政府网站群等级保护安全体系研究*

福建省科学技术信息研究所（福建省信息网络重点实验室） 赖建华 林宁思 赵 韬



政府网站群等级保护安全体系研究*

福建省科学技术信息研究所（福建省信息网络重点实验室） 赖建华 林宁思 赵 韬

政府网站群推动了服务型政府的发展，按照等级保护制度要求来开展网站群安全建设符合国家政策要求，该文从技术和管理两个维度，系统研究了政府网站群等级保护安全建设体系，从技术角度看，应从网站群的网络结构、服务器系统、数据安全、物理安全以及网站应用系统安全等方面进行设计；管理角度则从安全管理制度和安全运维管理两个方面进行设计。

网站群安全 等级保护 安全管理

1 概述

等级保护制度是我国信息安全保障体系的基本制度，2007年，公安部等四部委联合发布了《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号），明确了“市（地）级以上党政机关的重要网站和办公信息系统”属于重要信息系统等级保护定级范围。

随着电子政务深入推进，中国各级政府网站内容日益丰富，功能也逐渐增强，“政府网站群”建设模式已被众多政府单位所采用，成为政府利用信息技术履行职能的重要形式。

政府门户网站采用网站群建设模式，门户主站和部门网站将会构成一个整体，不再相互孤立，来访者可以方便地通过门户主站获得统一的信息服务。同时，在内部管理上，实现多站点统一管理、权限统一分配、信息统一导航、信息统一搜索等，消除信息孤岛，共享共用集群的软硬资源，有效降低投资成本。

网站群作为重要信息系统，是公安机关安全检查的重点，网站群根据职能不同，一般定级为三级或二级，县区级定级为二级。而近年来，政府网站群面临着越来越复杂的安全风险，尤其是混合型安全风险，例如黑客攻击、拒绝服务攻击等，造成政府网页篡改、敏感数据泄漏，极大地危害着政府的形象和职能。

本文研究团队基于多年网站群安全建设和安全维护工作中的实践经验，在等级保护标准规范指导下，设计了一套符合等级保护要求的重要信息系统安全建设体系框架。

2 网站群安全保障目标

政府网站群作为重要信息系统，其安全保障框架设计目标是要落实《计算机信息系统安全保护等级划分准则》（GB 17859-1999）、《信息安全技术信息系统安全等级保护基本要求》（GBT 22239-2008），达到以下安全保障目标：

（1）具有抵御较大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范病毒和恶意代码危害的能力；

（2）保障网站群网页不被非法篡改，后台数据不被非法授权访问和泄漏；

（3）构建网站群安全防护与监控机制，具有检测、发现、报警、防护入侵行为的能力；

（4）加强安全应急事件的处理能力，在网站群系统遭到损害后，具有能够较快恢复正常运行状态的能力；

要实现以上保障目标，根据等级保护要求，应该从安全技术体系和安全管理体系两大方面来规划网站群安全建设。

3 等级保护技术体系建设

网站群应按照《信息系统安全等级保护基本要求》（GB/T 22239-2008）中的技术要求进行建设，从物理安全、网络安全、主机安全、应用安全以及数据安全与备份恢复等5大方面进行设计。一个网站群的典型拓扑图如图1所示。

图1 政府行业网站群典型拓扑图

3.1 网站群网络安全

根据等级保护基本要求，网络安全需要从结构安全、访问控制、安全审计、便捷性检查、入侵防范、恶意代码防范、网络设备防护等7个方面进行建设。网站群在网络层主要面临的安全威胁是漏洞扫描、口令猜解、拒绝服务攻击等，尤其是拒绝服务工具（DDos）已经上升为网络层的主要攻击手段，拒绝服务攻击又逐步从传统的SYNFLOOD洪泛攻击转变为针对应用层的CC连接耗尽攻击。近年来，旁注攻击和C段渗透攻击也成为网站群被攻陷的一大原因。

