下载文档原格式
电子政务终端安全:重在整体防护国家人口与计划生育委员会中国人口与发展研究中心蔡鹏程冯方回作为电子政务的最基本单元,计算机终端承载着信息加工、处理、存储和传输等重要工作,但终端安全管理难度很大,终端安全业已成为电子政务信息安全保障工作中的薄弱环节。
根据相关调查,政府单位中超过80%的信息安全威胁来自内部计算机终端。
近些年政府部门开展的信息安全大检查中,发生了多起重大信息安全事件,主要是由于计算机终端被植入木马,木马再利用系统漏洞非法窃取涉密信息所致。
加强计算机终端安全管理,是当前电子政务信息安全保障工作中迫在眉睫的任务。
安全风险分析存在安全漏洞的一些政府网站已成为黑客们一试身手的攻击对象。
电子政务信息系统的脆弱日益暴露,信息系统安全已成为政府IT管理中越来越关键的工作。
有些计算机终端未经任何身份认证和安全认证,就可以随意接入网络,访问网络和计算机的资源,对整个网络和应用造成很大的安全威胁。
缺乏终端网络准入机制已成为政务终端的安全风险的主要来源之一。
另外,系统漏洞的广泛存在,包括操作系统浏览器办公软件以及媒体播放器等常用软件的漏洞广泛存在。
如果漏洞补丁安装不完全不及时,将给病毒、木马、恶意软件等入侵系统造成可乘之机。
还有,系统补丁及软件升级包未经第三方安全测试。
网络在线升级方式,大大加快了软件更新频率和速度。
但是,由于多数系统补丁及软件升级包均未经第三方安全测评,其完整性、一致性、适用性,尤其是安全性难以得到保证。
木马、病毒等恶意软件的攻击手段层出不穷,木马、病毒等恶意软件的入侵和传播已趋向网络化。
蠕虫、后门、恶意代码、垃圾邮件、流氓软件、间谍软件、广告程序、U盘病毒、网络仿冒、网页挂马等时刻威胁终端的系统和信息安全。
用户缺乏安全知识,有些用户缺乏必要的信息安全知识,有些用户安全意识淡薄,在非涉密终端上处理涉密或敏感信息,直接导致涉密或敏感信息泄密。
俗话说:“堡垒是最容易从内部攻破的。
”机构对终端安全缺乏掌握,终端安全防护和管理一直是用户的个人行为,机构缺乏对终端安全状态的收集手段和对终端安全的管理手段。
信息安全技术政务计算机终端核心配置规范Information security technology - Chinese government desktop core configuration specifications目次前言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 核心配置项(配置项)core configuration item (1)3.2 核心配置core configuration (1)3.3 核心配置项基值core configuration item base value (1)3.4 核心配置基线core configuration baseline (1)3.5 核心配置清单core configuration list (1)3.6 核心配置基线包Core configuration baseline package (2)4 缩略语 (2)5 文本结构 (2)6 概述 (2)6.1 核心配置对象 (2)6.2 核心配置范围 (2)6.3 核心配置项基本类型 (3)6.4 核心配置项赋值方法 (3)6.5 核心配置对安全的作用 (3)6.6 核心配置自动化实施框架 (3)7 核心配置基本要求 (4)7.1 操作系统核心配置要求 (4)7.2 办公软件核心配置要求 (5)7.3 浏览器核心配置要求 (5)7.4 邮件系统核心配置要求 (6)7.5 BIOS 系统核心配置要求 (6)8 核心配置清单 (6)8.1 概要 (6)8.2 配置项属性 (6)9 核心配置基线包 (7)9.2 主标记 (8)9.3 格式版本标记 (9)9.4 基线标记 (9)9.5 产品标记 (14)10 核心配置自动化部署及监测技术要求 (14)10.1 自动化部署及监测平台基本架构 (14)10.2 配置编辑模块 (15)10.3 配置验证模块 (15)10.4 配置部署模块 (16)10.5 状态监测模块 (16)11 管理实施流程 (16)11.1 实施流程框架 (16)11.2 实施准备 (17)11.3 基线制定 (18)11.4 测试验证 (18)11.5 配置部署 (18)11.6 配置检查 (19)11.7 例外处理 (19)附录A(资料性附录)身份鉴别配置要求示例 (20)A.1 身份鉴别配置要求 (20)A.2 账户登录 (20)A.3 口令管理 (20)附录B(资料性附录)核心配置清单 (21)B.1 概要 (21)B.2 配置清单 (21)图1 配置项标识规则 (7)图2 核心配置包格式结构 (8)图3 自动化部署及监测平台 (15)图4 实施流程 (17)表1 主标记 (8)表2 格式版本标记 (9)表3 基线标记 (9)表4 配置项组别标记 (10)表5 配置项标记 (10)表6 配置项内容标记 (11)表7 取值映射表标记 (12)表8 配置项取值标记 (12)表9 配置项赋值标记 (13)表10 配置项检查标记 (13)表11 产品标记 (14)前言本标准的附录A和附录B为资料性附录。
政务内网安全维护工作计划一、前言随着信息化的发展,政务内网已成为各级政府机关的重要工具和平台。
政务内网涉及政府机关的重要信息和系统,安全维护工作显得尤为重要。
本工作计划旨在为政务内网安全维护工作提供指导,确保政务内网的安全稳定运行。
二、目标和原则1. 目标:确保政务内网的安全性、可靠性、稳定性和高效性。
2. 原则:(1) 安全优先:安全维护工作应始终把安全放在首位,不断提升政务内网的安全防护能力。
(2) 综合防御:采取综合措施,从网络、系统、数据、应用等多方面加强安全防护。
(3) 健全机制:建立健全政务内网安全管理体系,明确责任分工和工作流程。
三、组织架构1. 安全管理委员会:负责制定安全策略、制定和审核安全政策和规范,协调各部门间的安全工作。
2. 安全维护团队:负责具体的安全技术实施工作,包括网络安全、系统安全、应用安全、数据安全等。
3. 安全审计团队:定期对政务内网进行安全审计,及时发现和修复安全漏洞。
四、安全管理与策略1. 安全威胁评估:定期对政务内网进行风险评估,确定安全威胁和漏洞,并制定相应的应对措施。
2. 安全策略制定:基于安全威胁评估结果,制定对政务内网的安全策略,包括访问控制、权限管理、日志审计等。
3. 安全培训与宣传:定期组织安全培训和宣传活动,提高政务内网用户的安全意识和安全防范能力。
五、网络安全维护1. 边界防护:在政务内网与外网的边界处设置防火墙、入侵检测系统等,防止未经授权的访问和攻击。
2. 安全接入控制:采用身份认证技术,对政务内网的用户进行身份识别和权限控制,确保只有合法用户能够访问。
3. 网络监控与分析:建立网络监控系统,对政务内网的网络流量进行实时监测和分析,及时发现异常行为和安全威胁。
六、系统安全维护1. 系统漏洞修复:定期对政务内网的系统进行漏洞扫描和风险评估,及时更新和修补系统漏洞。
2. 系统访问控制:对政务内网的系统进行严格的访问控制,通过权限设置和审计日志等手段,限制用户的访问权限和行为。
66 /中国信息安全/2011.02随着我国服务型政府建设的深入,政府与企业之间的电子政务(G2B)和政府与公众之间三网电子政务业务(G2C)不断增加,原先与互联网物理隔离的电子政务系统将在信息安全政策许可下,逐步通过安全设备实现与互联网的安全可控连接,各级政府机构中可上互联网的桌面和移动计算机终端将越来越多,并在总量上大大超过内网计算机终端。
