大型企業(yè)門戶網(wǎng)站安全保障體系架構(gòu)設(shè)計(jì)

田曉嵐

摘要：近年來(lái)，隨著信息化建設(shè)的飛速發(fā)展，越來(lái)越多的企業(yè)逐步建立了門戶網(wǎng)站，網(wǎng)站的重要性也與日俱增，因此網(wǎng)站的安全也成為重中之重。本文結(jié)合系統(tǒng)實(shí)際，參考國(guó)家信息安全等級(jí)保護(hù)制度第三級(jí)要求，分析網(wǎng)站系統(tǒng)與三級(jí)等保要求的差距，從技術(shù)和管理兩個(gè)方面入手，重點(diǎn)從提升網(wǎng)站的防護(hù)控制能力、監(jiān)測(cè)預(yù)警能力、審計(jì)追溯能力和快速響應(yīng)能力進(jìn)行詳細(xì)的設(shè)計(jì)規(guī)劃。使安全措施貫穿系統(tǒng)全生命周期，保障網(wǎng)站安全穩(wěn)定運(yùn)行。

關(guān)鍵詞：系統(tǒng)安全;企業(yè)門戶;安全保障;安全管理

一、引言

企業(yè)門戶網(wǎng)站不僅是企業(yè)信息發(fā)布平臺(tái)和業(yè)務(wù)處理平臺(tái)，也是只是加工平臺(tái)、知識(shí)獲取平臺(tái)的集成，它使各個(gè)部門辦公人員之間的信息共享和交流更加流暢，使企業(yè)用戶更加直接的了解企業(yè)信息。企業(yè)門戶網(wǎng)站的健康、有序運(yùn)行，離不開(kāi)安全保障。保障企業(yè)門戶網(wǎng)站不收非法侵害，保證網(wǎng)站的信息真實(shí)性、完整性、可用性等，安全問(wèn)題是企業(yè)門戶網(wǎng)站必須要考慮的一個(gè)首要問(wèn)題。

二、系統(tǒng)安全體系架構(gòu)設(shè)計(jì)需求分析

（一）現(xiàn)狀分析

經(jīng)過(guò)近幾年的大力建設(shè)，企業(yè)門戶網(wǎng)站日益深入使用，網(wǎng)站目前每日擁有近百萬(wàn)人次的瀏覽量。由于用戶量逐步上升，數(shù)據(jù)量逐年增大，其原有系統(tǒng)支撐平臺(tái)體系和服務(wù)內(nèi)容逐漸無(wú)法滿足業(yè)務(wù)增長(zhǎng)的需求，擴(kuò)大網(wǎng)上企業(yè)信息公開(kāi)范圍、加強(qiáng)網(wǎng)上服務(wù)能力、建立安全保障體系勢(shì)在必行。

（二）合規(guī)需求

2017年國(guó)家頒布了《網(wǎng)絡(luò)安全法》企業(yè)門戶網(wǎng)站系統(tǒng)作為重要信息系統(tǒng)，需按國(guó)家網(wǎng)絡(luò)安全法中對(duì)網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)信息安全及監(jiān)測(cè)預(yù)警與應(yīng)急處置的相關(guān)要求進(jìn)行設(shè)計(jì)。

（三）技術(shù)需求

根據(jù)合規(guī)性需求，企業(yè)門戶網(wǎng)站系統(tǒng)在設(shè)計(jì)應(yīng)考慮到系統(tǒng)開(kāi)發(fā)階段、建設(shè)階段及運(yùn)行維護(hù)各階段的標(biāo)準(zhǔn)要求及技術(shù)要求等加入到架構(gòu)設(shè)計(jì)中。

（四）運(yùn)維需求

企業(yè)門戶網(wǎng)站應(yīng)用系統(tǒng)應(yīng)提供完善的安全運(yùn)營(yíng)保障體系，通過(guò)對(duì)網(wǎng)站應(yīng)用系統(tǒng)實(shí)施安全狀態(tài)監(jiān)控、安全審計(jì)、安全事件處置和應(yīng)急響應(yīng)、安全持續(xù)改進(jìn)及監(jiān)督檢查等活動(dòng)，確保系統(tǒng)安全平穩(wěn)運(yùn)行;定期對(duì)網(wǎng)站應(yīng)用系統(tǒng)進(jìn)行安全狀況評(píng)估，通過(guò)漏洞掃描、滲透測(cè)試、安全巡檢、安全加固、日志審計(jì)及時(shí)消除安全隱患和漏洞;為網(wǎng)站應(yīng)用系統(tǒng)制訂不同等級(jí)信息安全事件的響應(yīng)、處置預(yù)案，加強(qiáng)信息系統(tǒng)的安全管理等。

