參考范圍：內(nèi)部參考 文檔編號： HTSEC-XXAQ-2009-0105 中軟華泰 政務(wù)網(wǎng)站 系統(tǒng) 安全等級保護(hù) 技術(shù) 方案設(shè)計 Version 1.0 北京 中軟華泰信息技術(shù)有限責(zé)任 公司 2009年 1月 中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 2 頁 共 76 頁 文檔控制 擬 制 : 審 核 : 批 準(zhǔn) : 標(biāo)準(zhǔn)化 : 讀 者： 版本控制 版本號 日期 修改人 說明 V1.0 V1.1 V1.2 V1.3 V1.4 分發(fā)控制 編號 讀者 文檔權(quán)限 與文檔的主要關(guān)系 中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 3 頁 共 76 頁 目 錄 1 前言 . 5 1.1 方案 設(shè)計目的 . 5 1.2 方案 設(shè)計原則 . 6 1.3 方案 參考標(biāo)準(zhǔn) . 8 2 信息系統(tǒng)運(yùn)行環(huán)境分析 . 10 2.1 應(yīng)用系統(tǒng) 描述 . 10 2.1.1 政務(wù)網(wǎng)站系統(tǒng) . 10 2.1.2 政務(wù)辦公系統(tǒng) . 12 2.1.3 訪問用戶分類 . 12 2.2 應(yīng)用環(huán)境分析 . 14 2.2.1 主體角色定義 . 14 2.2.2 客體對象定義 . 16 2.2.3 業(yè)務(wù)流程分析 . 17 2.3 網(wǎng)絡(luò)結(jié)構(gòu)描述 . 18 2.3.1 政務(wù)網(wǎng)站系統(tǒng) . 19 2.3.2 政務(wù)辦公系統(tǒng) . 21 3 信息系統(tǒng)安全需求分析 . 23 3.1 系統(tǒng)定級說明 . 23 3.2 安全風(fēng)險 分析 . 24 3.2.1 政務(wù)網(wǎng)站系統(tǒng) . 24 3.2.2 政務(wù)辦公系統(tǒng) . 26 3.3 安全需求分析 . 27 3.3.1 政務(wù)網(wǎng)站系統(tǒng)安全需求 . 27 3.3.2 政務(wù)辦公系統(tǒng) . 32 3.3.3 系統(tǒng)隔離與信息交換 . 32 3.3.4 集中管理安全需求 . 33 4 信息系統(tǒng)等保體系概述 . 35 4.1 保護(hù)框架概述 . 35 中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 4 頁 共 76 頁 4.2 確定區(qū)域邊界 . 37 5 信息系統(tǒng)等保建設(shè)方案 . 39 5.1 政務(wù)網(wǎng)站系統(tǒng)等級保護(hù)建設(shè)方案 . 39 5.1.1 管理中心設(shè)計 . 41 5.1.2 計算環(huán)境安全建設(shè) . 48 5.1.3 安全區(qū)域邊界子系統(tǒng)安全建設(shè) . 54 5.1.4 安全通信網(wǎng)絡(luò)子系統(tǒng)安全建設(shè) . 55 5.2 政務(wù)辦公系統(tǒng)等級保護(hù)建設(shè)方案 . 56 5.2.1 管理中心設(shè)計 . 58 5.2.2 計算環(huán)境安全建設(shè) . 63 5.2.3 安全區(qū)域邊界子系統(tǒng)安全建設(shè) . 71 5.2.4 安全通信網(wǎng)絡(luò)子系統(tǒng)安全建設(shè) . 71 6 信息系統(tǒng)等保方案與相關(guān)標(biāo)準(zhǔn)的對照 . 72 中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 5 頁 共 76 頁 1 前言 1.1 方案 設(shè)計 目的 社會發(fā)展的不同階段有不同特質(zhì)的信息安全問題，在社會發(fā)展要求網(wǎng)絡(luò)化信息系統(tǒng)互連互通的信息化時代，信息安全問題的實質(zhì)直接表現(xiàn)為國家主權(quán)、政治、經(jīng)濟(jì)、國防、社會安全和公民合法權(quán)益保障。 因 此，國家高度重視信息安全保護(hù)工作。經(jīng)黨中央和國務(wù)院批準(zhǔn)，國家信息化領(lǐng)導(dǎo)小組決定加強(qiáng)信息安全保障工作，實行信息安全等級保護(hù)，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，要抓緊安全等 級保護(hù)制度建設(shè)。這一重大決定，明確落實了中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例中關(guān)于實行信息安全等級保護(hù)制度的有關(guān)規(guī)定，提出了從整體上根本上解決國家信息安全問題的辦法 ,進(jìn)一步確定了信息安全發(fā)展主線、中心任務(wù)，提出了總要求。對信息系統(tǒng)實行等級保護(hù)是國家法定制度和基本國策，是開展信息安全保護(hù)工作的有效辦法，是信息安全保護(hù)工作的發(fā)展方向。實行信息安全等級保護(hù)的決定具有重大的現(xiàn)實和戰(zhàn)略意義。 同時，也為國內(nèi)的信息安全產(chǎn)業(yè)提出了巨大的挑戰(zhàn)和機(jī)遇。 北京中軟華泰信息技術(shù)有限責(zé)任公司成立于 2000 年，是專業(yè)從事信息安 全體系研究，信息安全產(chǎn)品研制、生產(chǎn)、銷售企業(yè)。公司一直把操作系統(tǒng)安全和信息應(yīng)用系統(tǒng)安全作為產(chǎn)業(yè)方向。近年來，先后參與國家發(fā)改委、科技部、北京市科委等重大產(chǎn)業(yè)發(fā)展研究項目，并成為國家與微軟原代碼級合作的技術(shù)承擔(dān)單位。公司堅持產(chǎn)、學(xué)、研相結(jié)合的發(fā)展方向，與北京交通大學(xué)、北京工業(yè)大學(xué)共同成立研究生培養(yǎng)基地，在為國家輸送大批信息安全專業(yè)人才的同時也使公司具備了堅實的技術(shù)儲備。 2008 年初，公安部為制訂信息安全信息系統(tǒng)等級保護(hù)設(shè)計基本要求的國家標(biāo)準(zhǔn)，進(jìn)行等級安全應(yīng)用技術(shù)平臺模擬系統(tǒng)搭建工作，公司在眾多競爭者中脫穎 而出，承接了目前最高等級四級系統(tǒng)的建設(shè)任務(wù)，并 已 于2008 年 11 月底完成項目驗收，從而成為等級保護(hù)國家標(biāo)準(zhǔn) 863 課題研究參與單位，目前正在配合國家主管單位參與國家重大支持項目的申請工作。公司今后將致力于等級保護(hù)的方案和產(chǎn)品提供。