您现在的位置:ITGov-IT治理研究中心>> 研究>> 信息安全管理>>正文内容
“十二五”政府网站安全保障策略分析
发布时间:2011年03月16日点击数: 作者: 来源:国脉电子政务网
【字体: 收藏 打印文章 查看评论( 0 )】
摘要:
一些政府网站建设受技术力量、资金投入等诸多因素的影响,往往存在信息安全管理滞后于网站建设的情况。为确保政府网站内容的安全性和完整性,可以从管理、制度、技术各层面建立了网站安全体系,确保网站安全。

文章作者:杨冰之 北京国脉互联信息顾问有限公司董事长、国脉互联政府网站评测研究中心主任

郑爱军 北京国脉互联信息顾问有限公司总经理、首席规划师,国脉网站规划与评测研究中心副主任  

一些政府网站建设受技术力量、资金投入等诸多因素的影响,往往存在信息安全管理滞后于网站建设的情况。为确保政府网站内容的安全性和完整性,可以从管理、制度、技术各层面建立了网站安全体系,确保网站安全。

一是确保“上网不涉密,涉密不上网”。上网信息的采集、发布和更新,严格执行保密规定,妥善处理公开与保密的关系。

二是完善规章制度,制定信息发布审核登记制度、网站备份制度、账号使用登记和操作权限管理制度等多项制度,以加强人员管理,堵塞内部漏洞,达到消除安全隐患的目的。

三是从技术层面防范病毒侵扰和黑客攻击。主要从物理层、数据链路层、网络层、应用层、系统层等五方面进行了安全设计。对中心机房进行了标准化改造,安装了硬件防火墙、网络杀毒软件、网络入侵检测,并针对信息发布平台的远程管理,在全疆政府系统首次采用了动态口令系统,通过与发布系统的结合,很好地解决了远程管理用户登录的安全性问题。

一、 网站安全的主要领域

1.物理安全

a)政府网站机房应参照《电子计算机场地通用规范》(GB/T2887-2000)和《计算机场地安全要求》(GB/T9361-1988)的技术要求进行建设;

b)政府网站应配备专用电源或电源保护设备,保证其正常运行;

c)政府网站可采用VLAN、VPN以及链路冗余等技术手段,提高网站访问链路的安全性和可靠性。

2.网络安全

d)政府网站应采用防火墙技术,通过IP包过滤、应用代理、地址转换、访问控制等手段,提高网站安全水平;

e)政府网站应采用入侵检测技术,通过实时检测、入侵阻断、审计取证等手段,提高网站防御能力。

3.系统安全

a)政府网站应制定完善的系统安全策略,对不使用的服务应及时关闭,对不同级别的用户应设置相应的安全访问权限;

b)政府网站应采用防病毒技术,通过实时扫描、及时查杀、阻止扩散等手段,提高网站操作系统的病毒防护能力;

c)政府网站应采用身份认证、访问控制、应用审计等技术手段,提高网站应用系统的安全;

d)政府网站应采用漏洞扫描技术,通过漏洞侦测、安全评估、系统加固等手段,提高网站操作系统和应用系统的安全水平;

e)政府网站应对操作系统、数据库系统、应用系统的运行情况进行记录(Log),并定期保存以备核查。

4.数据安全

a)政府网站应采用数据加密、内容防篡改等技术,防止网站敏感数据被非法访问、修改和破坏;

b)政府网站应采用数据备份技术,提高网站灾难恢复能力和水平;

c)政府网站对数据维护时,应对采取的措施、维护的内容、数据前后变更的情况等进行详细记录。

5.口令安全

a)政府网站必须使用口令对用户的身份进行验证和确认;

b)政府网站使用的口令应符合复杂性要求;

c)政府网站使用的口令应定期更换,口令的最长使用时间不能超过半年;

d)政府网站在储存和传输口令时应进行加密,以防止口令被非法修改或泄露。


文章作者:杨冰之 郑爱军
责任编辑:李岩

分享到:
点击按钮自动加关注代码——新浪微博 点击这里给我发消息
相关文章
    没有关键字相关信息!
推荐文章
订阅
  关于ITGov | 联系ITGov | 收藏本站 | 服务条款 | 隐私保护 | 人员招聘 | 网站地图

京ICP备06004481号   Copyright 2002 - By ITGov.org.cn, All Rights Reserved

 

我要啦免费统计