2.依据《
上海市公共信息系统安全测评管理办法》和《信息系统安全等级保护基本要求》,三级网站每年应测评一次,二级网站每两年应测评一次。
3.各网站应及时有效地整改测评中发现的安全隐患,并进行复测直至符合标准。
(五)管理制度
1.应制定网站安全保障工作的总体方针和安全策略。
2.应制定网站建设、网站运维、网站内容保障、网站应急预案等方面的安全管理制度。
3.应确保各项安全管理制度的有效执行,并及时修订完善。
二、技术防护
(六)架构安全
1.应建立安全的网站架构体系:
(1)网站基础设施,包括网络架构与边界、服务器、网站系统平台(应用服务、数据库、中间件等);
(2)网站应用系统,包括网站管理平台、网站应用程序(源代码);
(3)网站数据,包括网站业务数据和系统数据。
2.应依据网站相关服务器的功能划分不同的安全区域,并采用虚拟局域网(VLAN)划分、访问控制列表(ACL)控制、防火墙技术等隔离措施。
3.操作系统和网站系统平台部署应遵循最小安装原则,禁用不必要的服务组件、应用插件、注册表项等,并保证网站相关系统补丁的及时更新。
4.应配备网页防篡改软件或设备,对网站所有静态、动态页面进行监控和保护。
5.针对拒绝服务攻击,可调整系统配置,配备防拒绝服务攻击安全设备,通过基础电信运营商的服务等进行流量清洗。
6.网站应保证足够的带宽,可采用出口链路冗余技术。
(七)入侵及恶意代码防范
1.应加强对病毒、木马、网页内嵌恶意代码等入侵行为以及恶意代码的防护、检测和报警。
2.网络边界应部署防火墙,可进一步选用入侵防护网关、入侵检测网关、恶意木马监测网关、防病毒网关等安全设备。
3.服务器应部署防病毒、木马等的软件,并设置系统安全策略。
4.针对网站应用程序的漏洞,应优先考虑修改源代码,可选用WEB应用防火墙硬件或软件进行防护。
(八)身份鉴别
1.应建立服务器操作系统、网站系统平台、网站管理平台各个层面的身份鉴别机制。
2.应修改操作系统默认管理员的账户名和口令,及时删除多余和过期的账户。
3.应建立操作员、管理员、审计员三类网站管理角色。
