信息安全技术 政府网站系统安全指南编制说明.docx
《信息安全技术 政府网站系统安全指南编制说明.docx》由会员分享,可在线阅读,更多相关《信息安全技术 政府网站系统安全指南编制说明.docx(20页珍藏版)》请在冰豆网上搜索。
信息安全技术政府网站系统安全指南编制说明
国家标准《信息安全技术政府网站系统安全指南》(征求意见稿)修订编制说明
一、工作简况
1、任务来源
《WG5工作组第2次会议(2018)工作组会议纪要》指出,为有效应对政府网站入云等新型运营模式,以及网站服务对象多元化、系统结构复杂化和数据集中化等应用新形势,切实保障政府网站系统安全运行,建议着力完善当前政府网站类安全标准。
经中国国家标准化管理委员会批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究修订GB/T31506-2015《政府门户网站安全技术指南》国家标准。
根据《全国信息安全标准化技术委员会关于2019年网络安全标准项目立项的通知》(信安秘字[2019]050号),该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由北京信息安全测评中心负责主办。
2、起草单位
在接到标准的任务后,北京信息安全测评中心立即与相关机构、厂商进行沟通,并得到了政府网站运营机构、高校、业内知名厂商及测评机构的积极参与和反馈。
经筛选,最后确定由中电数据服务有限公司、首都之窗运营管理中心、中电长城网际系统应用有限公司、黑龙江省测评中心、北京市城乡经济信息中心、杭州安恒信息技术有限公司、北京天融信网络安全技术有限公司、桂林电子科技大学、北京神州绿盟信息安全科技股份有限公司、新华三技术有限公司、深圳开源互联网安全技术有限公司、武汉网安教育科技有限公司、国家应用软件产品质量检测检验中心、北京数字认证股份有限公司、湖北省标准化与质量研究院、国家工业信息安全发展研究中心、北京北信源软件股份有限公司、江苏省信息安全测评中心、陕西省信息化工程研究院、国家计算机网络应急技术处理协调中心、江远盛邦(北京)网络安全科技有限公司、恒安嘉新(北京)科技股份公司、山谷网安科技股份有限公司、北京知道创宇信息技术股份有限公司和陕西省网络与信息安全测评中心等单位共同参与编制。
3、主要工作过程
(一)标准制定的主要工作过程如下:
1)工作启动
2018年10月,北京信息安全测评中心联合政府网站运营单位、业内知名安全服务厂商、科研机构及测评机构等组建标准编制组,编制组成员具有丰富的标准编制经验、政务领域网络安全研究经验、信息系统安全控制研究等经验。
编制组内部制定编制工作计划,并明确了例会工作制,以便及时沟通交流工作情况。
2)基础调研
2018年11月-12月,编制组研究分析了我国政府网站方面的相关政策和标准文件,包括《国务院办公厅关于印发政府网站发展指引的通知》(国办发〔2017〕47号)《关于加强党政机关网站安全管理的通知》(中网办发〔2014〕1号)《国务院办公厅关于加强政府网站域名管理的通知》(国办函〔2018〕55号)《政府网站集约化试点工作方案》(国办函〔2018〕71号)《深化“互联网+政务服务”推进政务服务“一网、一门、一次”改革实施方案》(国办函〔2018〕45号)以及《云计算服务安全评估办法》《国家网络安全事件应急预案》《信息安全技术云计算服务安全指南》《信息安全技术云计算服务安全能力要求》《信息安全技术个人信息安全规范》《信息安全技术网络安全等级保护基本要求》等。
在此基础上,编制组分析了国内外政府网站发展现状、安全保护情况以及存在的问题,提出了标准修订思路,以及政府网站安全控制要求,形成标准修订研究报告(见附件1)。
3)初步明确修订方向
