【正文】 ，將進行以下方面的配置。標記管理標記管理是實現(xiàn)強制訪問控制的重要前提，也是針對三級系統(tǒng)，實現(xiàn)全程訪問控制的基礎(chǔ)，這里通過管理中心，對政務(wù)網(wǎng)站系統(tǒng)內(nèi)的所有主、客體（包括用戶、進程、文件、數(shù)據(jù)等）進行標記，作為后續(xù)進行強制訪問控制的依據(jù)。通過安全管理中心，將進行以下的標記管理：1. 提供主體標記管理功能對訪問政務(wù)網(wǎng)站系統(tǒng)的認證訪問用戶，配置安全級別和安全范疇。政務(wù)網(wǎng)站系統(tǒng)主要的主體包括以下類型：l 互聯(lián)網(wǎng)上遠程認證訪問用戶；l 政務(wù)網(wǎng)站本地系統(tǒng)管理人員（需要登錄并訪問服務(wù)器、數(shù)據(jù)庫以及網(wǎng)絡(luò)設(shè)備）；l 政務(wù)網(wǎng)站本地安全審計人員（需要登錄管理中心并進行相關(guān)審計操作）。l 數(shù)據(jù)庫交換服務(wù)器（需要與政務(wù)辦公系統(tǒng)的數(shù)據(jù)庫進行交換）2 提供客體標記管理功能針對政務(wù)網(wǎng)站系統(tǒng)中與安全業(yè)務(wù)相關(guān)的客體設(shè)定安全標記，安全標記包括與文件名直接相關(guān)的安全標記、目錄安全標記、設(shè)備安全標記、網(wǎng)絡(luò)服務(wù)安全標記等類型。同時提供安全標記的修改接口，供安全管理員人工參與安全級別的制定和更改。政務(wù)網(wǎng)站系統(tǒng)主要的客體包括以下類型：l 政務(wù)網(wǎng)頁應(yīng)用系統(tǒng)；l 政務(wù)網(wǎng)頁數(shù)據(jù)庫系統(tǒng)；l 網(wǎng)頁服務(wù)器、數(shù)據(jù)庫服務(wù)器、網(wǎng)頁上傳服務(wù)器；l 網(wǎng)頁維護終端、運行維護終端；l 網(wǎng)絡(luò)設(shè)備（包括核心交換機和邊界路由器）。授權(quán)管理安全管理子系統(tǒng)提供授權(quán)模板，針對政務(wù)網(wǎng)站系統(tǒng)的訪問要求，以及各類客體（文件、數(shù)據(jù)、進程等）對主體（用戶、進程等）的訪問許可類型，維護強制訪問控制表和自主訪問控制表，將對特定客體的打開、讀、寫、執(zhí)行、刪除、改名等權(quán)限賦予相應(yīng)的用戶。制定強制訪問控制策略、自主訪問控制策略、級別調(diào)整策略等，具體包括：1. 終端授權(quán)用戶策略，限定哪些用戶可以登錄終端；2. 遠程認證終端訪問授權(quán)策略：對遠程互聯(lián)網(wǎng)訪問用戶，進行訪問許可的授權(quán)，限制其可以訪問的范圍；3. 可執(zhí)行代碼控制和校驗策略，提供可執(zhí)行程序完整性預期值白名單，阻止非授權(quán)代碼（包括惡意代碼）的運行；4. 本地訪問控制策略，控制用戶登錄后對文件、設(shè)備等資源的訪問權(quán)限；5. 網(wǎng)絡(luò)訪問控制策略，限定主機對網(wǎng)絡(luò)其它主機的連接權(quán)限，控制用戶訪問上傳服務(wù)器各種信息的權(quán)限；6. 審計策略，指定審計事件類型、時間及信息內(nèi)容；系統(tǒng)管理中心接收并查看來自系統(tǒng)管理員以及各節(jié)點上報的策略申請信息，依據(jù)安全管理規(guī)則和主客體的安全標識信息，對合法的申請內(nèi)容予以批準。由于對審計管理設(shè)計通過前面三個環(huán)節(jié)的設(shè)計，基本上實現(xiàn)了對政務(wù)網(wǎng)站系統(tǒng)的整體安全管理，通過對各類用戶的標記、訪問授權(quán)和控制，也體現(xiàn)出“全程化”控制的等級保護建設(shè)思想，接下來非常重要的環(huán)節(jié)就是設(shè)計審計管理系統(tǒng)。