与此同时,在经济全球化和中国经济迅速崛起的大背景下,信息安全形势日趋严峻,计算机终端面临的威胁将迅速增大。
在构成信息系统的网络、服务器和终端三要素中,对终端的攻击和利用终端实施的窃密事件急剧增多,绝大多数信息安全事件将来自终端。
终端安全问题已成为我国乃至全球所面临的新挑战。
我们必须积极面对挑战,认真分析问题产生的原因,找出解决问题的有效办法。
攻击和窃密是终端安全的外部原因,计算机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。
外因通过内因起作用,内因是决定因素;在政府部门中,通过软件补丁升级、病毒查杀,对计算机系统漏洞的防范措施基本到位,但对于终端核心安全配置,重视程度不够,技术和管理手段缺乏。
目前,病毒、木马的研发、生产、销售和应用已形成以营利为目、分工明确的黑色产业链,政府部门工作人员以“单兵模式”予以对抗,力量对比悬殊。
鉴于此,政府机构应尽快实施终端核心安全配置。
终端核心安全配置的内涵终端核心安全配置主要是针对终端所面临的安全风险,制定安全策略,对终端系统软件和关键应用软件中影响终端安全的配置对象进行必要的配置,其目的是为了提高终端的整体安全性能。
文/沈大风 李新友 刘蓓政府机构应实施政务终端核心安全配置终端安全问题已成为我国乃至全球所面临的新挑战。
我们必须积极面对挑战,认真分析问题产生的原因,找出解决问题的有效办法;攻击和窃密是终端安全的外部原因,计算机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。
根据配置对象的不同,终端核心安全配置可分为以下三类:(1)账户管理配置——用于保护用户的登录信息,增加账户信息被窃取的复杂度。
一、背景随着信息化、网络化、智能化的不断发展,政务窗口作为政府与群众沟通的重要渠道,其安全防护工作日益重要。
为确保政务窗口安全稳定运行,提高政务服务水平,特制定本工作计划。
二、工作目标1. 保障政务窗口系统安全稳定运行,确保政务数据安全。
2. 加强政务窗口工作人员的安全意识,提高安全防护能力。
3. 完善政务窗口安全防护措施,降低安全风险。
三、工作内容1. 组织安全培训(1)对政务窗口工作人员进行安全知识培训,提高安全意识。
(2)邀请专业讲师进行网络安全、数据安全等方面的讲座,增强工作人员的安全防护能力。
2. 加强系统安全防护(1)定期对政务窗口系统进行安全检查,发现安全隐患及时整改。
(2)采用防火墙、入侵检测、漏洞扫描等安全设备,保障系统安全。
(3)对系统进行安全加固,提高系统抗攻击能力。
3. 数据安全防护(1)对政务数据进行分类分级,确保敏感数据安全。
(2)采用数据加密、访问控制等技术,保障数据安全。
(3)建立数据备份机制,确保数据恢复能力。
4. 加强物理安全防护(1)对政务窗口进行安全巡查,确保门窗、消防设施等完好。
(2)加强门禁管理,防止未授权人员进入政务窗口。
(3)配备安全监控设备,实时监控政务窗口安全状况。
5. 应急处置(1)制定政务窗口安全应急预案,明确应急处置流程。
(2)定期组织应急演练,提高应急处置能力。
(3)加强与相关部门的沟通协作,共同应对安全事件。
四、工作要求1. 各级政务窗口要高度重视安全防护工作,明确责任,落实措施。
2. 加强安全防护工作宣传,提高工作人员安全意识。
3. 定期对安全防护工作进行自查自纠,发现问题及时整改。
4. 建立安全防护工作长效机制,确保政务窗口安全稳定运行。
五、工作进度1. 第一阶段(1个月内):完成安全培训、系统安全检查、数据安全评估等工作。
2. 第二阶段(2个月内):完成物理安全防护、应急预案制定、应急演练等工作。
3. 第三阶段(3个月内):持续开展安全防护工作,确保政务窗口安全稳定运行。