2018年12月30日,在北京组织召开专家研讨会,会上,专家基于前期研究成果,提出修改意见,明确增加安全管理的内容,且提出应结合政府网站逐步向移动端扩展的应用趋势,增加移动安全方面的适应性内容。
会后编制组根据专家意见形成标准修订框架。
4)确定标准适用范围
2019年1-3月,编制组针对标准修订框架,经过多次内部讨论和研究后,按照组内分工,开展具体的编制工作,形成标准草案第1稿。
2019年4月10日,在北京组织召开专家意见会,会上,专家肯定了标准分级、增加安全管理、移动安全等方面的内容,并针对数据安全方面提出了修改意见,建议突出个人信息保护等方面的内容。
会后编制组开会讨论,根据专家意见修改标准草案第1稿的内容。
2019年4月,北京信息安全测评中心代表编制组,在宁波标准会议周上进行了项目申报情况的汇报,并针对WG1组专家提出的标准适用范围等问题进行了书面说明(见附件2),明确了该标准服务对象为政府网站。
标准最终顺利通过全国信息安全标准化技术委员会WG5组会议讨论,获得全国信息安全标准化技术委员会立项。
2019年5-9月,标准编制组继续研究讨论,根据标准周上专家及参会企业意见对标准草案进行进一步修订,重新梳理了技术内容和管理内容的组织架构,形成标准草案第2稿。
2019年10月11日,WG5工作组召开的《信息安全技术智能门锁安全技术要求和测试评价方法》等17项国家标准研讨会上进行汇报,与会专家认为标准内容中“应”的表述过多,建议根据指南类标准的编写要求进行调整。
会后编制组根据专家意见继续修改标准草案第2稿的相关内容
5)扩充编制组,调整标准结构
2019年10月,按照《全国信息安全标准化技术委员会标准参与单位管理办法(暂行)》要求,公开征集参编单位,扩充编制力量。
2019年10月17日,编制组在北京组织召开项目启动会。
会上,WG5工作组领导、全国信安标委秘书处、业内专家等提出按照《网络安全等级保护基本要求》等国家标准,梳理文本组织架构,落地和细化《网络安全法》、等级保护相关国家要求,突出政府网站的特点,落实主管部门的要求等。
会后,编制组根据WG5及专家意见,重新调整了标准内容的组织结构,形成标准草案第3稿。
6)标准申请更名
2019年10月27日,北京信息安全测评中心代表编制组,在重庆标准会议周上就标准草案编制情况进行了汇报,提出将标准名称拟变更为《信息安全技术政府网站系统安全指南》。
2019年12月17日,WG5工作组在北京召开了专家会,与会专家和WG5工作组经过讨论后建议依据GB/T1.1的要求,充分考虑与《网络安全等级保护基本要求》等国家标准的对应关系等,明确本标准作为“指南”类标准继续修订其内容。
2019年12月,编制组根据专家意见,经过多次讨论,从“适应我国政府网站发展应用的趋势”、“落实我国政府网站政策要求,解决实际工作需求”、“符合标准化工作规定,满足国家相关法规要求”等方面,提出了将标准名称变更为《信息安全技术政府网站系统安全指南》的书面申请(见附件3)。
7)草案修改
根据2019年重庆会议周期间WG5工作组内专家意见,编制组结合2019年10月通过的《中华人民共和国密码法》等国家法规要求,进一步完善标准内容,形成了标准草案第4稿。
2020年5月8日,WG5工作组召开了国家标准专家审查会,与会专家提出了增加抗拒绝服务攻击等方面的内容。
会后编制组根据专家意见及时补充修改了标准草案中相关内容。
2020年5月13日,按照WG5工作组统一安排,北京信息安全测评中心主持召开了《政府网站系统安全指南》(修订)线上研讨会,讨论时长约3个小时,共有包括等艾特塞克、东软、卫士通、德勤、中国联通、启明星辰、中国药学会、北京市文旅局等27家单位的31位代表参会。
