方案具有明确的格式和内容规范,要求其具有很强的实践性和可操作性,避免抽象和假大空的内容,那么具体如何制定方案呢?下面是小编为大家整理的《网站安全整改方案》,希望对大家有所帮助。
第一篇:网站安全整改方案
网站系统信息安全等级保护建设整改方案
随着互联网应用和门户网站系统的不断发展和完善,网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。
根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。
网站系统安全需求
根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下:
1、业务流程安全需求
针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。
2、软件安全需求
网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。
3、数据安全需求
网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面临威胁也存在一定的差异性,其中读取过程要结合信息的敏感和重要程度进行访问控制,降低越权、滥用等威胁的发生;录入关注信息自身的完整性和合法性,注意防止恶意代码和木马对系统造成的攻击;管理和审核涉及信息系统的关键性信息,所以基本属于系统中的敏感信息或关键流程管理,加强人员的安全管理;交互和数据交换要通过系统自身的安全防护机制,抵抗网络攻击和加强抗抵赖机制。
4、网络和物理安全需求
网络层面重点在于设计合理的网络架构,部署冗余的网络设备,形成可以建立不同安全策略的安全域,从而确保网站系统能够正常稳定运行。
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的需求,应确保机房的建设符合国家相关要求。
5、IT资产安全需求
IT资产重点关注资产本身的漏洞风险,同时根据资产类型的不同,可以区分成硬件资产、软件资产,其中硬件资产可能面临的关键威胁是软硬件故障、物理攻击等;软件资产可能面临的威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖。
6、综合安全需求
通过对各个方面综合的安全风险和需求分析,网站系统相关的业务、软件、数据、网络和相关IT资产,由于其应用类型、环境等因素导致主要威胁分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面,由于其威胁发生的可能性较高,威胁利用后影响较大,导致其安全风险较高,因此应形成对抗这些威胁的必要的安全措施,加强对系统自身的安全性。同时结合信息安全等级保护基本要求的相关技术和管理控制点,进一步完善物理安全、网络安全、主机安全、应用安全和数据安全的相关控制措施,并要能够落实组织、制度、人员、建设和运维相关的管理要求。
网站系统安全方案设计
根据对网站系统安全需求的分析,对于网站系统的安全防护主要从以下两个方面进行设计,一方面是系统的安全保护对象,合理分析系统的安全计算环境、区域边界和通信网络,形成清晰的保护框架;另一方面还是要建立综合的安全保障体系框架,形成对网站系统综合的控制措施架构,同时加强网站系统可能面临威胁的各项防护机制。
1、安全保护对象
根据网站系统的IT资产和业务功能,网站系统的安全保护对象和防护等级如下表所示:
安全计算环境:重点落实等级保护基本要求的主机、应用、数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括用户身份鉴别、主机和应用访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、主机入侵、防病毒等措施;
安全区域边界:重点落实等级保护基本要求的网络部分的安全控制项,结合安全设计技术要求中的主要防护内容包括边界访问控制、网络安全审计和完整性保护等;
安全通信网络:重点落实等级保护基本要求的网络和数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括通信网络安全审计、通信网络数据传输保密性保护、数据传输完整性保护和可信接入保护。
2、安全保障框架
结合等级保护基本要求的整体框架以及安全需求分析的成果,设计安全保障框架如下:
图1:安全保护体系框架