不斷推出符合等級保護(hù)標(biāo)準(zhǔn)的安全產(chǎn)品，竭中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 6 頁 共 76 頁 盡全力為國家的信息安全事業(yè)做出貢獻(xiàn)。 本方案 以一個典型的省級政府部門電子政務(wù) 網(wǎng)站 系統(tǒng)為應(yīng)用案例，充分 分析電子政務(wù) 網(wǎng)站 系統(tǒng) 的安全建設(shè)需求，結(jié)合國家等級保護(hù)的建設(shè)規(guī)范和技術(shù)要求 ，設(shè)計了符合其相應(yīng)的安全等級防護(hù)要求的技術(shù)方案， 并給出了詳細(xì)的建設(shè)方案。 1.2 方案 設(shè)計原則 等級保護(hù)是國家信息安全建設(shè)的重要政策， 其 核心是對信息系統(tǒng)分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。 對于 中軟華泰 公司信息安全建設(shè)，應(yīng)當(dāng)以適度風(fēng)險為核心，以重點(diǎn)保護(hù)為原則，從業(yè)務(wù)的角度出發(fā)，重點(diǎn)保護(hù)重要的業(yè)務(wù)、研發(fā)類信息系統(tǒng)，在方案設(shè)計中應(yīng)當(dāng)遵循以下的原則： 適度安全原則 任何信息系統(tǒng)都不能做到絕對的安全，在 進(jìn)行 中軟華泰 信息安全等級保護(hù)規(guī)劃中 ，要在安全需求、安全風(fēng)險和安全成本之間進(jìn)行平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運(yùn)行的復(fù)雜性。 適度安全也是等級保護(hù)建設(shè)的初衷，因此在進(jìn)行等級保護(hù)設(shè) 計的過程中，一方面要嚴(yán)格遵循基本要求，從網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面加強(qiáng)防護(hù)措施，保障信息系統(tǒng)的機(jī)密性、完整性和可用性，另外也要綜合成本的角度，針對 中軟華泰 公司信息系統(tǒng)的實際風(fēng)險，提出對應(yīng)的保護(hù)強(qiáng)度，并按照保護(hù)強(qiáng)度進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計和建設(shè)，從而有效控制成本。 重點(diǎn)保護(hù)原則 根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同安全 保護(hù) 等級的信息 系統(tǒng) ，實現(xiàn)不同強(qiáng)度的 安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)；本方案在設(shè)計中將重點(diǎn)保護(hù)涉及生產(chǎn)、研發(fā)、銷售等關(guān)鍵業(yè)務(wù)的信息系統(tǒng)，對其他信息系統(tǒng)則降低 保護(hù)等級進(jìn)行一般性設(shè)計和防護(hù)； 技術(shù)管理并重原則 信息安全問題從來就不是單純的技術(shù) 問題，把防范黑客入侵和病毒感染理解為信息安全問題的全部是片面的， 僅僅通過部署安全產(chǎn)品很難完全覆蓋 所有的 信中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 7 頁 共 76 頁 息安全問題 ，因此必須要把技術(shù)措施和管理措施結(jié)合起來，更有效的保障 中軟華泰 信息系統(tǒng)的整體安全性，形成技術(shù)和管理兩個部分的建設(shè)方案 ； 分區(qū)分域建設(shè)原則 對信息系統(tǒng)進(jìn)行安全保護(hù)的有效方法就是分區(qū)分域，由于信息系統(tǒng)中各個信息資產(chǎn)的重要性是不同的，并且訪問特點(diǎn)也不盡相同，因此需要把具有相似特點(diǎn)的信息資產(chǎn)集合起來，進(jìn)行總體防護(hù)，從而可更 好地保障安全策略的有效性和一致性，比如把業(yè)務(wù)服務(wù)器集中起來單獨(dú)隔離，然后根據(jù)各業(yè)務(wù)部門的訪問需求進(jìn)行隔離和訪問控制；另外分區(qū)分域還有助于對網(wǎng)絡(luò)系統(tǒng)進(jìn)行集中管理，一旦其中某些安全區(qū)域內(nèi)發(fā)生安全事件，可通過嚴(yán)格的邊界安全防護(hù)限制事件在整網(wǎng)蔓延； 標(biāo)準(zhǔn) 性 原則 中軟華泰 信息安全保護(hù)體系應(yīng)當(dāng)同時考慮與其他標(biāo)準(zhǔn)的符合性，在方案中的技術(shù)部分將參考 IATF 安全體系框架進(jìn)行設(shè)計，在管理方面同時參考 27001 安全管理指南，使建成后的等級保護(hù)體系更具有廣泛的實用性； 動態(tài)調(diào)整原則 信息安全問題不是靜態(tài)的，它總是隨著 管理相關(guān)的組織 策略、組織架構(gòu)、信息系統(tǒng)和操作流程的改變而改變 ，因此必須 要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施 ； 標(biāo)準(zhǔn)性原則 信息安全建設(shè)是非常復(fù)雜的過程，在設(shè)計信息安全系統(tǒng)，進(jìn)行安全體系規(guī)劃中單純依賴經(jīng)驗，是無法對抗未知的威脅和攻擊，因此需要遵循相應(yīng)的安全標(biāo)準(zhǔn)，從更全面的角度進(jìn)行差異性分析，是本方案重點(diǎn)強(qiáng)調(diào)的設(shè)計原則； 成熟性原則 本方案設(shè)計采取的安全措施和產(chǎn)品，在技術(shù)上是成熟的，是被檢驗確實能夠解決安全問題并在很多項目中有成功應(yīng)用的； 科學(xué)性原則 本方案的設(shè)計是建立在安全評估基礎(chǔ)上的，在威脅分析、弱點(diǎn)分析和風(fēng)險分中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 8 頁 共 76 頁 析 方面，是建立在客觀評價的基礎(chǔ)上而展開分析的結(jié)果，因此方案設(shè)計的措施和策略一方面能夠符合國家等級保護(hù)的相關(guān)要求，另一方面也能夠很好地解決信息網(wǎng)絡(luò)中存在的安全問題，滿足特性需求。 