大型企业门户网站安全保障体系架构设计

田晓岚

摘要：近年来，随着信息化建设的飞速发展，越来越多的企业逐步建立了门户网站，网站的重要性也与日俱增，因此网站的安全也成为重中之重。本文结合系统實际，参考国家信息安全等级保护制度第三级要求，分析网站系统与三级等保要求的差距，从技术和管理两个方面入手，重点从提升网站的防护控制能力、监测预警能力、审计追溯能力和快速响应能力进行详细的设计规划。使安全措施贯穿系统全生命周期，保障网站安全稳定运行。

关键词：系统安全;企业门户;安全保障;安全管理

一、引言

企业门户网站不仅是企业信息发布平台和业务处理平台，也是只是加工平台、知识获取平台的集成，它使各个部门办公人员之间的信息共享和交流更加流畅，使企业用户更加直接的了解企业信息。企业门户网站的健康、有序运行，离不开安全保障。保障企业门户网站不收非法侵害，保证网站的信息真实性、完整性、可用性等，安全问题是企业门户网站必须要考虑的一个首要问题。

二、系统安全体系架构设计需求分析

（一）现状分析

经过近几年的大力建设，企业门户网站日益深入使用，网站目前每日拥有近百万人次的浏览量。由于用户量逐步上升，数据量逐年增大，其原有系统支撑平台体系和服务内容逐渐无法满足业务增长的需求，扩大网上企业信息公开范围、加强网上服务能力、建立安全保障体系势在必行。

（二）合规需求

2017年国家颁布了《网络安全法》企业门户网站系统作为重要信息系统，需按国家网络安全法中对网络运行安全、网络信息安全及监测预警与应急处置的相关要求进行设计。

（三）技术需求

根据合规性需求，企业门户网站系统在设计应考虑到系统开发阶段、建设阶段及运行维护各阶段的标准要求及技术要求等加入到架构设计中。

（四）运维需求

企业门户网站应用系统应提供完善的安全运营保障体系，通过对网站应用系统实施安全状态监控、安全审计、安全事件处置和应急响应、安全持续改进及监督检查等活动，确保系统安全平稳运行;定期对网站应用系统进行安全状况评估，通过漏洞扫描、渗透测试、安全巡检、安全加固、日志审计及时消除安全隐患和漏洞;为网站应用系统制订不同等级信息安全事件的响应、处置预案，加强信息系统的安全管理等。

三、系统保障体系设计

本章节以上一章节系统安全体系设计需求分析为基础对企业门户网站系统安全保障体系进行详细设计，从控制合规、功能、管理等三方面展开设计。

（一）设计依据

企业门户网站应用系统的安全方案应参考以下相关法律法规：

1）《中华人民共和国网络安全法》

2）《中华人民共和国政府信息公开条例》（中华人民共和国国务院令第492号）

3）《中华人民共和国计算机信息网络国际联网管理暂行规定》

4）《国务院办公厅关于做好中央政府门户网站内容保障工作的意见》（国办发〔2005〕31号）

5）《信息技术 信息系统安全等级保护实施指南》

6）《信息技术 信息系统安全等级保护基本要求》

7）《信息技术 信息系统安全等级保护方案设计规范》

8）《信息安全管理实践准则》 BS7799/ISO17799

（二）设计目标

企业门户网站安全保障体系设计，主要是建设系统四大安全能力，即防护控制能力，监测预警能力、审计追溯能力和快速响应能力。安全措施贯穿系统全生命周期，减少安全风险对系统的影响，做到信息安全事件事前有防护，事中有响应，事后有审计，保障系统稳定运行。

（三）安全架构技术解决方案设计

1. 提升安全防护控制能力

企业门户网站应用系统防护控制能力建设针对系统的基础设施层（物理、网络、虚拟化）、系统环境层（操作系统、中间件、数据库）、软件应用层（平台应用）采用安全加固、访问控制、入侵防御、恶意代码防范、安全审计、防病毒等多种技术和措施，实现业务应用的可用性、完整性和保密性保护，并充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御体系，保障信息系统整体的安全保护能力，在系统建成后通过安全服务对防护控制能力进行验证，保障防护控制能力的有效性。

2. 提升安全监测预警能力

在主机层面、网络层面部署监测设备，同时结合内外部监测平台，对企业门户网站开展可用性监测、安全事件监测、通报机制建设等技术支撑工作，提高外部网站在威胁检测、预警及应急响应方面的能力。通过部署入侵检测等系统，全面捕捉网络层针对该区域服务器的所有访问行为，实时发现恶意用户对重要的服务器系统进行的非法访问、恶意攻击及蠕虫传播等行为并及时进行报警和采取一定的响应操作。

3. 提升审计追溯能力

审计作为事后追溯的最有效手段，不仅是合规的要求，也是内部自身的推动。通过部署日志审计系统、应用审计系统、数据库审计系统、运维堡垒机，对企业门户网站的操作系统、中间件、应用系统、安全设备的日志审计、网络层/应用层的用户行为审计以及对开发人员、运维人员的操作审计，保障系统安全运行。

4. 提升安全运营能力

通过有效的运维工具和制度，针对检测发现的问题或者突发事件，进行快速响应处理，提高安全运营能力。快速响应覆盖日常安全运维、源代码检测、渗透测试、安全意识培训、重保值守、其他安全服务赋能等工作及服务方面。

四、总结

在企业门户网站安全保障体系设计的同时，提高了企业门户网站的安全，规范了运维管理，近而提高了系统运行的稳定性，同时该安全保障体系架构对各大企业的信息系统的安全保障均有借鉴的作用。

参考文献：

[1]张基温. 信息系统安全教程. 清华大学出版社 2007年7月

[2]王继林. 信息安全导论[M]. 西安电子科技大学出版社， 2012-8-1.

[3]张红族. 信息安全技术. 高等教育出版社 2008年06月

[4]林代茂. 信息安全：系统的理论与技术. 科学出版社 2008年03月

[5]薛质. 信息安全技术基础和安全策略. 清华大学出版社 2007年04月

[6]王改性，师鸣若. 数据存储备份与灾难恢复. 电子工业出版社 2009年06月

[7]王淑江. 网络存储·数据备份与还原. 电子工业出版社 2010年08月

[8]王改性，师鸣若. 数据存储备份与灾难恢复. 电子工业出版社 2009年06月

[9]龚靖，雷俊智，龙洋. 云存储解析. 人民邮电出版社 2013年03月

[10]王淑江. 网络存储·数据备份与还原. 电子工业出版社 2010年08月

[11]谢宗晓. 信息安全管理体系实施指南[M]. 中国标准出版社， 2012-10-1.

[12]胡志昂. 信息系统等级保护安全建设技术方案设计实现与应用[M]. 电子工业出版社， 2010-2-1.

[13]刘小茵. 中小企业信息安全管理体系最佳实践[M]. 中国标准出版社， 2010-8-1.

[14]（美） 霍普. Web安全测试. 清华大学出版社 2010年3月

[15]刘润平，万佩真.企业网络安全问题与对策[J].企业经济，2010，（7）

[16]顾华祥.中国网络信息安全形势及法治对策[J].当代传播，2010，（4）