网站系统安全整改方案

方案的制定能最大程度的减少活动过程中的盲目性，保证各项事宜的有序开展，那么方案改如何进行书写呢？以下是小编收集整理的《网站系统安全整改方案》的文章，希望能够很好的帮助到大家，谢谢大家对小编的支持和鼓励。

第一篇：网站系统安全整改方案

网站系统信息安全等级保护建设整改方案--4

随着互联网应用和门户网站系统的不断发展和完善，网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施，另一方面要加强系统自身抵抗威胁的能力，同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求，网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施，综合提升网站系统的安全保障能力。

根据国家等级保护有关要求，省级政府门户网站系统的信息安全保护等级应定为三级，建立符合三级等级保护相关要求的安全防护措施，能够形成在同一安全策略的指导下，网站系统应建立综合的控制措施，形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析，形成网站系统的安全需求，从而建立有针对性的安全保障体系框架和安全防护措施。

网站系统安全需求

根据网站系统的应用情况，针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析，具体需求如下：

1、业务流程安全需求

针对网站类业务重点需要关注发布信息的准确性，采集分析和汇总信息的可控性，以及服务平台的可用性，系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击，应加强对于这些威胁的对抗和防护能力，通过严格控制业务流程中的各个环节，包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求，同时要加强系统自身的完整性保护和抗抵赖机制的实现。

2、软件安全需求

网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面，由于几个层面涉及的主要功能和软件实现存在一定的差异性，因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成，针对业务系统此层面是一个访问入口，从安全需求方面应当减少入口对于系统的攻击可能性，对于指定的接入和入口可以通过建立可信机制进行保护，对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域，要确保系统展示信息的完整性，降低被篡改的风险;应用层是对数据信息进行处理的核心部分，应加强系统自身的安全性和软件编码的安全性，减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务，该层次重点是确保系统组件自身的安全性，同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成，此层次重点的安全在于数据库安全;基础支撑运行环境层，支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境，该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁，应加强资产的综合管理。

3、数据安全需求

网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息，以及前台的交互信息和后台的数据交换信息，针对这些信息各个环节中的访问关系不同，信息的敏感和重要程度不同，可能面临威胁也存在一定的差异性，其中读取过程要结合信息的敏感和重要程度进行访问控制，降低越权、滥用等威胁的发生;录入关注信息自身的完整性和合法性，注意防止恶意代码和木马对系统造成的攻击;管理和审核涉及信息系统的关键性信息，所以基本属于系统中的敏感信息或关键流程管理，加强人员的安全管理;交互和数据交换要通过系统自身的安全防护机制，抵抗网络攻击和加强抗抵赖机制。

4、网络和物理安全需求

网络层面重点在于设计合理的网络架构，部署冗余的网络设备，形成可以建立不同安全策略的安全域，从而确保网站系统能够正常稳定运行。

物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的需求，应确保机房的建设符合国家相关要求。

5、IT资产安全需求

IT资产重点关注资产本身的漏洞风险，同时根据资产类型的不同，可以区分成硬件资产、软件资产，其中硬件资产可能面临的关键威胁是软硬件故障、物理攻击等;软件资产可能面临的威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖。

6、综合安全需求

通过对各个方面综合的安全风险和需求分析，网站系统相关的业务、软件、数据、网络和相关IT资产，由于其应用类型、环境等因素导致主要威胁分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面，由于其威胁发生的可能性较高，威胁利用后影响较大，导致其安全风险较高，因此应形成对抗这些威胁的必要的安全措施，加强对系统自身的安全性。同时结合信息安全等级保护基本要求的相关技术和管理控制点，进一步完善物理安全、网络安全、主机安全、应用安全和数据安全的相关控制措施，并要能够落实组织、制度、人员、建设和运维相关的管理要求。

网站系统安全方案设计

根据对网站系统安全需求的分析，对于网站系统的安全防护主要从以下两个方面进行设计，一方面是系统的安全保护对象，合理分析系统的安全计算环境、区域边界和通信网络，形成清晰的保护框架;另一方面还是要建立综合的安全保障体系框架，形成对网站系统综合的控制措施架构，同时加强网站系统可能面临威胁的各项防护机制。