1.3 方案 參考 標(biāo)準(zhǔn) 本方案根據(jù)國家提出的等級保護(hù)管理辦法和實施指南，針對 政務(wù)網(wǎng)站 系統(tǒng)的特點(diǎn)和安全建設(shè)需求，進(jìn)行全面的安全保障規(guī)劃，設(shè)計中重點(diǎn)參考的政策和標(biāo)準(zhǔn)包括以下部分： 本方案重點(diǎn)參考以下的的政策和標(biāo)準(zhǔn)： 指導(dǎo)思想 中辦 200327 號文件（關(guān)于轉(zhuǎn)發(fā)國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見的通知） 公通字 200466 號文件（關(guān)于印發(fā)信息安全等級保護(hù)工作的實施意見的通知） 公通字 200743 號文件（關(guān)于印發(fā)信息安全等級保護(hù)管理辦法的通知） 等級保護(hù) GB 17859-1999 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 GB/T aaaaa-xxxx 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實施指南 系統(tǒng)定級 GB/T aaaaa-xxxx 信息安全技術(shù) 信息系統(tǒng)安全保護(hù)等級定級指南 技術(shù)方面 GB/T aaaaa-xxxx 信息安全技術(shù) 信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求 GB/T 20270-2006 信息安全 技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求 GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求 GB/T 20273-2006 信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)通用安全技術(shù)要求 GA/T671-2006 信息安全技術(shù) 終端計算機(jī)系統(tǒng)安全等級技術(shù)要求 GA/T 709-2007 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本模型 中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 9 頁 共 76 頁 GB/T aaaaa-xxxx 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求 管理方面 GB/T aaaaa-xxxx 信 息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求 ISO/IEC 27001 信息系統(tǒng)安全管理體系標(biāo)準(zhǔn) 方案設(shè)計 信息安全技術(shù) 信息系統(tǒng)等級保護(hù)安全建設(shè)技術(shù)方案設(shè)計規(guī)范 中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 10 頁 共 76 頁 2 信息系統(tǒng)運(yùn)行環(huán)境分析 2.1 應(yīng)用系統(tǒng) 描述 本方案設(shè)計對象為常見的政務(wù)網(wǎng)站系統(tǒng)，通常此類系統(tǒng)包含前端和后端兩個部分，其中前端系統(tǒng)為政務(wù)網(wǎng)站系統(tǒng)，其作用是面向公眾開放，實現(xiàn)政務(wù)公開；后端主要為實際進(jìn)行政務(wù)處理的電子政務(wù)系統(tǒng) 。政務(wù) 網(wǎng)站總體結(jié)構(gòu)表示如下： 圖 2.1 政務(wù)網(wǎng)站體系結(jié)構(gòu)示意圖 2.1.1 政務(wù)網(wǎng)站系統(tǒng) 政務(wù)網(wǎng)站系統(tǒng)面向互聯(lián)網(wǎng)開放，提供給公眾進(jìn)行信息查詢 、政策查詢、新聞檢索等單向的信息服務(wù)，還提供給公眾進(jìn)行信息上訴、網(wǎng)上實事辦理、網(wǎng)上申請?zhí)峤坏入p向的信息服務(wù)，另外，大多數(shù)政務(wù)網(wǎng)站還提供面向公務(wù)員的接口，使得公務(wù)員在出差或移動期間，能夠 通過政務(wù)網(wǎng)站的專項主題，處理一些簡單的政務(wù)信息，另外也可以進(jìn)入公務(wù)員郵箱，查詢與公眾交互的郵件信息。 此外，政務(wù)網(wǎng)站系統(tǒng)，除了上述進(jìn)行發(fā)布的的系統(tǒng)外，還包含了對主頁進(jìn)行維護(hù)的終端設(shè)備，和對系統(tǒng)進(jìn)行運(yùn)行維護(hù)的終端設(shè)備，主頁維護(hù)終端在完成與主頁相關(guān)的修改，和編輯后，將完成的主頁通過專用發(fā)布系統(tǒng)發(fā)布出去，提供給公眾進(jìn)行查詢。 典型政 務(wù)網(wǎng)站的例子有政府門戶網(wǎng)站、網(wǎng)上報稅、社保在線、網(wǎng)上辦事等政務(wù)門戶類網(wǎng)站信息， 典型 以信息發(fā)布為主的 政務(wù)網(wǎng)站如下圖表示： 中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 11 頁 共 76 頁 圖 2.1.1 以信息發(fā)布為主的 政務(wù)門戶網(wǎng)站示意圖 典型的以提供服務(wù)為主的政務(wù)門戶網(wǎng)站如下圖表示： 圖 2.1.1b 以提供服務(wù)為主的政務(wù)門戶網(wǎng)站示意圖 中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 12 頁 共 76 頁 2.1.2 政務(wù)辦公系統(tǒng) 政務(wù)網(wǎng)站在接到互聯(lián)網(wǎng)訪問用戶所提交的一些政務(wù)申請后，還需要將這些申請信息傳遞到政務(wù)辦公系統(tǒng)，使各個委辦局根據(jù)自己責(zé)權(quán)的范圍，對這些信息進(jìn)行處理 ，處理完畢后將結(jié)果再反饋到政務(wù)網(wǎng)站系統(tǒng)，并通過政務(wù)網(wǎng)站將信息發(fā)布給申請方。 這部 分的信息系統(tǒng)我們統(tǒng)稱為“政務(wù)辦公系統(tǒng)”。 方案中描述的政務(wù)辦公系統(tǒng)，主要包括政府單位用以處理正常政務(wù)部分的信息網(wǎng)絡(luò)和系統(tǒng)。該系統(tǒng)往往運(yùn)行在電子政務(wù)平臺中， 與互聯(lián)網(wǎng)采取必要的隔離措施以保障其安全性，并且相對于政務(wù)網(wǎng)站系統(tǒng)，辦公系統(tǒng)要求有更高的保密性和安全性，要求有完善的安全防護(hù)手段。 