| 网站安全保护涉及国家法律法规、政策文件、组织管理、标准规范、运行环境、产品技术、应用开发、安全测评、应急响应等多个方面的内容。目前,针对政府网站,国家颁布了《关于加强政府网站域名管理的通知》《政府网站发展指引》《关于加强党政机关网站安全管理的通知》《信息安全技术政府门户网站系统安全技术指南》(GB/T 31506—2015)等。其中,GB/T 31506—2015提出政府门户网站系统安全技术措施要求,如下表所示。
|
|
|
|
|
|
|
| 政府网站的信息安全等级原则上不应低于二级。三级网站每年应测评一次,二级网站每两年应测评一次。网络安全公司针对政府网站的保护要求,给出相应的解决方案。以天融信公司的安全方案为例,如下图所示。
|
|
|
|
|
|
|
|
|
| (1)DDoS防御。在政务网站与互联网边界处部署防DDoS攻击系统,用于防护来自互联网的拒绝服务攻击。
|
|
|
| (2)网络访问控制。利用防火墙进行访问控制,防止不必要的服务进入政务网站系统,减少被攻击的可能性。
|
|
|
| (3)网页防篡改。在Web服务器上部署网页防篡改系统,针对Web应用网页和文件进行防护。
|
|
|
| (4)网站应用防护。通过Web应用防火墙代理互联网客户端对Web服务器的所有请求,清洗异常流量,有效控制政务网站应用的各类安全威胁。
|
|
|
| (5)入侵防御和病毒防护。通过入侵防御系统和防病毒网关系统实现对非法入侵行为和网络病毒的有效检测和阻断。
|
|
|
| (6)网络/数据库审计。通过网络/数据库审计系统实现对政务网站访问行为和网站后台数据库的访问行为进行监控、记录和审计。
|
|
|
| (7)网站安全监控。通过网站安全监控系统实现漏洞扫描、网页木马监测、网页篡改监测、网页敏感信息监测等功能,同时系统与Web应用防火墙进行联动,进一步提升政府网站的全防护能力。
|
|
|
