政务申请进行处理，并将处理的结果通过政务网站系统反馈回去。通常该服务器采用 WINDOWS 2003/linux 操作系统。 数据库服务器：是政务办公系统的支撑平台，将政务处理 的过程数据进行记录， 并在处理完毕后通过“摆渡”的方式传递带政务网站系统的数据库，进行发布，常见服务器的操作系统为 WINDOWS 2003，数据库为 ORACLE/SQL SERVER/DB2等。 2.3.2.2 终端 主要是政务办公终端组成，通过这些终端完成各类政务操作。 终端上常安装的操作系统类型包括 WINDOWS XP/2000 等。 2.3.2.3 网络设备 类似于政务网站系统，其网络结构比较简单，属于典型的星形结构设计，其网络设备包括： 核心交换机：通常采用具有三层功能的交换机，根据连接的服务器和网络设备划分多个 VLAN，分别将应用服 务器、数据库服务器以及政务处理终端连接到不同的 VLAN，并在 VLAN 之间定义了 ACL（访问控制规则），使得政务办公系统的中软华泰政务网站系统安全等级保护技术方案设计 第 22 页 共 76 页 访问在一个相对受控和有序的情况下接受访问； 边界路由器：分别部署在政务办公系统与政务广域网之间，实现政务网站系统与政务办公系统之间的通讯。 中软华泰政务网站系统安全等级保护技术方案设计 第 23 页 共 76 页 3 信息系统安全需求 分析 3.1 系统定级说明 本方案主要是为电子 政务网站 提供的 等级保护技术方案 。关于等级保护的定级问题，一般应依据网站设计的业务信息的机密性和网页发布信息完整性被破坏时的危害程度，并参考 信息系统安全等级保护定级指南（ GB/T 22240-2008）的系统定级标准来界定信息系统的保护等级。但作为一个方案分析案例，本方案将假定分析的对象是一个三级电子政务网站及其相关的电子政务办公系统（电子政务网站及其发布系统的构成如图 1 所示）。 其中，政务网站系统主要负责发布相关国家 政策 、法规 等 相关重要信息， 是政府公布信息和提供服务的网上窗口，也是人民与政府进行信息沟通的一个重要渠道 。如果网站受到破坏或攻击，特别是网页的内容被篡改，将会造成人们对国家相关政策误读，甚至无法有效地为公民提供政策指导与相关服务，这不仅会造成政府形象的损害，严重时甚至会对国家的经济与社会 稳定造成 严重的影响。 因此政务网站系统对网页内容的完整性以及服务的安全性与可用性要求很高。为了保证政务网站系统的安全，需要重点从主页内容完整性保护的角度，严格控制主页服务器的内容更新操作以及网页维护人员的管理和系统用户的认证与授权控制。而政务办公系统则是相关政府机关的内部办公网，因涉及政府的日常工作及业务处理，系统中的信息具有较高的机密性。因此为了保证系统的安全，不仅该系统要与外部网络实施有效的隔离，防止外部的网络攻击，更主要的是加强对内部人员的管理以及对政务办公系统的用户进行严格的身份认证和行为审计，来确保 系统的安全。 显然，政务办公系统与政务网站系统所处理的业务不同、所面临的威胁和风险也有所不同，在进行安全建设时两个系统所关注的安全问题也有很大的不同，因此对这两个系统将采用两个安全域分别建设，政务办公系统通过信息与交换系统提供政务网站所需网页信息数据，体现两个同级别安全域的信息交换问题。 下面将按照等级保护国家标准对电子政务网站的安全技术要求以及系统相关的业务流程对两个系统中存在的安全风险进行全面的分析。并在安全风险分析中软华泰政务网站系统安全等级保护技术方案设计 第 24 页 共 76 页 的基础上，提出电子政务网站系统安全体系的建设需求。 3.2 安全风险分析 随着信息化迅猛发展，互 联网已经成为人们工作和生活不可或缺的部分。 为了适应社会的发展 、加强国家政策法规的宣传力度、提高为人民服务的能力。从中央到地方政务 建立 了自己的内部信息化办公系统以及对公众的政策发布与提供网络服务业务的网站 。国家信息化领导小组关于我国电子政务建设指导意见中 指出， 整个 “ 十五 ” 期间，从中央到地方政府，将有 60%以上的政府业务和 30%以上的政府对企业 和公众的办公业务上网进行。 因此，政务相关的网上服务 已经成了政府部门的非常重要的业务之一。