圖 2.1.2 典型政務(wù)辦公系統(tǒng)邏輯框架示意圖 2.1.3 訪問用戶分類 2.1.3.1 政務(wù)網(wǎng)站系統(tǒng)訪問用戶 通常針對政務(wù)網(wǎng)站的訪問用戶包含以下四類： 【 一般訪問用戶 】 也就是互聯(lián)網(wǎng)上的所有用戶，這些用戶可以訪問政務(wù)網(wǎng)站的公開信息，進(jìn)行查閱； 【 政務(wù)申 請 用戶 】 中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 13 頁 共 76 頁 也屬于公眾的一類，但是需要通過政務(wù)門戶網(wǎng)站提交政務(wù)處理申請，由于這些申請數(shù)據(jù)大都牽扯到一些個人敏感信息（比如通過網(wǎng)上報稅系統(tǒng)提交的報稅申請，通過金宏門戶提交的項目審批申請，通過政務(wù)采購門戶網(wǎng)站提交的報價單等信息），因此需要對訪問信息進(jìn)行保護(hù)，避免不必要的信息泄露或信息篡改； 【 公務(wù)員 】 實際上屬于一種特殊類型的政務(wù)訪問用戶， 主要訪問網(wǎng)站系統(tǒng)的 公務(wù)員郵箱 ，對公眾發(fā)送的投訴信息進(jìn)行處理；此外，公務(wù)員在移動辦公的過程中，通過訪問網(wǎng)站系統(tǒng)的主頁專用頁面，進(jìn)行 相關(guān)的政務(wù)處理； 【網(wǎng)頁維護(hù)人員】 從政務(wù)內(nèi)網(wǎng)得 到可發(fā)布的政策、標(biāo)準(zhǔn)、新聞等內(nèi)容，然后利用網(wǎng)站系統(tǒng)內(nèi)部的維護(hù)終端，編輯成網(wǎng)頁的形式，在網(wǎng)站系統(tǒng)上進(jìn)行發(fā)布，提供給公眾進(jìn)行查詢。 2.1.3.2 政務(wù) 辦公 系統(tǒng)訪問用戶 針對政務(wù)辦公系統(tǒng)， 其 主要的訪問用戶則 包含了 以下 三 個類別 【 一般工作人員 】 其主要工作是將那些通過手動方式提交的政務(wù)辦公申請進(jìn)行錄入，并保障錄入信息的完整性 ； 【 審 核 人員 】 就是將那些通過政務(wù)網(wǎng)站自動傳遞過來的信息，以及一般工作人員錄入的申請，根據(jù)申請內(nèi)容，對申請材料進(jìn)行簽批和辦理，對于比較重要的文件，還需要傳遞給領(lǐng)導(dǎo)進(jìn)行最終審閱； 【 領(lǐng)導(dǎo) 】 對一些重要申請的 內(nèi)容和簽批結(jié)果進(jìn)行最終審批，對于跨職能部門的申請，還需要轉(zhuǎn)發(fā)給相關(guān)單位進(jìn)行處理。 除了上述的對系統(tǒng)的訪問用戶以外，政務(wù)網(wǎng)站系統(tǒng)和政務(wù)辦公系統(tǒng)還包含了系統(tǒng)運(yùn)行維護(hù)管理人員，其中政務(wù)網(wǎng)站系統(tǒng)有網(wǎng)頁維護(hù)人員 (主要任務(wù)是編輯網(wǎng)頁內(nèi)容 )、 網(wǎng)頁上傳審批人員、 系統(tǒng)管理員（對各類信息資產(chǎn)進(jìn)行維護(hù)）、安全管理員（負(fù)責(zé)對系統(tǒng)的安全狀態(tài)進(jìn)行監(jiān)控，對安全設(shè)備提供策略配置）、日志審計中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 14 頁 共 76 頁 員（對系統(tǒng)內(nèi)的訪問信息進(jìn)行查詢和檢索）； 政務(wù)辦公系統(tǒng)有網(wǎng)頁維護(hù)人員（主要任務(wù)是對采用 B/S 架構(gòu)的政務(wù)辦公系統(tǒng)的主頁進(jìn)行維護(hù)）、系統(tǒng)管理員（對各類信息資 產(chǎn)進(jìn)行維護(hù)）、安全管理員（負(fù)責(zé)對系統(tǒng)的安全狀態(tài)進(jìn)行監(jiān)控，對安全設(shè)備提供策略配置）、日志審計員（對系統(tǒng)內(nèi)的訪問信息進(jìn)行查詢和檢索）。 2.2 應(yīng)用環(huán)境分析 等級保護(hù)的核心是應(yīng)用系統(tǒng)的安全，三級系統(tǒng)等級保護(hù)的要點(diǎn)是：實現(xiàn)基于業(yè)務(wù)全過程的訪問控制，因此有必要對應(yīng)用系統(tǒng)支撐的流程，和主 /體標(biāo)識進(jìn)行詳細(xì)的設(shè)計， 并實現(xiàn)基于標(biāo)識的強(qiáng)制訪問控制。 從應(yīng)用保障的角度，對應(yīng)用運(yùn)行環(huán)境的要素分析如下： 2.2.1 主體角色定義 根據(jù)等級保護(hù)對主體的定義，在本方案中將主體形式化為訪問信息系統(tǒng)的用戶，那么針對政務(wù)網(wǎng)站系統(tǒng)和政務(wù)辦公系統(tǒng)，確定的主題角色包 括： 2.2.1.1 政務(wù)網(wǎng)站系統(tǒng)主體角色定義 包括以下兩個大類，七個主體角色，分別是： 操作員類的四個主體角色： 【 一般訪問用戶 】 從互聯(lián)網(wǎng)訪問網(wǎng)站系統(tǒng)，獲取政務(wù)相關(guān)法規(guī)、制度、流程、新聞等靜態(tài)文本信息的互聯(lián)網(wǎng)訪問用戶。 【 政務(wù)申請 用戶】 利用網(wǎng)站提交相關(guān)申請材料， 需要對訪問行為進(jìn)行認(rèn)證，并根據(jù)決定的身份控制可訪問的頁面的互聯(lián)網(wǎng)訪問用戶。 【公務(wù)員】 訪問網(wǎng)站系統(tǒng)的公務(wù)員郵箱系統(tǒng)，處理相關(guān)文件，或者在移動辦公狀態(tài)下從中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 15 頁 共 76 頁 互聯(lián)網(wǎng)上訪問網(wǎng)站系統(tǒng)的特定頁面，進(jìn)行一些政務(wù)處理的人員。 【網(wǎng)頁維護(hù)人員】 維護(hù)網(wǎng)站系統(tǒng)的網(wǎng)頁內(nèi)容，進(jìn)行編 輯并上傳網(wǎng)頁服務(wù)器進(jìn)行發(fā)布的操作用戶。 管理類的三個主體角色 【系統(tǒng)管理員】 對網(wǎng)站系統(tǒng)的信息資產(chǎn)進(jìn)行集中管理和配置，保障信息系統(tǒng)的穩(wěn)定正常運(yùn)行的運(yùn)行維護(hù)人員。 【安全管理員】 對網(wǎng)站系統(tǒng)的活動狀態(tài)進(jìn)行實時監(jiān)控，對安全設(shè)備進(jìn)行策略配置，對網(wǎng)絡(luò)的安全運(yùn)行負(fù)責(zé)的維護(hù)人員。 【安全審計員】 對網(wǎng)站的活動日志進(jìn)行集中收集和分析，掌握網(wǎng)站的受訪狀態(tài)，并進(jìn)行深度關(guān)聯(lián)分析，從而對網(wǎng)站系統(tǒng)的安全狀態(tài)進(jìn)行透徹解析和掌握的維護(hù)人員。 