1、安全保护对象

根据网站系统的IT资产和业务功能，网站系统的安全保护对象和防护等级如下表所示：

安全计算环境：重点落实等级保护基本要求的主机、应用、数据部分的安全控制项，结合安全设计技术要求中的主要防护内容包括用户身份鉴别、主机和应用访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、主机入侵、防病毒等措施; 安全区域边界：重点落实等级保护基本要求的网络部分的安全控制项，结合安全设计技术要求中的主要防护内容包括边界访问控制、网络安全审计和完整性保护等;

安全通信网络：重点落实等级保护基本要求的网络和数据部分的安全控制项，结合安全设计技术要求中的主要防护内容包括通信网络安全审计、通信网络数据传输保密性保护、数据传输完整性保护和可信接入保护。

2、安全保障框架

结合等级保护基本要求的整体框架以及安全需求分析的成果，设计安全保障框架如下：

图1：安全保护体系框架

结合网站系同自身的安全需求，应加强对于网站系统的安全风险评估，同时建立配套的安全管理体系和安全技术体系，其中安全管理体系包括安全策略、安全组织和安全运作的相关控制管理;安全技术体系结合等级保护的物理、网络、主机、应用和数据安全，进一步加强系统的软件架构安全、业务流程安全和信息访问安全的控制，确保系统自身的防病毒、防篡改、方攻击能力的提升。

结合网站系统的具体实施，具体的措施部署和网络示意图如下所示：

图2：部署和网络示意图

第二篇：信息系统安全建设整改方案要素

6信息系统安全建设整改方案要素

以下整改方案的设计要素主要是针对单个信息系统的，也可参照进行针对整个单位或多个信息系统的整改方案设计。

6.1 项目背景

简述信息系统概况，信息系统在等级保护工作方面的进展情况，例如定级备案情况和安全现状测评情况。

6.2 开展信息系统安全建设整改的法规、政策和技术依据。

列举在建设整改工作中所依据的信息安全等级保护有关法规、政策、文件和信息安全等级保护技术标准。

6.3 信息系统安全建设整改安全需求分析

从技术和管理两方面描述信息系统建设情况、系统应用情况及安全建设情况。结合安全现状评估结果，分析信息系统现有保护状况与等级保护要求的差距，结合信息系统的自身安全 需求形成安全建设整改安全需求。

6.4 信息系统安全等级保护建设整改技术方案设计

根据安全需求，确定整改技术方案的设计原则，建立总体技术框架结构，可以从物理环境、通信网络、计算环境、区域边界、安全管理中心等方面设计落实基本技术要求的物理、网 络、系统、应用和数据的安全要求的技术路线。

6.5 信息系统安全等级保护建设整改管理体系设计

根据安全需求，确定整改管理体系的建设原则和指导思想，涉及安全管理策略和安全管理制度体系及其他具体管理措施。

6.6 信息系统安全产品选型及技术指标

依据整改技术设计，确定设备选型原则和部署策略，给出各类安全产品的选型指标和部署图，为设备采购提供依据。

6.7 安全建设整改后信息系统残余风险分析

安全整改可能不能解决所有不符合项目的问题，对于没有解决的问题，分析其可能的风险，提出风险规避措施。

6.8 信息系统安全等级保护整改项目实施计划

安全整改项目的实施需要制定相应的实施计划，落实项目管理部门和人员，对设备招标采购、工程实施协调、系统部署和测试验收、人员培训等活动进行规划安排。

6.9 信息系统安全等级保护项目预算

根据本单位信息化的中长期发展规划和近期的建设投资预算，将等级保护安全整改建设工作纳入整体规划，可以分期分批、有计划地实施建设整改，因此需要对建设项目进行费用预算，预算项目不仅包括安全设备投入，还应根据需要考虑集成费用、等级测评 费用、服务费用和运行管理费用等。