针对网络安全风险，网站群的主要安全防护措施设计如下：

3.1.1安全域划分。网站群往往由主要网站群和部门托管网站群等类别组成，不同的网站其重要程度和开发、维护要求不尽相同，应该按照部门性质、重要程度对网站群进行安全域划分，例如省厅及市级网站群应该按照等级保护三级来定级和建设，而县区级下属单位托管的网站，则可以按照等级保护二级来建设。在网络结构设计时应该按照不同的安全域进行划分。除了网站群服务器外，还需要把网络管理区划分为独立区域，有些单位也应该为开发人员划分出一个独立的安全区域。安全域划分的技术主要有VLAN划分法、防火墙划分法。

3.1.2网络边界防护措施。网站群在安全域与安全域之间，可以采用三层交换机的ACL访问控制列表来实现访问控制，也可以采用防火墙进行访问控制。在网站群的互联网接入区，按照等级保护要求，应该考虑边界访问控制、边界入侵防范、网络安全审计以及网络防病毒等措施。因此，在网站群的互联网接入区，至少应该部署防火墙系统、入侵防御/检测系统以及Web应用防护与抗攻击系统，来实现对互联网的访问控制和入侵防范。其中，防火墙起到了访问控制的作用，入侵防御/检测系统实现了入侵防范的作用，而Web应用防护与抗攻击系统主要实现Web应用层攻击（如SQL注入，XSS等）和拒绝服务攻击防范。此外，还应该对各类产品所产生的日志进行管理和收集，以满足日志审计要求。对于定级为三级的系统中，还应该考虑采用网络防病毒网关。

3.1.3远程网络运维。有些政府网站群往往由于托管的单位数量多，导致网站管理员数量多，网站代码更新频繁。因此产生了通过互联网进行远程维护的需求。在远程维护中，必须杜绝直接通过远程桌面（RDP）或FTP等不安全的方式进行维护，否则一旦这些方式存在安全漏洞，会对网站群造成严重威胁。

因此，在远程维护中，我们推荐采用VPN（虚拟专用网）的方式进行远程维护，如果有条件，推荐采用专业的运维审计系统对所有的远程运维操作进行认证、控制和操作行为审计。

3.2 网站群主机安全

3.2.1网页防篡改。等级保护（三级）基本要求中对入侵防护的要求：“应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施”，另外，根据公安部82号令要求：“开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复”，网页防篡改系统成了网站群安全防护的基本要求。

3.2.2主机安全加固。网站群服务器系统层风险主要来自两方面：一方面来自操作系统自身的漏洞，另一方面来自于操作系统的配置和管理。等级保护主机安全方面对操作系统和数据库系统都提出了身份鉴别、访问控制、安全审计、剩余信息保护等安全要求，这几个方面的要求大部分可以通过增强操作系统和数据库系统的配置加固来实现。

主机安全加固主要完成以下几个方面的工作：

（1）补丁管理：定期扫描系统漏洞，包括操作系统、web服务（IIS/Apache）、数据库系统，对于高危漏洞应及时安装补丁进行修复。

（2）配置加固：按照等级保护基本要求，应该充分发挥操作系统的身份鉴别、访问控制、安全审计、剩余信息保护等功能，对系统的注册表、本地安全策略、帐号、最小权限、最小服务、开机启动项、安全审计进行全面的配置，以提升主机安全防护能力。

（3）安装主机杀毒软件，并定期更新病毒库。

3.2.3主机监控

采用服务器监控系统，对网站群服务器的CPU、内存和存储空间进行监控和预警。大部分的网络管理软件均有提供服务器监控功能，其实现原理主要是通过通用的SNMP（简单网络管理协议）以及专用的WMI或SSH等管理协议来实现。

3.3 Web应用安全

从近年安全发展趋势来看，80%以上的攻击都是针对网站应用层发起的攻击，如著名的SQL注入、上传漏洞、第三方控件漏洞、跨站脚本攻击等（请参考OWASP TOP10），这些攻击发生的原因是网站源代码本身存在安全缺陷，导致黑客可以绕过安全机制，直接获取或控制网站服务器，最终导致网页被篡改、数据泄漏或者被作为跳板攻击其他网站。