结合网站系同自身的安全需求,应加强对于网站系统的安全风险评估,同时建立配套的安全管理体系和安全技术体系,其中安全管理体系包括安全策略、安全组织和安全运作的相关控制管理;安全技术体系结合等级保护的物理、网络、主机、应用和数据安全,进一步加强系统的软件架构安全、业务流程安全和信息访问安全的控制,确保系统自身的防病毒、防篡改、方攻击能力的提升。
结合网站系统的具体实施,具体的措施部署和网络示意图如下所示:
图2:部署和网络示意图
通过加强对互联网边界的安全防护机制落实,建立与网站系统相配套的互联网服务区、业务服务区、数据库区、备份区和安全管理区的安全防护措施,建立网站系统的综合防护措施。
对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。
2、软件安全需求
网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。
3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面临威胁也存在一定的差异性,其中读取过程要结合信息的敏感和重要程度进行访问控制,降低越权、滥用等威胁的发生;录入关注信息自身的完整性和合法性,注意防止恶意代码和木马对系统造成的攻击;管理和审核涉及信息系统的关键性信息,所以基本属于系统中的敏感信息或关键流程管理,加强人员的安全管理;交互和数据交换要通过系统自身的安全防护机制,抵抗网络攻击和加强抗抵赖机制。
4、网络和物理安全需求
网络层面重点在于设计合理的网络架构,部署冗余的网络设备,形成可以建立不同安全策略的安全域,从而确保网站系统能够正常稳定运行。
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的需求,应确保机房的建设符合国家相关要求。
5、IT资产安全需求
IT资产重点关注资产本身的漏洞风险,同时根据资产类型的不同,可以区分成硬件资产、软件资产,其中硬件资产可能面临的关键威胁是软硬件故障、物理攻击等;软件资产可能面临的威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖。
6、综合安全需求
通过对各个方面综合的安全风险和需求分析,网站系统相关的业务、软件、数据、网络和相关IT资产,由于其应用类型、环境等因素导致主要威胁分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面,由于其威胁发生的可能性较高,威胁利用后影响较大,导致其安全风险较高,因此应形成对抗这些威胁的必要的安全措施,加强对系统自身的安全性。同时结合信息安全等级保护基本要求的相关技术和管理控制点,进一步完善物理安全、网络安全、主机安全、应用安全和数据安全的相关控制措施,并要能够落实组织、制度、人员、建设和运维相关的管理要求。
网站系统安全方案设计
根据对网站系统安全需求的分析,对于网站系统的安全防护主要从以下两个方面进行设计,一方面是系统的安全保护对象,合理分析系统的安全计算环境、区域边界和通信网络,形成清晰的保护框架;另一方面还是要建立综合的安全保障体系框架,形成对网站系统综合的控制措施架构,同时加强网站系统可能面临威胁的各项防护机制。
1、安全保护对象
根据网站系统的IT资产和业务功能,网站系统的安全保护对象和防护等级如下表所示:
安全计算环境:重点落实等级保护基本要求的主机、应用、数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括用户身份鉴别、主机和应用访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、主机入侵、防病毒等措施;
安全区域边界:重点落实等级保护基本要求的网络部分的安全控制项,结合安全设计技术要求中的主要防护内容包括边界访问控制、网络安全审计和完整性保护等;
安全通信网络:重点落实等级保护基本要求的网络和数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括通信网络安全审计、通信网络数据传输保密性保护、数据传输完整性保护和可信接入保护。
2、安全保障框架
结合等级保护基本要求的整体框架以及安全需求分析的成果,设计安全保障框架如下:
图1:安全保护体系框架
