政府门户网站安全防护方案

1.      概述

政府网站是政府职能部门信息化建设的重要内容，同时也是对外宣传政府形象、发布行业信息、开展电子政务的主要平台，是国家重要信息系统。

而近年来，随着政府网站所承载业务的数量和重要性逐渐增加，以及其面向公众的性质，关于政府门户网站被篡改、网络钓鱼、SQL注入和跨站脚本等带来严重后果的攻击事件频频发生，严重影响了人们对政府网站公信力的认可，政府网站安全形势日益严峻，而政府网站被攻击后造成的巨大政治风险、名誉损失、公信力下降已经成为电子政务健康发展的一个巨大障碍。

另外，目前多数政府网站在安全建设过程依然存在重应用轻安全现象，网站整体安全性差，缺乏必要的经常性维护。而且现有政府网站安全管理、防范措施、安全意识薄弱，极易遭到黑客攻击。

随着等级保护工作的深入开展，国家相关监管机构近几年也对于政府网站安全有了明确的要求和相关检查工作，2011年国务院办公厅下发了《关于进一步加强政府网站管理工作的通知》（国办函【2011】40号），以及2012年《关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号文件中，都提出了对于政府网站需要切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。其中政府网站属于国家重要信息系统，是国家等级保护测评和检查重点。

2.      防护方案

政府网站普遍存在业务数据机密性要求高、业务连续性要求强、网络结构相对封闭、信息系统架构形式多样等特点。而政府网站所面临的安全风险贯穿前端WEB访问到后端数据处理和反馈整个过程。因此，对于一个定制化开发的政府门户网站来说，从其规划和开发阶段就要引入相应的安全建设。而对于大多数已投入使用的政府门户网站而言，由于不太可能投入大量的人力去重新开发或做大规模的代码级整改，因此如何在运行阶段进行有效的安全防护成为关注的焦点。

在本方案中，我们重点描述运维阶段中对网络层、系统层、应用层的安全防护体系。

1. DDoS防御：在Internet出口处部署一台抗DDOS攻击防护系统，用于防护来自外网的拒绝服务攻击；
2. 网络访问控制：利用防火墙进行访问控制，防止不必要的服务请求进入网站系统，减少被攻击的可能性；
3. 系统安全加固：找出主机系统、网络设备及其他设备系统中存在的补丁漏洞和配置漏洞，进行加固，以保障系统的安全性；
4. 应用层防护：在网站服务器前部署一台Web应用防护系统，通过Web应用防护系统有效控制和缓解HTTP及HTTPS应用下各类安全威胁，如SQL注入、XSS、CSRF、cookie篡改以及应用层DDoS等，有效应对网页篡改、网页挂马、敏感信息泄露等安全问题，充分保障门户网站的高可用性和可靠性。
5. 网页防篡改：在Web服务器系统上部署网页防篡改系统，针对Web应用网页和文件进行防护。
6. 网站安全监测：通过专业化的托管式服务来实时监测和周期度量网站的风险隐患，评估网站的安全状态，衡量改进情况。为政府用户提供基于网站访问行为、基于安全事件事前、事中、事后的7×24小时安全运营解决方案。

3.      方案价值

Ø  提升WEB安全整体防御效果，有效抵御各类攻击。

Ø  维护和提升政府机构的形象和公信力；

Ø  解决政府机构运维人员专业安全分析能力不足问题；

Ø  满足来自国家及行业监管部门的合规性安全检查要求；

Ø  协助安全事件取证以及事后追溯；

Ø  减轻重大节假日或重大事件时增加的网站安全监测与防护要求压力；

4.      方案优势

Ø  遵循WEB应用生命周期的客观规律；

Ø  遵循由点到面的整体防御体系，避免“安全孤岛”；

Ø  强调安全产品和安全服务相结合模式的支撑作用；

Ø  基于安全事件事前、事中、事后的7×24小时的WEB安全运营方式。

Ø  依托云平台技术，实现专业安全产品和专家团队的云监护安全服务。