三、系統(tǒng)保障體系設(shè)計(jì)

本章節(jié)以上一章節(jié)系統(tǒng)安全體系設(shè)計(jì)需求分析為基礎(chǔ)對(duì)企業(yè)門戶網(wǎng)站系統(tǒng)安全保障體系進(jìn)行詳細(xì)設(shè)計(jì)，從控制合規(guī)、功能、管理等三方面展開(kāi)設(shè)計(jì)。

（一）設(shè)計(jì)依據(jù)

企業(yè)門戶網(wǎng)站應(yīng)用系統(tǒng)的安全方案應(yīng)參考以下相關(guān)法律法規(guī)：

1）《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

2）《中華人民共和國(guó)政府信息公開(kāi)條例》（中華人民共和國(guó)國(guó)務(wù)院令第492號(hào)）

3）《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》

4）《國(guó)務(wù)院辦公廳關(guān)于做好中央政府門戶網(wǎng)站內(nèi)容保障工作的意見(jiàn)》（國(guó)辦發(fā)〔2005〕31號(hào)）

5）《信息技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》

6）《信息技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

7）《信息技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)方案設(shè)計(jì)規(guī)范》

8）《信息安全管理實(shí)踐準(zhǔn)則》 BS7799/ISO17799

（二）設(shè)計(jì)目標(biāo)

企業(yè)門戶網(wǎng)站安全保障體系設(shè)計(jì)，主要是建設(shè)系統(tǒng)四大安全能力，即防護(hù)控制能力，監(jiān)測(cè)預(yù)警能力、審計(jì)追溯能力和快速響應(yīng)能力。安全措施貫穿系統(tǒng)全生命周期，減少安全風(fēng)險(xiǎn)對(duì)系統(tǒng)的影響，做到信息安全事件事前有防護(hù)，事中有響應(yīng)，事后有審計(jì)，保障系統(tǒng)穩(wěn)定運(yùn)行。

（三）安全架構(gòu)技術(shù)解決方案設(shè)計(jì)

1. 提升安全防護(hù)控制能力

企業(yè)門戶網(wǎng)站應(yīng)用系統(tǒng)防護(hù)控制能力建設(shè)針對(duì)系統(tǒng)的基礎(chǔ)設(shè)施層（物理、網(wǎng)絡(luò)、虛擬化）、系統(tǒng)環(huán)境層（操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)）、軟件應(yīng)用層（平臺(tái)應(yīng)用）采用安全加固、訪問(wèn)控制、入侵防御、惡意代碼防范、安全審計(jì)、防病毒等多種技術(shù)和措施，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的可用性、完整性和保密性保護(hù)，并充分考慮各種技術(shù)的組合和功能的互補(bǔ)性，合理利用措施，從外到內(nèi)形成一個(gè)縱深的安全防御體系，保障信息系統(tǒng)整體的安全保護(hù)能力，在系統(tǒng)建成后通過(guò)安全服務(wù)對(duì)防護(hù)控制能力進(jìn)行驗(yàn)證，保障防護(hù)控制能力的有效性。

2. 提升安全監(jiān)測(cè)預(yù)警能力

在主機(jī)層面、網(wǎng)絡(luò)層面部署監(jiān)測(cè)設(shè)備，同時(shí)結(jié)合內(nèi)外部監(jiān)測(cè)平臺(tái)，對(duì)企業(yè)門戶網(wǎng)站開(kāi)展可用性監(jiān)測(cè)、安全事件監(jiān)測(cè)、通報(bào)機(jī)制建設(shè)等技術(shù)支撐工作，提高外部網(wǎng)站在威脅檢測(cè)、預(yù)警及應(yīng)急響應(yīng)方面的能力。通過(guò)部署入侵檢測(cè)等系統(tǒng)，全面捕捉網(wǎng)絡(luò)層針對(duì)該區(qū)域服務(wù)器的所有訪問(wèn)行為，實(shí)時(shí)發(fā)現(xiàn)惡意用戶對(duì)重要的服務(wù)器系統(tǒng)進(jìn)行的非法訪問(wèn)、惡意攻擊及蠕蟲(chóng)傳播等行為并及時(shí)進(jìn)行報(bào)警和采取一定的響應(yīng)操作。

