政府门户网站安全防护方案

日期: 2018-09-25
浏览次数: 121
     政府门户网站安全防护方案


      1. 概述

政府网站是政府职能部门信息化建设的重要内容,同时也是对外宣传政府形象、发布行业信息、开展电子政务的主要平台,是国家重要信息系统。

而近年来,随着政府网站所承载业务的数量和重要性逐渐增加,以及其面向公众的性质,关于政府门户网站被篡改、网络钓鱼、SQL注入和跨站脚本等带来严重后果的攻击事件频频发生,严重影响了人们对政府网站公信力的认可,政府网站安全形势日益严峻,而政府网站被攻击后造成的巨大政治风险、名誉损失、公信力下降已经成为电子政务健康发展的一个巨大障碍。

另外,目前多数政府网站在安全建设过程依然存在重应用轻安全现象,网站整体安全性差,缺乏必要的经常性维护。而且现有政府网站安全管理、防范措施、安全意识薄弱,极易遭到黑客攻击。

随着等级保护工作的深入开展,国家相关监管机构近几年也对于政府网站安全有了明确的要求和相关检查工作,2011年国务院办公厅下发了《关于进一步加强政府网站管理工作的通知》(国办函【2011】40号),以及2012年《关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号文件中,都提出了对于政府网站需要切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。其中政府网站属于国家重要信息系统,是国家等级保护测评和检查重点。


      2. 防护方案

政府网站普遍存在业务数据机密性要求高、业务连续性要求强、网络结构相对封闭、信息系统架构形式多样等特点。而政府网站所面临的安全风险贯穿前端WEB访问到后端数据处理和反馈整个过程。因此,对于一个定制化开发的政府门户网站来说,从其规划和开发阶段就要引入相应的安全建设。而对于大多数已投入使用的政府门户网站而言,由于不太可能投入大量的人力去重新开发或做大规模的代码级整改,因此如何在运行阶段进行有效的安全防护成为关注的焦点。

在本方案中,我们重点描述运维阶段中对网络层、系统层、应用层的安全防护体系。


政府门户网站安全防护方案


DDoS防御在Internet出口处部署一台抗DDOS攻击防护系统,用于防护来自外网的拒绝服务攻击;

网络访问控制利用防火墙进行访问控制,防止不必要的服务请求进入网站系统,减少被攻击的可能性;

系统安全加固找出主机系统、网络设备及其他设备系统中存在的补丁漏洞和配置漏洞,进行加固,以保障系统的安全性;

应用层防护在网站服务器前部署一台Web应用防护系统,通过Web应用防护系统有效控制和缓解HTTP及HTTPS应用下各类安全威胁,如SQL注入、XSS、CSRF、cookie篡改以及应用层DDoS等,有效应对网页篡改、网页挂马、敏感信息泄露等安全问题,充分保障门户网站的高可用性和可靠性。

网页防篡改在Web服务器系统上部署网页防篡改系统,针对Web应用网页和文件进行防护。

网站安全监测通过专业化的托管式服务来实时监测和周期度量网站的风险隐患,评估网站的安全状态,衡量改进情况。为政府用户提供基于网站访问行为、基于安全事件事前、事中、事后的7×24小时安全运营解决方案。


      3. 方案价值

Ø  提升WEB安全整体防御效果,有效抵御各类攻击。

Ø  维护和提升政府机构的形象和公信力;

Ø  解决政府机构运维人员专业安全分析能力不足问题;

Ø  满足来自国家及行业监管部门的合规性安全检查要求;

Ø  协助安全事件取证以及事后追溯;

Ø  减轻重大节假日或重大事件时增加的网站安全监测与防护要求压力;


      4.  方案优势

Ø  遵循WEB应用生命周期的客观规律;

Ø  遵循由点到面的整体防御体系,避免“安全孤岛”;

Ø  强调安全产品和安全服务相结合模式的支撑作用;

