政府網(wǎng)站群等級(jí)保護(hù)安全體系研究*

福建省科學(xué)技術(shù)信息研究所（福建省信息網(wǎng)絡(luò)重點(diǎn)實(shí)驗(yàn)室） 賴建華 林寧思 趙 韜

?

政府網(wǎng)站群等級(jí)保護(hù)安全體系研究*

福建省科學(xué)技術(shù)信息研究所（福建省信息網(wǎng)絡(luò)重點(diǎn)實(shí)驗(yàn)室） 賴建華 林寧思 趙 韜

政府網(wǎng)站群推動(dòng)了服務(wù)型政府的發(fā)展，按照等級(jí)保護(hù)制度要求來開展網(wǎng)站群安全建設(shè)符合國家政策要求，該文從技術(shù)和管理兩個(gè)維度，系統(tǒng)研究了政府網(wǎng)站群等級(jí)保護(hù)安全建設(shè)體系，從技術(shù)角度看，應(yīng)從網(wǎng)站群的網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器系統(tǒng)、數(shù)據(jù)安全、物理安全以及網(wǎng)站應(yīng)用系統(tǒng)安全等方面進(jìn)行設(shè)計(jì)；管理角度則從安全管理制度和安全運(yùn)維管理兩個(gè)方面進(jìn)行設(shè)計(jì)。

網(wǎng)站群安全 等級(jí)保護(hù) 安全管理

1 概述

等級(jí)保護(hù)制度是我國信息安全保障體系的基本制度，2007年，公安部等四部委聯(lián)合發(fā)布了《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安[2007]861號(hào)），明確了“市（地）級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)”屬于重要信息系統(tǒng)等級(jí)保護(hù)定級(jí)范圍。

隨著電子政務(wù)深入推進(jìn)，中國各級(jí)政府網(wǎng)站內(nèi)容日益豐富，功能也逐漸增強(qiáng)，“政府網(wǎng)站群”建設(shè)模式已被眾多政府單位所采用，成為政府利用信息技術(shù)履行職能的重要形式。

政府門戶網(wǎng)站采用網(wǎng)站群建設(shè)模式，門戶主站和部門網(wǎng)站將會(huì)構(gòu)成一個(gè)整體，不再相互孤立，來訪者可以方便地通過門戶主站獲得統(tǒng)一的信息服務(wù)。同時(shí)，在內(nèi)部管理上，實(shí)現(xiàn)多站點(diǎn)統(tǒng)一管理、權(quán)限統(tǒng)一分配、信息統(tǒng)一導(dǎo)航、信息統(tǒng)一搜索等，消除信息孤島，共享共用集群的軟硬資源，有效降低投資成本。

網(wǎng)站群作為重要信息系統(tǒng)，是公安機(jī)關(guān)安全檢查的重點(diǎn)，網(wǎng)站群根據(jù)職能不同，一般定級(jí)為三級(jí)或二級(jí)，縣區(qū)級(jí)定級(jí)為二級(jí)。而近年來，政府網(wǎng)站群面臨著越來越復(fù)雜的安全風(fēng)險(xiǎn)，尤其是混合型安全風(fēng)險(xiǎn)，例如黑客攻擊、拒絕服務(wù)攻擊等，造成政府網(wǎng)頁篡改、敏感數(shù)據(jù)泄漏，極大地危害著政府的形象和職能。

本文研究團(tuán)隊(duì)基于多年網(wǎng)站群安全建設(shè)和安全維護(hù)工作中的實(shí)踐經(jīng)驗(yàn)，在等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范指導(dǎo)下，設(shè)計(jì)了一套符合等級(jí)保護(hù)要求的重要信息系統(tǒng)安全建設(shè)體系框架。

2 網(wǎng)站群安全保障目標(biāo)

政府網(wǎng)站群作為重要信息系統(tǒng)，其安全保障框架設(shè)計(jì)目標(biāo)是要落實(shí)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB 17859-1999）、《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GBT 22239-2008），達(dá)到以下安全保障目標(biāo)：

