監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產(chǎn)品資料
X 關(guān)閉
天津OA行業(yè)資訊

當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 天津OA系統(tǒng) > 天津OA行業(yè)資訊

政府網(wǎng)站怎樣選擇安全防護的“軟衛(wèi)甲” ?

申請免費試用、咨詢電話:400-8352-114

文章來源:泛普軟件

政府網(wǎng)站安全防護體系

【泛普軟件時代,泛普軟件辦公系統(tǒng),泛普軟件OA,OA辦公系統(tǒng)】據(jù)統(tǒng)計,2007全年,政府網(wǎng)站累計被篡改數(shù)高達數(shù)千個,面對互聯(lián)網(wǎng)這一“險惡江湖”,政府采購中門戶網(wǎng)站的安全項目招標(biāo)比例逐年增加,招標(biāo)前還應(yīng)從需求出發(fā)設(shè)計強有力的安全防護架構(gòu)。

在“5·12”汶川大地震期間,多個地方地震局網(wǎng)站遭受攻擊,有的甚至多次被黑,并發(fā)布虛假消息,給社會帶來了惡劣的影響。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)2008年1月第21次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》,我國網(wǎng)站的安全問題十分嚴(yán)峻,大量網(wǎng)站被黑客入侵和篡改,甚至被植入木馬攻擊程序,成為黑客的得力工具。在這些安全事件中,涉及國內(nèi)政府機構(gòu)和重要信息系統(tǒng)部門的網(wǎng)頁篡改類事件的數(shù)量最多。某些地方政府網(wǎng)站被篡改后長期無人過問,有些網(wǎng)站雖然在接到報告后能夠恢復(fù),但并沒有根除安全隱患,從而遭到多次篡改。

目前,政府網(wǎng)站系統(tǒng)在安全策略的配置、補丁的及時更新、網(wǎng)絡(luò)安全產(chǎn)品的部署、防病毒軟件的升級方面還存在一些問題,加上政府網(wǎng)站數(shù)據(jù)備份意識薄弱,必然給網(wǎng)站運行帶來很大的安全隱患。基于互聯(lián)網(wǎng)架構(gòu)的政府網(wǎng)站,安全防護體系的建立引起國家安全部門和有關(guān)安全專家格外關(guān)注,解決政府網(wǎng)站的安全運營已經(jīng)刻不容緩。但是,政府網(wǎng)站在紛紛尋找保護自己的“軟衛(wèi)甲”時,容易操之過急,還沒有做系統(tǒng)的設(shè)計規(guī)劃就匆忙動手,結(jié)果必然達不到理想效果。政府采購中門戶網(wǎng)站的安全項目招標(biāo)比例逐年增加,在招標(biāo)前一定要從現(xiàn)狀出發(fā),制定出一套好的策略規(guī)劃。

 

政府網(wǎng)站  6大安全隱患

目前我國政府網(wǎng)站的擁有率已經(jīng)達到較高的水平,其中國家部委單位政府網(wǎng)站的擁有率為96.1%,省級、地市級、縣級三級政府網(wǎng)站擁有率分別為90.3%、94.9%和77.7%。由于某些部門對政府網(wǎng)站安全缺乏足夠認識,許多地方政府網(wǎng)站的安全防護體系建設(shè)都十分脆弱,其應(yīng)急響應(yīng)能力也很薄弱。面對漏洞信息的分析和處理缺乏必要的認識和判別,這無異于將重要信息暴露于外。正如很多業(yè)內(nèi)專家所指出的那樣: 網(wǎng)頁頻遭篡改暴露出了政府網(wǎng)站重形式、輕安全的問題。

我國90%以上的政府網(wǎng)站存在各種各樣的安全漏洞,很多網(wǎng)站都曾受到過黑客的攻擊和計算機病毒的侵害,給國家造成了較大的損失。政府網(wǎng)站安全主要存在以下幾方面問題:

1. 政府網(wǎng)站的網(wǎng)絡(luò)與信息安全防護能力仍處于“初級階段”,尚未形成科學(xué)、完整、高效、統(tǒng)一的網(wǎng)站安全保障體系。目前,許多網(wǎng)站的政務(wù)信息應(yīng)用系統(tǒng)處于“不設(shè)防”狀態(tài)。

2. 目前政府網(wǎng)站的安全防護要么完全沒有部署安全產(chǎn)品,要么僅靠幾個安全設(shè)備來“維持”安全,沒有形成多個安全產(chǎn)品兼容、聯(lián)動、動態(tài)的防護體系。

3. 目前政府網(wǎng)站的安全是只重視“局部”,輕視“全局”防護,沒有從網(wǎng)站的物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、病毒防治、冗余備份等安全防護體系來整體規(guī)劃部署。

4. 大多數(shù)政府網(wǎng)站缺少安全管理體系,安全意識薄弱,職責(zé)不到位,沒有安全應(yīng)急流程和預(yù)案,導(dǎo)致發(fā)現(xiàn)安全問題時不能及時、有效地解決。

5. 大多數(shù)政府網(wǎng)站沒有通過實施“電子政務(wù)信息安全等級保護”來綜合考慮網(wǎng)站的安全防護體系,缺乏網(wǎng)站的安全風(fēng)險與評估體系。

6. 目前大多數(shù)政府網(wǎng)站缺乏自主創(chuàng)新的國產(chǎn)核心安全產(chǎn)品和安全防護體系解決方案。

防止“病從口入”

政務(wù)信息防護體系包含安全性防護、保密性防護、完整性防護、可信性防護和健康性防護等方面。

政府網(wǎng)站是各級人民政府在國際互聯(lián)網(wǎng)上發(fā)布政府信息和提供在線服務(wù)的綜合平臺,不僅體現(xiàn)了各級人民政府為人民服務(wù)的宗旨,更代表著政府的形象。政府網(wǎng)站的安全防護體系與其他信息安全防護相比,有其自身的特點。

1. 網(wǎng)站的信息加載和發(fā)布安全防護。

網(wǎng)站信息需要不時更新,由于信息加載人員是基于互聯(lián)網(wǎng)上網(wǎng),因此采用VPN接入、CA證書以及權(quán)限限制等安全技術(shù),保證信息加載過程中信息的完整性。信息加載人員還應(yīng)嚴(yán)格按照網(wǎng)站信息采集、編校、審核和報送工作流程,執(zhí)行國家有關(guān)計算機網(wǎng)絡(luò)運行安全、保密規(guī)定,嚴(yán)禁涉密信息、有害信息上網(wǎng),按照“先審查,后發(fā)布; 誰發(fā)布,誰負責(zé)”的原則,確保發(fā)布信息的真實性和合法性。

2. 網(wǎng)站的Web服務(wù)器安全防護。

網(wǎng)站的前臺發(fā)布服務(wù)器需要通過安全技術(shù)手段實現(xiàn)同后臺數(shù)據(jù)庫的邏輯隔離; 發(fā)布服務(wù)器可以采用多臺硬件服務(wù)器,實現(xiàn)負載均衡和相互備份的功能。發(fā)布服務(wù)器的操作系統(tǒng)安全等級高低依次為Unix、Linux和Windows,采用安全的Web服務(wù)器(Apache、Tomcat、IIS等)進行網(wǎng)站信息發(fā)布,還應(yīng)在服務(wù)器上安裝網(wǎng)頁防篡改系統(tǒng)等安全產(chǎn)品,確保網(wǎng)站正常、安全、穩(wěn)定地運行。

3. 網(wǎng)站的應(yīng)用系統(tǒng)安全防護。

網(wǎng)站的應(yīng)用包括郵件、視頻、信息報送、在線訪談、信息公開、網(wǎng)上申報審批等,應(yīng)用系統(tǒng)的安全防護也是比較重要的。應(yīng)用軟件的安全性要保證運行穩(wěn)定可靠,有較好的容錯性,應(yīng)用軟件應(yīng)該經(jīng)過充分測試,不會由于誤操作而出現(xiàn)系統(tǒng)崩潰的現(xiàn)象。還要注意加強應(yīng)用系統(tǒng)產(chǎn)品化的采購和使用,這樣可以確保網(wǎng)站應(yīng)用的安全可靠。