会上从政府信息化部门人员短缺、网站集约化改革安全需求不明确等工作中面临的实际困难出发进行了充分的讨论,针对产品和服务采购优先级、人员角色及权限的明确区分,国密算法的支持、容器等新兴云计算应用等内容的修改,共形成17条修改意见,其中2条因涉及具体产品和服务品牌采购所以未采纳,3条需要进一步研究并继续征求政府信息化部门意见后再进行修改,12条采纳并已根据意见修改了标准内容。
2020年5月15日,北京信息安全测评中心代表编制组,在通过华为云会议召开的标准会议周上就标准草案更名后的编制情况进行了汇报,标准顺利通过WG5组工作组全体会议的讨论和审议,编制组根据会上意见进行修改完善,形成了征求意见稿。
二、标准编制原则和确定主要内容的论据及解决的主要问题
1、编制目的
近年来,随着“互联网+”的迅速发展,人们的生活方式发生了巨大改变,我国政府及时转变传统的政务服务观念,大力推广“互联网+政务服务”模式,政府网站建设立足以人为本,为民办事,及时动态地向公众展示政府信息,随时接受公众的咨询和监督,同时加大对新型技术平台的投入,依托政府资源优势,实现了多渠道政务信息公开和办公服务。
根据《国务院办公厅关于印发政府网站发展指引的通知》(国办发〔2017〕47号)精神,政府网站作为政府信息公开的主渠道和“互联网+政务”的重要实践载体,其提供的政务服务模式主要有两种类型:
一是依托省级政府门户网站的在线办事栏目向公众提供各种行政事项服务。
二是构建政府政务服务网或“一站式”办事大厅和省、市、县(区)多级联动的公共服务网上平台。
因此,为了适应我国政府“互联网+政务服务”的变化趋势,落实相关政府网站政策要求,支撑主管部门安全检查工作,解决政府信息化部门实际工作需求,同时适应云计算、移动互联、大数据等新技术、新应用在政府网站系统中的应用,以及完善我国网络安全标准体系中针对政府网站安全建设和管理的标准规范,修订后的GB/T31506标准名称变更为《信息安全技术政府网站系统安全指南》。
标准给出了政府网站系统的基本结构,提出在“一个中心,三重防御”思想指导下,对政府网站系统实施安全防护时可采取的安全技术措施和安全管理措施,标准适用于指导政府部门开展网站系统安全防护工作,也可作为对政府网站系统实施安全监督管理和评估检查的依据。
2、编制原则
本标准的修订工作遵循以下原则:
以风险防控为核心:
坚持维护政府网站安全为根本理念,提高云计算等新技术下政务网站应用的风险防范能力,关注安全措施使用、运行维护、应急响应、隐私防护等方面的安全保障。
以协调一致为基础:
以推进标准应用为前提,确保标准与现有政府网站服务模式相协调,与现行政策标准相兼容,与政府监管要求相一致。
以规范适应为目标:
以促进政府信息化发展为宗旨,提炼共性、基础性安全要求,兼顾部委、地方等政务应用的不同需求,提升标准适用性。
3、编制依据
本标准修订过程主要依据和参考文献如下:
序号
名称
类型
1
GB/T8566-2007信息技术软件生存周期过程
标准
2
GB/T22240-2008信息安全技术信息系统安全等级保护定级指南
标准
3
GB/T25069-2010信息安全技术术语
标准
4
GB/T31167-2014信息安全技术云计算服务安全指南
标准
5
GB/T31168-2014信息安全技术云计算服务安全能力要求
标准
6
GB/T32925-2016信息安全技术政府联网计算机终端安全管理基本要求
标准
7
GB/T33562-2017信息安全技术安全域名系统实施指南
标准
8
GB/T35273-2020信息安全技术个人信息安全规范
标准
9
GB/T37002-2018信息安全技术电子邮件系统安全技术要求
标准
10
GB50174-2017数据中心设计规范
标准
11
NISTSP800-137InformationSecurityContinuousMonitoring(ISCM)forFederalInformationSystemsandOrganizations,2011