Ø  基于安全事件事前、事中、事后的7×24小时的WEB安全运营方式。

      Ø  依托云平台技术,实现专业安全产品和专家团队的云监护安全服务。



  •   推荐案例
  • 点击次数: 149
    2018 - 09 - 25
    等级保护整改解决方案 解决方案概述 安全挑战 随着我国信息化进程的不断发展,信息安全越来越受到重视。特别是2014年2月27日中央网络安全和信息化领导小组的正式成立,标志着网络安全已经上升成为国家战略。等级保护作为国家信息安全的基本制度和核心技术体系,也必然得到进一步加强。各信息系统运营使用单位如何结合信息系统的自身特点和实际安全需求,将等级保护落实到整体的安全建设中去,切实提高信息系统的防攻击、防篡改、防病毒、防瘫痪、防窃密能力,是一个亟待解决的问题。 解决方案 从建设符合实际需求的信息安全建设的角度,信息系统等级保护要重点考虑以下几个方面:1.经过多年的发展,我国信息安全等级保护已经成为了一套相对完善的由政策法规、技术标准组成的安全技术和安全管理体系。在进行安全建设时,必须将等级保护与信息系统运营使用单位的实际情况相结合,根据信息系统面临的具体安全风险深入分析,按照“重点保护、适度安全”的指导思想,实施有针对性的安全建设。2.随着信息化浪潮的不断推进,信息化已经成为各企事业单位的重点发展方向。在信息化建设中,等级保护信息安全建设是不可或缺的重要内容。在建设过程中,要注意做到安全防护设施的同步规划、同步建设、同步运行,真正让信息安全等级保护起到为信息化建设保驾护航的作用。3.随着技术的不断进步和业务的不断发展,信息系统面临的安全风险也不断发生变化,信息系统的安全防护也必须及时随之做出调整。因此在进行信息安全等级保护整改建设时,不仅要建立符合当前安全需求的安全技术体系和安全管理体系,而且要建立信息安全等级保护的长效工作机制。
  • 点击次数: 121
    2018 - 09 - 25
    政府门户网站安全防护方案      1. 概述 政府网站是政府职能部门信息化建设的重要内容,同时也是对外宣传政府形象、发布行业信息、开展电子政务的主要平台,是国家重要信息系统。 而近年来,随着政府网站所承载业务的数量和重要性逐渐增加,以及其面向公众的性质,关于政府门户网站被篡改、网络钓鱼、SQL注入和跨站脚本等带来严重后果的攻击事件频频发生,严重影响了人们对政府网站公信力的认可,政府网站安全形势日益严峻,而政府网站被攻击后造成的巨大政治风险、名誉损失、公信力下降已经成为电子政务健康发展的一个巨大障碍。 另外,目前多数政府网站在安全建设过程依然存在重应用轻安全现象,网站整体安全性差,缺乏必要的经常性维护。而且现有政府网站安全管理、防范措施、安全意识薄弱,极易遭到黑客攻击。 随着等级保护工作的深入开展,国家相关监管机构近几年也对于政府网站安全有了明确的要求和相关检查工作,2011年国务院办公厅下发了《关于进一步加强政府网站管理工作的通知》(国办函【2011】40号),以及2012年《关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号文件中,都提出了对于政府网站需要切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。其中政府网站属于国家重要信息系统,是国家等级保护测评和检查重点。       2. 防护方案 政府网站普遍存在业务数据机密性要求高、业务连续性要求强、网络结构相对封闭、信息系统架构形式多样等特点。而政府网站所面临的安全风险贯穿前端WEB访问到后端数据处理和反馈整个过程。因此,对于一个定制化开发的政府门户网站来说,从其规划和开发阶段就要引入相应的安全建设。而对于大多数已投入使用的政府门户网站而言,由于不太可能投入大量的人力去重新开发或做大规模的代...
  • 点击次数: 119
    2014 - 07 - 01
    电子政务网络安全方案            1. 概述随着政务外网建设的逐渐完善,承载单位业务逐渐增多,作为国家、省、市、县的政务基础网络,安全问题将是考虑的重点,如何围绕国家等级保护政策进行各级政务外网的安全保障体系设计是各级主管机构需要考虑的问题。目前黑客针对电子政务网络攻击呈现攻击主体组织化,目标趋利化、政治化,手段智能化、网络化的趋势,以APT攻击特征最为明显。APT攻击是针对特定组织所作的复杂且多方位的网络攻击,攻击后留给安全管理人员响应的时间越来越短,使政府用户来不及对入侵做出响应,目的是获取政府内部敏感信息或者对政务网络造成破坏。为推动国家电子政务外网信息安全建设和安全管理工作,满足国家电子政务外网管理中心《关于加快推进国家电子政务外网安全等级保护工作的通知》(政务外网〔2011〕15号)文中提出的相关要求,需要实现针对电子政务外网网络的信息安全监控体系的建设,及时发现和处置网络攻击,防止有害信息传播,对网络和系统实施保护。基础信息网络的运营单位和各重要信息系统的主管部门或运营单位要根据实际情况建立和完善信息安全监控平台,提高对网络攻击、病毒入侵、网络失窃密的防范能力,防止有害信息传播。保障电子政务信息系统的网络安全。          2. 防护方案    本方案描述了国家电子政务外网为达到国家等级保护等相关标准规定和政务外网的基本要求的方法和手段。电子政务外网安全保障体系建设应首先满足适度安全原则以及标准化、可控性、完备性和最小影响的原则,为所承载的各级政务部门信息系统提供网络传输通道的安全保障。在此基础上,电子政务外网信息安全建设在设计过...
Copyright ©2018 - 2020 合肥华翰世凯自动化工程有限公司
犀牛云企业云服务
分享  :
X
1

QQ设置

3

SKYPE 设置

4

阿里旺旺设置

等待加载动态数据...

等待加载动态数据...

5

电话号码管理

6

二维码管理

等待加载动态数据...

等待加载动态数据...

展开