2.2.1.2 政務(wù) 辦公 系統(tǒng)主體角色定義 包括以下兩個大類，六個主體角色，分別是： 操作員類的四個主體角色： 【 一般工作人員 】 通過手工方式錄入申請材料的政務(wù)辦公工作人員 。 【 審核人員 】 針對從手工錄入的，以及從網(wǎng)站系統(tǒng)傳遞過來的申請材料進(jìn)行審核，并對一般性申請進(jìn)行審核的人員，同時對于重要項目申請需提交領(lǐng)導(dǎo)進(jìn)行最終審核 。 【 領(lǐng)導(dǎo) 】 對重要的申請進(jìn)行最終審核的人員 管理類的三個主體角色 【系統(tǒng)管理員】 對 政務(wù)辦公 系統(tǒng)的信息資產(chǎn)進(jìn)行集中管理和配置，保障信息系統(tǒng)的穩(wěn)定正常運(yùn)行的運(yùn)行維護(hù)人員 ，同時還要維護(hù)政務(wù)辦公的應(yīng)用軟件。 中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 16 頁 共 76 頁 【安全管理員】 對 政務(wù)辦公 系統(tǒng)的活動狀態(tài)進(jìn)行實時監(jiān)控，對安全設(shè)備進(jìn)行策略配置，對網(wǎng)絡(luò)的安全運(yùn)行負(fù)責(zé) 的維護(hù)人員。 【安全審計員】 對 政務(wù)辦公系統(tǒng) 的活動日志進(jìn)行集中收集和分析，掌握網(wǎng)站的受訪狀態(tài)，并進(jìn)行深度關(guān)聯(lián)分析，從而對網(wǎng)站系統(tǒng)的安全狀態(tài)進(jìn)行透徹解析和掌握的維護(hù)人員。 2.2.2 客體對象定義 根據(jù)等級保護(hù)對客體的定義，在本方案中將客體形式化為信息系統(tǒng)中處理的文件和數(shù)據(jù)材料，那么針對政務(wù)網(wǎng)站系統(tǒng)和政務(wù)辦公系統(tǒng)，確定的主題角色包括： 2.2.2.1 政務(wù)網(wǎng)站系統(tǒng)客體對象 【靜態(tài)網(wǎng)頁文件】 通過靜態(tài)的形式發(fā)布在網(wǎng)站上的信息，包括政策法規(guī)、辦事流程、新聞等信息。 【申請表單】 存放在數(shù)據(jù)庫中，作為網(wǎng)站政務(wù)申請用戶提交的申請文件。 【審核結(jié) 果表單】 經(jīng)政務(wù)辦公系統(tǒng)內(nèi)審核人員和領(lǐng)導(dǎo)審核后，并反饋回政務(wù)網(wǎng)站，提供給政務(wù)申請用戶的表單文件，存放在數(shù)據(jù)庫中。 2.2.2.2 政務(wù)辦公系統(tǒng)客體對象 【申請表單】 存放在數(shù)據(jù)庫中，是政務(wù)申請用戶通過網(wǎng)站系統(tǒng)提交的，傳遞到政務(wù)辦公系統(tǒng)待審核的申請表單數(shù)據(jù)。 【審核結(jié)果表單】 中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 17 頁 共 76 頁 經(jīng)政務(wù)辦公系統(tǒng)內(nèi)審核人員和領(lǐng)導(dǎo)審核后，并反饋回政務(wù)網(wǎng)站，提供給政務(wù)申請用戶的表單文件，存放在數(shù)據(jù)庫中。 2.2.3 業(yè)務(wù)流程分析 業(yè)務(wù)流程體系那了主體對客體的操作過程，是等級保護(hù)訪問控制策略的依據(jù)。針對政務(wù)網(wǎng)站和辦公系統(tǒng)，其業(yè)務(wù)流程分別包括： 2.2.3.1 政務(wù)網(wǎng)站系統(tǒng)業(yè)務(wù)流程 政務(wù)網(wǎng)站系統(tǒng)共包含了兩個主要流程，分別為： 【靜態(tài)網(wǎng)頁發(fā)布流程】 該流程的具體過程為： 1 網(wǎng)頁維護(hù)人員得到需要發(fā)布的內(nèi)容； 2 網(wǎng)頁維護(hù)人員通過網(wǎng)頁維護(hù)終端，對發(fā)布內(nèi)容進(jìn)行編輯，并進(jìn)行格式化的處理； 3 處理后的內(nèi)容，經(jīng)網(wǎng)頁維護(hù)終端上傳到網(wǎng)頁發(fā)布系統(tǒng)內(nèi)，等待發(fā)布； 4 網(wǎng)頁發(fā)布系統(tǒng)自動在夜間完成網(wǎng)頁內(nèi)容的上傳，更換當(dāng)前的網(wǎng)頁或增加到當(dāng)前網(wǎng)頁下，以提供給網(wǎng)站一般訪問用戶進(jìn)行查詢。 【網(wǎng)站申請?zhí)峤涣鞒獭?該流程的具體過程為： 1 政務(wù)申請用戶訪問指定的網(wǎng)頁（可提交政務(wù)申請的頁面），在制定的登錄窗口下輸入用戶 名和口令，完成認(rèn)證后進(jìn)入申請頁面； 2 政務(wù)申請用戶在制定頁面上填寫相關(guān)申請信息，提交相關(guān)的申報材料； 3 申報材料經(jīng)政務(wù)申請用戶確認(rèn)后，保存在數(shù)據(jù)庫中； 4 政務(wù)申請表單被自動傳遞到政務(wù)辦公系統(tǒng)內(nèi)，供審核人員進(jìn)行相關(guān)審批動作。 中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 18 頁 共 76 頁 2.2.3.2 政務(wù)辦公系統(tǒng)業(yè)務(wù)流程 政務(wù)辦公系統(tǒng)共包含了兩個主要流程，分別為： 【大廳申請?zhí)峤涣鞒獭?該流程的具體過程為： 1 政務(wù)申請用戶到辦事大廳，提交紙質(zhì)的申請材料（無上網(wǎng)條件的政務(wù)申請用戶）； 2 政務(wù)辦公系統(tǒng)的一般工作人員，將申請材料手工錄入到政務(wù)辦公系統(tǒng)內(nèi)，經(jīng)確認(rèn)后保存在數(shù)據(jù)中； 3 錄入后將等待審核人員和領(lǐng)導(dǎo)的進(jìn)一步確認(rèn)。 【申請?zhí)幚砹鞒獭?該流程的具體過程為： 1 審核人員通過政務(wù)辦公系統(tǒng)，調(diào)出待審核的政務(wù)申請表單； 2 審核人員針對政務(wù)申請表單的內(nèi)容進(jìn)行審核，對于符合相關(guān)要求，并且是不重要的政務(wù)申請則立即給出審核意見，并形成審核結(jié)果表單； 3 對于重要的政務(wù)申請（主要指超出審核人員的權(quán)限的），需要提交領(lǐng)導(dǎo)做進(jìn)一步的審批； 4 領(lǐng)導(dǎo)對重要的政務(wù)申請表單進(jìn)行最終審核，對于需要其他相關(guān)部門簽批意見的申請表單則進(jìn)行轉(zhuǎn)發(fā)； 5 通過審核的表單自動生成審核結(jié)果表單，并存放在政務(wù)辦公系統(tǒng)的數(shù)據(jù) 庫中； 6 數(shù)據(jù)庫自動將審核反饋表單傳遞到政務(wù)網(wǎng)站系統(tǒng)數(shù)據(jù)庫，并通過政務(wù)網(wǎng)站將信息提交給政務(wù)申請人員進(jìn)行查詢；另外，審核人員也可電話通知政務(wù)申請人員的審核結(jié)果。 