政务云网安全运营工作计划一、背景和目标1. 背景政务云的兴起为政府机构提供了更高效、安全、稳定的信息化服务平台,但也面临着网安风险和威胁增加的挑战,如网络攻击、信息泄漏等。
2. 目标确保政务云平台的安全性,提供可靠的信息系统服务,保护政务数据和用户隐私,减少安全风险。
同时,提高政府系统的协同能力,推动政府信息化建设。
二、关键工作和措施1. 安全策略与规划制定安全策略和规划,明确安全目标和政务云的安全要求。
建立安全管理体系,包括安全管理组织、职责与权限划分、安全培训和管理制度。
2. 安全风险评估与管理对政务云平台进行安全风险评估,识别安全风险和威胁,制定相应的安全措施和应急预案。
加强对政务云平台的安全监控和事件响应能力。
3. 网络安全防护建立网络安全防护体系,包括防火墙、入侵检测和防护系统等,以保护政务云平台免受网络攻击和恶意访问。
加强网络设备和系统的安全配置和管理。
4. 数据安全保护采取数据加密、数据备份和数据恢复等手段,确保政务云平台的数据安全。
建立权限管理、访问控制和数据审计等机制,防止非法访问和数据泄漏。
5. 应用安全管理对政务云平台的应用系统进行安全测试和代码审计,修复漏洞和弥补风险。
加强应用程序的安全开发和编码规范,提升应用系统的安全性和可靠性。
6. 网络监测与安全态势感知建立网络监测系统,对政务云平台的网络流量和访问行为进行监测和分析。
及时发现和处置网络攻击和安全事件,提供安全态势感知和威胁预警。
7. 安全培训和意识提升加强对政府机构工作人员的安全培训,提升其信息安全意识和安全操作能力。
定期组织安全演练和紧急演练,提高应对安全事件的能力。
8. 合规与审计制定合规和审计政策,对政务云平台的安全管理进行定期审计和评估。
确保政务云平台的合规性和安全性符合相关法律法规和标准要求。
三、推进机制和计划进度1. 推进机制建立政务云网安全领导小组,负责统筹协调政务云网安全工作。
成立网安工作组,负责具体实施和推进工作。
政务服务中心安全工作计划一、背景与目标政务服务中心作为政务服务的主要窗口和载体,具有重要的社会功能和影响力。
为了保障政务服务中心正常运营和政务服务的安全,制定一份安全工作计划势在必行。
本文旨在从威胁评估、安全建设、安全培训、安全监管等方面,对政务服务中心的安全工作进行全面规划和指导,确保政务服务的顺利进行,提高政务服务水平,加强公民信任与满意度。
二、威胁评估针对政务服务中心的安全问题,进行威胁评估是安全工作的首要任务。
威胁评估包括以下内容:1. 外部威胁评估:分析政务服务中心所处环境,评估可能存在的恶意攻击、网络攻击、恐怖袭击、火灾、自然灾害等外部威胁,并制定相应的对策和预案。
2. 内部威胁评估:评估政务服务中心内部员工、系统、设备、政务数据等可能存在的安全威胁,发现潜在漏洞和隐患,并采取相应的措施进行修补和预防。
三、安全建设在威胁评估基础上,进行安全建设是政务服务中心安全工作的核心内容。
安全建设包括以下几个方面:1. 设施及设备安全建设:包括政务服务中心的物理安全措施、网络安全设备、监控设备、门禁设备等的规划、采购和安装调试,确保设施和设备的安全可靠。
2. 系统安全建设:规划和建设政务服务中心的信息系统,包括政务数据存储与传输、操作系统、应用软件、网络设备等方面。
采取严密的防护措施,防范攻击和泄露,定期更新软件补丁,加强日志监控和安全审计。
3. 数据安全建设:建立科学的政务数据分类、存储和备份机制,确保政务数据的安全和完整性。
加强敏感数据的加密和存储,防止数据泄露和篡改。
建立数据恢复和应急处置机制,及时处理数据丢失和破坏的情况。
4. 人员安全建设:建立健全的安全管理制度,明确安全责任和权限。
加强员工的安全意识培训和技能提升,提供必要的安全保密教育。
