DB42T 1865.5-2022 政府网站集约化建设规范 第5部分：系统安全

CCSL70DB42湖北省市场监督管理局发布IDB42/T1865.5—2022前言 12规范性引用文件 13术语和定义 14安全架构 15安全物理环境 26网络安全 27安全防护 38平台监控 49数据恢复与备份 510安全管理 6参考文献 7DB42/T1865.5—2022本文件按GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件是DB42/T1865《政府网站集约化建设规范》的第5部分。DB42/T1865已发布了以下部分：——第1部分：平台建设；——第2部分：网站建设；——第3部分：信息资源；——第4部分：数据交换；——第5部分：系统安全；——第6部分：运维管理。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由湖北省政务管理办公室提出并归口。本文件起草单位：湖北省大数据中心、湖北省标准化与质量研究院、湖北日报传媒集团、拓尔思信息技术股份有限公司、湖北省楚天云有限公司。本文件主要起草人：顾鑫、江艳玲、涂俊、周硙、麦清涛、李君黎、张晓枫、肖诗荣、彭成明、饶飘雪、冯金平。本文件实施应用中的疑问，可咨询湖北省政务管理办公室，联系电话邮箱：623197124@；对本标准的有关修改意见建议，请反馈至湖北省大数据中心，联系电话邮箱：1339495767@。DB42/T1865.5—2022V随着大数据、云计算等新兴技术和理念的发展，大数据思维和应用已经开始逐渐渗透到公共管理和政府治理范畴内，改变了政府信息的收集、加工、存储、传递、反馈和利用的过程管理方式。为进一步加强政府网站管理，引领各级政府网站创新发展，2017年5月，国务院办公厅印发的《政府网站发展指引》中明确要求“要通过统一标准体系、统一技术平台、统一安全防护、统一运维监管，集中管理信息数据，集中提供内容服务，实现政府网站资源优化融合、平台整合安全、数据互认共享、管理统筹规范、服务便捷高效”。政府网站集约化标准普遍适用于政府网站安全、建设和组织管理工作，拟由六部分构成。——第1部分：平台建设。用于省政务管理办公室对政府网站集约化平台建设按照统一规范要求全面开展集约化工作，包括平台构成、集约模式、技术要求、平台功能、平台安全和平台指标。——第2部分：网站建设。用于省政务管理办公室对政府网站集约化建设包括政府门户网站和部门网站在内的在互联网上开办具有信息发布、解读回应、办事服务、互动交流等网站功能。——第3部分：信息资源。适用于湖北省、市州各级政府部门开展政府网站及部门网站的建设提供了建设和管理。——第4部分：数据交换。适用于对我省政府网站集约化数据进行技术层面上的规范管理，厘清数据共享交换层级、流转路径和交换方式等相关要求。——第5部分：系统安全。适用于从标准制定、系统架构、云服务管理模式、用户体验创新以及配套支撑等方面进行了全面探索和创新。——第6部分：运维管理。目的在于规定了湖北省政府网站集约化运维管理组织、运维内容、第三方机构管理和监督考核。DB42/T1865.5—20221政府网站集约化建设规范第5部分：系统安全本文件提出了政府网站集约化系统安全架构、安全物理环境、网络安全、安全防护、平台监控、数据恢复与备份和安全管理相关内容。本文件适用于指导政府部门开展网站系统安全防护工作，也可作为对政府网站系统实施安全检查的依据。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T2887GB/T9361GB/T31167GB/T31168GB/T35273计算机场地通用规范计算机场地安全要求云计算服务安全指南云计算服务安全能力要求信息安全技术个人信息安全规范3术语和定义下列的术语和定义适用于本文件。