3. 提升審計(jì)追溯能力

審計(jì)作為事后追溯的最有效手段，不僅是合規(guī)的要求，也是內(nèi)部自身的推動(dòng)。通過(guò)部署日志審計(jì)系統(tǒng)、應(yīng)用審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、運(yùn)維堡壘機(jī)，對(duì)企業(yè)門戶網(wǎng)站的操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)、安全設(shè)備的日志審計(jì)、網(wǎng)絡(luò)層/應(yīng)用層的用戶行為審計(jì)以及對(duì)開(kāi)發(fā)人員、運(yùn)維人員的操作審計(jì)，保障系統(tǒng)安全運(yùn)行。

4. 提升安全運(yùn)營(yíng)能力

通過(guò)有效的運(yùn)維工具和制度，針對(duì)檢測(cè)發(fā)現(xiàn)的問(wèn)題或者突發(fā)事件，進(jìn)行快速響應(yīng)處理，提高安全運(yùn)營(yíng)能力?？焖夙憫?yīng)覆蓋日常安全運(yùn)維、源代碼檢測(cè)、滲透測(cè)試、安全意識(shí)培訓(xùn)、重保值守、其他安全服務(wù)賦能等工作及服務(wù)方面。

四、總結(jié)

在企業(yè)門戶網(wǎng)站安全保障體系設(shè)計(jì)的同時(shí)，提高了企業(yè)門戶網(wǎng)站的安全，規(guī)范了運(yùn)維管理，近而提高了系統(tǒng)運(yùn)行的穩(wěn)定性，同時(shí)該安全保障體系架構(gòu)對(duì)各大企業(yè)的信息系統(tǒng)的安全保障均有借鑒的作用。

參考文獻(xiàn)：

[1]張基溫. 信息系統(tǒng)安全教程. 清華大學(xué)出版社 2007年7月

[2]王繼林. 信息安全導(dǎo)論[M]. 西安電子科技大學(xué)出版社， 2012-8-1.

[3]張紅族. 信息安全技術(shù). 高等教育出版社 2008年06月

[4]林代茂. 信息安全：系統(tǒng)的理論與技術(shù). 科學(xué)出版社 2008年03月

[5]薛質(zhì). 信息安全技術(shù)基礎(chǔ)和安全策略. 清華大學(xué)出版社 2007年04月

[6]王改性，師鳴若. 數(shù)據(jù)存儲(chǔ)備份與災(zāi)難恢復(fù). 電子工業(yè)出版社 2009年06月

[7]王淑江. 網(wǎng)絡(luò)存儲(chǔ)·數(shù)據(jù)備份與還原. 電子工業(yè)出版社 2010年08月

[8]王改性，師鳴若. 數(shù)據(jù)存儲(chǔ)備份與災(zāi)難恢復(fù). 電子工業(yè)出版社 2009年06月

[9]龔靖，雷俊智，龍洋. 云存儲(chǔ)解析. 人民郵電出版社 2013年03月

[10]王淑江. 網(wǎng)絡(luò)存儲(chǔ)·數(shù)據(jù)備份與還原. 電子工業(yè)出版社 2010年08月

[11]謝宗曉. 信息安全管理體系實(shí)施指南[M]. 中國(guó)標(biāo)準(zhǔn)出版社， 2012-10-1.

[12]胡志昂. 信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)實(shí)現(xiàn)與應(yīng)用[M]. 電子工業(yè)出版社， 2010-2-1.

[13]劉小茵. 中小企業(yè)信息安全管理體系最佳實(shí)踐[M]. 中國(guó)標(biāo)準(zhǔn)出版社， 2010-8-1.

[14]（美） 霍普. Web安全測(cè)試. 清華大學(xué)出版社 2010年3月

[15]劉潤(rùn)平，萬(wàn)佩真.企業(yè)網(wǎng)絡(luò)安全問(wèn)題與對(duì)策[J].企業(yè)經(jīng)濟(jì)，2010，（7）

[16]顧華祥.中國(guó)網(wǎng)絡(luò)信息安全形勢(shì)及法治對(duì)策[J].當(dāng)代傳播，2010，（4）