定期进行安全审计和检查,对员工进行安全行为考核,提高员工的安全意识和素质。
四、安全培训安全培训是政务服务中心安全工作的重要组成部分。
通过安全培训,提高政务服务中心员工的安全意识和技能,增强应对突发事件的能力,保障政务服务的安全。
政务窗口安全防护工作计划一、背景和意义随着信息化时代的到来,政务窗口已成为政府和公众之间交流和互动的重要通道。
政务窗口的安全问题直接关系到公众信息的安全和政府形象的塑造。
为了确保政务窗口的安全运行,促进政府和公众的有效沟通,本计划旨在制定一系列安全防护措施,保护政务窗口的安全性、稳定性和可信度。
二、安全风险评估1. 政务窗口服务的高可用性保障: 政务窗口服务需要保证24小时的高可用性,否则将导致公众服务受到影响,政府形象受损。
2. 政务窗口数据的安全性:政务窗口服务涉及到大量的公众个人信息和政府数据,必须防止数据被非法窃取、篡改、破坏。
3. 网络攻击的威胁:政务窗口服务面临各种网络攻击,如DDoS攻击、SQL注入、跨站脚本攻击等,必须加强网络安全防护。
三、安全防护措施1. 建立安全运维团队:组建由网络和信息安全专业人员组成的团队,负责政务窗口系统的安全管理和维护工作。
2. 安全培训和意识提升:定期组织安全培训,提高政务窗口工作人员的安全意识和网络安全知识,引导他们正确使用系统和防范各种网络攻击。
3. 安全审计和监控:建立安全审计制度,对政务窗口系统进行定期安全审计,及时发现和解决系统漏洞和安全隐患;同时,加强对政务窗口系统的实时监控,及时报警和应对突发安全事件。
4. 网络防护设备:部署防火墙、入侵检测系统(IDS)、Web应用防护系统(WAF)、反垃圾邮件系统等网络安全设备,提高系统的安全性和抵抗网络攻击的能力。
5. 数据备份和灾备方案:制定并执行定期的数据备份和灾备方案,建设完善的数据恢复和容灾系统,保障政务窗口服务的连续性和数据的安全性。
6. 漏洞管理和补丁更新:及时关注软件和系统的漏洞信息,及时安装和升级补丁,强化系统的安全性和稳定性。
7. 安全策略和权限管理:制定明确的安全策略,根据职责和权限对政务窗口系统进行严格的访问控制和权限管理,确保系统只被授权人员使用和访问。
8. 应急预案和演练:制定完善的应急预案和处置流程,定期组织应急演练,提高政务窗口工作人员的应急处理能力。
国政府对政务终端安全保障的迫切需求和国家相关政策文件,研制我国政务终端安全核心配置标准,建立完备的标准验证环境,建设全国性的标准应用支撑平台,实现对政务终端安全策略的统一自动部署和安全状态的全面实时监测,为提高我国政务终端安全防护能力和运行效率提供坚实的标准支撑和自主可控的运行服务。
本项目计划在两年内完成如下建设任务:(一)研制《政务终端安全核心配置规范》等十项标准;(二)搭建安全核心配置应用模拟环境,开发配置实施工具和验证工具;(三)建设配置应用支撑平台,完成平台各地方节点部署, 引言
政务终端安全核心配置(CGDCC)是在分析我国电子政务网络及终端安全状况基础上,借鉴美国联邦政府正在实施的联邦桌面核心配置(FDCC)计划,结合我国信息安全等(分)级保护相关要求,为保障政府计算机终端安全提出的一项工作计划。
计算机系统软件存在缺陷漏洞、安全配置不当,以及监管不严是终端安全问题产生的根本原因。
通过对操作系统、办公软件、浏览器等系统软件和常用关键软件进行安全配置和合规性监测管理,可有效封堵系统安全漏洞,降低系统自身和第三方工具引入的安全风险,提高终端的安全政务终端安全核心配置(CGDCC)工作进展
文/国家信息中心 刘蓓 李新友 许涛 蔡军霞 刘帅
图1 CGDCC标准研制进展
在此基础上,国家信息中心组织了《政务终端安全核心配置规范》等十项标准的预研工作。
2010年完成的《政务终端安全核心配置规范》草。
