信息安全整改方案（全文完整）

下面是小编为大家整理的信息安全整改方案（全文完整）,供大家参考。

　信息安全整改方案

　 信息安全整改方案

　网站信息安全等级保护建设整改方案

　随着互联网应用与门户网站系统的不断进展与完善，网站系统面临的安全威胁与风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施，另一方面要加强系统自身抵抗威胁的能力，同时结合国办 2019 年 40 号文件《关于进一步加强政府网站管理工作的通知》的有关要求，网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署与实施，综合提升网站系统的安全保障能力。

　根据国家等级保护有关要求，省级政府门户网站系统的信息安全保护等级应定为三级，建立符合三级等级保护有关要求的安全防护措施，能够形成在同一安全策略的指导下，网站系统应建立综合的操纵措施，形成防护、检测、响应与恢复的保障体系。通过使用信息安全风险分析与等级保护差距分析，形成网站系统的安全需求，从而建立有针对性的安全保障体系框架与安全防护措施。

　网站系统安全需求

　根据网站系统的应用情况，针对网站系统的安全需求能够从系统业务流程、软件、数据、网络与物理几个方面进行综合分析，具体需求如下：

　1、业务流程安全需求

　针对网站类业务重点需要关注公布信息的准确性，采集分析与汇总信息的可控性，与服务平台的可用性，系统可能面临的威胁包含网络攻击、越权、滥用、篡改、抗抵赖与物理攻击，应加强关于这些威胁的对抗与防护能力，通过严格操纵业务流程中的各个环节，包含信息采集、分析、汇总、公布等过程中的人员访问身份、访问操纵、审批审核等需求，同时要加强系统自身的完整性保护与抗抵赖机制的实现。

　2、软件安全需求

　网站系统软件架构通常包含接入层、展现层、应用层、基础应用支撑层、信息资源层与基础支撑运行环境等几个层面，由于几个层面涉及的要紧功能与软件实现存在一定的差异性，因此要通过分析不一致层次可能面临的威胁。接入层是目标用户与接入媒介共同构建而成，针对业务系统此层面是一个访问入口，从安全需求方面应当减少入口关于系统的攻击可能性，关于指定的接入与入口能够通过建立可信机制进行保护，关于非指定的接口能够通过操纵权限进行防护；展现层是系统内容的展示区域，要确保系统展示信息的完整性，降低被篡改的风险；应用层是对数据信息进行处理的核心部分，应加强系统自身的安全性与软件编码的安全性，减少系统自身的脆弱性；基础应用支撑层要紧包含通用组件、用户管理、目录服务与交换组件等通用应用服务，该层

　次重点是确保系统组件自身的安全性，同时要加强与应用之间接口的安全性；信息资源层是由业务数据库与平台数据库共同构成，此层次重点的安全在于数据库安全；基础支撑运行环境层，支撑应用系统运行的操作系统、网络基础设施与安全防护等共同构筑成基础支撑运行环境，该层次面临的要紧威胁包含物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁，应加强资产的综合管理。

　3、数据安全需求

　网站系统的数据要紧包含互联网读取、录入、管理、审核的数据信息，与前台的交互信息与后台的数据交换信息，针对这些信息各个环节中的访问关系不一致，信息的敏感与重要程度不一致，可能面临威胁也存在一定的差异性，其中读取过程要结合信息的敏感与重要程度进行访问操纵，降低越权、滥用等威胁的发生；录入关注信息自身的完整性与合法性，注意防止恶意代码与木马对系统造成的攻击；管理与审核涉及信息系统的关键性信息，因此基本属于系统中的敏感信息或者关键流程管理，加强人员的安全管理；交互与数据交换要通过系统自身的安全防护机制，抵抗网络攻击与加强抗抵赖机制。

　4、网络与物理安全需求

　网络层面重点在于设计合理的网络架构，部署冗余的网络设备，形成能够建立不一致安全策略的安全域，从而确保网站系统

　能够正常稳固运行。

　物理安全要紧涉及的方面包含环境安全（防火、防水、防雷击等）设备与介质的防盗窃防破坏等方面。具体包含：物理位置的选择、物理访问操纵、防盗窃与防破坏、防雷击、防火、防水与防潮、防静电、温湿度操纵、电力供应与电磁防护等方面的需求，应确保机房的建设符合国家有关要求。

　5、it 资产安全需求

　it 资产重点关注资产本身的漏洞风险，同时根据资产类型的不一致，能够区分成硬件资产、软件资产，其中硬件资产可能面临的关键威胁是软硬件故障、物理攻击等；软件资产可能面临的威胁包含篡改、泄密、网络攻击、恶意代码与抗抵赖。

　6、综合安全需求

　通过对各个方面综合的安全风险与需求分析，网站系统有关的业务、软件、数据、网络与有关 it 资产，由于其应用类型、环境等因素导致要紧威胁分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用与抗抵赖等几个方面，由于其威胁发生的可能性较高，威胁利用后影响较大，导致其安全风险较高，因此应形成对抗这些威胁的必要的安全措施，加强对系统自身的安全性。同时结合信息安全等级保护基本要求的有关技术与管理操纵点，进一步完善物理安全、网络安全、主机安全、应用安全与数据安全的有关操纵措施，并要能够落实组织、制度、人员、建设与运

　维有关的管理要求。

　网站系统安全方案设计

　根据对网站系统安全需求的分析，关于网站系统的安全防护要紧从下列两个方面进行设计，一方面是系统的安全保护对象，合理分析系统的安全计算环境、区域边界与通信网络，形成清晰的保护框架；另一方面还是要建立综合的安全保障体系框架，形成对网站系统综合的操纵措施架构，同时加强网站系统可能面临威胁的各项防护机制。

　1、安全保护对象

　安全计算环境：重点落实等级保护基本要求的主机、应用、数据部分的安全操纵项，结合安全设计技术要求中的要紧

推荐访问:信息安全 整改方案 完整 信息安全整改方案 信息安全整改方案范文