2.3 網(wǎng)絡(luò) 結(jié)構(gòu) 描述 如前描述，本方案設(shè)計對象包含了兩個系統(tǒng)，一是提供公開信息發(fā)布的 政務(wù)網(wǎng)站 系統(tǒng)，一是實現(xiàn)政務(wù)業(yè)務(wù)處理的政務(wù)辦公系統(tǒng)， 兩個系統(tǒng)之間通過政務(wù)廣域網(wǎng)連接，同時政務(wù)門戶網(wǎng)站面向互聯(lián)網(wǎng)開放，提供給互聯(lián)網(wǎng)公眾進(jìn)行查詢，同時中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 19 頁 共 76 頁 也提供給公務(wù)員在移動辦公時進(jìn)行訪問，以及進(jìn)行簡單的政務(wù)處理。典型的網(wǎng)絡(luò)結(jié)構(gòu)如下圖表示： 圖 2.2 政務(wù)網(wǎng)站結(jié)構(gòu)示意圖 參考圖 2.2，方案設(shè)計對象包含了兩套系統(tǒng)，分別是政務(wù)辦公系統(tǒng)以及政務(wù)網(wǎng)站系統(tǒng)。 在網(wǎng)絡(luò)組成上均采用星形的結(jié)構(gòu)進(jìn)行設(shè)計，采用核心交換機(jī)連接主機(jī)，出口通過路由器連接外部網(wǎng)絡(luò)的辦法，屬于典型的政務(wù)網(wǎng)絡(luò)。各系統(tǒng) 包含的信息資產(chǎn) 包括 ： 2.3.1 政務(wù)網(wǎng)站系統(tǒng) 政務(wù)網(wǎng)站系統(tǒng)包括主頁服務(wù)器、數(shù)據(jù)庫服務(wù)器、網(wǎng)頁上傳服務(wù)器、網(wǎng)頁維護(hù)終端、網(wǎng)站系統(tǒng)運(yùn)行維護(hù)終端以及相關(guān)的網(wǎng)絡(luò)設(shè)備和通信鏈路；從信息資產(chǎn)的性質(zhì)角度，包含以下部分： 2.3.1.1 服務(wù)器 由三大類服務(wù)器組成，也是政務(wù)網(wǎng)站系統(tǒng)最重要的信息資產(chǎn)，應(yīng)當(dāng)進(jìn)行重點(diǎn)保護(hù)，具體服務(wù)器包括： 第一類是主頁服務(wù)器，運(yùn)行了 政務(wù)對外的網(wǎng)頁系統(tǒng)，用于互聯(lián)網(wǎng)訪問用戶進(jìn)行查詢，常見的操作系統(tǒng)為 WINDOWS 2003/linux， 以及 IIS/apache 主頁發(fā)布軟件。 第二類是數(shù)據(jù)庫服務(wù)器，運(yùn)行著支撐網(wǎng)頁的數(shù)據(jù)庫系統(tǒng)，提供給網(wǎng)頁進(jìn)行信中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 20 頁 共 76 頁 息發(fā)布，同時也將通過網(wǎng)頁 收集互聯(lián)網(wǎng)訪問用戶提交的各類申請，記錄并傳遞到政務(wù)辦公系統(tǒng)，對申請進(jìn)行相關(guān)的處理 后再次反饋到該數(shù)據(jù)庫中發(fā)布出去。常見服務(wù)器的操作系統(tǒng)為 WINDOWS 2003，數(shù)據(jù)庫為 ORACLE/SQL SERVER/DB2 等 。 第三類是網(wǎng)頁上傳服務(wù)器，主要用途是將網(wǎng)頁維護(hù)終端上傳的主頁進(jìn)行緩存，并在制定的時間與網(wǎng)頁服務(wù)器進(jìn)行交換，將最新的網(wǎng)頁更換過來。 2.3.1.2 終端 在政務(wù)網(wǎng)站系統(tǒng)內(nèi)，需要進(jìn)行保護(hù)的終端包括以下兩類： 第一類是網(wǎng)頁維護(hù)終端，用于網(wǎng)頁編輯，并將編輯好的網(wǎng)頁傳遞到網(wǎng)頁上傳服務(wù)器，進(jìn)行發(fā)布，這些終端的數(shù)量比較多，操作系統(tǒng)主要是 WINDOWS XP/2000等； 第二類是網(wǎng)站維護(hù)終端，用于對系統(tǒng)進(jìn)行運(yùn)行維護(hù)，包括服務(wù)器維護(hù)、數(shù)據(jù)庫維護(hù)、網(wǎng)絡(luò)設(shè)備維護(hù)等，終端數(shù)量不是很多，操作系統(tǒng)主要是 WINDOWS XP/2000等； 2.3.1.3 網(wǎng)絡(luò)設(shè)備 對于政務(wù)網(wǎng)站系統(tǒng)，其網(wǎng)絡(luò)結(jié)構(gòu)比較簡單，屬于典型的星形結(jié)構(gòu)設(shè)計，其網(wǎng)絡(luò)設(shè)備包括： 核心交換機(jī)：通常采用具有三層功能的交換機(jī)，根據(jù)連接的服務(wù)器和網(wǎng)絡(luò)設(shè)備劃分多個 VLAN， 分別將主頁服務(wù)器、數(shù)據(jù)庫服務(wù)器、網(wǎng)頁上傳服務(wù)器、網(wǎng)頁維護(hù)終端以及網(wǎng)站維護(hù)終端連接到不同的 VLAN，并在 VLAN 之間定義了 ACL（訪問控制規(guī)則），限制了外部用戶對服務(wù)器訪問的隨意性，使得網(wǎng)站系統(tǒng)的訪問在一個相對受控和有序的情況下接受訪問； 邊界路由器：分別部署在政務(wù)網(wǎng)站系統(tǒng)與互聯(lián)網(wǎng)之間，以及政務(wù)網(wǎng)站與政務(wù)廣域網(wǎng)之間，實現(xiàn)互聯(lián)網(wǎng)用戶的接入管理，以及政務(wù)網(wǎng)站系統(tǒng)與政務(wù)辦公系統(tǒng)之間的通訊。 中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 21 頁 共 76 頁 2.3.2 政務(wù)辦公系統(tǒng) 政務(wù)辦公系統(tǒng) 的網(wǎng)絡(luò)結(jié)構(gòu)類似于政務(wù)網(wǎng)站系統(tǒng)，也包含了服務(wù)器、終端以及網(wǎng)絡(luò)設(shè)備三類信息資產(chǎn)，具體說明如下： 2.3.2.1 服務(wù)器 包含兩大類 服務(wù)器，分別是辦公系統(tǒng)應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器。服務(wù)器是政務(wù)辦公系統(tǒng)內(nèi)最為重要的信息資產(chǎn)，也是支撐政務(wù)辦公應(yīng)用的核心部件，因此必須采取足夠強(qiáng)度的防護(hù)措施。 應(yīng)用服務(wù)器：運(yùn)行著政務(wù)辦公應(yīng)用系統(tǒng)軟件，提供給政務(wù)內(nèi)部辦公人員，對各類公眾政務(wù)申請進(jìn)行處理，并將處理的結(jié)果通過政務(wù)網(wǎng)站系統(tǒng)反饋回去。