GB-T 31506-2015 信息安全技术 政府门户网站系统安全技术指南.pdf

1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T3 1 5 0 62 0 1 5信息安全技术政府门户网站系统安全技术指南I n f o r m a t i o ns e c u r i t y t e c h n o l o g yS e c u r i t y t e c h n o l o g yg u i d e l i n e s f o rw e bp o r t a l s y s t e mo fg o v e r n m e n t2 0 1 5-0 5-1 5发布2 0 1 6-0 1-0 1实施中华人民共和国国家质量监督检验检疫总局中

2、 国 国 家 标 准 化 管 理 委 员 会发 布目 次前言引言1 范围12 规范性引用文件13 术语和定义14 缩略语15 概述2 5.1 逻辑结构及运行模式2 5.2 安全目标及防护措施36 基本级安全技术措施5 6.1 运行支撑5 6.2 物理安全6 6.3 边界安全6 6.4 服务器安全7 6.5 管理终端安全8 6.6 W e b应用安全9 6.7 域名安全1 1 6.8 内容发布及数据安全1 1 6.9 攻击防范1 2 6.1 0 安全监控与应急响应1 27 增强级安全技术措施1 3 7.1 运行支撑1 3 7.2 物理安全1 4 7.3 边界安全1 5 7.4 服务器安全1 6

3、7.5 管理终端安全1 7 7.6 W e b应用安全1 8 7.7 域名安全2 0 7.8 内容发布及数据安全2 1 7.9 攻击防范2 2 7.1 0 安全监控与应急响应2 2附录A(规范性附录)高级安全技术措施2 4G B/T3 1 5 0 62 0 1 5前 言 本标准按照G B/T1.12 0 0 9给出的规则起草。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0)提出并归口。本标准起草单位:北京信息安全测评中心、中国信息安全研究院有限公司、首都之窗运营管理中心。本标准主要起草人:刘海峰、钱秀槟、左晓栋、张晓梅、闵京华、赵章界、李晨旸、李媛、梁博、王春佳、胡冰、李垚

4、、陈萍、王喆。G B/T3 1 5 0 62 0 1 5引 言 由于网站具有面向互联网提供信息服务的特点,带有多种动机的攻击者可能会利用互联网网站的开放性和交互性进行漏洞探测,进而实施非授权访问、页面篡改、信息窃取或拒绝服务攻击。政府门户网站系统由于其代表政府的特殊属性,与普通网站相比更容易遭到来自互联网的攻击。为了提高政府网站包括防篡改、防泄露、防中断、防恶意控制在内的综合安全防范能力,为各类政府机构保障网站安全提供技术指导,特制定本标准。G B/T3 1 5 0 62 0 1 5信息安全技术政府门户网站系统安全技术指南1 范围本标准给出了政府门户网站系统安全技术控制措施。本标准适用于指导政

5、府部门开展门户网站系统安全技术防范工作,也可作为对政府门户网站系统实施安全检查的依据。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。G B/T2 8 8 72 0 1 1 计算机场地通用规范G B/T2 2 2 3 92 0 0 8 信息安全技术 信息系统安全等级保护基本要求G B/T2 2 2 4 02 0 0 8 信息安全技术 信息系统安全等级保护定级指南G B/T2 5 0 6 92 0 1 0 信息安全技术 术语G B/T5 0 1 7 42 0 0 8 电子

6、信息系统机房设计规范3 术语和定义G B/T2 5 0 6 92 0 1 0界定的以及下列的术语和定义适用于本文件。3.1政府门户网站 w e bp o r t a l o f g o v e r n m e n t政府机构利用互联网发布政务信息、提供在线服务、开展互动交流等而建立的网站,包括为用户提供展示和交互功能的页面及生成和处理页面的应用程序、中间件等。3.2政府门户网站系统 w e bp o r t a l s y s t e mo f g o v e r n m e n t政府门户网站及支撑其运行的物理环境、网络环境、服务器操作系统和数据库系统等。3.3网站用户 u s e r so

