构建“三位一体”的政府网站安全保障体系

邬敏华 费亮

网络的精妙之处在于互联，由此带来的各种问题也出在互联。其国际化、社会化、开放化和个人化的特点，在给人们提供“信息共享”，带来工作高效率和生活高质量的同时，也不可避免投下了不安全的阴影。随着政府部门对网络环境和网络资源依赖程度的加强，政府网站安全已成为广受关注的重大战略问题。

作为政府部门的对外服务窗口，政府网站随着电子政务的不断发展，正在扮演着愈来愈重要的角色。同时，网站作为组织信息系统的一种边界，与生俱来就是外部攻击的首选，其面临的安全形势在智慧城市建设阶段更为复杂严峻。2011年底，国务院办公厅和工信部分别发布了《关于进一步加强政府网站管理工作的通知》（国办函［2011］40号）和《委托开展政府网站安全管理试点工作的通知》（工信厅协函［2011］416号），要求提高政府网站的安全保障水平。据此，上海三零卫士信息安全有限公司在上海市网安办的指导下，在前期参与信安标委《政府网站系统安全指南》国家标准和长期从事信息安全服务的基础上，提出了“三位一体”的政府网站安全保障体系。

所谓“三位一体”，就是从“技术”、“管理”和“运维”三个方面来构建完整的政府网站安全保障体系，主要遵循信息安全“技术与管理并重”、“建设与运维并重”两大原则。从现有的国家《信息系统安全等级保护基本要求》来看，也是分为技术和管理两大类，技术类按信息系统的层次结构再细分，管理类则强调管理体系、建设管理和运维管理。因此，一个有效的信息安全保障体系不是安全产品的堆砌，而是需要建立完善的安全管理体系，并通过专业的安全服务来实现的。就目前政府网站的安全保障而言，管理体系主要应由政府网站主管部门负责，安全服务可以采用可控可信的服务外包的方式实现。

相关信息安全标准

目前，与电子政务相关的信息安全政策要求，主要有国家信息安全等级保护制度（2007年之后普遍开始推行）和工信部政府信息系统安全检查（2009年起每年一次）两项：前者是针对所有计算机和信息系统均需要实施的，主要参照《信息系统安全等级保护实施指南》和《信息系统安全等级保护基本要求》等国家标准，通过自查、测评和整改的方式落实；后者是针对政府部门的信息系统进行年度整体检查，主要参照《政府信息系统安全检查指南》，通过自查和监督的方式落实。具体来看，等级保护的相关标准是面向网络信息系统的通用技术架构（物理环境→网络→主机→应用→数据）来设置的，并没有体现网站类信息系统特有的体系架构（如IIS、Apache等Web应用服务，网站脚本源代码等），在管理要求上也缺乏对网站运行中普遍的托管、外包和内容发布等控制条款，而政府信息系统安全检查中与网站直接相关的检查项更是寥寥几笔。

在美国NIST（国家标准和技术研究所）发布的SP800系列（关于计算机安全的特殊出版物）中，有一份专门针对公共服务网站的安全指南：SP800-44（Guidelines on Securing Public Web Servers）。该指南从网站服务器的规划和管理、网络基础设施安全、操作系统安全、Web服务安全、Web内容安全、认证和加密、运维管理等方面提出了安全要求，并提供了一套非常翔实实用的检查表，已作为联邦政府部门和机构实施网站安全保障的推荐标准。

由此可见，目前国内并没有完全针对政府网站这类电子政务信息系统的信息安全标准，而国外的SP800-44所提供的详细的安全规范，还需要和等级保护制度、电子政务管理办法等国情相结合，这也是信安标委进行相关标准研究和工信部开展相关试点的原因。目的是希望能研究制定适合我国各类各级政府网站的信息安全保障标准，从而切实指导政府网站的建设、运行和管理，提高政府网站防篡改、防病毒、防攻击、防瘫痪、防泄密能力。

为政府网站安装保障之门

“三位一体”的政府网站安全保障体系是基于《信息系统安全等级保护基本要求》国家标准，并结合SP800-44和国内信息安全服务企业的最佳实践提出来的，由技术防护、管理机制和运行维护三大部分组成，共计16个控制点，下图给出了本体系结构以及与等级保护、SP800-44的对应关系。事实上，该体系不仅适用于政府网站，对于其他服务性和商业性网站同样可以参照使用。