这些政务网站因担负着政府与人民沟通信息的重要职责，需要放在互联网上来被公众访问 ，因此，这些暴露在互联网上的政务网站就不可避免地存在遭到各种各样外来攻击的安全风险。 3.2.1 政务网站系统 由图 1 可以看出，政务网站系统的网页发布、服务流程以及运维过程中，主要与如下几种角色的用户有关： 互联网普通访问用户，来自互联网，只能浏览网页内容。 互联网认证访问用户，不仅能够浏览网页内容，而且能够通过授权的服务页面与网站所提供的政务服务进行信息交互，比如报税、社保等服务。 网站主页内容维护用户，负责网页的制作、发布和完整性验证。 网站的系统维护用户，主要负责网站系统的可用性维护等。 在网页发布流程中，合法的 用户角色主要是主页维护人员，存在的风险主要是：其他角色的用户通过入侵攻击或越权操作假冒主页维护用户的身份，对主页内容的完整性进行篡改或违规发布含有机密内容的信息，造成机密泄露。 合法认证用户通过互联网访问网站的网站申请提交流程中，所存在的风险主要包括：身份被假冒，远程通信数据被窃听、被篡改，否认提交服务行为或内容（抵赖行为）以及网站自身安全造成的风险（诸如：服务网页被篡改 ，造成合法认证用户的个人或业务信息泄露。 中软华泰政务网站系统安全等级保护技术方案设计 第 25 页 共 76 页 大厅的提交申请流程也是针对合法认证用户的，只不过这个合法认证 用户是政府工作人员（为客户提供服务的业务操作员），可能会因业务操作员的无意误操作或越权操作造成客户信息的泄露或提交信息的不完整或不真实。 因此，在政务网站的运营过程中，不仅要抵御来自外部的黑客或信息间谍的入侵攻击（以获取权限假冒合法用户，进而获取认证用户的业务信息，甚至获得网站维护权限造成对整个网站的网页内容完整性、机密性与可用性造成破坏或从事信息恐怖活动）以及网络病毒传播等，而且也要防范网站内部的系统维护用户的越权访问对网站内网页内容的完整性、机密性以及网站系统可用性造成破坏的风险。 3.2.1.1 典型外部攻击 目前常 见的网站攻击方式 ：一是利用 Web 服务器的漏洞进行攻击，如 CGI 缓冲区溢出，目录遍历漏洞利用等攻击；二是利用网页自身的安全漏洞进行攻击，如 SQL 注入，跨站脚本攻击等。 典型的攻击有： 缓冲区溢出 攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令 ；或取系统的操作权限等 Cookie 假冒 精心修改 cookie 数据进行用户假冒 ； 认证逃避 攻击者利用不安全的证书和身份管理 ； 非法输入 在动态网页的输入中使用各种非法数据，获取服务器敏感数据 ； 强制访问 访问未授权的网页 ； 隐藏 变量篡改 对网页中的隐藏变量进行修改，欺骗服务器程序 ； 拒绝服务攻击 构造大量的非法请求，使 Web 服务器不能相应正常用户的访问 ； 跨站脚本攻击 提交非法脚本，其他用户浏览时盗取用户帐号等信息 ； SQL 注入 构造 SQL 代码让服务器执行，获取敏感数据 ； 此外，黑客或蓄意破坏者，还会 利用病毒、蠕虫、木马和间谍软件等恶意代码实施攻击 ，上述攻击方式都将是对 网站 安全造成威胁的主要风险因素。 中软华泰政务网站系统安全等级保护技术方案设计 第 26 页 共 76 页 3.2.1.2 常见内部威胁 政务 网站 系统 内部人员 （网站系统维护人员、网站主页及内容维护人员）的有意或无意的非法操作 或蓄意地通过设置系统后 门、主页挂马、传播病毒等措施 ，来破坏政务网站系统的可用性，甚至通过越权操作 篡改网页内容或故意歪曲信息，窃取机密信息。对外加或社会造成更大的危害。 由于内部人员直接接触重要信息，并且了解网站系统的安 全防御措施和管理手段，因此，相对于外部用户而言，其更容易规避安全保障措施 ，利用系统安全防御措施的漏洞或管理体系的弱点，从内部发起攻击来破坏网 站系统的安全 。 来自内部的威胁主要来源于 内部人员恶意破坏、管理人员滥用职权、执行人员操作不当、内部管理疏漏、软硬件缺陷等 。具体体现在以下几个方面： 安全管理制度不健全，执行力 度不到位。例如，存在 非法接入、非法外联、网络滥用、外设滥用 等情况。 系统本身存在漏洞。例如，未能有效检测出 移动设备（笔记本电脑等）或 新增设备 中存在的不安全因素，导致 病毒 的 传播、黑客 的入侵 。 内部懂技术、会编程的人员直接编写攻击代码