结合网站系同自身的安全需求,应加强对于网站系统的安全风险评估,同时建立配套的安全管理体系和安全技术体系,其中安全管理体系包括安全策略、安全组织和安全运作的相关控制管理;安全技术体系结合等级保护的物理、网络、主机、应用和数据安全,进一步加强系统的软件架构安全、业务流程安全和信息访问安全的控制,确保系统自身的防病毒、防篡改、方攻击能力的提升。
结合网站系统的具体实施,具体的措施部署和网络示意图如下所示:
图2:部署和网络示意图
通过加强对互联网边界的安全防护机制落实,建立与网站系统相配套的互联网服务区、业务服务区、数据库区、备份区和安全管理区的安全防护措施,建立网站系统的综合防护措施。
第二篇:网站整改方案1
网站安全整改方案
按照国家《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》等有关法律法规规定,全面落实互联网安全保护制度和安全保护技术措施,对网站、信息安全进行了严格检查及安全风险评估。
通过手工评估、工具评估、渗透测试等手段,对网络、信息安全系统的整体安全存在问题,做出了详细的整改方案。主要内容包括:
一、网站系统的安全风险评估分析及安全需要分析。重点评估防攻击、防病毒、防篡改和防窃密技术措施的有效性,及时发现安全风险和漏洞。对网站系统提出了安全建议。网络结构调整及边界安全防护,构建网页防篡改系统,建立网站系统安全评估和加固机制,完善网站安全管理体系。
二、对网站信息系统安全风险评估分析及安全建议。对网站后台信息系统账号、口令、软件补丁等进行一次清理,及时更新和升级,坚决杜绝弱口令,关闭或删除不必要的应用、服务、端口和链接。在网络结构上,增加互联网边界的入侵防御,建立网络内部入侵检测机制,上网行为和网络运行日志审计系统,机房温湿度自动监控报警系统。
三、建立和完善计算机网络安全组织:
1、建立信息网络安全领导小组,确定安全领导小组负责人和信
息网络安全管理责任人;
2、制定并落实安全领导小组负责人、安全管理责任人岗位责任制;
3、配备信息网络安全专业技术人员;
4、保持与公安机关联系渠道畅通,自觉接受公安机关网监部门业务监督检查;
5、制定网络安全事故应急处置措施。
第三篇:2014网站信息安全整改措施
网站信息安全工作
整改措施
1、对技术人员工作存在的松懈,没有定期对所有服务器进行全方位的漏洞扫描、及时进行重要系统的补丁修复的问题。
整改措施:加强对技术人员思想的教育,安全工作没小事,时时刻刻都得注意,每天安排专人对服务器进行检查。
2、对异常的、突发性的安全情况,处理不够及时,没有进行第一时间处理的问题。
整改措施:对异常的、突发性的安全情况,技术人员有时没有认识到问题的严重性,造成没有及时处理,还是对技术人员进行强调工作责任心,并根据事情的严重程度给予处罚。
3、对没有做好机房人员出入登记工作,有时甚至不进行登记的问题。 整改措施:安排专人进行机房人员出入登记工作,只要是外来人员来参观考察或维修系统的一律进行登记。配备专用外来人员机房出入登记薄。
4、对服务器上的数据备份工作没有做好,没有做到本地和异地双备份保存的问题。
整改措施:只进行了本地备份,对异地备份问题,已购买大容量的移动硬盘进行备份。
2014年1月1
第四篇:XXX网站安全隐患整改报告
XXX市公安局XXX分局:
自2015年6月11日接到XXX市公安局XXX分局下发的《政府网站安全隐患告知书》后,我公司技术部组织人力,针对检查后发现的问题,迅速修补安全漏洞,并对所属网站进行彻底检查,进一步完善安全防范措施,提高网络安全防范意识,有效增强了XXXXXX网站对有害信息的防范能力和防泄密水平。现将整改情况告知如下:
一、完成问题整改
针对通知附件的检测结果,我公司网站在防sql注入等方面存在一些问题。针对以上问题,我公司技术部组织大量技术人员,检测了整个网站的防注入隐患,制订了新的地址过滤算法,完成了完成了网页地址过滤等工作。
二、进一步提高网络与信息安全工作水平
一是加强理论知识学习。建立学习制度,每半个月组织部门工作人员及专业技术人员,学习网络安全知识及网络信息保密的相关法律法规。通过学习,全面提高工作人员网络安全知识水平,尤其是在网络新病毒、网站新漏洞等网络安全技术方面,做到及时沟通、信息共享。
二是加强网络与信息安全管理。通过“责任落实到人,工作落实到纸”的方法,全面加强网络与信息安全管理工作。我们设立了网站服务器安全员、机房管理员、网站检测员、网站后台技术员等,把责任具体到人,同时要求,各责任岗位要随时做好工作记录,各项工作最终落实到纸面。通过以上工作,我公司网站网络信息安全管理水平得到整体提高。