第三篇：网站整改方案1

网站安全整改方案

按照国家《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》等有关法律法规规定，全面落实互联网安全保护制度和安全保护技术措施，对网站、信息安全进行了严格检查及安全风险评估。

通过手工评估、工具评估、渗透测试等手段，对网络、信息安全系统的整体安全存在问题，做出了详细的整改方案。主要内容包括：

一、网站系统的安全风险评估分析及安全需要分析。重点评估防攻击、防病毒、防篡改和防窃密技术措施的有效性，及时发现安全风险和漏洞。对网站系统提出了安全建议。网络结构调整及边界安全防护，构建网页防篡改系统，建立网站系统安全评估和加固机制，完善网站安全管理体系。

二、对网站信息系统安全风险评估分析及安全建议。对网站后台信息系统账号、口令、软件补丁等进行一次清理，及时更新和升级，坚决杜绝弱口令，关闭或删除不必要的应用、服务、端口和链接。在网络结构上，增加互联网边界的入侵防御，建立网络内部入侵检测机制，上网行为和网络运行日志审计系统，机房温湿度自动监控报警系统。

三、建立和完善计算机网络安全组织：

1、建立信息网络安全领导小组，确定安全领导小组负责人和信

息网络安全管理责任人;

2、制定并落实安全领导小组负责人、安全管理责任人岗位责任制;

3、配备信息网络安全专业技术人员;

4、保持与公安机关联系渠道畅通，自觉接受公安机关网监部门业务监督检查;

5、制定网络安全事故应急处置措施。

第四篇：2014网站信息安全整改措施

网站信息安全工作

整改措施

1、对技术人员工作存在的松懈，没有定期对所有服务器进行全方位的漏洞扫描、及时进行重要系统的补丁修复的问题。

整改措施：加强对技术人员思想的教育，安全工作没小事，时时刻刻都得注意，每天安排专人对服务器进行检查。

2、对异常的、突发性的安全情况，处理不够及时，没有进行第一时间处理的问题。

整改措施：对异常的、突发性的安全情况，技术人员有时没有认识到问题的严重性，造成没有及时处理，还是对技术人员进行强调工作责任心，并根据事情的严重程度给予处罚。

3、对没有做好机房人员出入登记工作，有时甚至不进行登记的问题。 整改措施：安排专人进行机房人员出入登记工作，只要是外来人员来参观考察或维修系统的一律进行登记。配备专用外来人员机房出入登记薄。

4、对服务器上的数据备份工作没有做好，没有做到本地和异地双备份保存的问题。

整改措施：只进行了本地备份，对异地备份问题，已购买大容量的移动硬盘进行备份。

2014年1月1

第五篇：长春工信系统安全生产大检查大整改大演练活动实施方案

1

2 长春市工信系统安全生产大检查大整改大演

练活动实施方案

为认真贯彻落实党的十九大精神，牢固树立安全发展理念，弘扬生命至上、安全第一的思想，进一步加强安全生产工作，有效防范和遏制较大以上事故，确保省市“两会”、春节及全国“两会”期间安全生产形势持续稳定，按照市委市政府工作部署和《长春市安委会办公室关于印发长春市安全生产大检查大整改大演练活动实施方案的通知》(长安委办字〔2018〕6号)文件要求，决定在全市工信系统开展为期3个月的安全生产大检查、大整改、大演练活动，现制定实施方案如下。

一、工作目标

深入贯彻落实总书记、李克强总理等党中央、国务院领导同志关于加强安全生产工作的重要指示批示精神，进一步强化红线意识、责任意识、忧患意识和风险意识，努力构建“安全生产风险管控和隐患排查治理”双重预防机制，全面落实“党政同责、一岗双责”安全生产责任制，层层压实责任、层层传导压力，坚决消除监管盲区、堵塞管理漏洞。要按照企业自查“全覆盖”、隐患整改“零容忍”、发现问题“严执法”、检查验收“重实效”的工作要求，突出重点领域、重点部位、重点环节大检查、大整改、大演练。通过活

