下载文档原格式
成都市电子政务外网安全管理解决方案电子政务解决方案成都市电子政务外网安全管理解决方案一、背景介绍随着信息技术的快速发展,电子政务在现代社会中的作用日益重要。
成都市作为一个重要的政治、经济和文化中心,电子政务的发展对于提升政府效能、推动城市智慧化建设具有重要意义。
然而,随之而来的网络安全威胁也日益增加,电子政务外网安全管理成为一项亟待解决的问题。
二、问题分析1. 外部攻击威胁:成都市电子政务系统面临来自互联网的各种安全威胁,如黑客攻击、恶意软件、网络钓鱼等。
2. 数据泄露风险:政府机构处理大量敏感信息,若未能有效保护数据,可能导致泄露、篡改或滥用的风险。
3. 网络服务可用性:电子政务系统的稳定运行对于政府机构和市民来说至关重要,因此需要保证网络服务的高可用性和稳定性。
三、解决方案为了解决成都市电子政务外网安全管理的问题,我们提出以下解决方案:1. 安全防护措施(1)建立防火墙:通过建立强大的防火墙系统,对外部网络进行监控和过滤,防止未经授权的访问和攻击。
(2)入侵检测与防御系统:通过部署入侵检测与防御系统,实时监测网络流量,及时发现并阻止潜在的入侵行为。
(3)加密通信传输:采用安全的加密协议,保护敏感信息在网络传输过程中的安全性,防止数据被窃取或篡改。
(4)网络安全培训:定期组织网络安全培训,提高政府工作人员的网络安全意识和技能,减少安全漏洞的产生。
2. 数据保护措施(1)数据备份与恢复:建立完善的数据备份与恢复机制,确保政府机构重要数据的安全性和可恢复性。
(2)访问控制与权限管理:建立严格的访问控制与权限管理机制,限制非授权人员对敏感数据的访问和操作。
(3)数据加密:对存储在电子政务系统中的敏感数据进行加密,提高数据的保密性和完整性。
(4)安全审计与监控:部署安全审计与监控系统,对政府机构的数据访问和操作进行实时监控,及时发现异常行为。
3. 网络服务可用性保障(1)负载均衡:采用负载均衡技术,合理分配网络流量,提高系统的稳定性和可用性。
政府网站发布信息安全要求概述政府网站是公众获取政府服务和信息的主要途径之一,因此,政府网站的信息安全问题备受关注。
为保障政府信息系统的安全稳定,加强政府网站及信息系统的安全管理,防范和抵御网络攻击,减少信息泄露和数据损失等不良现象的发生,公安部门会不定期对政府网站的信息系统安全进行检查评估。
近日,公安部门整理了政府网站发布信息安全的要求,以下做简述。
要求网络设备与系统政府网站应采取合适的技术手段防范网络威胁和恶意攻击,各级政府设立的政府网站和门户网站必须安装边界设备,完整配置应用安全防护系统、网络隔离系统、入侵检测系统和基本防火墙等安全防范措施,以防止因基础设施建设不完善、设备老化等导致信息泄露、数据丢失等意外情况的发生。
系统安全政府网站必须进行定期的安全系统检测,确保系统、数据库、服务器、网站程序等关键区域不存在安全漏洞或受到恶意攻击的威胁。
此外,网站应严格保护系统管理员账户,对网站应用程序的开发、测试和部署都应该遵循安全开发的原则,保证网站的代码安全、修改安全、发布安全等。
通信安全政府网站和门户应启用加密传输技术,使用HTTPS协议加密方式进行数据传输,进而保证数据传输的机密性、完整性和可靠性,避免机密信息被窃取、篡改等情况的发生。
系统备份与恢复政府网站和门户应定期进行数据备份,在各级政府网站数据中心中开展数据备份和存储,确保网站数据安全和完整性,以便在系统崩溃和意外瘫痪的情况下能够快速恢复和启动。
安全规范和管理各级政府网站应同时建立健全信息安全管理规范、操作流程和标准规程、操作日志等文件,配备专门信息安全工作的机构和人员,督促各部门落实安全管理职责和任务。
此外,对政府门户网站用户进行身份认证,防范网站钓鱼等不安全行为。
结语政府网站的安全建设是关乎整个政府机构信息安全和国家安全的重要事项,从数据管理、系统安全、通信安全、备份恢复、规范管理等多个维度,视网站功能、成熟程度和网站资金等情况,科学合理地建立安全管理体系,维护公民个人信息的传输和存储的安全 int;所以,有关部门要加强管理和监督,对不合格的政府网站和门户网站给予处罚,让公众更加放心地使用政府网站和门户网站,确保政府的良好形象和形象执行。