3.1政府网站governmentwebsite政府网站包括政府门户网站和部门网站。是各级政府及其部门、派出机构和承担行政职能的事业单位在互联网上开办的，具有信息发布、解读回应、办事服务、互动交流等功能的网站。3.2政府网站系统websitesystemofgovernment包含集约化平台、政府网站及支撑其运行的物理环境、网络环境、软硬件及产生和发布的信息等。4安全架构4.1政府网站架构4.1.1逻辑结构政府网站不仅是代表政府形象的主要窗口，更是政府服务于公众、向公众发布信息的主要渠道，是实现公众与政府进行互动的主要载体。政府网站系统逻辑结构如图1所示。2DB42/T1865.5—2022图1政府网站系统逻辑结构政府网站系统可依托政务云及其他类型数据中心等基础设施来建立网站系统，并建立安全保障系统(包括网页防篡改系统、安全审计系统、恶意代码防范系统、补丁更新下载系统等)来保障网站系统安全，同时与其他政务系统进行安全资源共享与交换。普通互联网用户（包括电脑终端用户、移动用户等）通过互联网访问政府网站，使用公共政务服务。政府行政办公用户通过互联网访问网站进行数据共享和业务处理。运维管理终端用户通过VPN等方式对网站系统进行远程安全管理。4.2安全目标政府网站系统的安全防护工作应实现以下目标：a)提升网页防篡改及监测、恢复能力，降低网页被篡改的安全风险；b)提高入侵防护能力及系统可用性，降低网站服务中断的安全风险；c)强化数据安全管控措施，降低网站敏感信息泄露的安全风险；d)构建纵深防御体系，降低网站被恶意控制的风险；e)采取网站防假冒措施，降低网站被仿冒的安全风险。5安全物理环境在物理环境安全方面，包括以下安全措施：a)应根据GB/T9361和GB/T2887的规定，保障机房门禁系统、视频监控、动力监控、温湿度监控、UPS电源等场地设施和周围环境及消防安全，以及24小时不间断运行的要求；b)应采取双路市电供电，对于业务连续性要求更高的政府网站系统，可采用备用发电机、与电力供应商签订电力紧急支援协议等供电措施；c)应采用有效方法防范对信息传输线路的物理接触，如：将通信线缆铺设在地下或管道内等隐蔽处，以防止传输过程中的数据篡改、干扰以及对线缆的物理破坏；d)电源线和通信线缆应隔离铺设，避免互相干扰；e)政府网站系统关键设备所在的机柜柜门应上锁；f)机房等重要区域应配置安全等级高的门禁系统，以便控制、鉴别和记录人员出入；g)进入机房对政府网站系统进行操作时，应由网站安全责任人或其指定的专人陪同。6网络安全6.1网络结构DB42/T1865.5—20223网络结构包含：a)政府网站系统如采用主机托管或主机租用方式建设运行，应选择由当地政府集中建设的数据中心。数据中心应符合本文件第6章的要求；b)政府网站系统采用主机托管或主机租用方式运行时，网站系统的主管单位应明确本单位和数据中心双方的安全责任边界，建立对网站系统运行环境、安全措施运行情况的监督机制；c)政府网站使用的云计算服务，应按照GB/T31167要求提供计算资源、存储资源、网络资源，并搭建物理独立的资源池，实现与其他政务租户、非政务租户资源的安全隔离；d)应按照GB/T31168要求，将服务政府网站业务运行、数据存储和处理的物理设备、运维运营系统等部署、运维于中国境内；e)政府网站系统的Web应用程序应与数据库系统分开部署。6.2网络性能网络性能包含：a)政府网站系统对外提供服务的互联网独享带宽应不低于100Mbps/200Mbps。共享带宽条件下，网站互联网出口HTTP/HTTPS协议带宽应不低于100Mbps/200Mbps；b)政府网站系统应采用负载均衡、分布式部署等方式实现多条互联网接入链路之间、多应用服务器之间、多数据库服务器之间等的负载均衡。