安全技术防护

技术防护部分主要基于等级保护的系统分层概念和IATF（信息保障技术框架）纵深防御理念，给出了网站基本架构，如下图所示。为保证网站安全各相关方语义上的一致，这里的网站基本架构统一将网站系统分为网站基础设施、网站应用系统和网站数据三大层次，事实上不同层次的安全保障手段也各不相同。

基于这一基本架构，就要求在各层面均满足安全保障的基本要求。首先，应在网络边界部署防火墙、入侵防护和检测等安全网关产品；其次，应将不同的服务器部署在不同的安全区域，并采用合适的隔离措施，保证服务器操作系统和网站系统平台满足最小安装原则；第三，针对网络及安全设备、服务器操作系统和网站系统平台、网站管理平台等，均需要建立身份鉴别、访问控制和安全审计三大安全技术措施；最后，针对网站数据库文件、系统日志文件、设备配置文件和安全审计记录等数据，应采取有区别且合适的备份策略，确保数据可用性和业务连续性。

除了上述基本要求，针对网站系统特定的技术架构，还需要根据实际情况，部署网页防篡改、防拒绝服务攻击、Web应用防火墙、远程加密维护、管理终端IP地址限制等安全设备或安全机制，并充分考虑网站带宽、链路冗余、访问流量和连接数等可用性指标。

安全管理机制

等级保护中对信息安全管理的要求，基本是基于ISO27K的要求，并结合国情增加了建设安全管理和运维安全管理的内容，重点是建立完整的信息安全管理体系，落实各项信息安全管理制度。本体系在此基础上针对政府网站管理的实际情况：在管理责任方面，分别明确了安全责任部门和内容审核部门；在管理制度方面，强调了对网站建设、运维、内容保障、应急预案和服务外包（含托管）的要求。上述管理机制和管理制度，将通过各部门自身的培训考核、年度信息安全检查、定期等保测评和整改等方式予以落实。本次试点工作中，上海市还提出了政府网站开办备案和实名认证的两项管理机制，目的在于统一管理和避免政府网站仿冒钓鱼。

安全运行维护

运行维护是任何信息系统生命周期中耗时最长、投入最大的阶段，但受制于以往信息化工作“重建设、重产品”指导思想的惯性，信息系统拥有者对长期运行维护及专业人力投入的理解还不深刻，等级保护和政府信息系统安全检查中也没有专门涉及安全运维的要求。

因此，本体系特别增加了这一大类的保障要求。一方面，在网站的日常运维中，要求通过“准实时”的监控平台监控网站的安全性和可用性，要求通过定期的本地安全检查确保网站各层面的配置安全，通过定期的网站安全扫描及时发现并修复安全漏洞，并将网站源代码扫描和渗透性测试也列为运维工作的“规定项目”。另一方面，在网站的应急管理中，要求针对网站瘫痪、网页篡改或挂马、DDOS攻击、域名劫持、信息泄漏等重大事件建立应急预案，明确事件级别和启动条件、应急处置流程和系统恢复时限，并定期进行演练和修订。

值得注意的是，本体系在关注网络信息系统安全的同时，还特别关注了服务外包的安全。针对政府网站设计、开发、部署和运维中普遍的信息技术服务外包（可以理解为ITO），重点应在服务合同中明确安全责任、服务内容、服务方式和服务级别，并要求网站安全责任部门对外包方的资质、人员、流程、工具和文档等服务要素进行安全管控。针对政府网站内容编辑和发布的服务外包（可以理解为BPO），也要求网站内容审核部门通过加强审核进行安全管控。

让信息安全“总体可控”

基于上述政府网站安全保障体系，上海市网安办于2012年3月制定印发了《上海市政府网站安全保障指南（试行）》，并对本次工信部试点的重点政府网站（市级委办局和区县政府）进行了宣贯培训，要求各政府部门结合网站安全保障实际，认真遵照执行。2012年5～10月期间，市网安办还将组织相关力量，通过检查、监控、扫描、测试等技术手段和安全服务，进一步落实《指南》的各项要求，掌握全市整体情况，最终目的是通过试点保障全市政府网站的安全“总体可控”。

要达到这一目的，除了市网安办等信息安全主管部门协调推进外，还需要政府网站单位和专业信息安全服务单位两方面的力量投入：对前者而言，关键是意识上重视、经费上保障、工作上落实；对后者而言，关键是按照《指南》的要求统一认识，从提高政府网站安全保障的实际需求出发，客观公正地发挥安全技术优势和专业服务能力。此外，区县政府的信息安全主管部门，在落实区县政府门户网站安全保障的基础上，还需要考虑如何进一步规范区县下属的大量政府网站的有效运行和安全保障。