一、预案背景随着互联网的快速发展,政务网络安全问题日益凸显。
为保障政务网络安全,提高网络安全应急响应能力,预防和减少网络安全事件造成的损失和危害,特制定本预案。
二、预案目标1. 提高政务网络安全防护水平,确保政务信息系统稳定运行;2. 建立健全网络安全应急响应机制,提高网络安全事件处置效率;3. 加强网络安全意识教育,提高员工网络安全防护能力。
三、预案适用范围本预案适用于我国各级政府及其所属部门政务网络安全事件的预防和应对。
四、预案组织架构1. 成立政务网络安全应急领导小组,负责统筹协调政务网络安全应急工作;2. 设立政务网络安全应急办公室,负责日常网络安全管理工作;3. 各部门设立网络安全管理小组,负责本部门网络安全事件应急处置。
五、预案内容1. 预防措施(1)加强网络安全基础设施建设,提高网络安全防护能力;(2)定期开展网络安全检查,及时发现并修复安全隐患;(3)加强网络安全意识教育,提高员工网络安全防护意识;(4)建立网络安全防护制度,规范网络安全行为。
2. 应急响应(1)网络安全事件报告:发现网络安全事件后,立即向政务网络安全应急领导小组报告;(2)应急响应启动:政务网络安全应急领导小组接到报告后,启动应急预案,组织相关人员开展应急处置;(3)事件调查:对网络安全事件进行调查,分析原因,制定整改措施;(4)应急处置:根据事件性质和危害程度,采取相应的应急处置措施;(5)事件恢复:在确保安全的前提下,尽快恢复被攻击或损坏的政务信息系统;(6)事件总结:对网络安全事件进行总结,评估应急处置效果,改进应急预案。
3. 预案演练(1)定期组织网络安全应急演练,提高应急处置能力;(2)演练内容包括:网络安全事件应急响应、网络安全防护措施、安全意识教育等;(3)演练结束后,对演练效果进行评估,总结经验教训,完善应急预案。
六、预案实施与监督1. 各级政府及其所属部门应按照本预案要求,建立健全网络安全管理制度,加强网络安全防护;2. 政务网络安全应急领导小组负责对本预案的实施情况进行监督,确保预案各项措施得到有效落实;3. 对违反本预案规定的行为,依法依规追究相关责任。
2024年电子政务系统信息安全建设方案在2024年,随着数字化进程的不断推进,电子政务系统信息安全建设变得愈发迫切。
为确保政府信息系统的安全稳定运行,必须采取一系列综合性措施,包括:一、强化网络安全防护1. 加强网络边界防护,建立完善的防火墙系统,阻断恶意攻击;2. 实施网络入侵检测系统,及时发现和处置安全威胁;3. 定期进行安全漏洞扫描和评估,修复系统漏洞,提高系统安全性。
二、强化数据安全管理1. 加强数据加密机制,保障数据在传输和存储过程中的安全性;2. 制定严格的数据备份与恢复计划,确保数据的完整性和可靠性;3. 建立数据访问权限管理机制,控制不同用户对数据的访问权限,防止信息泄露。
三、加强系统运维安全1. 设立专门的信息安全团队,负责系统安全管理和应急响应工作;2. 定期对系统进行安全检查和评估,及时发现和解决安全隐患;3. 加强系统日志监控与分析,追踪系统安全事件,确保及时响应。
四、开展员工安全意识培训1. 组织定期的信息安全培训,提高员工对信息安全的重视和认识;2. 强化员工对钓鱼邮件、恶意软件等网络安全威胁的识别能力;3. 建立举报通道,鼓励员工积极报告安全问题,形成全员参与的安全保障体系。
五、加强与第三方安全合作1. 与安全厂商建立长期合作关系,分享最新的安全威胁情报;2. 开展跨部门、跨机构的安全合作,共同应对网络安全挑战;3. 加强与行业主管部门、科研机构的沟通与合作,共同推动信息安全技术创新。
综上所述,2024年电子政务系统信息安全建设将面临更为复杂和严峻的挑战,需要政府部门、企业和社会各界共同努力,加强合作,共同推进信息安全建设,确保政府信息系统的安全稳定运行和服务普惠民生的顺利开展。
政府门户网站的网络安全分析政府门户网站是政府机构在互联网上开设的官方网站,用于提供政府部门的相关信息和公共服务。
随着信息化和网络化的发展,政府门户网站正在成为政府开展工作和与公众互动的重要平台。