審計子系統(tǒng)用于存儲和處理整個系統(tǒng)中的所有審計信息，針對政務(wù)網(wǎng)站系統(tǒng)所接受的各類訪問，包括維護終端用戶的登錄、文件讀寫等操作、網(wǎng)絡(luò)訪問行為；以及對網(wǎng)站發(fā)布內(nèi)容的更新、上傳、刪除等操作行為，進行收集和記錄，并形成文件，上傳到審計服務(wù)器進行存儲和處理，審計員可以在安全管理中心上查看審計信息。1. 生成審計策略并發(fā)放。2. 接收、存儲審計信息。查詢審計信息。同時，審計系統(tǒng)還能夠?qū)κ占降脑紝徲嬓畔⑦M行深度分析，并通過信息格式歸一化、信息內(nèi)容歸并、訪問信息關(guān)聯(lián)等手段，深入分析政務(wù)網(wǎng)站系統(tǒng)可能存在的安全風險，并進行報警，使系統(tǒng)管理人員能夠采取有效的補救手段，來更好地保障網(wǎng)站應(yīng)用。 管理中心策略設(shè)計根據(jù)政務(wù)網(wǎng)站系統(tǒng)的主、客體定義，以及中間業(yè)務(wù)流程的分析，確定主體對客體的訪問控制策略如下表表示：靜態(tài)網(wǎng)頁文件申請表單審核結(jié)果表單信息資產(chǎn)安全策略訪問日志一般訪問用戶只讀無無無無無政務(wù)申請用戶只讀讀、寫只讀無無無公務(wù)員只讀只讀只讀無無無網(wǎng)頁維護人員讀、寫、刪除無無無無無系統(tǒng)管理員只讀無無讀、寫、修改無無安全管理員只讀無無無讀、寫、修改無安全審計人員只讀無無無無只讀 管理中心部署設(shè)計管理中心的形態(tài)為軟硬件結(jié)合的方式，硬件部分是USBKEY；軟件部分包括終端操作系統(tǒng)安全增強軟件、終端安全代理、安全存儲策略服務(wù)器軟件、邊界控制服務(wù)器軟件以及安全管理中心平臺軟件。其中，硬件部分USBKEY是一個USB接口的可信器，內(nèi)置了經(jīng)國家密碼管理委員會批準的密碼算法，同時它是用戶身份識別的唯一標識；用戶的認證密鑰和數(shù)據(jù)存儲密鑰也存放在USBKEY內(nèi)，并使用RSA公鑰體制加密保護，從而保證它們的安全性，有效防止惡意攻擊者使用假冒的USBKEY進入系統(tǒng)盜竊和篡改數(shù)據(jù)。終端操作系統(tǒng)安全增強統(tǒng)一實施安全管理中心下發(fā)的安全策略，對終端上用戶訪問計算機資源的行為進行監(jiān)控，特別是對敏感數(shù)據(jù)的讀、寫、拷貝、刪除等各種訪問實施包括加、解密在內(nèi)的全程安全保護；終端安全代理與安全管理中心、安全存儲策略服務(wù)器以及其他終端交互，負責安全策略的下載、更新，審計信息的上傳以及終端身份及安全狀態(tài)的認證等；安全存儲策略服務(wù)器存放安全管理中心制定的策略，供可信終端下載和更新策略；邊界控制服務(wù)器負責對接入信息系統(tǒng)的終端進行平臺身份以及安全狀態(tài)的認證，以確定是否允許其接入系統(tǒng)；安全管理中心是本系統(tǒng)的核心，負責用戶管理、介質(zhì)管理以及策略管理，包括用戶USBKEY的發(fā)行、用戶密鑰的管理、終端主客體安全級別的設(shè)定、終端軟件棧的確定、接入策略的制定等。對于政務(wù)網(wǎng)站系統(tǒng)，將采取以下的部署方案：. 