7安全防护7.1源代码安全源代码安全应包含：a)编码安全应贯穿网站系统的整个生命周期；b)应遵循相关的代码安全编写规范，至少包含输入输出处理规范、信息提示规范、数据库访问规范等；c)当政府网站正式运行、改版或重大变更之后，应进行源代码安全测试；d)应每半年进行一次源代码安全性测试。7.2网络安全网络安全满足：a)应采用网络冗余设计，网络通信等关键链路采用冗余部署。增强级政府网站系统应至少部署2条由不同互联网接入服务商提供的互联网接入链路；b)应为支撑政府网站系统运转的关键设备提供硬件冗余措施，关键设备包括但不限于出口路由器、核心交换机、应用及数据库服务器等；c)政府网站相关服务器应使用私有IP地址，通过边界防火墙或路由器实现私有IP地址与互联网IP地址之间的地址转换；d)应建立完善的IP地址使用、绑定管理策略，以防范地址欺骗。例如仅允许指定的IP地址访问网站服务器提供的内容管理、系统管理等服务和端口，对重要服务器采取IP地址/MAC地址绑定措施。7.3恶意入侵安全防范恶意入侵安全防范要求包括：DB42/T1865.5—20224a)应能够识别攻击常用域名、IP地址等信息，记录并分析攻击者行为，对恶意攻击者IP地址等进行阻断；b)应加强对端口扫描、拒绝服务、网络蠕虫、SQL注入、跨站脚本等网络攻击行为的监测和阻断；c)网络边界（互联网、安全域）应部署防火墙，选用入侵防护网关、入侵监测网关、恶意木马监测网关等安全设备设置边界防护策略；d)针对网站程序的漏洞应优先采取修改源代码的方式进行漏洞弥补，选用Web应用防火墙或软件进行防护。7.4数据库安全数据库安全包括：a)应选择安全数据库系统或根据网站系统性能、可用性、安全要求等需求对数据库系统进行定制（包括：内核、服务、应用、端口等），或借助第三方机构对数据库系统进行安全加固。b)数据库系统应遵循最小安装原则，仅安装应用必需的服务、组件等。c)应及时修改数据库系统的默认密码或将默认账号锁定、删除，按照相应的基线配置要求对数据库系统进行配置。口令应由大小写字母、数字及特殊字符组成。普通用户的口令长度不宜短于10个字符，系统管理员用户的口令长度不宜短于12个字符，且每三个月至少修改一次。d)应按照最小权限原则设计数据库角色和权限，并将相应账号分配给对应的用户，避免账号共用和权限滥用。e)应支持用户设定仅允许服务器从VPC内部访问数据库服务。f)应提供白名单设置功能，用户可以设置IP白名单，仅允许指定源IP访问用户的数据库实例服g)应支持政府网站数据及备份数据与其他业务系统数据隔离存储。7.5身份鉴别身份鉴别要求包括：a)应针对不同类型的用户设置不同强度的鉴别机制。b)建立网站系统平台和网站管理平台各个层面的身份鉴别机制，应对口令强度和更换周期、登录超时、登录次数等进行设置，至少采取两种及以上组合的鉴别技术。c)应定期修改各系统平台默认管理员的账户名和密码。d)应实现系统管理用户、内容编辑用户、内容审核用户等特权用户的权限分离。7.6安全审计安全审计要求包括：a)应针对前台用户的注册、登录、关键业务操作等行为进行日志记录，内容包括但不限于用户姓名、手机号码、注册时间、注册地址、登录时间、登录地址、操作用户信息、操作时间、操作内容及操作结果等；b)应针对后台内容管理用户的登录、网站内容编辑、审核及发布等行为进行日志记录，内容包括但不限于用户登录时间、登录地址以及编辑、审核及发布等行为发生时的用户信息、时间、地址、内容和结果等；c)通过对网站访问日志中攻击事件的审计分析，确认攻击危害性并作出相应的控制措施。