7、 fw e b s i t e网站的访问者,既包括来自外部、访问获取网站资源的前台用户,也包括负责网站系统管理、内容管理的后台用户。4 缩略语下列缩略语适用于本文件。A R P:地址接卸协议(A d d r e s sR e s o l u t i o nP r o t o c o l)C P U:中央处理器(C e n t r a lP r o c e s s i n gU n i t)D N S:域名系统(D o m a i nN a m eS y s t e m)1G B/T3 1 5 0 62 0 1 5F T P:文件传输协议(F i l eT r a n s f e rP r o

8、t o c o l)HT T P:超文本传输协议(H y p e r t e x tT r a n s f e rP r o t o c o l)I D C:互联网数据中心(I n t e r n e tD a t aC e n t e r)I P:互联网协议(I n t e r n e tP r o t o c o l)I I S:互联网信息服务(I n t e r n e t I n f o r m a t i o nS e r v i c e s)MA C:介质访问控制层(M e d i aA c c e s sC o n t r o l)OA:办公自动化(O f f i c eA u

9、t o m a t i o n)P V:页面浏览量(P a g eV i e w)S Q L:结构化查询语言(S t r u c t u r e dQ u e r yL a n g u a g e)S S H:安全外壳协议(S e c u r eS h e l l)U P S:不间断电源(U n i n t e r r u p t i b l eP o w e rS y s t e m)V L AN:虚拟局域网(V i r t u a lL o c a lA r e aN e t w o r k)V P N:虚拟专用网(V i r t u a lP r i v a t eN e t w o r

10、 k)WWW:万维网(W o r l dW i d eW e b)5 概述5.1 逻辑结构及运行模式5.1.1 政府门户网站系统逻辑结构政府门户网站系统主要面向互联网履行社会管理、公共服务职能,提供信息发布、在线服务、互动交流等服务,可根据功能需要通过指定的方式与OA系统、审批系统等政府部门其他业务系统交换数据。政府门户网站系统逻辑结构如图1所示。系统中,公众、企业、团体等用户通过互联网访问页面展示子系统的信息发布、在线服务、互动交流等服务,管理用户使用专用的管理终端从本地网络或通过在互联网上建立可信的V P N安全通道等方式访问内容管理及系统管理子系统,并对相关设备进行维护。网站数据处理子系

11、统用于实现网站系统相关数据的存储及管理。图1 政府门户网站系统逻辑结构示意图 政府门户网站系统为互联网用户提供交互服务,系统与互联网之间存在互联网边界;与部署在本地网络不同安全域中的其他业务系统及终端进行交互,系统与本地网络之间存在安全域边界;与本地网络2G B/T3 1 5 0 62 0 1 5中的其他业务系统交互特定数据,系统与本地其他业务系统之间存在业务边界。5.1.2 政府门户网站系统组成结构政府门户网站系统由门户网站及支撑其运行的物理环境、网络环境、服务器操作系统和数据库系统等构成,并与OA等其他业务系统之间存在数据交互的接口。系统组成结构可分为物理层、网络层、主机层、数据层和网站层

12、五个层面,如图2所示。图2 政府门户网站系统组成结构图5.1.3 政府门户网站系统的常见运行模式根据政府门户网站系统的实际运行情况,可分为以下三种主要运行模式:a)自建自管模式:单位自行设立网站服务器并组织管理。b)主机托管模式:单位将网站服务器委托专业的运营机构或互联网数据中心(I D C)来管理。c)主机租用模式:单位未设立网站服务器,租用运营商的服务器或虚拟服务器。5.2 安全目标及防护措施5.2.1 安全目标政府门户网站系统由于其代表政府的特殊属性,与普通网站相比更容易遭到来自互联网的攻击。攻击者为了破坏政府形象、干扰政府工作秩序或窃取政府门户网站的敏感信息,采用W e b应用攻击、拒