（1）具有抵御較大規(guī)模、較強(qiáng)惡意攻擊的能力，抵抗較為嚴(yán)重的自然災(zāi)害的能力，防范病毒和惡意代碼危害的能力；

（2）保障網(wǎng)站群網(wǎng)頁不被非法篡改，后臺(tái)數(shù)據(jù)不被非法授權(quán)訪問和泄漏；

（3）構(gòu)建網(wǎng)站群安全防護(hù)與監(jiān)控機(jī)制，具有檢測、發(fā)現(xiàn)、報(bào)警、防護(hù)入侵行為的能力；

（4）加強(qiáng)安全應(yīng)急事件的處理能力，在網(wǎng)站群系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；

要實(shí)現(xiàn)以上保障目標(biāo)，根據(jù)等級(jí)保護(hù)要求，應(yīng)該從安全技術(shù)體系和安全管理體系兩大方面來規(guī)劃網(wǎng)站群安全建設(shè)。

3 等級(jí)保護(hù)技術(shù)體系建設(shè)

網(wǎng)站群應(yīng)按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）中的技術(shù)要求進(jìn)行建設(shè)，從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全以及數(shù)據(jù)安全與備份恢復(fù)等5大方面進(jìn)行設(shè)計(jì)。一個(gè)網(wǎng)站群的典型拓?fù)鋱D如圖1所示。

圖1 政府行業(yè)網(wǎng)站群典型拓?fù)鋱D

3.1 網(wǎng)站群網(wǎng)絡(luò)安全

根據(jù)等級(jí)保護(hù)基本要求，網(wǎng)絡(luò)安全需要從結(jié)構(gòu)安全、訪問控制、安全審計(jì)、便捷性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等7個(gè)方面進(jìn)行建設(shè)。網(wǎng)站群在網(wǎng)絡(luò)層主要面臨的安全威脅是漏洞掃描、口令猜解、拒絕服務(wù)攻擊等，尤其是拒絕服務(wù)工具（DDos）已經(jīng)上升為網(wǎng)絡(luò)層的主要攻擊手段，拒絕服務(wù)攻擊又逐步從傳統(tǒng)的SYNFLOOD洪泛攻擊轉(zhuǎn)變?yōu)獒槍?duì)應(yīng)用層的CC連接耗盡攻擊。近年來，旁注攻擊和C段滲透攻擊也成為網(wǎng)站群被攻陷的一大原因。

針對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，網(wǎng)站群的主要安全防護(hù)措施設(shè)計(jì)如下：

3.1.1安全域劃分。網(wǎng)站群往往由主要網(wǎng)站群和部門托管網(wǎng)站群等類別組成，不同的網(wǎng)站其重要程度和開發(fā)、維護(hù)要求不盡相同，應(yīng)該按照部門性質(zhì)、重要程度對(duì)網(wǎng)站群進(jìn)行安全域劃分，例如省廳及市級(jí)網(wǎng)站群應(yīng)該按照等級(jí)保護(hù)三級(jí)來定級(jí)和建設(shè)，而縣區(qū)級(jí)下屬單位托管的網(wǎng)站，則可以按照等級(jí)保護(hù)二級(jí)來建設(shè)。在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)時(shí)應(yīng)該按照不同的安全域進(jìn)行劃分。除了網(wǎng)站群服務(wù)器外，還需要把網(wǎng)絡(luò)管理區(qū)劃分為獨(dú)立區(qū)域，有些單位也應(yīng)該為開發(fā)人員劃分出一個(gè)獨(dú)立的安全區(qū)域。安全域劃分的技術(shù)主要有VLAN劃分法、防火墻劃分法。