安全管理中心部署設(shè)計示意圖部署的內(nèi)容包括三個方面，分別包括：1 在所有的互聯(lián)網(wǎng)認證訪問用戶終端上采取USBKEY，存放了用戶的認證證書，用以實現(xiàn)在訪問政務(wù)網(wǎng)站系統(tǒng)過程中，進行的強制訪問控制；2 所有內(nèi)部網(wǎng)頁維護終端以及系統(tǒng)維護終端上安裝USBKEY，存放用戶認證證書，實現(xiàn)在進行網(wǎng)頁相關(guān)維護過程中的強制訪問控制；3 在內(nèi)部網(wǎng)頁維護終端上安裝安全代理及操作系統(tǒng)安全增強軟件，從而進一步提升終端的安全性，防止惡意代碼對終端的破壞，并且還可有效防范攻擊者將維護終端作為跳板，進一步發(fā)起對網(wǎng)頁服務(wù)器的攻擊，造成更大的破壞；4 在核心交換機上部署策略存儲服務(wù)器、邊界控制服務(wù)器以及安全管理中心系統(tǒng)，實現(xiàn)對訪問控制策略的統(tǒng)一分配和統(tǒng)一控制，并且根據(jù)網(wǎng)站系統(tǒng)預先定義的訪問授權(quán)原則和策略，對各類訪問進行很好的控制。 管理中心建設(shè)效果通過上述的建設(shè)，針對網(wǎng)站系統(tǒng)實現(xiàn)了全程的訪問控制。具體包括：l 互聯(lián)網(wǎng)遠程認證用戶訪問網(wǎng)站系統(tǒng)時，先提交證書（存放在USB KEY里），證書通過網(wǎng)絡(luò)被傳遞到安全策略中心以后，管理中心驗證證書的有效性，并根據(jù)證書（就是訪問主體標記）來確定遠程認證用戶可以訪問的主頁；l 網(wǎng)頁維護終端在提交網(wǎng)頁時，也是采取相似的控制過程，就是維護終端（作為訪問主體）先需要提交認證證書，管理中心驗證證書的有效性后，并根據(jù)安全策略中心的授權(quán)信息，對終端的訪問進行嚴格的控制，防止非法的訪問；l 維護終端在訪問其他資源（比如登錄服務(wù)器進行維護），均需要提交相關(guān)證書，否則將無法進行操作，那么管理中心也同樣進行一次認證，只有認證通過后，方可被許可訪問資源，進行相關(guān)操作。管理中心的部署也實現(xiàn)了真正的訪問“源頭”控制。由于對主體的標記和授權(quán)都是針對到單獨的終端，終端在進行任何對外訪問的過程中，必須提交相關(guān)標記并通過了相關(guān)認證方可進行訪問，那么相當于從信息訪問的“源頭”上就進行了嚴格的控制，實現(xiàn)了真正的訪問“源頭”控制。管理中心的引入對終端的訪問實現(xiàn)了真正的強制訪問控制通過標記主、客體的方法，政務(wù)網(wǎng)站的所有資源進行了標記，并在同一的策略中心控制下，針對主體對客體的訪問，采取嚴格的強制訪問控制，以及集中用戶訪問控制，保障了訪問的有序性。實現(xiàn)了認證、控制、審計的全閉環(huán)控制管理中心針對策略，有效記錄了政務(wù)網(wǎng)站系統(tǒng)的各類訪問活動，并結(jié)合策略有效性檢查，分析政務(wù)網(wǎng)站系統(tǒng)的策略是否存在問題，或者政務(wù)網(wǎng)站系統(tǒng)的活動是否完全符合策略的限制，并根據(jù)分析結(jié)果對認證和控制策略進行有效修正，從而形成了認證、控制、審計的全閉環(huán)控制。 計算環(huán)境安全建設(shè) 維護系統(tǒng)安全建設(shè) 系統(tǒng)組成維護系統(tǒng)由維護終端、上傳服務(wù)器、數(shù)據(jù)庫服務(wù)器和數(shù)據(jù)交換服務(wù)器組成，如圖所示。維護終端是網(wǎng)站編輯人員的操作平臺，向上傳服務(wù)器上傳新的網(wǎng)頁內(nèi)容，上傳服務(wù)器得到上傳內(nèi)容，根據(jù)編輯的身份和網(wǎng)頁的內(nèi)容導入數(shù)據(jù)庫中相應(yīng)位置。 維護系統(tǒng)組成需要特別指出的是，門戶網(wǎng)站系統(tǒng)的主要功能是對外提供信息瀏覽，要保證信息的完整性，不允許網(wǎng)頁信息受到非授權(quán)篡改，不允許網(wǎng)站維護人員發(fā)布虛假信息。