通常該服務(wù)器采用 WINDOWS 2003/linux 操作系統(tǒng)。 數(shù)據(jù)庫服務(wù)器：是政務(wù)辦公系統(tǒng)的支撐平臺，將政務(wù)處理 的過程數(shù)據(jù)進(jìn)行記錄， 并在處理完畢后通過“擺渡”的方式傳遞帶政務(wù)網(wǎng)站系統(tǒng)的數(shù)據(jù)庫，進(jìn)行發(fā)布，常見服務(wù)器的操作系統(tǒng)為 WINDOWS 2003，數(shù)據(jù)庫為 ORACLE/SQL SERVER/DB2等。 2.3.2.2 終端 主要是政務(wù)辦公終端組成，通過這些終端完成各類政務(wù)操作。 終端上常安裝的操作系統(tǒng)類型包括 WINDOWS XP/2000 等。 2.3.2.3 網(wǎng)絡(luò)設(shè)備 類似于政務(wù)網(wǎng)站系統(tǒng)，其網(wǎng)絡(luò)結(jié)構(gòu)比較簡單，屬于典型的星形結(jié)構(gòu)設(shè)計，其網(wǎng)絡(luò)設(shè)備包括： 核心交換機(jī)：通常采用具有三層功能的交換機(jī)，根據(jù)連接的服務(wù)器和網(wǎng)絡(luò)設(shè)備劃分多個 VLAN，分別將應(yīng)用服 務(wù)器、數(shù)據(jù)庫服務(wù)器以及政務(wù)處理終端連接到不同的 VLAN，并在 VLAN 之間定義了 ACL（訪問控制規(guī)則），使得政務(wù)辦公系統(tǒng)的中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 22 頁 共 76 頁 訪問在一個相對受控和有序的情況下接受訪問； 邊界路由器：分別部署在政務(wù)辦公系統(tǒng)與政務(wù)廣域網(wǎng)之間，實現(xiàn)政務(wù)網(wǎng)站系統(tǒng)與政務(wù)辦公系統(tǒng)之間的通訊。 中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 23 頁 共 76 頁 3 信息系統(tǒng)安全需求 分析 3.1 系統(tǒng)定級說明 本方案主要是為電子 政務(wù)網(wǎng)站 提供的 等級保護(hù)技術(shù)方案 。關(guān)于等級保護(hù)的定級問題，一般應(yīng)依據(jù)網(wǎng)站設(shè)計的業(yè)務(wù)信息的機(jī)密性和網(wǎng)頁發(fā)布信息完整性被破壞時的危害程度，并參考 信息系統(tǒng)安全等級保護(hù)定級指南（ GB/T 22240-2008）的系統(tǒng)定級標(biāo)準(zhǔn)來界定信息系統(tǒng)的保護(hù)等級。但作為一個方案分析案例，本方案將假定分析的對象是一個三級電子政務(wù)網(wǎng)站及其相關(guān)的電子政務(wù)辦公系統(tǒng)（電子政務(wù)網(wǎng)站及其發(fā)布系統(tǒng)的構(gòu)成如圖 1 所示）。 其中，政務(wù)網(wǎng)站系統(tǒng)主要負(fù)責(zé)發(fā)布相關(guān)國家 政策 、法規(guī) 等 相關(guān)重要信息， 是政府公布信息和提供服務(wù)的網(wǎng)上窗口，也是人民與政府進(jìn)行信息溝通的一個重要渠道 。如果網(wǎng)站受到破壞或攻擊，特別是網(wǎng)頁的內(nèi)容被篡改，將會造成人們對國家相關(guān)政策誤讀，甚至無法有效地為公民提供政策指導(dǎo)與相關(guān)服務(wù)，這不僅會造成政府形象的損害，嚴(yán)重時甚至?xí)业慕?jīng)濟(jì)與社會 穩(wěn)定造成 嚴(yán)重的影響。 因此政務(wù)網(wǎng)站系統(tǒng)對網(wǎng)頁內(nèi)容的完整性以及服務(wù)的安全性與可用性要求很高。為了保證政務(wù)網(wǎng)站系統(tǒng)的安全，需要重點(diǎn)從主頁內(nèi)容完整性保護(hù)的角度，嚴(yán)格控制主頁服務(wù)器的內(nèi)容更新操作以及網(wǎng)頁維護(hù)人員的管理和系統(tǒng)用戶的認(rèn)證與授權(quán)控制。而政務(wù)辦公系統(tǒng)則是相關(guān)政府機(jī)關(guān)的內(nèi)部辦公網(wǎng)，因涉及政府的日常工作及業(yè)務(wù)處理，系統(tǒng)中的信息具有較高的機(jī)密性。因此為了保證系統(tǒng)的安全，不僅該系統(tǒng)要與外部網(wǎng)絡(luò)實施有效的隔離，防止外部的網(wǎng)絡(luò)攻擊，更主要的是加強(qiáng)對內(nèi)部人員的管理以及對政務(wù)辦公系統(tǒng)的用戶進(jìn)行嚴(yán)格的身份認(rèn)證和行為審計，來確保 系統(tǒng)的安全。 顯然，政務(wù)辦公系統(tǒng)與政務(wù)網(wǎng)站系統(tǒng)所處理的業(yè)務(wù)不同、所面臨的威脅和風(fēng)險也有所不同，在進(jìn)行安全建設(shè)時兩個系統(tǒng)所關(guān)注的安全問題也有很大的不同，因此對這兩個系統(tǒng)將采用兩個安全域分別建設(shè)，政務(wù)辦公系統(tǒng)通過信息與交換系統(tǒng)提供政務(wù)網(wǎng)站所需網(wǎng)頁信息數(shù)據(jù)，體現(xiàn)兩個同級別安全域的信息交換問題。 下面將按照等級保護(hù)國家標(biāo)準(zhǔn)對電子政務(wù)網(wǎng)站的安全技術(shù)要求以及系統(tǒng)相關(guān)的業(yè)務(wù)流程對兩個系統(tǒng)中存在的安全風(fēng)險進(jìn)行全面的分析。并在安全風(fēng)險分析中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 24 頁 共 76 頁 的基礎(chǔ)上，提出電子政務(wù)網(wǎng)站系統(tǒng)安全體系的建設(shè)需求。 3.2 安全風(fēng)險分析 隨著信息化迅猛發(fā)展，互 聯(lián)網(wǎng)已經(jīng)成為人們工作和生活不可或缺的部分。 為了適應(yīng)社會的發(fā)展 、加強(qiáng)國家政策法規(guī)的宣傳力度、提高為人民服務(wù)的能力。從中央到地方政務(wù) 建立 了自己的內(nèi)部信息化辦公系統(tǒng)以及對公眾的政策發(fā)布與提供網(wǎng)絡(luò)服務(wù)業(yè)務(wù)的網(wǎng)站 。國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見中 指出， 整個 “ 十五 ” 期間，從中央到地方政府，將有 60%以上的政府業(yè)務(wù)和 30%以上的政府對企業(yè) 和公眾的辦公業(yè)務(wù)上網(wǎng)進(jìn)行。 