4. 網(wǎng)站的運行維護管理安全防護。

當(dāng)網(wǎng)站的安全技術(shù)手段和措施到位后,網(wǎng)站的管理就顯得特別重要。要保障網(wǎng)站的日常運維,充分發(fā)揮安全技術(shù)人員的主觀能動性,定期檢查安全技術(shù)和措施有沒有發(fā)揮作用,存在哪些安全漏洞和隱患,以及如何解決等一系列問題。政府部門應(yīng)定期進行網(wǎng)站安全的風(fēng)險評估,加強應(yīng)急預(yù)案的演練,防患于未然。

P2DR 動態(tài)防護模型

政府網(wǎng)站系統(tǒng)應(yīng)在最危險的地方設(shè)防,并時刻采取相應(yīng)的檢測機制,及時修補和加固安全漏洞。這種安全防護思想就是“動態(tài)安全防護體系”,由此提出了P2DR模型: Policy(安全策略)、Protection(防護)、Detection(檢測)、Response(響應(yīng))。

P2DR模型由防護、檢測和響應(yīng)組成一個完整、動態(tài)的安全循環(huán),在安全策略的指導(dǎo)下保證網(wǎng)站信息系統(tǒng)的安全,P2DR安全模型的特點就是動態(tài)性和基于時間的特性。

Policy: “安全策略”是P2DR安全模型的核心,所有的防護、檢測、響應(yīng)都是依據(jù)安全策略實施的,企業(yè)安全策略為安全管理提供管理方向和支持手段。策略體系的建立包括安全策略的制訂、評估、執(zhí)行,制定可行的安全策略取決于對網(wǎng)絡(luò)信息系統(tǒng)的了解程度。

Protection: 防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來實現(xiàn)的,主要有防火墻、加密、認證等方法。

Detection: 在P2DR模型中,“檢測”是非常重要的一個環(huán)節(jié),“檢測”是動態(tài)響應(yīng)和加強防護的依據(jù),它也是強制落實安全策略的有力工具,通過不斷地檢測和監(jiān)控網(wǎng)絡(luò)和網(wǎng)站系統(tǒng),來發(fā)現(xiàn)新的威脅和弱點,并通過循環(huán)反饋來及時做出有效的響應(yīng)。網(wǎng)站的安全風(fēng)險是實時存在的,所以我們檢測的對象應(yīng)該主要針對構(gòu)成安全風(fēng)險的兩個部分: 系統(tǒng)自身的脆弱性及外部威脅。

Response: “緊急響應(yīng)”在網(wǎng)站安全系統(tǒng)中占有最重要的地位,是解決潛在安全問題最有效的辦法。從某種意義上講,安全問題就是要解決緊急響應(yīng)和異常處理問題。要解決好緊急響應(yīng)問題,就要制定好緊急響應(yīng)的方案,做好緊急響應(yīng)方案中的一切準(zhǔn)備工作。

安全防護體系 策略規(guī)劃

根據(jù)網(wǎng)站群系統(tǒng)安全防護需要,應(yīng)從物理安全、系統(tǒng)平臺、系統(tǒng)安全、應(yīng)用安全和內(nèi)容安全等方面進行相關(guān)安全策略的規(guī)劃。

●  物理安全防護

這里主要是指放置政府網(wǎng)站各種設(shè)備和線路的機房環(huán)境要求,它是建立網(wǎng)站安全防護體系的基礎(chǔ)。機房的空調(diào)、UPS、監(jiān)控系統(tǒng)、通信線路、布線系統(tǒng)等基礎(chǔ)設(shè)施都必須符合國家有關(guān)標(biāo)準(zhǔn)和安全要求,政府網(wǎng)站的安全防護體系才會有很好的“安全根基”。選購網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及服務(wù)器和各類終端時,建議要盡量選用國產(chǎn)化技術(shù)和國內(nèi)公司的產(chǎn)品,特別是具有自主知識產(chǎn)權(quán)的安全產(chǎn)品。

