1.概述
政府網站是政府職能部門信息化建設的重要內容,同時也是對外宣傳政府形象、發布行業信息、開展電子政務的主要平臺,是國家重要信息系統。
而近年來,隨著政府網站所承載業務的數量和重要性逐漸增加,以及其面向公眾的性質,關于政府門戶網站被篡改、網絡釣魚、SQL注入和跨站腳本等帶來嚴重后果的攻擊事件頻頻發生,嚴重影響了人們對政府網站公信力的認可,政府網站安全形勢日益嚴峻,而政府網站被攻擊后造成的巨大政治風險、名譽損失、公信力下降已經成為電子政務健康發展的一個巨大障礙。
另外,目前多數政府網站在安全建設過程依然存在重應用輕安全現象,網站整體安全性差,缺乏必要的經常性維護。而且現有政府網站安全管理、防范措施、安全意識薄弱,極易遭到黑客攻擊。
隨著等級保護工作的深入開展,國家相關監管機構近幾年也對于政府網站安全有了明確的要求和相關檢查工作,2011年國務院辦公廳下發了《關于進一步加強政府網站管理工作的通知》(國辦函【2011】40號),以及2012年《關于大力推進信息化發展和切實保障信息安全的若干意見》國發〔2012〕23號文件中,都提出了對于政府網站需要切實提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力。其中政府網站屬于國家重要信息系統,是國家等級保護測評和檢查重點。
2.防護方案
政府網站普遍存在業務數據機密性要求高、業務連續性要求強、網絡結構相對封閉、信息系統架構形式多樣等特點。而政府網站所面臨的安全風險貫穿前端WEB訪問到后端數據處理和反饋整個過程。因此,對于一個定制化開發的政府門戶網站來說,從其規劃和開發階段就要引入相應的安全建設。而對于大多數已投入使用的政府門戶網站而言,由于不太可能投入大量的人力去重新開發或做大規模的代碼級整改,因此如何在運行階段進行有效的安全防護成為關注的焦點。
在本方案中,我們重點描述運維階段中對網絡層、系統層、應用層的安全防護體系。
1、DDoS防御:在Internet出口處部署一臺抗DDOS攻擊防護系統,用于防護來自外網的拒絕服務攻擊;
2、網絡訪問控制:利用防火墻進行訪問控制,防止不必要的服務請求進入網站系統,減少被攻擊的可能性;
3、系統安全加固:找出主機系統、網絡設備及其他設備系統中存在的補丁漏洞和配置漏洞,進行加固,以保障系統的安全性;
4、應用層防護:在網站服務器前部署一臺Web應用防護系統,通過Web應用防護系統有效控制和緩解HTTP及HTTPS應用下各類安全威脅,如SQL注入、XSS、CSRF、cookie篡改以及應用層DDoS等,有效應對網頁篡改、網頁掛馬、敏感信息泄露等安全問題,充分保障門戶網站的高可用性和可靠性。
5、網頁防篡改:在Web服務器系統上部署網頁防篡改系統,針對Web應用網頁和文件進行防護。
6、網站安全監測:通過專業化的托管式服務來實時監測和周期度量網站的風險隱患,評估網站的安全狀態,衡量改進情況。為政府用戶提供基于網站訪問行為、基于安全事件事前、事中、事后的7×24小時安全運營解決方案。
3.方案價值
? 提升WEB安全整體防御效果,有效抵御各類攻擊。
? 維護和提升政府機構的形象和公信力;
? 解決政府機構運維人員專業安全分析能力不足問題;
? 滿足來自國家及行業監管部門的合規性安全檢查要求;
? 協助安全事件取證以及事后追溯;
? 減輕重大節假日或重大事件時增加的網站安全監測與防護要求壓力;
4.方案優勢
? 遵循WEB應用生命周期的客觀規律;
? 遵循由點到面的整體防御體系,避免“安全孤島”;
? 強調安全產品和安全服務相結合模式的支撐作用;
? 基于安全事件事前、事中、事后的7×24小時的WEB安全運營方式。
? 依托云平臺技術,實現專業安全產品和專家團隊的云監護安全服務。