因此，政務(wù)相關(guān)的網(wǎng)上服務(wù) 已經(jīng)成了政府部門的非常重要的業(yè)務(wù)之一。這些政務(wù)網(wǎng)站因擔(dān)負(fù)著政府與人民溝通信息的重要職責(zé)，需要放在互聯(lián)網(wǎng)上來被公眾訪問 ，因此，這些暴露在互聯(lián)網(wǎng)上的政務(wù)網(wǎng)站就不可避免地存在遭到各種各樣外來攻擊的安全風(fēng)險。 3.2.1 政務(wù)網(wǎng)站系統(tǒng) 由圖 1 可以看出，政務(wù)網(wǎng)站系統(tǒng)的網(wǎng)頁發(fā)布、服務(wù)流程以及運(yùn)維過程中，主要與如下幾種角色的用戶有關(guān)： 互聯(lián)網(wǎng)普通訪問用戶，來自互聯(lián)網(wǎng)，只能瀏覽網(wǎng)頁內(nèi)容。 互聯(lián)網(wǎng)認(rèn)證訪問用戶，不僅能夠瀏覽網(wǎng)頁內(nèi)容，而且能夠通過授權(quán)的服務(wù)頁面與網(wǎng)站所提供的政務(wù)服務(wù)進(jìn)行信息交互，比如報稅、社保等服務(wù)。 網(wǎng)站主頁內(nèi)容維護(hù)用戶，負(fù)責(zé)網(wǎng)頁的制作、發(fā)布和完整性驗證。 網(wǎng)站的系統(tǒng)維護(hù)用戶，主要負(fù)責(zé)網(wǎng)站系統(tǒng)的可用性維護(hù)等。 在網(wǎng)頁發(fā)布流程中，合法的 用戶角色主要是主頁維護(hù)人員，存在的風(fēng)險主要是：其他角色的用戶通過入侵攻擊或越權(quán)操作假冒主頁維護(hù)用戶的身份，對主頁內(nèi)容的完整性進(jìn)行篡改或違規(guī)發(fā)布含有機(jī)密內(nèi)容的信息，造成機(jī)密泄露。 合法認(rèn)證用戶通過互聯(lián)網(wǎng)訪問網(wǎng)站的網(wǎng)站申請?zhí)峤涣鞒讨?，所存在的風(fēng)險主要包括：身份被假冒，遠(yuǎn)程通信數(shù)據(jù)被竊聽、被篡改，否認(rèn)提交服務(wù)行為或內(nèi)容（抵賴行為）以及網(wǎng)站自身安全造成的風(fēng)險（諸如：服務(wù)網(wǎng)頁被篡改 ，造成合法認(rèn)證用戶的個人或業(yè)務(wù)信息泄露。 中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 25 頁 共 76 頁 大廳的提交申請流程也是針對合法認(rèn)證用戶的，只不過這個合法認(rèn)證 用戶是政府工作人員（為客戶提供服務(wù)的業(yè)務(wù)操作員），可能會因業(yè)務(wù)操作員的無意誤操作或越權(quán)操作造成客戶信息的泄露或提交信息的不完整或不真實。 因此，在政務(wù)網(wǎng)站的運(yùn)營過程中，不僅要抵御來自外部的黑客或信息間諜的入侵攻擊（以獲取權(quán)限假冒合法用戶，進(jìn)而獲取認(rèn)證用戶的業(yè)務(wù)信息，甚至獲得網(wǎng)站維護(hù)權(quán)限造成對整個網(wǎng)站的網(wǎng)頁內(nèi)容完整性、機(jī)密性與可用性造成破壞或從事信息恐怖活動）以及網(wǎng)絡(luò)病毒傳播等，而且也要防范網(wǎng)站內(nèi)部的系統(tǒng)維護(hù)用戶的越權(quán)訪問對網(wǎng)站內(nèi)網(wǎng)頁內(nèi)容的完整性、機(jī)密性以及網(wǎng)站系統(tǒng)可用性造成破壞的風(fēng)險。 3.2.1.1 典型外部攻擊 目前常 見的網(wǎng)站攻擊方式 ：一是利用 Web 服務(wù)器的漏洞進(jìn)行攻擊，如 CGI 緩沖區(qū)溢出，目錄遍歷漏洞利用等攻擊；二是利用網(wǎng)頁自身的安全漏洞進(jìn)行攻擊，如 SQL 注入，跨站腳本攻擊等。 典型的攻擊有： 緩沖區(qū)溢出 攻擊者利用超出緩沖區(qū)大小的請求和構(gòu)造的二進(jìn)制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令 ；或取系統(tǒng)的操作權(quán)限等 Cookie 假冒 精心修改 cookie 數(shù)據(jù)進(jìn)行用戶假冒 ； 認(rèn)證逃避 攻擊者利用不安全的證書和身份管理 ； 非法輸入 在動態(tài)網(wǎng)頁的輸入中使用各種非法數(shù)據(jù)，獲取服務(wù)器敏感數(shù)據(jù) ； 強(qiáng)制訪問 訪問未授權(quán)的網(wǎng)頁 ； 隱藏 變量篡改 對網(wǎng)頁中的隱藏變量進(jìn)行修改，欺騙服務(wù)器程序 ； 拒絕服務(wù)攻擊 構(gòu)造大量的非法請求，使 Web 服務(wù)器不能相應(yīng)正常用戶的訪問 ； 跨站腳本攻擊 提交非法腳本，其他用戶瀏覽時盜取用戶帳號等信息 ； SQL 注入 構(gòu)造 SQL 代碼讓服務(wù)器執(zhí)行，獲取敏感數(shù)據(jù) ； 此外，黑客或蓄意破壞者，還會 利用病毒、蠕蟲、木馬和間諜軟件等惡意代碼實施攻擊 ，上述攻擊方式都將是對 網(wǎng)站 安全造成威脅的主要風(fēng)險因素。 中軟華泰政務(wù)網(wǎng)站系統(tǒng)安全等級保護(hù)技術(shù)方案設(shè)計 第 26 頁 共 76 頁 3.2.1.2 常見內(nèi)部威脅 政務(wù) 網(wǎng)站 系統(tǒng) 內(nèi)部人員 （網(wǎng)站系統(tǒng)維護(hù)人員、網(wǎng)站主頁及內(nèi)容維護(hù)人員）的有意或無意的非法操作 或蓄意地通過設(shè)置系統(tǒng)后 門、主頁掛馬、傳播病毒等措施 ，來破壞政務(wù)網(wǎng)站系統(tǒng)的可用性，甚至通過越權(quán)操作 篡改網(wǎng)頁內(nèi)容或故意歪曲信息，竊取機(jī)密信息。對外加或社會造成更大的危害。 由于內(nèi)部人員直接接觸重要信息，并且了解網(wǎng)站系統(tǒng)的安 全防御措施和管理手段，因此，相對于外部用戶而言，其更容易規(guī)避安全保障措施 ，利用系統(tǒng)安全防御措施的漏洞或管理體系的弱點(diǎn)，從內(nèi)部發(fā)起攻擊來破壞網(wǎng) 站系統(tǒng)的安全 。 來自內(nèi)部的威脅主要來源于 內(nèi)部人員惡意破壞、管理人員濫用職權(quán)、執(zhí)行人員操作不當(dāng)、內(nèi)部管理疏漏、軟硬件缺陷等 。具體體現(xiàn)在以下幾個方面： 安全管理制度不健全，執(zhí)行力 度不到位。例如，存在 非法接入、非法外聯(lián)、網(wǎng)絡(luò)濫用、外設(shè)濫用 等情況。 系統(tǒng)本身存在漏洞。例如，未能有效檢測出 移動設(shè)備（筆記本電腦等）或 新增設(shè)備 中存在的不安全因素，導(dǎo)致 病毒 的 傳播、黑客 的入侵 。 內(nèi)部懂技術(shù)、會編程的人員直接編寫攻擊代碼