同時由于有網(wǎng)上報稅等申請，網(wǎng)站也要保證這部分信息的機密性。門戶網(wǎng)站系統(tǒng)不僅要能夠防止來自外部瀏覽用戶的攻擊，而且要求能防止組織內(nèi)部人員的攻擊。網(wǎng)站維護系統(tǒng)的功能就是實現(xiàn)網(wǎng)站內(nèi)容的管理，保證維護系統(tǒng)的安全，并確保維護人員正常使用、正確操作是實現(xiàn)整個網(wǎng)站安全的關(guān)鍵。網(wǎng)站內(nèi)容管理采用C/S模式，有自己開發(fā)的上傳客戶端和上傳服務(wù)器。維護系統(tǒng)中各部門負責本部門相關(guān)的網(wǎng)頁內(nèi)容，每個部門按需要配備了數(shù)量不等的維護終端，可將采集的內(nèi)容通過上傳客戶端加密傳輸?shù)缴蟼鞣?wù)器，服務(wù)器接收到上傳內(nèi)容后，解密并根據(jù)上傳人員和目標目錄，將內(nèi)容寫入到后臺數(shù)據(jù)庫，完成網(wǎng)頁更新操作。為了保證每個維護人員操作都是安全的，加入了無法旁路、不可卸載的系統(tǒng)層強制訪問控制，使得每個維護人員只能做權(quán)限范圍內(nèi)的事情。為了實現(xiàn)上述目的，方案要求維護工具接到用戶請求后，通過系統(tǒng)調(diào)用向操作系統(tǒng)安全內(nèi)核傳送所維護的目標客體以及操作信息，安全內(nèi)核根據(jù)設(shè)定的訪問控制策略進行訪問控制，只有策略允許時才能將上傳的內(nèi)容寫入后臺數(shù)據(jù)庫，完成維護操作。否則將拒絕訪問，并將此次違規(guī)操作上傳到審計服務(wù)器。除此之外，維護終端、上傳服務(wù)器、數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)交換服務(wù)器都進行了安全加固，安裝了經(jīng)過安全增強的操作系統(tǒng)。安全增強操作系統(tǒng)的主要功能有： 1）雙因子身份認證：基于可信硬件設(shè)備的安全身份鑒別機制，且可以通過安全的機制將身份與授權(quán)權(quán)限綁定； 2）自主訪問控制/強制訪問控制：基于二維標識模型，不僅控制用戶對本地文件的訪問，而且通過對維護系統(tǒng)的應(yīng)用封裝，從用戶登錄信息中得到主體名，從訪問的URL中得到客體信息，實現(xiàn)了維護人員對網(wǎng)站內(nèi)容維護動作的強制訪問控制。 3）執(zhí)行程序控制分為可執(zhí)行型和解釋型兩種類型代碼的驗證和控制。上述代碼只有通過系統(tǒng)的完整性校驗后才能獲得執(zhí)行機會，從而有效阻止了惡意代碼的發(fā)作，確保系統(tǒng)不受病毒、木馬的侵擾。對數(shù)據(jù)交換服務(wù)器，還增加了對特定同步處理進程權(quán)限的限制，確保只有可信的服務(wù)進程才能對數(shù)據(jù)交換同步目錄和文件進行寫操作。 4）審計根據(jù)安全審計員制定的審計策略，記錄維護人員的操作行為，上傳到安全管理中心，供審計員進行分析，方便事后追查和應(yīng)急處理。另外在網(wǎng)站維護區(qū)域部署數(shù)據(jù)庫審計系統(tǒng)，對數(shù)據(jù)庫操作內(nèi)容進行審計。 根據(jù)安全審計員制定的數(shù)據(jù)庫審計策略，記錄數(shù)據(jù)庫的違規(guī)的操作行為，上傳到安全管理中心，供審計員進行分析，方便事后追查和應(yīng)急處理。 