3.1.2網(wǎng)絡(luò)邊界防護(hù)措施。網(wǎng)站群在安全域與安全域之間，可以采用三層交換機(jī)的ACL訪問控制列表來實(shí)現(xiàn)訪問控制，也可以采用防火墻進(jìn)行訪問控制。在網(wǎng)站群的互聯(lián)網(wǎng)接入?yún)^(qū)，按照等級(jí)保護(hù)要求，應(yīng)該考慮邊界訪問控制、邊界入侵防范、網(wǎng)絡(luò)安全審計(jì)以及網(wǎng)絡(luò)防病毒等措施。因此，在網(wǎng)站群的互聯(lián)網(wǎng)接入?yún)^(qū)，至少應(yīng)該部署防火墻系統(tǒng)、入侵防御/檢測系統(tǒng)以及Web應(yīng)用防護(hù)與抗攻擊系統(tǒng)，來實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)的訪問控制和入侵防范。其中，防火墻起到了訪問控制的作用，入侵防御/檢測系統(tǒng)實(shí)現(xiàn)了入侵防范的作用，而Web應(yīng)用防護(hù)與抗攻擊系統(tǒng)主要實(shí)現(xiàn)Web應(yīng)用層攻擊（如SQL注入，XSS等）和拒絕服務(wù)攻擊防范。此外，還應(yīng)該對(duì)各類產(chǎn)品所產(chǎn)生的日志進(jìn)行管理和收集，以滿足日志審計(jì)要求。對(duì)于定級(jí)為三級(jí)的系統(tǒng)中，還應(yīng)該考慮采用網(wǎng)絡(luò)防病毒網(wǎng)關(guān)。

3.1.3遠(yuǎn)程網(wǎng)絡(luò)運(yùn)維。有些政府網(wǎng)站群往往由于托管的單位數(shù)量多，導(dǎo)致網(wǎng)站管理員數(shù)量多，網(wǎng)站代碼更新頻繁。因此產(chǎn)生了通過互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程維護(hù)的需求。在遠(yuǎn)程維護(hù)中，必須杜絕直接通過遠(yuǎn)程桌面（RDP）或FTP等不安全的方式進(jìn)行維護(hù)，否則一旦這些方式存在安全漏洞，會(huì)對(duì)網(wǎng)站群造成嚴(yán)重威脅。

因此，在遠(yuǎn)程維護(hù)中，我們推薦采用VPN（虛擬專用網(wǎng)）的方式進(jìn)行遠(yuǎn)程維護(hù)，如果有條件，推薦采用專業(yè)的運(yùn)維審計(jì)系統(tǒng)對(duì)所有的遠(yuǎn)程運(yùn)維操作進(jìn)行認(rèn)證、控制和操作行為審計(jì)。

3.2 網(wǎng)站群主機(jī)安全

3.2.1網(wǎng)頁防篡改。等級(jí)保護(hù)（三級(jí)）基本要求中對(duì)入侵防護(hù)的要求：“應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施”，另外，根據(jù)公安部82號(hào)令要求：“開辦門戶網(wǎng)站、新聞網(wǎng)站、電子商務(wù)網(wǎng)站的，能夠防范網(wǎng)站、網(wǎng)頁被篡改，被篡改后能夠自動(dòng)恢復(fù)”，網(wǎng)頁防篡改系統(tǒng)成了網(wǎng)站群安全防護(hù)的基本要求。

3.2.2主機(jī)安全加固。網(wǎng)站群服務(wù)器系統(tǒng)層風(fēng)險(xiǎn)主要來自兩方面：一方面來自操作系統(tǒng)自身的漏洞，另一方面來自于操作系統(tǒng)的配置和管理。等級(jí)保護(hù)主機(jī)安全方面對(duì)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)都提出了身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)等安全要求，這幾個(gè)方面的要求大部分可以通過增強(qiáng)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的配置加固來實(shí)現(xiàn)。

主機(jī)安全加固主要完成以下幾個(gè)方面的工作：

（1）補(bǔ)丁管理：定期掃描系統(tǒng)漏洞，包括操作系統(tǒng)、web服務(wù)（IIS/Apache）、數(shù)據(jù)庫系統(tǒng)，對(duì)于高危漏洞應(yīng)及時(shí)安裝補(bǔ)丁進(jìn)行修復(fù)。

（2）配置加固：按照等級(jí)保護(hù)基本要求，應(yīng)該充分發(fā)揮操作系統(tǒng)的身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)等功能，對(duì)系統(tǒng)的注冊(cè)表、本地安全策略、帳號(hào)、最小權(quán)限、最小服務(wù)、開機(jī)啟動(dòng)項(xiàng)、安全審計(jì)進(jìn)行全面的配置，以提升主機(jī)安全防護(hù)能力。