三是建立健全信息网络安全制度。在工作中,进一步细化工作程序,建立各项工作制度。完善了服务器数据定期备份制度、网络信息发布签审制度等。通过完善各类制度,使网络安全信息工作有章可循,为做好XXXXXX网站信息网络安全工作,奠定了坚实的基础。
在今后的工作中,我们将进一步加强学习,严格管理,完善制度,努力提升XXXXXX网站信息网络安全工作水平。
2015年6月12日
第五篇:陕县人民检察院 内部网站整改方案
内部网站整改方案
我院加入检察三级专线网以后,全省乃至全国检察机关都能浏览到我院内部网站。目前我院的内部网站大都属于静态网页,页面都比较简单已经不能满足今后的工作需求,故需要对内部网站做一定的修整。
一、整改总体需求
1、采用分级用户权限,实现数据库集约化管理。
2、采用web用户登录管理方式。
3、能满足我院加入检察三级专线网的工作需求。
二、整改实施
1、聘请专业的网站制作公司针对我院需求制作精美动态网页,实现网页数据库间的调用、存取与管理。
2、围绕展示我院形象的主题,整体风格设计应符合我检察院的性质。
3、网站结构清晰,版块编排整齐美观,风格统一。
4、各板块要有相对独立性,同时各版块还要有相互关联。主要包括三大部分:一是部门工作,包括办公室、政治处、控申科、民行科、侦查监督科、公诉科、反贪局、技术科、监所科、渎职侵权科、预防科、监察科、政研室、行管科、老干科、人民监督员办公室、工会、案件管理中心、法警大队等;二是检务管理,包括检察长信箱、基层院建设、党建专栏、视频专栏、通讯员报道集、检察论坛、内部信息、廉政文化、正义网专版、共产党员先进性、宣传成果、检察风采、大事记、考勤通报等;三是附加功能,包括论坛、公告栏、留言板、荣誉榜、邮件系统、站内搜索、友情链接等。各版块的标题、内容以及是面向内部网还是系统网由院党组研究决定。(丛权限划分来实现,)
5、权限管理功能:要实现二级用户管理,用户权限不同,部门不同,可以采取
的操作也不同。具体来说,我院用户通过输入用户名和密码登陆网站,每个部门的特定人员在自己的权限范围内上传、审核、发布、修改或删除本人在网页上发布的新闻信息、图片和视频等;网站管理员拥有全部权限;除我院干警以外,其他人员只有部分页面的浏览、新闻搜索、在论坛上讨论、留言等权限。具体来讲,我院用户的权限主要分为以下几种:
部门信息员:可以将欲提请在内部网或系统网中特定栏目上发布的本部门信息、图片或视频上传给本部门负责人进行审核;
部门负责人:收到部门信息员提请发布的信息、图片或视频后进行审核。如果是在内部网中本部门专栏上发布,则部门负责人可以直接审核发布;如果是在内部网综合栏目上或系统网上发布,则部门负责人审核后还应提交主管检察长审核;
主管检察长:主管检察长收到部门负责人审核过的信息、图片或视频,审核批准后上传给信息中心主任;
信息中心主任:信息中心主任收到相关信息、图片或视频,审核批准后直接发布; (修改或删除信息的流程同上)
院领导、一般干警:有阅览内部网和系统网的全部权限;
网站管理员:拥有全部权限。能够方便调用数据库信息,对信息发布流程进行监控。
6、数据、人员信息的存储和管理功能:网站数据以及人员信息都在服务器上集中存储与管理。网络管理员可以方便的清除网站中过期不用的数据信息,可以方便的管理用户并为不同的用户设定不同的权限,必要的时候可以修改权限设置;网站管理员可以方便的增删模块,具有较好的可操作性、可维护性与可扩展性。
7、信息发布功能:我院用户通过输入用户名和密码登陆网站,在自己的权限范围内选择在内部网或系统网上上传、审核、发布、修改或删除新闻信息、图片或视频等;
8、访问和查询功能:无论是在内部网还是系统网,均能根据文章标题、内容、
作者等类别的关键字实现信息的模糊查询与检索。
9、具有论坛、留言板、公告、调查、友情链接功能。模板管理、数据库管理等通用模块。其中每个模块又包含若干个子模块。此外还有便捷的频道复制功能可以无限扩展网站的分类需求。
三、整改验收
1、成立验收领导小组,针对网页的页面分项设置、数据库调用、用户、用户管理等的实用性和美观性以及非功能性需求进行验收。
2、页面之间的链接调用、以及与数据库的调用正常,网站可以正常运行;
3、具有指定的所有模块,能实现要求的所有功能;
4、数据库能够实现以上要求的应用要求与管理要求;
5、满足非功能性需求,具有可维护性和可扩展性
5、界面风格符合我院作为检察机关的性质,美观。
四、获得效果和今后打算
1、新建成的网站能满足我院加入检察机关三级专线网的应用需求;
2、网站制作公司负责终身系统维护与1年的免费升级。
3、新建成的网站具有可维护性和可扩展性,能满足我院今后修改、增加以及删减模块的需求以及日后改版的需求。