附 錄 A政府網站系統(tǒng)安全措施級別選擇 政府網站系統(tǒng)可依據其行政級別、訪問量、注冊用戶數、業(yè)務重要度和個人敏感信息等選擇相應強度級別的安全措施，見表A.1。其中，滿足任意一條級別選擇指標要求的政府網站系統(tǒng)，均宜選擇增強級安全措施集。

　表 A.1 政府網站系統(tǒng)安全措施級別選擇方法 級別 選擇 因素

　級別 選擇 指標

　適用的安全 措施級別

　行政級別 部委網站或省級網站 是 增強級安全措施集 否 基本級安全措施集 訪問量 有效日均訪問次數 ≥ 150 萬 PV 是 增強級安全措施集 否 基本級安全措施集 注冊用戶數 累計注冊用戶總數 ≥ 25 萬 是 增強級安全措施集 否 基本級安全措施集 業(yè)務重要度 在線辦事程度較高或按照 GB/T22240-2020要求安全保護等級級別定為三級以上(含三級)的網站 是 增強級安全措施集 否 基本級安全措施集 個人敏感信息 屬于 GB/T 35273-2020 中定義的“個人敏感信息” 是 增強級安全措施集 否 基本級安全措施集 注：有效日均訪問次數應避免重復統(tǒng)計同一訪問源在短時間內進行的多次訪問。

　附 錄 B （資料性）

　政府網站系統(tǒng)基本結構 政府網站系統(tǒng)采用分層設計思想，從頂層訪問到底層環(huán)境將網站系統(tǒng)劃分四個層次，分別是用戶訪問層、應用功能層、信息資源層和基礎設施層，其基本結構如圖 B.1 所示。每一層的內容如下：

　網站數據中心辦事服務庫 政務公開庫 內容發(fā)布庫基礎支撐用戶訪問層信息資源層基礎設施層服務門戶接入方式微信公眾號 瀏覽器 App 小程序物理環(huán)境機房網絡系統(tǒng)/安全保障系統(tǒng)其他業(yè)務網絡 互聯網主機系統(tǒng)（服務器，虛擬機、云主機、PC客戶端）存儲備份系統(tǒng)操作系統(tǒng)（Windows/Linux/Unix）數據庫系統(tǒng) 通用軟件基礎庫信息資源服務應用功能層服務接口后臺支撐系統(tǒng)信息發(fā)布系統(tǒng) 內容管理系統(tǒng) 運維監(jiān)測系統(tǒng)統(tǒng)一入口、統(tǒng)一認證前臺應用功能在線辦事 政務公開 交流互動 數據開放目標用戶政府 公眾 企業(yè) 服務商網上辦事大廳 網站群門戶 數據網邊界控制數據交換系統(tǒng) 圖 B.1 政府網站系統(tǒng)基本結構 a) 用戶訪問層

　用戶訪問層是政府網站系統(tǒng)最頂層的內容，是對服務對象的歸納，再結合服務對象的不同提供不同的門戶服務內容和訪問方式； 服務對象分為公眾、企業(yè)、政府和服務商；訪問方式包括瀏覽器、移動終端、微信公眾號、小程序等，通過提供多種服務接入方式，為用戶提供多渠道的服務內容。

　b) 應用功能層 應用功能層包括前臺應用功能和后臺支撐系統(tǒng)。前臺應用功能是基于網站開發(fā)的應用功能，主要包括政務公開、在線辦事、交流互動、數據開放等；后臺支撐系統(tǒng)是為網站應用系統(tǒng)提供產品支持和應用支撐，包括提供的內容管理及發(fā)布系統(tǒng)、運維監(jiān)測系統(tǒng)、數據交換系統(tǒng)等。

　c) 信息資源層 信息資源層主要是針對網站應用的需要，對底層的數據資源進行統(tǒng)一管理。數據庫按照應用建設，主要包括政務公開庫、辦事服務庫、內容發(fā)布庫和基礎庫等。

　d) 基礎設施層 IT 基礎設施主要包括物理機房、網絡系統(tǒng)、安全系統(tǒng)、服務器、存儲系統(tǒng)，以及配套的操作系統(tǒng)、軟件、數據庫等。

　附 錄 C （資料性）

　安全措施分級表 政府網站系統(tǒng)安全措施分級對照表見表C.1。

　表 C.1 安全措施分級表 安全措施 基本級 增強級 安全技術措施 物理安全 6.1 6.1+ 通信網絡 網站部署 6.2.1 6.2.1+ 通信安全 6.2.2 6.2.2+ 性能保障 6.2.3 6.2.3+ 區(qū)域邊界

　6.3 6.3+ 計算環(huán)境

　設備安全

　6.4.1 6.4.1+ 通用軟件安全

　操作系統(tǒng)安全

　6.4.2.1 6.4.2.1+ 數據庫安全

　6.4.2.2 6.4.2.2+ 中間件安全

　6.4.2.3 6.4.2.3+ 開源軟件組件安全

　6.4.2.4 6.4.2.4+ 管理終端安全

　6.4.3 6.4.3+ 虛擬化安全

　6.4.4 6.4.4+ 密碼應用

　6.4.5 6.4.5+ 內容發(fā)布及數據安全

　標識安全

　6.4.6.1 6.4.6.1 內容發(fā)布安全

　發(fā)布安全

　6.4.6.2.1 6.4.6.2.1+ 網頁防篡改

　6.4.6.2.2 6.4.6.2.2+ 個人信息安全

　6.4.6.3 6.4.6.3 傳輸和存儲

　6.4.6.4 6.4.6.4+ 備份和容災

　6.4.6.5 6.4.6.5+ 應用安全

　身份鑒別

　6.4.7.1 6.4.7.1+ 權限管理

　6.4.7.2 6.4.7.2+ 應用審計

　6.4.7.3 6.4.7.3 代碼安全

　6.4.7.4 6.4.7.4 業(yè)務交互

　6.4.7.5 6.4.7.5+ 移動安全

　移動接入安全

　6.4.8.1 6.4.8.1+ 移動應用安全

　6.4.8.2 6.4.8.2+ 移動數據安全

　6.4.8.3 6.4.8.3+ 郵件安全

　6.4.9 6.4.9 域名安全

　域名管理安全

　6.4.10.1 6.4.10.1 域名系統(tǒng)安全

　6.4.10.2 6.4.10.2+ 安全管理中心

　惡意代碼防范

　7.1 7.1+ 補丁管理

　7.2 7.2+ 安全審計

　7.3 7.3+ 安全監(jiān)測

　7.4 7.4+

　策略控制

　7.5 7.5+ 安全管理措施

　管理制度

　8.1 8.1 管理機構

　8.2 8.2+ 人員和培訓

　8.3 8.3 開發(fā)與交付

　規(guī)劃設計

　8.4.1 8.4.1+ 安全開發(fā)

　8.4.2 8.4.2+ 試行交付

　8.4.3 8.4.3+ 運行維護

　外包服務管理

　服務商選擇

　8.5.1.1 8.5.1.1 服務提供管理

　8.5.1.2 8.5.1.2+ 服務監(jiān)督管理

　8.5.1.3 8.5.1.3+ 應急處置

　8.5.2 8.5.2+ 資產管理

　8.5.3 8.5.3 信息審核

　8.5.4 8.5.4 密碼管理

　8.5.5 8.5.5+ 變更管理

　8.5.6 8.5.6 評估檢查

　8.6 8.6+ 系統(tǒng)退出

　8.7 8.7+ 注：“+”表示采取了更高的安全防護措施

相關熱詞搜索：分級 安全措施 政府網站