8平台监控DB42/T1865.5—202258.1安全监控安全监控要求包括：a)通过对平台的监控，设定监控频度和状态阀值，监控网站的安全性和可用性，对异常情况及时报警，并定期对历史监控数据进行分类归档。b)网站安全性监控宜包含页面篡改、网站挂马、域名劫持、关键词等。c)网站可用性监控宜包含网站联通、业务功能、系统资源、响应时间、下载速度等。8.2系统平台检测系统平台检测应满足：a)应通过安全检查，确保安全设备、服务器操作系统、网站系统平台的配置安全；b)应定期进行一次网站安全扫描，至少包含网站系统平台，操作系统，页面漏洞等方面的扫描；c)在扫描和测试之前，应对数据库和网站应用程序进行备份；在扫描和测试结束之后应及时进行安全加固，对漏洞可能已造成的入侵进行确认和修复。9数据恢复与备份9.1数据安全9.1.1内容发布安全在内容发布安全方面，包括以下安全措施：a)政务网站系统采用包括Web应用、App程序或公众号等新媒体形式发布内容，均应提供内容发布、推送、转载、链接的审核功能，并提供网站内容编辑与审核发布权限分离的功能；b)政务网站应仅面向经实名身份验证的注册用户提供信息发布功能，且提供信息经审核人员审核后才能发布的功能选项；c)应利用木马监控系统或第三方安全服务等方式及时/实时发现并处置网站挂马事件；d)应利用网页防篡改系统、人工自检或第三方安全服务等方式实时探测网站内容，发现黑客、黑页、暗链、页面篡改等行为，并迅速处置；e)应提供技术手段辅助进行网站发布内容的过滤；f)对于已发布的内容应进行舆论监控，禁止发布违法和违反社会道德规范的内容；g)应通过限制非注册用户访问行为等方式及时发现并阻断网页爬虫等攻击。9.1.2个人信息安全个人信息安全应满足：a)应参照GB/T35273对政府网站系统涉及个人信息、儿童个人信息进行分类和识别；b)针对掌握公民个人信息及个人敏感信息、儿童个人信息的政府网站系统，个人信息及敏感信息在远程传输过程中应采用加密措施进行保护；c)针对掌握公民个人信息及个人敏感信息、儿童个人信息的政府网站系统，个人信息及敏感信息在本地存储介质和数据库中应加密存储；d)针对政府网站应用的不同场景，应采取去标识化等措施最大程度避免个人敏感信息泄露；e)针对政府网站系统中个人信息数据收集、存储、使用、转移、披露、删除等活动，应遵守国家有关规定。DB42/T1865.5—202269.2传输和存储传输和存储应满足：a)应采用密码技术与安全通信协议实现身份鉴别信息、配置参数、业务数据、管理数据等重要数据信息保密性及完整性；b)采用的密码技术应符合国家与行业主管部门相关规定；c)应采用抗抵赖攻击技术对重要的用户交互信息进行保护。9.3备份和恢复备份和回复要求包括：a)应按照政府网站系统安全保护等级采取备份、容灾、销毁等方面的数据保护措施；b)应每周至少对网站数据库进行一次安全备份，每天进行一次差异备份；c)网站数据库应每年至少进行一次恢复测试，确保备份数据库文件的可用性；d)应周期性测试备份系统和备份数据，支持故障识别和备份重建；e)对网站基础设施和应用系统层面相关配置文件、审计记录等系统数据，应每季度及在配置发生时进行一次备份。10安全管理10.1应急管理应急管理要求应包括：a)应按照《湖北省突发公共事件总体应急预案》的要求，制定网站安全应急预案，针对网站相关的各类安全事件明确事件的级别和启动条件，以及应急处置和系统恢复的流程。b)在网站发生瘫痪、网页篡改或挂马、分布式拒绝服务攻击、域名劫持、信息泄露等重大信息安全事件时，应立即启动应急预案。c)应每年至少进行一次网络安全应急预案演练，并在演练或安全事件处置后及时修改完善应急预案。10.2安全评估安全评估要求应包括：a)在政府网站开通前，或新增栏目、功能后及时开展安全评估；b)定期开展常规网络安全检查，