（3）安裝主機(jī)殺毒軟件，并定期更新病毒庫。

3.2.3主機(jī)監(jiān)控

采用服務(wù)器監(jiān)控系統(tǒng)，對(duì)網(wǎng)站群服務(wù)器的CPU、內(nèi)存和存儲(chǔ)空間進(jìn)行監(jiān)控和預(yù)警。大部分的網(wǎng)絡(luò)管理軟件均有提供服務(wù)器監(jiān)控功能，其實(shí)現(xiàn)原理主要是通過通用的SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）以及專用的WMI或SSH等管理協(xié)議來實(shí)現(xiàn)。

3.3 Web應(yīng)用安全

從近年安全發(fā)展趨勢來看，80%以上的攻擊都是針對(duì)網(wǎng)站應(yīng)用層發(fā)起的攻擊，如著名的SQL注入、上傳漏洞、第三方控件漏洞、跨站腳本攻擊等（請(qǐng)參考OWASP TOP10），這些攻擊發(fā)生的原因是網(wǎng)站源代碼本身存在安全缺陷，導(dǎo)致黑客可以繞過安全機(jī)制，直接獲取或控制網(wǎng)站服務(wù)器，最終導(dǎo)致網(wǎng)頁被篡改、數(shù)據(jù)泄漏或者被作為跳板攻擊其他網(wǎng)站。

結(jié)合等級(jí)保護(hù)基本要求，我們對(duì)網(wǎng)站群的應(yīng)用安全采用以下措施：

（1）在網(wǎng)絡(luò)邊界防護(hù)中，采用Web應(yīng)用防護(hù)系統(tǒng)（WAF），以防護(hù)針對(duì)網(wǎng)站動(dòng)態(tài)網(wǎng)頁源代碼漏洞產(chǎn)生的攻擊企圖。

（2）在軟件開發(fā)過程中，應(yīng)該對(duì)身份與訪問控制、會(huì)話管理、代碼質(zhì)量以及加密算法進(jìn)行嚴(yán)格要求。

（3）在軟件開發(fā)過程中，應(yīng)該完善安全審計(jì)和資源控制等要求。

（4）在網(wǎng)站群上線過程中，應(yīng)該執(zhí)行應(yīng)用層漏洞掃描，有條件的應(yīng)該開展網(wǎng)站滲透測試工作。

（5）網(wǎng)站前臺(tái)最好采用靜態(tài)網(wǎng)頁（html），這樣可以減少攻擊并提升網(wǎng)站性能。網(wǎng)站后臺(tái)管理中，最好結(jié)合VPN或加密措施進(jìn)行后臺(tái)管理，避免引入更多的安全漏洞。

3.4 數(shù)據(jù)安全與備份恢復(fù)

網(wǎng)站數(shù)據(jù)包括了網(wǎng)站的源代碼和數(shù)據(jù)庫數(shù)據(jù)，數(shù)據(jù)安全主要考慮數(shù)據(jù)完整性和保密性以及備份和恢復(fù)。等級(jí)保護(hù)明確規(guī)定“應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放”。此外，還應(yīng)該考慮關(guān)鍵設(shè)備和通信線路的冗余，以防止存在單點(diǎn)故障。

3.5 物理安全

在網(wǎng)站群建設(shè)過程中，機(jī)房物理安全是基礎(chǔ)工作，在等級(jí)保護(hù)基本要求中，對(duì)物理位置選擇、物理訪問控制、防盜防破壞、防雷擊、防火、防水、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)等方面做了明確的要求。