随之而来的网络安全问题也逐渐凸显。
政府门户网站作为政府机构的窗口,其网络安全问题不容忽视。
本文将对政府门户网站的网络安全进行分析,提出相应的解决方案和建议。
1. 数据泄露问题政府门户网站是政府机构对外部提供信息和服务的平台,上面涉及的信息和数据往往属于敏感信息,一旦泄露会对国家安全和公民权益造成重大危害。
政府门户网站在信息管理和安全控制方面存在漏洞,导致数据泄露的风险较大。
2. 网络攻击问题政府门户网站面临的网络攻击问题包括DDoS攻击、SQL注入、跨站脚本攻击等,这些攻击常常会导致网站服务不可用或者信息被窃取。
政府门户网站的安全防护措施普遍薄弱,容易成为黑客攻击的目标。
3. 恶意代码问题政府门户网站中可能存在恶意代码,这些代码可能被黑客植入或者员工疏忽而引入。
一旦恶意代码植入,会对网站的正常运行和用户的安全造成严重影响。
4. 安全意识问题政府门户网站的工作人员对网络安全的意识普遍较低,缺乏对安全风险的认识和防范意识。
在日常工作中,可能存在使用弱密码、随意连接未知网络、点击垃圾邮件等不安全行为。
二、政府门户网站网络安全解决方案和建议1. 建立完善的安全管理机制政府门户网站应该建立完善的安全管理机制,包括建立专门的安全团队、设立安全审查机制、进行定期的安全漏洞扫描和修复等措施。
加强对员工的安全意识培训,提高其对安全问题的认识和应对能力。
2. 数据加密和备份政府门户网站在存储和传输敏感信息时应采取加密措施,确保数据不易被窃取。
应建立完善的数据备份机制,一旦发生数据泄露事件,能够及时恢复数据。
3. 强化网络安全防护政府门户网站应加强对网络安全的防护,包括采用防火墙、入侵检测系统、安全网关等技术手段,限制恶意攻击的发生。
成都市电子政务外网安全管理解决方案电子政务解决方案成都市电子政务外网安全管理解决方案一、背景介绍随着信息技术的迅猛发展,电子政务已成为现代政府管理的重要手段。
作为成都市政府的重要组成部分,电子政务系统在提高政府效率、服务市民、推动城市发展等方面起着重要作用。
然而,随之而来的是安全风险的增加,特别是电子政务外网面临的安全威胁日益严重。
为了保障成都市电子政务系统的安全稳定运行,我们提出了以下解决方案。
二、解决方案概述本解决方案旨在通过采取一系列措施,提升成都市电子政务外网的安全管理水平,保护政府信息系统免受恶意攻击和非法访问。
具体措施包括建立完善的安全管理体系、加强网络安全防护、加强安全意识培训和加强应急响应能力等。
三、建立完善的安全管理体系1. 制定安全管理政策和规范:成都市政府应制定电子政务外网的安全管理政策和规范,明确安全责任和权限,确保安全管理工作有章可循。
2. 建立安全管理组织机构:成立专门的安全管理团队,负责电子政务外网的安全管理工作,包括安全策略制定、安全风险评估、安全事件响应等。
3. 完善安全管理流程:建立安全管理的工作流程和标准操作规范,确保各项安全管理工作有序进行。
四、加强网络安全防护1. 建立防火墙系统:在电子政务外网与互联网之间设置防火墙,对入侵和攻击进行检测和阻断,保护政府信息系统的安全。
2. 安装入侵检测系统:通过安装入侵检测系统,实时监测电子政务外网的网络流量,及时发现并阻止恶意攻击。
3. 加强访问控制管理:对电子政务外网的访问进行严格控制,采取身份认证、访问权限控制等措施,确保只有授权人员才能访问。
4. 加密通信传输:采用加密技术,对电子政务外网的通信传输进行加密,防止敏感信息被窃取或篡改。
五、加强安全意识培训1. 培训安全管理人员:对安全管理人员进行定期的安全培训,提高其安全意识和技能,使其能够熟练掌握安全管理工作。
2. 培训普通员工:对电子政务系统的普通员工进行安全意识培训,加强他们对安全风险的认识,提高其信息安全意识和防范能力。
电子政务安全及解决方案一、背景介绍随着信息技术的快速发展,电子政务已经成为现代政府的重要组成部分。
然而,随之而来的安全威胁也日益增多。
为了保障电子政务系统的安全性和可靠性,需要采取相应的安全措施,并提出解决方案。