防護策略設(shè)置在一個中心管理下的三重防護體系結(jié)構(gòu)下，安全策略支配整個系統(tǒng)的運行，維護系統(tǒng)中不同區(qū)域所設(shè)置的安全策略不同，具體如下：維護終端的安全策略：1） 用戶身份列表：包括所有可以在該終端使用的用戶信息；2） 主體標記列表：全系統(tǒng)的用戶、進程的標記信息，標記內(nèi)容有范疇、保密性級別、完整性級別等，主要用于強制訪問控制；3） 客體標記列表：全系統(tǒng)的帶有標記的文件、目錄，標記內(nèi)容有范疇、保密性級別、完整性級別等，主要用于強制訪問控制；4） 可執(zhí)行程序列表：包括所有可以在該終端執(zhí)行的程序的校驗碼，只有在這個列表中的文件才能執(zhí)行，而且如果文件內(nèi)容發(fā)生更改，校驗不通過時，也將被拒絕執(zhí)行；5） 訪問控制策略：設(shè)定為護人員的權(quán)限，確保維護人員只能執(zhí)行權(quán)限范圍內(nèi)的行為；6） 審計策略：設(shè)定系統(tǒng)在一定時間段內(nèi)，需要對什么樣的時間進行審計。上傳服務(wù)器的安全策略：上傳服務(wù)器需要配置的策略類型和維護終端類似，但是其自主訪問控制列表需要增加如下內(nèi)容：1） 每個用戶上傳的目的目錄只允許該用戶訪問，其它用戶不能訪問；2） 上傳的目錄只允許上傳的進程進行寫操作，寫數(shù)據(jù)庫的進程進行讀操作；數(shù)據(jù)庫服務(wù)器的安全策略： 數(shù)據(jù)庫服務(wù)器的操作系統(tǒng)安全增強類似于終端的安全增強，數(shù)據(jù)庫文件僅允許數(shù)據(jù)庫進程進行訪問。數(shù)據(jù)交換服務(wù)器的安全策略：數(shù)據(jù)交換服務(wù)器需要配置的策略類型和維護終端類似，但是其自主訪問控制列表需要增加如下內(nèi)容：用于定期數(shù)據(jù)交換的目錄只允許特定的進程進行寫操作，而用戶實時數(shù)據(jù)交換的目錄不僅要設(shè)定特定的進程，也要特定的操作人員。 外網(wǎng)接入系統(tǒng)和瀏覽用戶區(qū)域安全建設(shè) 系統(tǒng)組成外網(wǎng)接入系統(tǒng)是門戶網(wǎng)站對外提供服務(wù)的窗口，由網(wǎng)站服務(wù)器、應(yīng)用安全網(wǎng)關(guān)、SSL VPN等網(wǎng)絡(luò)設(shè)備組成。在實際建設(shè)中，應(yīng)用安全網(wǎng)關(guān)、入侵保護系統(tǒng)、防Dos攻擊設(shè)備、WEB防護墻可以組成應(yīng)用防護群負責過濾Web網(wǎng)站訪問請求，防止SQL注入、跨站腳本等惡意攻擊，保護網(wǎng)站數(shù)據(jù)庫服務(wù)器的安全。Web服務(wù)器自身安全功能包括網(wǎng)站資源隔離保護、靜態(tài)文件只讀保護、惡意代碼防護功能。SSL VPN與安全管理中心共同實現(xiàn)特定用戶特定應(yīng)用的安全訪問。 防護策略設(shè)置網(wǎng)站服務(wù)器的策略設(shè)置包括對Web服務(wù)器的策略設(shè)置和應(yīng)用防護群的策略設(shè)置，對于Web服務(wù)器的策略設(shè)置主要有主體列表，web資源文件相關(guān)的客體列表，自主訪問控制列表等。對于應(yīng)用防護群的安全策略要充分考慮網(wǎng)站的實際情況，以及網(wǎng)站的頻道情況進行安全策略的設(shè)置，主要安全策略包括自主訪問控制和特權(quán)策略等。根據(jù)以上對網(wǎng)站服務(wù)器安全的需求分析，通過應(yīng)用防護網(wǎng)關(guān)可以實現(xiàn)：l 網(wǎng)站資源隔離保護：防止其他進程非法修改網(wǎng)站相關(guān)資源，因此需要驗證對網(wǎng)站資源訪問請求，拒絕不符合安全策略的非法資源訪問請求。l 靜態(tài)文件只讀保護：控制對網(wǎng)站資源文件的訪問模式，正常情況下，只允許對資源文件的讀取，而拒絕對資源文件的修改，只有指定的進程才允許對網(wǎng)站資源文件進行修改和更新。l 惡意攻擊防護：