●  系統(tǒng)平臺安全防護

 政府網(wǎng)站群平臺系統(tǒng)采用三層結(jié)構(gòu)技術(shù)體系設(shè)計,三層結(jié)構(gòu)技術(shù)將整體應(yīng)用劃分成表現(xiàn)層、業(yè)務(wù)邏輯層、數(shù)據(jù)層。每一層相對獨立,能夠有效地實現(xiàn)安全性、可移植性、擴展性。通過采用三層結(jié)構(gòu)有效地保證各個應(yīng)用層面的可伸縮性。政府網(wǎng)站系統(tǒng)平臺要求較高的安全性設(shè)計,要從數(shù)據(jù)傳輸層安全、數(shù)據(jù)存儲安全、聯(lián)機事務(wù)處理安全、網(wǎng)絡(luò)結(jié)構(gòu)安全等方面進行通盤考慮。使用傳輸層加密協(xié)議、CA認證管理、聯(lián)機事務(wù)處理布局、多層防火墻結(jié)構(gòu)聯(lián)合部署的方式來最大程度地保證“政府網(wǎng)站群平臺系統(tǒng)”的安全性防護。

 ●  系統(tǒng)安全防護

系統(tǒng)的安全性防護包括操作系統(tǒng)安全性、數(shù)據(jù)庫系統(tǒng)的安全性、服務(wù)器的安全性、應(yīng)用軟件的安全性等,應(yīng)采用主流、安全、標(biāo)準(zhǔn)、可靠的網(wǎng)絡(luò)操作系統(tǒng),從而全面、穩(wěn)妥管理和保護操作系統(tǒng)安全。充分利用大型數(shù)據(jù)庫的安全管理保護機制,實現(xiàn)數(shù)據(jù)庫系統(tǒng)安全; 還應(yīng)定期升級操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全補丁。

●  應(yīng)用安全防護

政府網(wǎng)站群是在統(tǒng)一的應(yīng)用平臺進行信息發(fā)布,對于應(yīng)用服務(wù)器,應(yīng)采用集群(Cluster)、高可用(HA)系統(tǒng)和負載均衡等措施,提高整體性能和可靠性,在Web層、應(yīng)用層、數(shù)據(jù)層消除單點故障??赏ㄟ^應(yīng)用層系統(tǒng)管理員的用戶管理、權(quán)限分配、口令管理、臨時賦權(quán)實現(xiàn)各類各級用戶安全訪問體系。管理員通過應(yīng)用系統(tǒng)日志管理實現(xiàn)安全調(diào)查、追蹤和安全評估,以此增強網(wǎng)站應(yīng)用安全性,確保安全的信息訪問和提升網(wǎng)站效率,保障Web服務(wù)應(yīng)用、郵件、視頻、信息報送、在線訪談等政府網(wǎng)站應(yīng)用系統(tǒng)的安全運行。

●  內(nèi)容安全防護

信息內(nèi)容安全性防護通常包括訪問控制、身份認證系統(tǒng)、數(shù)據(jù)備份、網(wǎng)頁防篡改等。合理授權(quán)是政府網(wǎng)站群管理的核心,政府機關(guān)需要對不同的權(quán)屬人員采取不同的授權(quán)。 政府網(wǎng)站需建立統(tǒng)一規(guī)范的信息采集、審核和發(fā)布程序,未經(jīng)審核的信息不得上網(wǎng)發(fā)布,加強對網(wǎng)上互動欄目的安全監(jiān)管和維護,確保政府網(wǎng)站安全穩(wěn)定地運行

發(fā)布:2007-04-21 10:56    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
天津OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢

泛普天津OA行業(yè)資訊其他應(yīng)用

天津OA軟件 天津OA新聞動態(tài) 天津OA信息化 天津OA快博 天津OA行業(yè)資訊 天津軟件開發(fā)公司 天津門禁系統(tǒng) 天津物業(yè)管理軟件 天津倉庫管理軟件 天津餐飲管理軟件 天津網(wǎng)站建設(shè)公司