4 安全管理與安全運(yùn)維

網(wǎng)站群除采取必要的安全技術(shù)措施以外，安全管理措施以及日常運(yùn)維也是網(wǎng)站群安全保障體系中必不可少的部分。

4.1 安全管理制度

網(wǎng)站群安全管理可以從以下幾方面考慮：

（1）等級(jí)保護(hù)三級(jí)系統(tǒng)要求建立專門的安全職能部門，配備專門的安全管理人員。

（2）應(yīng)制定以下安全管理制度（見表1），并落實(shí)到責(zé)任人。

（3）留存管理制度執(zhí)行的記錄，以提供制度執(zhí)行的證據(jù)。

表1 等級(jí)保護(hù)安全管理制度要求

4.2 安全運(yùn)維管理

網(wǎng)站群的安全風(fēng)險(xiǎn)始終處于動(dòng)態(tài)變化狀態(tài)，主要原因是，一方面攻擊手段在不斷更新，新的攻擊手法被不斷公布；另一方面，網(wǎng)站群本身的開發(fā)也在不斷的更新當(dāng)中，源代碼的變更，可能會(huì)回退到加固前的狀態(tài)，甚至?xí)胄碌穆┒?。因此，網(wǎng)站群的安全運(yùn)維體系應(yīng)該滿足這種動(dòng)態(tài)變化的安全需求。

網(wǎng)站群的安全運(yùn)維體系應(yīng)該引入“PDCA”戴明環(huán)（Plan-Do-Check-Action）模型，也就是“定期漏洞檢測—定期漏洞加固—長期安全監(jiān)控—應(yīng)急響應(yīng)”四個(gè)不斷循環(huán)的安全運(yùn)維體系。

4.2.1定期安全檢測。通過定期開展網(wǎng)站漏洞掃描，黑客模擬滲透測試，最大程度地發(fā)現(xiàn)網(wǎng)站的安全漏洞，包括網(wǎng)絡(luò)層漏洞，代碼應(yīng)用層漏洞。根據(jù)漏洞評(píng)估結(jié)果，設(shè)計(jì)漏洞加固方案。

4.2.2定期漏洞加固。網(wǎng)站群根據(jù)安全漏洞評(píng)估和滲透測試的情況，從Windows、Linux等操作系統(tǒng)層，Apache、IIS等Web服務(wù)中間層，asp、asp.net、jsp、php等開發(fā)代碼，SqlServer、Oracle等網(wǎng)站數(shù)據(jù)庫，對(duì)網(wǎng)站群實(shí)施安全加固，以消除已知的安全漏洞，提高系統(tǒng)抗攻擊能力。

4.2.3長期安全監(jiān)控。通過建設(shè)或租用網(wǎng)站群安全監(jiān)控系統(tǒng)，對(duì)網(wǎng)站群的可用性、響應(yīng)時(shí)間等健康指標(biāo)進(jìn)行監(jiān)控，對(duì)網(wǎng)站掛馬、暗鏈、內(nèi)容篡改等情況進(jìn)行安全狀態(tài)審計(jì)，對(duì)最新漏洞進(jìn)行定期掃描，動(dòng)態(tài)實(shí)現(xiàn)對(duì)網(wǎng)站安全狀態(tài)的實(shí)時(shí)把控。

4.2.4應(yīng)急響應(yīng)預(yù)案。網(wǎng)站群安全防護(hù)雖然采取了各種措施，但這些安全措施是否正常運(yùn)行？各個(gè)崗位的人員是否明確緊急情況發(fā)生時(shí)如何處置？網(wǎng)站群的安全管理中應(yīng)建立起應(yīng)急響應(yīng)預(yù)案并且定期演練。應(yīng)急響應(yīng)預(yù)案規(guī)定了各類安全事故發(fā)生后的處理流程，各環(huán)節(jié)責(zé)任人和處理方式。

安全事故應(yīng)以預(yù)防為主，開展對(duì)安全措施的巡檢工作。周期巡查網(wǎng)頁防篡改系統(tǒng)、Web防護(hù)系統(tǒng)以及日志審計(jì)系統(tǒng)等是否正常工作，并定期開展模擬網(wǎng)頁被篡改、網(wǎng)站遭受拒絕服務(wù)攻擊等惡性事件的演練，讓每個(gè)崗位的工作人員都清楚應(yīng)急情況下的處置方式。

[1] GB/T 22239-2008, 信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

[2] GB 17859-1999, 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則[S].

[3] Category: OWASP Top Ten Project[EB/OL]. https://www.owasp.org/index. php/Category:OWASP_Top_Ten_Project

福建省科技廳公益科研所專項(xiàng)《基于Web的網(wǎng)頁風(fēng)險(xiǎn)監(jiān)控關(guān)鍵技術(shù)研究》（項(xiàng)目編號(hào)：2011R1009-9）。