13、绝服务攻击、暴力破解攻击、上传恶意木马等方式,实现篡改网页、中断服务、窃取信息、控制网站等攻击目标。因此,政府门户网站系统的安全防护工作应重点实现以下目标:a)提升网页防篡改及监测、恢复能力,降低网页被篡改的安全风险;b)提高入侵防范能力及系统可用性,降低网站服务中断的安全风险;c)强化数据安全管控措施,降低网站敏感信息泄露的安全风险;d)构建纵深防御体系,降低网站被恶意控制的安全风险。3G B/T3 1 5 0 62 0 1 55.2.2 安全技术措施概述由于构成政府门户网站系统的物理层、网络层、主机层、数据层、网站层中的任何一层存在脆弱性,都可能导致政府门户网站出现内容篡改、服务中断、信息

14、泄露及恶意控制等安全风险。为了实现上述安全目标,既需要针对构成网站系统的各层面存在的脆弱性提出安全控制措施,也需要针对政府门户网站系统提出综合性的安全控制措施。表1给出了政府门户网站系统的主要安全技术措施类别,具体安全技术措施详见第6章和第7章。表1 政府门户网站系统安全技术措施网站系统安全技术措施层面防护整体防护网站层W e b应用安全域名安全数据层内容发布及数据安全主机层服务器安全管理终端安全网络层边界安全物理层物理安全运行支撑攻击防范安全监控应急响应5.2.3 安全技术措施级别选择本标准中的政府门户网站系统安全技术措施按其保障强度可划分为基本级安全技术措施、增强级安全技术措施两个等级。各

15、单位可依据政府门户网站系统的行政级别、访问量、注册用户数和业务重要度选择相应强度级别的安全技术措施,见表2。其中,满足任意一条级别选择指标要求的政府门户网站系统均宜选择增强级安全技术措施集。对于安全需求更高的政府门户网站系统,在实施增强措施的基础上,应按附录A中的高级安全技术措施进一步加强防护。在本标准的安全技术措施描述中的粗体字表示较低等级安全技术措施中未出现或较高等级安全技术措施中加强的内容。表2 政府门户网站系统安全技术措施级别选择方法级别选择因素级别选择指标适用的安全技术措施级别行政级别部委网站或省级网站是增强级安全技术措施集否基本级安全技术措施集访问量有效日均访问次数2 0万P V是

16、增强级安全技术措施集否基本级安全技术措施集注册用户数累计注册用户总数5 0万是增强级安全技术措施集否基本级安全技术措施集业务重要度在线办事程度较高且网站受到破坏后,会对社会秩序和公共利益造成严重 损 害 或 者 对 国 家 安 全 造 成损害;或按照G B/T2 2 2 4 0要求安全保护等级级别定为三级以上(含三级)的网站是增强级安全技术措施集否基本级安全技术措施集 注:有效日均访问次数应避免重复统计同一访问源在短时间内进行的多次访问。4G B/T3 1 5 0 62 0 1 56 基本级安全技术措施6.1 运行支撑6.1.1 运行模式本项措施包括:a)政府门户网站系统可选用自建自管、主机托

17、管或虚拟主机等各种模式建设运行;b)政府门户网站系统如采用主机托管或虚拟主机方式建设运行,应优先选择由当地政府集中建设的数据中心。如采用主机托管或主机租用模式,应选择在物理安全、网络安全、主机安全等方面符合本标准基本级要求或G B/T2 2 2 3 9中第二级基本要求的数据中心;c)政府门户网站系统采用主机托管或虚拟主机方式运行时,网站系统的主管单位应明确本单位和数据中心双方的安全责任边界,建立对网站系统运行环境、安全技术措施运行情况的监督机制。6.1.2 网站部署本项措施包括:a)政府门户网站系统的W e b应用程序应部署在独立的物理服务器或虚拟服务器上;b)同一政府门户网站系统的W e b

18、应用程序与数据库系统应部署在不同的物理服务器或虚拟服务器上;c)政府门户网站系统采用虚拟主机方式运行时,不应与非政务信息系统共用物理服务器。6.1.3 边界确定本项措施包括:a)明确政府门户网站系统与互联网之间的访问需求,以确定网络边界;b)明确政府门户网站系统与其他业务系统之间的访问需求,以确定安全域边界;c)如政府门户网站系统与其他业务系统存在数据交互,明确数据交互发生的业务边界(如发生交互的功能模块),并明确交互数据的性质和类型。6.1.4 资源保障6.1.4.1 性能保障本项措施包括:a)应分析政府门户网站系统的性能需求,从网络带宽、服务器的处理能力、应用程序的并发处理能力等方面对网站

