信息中心
【參評方案】綠盟科技政府門戶網站解決方案
一. 概述
對于政府機構來說,電子政務是政府實現政務公開的一種重要形式和發展方向,而電子政務的功能和內容主要是通過政務網站的形式表現出來的,外界對政府信息化的了解也是從政務網站開始的。
政府網站是政府職能部門信息化建設的重要內容,主要實現國家對政府網站的三大功能定位:信息公開、在線辦事、政民互動。政府門戶網站是電子政務的窗口,也是政府的窗口,是政府部門履行職能、面向社會提供服務的官方網站,是提高政府電子政務服務質量、服務效率、公眾認知度和滿意度的關鍵環節,是國家重要信息系統。
而近年來,隨著政務網站所運行業務的重要性逐漸增加以及其公眾性質使其越來越成為攻擊和威脅的主要目標,政府網站所面臨的Web應用安全問題越來越復雜,混合威脅的風險正在飛速增長,如網頁篡改、蠕蟲病毒、DDoS攻擊、SQL注入、跨站腳本、Web應用安全漏洞利用等,極大地困擾著政府和公眾用戶,給政府的政務形象、信息網絡和核心業務造成嚴重的破壞。
因此一個優秀的電子政務網站安全建設是電子政務是否能取得成效、充分發揮職能的基礎,而合規、有效、全面的信息安全體系建設對保障其正常運行至關重要。
綠盟科技基于多年在信息安全領域持續深入的研究、積累的豐富技術成果以及對門戶網站安全建設實踐,設計了該方案,從檢測與發現、防護與阻擊、安全監控與安全恢復幾個方面為政府網站提供全方位的安全保障。
二. 政府門戶網站安全建設必要性
推動政府網站進行全面信息安全體系設計和建設的動力目前主要來自三個方面:
等級保護等合規性安全要求
面臨的安全威脅
政府網站安全現狀
三. 面臨的典型攻擊
魔鬼出沒的世界 - 卡爾?薩根,用這句話形容網站目前所處的惡劣安全環境是再合適不過了。對于政府網站的電子政務應用特點,針對政府網站最普遍的攻擊有如下
跨站腳本
信息泄漏
SQL 注入
越權攻擊
DDOS攻擊
四. 綠盟科技政府門戶網站安全防護
作為信息系統的一個典型應用,網站的安全防護與信息系統一樣,涉及的層面比較多,可分為網絡層面、系統層面、一般服務組件如數據庫、通用軟件、常用軟件等、特定應用,對于前三類防護手段是通用的,我們使用的是傳統的防護技術。如下圖:
對網絡、通信協議、操作系統、數據庫等層面上的防護可以認為是通用的,傳統的邊界安全設備,如防火墻、安全網關、IDS /IPS、審計產品、終端防護產品等,作為網站整體安全策略中不可缺少的重要模塊,其防護效果是比較有效的。
但在對政府網站系統采用傳統技術手段進行安全防護的同時,也要充分考慮如何針對用戶特定應用的應用層面脆弱性及威脅進行安全保障,因為網站的安全問題中,業務層面所暴露的安全問題顯得尤為突出,針對WEB特定應用的脆弱性以及產生的安全問題是個性化和不通用的,以上這些傳統的技術手段就顯得力不從心了,不能有效的防范和檢測網站特定的威脅和攻擊,本方案重點是圍繞政府網站面臨的典型安全問題,如跨站腳本、信息泄露、SQL注入、越權操作、DDOS攻擊,解決典型用戶特定Web應用的防護和保障的解決方案,傳統層面的保障方案參見公司其他方案。
文章作者:國脈電子政務網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