3 动的开展，进一步推进安全生产责任的落实，进一步完善安全生产的各项管理措施，进一步夯实安全生产基层基础，努力减少一般事故，坚决遏制较大以上事故的发生。

二、整治范围

(一)民爆行业。全市民爆行业的安全生产大检查大整改大演练活动由市工信局安全生产监督管理处负责组织和实施。重点检查企业落实主体责任，进一步落实安全生产岗位责任，生产区、库区、工库房、车间、班组等部位、环节明确安全责任人情况;企业全面开展标准化、班组规范化“两化”创建情况;健全完善安全管理制度，确保安全投入，保证安全设备、设施维护、更换到位;制定应急演练计划，组织相关部门共同开展专项应急演练，通过演练进一步修订完善预案情况;执行“五落实、五到位”情况;安全大检查“回头看”问题隐患整改落实情况。

(二)铁路监护道口领域。全市铁路监护道口领域安全生产大检查大整改大演练活动由市工信局安全生产监督管理处负责组织和实施。重点检查各地道口管理部门对辖区内重点道口和重点时段的监护情况;道口设备检测维护情况;道口通讯设备及无线预警设备完好情况;道口安全责任落实和人员作业标准等为内容的安全检查工作。同时，进一步加强宣传教育，完善相关规范标准和道口故障应急处理及道口事故应急预案，强化属地网格化监管责任落实。

4

(三)局直属单位。由局办公室负责对直属(代管)事业单位安全管理规章制度及组织体系建设情况、安全管理责任制落实情况、安全教育培训和应急演练情况、安全隐患整改及突发安全事故应急救援措施落实等情况进行检查指导和督促落实。重点检查开展安全生产大检查大整改大演练活动落实和“两节”、“两会”期间值班值守情况。

(四)负有安全生产管理职责的相关行业。市工信局汽车、石化(不含炼油、煤制燃料、燃料乙醇)、食品、装备、电子、冶金、建材、轻工、纺织等行业主管处室负责组织和实施本行业安全生产大检查大整改大演练活动。依据省市领导关于安全生产工作部署和《长春市安委会办公室关于印发长春市安全生产大检查大整改大演练活动实施方案的通知》(长安委办字〔2018〕6号)、《长春市工业和信息化局关于做好2018年元旦春节期间安全生产的通知》(长工信发〔2017〕321号)文件要求，指导督促本行业企业落实主体责任，按照有关行业标准和标准化创建工作实际，建立全员参与、全岗位覆盖、全过程衔接的闭环管理排查治理机制。落实企业风险管控责任，加强安全风险排查、辨识、评估，推进企业风险管控机制建设。督促本行业(领域)的企业按要求制定综合应急预案、专项应急预案和现场处置方案，并按规定做好备案工作。

三、组织分工

为了确保本次安全生产大检查、大整改、大演练活动取得

5 实效，市工信局成立由李维彬局长为组长、各分管局长为成员的活动领导小组，安全生产监督管理处负责活动的组织、协调和调度工作，并下设监管行业领域专项检查督导组和行业安全生产管理工作组。具体如下：

民爆行业专项检查督导组：组长：勾兴涛，组员：朱永祥、李巍等，联系人：朱永祥。负责对全市民爆行业安全生产大检查、大整改、大演练活动开展情况进行检查、督导和验收，协调解决有关问题，并及时收集进展情况报局安全生产监督管理处。

铁路监护道口专项检查督导组：组长：勾兴涛，成员：朱永祥、徐航等，联系人：朱永祥。负责对全市铁路监护道口领域安全生产大检查、大整改、大演练活动的开展情况进行抽查和督导，协调解决铁路监护道口领域存在的重大安全隐患，并及时收集进展情况报局安全生产监督管理处。

直属单位专项检查督导组：组长：鲁晓光，成员：任广翔、孙静石等，联系人：任广翔。负责对局直属单位安全生产大检查、大整改、大演练活动开展情况进行检查、督导和验收，并及时收集进展情况报局安全生产监督管理处。