19、性能予以保障;b)政府门户网站系统对外提供服务的互联网独享带宽不宜低于2M b i t/s。共享带宽条件下,网站互联网出口HT T P协议带宽不宜低于2M b i t/s;c)如政府门户网站系统访问量较大或提供在线视频等服务,可以依据网站的日均页面访问量(次)及业务高峰期(包括日高峰及高峰日)访问量酌情调整出口带宽。6.1.4.2 设备冗余部署应为支撑政府门户网站系统运转的关键设备提供硬件冗余措施,关键设备包括但不限于出口路由器、核心交换机、应用及数据库服务器等。5G B/T3 1 5 0 62 0 1 56.1.4.3 电力保障可采用配备U P S等供电措施为政府门户网站系统提供短期备用电力

20、。6.2 物理安全6.2.1 物理位置选择不应使用境外机构提供或位于境外的物理服务器或虚拟主机。6.2.2 物理环境控制本项措施包括:a)政府门户网站系统关键设备所在机柜柜门应上锁;b)机房等重要区域应配置电子门禁系统,以便控制、鉴别和记录人员出入;c)需要进入机房对政府门户网站系统进行操作时,应由网站安全责任人或其指定的专人陪同;d)机房场地在防火、防水、防震、防盗、防尘、防静电、防雷、防电磁、监控、温湿度控制等方面应符合G B/T2 2 2 3 92 0 0 8中第二 级基本要求 的物理安全 要求。机房场地安 全要求 可 参 考G B/T5 0 1 7 42 0 0 8、G B/T2 8

21、8 72 0 1 1等国家标准中的相应要求。6.2.3 传输线路保护本项措施包括:a)应采用有效方法防范对信息传输线路的物理接触,如:将通信线缆铺设在地下或管道内等隐蔽处,以防止传输过程中的数据篡改、干扰以及对线缆的物理破坏;b)电源线和通信线缆宜隔离铺设,避免互相干扰。6.3 边界安全6.3.1 互联网边界安全6.3.1.1 边界隔离方式应在政府门户网站系统与互联网之间的网络边界处部署防火墙等边界隔离设备,并配置合理的边界访问控制策略,实现网站系统与互联网之间的逻辑隔离。6.3.1.2 边界防护策略本项措施包括:a)互联网边界隔离设备的默认过滤策略应设置为禁止任意访问;b)应仅允许互联网用户

22、及单位内部普通用户终端访问网站服务器提供的HT T P服务等指定的服务和端口;c)应限制网站系统中的服务器主动访问互联网;d)应仅允许指定的I P地址访问网站服务器提供的内容管理、系统管理等服务和端口;e)应限制网站系统中的服务器主动访问单位内部网络,仅允许访问单位内部网络提供的指定交互业务、补丁更新、病毒库升级等服务。6.3.1.3 地址转换网站相关服务器应使用私有I P地址,通过边界防火墙或路由器实现私有I P地址与互联网I P地址6G B/T3 1 5 0 62 0 1 5之间的地址转换。6.3.2 安全域边界安全6.3.2.1 边界隔离方式应采用在交换设备上划分V L AN或部署安全域

23、边界防火墙等方式实现政府门户网站系统所在安全域与其他业务系统所在安全域之间的逻辑隔离。6.3.2.2 边界防护策略本项措施包括:a)安全域逻辑隔离设备的默认过滤策略应设置为禁止任意访问;b)明确各安全域之间的实际访问需求,合理配置相应的安全域边界过滤策略。6.3.3 业务边界安全本项措施包括:a)宜建立网站应用程序与其他业务系统交互的数据列表,规范交互数据的内容及格式;b)宜采用身份鉴别、访问控制、加密传输和加密存储等安全措施确保业务数据交互过程的安全性。6.4 服务器安全6.4.1 系统设置6.4.1.1 最小化安装操作系统和数据库系统宜遵循最小安装原则,仅安装业务必需的服务、组件和软件等。

