政府网站系统基本结构、安全措施级别选择、分级表
发布时间:2020-07-20 来源: 党课讲稿 点击:
附 录 A政府网站系统安全措施级别选择 政府网站系统可依据其行政级别、访问量、注册用户数、业务重要度和个人敏感信息等选择相应强度级别的安全措施,见表A.1。其中,满足任意一条级别选择指标要求的政府网站系统,均宜选择增强级安全措施集。
表 A.1 政府网站系统安全措施级别选择方法 级别 选择 因素
级别 选择 指标
适用的安全 措施级别
行政级别 部委网站或省级网站 是 增强级安全措施集 否 基本级安全措施集 访问量 有效日均访问次数 ≥ 150 万 PV 是 增强级安全措施集 否 基本级安全措施集 注册用户数 累计注册用户总数 ≥ 25 万 是 增强级安全措施集 否 基本级安全措施集 业务重要度 在线办事程度较高或按照 GB/T22240-2020要求安全保护等级级别定为三级以上(含三级)的网站 是 增强级安全措施集 否 基本级安全措施集 个人敏感信息 属于 GB/T 35273-2020 中定义的“个人敏感信息” 是 增强级安全措施集 否 基本级安全措施集 注:有效日均访问次数应避免重复统计同一访问源在短时间内进行的多次访问。
附 录 B (资料性)
政府网站系统基本结构 政府网站系统采用分层设计思想,从顶层访问到底层环境将网站系统划分四个层次,分别是用户访问层、应用功能层、信息资源层和基础设施层,其基本结构如图 B.1 所示。每一层的内容如下:
网站数据中心办事服务库 政务公开库 内容发布库基础支撑用户访问层信息资源层基础设施层服务门户接入方式微信公众号 浏览器 App 小程序物理环境机房网络系统/安全保障系统其他业务网络 互联网主机系统(服务器,虚拟机、云主机、PC客户端)存储备份系统操作系统(Windows/Linux/Unix)数据库系统 通用软件基础库信息资源服务应用功能层服务接口后台支撑系统信息发布系统 内容管理系统 运维监测系统统一入口、统一认证前台应用功能在线办事 政务公开 交流互动 数据开放目标用户政府 公众 企业 服务商网上办事大厅 网站群门户 数据网边界控制数据交换系统 图 B.1 政府网站系统基本结构 a) 用户访问层
用户访问层是政府网站系统最顶层的内容,是对服务对象的归纳,再结合服务对象的不同提供不同的门户服务内容和访问方式; 服务对象分为公众、企业、政府和服务商;访问方式包括浏览器、移动终端、微信公众号、小程序等,通过提供多种服务接入方式,为用户提供多渠道的服务内容。
b) 应用功能层 应用功能层包括前台应用功能和后台支撑系统。前台应用功能是基于网站开发的应用功能,主要包括政务公开、在线办事、交流互动、数据开放等;后台支撑系统是为网站应用系统提供产品支持和应用支撑,包括提供的内容管理及发布系统、运维监测系统、数据交换系统等。
c) 信息资源层 信息资源层主要是针对网站应用的需要,对底层的数据资源进行统一管理。数据库按照应用建设,主要包括政务公开库、办事服务库、内容发布库和基础库等。
d) 基础设施层 IT 基础设施主要包括物理机房、网络系统、安全系统、服务器、存储系统,以及配套的操作系统、软件、数据库等。
附 录 C (资料性)
安全措施分级表 政府网站系统安全措施分级对照表见表C.1。
表 C.1 安全措施分级表 安全措施 基本级 增强级 安全技术措施 物理安全 6.1 6.1+ 通信网络 网站部署 6.2.1 6.2.1+ 通信安全 6.2.2 6.2.2+ 性能保障 6.2.3 6.2.3+ 区域边界
6.3 6.3+ 计算环境
设备安全
6.4.1 6.4.1+ 通用软件安全
操作系统安全
6.4.2.1 6.4.2.1+ 数据库安全
6.4.2.2 6.4.2.2+ 中间件安全
6.4.2.3 6.4.2.3+ 开源软件组件安全
6.4.2.4 6.4.2.4+ 管理终端安全
6.4.3 6.4.3+ 虚拟化安全
6.4.4 6.4.4+ 密码应用
6.4.5 6.4.5+ 内容发布及数据安全
标识安全
6.4.6.1 6.4.6.1 内容发布安全
发布安全
6.4.6.2.1 6.4.6.2.1+ 网页防篡改
6.4.6.2.2 6.4.6.2.2+ 个人信息安全
6.4.6.3 6.4.6.3 传输和存储
6.4.6.4 6.4.6.4+ 备份和容灾
6.4.6.5 6.4.6.5+ 应用安全
身份鉴别
6.4.7.1 6.4.7.1+ 权限管理
6.4.7.2 6.4.7.2+ 应用审计
6.4.7.3 6.4.7.3 代码安全
6.4.7.4 6.4.7.4 业务交互
6.4.7.5 6.4.7.5+ 移动安全
移动接入安全
6.4.8.1 6.4.8.1+ 移动应用安全
6.4.8.2 6.4.8.2+ 移动数据安全
6.4.8.3 6.4.8.3+ 邮件安全
6.4.9 6.4.9 域名安全
域名管理安全
6.4.10.1 6.4.10.1 域名系统安全
6.4.10.2 6.4.10.2+ 安全管理中心
恶意代码防范
7.1 7.1+ 补丁管理
7.2 7.2+ 安全审计
7.3 7.3+ 安全监测
7.4 7.4+
策略控制
7.5 7.5+ 安全管理措施
管理制度
8.1 8.1 管理机构
8.2 8.2+ 人员和培训
8.3 8.3 开发与交付
规划设计
8.4.1 8.4.1+ 安全开发
8.4.2 8.4.2+ 试行交付
8.4.3 8.4.3+ 运行维护
外包服务管理
服务商选择
8.5.1.1 8.5.1.1 服务提供管理
8.5.1.2 8.5.1.2+ 服务监督管理
8.5.1.3 8.5.1.3+ 应急处置
8.5.2 8.5.2+ 资产管理
8.5.3 8.5.3 信息审核
8.5.4 8.5.4 密码管理
8.5.5 8.5.5+ 变更管理
8.5.6 8.5.6 评估检查
8.6 8.6+ 系统退出
8.7 8.7+ 注:“+”表示采取了更高的安全防护措施
热点文章阅读