结合等级保护基本要求，我们对网站群的应用安全采用以下措施：

（1）在网络边界防护中，采用Web应用防护系统（WAF），以防护针对网站动态网页源代码漏洞产生的攻击企图。

（2）在软件开发过程中，应该对身份与访问控制、会话管理、代码质量以及加密算法进行严格要求。

（3）在软件开发过程中，应该完善安全审计和资源控制等要求。

（4）在网站群上线过程中，应该执行应用层漏洞扫描，有条件的应该开展网站渗透测试工作。

（5）网站前台最好采用静态网页（html），这样可以减少攻击并提升网站性能。网站后台管理中，最好结合VPN或加密措施进行后台管理，避免引入更多的安全漏洞。

3.4 数据安全与备份恢复

网站数据包括了网站的源代码和数据库数据，数据安全主要考虑数据完整性和保密性以及备份和恢复。等级保护明确规定“应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放”。此外，还应该考虑关键设备和通信线路的冗余，以防止存在单点故障。

3.5 物理安全

在网站群建设过程中，机房物理安全是基础工作，在等级保护基本要求中，对物理位置选择、物理访问控制、防盗防破坏、防雷击、防火、防水、防静电、温湿度控制、电力供应、电磁防护等方面做了明确的要求。

4 安全管理与安全运维

网站群除采取必要的安全技术措施以外，安全管理措施以及日常运维也是网站群安全保障体系中必不可少的部分。

4.1 安全管理制度

网站群安全管理可以从以下几方面考虑：

（1）等级保护三级系统要求建立专门的安全职能部门，配备专门的安全管理人员。

（2）应制定以下安全管理制度（见表1），并落实到责任人。

（3）留存管理制度执行的记录，以提供制度执行的证据。

表1 等级保护安全管理制度要求

4.2 安全运维管理

网站群的安全风险始终处于动态变化状态，主要原因是，一方面攻击手段在不断更新，新的攻击手法被不断公布；另一方面，网站群本身的开发也在不断的更新当中，源代码的变更，可能会回退到加固前的状态，甚至会引入新的漏洞。因此，网站群的安全运维体系应该满足这种动态变化的安全需求。

网站群的安全运维体系应该引入“PDCA”戴明环（Plan-Do-Check-Action）模型，也就是“定期漏洞检测—定期漏洞加固—长期安全监控—应急响应”四个不断循环的安全运维体系。

4.2.1定期安全检测。通过定期开展网站漏洞扫描，黑客模拟渗透测试，最大程度地发现网站的安全漏洞，包括网络层漏洞，代码应用层漏洞。根据漏洞评估结果，设计漏洞加固方案。

4.2.2定期漏洞加固。网站群根据安全漏洞评估和渗透测试的情况，从Windows、Linux等操作系统层，Apache、IIS等Web服务中间层，asp、asp.net、jsp、php等开发代码，SqlServer、Oracle等网站数据库，对网站群实施安全加固，以消除已知的安全漏洞，提高系统抗攻击能力。

4.2.3长期安全监控。通过建设或租用网站群安全监控系统，对网站群的可用性、响应时间等健康指标进行监控，对网站挂马、暗链、内容篡改等情况进行安全状态审计，对最新漏洞进行定期扫描，动态实现对网站安全状态的实时把控。

4.2.4应急响应预案。网站群安全防护虽然采取了各种措施，但这些安全措施是否正常运行？各个岗位的人员是否明确紧急情况发生时如何处置？网站群的安全管理中应建立起应急响应预案并且定期演练。应急响应预案规定了各类安全事故发生后的处理流程，各环节责任人和处理方式。

安全事故应以预防为主，开展对安全措施的巡检工作。周期巡查网页防篡改系统、Web防护系统以及日志审计系统等是否正常工作，并定期开展模拟网页被篡改、网站遭受拒绝服务攻击等恶性事件的演练，让每个岗位的工作人员都清楚应急情况下的处置方式。

[1] GB/T 22239-2008, 信息系统安全等级保护基本要求[S].

[2] GB 17859-1999, 计算机信息系统安全保护等级划分准则[S].

[3] Category: OWASP Top Ten Project[EB/OL]. https://www.owasp.org/index. php/Category:OWASP_Top_Ten_Project

福建省科技厅公益科研所专项《基于Web的网页风险监控关键技术研究》（项目编号：2011R1009-9）。