标准
12
国务院办公厅关于印发政府网站发展指引的通知国办发〔2017〕47号
政策
13
国务院办公厅关于加强政府网站域名管理的通知国办函〔2018〕55号
政策
14
政府网站集约化试点工作方案国办函〔2018〕71号
政策
15
中共中央办公厅国务院办公厅关于印发《金融和重要领域密码应用与创新发展工作规划(2018-2022年)》的通知厅字[2018]36号
政策
16
国家密码管理局关于组织开展金融和重要领域密码应用专项检查的通知国密局字[2018]423号
政策
17
《关于做好密码应用安全性评估试点期间安全保密工作的通知》国密局字[2018]290号
政策
5、确定主要内容的论据及解决的主要问题
本标准在确定主要内容时主要基于如下方面:
1)修订思路
结合云计算、大数据应用发展下我国电子政务的职能转变,分析政府网站面临的安全风险和安全管理中遇到的挑战,研究政府网站的功能定位、体系架构,重点从以下方面修订标准的主要内容:
a.政府网站的展现形式、职能定位、功能构成等,以及与之相适应的网站技术体系架构组成等;
b.政府网站的服务模式,以及新应用新模式带来的安全问题,包括移动应用、主流互联网应用中的传输协议,用户行为监控,数据保护和信息发布的安全措施等。
c.依托云计算平台部署和运行的政府网站,虚拟计算、虚拟网络、虚拟存储技术的应用和带来的资源隔离、边界防护、数据访问控制等安全问题;
d.网站应用系统部署和实施中使用到的新技术,如CDN、域名系统、开源软件带来的代码和使用安全等问题;
e.原标准文本中技术指标与当下技术应用趋势、法规政策不适应的问题,如网站访问量、服务用户数、网络带宽、日志保存时长等具体技术指标。
f.与国家政策、标准的一致性问题,如网络安全法、个人信息保护要求、网站标识管理、域名管理、国产化要求等。
g.政府网站安全管理体系建立,包括网站运营的职责划分、人才队伍建设、外包服务管理、供应链管理、运维监控、预警处置、合规检查等方面的内容。
2)内容变化
本标准与GB/T31506-2015的主要变化如下:
——将标准名称变更为《信息安全技术政府网站系统安全指南》,适用于政府门户网站、政务服务网、“一站式”办事大厅和公共服务网上平台等信息系统,同时增加了安全管理措施;
——以“一个中心,三重防御”思想指导,调整分类为物理安全、通信网络、区域边界、计算环境、安全管理中心、管理制度、管理机构、人员和培训、开发与交付、运行维护、评估检查、系统退出;
——调整各分类中具体安全防护措施内容,以适应政府网站上云、移动应用等新模式;
——删除了2015版中的规范性附录A,本文件中增加了附录A提出政府网站系统安全措施级别选择方法,增加了附件B描述政府网站系统基本结构,增加了附录C以表格形式列举了基本、增强级的差异。
2)标准的文本结构
本标准依据GB/T1.1-2020标准化工作导则第1部分:
标准化文件的结构和起草规则的要求进行编制。
本标准主要结构和内容如下:
1.目次
2.前言
3.引言
4.标准正文共17章:
范围、规范性引用文件、术语和定义、缩略语、概述、物理安全、通信网络、区域边界、计算环境、安全管理中心、管理制度、管理机构、人员和培训、开发与交付、运行维护、评估检查、系统退出。
5.附录A政府网站系统基本结构、附录B政府网站系统安全措施级别选择和附录C安全措施分级表
6.参考文献
三、主要验证情况分析
1、政府网站系统的常见运行模式及安全责任划分
本标准修订后,适用于政府网站系统三种主要的运行模式,分别是:
a)自建自管模式:
单位将网站服务器或虚拟服务器部署在自建的机房内并组织管理。
单位对网站系统拥有资产管理权和安全管理责任。
b)主机托管模式:
单位将网站服务器或虚拟服务器委托专业的运营机构或互联网数据中心(IDC)来管理。
