关于党政机关门户网站在等保测评中的问题对策
文章分析了对党政机关门户网站进行等保测评中面临的问题和网站存在的主要安全威胁,对于技术层面安全,建议对关键设备(Web服务器等)配备电磁屏蔽机柜;对于服务器、管理终端、应用系统及数据库采用双因子身份鉴别方式,如使用令牌、USB key等;使用第三方工具或脚本程序实现对服务器重要文件进行完整性检测;增加应用系统对重要信息资源进行敏感标记的功能;利用Hash函数计算通信数据的散列值,并用非对称加密算法对散列值进行加/解密,来保证数据完整性;采用第三方工具,对系统管理数据、鉴别信息和重要业务数据在传输及存储过程中的完整性进行检测。对于管理层面,建议聘请信息安全专家作为常年安全顾问,指导信息安全建设,参与安全规划和安全评审等;在信息系统正式运行前,委托第三方测试机构根据设计方案以及相关标准对信息系统进行独立的安全性测试,并出具独立的系统安全性测试报告;建立完善的技术培训体系,使之更贴近实际业务、贴近技术前沿,提高工作人员的安全理论实践水平和安全意识;建立完善的安全管理制度体系,对信息系统安全保护工作进行全面指导。并从人员配合问题、机房管理制度和物理环境、测评范围及对象的确定等方面对托管系统测评提出建议,建议由信息系统主管单位组织协调,成立项目小组,安排专人负责协调各单位配合人员,并全程陪同测评人员,解决在测评中遇到的人员配合问题。由等保测评机构依据等保三级要求每年对托管服务器的IDC机房进行安全检测,信息系统主管部门在对系统进行定级备案时,应详细描述此系统边界、设备情况,测评机构在选择测评范围及对象的时候按照备案表中描述的系统边界及设备进行选取。系统主管单位将重要信息系统部署在独立的主机服务器,这样用户可以自己设置主机权限及安全策略,自由选择防火墙和防病毒设施等。对于托管主机,建议系统主管单位做好各项安全措施,尤其是空间租用类的应用系统,系统主管单位定期查找网站系统漏洞,要求网站开发单位对存在的安全漏洞进行及时修补,部署Web应用防火墙,或请专业的安全公司提供网站安全防护服务。
党政机关 门户网站 等级保护 测评工作
刘辉
中国电信集团系统集成有限责任公司宁夏分公司,宁夏银川750002
国内会议
合肥
中文
441-443
2013-06-01(万方平台首次上网日期,不代表论文的发表时间)