行业安全生产管理工作组：市工信局汽车、石化(不含炼油、煤制燃料、燃料乙醇)、食品、装备、电子、冶金、建材、轻工、纺织等行业主管处室负责人为本行业安全生产管理工作组组长，处室相关人员为成员。负责对本行业(领域)安全生

6 产大检查、大整改、大演练活动开展情况进行督促指导服务，并及时收集进展情况报局安全生产监督管理处。

各地区工信主管部门要成立以主要负责人为组长，各分管负责人为成员的活动领导小组，负责本辖区、本行业(领域)安全生产大检查、大整改、大演练活动的具体实施。

四、实施步骤

本次安全生产大检查、大整改、大演练活动，从即日开始至3月31日结束，分为制定方案、组织自查自改，属地检查整改，组织巡视督查和总结四个阶段实施。

第一阶段：制定方案和组织生产经营单位自查自改(从即日起至1月31日)。

各地区工信管部门要制定大检查大整改大演练活动方案，督促本行业(领域)各生产经营单位对照活动内容和行业标准制定符合本单位实际的实施方案，积极开展安全风险评估管控和隐患排查治理，有针对性地开展自查自改工作，对自查中发现的隐患，要落实整改的方案、责任人、整改时限及管控措施，并形成自查报告，作为备查的一项主要内容。自查阶段要紧紧盯住岗位责任的落实，查岗位责任清单，查风险点清单，查隐患清单等。对存在的隐患进行全面排查，同时，要建立完善隐患排查治理自查、自改、自报的闭环管理制度，并有效实施。企业主要负责人和自查人员要在自查报告上签字后报负有安全生产监督管理职责的部门备案。自查情况要与长春市安全生

7 产综合监管平台中上报的信息保持一致。

第二阶段：检查整改(2月1日至2月28日)。 各地区工信主管部门要对照国家法律法规和行业标准，认真对本地、本行业(领域)重点企业进行复查，对企业在自查阶段没有排查出来的风险点、风险源、风险部位和隐患一律登记建档，并督促企业严格落实整改责任、整改措施和整改期限。同时加强同有关部门的协作与配合，及时协调解决检查整治活动中存在的突出问题。

第三阶段：巡视督查(3月1日至3月25日)。 各地区工信主管部门要按照职责分工成立专项检查组和行业安全生产管理工作组，并按照《长春市安全生产巡查工作制度(试行)》的要求，组织人员和专家，成立巡查组，对本地、本行业(领域)重点企业、重要环节进行巡视督查。巡查组要建立巡查台账，由巡查组组长签字留存备查。市工信局将对各地安全生产大检查、大整改、大演练活动开展情况进行巡视督查。

第四阶段：总结阶段(3月26日至3月31日)。 各地区工信主管部门和市工信局监督检查组、行业安全生产管理工作组要对专项整治情况进行认真总结，并及时反馈给市工信局安全生产监督管理处。

五、有关要求

(一)切实加强组织领导。各地、各单位要充分认识开展

8 安全生产大检查、大整改、大演练活动的重大意义，把此项活动作为当前一项重要工作，主要负责同志要切实负起安全生产第一责任人的责任，亲自安排部署，分管负责同志要履行好职责，深入一线开展督查检查，发现问题，及时整改。

(二)突出重点，注重实效。按照“全覆盖、零容忍、严执法、重实效”的要求，突出抓好重点部位、关键环节、重要时段的安全监管，充分发挥安全生产专家智力支持作用，适时组织监督检查和指导服务，切实做到科学排查治理隐患，确保安全生产大检查、大整改、大演练活动取得扎实成效。

(三)加强宣传教育。各地区工信主管部门要充分利用手机、互联网等媒体，广泛进行风险防范、避险逃生知识技能的宣传教育，普及生产作业、用火、用电、用气、用油安全知识和初起险情应急处置等常识技能，努力提高全社会安全意识和事故防范能力。

(四)及时反馈工作信息。各地区工信主管部门要及时对安全生产大检查、大整改、大演练活动做好总结，并及时反馈至市工信局安全生产监督管理处。

联 系 人：朱永祥 李巍 联系电话：88777216 邮 箱：gxjaqc@126.com

9