受托机构负责物理数据中心基础设施的安全,单位对网站系统各种硬件、软件和网络等资产拥有管理权和安全管理责任。
c)主机租用模式:
单位未设立网站服务器,租用运营商的服务器或虚拟服务器。
服务商负责云平台等基础设施安全,包括物理机房、IT设备(如服务器、网络等),以及各种云产品(如云存储、数据库等)等。
单位基于服务商提供的服务构建网站应用系统,综合运用服务商产品的安全功能、安全服务以及第三方安全产品等保护网站系统。
2、政府网站系统安全保障目标
政府网站系统的安全防护工作应重点实现以下目标:
a)提升网页防篡改及监测、恢复能力,降低网页被篡改的安全风险;
b)提高抵抗拒绝服务攻击的能力及系统可用性,降低网络服务中断的风险
c)提高入侵防护能力,强化数据安全管控措施,降低网站敏感信息泄露的安全风险;
d)构建纵深防御体系,降低网站被恶意控制的风险;
e)采取网站防假冒措施,降低网站被仿冒的安全风险。
3、政府网站系统基本机构
政府网站系统采用分层设计思想,从顶层访问到底层环境将网站系统划分四个层次,分别是用户访问层、应用功能层、信息资源层和基础设施层,其基本结构如图1所示。
每一层的内容如下:
图1 政府网站系统基本结构
a)用户访问层
用户访问层是政府网站系统最顶层的内容,是对服务对象的归纳,再结合服务对象的不同提供不同的门户服务内容和访问方式;
服务对象分为公众、企业、政府和服务商;访问方式包括浏览器、移动终端、微信公众号、小程序等,通过提供多种服务接入方式,为用户提供多渠道的服务内容。
b)应用功能层
应用功能层包括前台应用功能和后台支撑系统。
前台应用功能是基于网站开发的应用功能,主要包括政务公开、在线办事、交流互动、数据开放等;后台支撑系统是为网站应用系统提供产品支持和应用支撑,包括提供的内容管理及发布系统、运维监测系统、数据交换系统等。
c)信息资源层
信息资源层主要是针对网站应用的需要,对底层的数据资源进行统一管理。
数据库按照应用建设,主要包括政务公开库、办事服务库、内容发布库和基础库等。
d)基础设施层
IT基础设施主要包括物理机房、网络系统、安全系统、服务器、存储系统,以及配套的操作系统、软件、数据库等。
4、政府网站系统安全措施级别选择
编制组通过与中国日报网、首都之窗、西部网、千龙网、湖北省国税网、黑龙江省教育厅等网站运营部门的沟通,将本标准中的政府网站系统安全措施按其保障强度划分为基本级安全措施、增强级安全措施两个等级。
各单位可依据政府网站系统的行政级别、访问量、注册用户数、业务重要度和个人敏感信息选择相应强度级别的安全措施,见表1。
表1 政府网站系统安全措施级别选择方法
级别选择因素
级别选择指标
适用的安全措施级别
行政级别
部委网站或省级网站
是
增强级安全措施集
否
基本级安全措施集
访问量
有效日均访问次数≥150万PV
是
增强级安全措施集
否
基本级安全措施集
注册用户数
累计注册用户总数≥25万
是
增强级安全措施集
否
基本级安全措施集
业务重要度
在线办事程度较高或按照GB/T22240-2008要求安全保护等级级别定为三级以上(含三级)的网站。
是
增强级安全措施集
否
基本级安全措施集
个人敏感信息
属于GB/T35273-2020中定义的“个人敏感信息”。
是
增强级安全措施集
否
基本级安全措施集
h.注:
有效日均访问次数应避免重复统计同一访问源在短时间内进行的多次访问。
5、政府网站系统安全措施
根据政府网系统的结构组成(图1),结合对政府网站系统的安全风险分析,政府网站系统的安全防护措施应包括安全技术、安全管理和安全管理中心三个部分。
针对构成政府网站系统结构的基础设施层、信息资源层和应用访问层等层面存在的脆弱性,分层提出相应的安全技术措施,其中应用访问安全、信息资源安全和基础设施安全中的相关内容共同构成网站系统中安全技术环境的保障措施。