二、安全威胁分析1. 网络攻击:黑客通过网络攻击手段,如DDoS攻击、SQL注入、跨站脚本等,对电子政务系统进行非法入侵,窃取敏感信息或者破坏系统的正常运行。
2. 数据泄露:由于系统漏洞或人为失误,导致政府机关的敏感数据被泄露,给国家安全和个人隐私带来严重威胁。
3. 身份认证问题:电子政务系统中的身份认证机制存在漏洞,可能被攻击者冒用他人身份进行非法操作。
4. 内部威胁:内部员工滥用权限、泄露机密信息或者故意破坏系统安全的行为,也是电子政务系统面临的威胁之一。
三、解决方案1. 建立完善的安全管理体系:制定相关安全政策和规范,明确责任和权限,建立安全审计机制,加强对系统的监控和管理。
2. 强化网络安全防护:采用防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等技术手段,防止网络攻击和恶意代码的侵入。
3. 加强身份认证和访问控制:采用多因素身份认证技术,如指纹识别、声纹识别等,确保用户身份的真实性;同时,建立细粒度的访问控制策略,限制用户的访问权限。
4. 数据加密和备份:对敏感数据进行加密存储,确保数据在传输和存储过程中的安全性;同时,定期进行数据备份,以防止数据丢失或损坏。
5. 员工安全教育和培训:加强对员工的安全意识教育和培训,提高他们对安全威胁的认识和应对能力,防止内部威胁的发生。
6. 安全漏洞管理和补丁更新:建立漏洞管理制度,及时修复系统中的安全漏洞,更新补丁,防止黑客利用已知漏洞进行攻击。
四、实施和监测1. 实施阶段:根据解决方案,制定详细的实施计划,包括系统升级、安全设备的部署、员工培训等。
同时,建立项目组进行统筹和协调,确保实施的顺利进行。
2. 监测阶段:建立安全事件监测和响应机制,对系统进行实时监控,及时发现和应对安全事件。
电子政务安全及解决方案一、引言随着信息化的快速发展,电子政务已经成为现代政府运行的重要组成部分。
然而,电子政务的发展也面临着各种安全威胁,如网络攻击、数据泄露等。
因此,制定一套科学合理的电子政务安全解决方案势在必行。
本文将针对电子政务安全问题,提出一些解决方案,以确保政府信息系统的安全性和可靠性。
二、电子政务安全问题分析1. 网络攻击威胁网络攻击是电子政务面临的主要威胁之一。
黑客通过网络渗透、病毒传播、拒绝服务攻击等手段,可能导致政府信息系统瘫痪、数据泄露等严重后果。
2. 数据安全风险政府信息系统中存储了大量敏感信息,如个人身份信息、财务数据等。
如果这些数据泄露或被篡改,将对社会造成严重影响。
3. 内部安全威胁内部员工的不当行为也可能导致电子政务安全问题,如数据泄露、滥用权限等。
三、电子政务安全解决方案1. 建立综合安全管理体系政府应建立完善的电子政务安全管理体系,包括安全策略、安全组织、安全标准和安全监控等。
通过科学合理的管理措施,提高政府信息系统的整体安全性。
2. 强化网络安全防护政府应加强网络安全防护,包括建立防火墙、入侵检测系统和安全审计系统等。
同时,定期进行漏洞扫描和安全评估,及时修补系统漏洞,确保系统的安全性。
3. 加强身份认证和访问控制政府信息系统应采用强化的身份认证和访问控制机制,确保只有授权人员才能访问系统和敏感数据。
可以使用双因素认证、访问控制列表等技术手段来实现。
4. 加密敏感数据政府信息系统中的敏感数据应进行加密处理,确保数据在传输和存储过程中的安全性。
可以使用对称加密和非对称加密等技术手段,保护数据的机密性和完整性。
5. 建立安全事件响应机制政府应建立健全的安全事件响应机制,及时发现和应对安全事件。
可以建立安全事件监测中心,进行实时监控和响应,确保安全事件得到及时处理。
6. 培训员工安全意识政府应定期开展电子政务安全培训,提高员工的安全意识和技能。
员工应了解安全政策和规范,遵守安全操作流程,减少内部安全威胁。
电子政务安全及解决方案1. 概述电子政务是指政府利用信息技术和互联网等电子手段,提供公共服务、管理公共事务和开展政务活动的方式。
随着信息化的快速发展,电子政务的安全问题日益突出。
为了保障电子政务系统的安全性,需要采取一系列的解决方案。
2. 安全威胁分析电子政务系统面临着多种安全威胁,包括网络攻击、数据泄露、信息篡改等。