24、6.4.1.2 身份鉴别本项措施包括:a)可采用用户名/口令等鉴别机制实现服务器操作系统及数据库系统的身份鉴别;b)口令应由大小写字母、数字及特殊字符组成,普通用户的口令长度不宜短于8个字符,系统管理员用户的口令长度不宜短于1 0个字符,且每半年至少修改一次;c)应采取措施防范口令暴力破解攻击,可采用设置登录延时、限制最大失败登录次数、锁定账号等措施。6.4.1.3 访问控制本项措施包括:a)针对服务器操作系统及数据库系统应设置必要的用户访问控制策略,为不同用户授予其完成各自承担任务所需的最小权限,限制超级管理员等默认角色或用户的访问权限;b)应及时清除服务器操作系统及数据库系统中的无用账号、

25、默认账号,不应出现多人共用同一个系统账号的情况;c)应限制网站W e b服务器、数据库服务器等重要服务器的远程管理;d)服务器操作系统及数据库系统需要远程进行管理时,宜采用S S H等安全方式实现;e)应仅开启业务所需的最少服务及端口。7G B/T3 1 5 0 62 0 1 56.4.1.4 安全审计本项措施包括:a)应实现服务器操作系统及数据库系统的安全审计,对系统远程管理、账号登录、策略更改、对象访问、服务访问、系统事件、账户管理等行为及WWW、F T P等重要服务访问进行审计,并设置审计日志文件大小的阈值以及达到阈值的处理方式(覆写、自动转存等);b)针对安全审计记录及审计策略设置必要

26、的访问控制以避免未授权的删除、修改或覆盖等;c)审计记录应独立保存,保存时间不少于9 0d。6.4.2 系统更新本项措施包括:a)应统一采购、部署正版软件以及相关服务,并定期开展系统漏洞扫描工作;b)应通过操作系统软件、数据库系统软件官方网站或其他合法渠道获得补丁程序,并在补丁程序通过安全测试后及时更新。6.5 管理终端安全6.5.1 连接控制6.5.1.1 外联控制配置本项措施包括:a)应对管理终端的远程登录I P地址及MA C地址进行限制;b)可设置并启用管理终端的外联控制策略,对管理终端未经授权的外联行为进行监测和处置。6.5.1.2 移动存储介质接入安全配置设置并启用管理终端的移动存储

27、介质接入安全策略,检验移动存储介质的合法性,并对接入的移动存储介质进行恶意代码扫描。6.5.2 系统配置6.5.2.1 操作系统配置本项措施包括:a)操作系统各类账号的口令应由大小写字母、数字及特殊字符组成,普通账号的口令长度不宜短于6个字符,系统管理员账号的口令长度不宜短于8个字符;b)口令生存周期宜设置为不长于1 8 0d,限制口令修改频度和使用周期;c)关闭操作系统默认共享,对于必须开启的共享文件夹应明确文件夹的共享权限,并在不再使用时及时关闭;d)关闭操作系统的自动播放功能;e)设置并启用系统有口令保护的屏幕保护程序,屏幕保护的等待时间不宜长于5m i n;f)设置并启用主机防火墙,根

28、据网站管理需求,设置端口、协议等访问控制策略,非授权用户不应远程访问管理终端。6.5.2.2 软件安装配置本项措施包括:8G B/T3 1 5 0 62 0 1 5a)统一采购正版或合法软件以及相关服务,建立软件资产清单,安装和配置前宜进行安全审核;b)设置并启用软件进程监测策略,对违反策略的行为进行处置;c)可对软件的增加、修改、删除等软件变更情况进行审计,审计信息应包括日期、时间、来源、用户、操作及结果等要素,审计数据至少保存9 0 d,并确保数据的保存独立于管理终端。6.5.3 系统更新本项措施包括:a)可定期进行管理终端软件安全漏洞扫描,及时评估和修补已经发布的软件安全漏洞;b)在实施