结合政府网站系统的建设、运维、退出等生命周期主要环节的安全防护需求,提出相应的安全管理措施。
安全管理中心是通过技术措施配合管理手段共同建立主动防御能力的安全措施部分,实现对恶意代码、补丁升级、审计数据、策略管理、设备运行状况及安全事件等集中式的分析与管控,如图2所示。
图2 政府网站系统安全措施
6、政府网站系统安全措施分级对照
政府网站系统可采取的安全措施分级对照情况如表2所示。
表2 安全措施分级表
安全措施
基本级
增强级
安全技术措施
物理安全
6.1
6.1+
通信网络
网站部署
6.2.1
6.2.1+
通信安全
6.2.2
6.2.2+
性能保障
6.2.3
6.2.3+
区域边界
6.3
6.3+
计算环境
设备安全
6.4.1
6.4.1+
通用软件安全
操作系统安全
6.4.2.1
6.4.2.1+
数据库安全
6.4.2.2
6.4.2.2+
中间件安全
6.4.2.3
6.4.2.3+
开源软件组件安全
6.4.2.4
6.4.2.4+
管理终端安全
6.4.3
6.4.3+
虚拟化安全
6.4.4
6.4.4+
密码应用
6.4.5
6.4.5+
内容发布及数据安全
标识安全
6.4.6.1
6.4.6.1
内容发布安全
发布安全
6.4.6.2.1
6.4.6.2.1+
网页防篡改
6.4.6.2.2
6.4.6.2.2+
个人信息安全
6.4.6.3
6.4.6.3
传输和存储
6.4.6.4
6.4.6.4+
备份和容灾
6.4.6.5
6.4.6.5+
应用安全
身份鉴别
6.4.7.1
6.4.7.1+
权限管理
6.4.7.2
6.4.7.2+
应用审计
6.4.7.3
6.4.7.3
代码安全
6.4.7.4
6.4.7.4
业务交互
6.4.7.5
6.4.7.5+
移动安全
移动接入安全
6.4.8.1
6.4.8.1+
移动应用安全
6.4.8.2
6.4.8.2+
移动数据安全
6.4.8.3
6.4.8.3+
邮件安全
6.4.9
6.4.9
域名安全
域名管理安全
6.4.10.1
6.4.10.1
域名系统安全
6.4.10.2
6.4.10.2+
安全管理中心
恶意代码防范
7.1
7.1+
补丁管理
7.2
7.2
安全审计
7.3
7.3+
安全监测
7.4
7.4+
策略控制
7.5
7.5+
安全管理措施
管理制度
8.1
8.1
管理机构
8.2
8.2+
人员和培训
8.3
8.3
开发与交付
规划设计
8.4.1
8.4.1+
安全开发
8.4.2
8.4.2+
试行交付
8.4.3
8.4.3+
运行维护
外包服务管理
服务商选择
8.5.1.1
8.5.1.1
服务提供管理
8.5.1.2
8.5.1.2+
服务监督管理
8.5.1.3
8.5.1.3+
应急处置
8.5.2
8.5.2+
资产管理
8.5.3
8.5.3
信息审核
8.5.4
8.5.4
密码管理
8.5.5
8.5.5+
变更管理
8.5.6
8.5.6
评估检查
8.6
8.6+
系统退出
8.7
8.7+
注:
“+”表示采取了更高的安全防护措施
四、知识产权情况说明
本标准不涉及专利。
五、采用国际标准和国外先进标准情况
本标准在修订过程中,充分研究了国外政府网站的建设和发展情况,在云计算基础设施安全要求方面,参考了CSA云安全联盟的《云计算安全技术要求》、FedRAMP和NISTSP800-137中相关内容,在网络安全管理措施方面,参考了ISO/IEC27002:
2013《信息安全管理实践规范》等国外标准。
六、与现行相关法律、法规、规章及相关标准的协调性
1)与相关法律法规及国家有关规定的关系
2014年中央网信办印发《关于加强党政机关网站安全管理的通知》