黑客攻击、病毒传播、网络钓鱼等手段往往被用于窃取政府机构的敏感信息,给政府和公众带来了巨大的损失。
因此,建立一套安全的电子政务解决方案至关重要。
3. 解决方案(1)网络安全防护建立强大的防火墙系统,对电子政务系统进行全面的网络安全防护。
通过网络入侵检测系统(IDS)和入侵谨防系统(IPS),及时发现和阻挠潜在的网络攻击。
同时,定期进行安全漏洞扫描和风险评估,及时修补漏洞,提高系统的安全性。
(2)身份认证与访问控制采用多层次的身份认证机制,确保惟独合法用户才干访问电子政务系统。
例如,使用双因素认证,结合密码和指纹等生物特征进行身份验证。
此外,建立严格的访问控制策略,对用户的权限进行细分管理,确保用户只能访问其具备权限的信息和功能。
(3)数据加密与备份对电子政务系统中的敏感数据进行加密存储,确保数据在传输和存储过程中不被窃取或者篡改。
同时,建立定期的数据备份机制,保证数据的安全性和可恢复性。
备份数据应存储在安全的地方,并定期进行测试和验证,以确保备份数据的完整性和可用性。
(4)安全培训与意识提升定期组织安全培训活动,提高政府工作人员的安全意识和技能。
培训内容包括网络安全知识、密码安全、社交工程等,使工作人员能够识别和应对各种安全威胁。
此外,建立安全报告和事件响应机制,及时发现和应对安全事件,减少损失。
(5)安全审计与监控建立安全审计和监控系统,对电子政务系统的安全状况进行实时监控和记录。
通过日志分析和行为监测,发现和阻挠潜在的安全威胁。
同时,定期进行安全审计,评估系统的安全性和合规性,及时发现和修复安全漏洞。
政府门户网站安全防护方案■文档编号■密级内部使用■版本编号V 1.0 ■日期2015-05-25■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XX 科技所有,受到有关产权及版权法保护。
任何个人、机构未经XX科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录一. 概述 (1)二. 政府门户网站安全建设必要性 (2)2.1合规性要求 (2)2.2面临的安全威胁 (4)2.3政府网站安全管理现状 (4)三. 政府门户网站安全防护方案 (5)3.1安全防护方案示意图 (5)3.2网络层安全防护 (6)3.2.1安全域访问控制 (6)3.2.2拒绝服务攻击防护 (6)3.3系统层安全防护 (7)3.3.1 Web系统漏洞发现与管理 (7)3.3.2 Web系统安全加固 (7)3.4应用层安全防护 (8)3.4.1 Web应用防护 (8)3.4.2网页防篡改 (9)3.5网站安全云监护 (9)3.5.1网站安全监测服务 (11)3.5.2 WEB应用防护系统及可管理安全服务 (12)3.5.3抗拒绝服务系统及可管理安全服务 (13)注:可支持接入XX安全云的设备型号及版本清单 (14)四. 安全设备及服务主要适用场景 (15)一. 概述政府网站是政府职能部门信息化建设的重要内容,主要实现国家对政府网站的三大功能定位:信息公开、在线办事、公众参与。
政府网站是政府部门履行职能、面向社会提供服务的窗口,是实现政务信息公开、服务企业和社会公众、方便公众参与的重要渠道,同时也是对外宣传政府形象、发布行业信息、开展电子政务的主要平台,是国家重要信息系统。
而近年来,随着政府网站所承载业务的数量和重要性逐渐增加以及其面相公众的性质,使其越来越成为攻击和威胁的主要目标。
据CNCERT/CC的统计数据,2012年全年,中国大陆有16388万个网站被黑客篡改,数量较2011年增加6.1%,但其中被篡改的政府网站高达1802个,与2011年相比大幅增长21.4%。
被暗中植入后门的政府网站3016个,较去年大幅增长93.1%。
其中除包括地市级政府网站外还包括省部级网站。
对2012年07月至2013年06月一年内境内政府网站被篡改数量月度情况进行统计(如下图所示),不难看出,近期政府网站被篡改攻击的趋势已经愈发明显。
