吉林省人民政府门户网站作为全省政府系统的中心网站和省政府对外服务的重要窗口,经过两年多的建设,现已初步构建起了省政府公众信息网服务网络体系,不仅能为省政府34个工作部门提供部门网站建设资源和技术支持,还能为接入省政府统一构建的高速网络平台的36个省政府工作部门提供互联网接入服务。这样省政府门户网站的安全保密工作至关重要,一方面要确保网站系统稳定运行,保障网站信息安全,另一方面还要对上网发布的信息、上网的用户进行监控和管理。围绕这两个特点,省政府门户网站逐步采取了一些的技术措施,也逐步建立了一些制度和规范,为门户网站的平稳运行提供了保障。
一、采用多种安全保密技术措施,提高网站防范能力
省政府门户网站建设之初就着手网站的安全建设,逐步采用了多种安全保密技术措施:
一是实现了门户网站的网络系统与省政府办公厅内部办公网络完全的物理隔离,独立成网。
二是制订系统安全技术措施,使用漏洞扫描软件扫描系统漏洞,及时发现系统安全隐患,采取积极的修补措施。
三是采用网络安全控制技术,安装了采用防火墙、入侵检测系统等设备,加固服务器区网络安全防护,有效地阻止多种攻击和入侵企图。
四是采用关键字过滤技术,通过杀毒网关及时过滤邮件有害信息,防止病毒和不良信息的传播。
五是采用网页防篡改系统,自动恢复被篡改的网页,保证网站主页、重要页面的安全。
六是采用CA数字认证系统,加强发布信息的安全管理,分层管理网站工作人员的信息维护权限。
二、建章建制,规范安全保密制度和保障措施
网站安全保密管理,除了采用必要的技术措施以外,还需要建立健全安全保密管理制度,落实信息安全管理责任。网站中心已经建立的安全管理制度主要有:《吉林省互联网政府网站管理办法》、《省政府门户网站信息发布管理办法》、《省政府办公厅政务活动信息网上发布制度》、《省政府门户网站安全管理制度》、《省政府门户网站安全管理人员岗位工作职责》、《吉林省政府门户网站交互式栏目登记制度》等,通过这些制度进一步明确了网站建设和信息管理的安全保密要求。
三、不断改进日常管理工作,完善安全管理体系
在技术措施和制度建设的同时,网站中心还加强了节假日值班工作,制定了省政府门户网站应急预案。根据国内外安全动态,及时调整和完善相关的安全策略,采用入侵检测和防火墙系统联动、双层异种防火墙联防、信息网关过滤等有效策略,初步构筑了省政府门户网站安全体系,有效地阻断了数十万次的攻击企图,过滤了3千多个带有病毒或是有非法内容的邮件,平稳渡过了近年来出现的“蠕虫病毒风暴”和“冲击波”等病毒大爆发时期。
尽管如此,随着省政府网站快速的发展和网络犯罪技术手段的升级,省政府门户网站还存在一些安全问题和隐患,主要是缺少互联网接入日志审计、反跟踪软件、灾难预警等安全技术措施,没有建设起网络备份系统,还缺少一些配套的安全制度规范的建设。
按照《中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见的通知》(中办发[2003]27号)要求,结合省政府门户网站现状,需要进一步采取技术措施,加强网站互联网用户的管理,全面构筑网络信息安全保障体系。我们应该采取以下策略:
一、重新审核网站信息,进一步规范信息发布工作
采用“互联网涉密信息检查系统”等技术手段,对网站信息实施动态监控,定制的策略实时扫描网站发布的信息是否有涉密、有害信息,通过人工审核进一步做好网站的信息安全保密工作。
二、建立健全、监督执行网站安全规章制度,进一步规范网站管理
需要再建立一些网络和信息安全管理制度,并督促各网站管理员很好地贯彻执行,确保落到实处。
(一)建立《省政府门户网站互联网用户管理办法》,确保各建站和入网单位落实“谁上网谁负责”的属地负责制。进一步明确信息安全责任,以促使入网各部门尽快采取安全措施管理好本部门的互联网用户。
(二)建立《省政府及办公厅政务信息上传省政府网站工作制度》、《省政府门户网站信息发布责任制度》等相关制度,进一步落实信息采集、审核、发布、管理责任,丰富网站内容,提高网站信息质量,确保信息安全。
三、强化技术措施,建设完善的信息内容安全监控体系
需要在现有基础上,逐步建立和完善信息安全监控系统,提高对网络攻击入侵、有害信息传播的防范能力。计划采用互联网接入安全审计系统、邮件监视软件、反跟踪软件、灾难预警等安全措施;建设网站容灾备份系统,逐步达到地方门户网站安全要求。
应该说政府门户网站安全保障体系建设还是一个处于探索阶段,需要按照中办发[2003]27号要求的“以安全保发展在发展中求安全”原则,全面提高信息安全防护能力,同步规划、同步建设信息安全工作,建设和完善信息安全监控体系,依法为加强信息内容安全管理、查处违法犯罪和防范网络攻击、病毒入侵、网络失窃密等工作提供技术支持。吉林省政府门户网站的安全保障体系也将不断地发展不断地完善,确保省政府门户网站安全稳定运行、健康发展。
安全保障体系建设的策略与思考
- 出处:中国安全网 作者:佚名 时间:2006-08-07 网址:http://www.securitycn.net