“十二五”政府网站安全保障策略分析

发布时间：2011年03月16日点击数： 作者： 来源：国脉电子政务网

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:
一些政府网站建设受技术力量、资金投入等诸多因素的影响，往往存在信息安全管理滞后于网站建设的情况。为确保政府网站内容的安全性和完整性，可以从管理、制度、技术各层面建立了网站安全体系，确保网站安全。

文章作者：杨冰之 北京国脉互联信息顾问有限公司董事长、国脉互联政府网站评测研究中心主任

郑爱军 北京国脉互联信息顾问有限公司总经理、首席规划师，国脉网站规划与评测研究中心副主任　　

一些政府网站建设受技术力量、资金投入等诸多因素的影响，往往存在信息安全管理滞后于网站建设的情况。为确保政府网站内容的安全性和完整性，可以从管理、制度、技术各层面建立了网站安全体系，确保网站安全。

一是确保“上网不涉密，涉密不上网”。上网信息的采集、发布和更新，严格执行保密规定，妥善处理公开与保密的关系。

二是完善规章制度，制定信息发布审核登记制度、网站备份制度、账号使用登记和操作权限管理制度等多项制度，以加强人员管理，堵塞内部漏洞，达到消除安全隐患的目的。

三是从技术层面防范病毒侵扰和黑客攻击。主要从物理层、数据链路层、网络层、应用层、系统层等五方面进行了安全设计。对中心机房进行了标准化改造，安装了硬件防火墙、网络杀毒软件、网络入侵检测，并针对信息发布平台的远程管理，在全疆政府系统首次采用了动态口令系统，通过与发布系统的结合，很好地解决了远程管理用户登录的安全性问题。

一、 网站安全的主要领域

1．物理安全

a)政府网站机房应参照《电子计算机场地通用规范》（GB/T2887-2000）和《计算机场地安全要求》（GB/T9361-1988）的技术要求进行建设；

b)政府网站应配备专用电源或电源保护设备，保证其正常运行；

c)政府网站可采用VLAN、VPN以及链路冗余等技术手段，提高网站访问链路的安全性和可靠性。

2.网络安全

d)政府网站应采用防火墙技术，通过IP包过滤、应用代理、地址转换、访问控制等手段，提高网站安全水平；

e)政府网站应采用入侵检测技术，通过实时检测、入侵阻断、审计取证等手段，提高网站防御能力。

3.系统安全

a)政府网站应制定完善的系统安全策略，对不使用的服务应及时关闭，对不同级别的用户应设置相应的安全访问权限；

b)政府网站应采用防病毒技术，通过实时扫描、及时查杀、阻止扩散等手段，提高网站操作系统的病毒防护能力；

c)政府网站应采用身份认证、访问控制、应用审计等技术手段，提高网站应用系统的安全；

d)政府网站应采用漏洞扫描技术，通过漏洞侦测、安全评估、系统加固等手段，提高网站操作系统和应用系统的安全水平；

e)政府网站应对操作系统、数据库系统、应用系统的运行情况进行记录（Log），并定期保存以备核查。

4.数据安全

a)政府网站应采用数据加密、内容防篡改等技术，防止网站敏感数据被非法访问、修改和破坏；

b)政府网站应采用数据备份技术，提高网站灾难恢复能力和水平；

c)政府网站对数据维护时，应对采取的措施、维护的内容、数据前后变更的情况等进行详细记录。

5.口令安全

a)政府网站必须使用口令对用户的身份进行验证和确认；

b)政府网站使用的口令应符合复杂性要求；

c)政府网站使用的口令应定期更换，口令的最长使用时间不能超过半年；

d)政府网站在储存和传输口令时应进行加密，以防止口令被非法修改或泄露。

文章作者：杨冰之 郑爱军
责任编辑：李岩