二. 政府门户网站安全建设必要性政府部门的网站普遍存在业务数据机密性要求高、业务连续性要求强、网络结构相对封闭、信息系统架构形式多样等特点。
而网站中不同业务功能模块的信息安全需求又各不相同。
如对外便民服务信息系统具有相对开放的结构特点,用户一般为普通民众,便民服务业务对数据的可用性和完整性要求往往大于其对机密性要求,而在网站上独立运行的业务信息系统具有相对封闭的结构特点,用户一般为内部用户,用户对数据的完整性和保密性要求往往大于可用性要求。
因此政府网站安全风险贯穿前端Web访问到后端数据处理和反馈整个过程。
因此可以定性的认为:前一类信息系统面临的服务中断、外部黑客攻击、非法入侵、安全漏洞等威胁的概率比较大,而后一类内网泄密、监管审计不到位等威胁的概率比较大。
推动政府网站进行全面信息安全体系设计和建设的动力目前主要来自三个方面:➢合规性安全要求➢面临的安全威胁➢政府网站安全现状2.1 合规性要求1) 《关于进一步加强政府网站管理工作的通知》(国办函【2011】40号)2011年4月21日,国务院办公厅下发了《关于进一步加强政府网站管理工作的通知》。
通知明确指明了一些政府网站依然存在着种种问题,主要原因是地方政府网站建而不管或管不到位,有些政府单位对本单位开办的政府网站不问不看,特别是网站安全管理中存在的问题长期得不到纠正。
因此通知要求各地区、各部门要把办好网站放在政府工作的重要位置。
政府网站要开展全面检查,要高度重视,监管机关要进一步加强对各级政府网站管理工作的监督与指导。
要全面检查,切实解决政府网站管理中的突出问题。
《通知》中明确提出了要针对目前政府网站管理中的各类突出问题进行严格检查:➢信息发布审核和保密审查机制是否健全;➢网站链接是否经过管理单位审核把关,是否存在错链和断链;➢网站安全防范工作是否到位,是否采取了防攻击、防篡改、防病毒等安全防护措施,并制订了应急处置预案;➢网站管理单位和运行维护单位职责是否明确。
对检查清理中发现的问题要及时整改,确保上网信息准确、真实,不发生失泄密问题,确保公众能够及时获取政府信息、获得便利的在线服务,确保链接正确有效、网站安全平稳运行。
对确实无力管好的网站或栏目,要果断予以关闭。
2) 《关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号2012年5月9日,温家宝总理主持召开国务院常务会议,研究部署保障信息安全工作《关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号。
健全安全防护和管理。
确保重要信息系统和基础信息网络安全。
能源、交通、金融等领域涉及国计民生的重要信息系统,要同步规划、同步建设、同步运行安全防护设施,强化技术防范,严格安全管理,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。
其中政府网站作为极其重要的信息系统,其安全管理更应当得到进一步完善和强化。
3) “等级保护”要求目前在已经基本完成的等级保护定级工作中,国家部委以及省市重要政府机关门户网站的安全级别基本定为3级,属于国家重要信息系统,是国家等级保护测评和检查重点。
面对Web应用层面这类给Internet可用性带来极大损害的攻击,必须在国家等级保护政策的指导下,采用专门的机制,综合采用各种技术手段对攻击进行有效检测,应按照《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《信息安全等级保护管理办法》(公通字[2007]43号)等文件要求,参考《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》(GB/T 22239-2008 )等等级保护相关标准,开展等级保护整改、测评工作,切实为将网站建成“信息公开、在线办事、公众参与”三位一体的业务体系,为各企业和社会公众提供“一站式”电子政务公共服务政务目标提供有力保障。
2.2 面临的安全威胁近几年关于政府门户网站被篡改、网络钓鱼、SQL注入和跨站脚本等带来严重后果的攻击事件频频发生,严重影响了人们对政府网站公信力的认可,根据Gartner的数据分析,80%基于Web的应用都存在安全问题,其中很大一部分是相当严重的问题。
