|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
网站除了物理环境安全保护外,基本安全保护机制还包括身份鉴别、访问控制、内容安全、数据安全、安全防护、安全审计与监控、应急响应和灾备、合规管理、安全测评等。
|
|
|
|
|
|
针对网站的相关资源用户,采用用户身份标识和鉴别的安全措施,防止非授权用户访问重要资源。常见的身份鉴别技术措施有用户名/口令、U盾、人脸识别以及基于证书的统一用户身份管理。
|
|
|
|
|
|
网站访问控制的目的是防止非授权的用户访问网站资源。常见的网站访问控制技术措施是防火墙、数据加密以及操作系统、数据库、Web软件、Web应用程序等内置的访问控制措施综合集成实现。例如,通过防火墙,可以对列入IP地址黑名单的网站访问者进行阻断,而保留白名单访问通道。
|
|
|
|
|
|
网站内容安全的目标是确保网站符合所在区域的法律法规及政策要求,避免网站被恶意攻击者利用。网站内容安全的技术措施主要是网站文字内容安全检查、网页防篡改、敏感词汇过滤。
|
|
|
|
|
|
网站数据安全的目标是确保网站所承载的数据资源的安全性,防止数据泄露、完整性破坏以及用户隐私泄露。网站数据安全的技术措施主要有用户数据隔离、数据加密、SSL、数据备份以及隐私保护。
|
|
|
|
|
|
网站安全防护的目标是增强网站的抗攻击能力,能够识别Web攻击类型及阻断攻击行为,包括非授权访问防护、暴力破解防护、Webshell识别和拦截、目录遍历防护、SQL注入攻击防护。能够支持DDoS清洗,应能够正常防御SYN Flood、ACK Flood、ICMP Flood、UDP Flood、HTTP Flood、DNS Flood、CC攻击等拒绝服务类攻击。
|
|
|
|
|
|
网站安全审计与监控的目标是掌握网站的安全及运行状况,保留相关日志数据,提供事后攻击取证及应急恢复指导。网站安全审计与监控的安全技术措施主要有SysLog、Web流量截取、网页篡改或挂马检查、Web入侵监测、电子取证等。
|
|
|
|
|
|
网站应急响应的目标是针对网站意外事故,提供应急响应服务,保障网站的持续运行及相关资源的安全性。网站应急响应的技术措施主要有网页防篡改、网站域名服务灾备、网络流量清洗、灾备中心、网络攻击取证等。
|
|
|
|
|
|
网站合规管理的目标是确保网站符合相关规定要求,保证网站的合法性。网站合规管理包括网站备案、网站防伪标识、网站等保测评等。
|
|
|
|
|
|
网站安全测评的目标是应及时有效地发现安全隐患,指导安全整改直至符合标准测评,避免重大网站安全事件出现。网站安全测评的技术措施主要有漏洞扫描、渗透测试、代码审核、风险分析等。
|
|
|
|
|
|
网站安全管理机制的目标是确保网站的安全利益相关者能承担网站安全责任,落实网站安全措施,持续改进网站安全管理工作。网站安全管理机制主要包括网站安全保障工作的总体方针和安全策略,建立网站建设、网站运维、网站内容、网站域名、网站应急预案等方面的安全管理制度,应确保各项安全管理制度的有效执行、及时修订完善。
|
|
|