29、关键漏洞的修补前,应从操作系统软件官方网站或其他合法渠道获得补丁程序,并在补丁程序通过安全测试后及时更新。6.6 W e b应用安全6.6.1 安全功能设计6.6.1.1 身份鉴别本项措施包括:a)网站对浏览用户可不进行鉴别,对前台注册用户、后台内容管理用户及系统管理用户应采用用户名/口令等身份鉴别机制实现用户身份鉴别,并启用验证码机制;b)各用户口令应由大小写字母、数字及特殊字符组成,前台注册用户的口令长度不宜少于8个字符,后台内容管理用户及系统管理用户的口令长度不宜短于1 0个字符,且每半年至少修改一次;c)应设置网站用户登录超时重鉴别、连续登录失败尝试次数阈值等措施。6.6.1.2 访问

30、控制本项措施包括:a)应提供访问控制功能,授予网站用户为完成各自承担任务所需的最小权限,限制默认角色或用户的访问权限;b)应实现系统管理用户、内容编辑用户及内容审核用户等特权用户的权限分离。6.6.1.3 安全审计本项措施包括:a)应提供安全审计功能,包括:针对前台用户的注册、登录、关键业务操作等行为进行日志记录,内容包括但不限于用户姓名、手机号码、注册时间、注册地址、登录时间、登录地址、操作用户信息、操作时间、操作内容及操作结果等;针对后台内容管理用户的登录、网站内容编辑、审核及发布等行为进行日志记录,内容包括但不限于用户登录时间、登录地址以及编辑、审核及发布等行为发生时的用户信息、时间、地

31、址、内容和结果等;针对系统管理用户的登录、账号及权限管理等系统管理操作进行日志记录,内容包括但不限于网站用户登录时间、登录地址以及管理操作对象、操作内容、操作结果等。b)宜设置日志文件的大小及达到阈值的操作方式;c)应对安全审计记录及审计策略设置必要的访问控制以避免未授权的删除、修改或覆盖等;d)审计记录应独立保存,保存时间不少于9 0d。9G B/T3 1 5 0 62 0 1 56.6.1.4 资源管控本项措施包括:a)应根据网站访问需求限制最大并发会话连接数;b)如用户在一段时间内未作任何操作,网站应自动结束当前会话。6.6.2 源代码安全本项措施包括:a)在网站需求设计阶段,应制定源代

32、码安全编写规范,约束特定语言相关的编程规则,并对应用程序代码存在的常见安全缺陷提出规范要求,包括但不限于表3所示编码安全要求。b)在网站开发阶段,应遵循制定的源代码安全编写规范,并在网站投入使用前委托第三方专业机构对网站应用程序源代码进行全面的安全审查。表3 政府门户网站编码安全要求示例(基本级)类别具体措施输入输出处理规范集中验证所有的输入信息,用户输入的数据不应被直接用到程序的逻辑中;在程序中清晰界定可信和不可信数据的边界,当数据要从不可信的区域进入可信区域时需使用验证逻辑进行判断W e b技术规范校验来自客户端的任何数据,并在服务器端进行安全验证;传输敏感信息时,采用加密措施;构造通用的

33、错误提示信息,限制用户短时间内重复访问的次数文件系统规范限制应用程序文件及临时文件的访问权限;对来自文件系统的所有值进行合适的输入验证网络系统规范对来自网络的任何数据进行校验,确保数据包的大小和内容与预期要求相符数据库规范正确的使用参数化的结构化查询语句,数据不应指向改变的方法;对来自数据库的数据进行验证,确保其格式正确且能够安全的使用日志处理规范根据操作的重要程度划分日志等级,保证日志记录的一致性;日志文件应独立保存于应用程序目录外,使用严格的访问权限控制日志文件密码技术规范使用经过国家有关部门批准的、符合相关国家政策与标准的密码算法;无用私密信息的存活时间宜尽量缩短;尽量少的共享私密信息,不应在客户端长期保存秘密信息认证技术规范鉴别信息在网络中加密传输,不应在源代码中明文存储和显示;谨慎给出认证反馈信息,限制一个账号连续失败登录的次数并有相应的处理措施等口令管理规范使用统一的口令策略,