Web应用系统的安全性越来越引起人们的高度关注。
目前网络中常见的攻击已经由传统的系统漏洞攻击逐渐发展演变为对应用自身脆弱性的攻击。
与此同时,政府网站也因安全隐患频繁遭到各种攻击,导致网站敏感数据丢失、网页被篡改,甚至成为传播木马的傀儡。
政府网站安全形势日益严峻,而政府网站被攻击后造成的巨大政治风险、名誉损失、公信力下降已经成为电子政务健康发展的一个巨大障碍。
2.3 政府网站安全管理现状尽管国家早在2008年对各政府网站安全防范工作就提出了防攻击、防篡改、防病毒等安全保障目标,有些地方政府也制订了政府网站应急处置预案,但是政府网站目前所面临的Web 应用安全威胁仍然在飞速增长,极大地困扰着政府和公众用户,给政府的政务形象、信息网络和核心业务造成严重的破坏。
目前多数政府网站在安全建设过程依然存在比较突出的重应用轻安全现象,网站整体安全性差,缺乏必要的经常性维护。
比如在某政府机构所制定的网站绩效评估指标中,基本上都是从网站的业务应用角度出发制定的,对信息安全的考虑基本没有,根据前期的调研发现,目前政府网站的安全控制与措施大多独立考虑,部分系统甚至缺少基本的安全策略,缺少安全主线和安全规划,导致只解决了局部问题,而未能从整体解决安全问题,从而降低了整体的安全效率,导致多个信息安全孤岛的出现。
而且现有政府网站安全管理、防范措施、安全意识薄弱,极易遭到黑客攻击。
以至于某些政府网站被篡改后长期无人过问,还有些政府网站虽然在接到报告后能够恢复,但并没有根除安全隐患从而反复遭到多次篡改。
因此针对这种现状,必须采取专门的监管机制,围绕政府网站特定的安全需求开展系统的、有针对性的网站安全监管已经变得刻不容缓。
三. 政府门户网站安全防护方案3.1 安全防护方案示意图针对常见的政府门户网站拓扑图,我们可以采取以下安全措施进行防护:1. DDoS防御:在Internet出口处部署一台抗DDOS攻击防护系统,用于防护来自外网的拒绝服务攻击;2. 网络访问控制:利用防火墙进行访问控制,防止不必要的服务请求进入网站系统,减少被攻击的可能性;3. 系统安全加固:找出主机系统、网络设备及其他设备系统中存在的补丁漏洞和配置漏洞,进行加固,以保障系统的安全性;4. 应用层防护:在网站服务器前部署一台Web应用防护系统,通过Web应用防护系统有效控制和缓解HTTP及HTTPS应用下各类安全威胁,如SQL注入、XSS、跨站伪造(CSRF)、cookie篡改以及应用层DDoS等,有效应对网页篡改、网页挂马、敏感信息泄露等安全问题,充分保障门户网站的高可用性和可靠性。
5. 网页防篡改:在Web服务器系统上部署网页防篡改系统,针对Web应用网页和文件进行防护。
6. 网站安全监测:通过专业化的托管式服务来实时监测和周期度量网站的风险隐患,评估网站的安全状态,衡量改进情况。
对于一个定制化开发的政府门户网站来说,从其规划和开发阶段就要引入相应的安全建设。
测试阶段的安全测试作为上线前最后的检查是至关重要的,可以最大限度地发现系统的脆弱性所在。
运行阶段所应该关注的主要是与黑客实时的攻防博弈,以及事后的及时恢复、取证和追溯等。
已投入使用的政府门户网站而言,由于不太可能投入大量的人力去重新开发或做大规模的代码级整改,因此如何在运行阶段进行有效的安全防护成为关注的焦点。
在本方案中,我们着重网络层、系统层、应用层的安全防护体系。
3.2 网络层安全防护3.2.1 安全域访问控制利用现有防护设备或重新部署防火墙设备对网站服务器区进行边界安全防护,划分网站服务器区安全域,使之与网银区域逻辑隔离。
通过Internet边界防火墙在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。
防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。
同时利用WAF 的访问控制功能进行网站服务器区专项访问控制防护,有效地控制黑客利用网站服务器为跳板攻击网银服务区的可能性。
