政府门户网站安全防护方案

......学习参考■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XX科技所有，受到有关产权及版权法保护。任何个人、机构未经XX科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。政府门户网站安全防护方案■文档编号■密级内部使用■版本编号V1.0■日期2015-05-25......学习参考目录一.概述..........................................................................1二.政府门户网站安全建设必要性....................................................22.1合规性要求..................................................................22.2面临的安全威胁..............................................................32.3政府网站安全管理现状.........................................................4三.政府门户网站安全防护方案......................................................53.1安全防护方案示意图...........................................................53.2网络层安全防护..............................................................63.2.1安全域访问控制..........................................................63.2.2拒绝服务攻击防护........................................................63.3系统层安全防护..............................................................73.3.1Web系统漏洞发现与管理..................................................73.3.2Web系统安全加固........................................................73.4应用层安全防护..............................................................83.4.1Web应用防护............................................................83.4.2网页防篡改..............................................................93.5网站安全云监护..............................................................93.5.1网站安全监测服务.......................................................103.5.2WEB应用防护系统及可管理安全服务........................................123.5.3抗拒绝服务系统及可管理安全服务..........................................13注：可支持接入XX安全云的设备型号及版本清单..................................14四.安全设备及服务主要适用场景...................................................14......学习参考一.概述政府网站是政府职能部门信息化建设的重要内容，主要实现国家对政府网站的三大功能定位：信息公开、在线办事、公众参与。政府网站是政府部门履行职能、面向社会提供服务的窗口，是实现政务信息公开、服务企业和社会公众、方便公众参与的重要渠道，同时也是对外宣传政府形象、发布行业信息、开展电子政务的主要平台，是国家重要信息系统。而近年来，随着政府网站所承载业务的数量和重要性逐渐增加以及其面相公众的性质，使其越来越成为攻击和威胁的主要目标。据CNCERT/CC的统计数据，2012年全年，中国大陆有16388万个网站被黑客篡改，数量较2011年增加6.1%，但其中被篡改的政府网站高达1802个，与2011年相比大幅增长21.4%。被暗中植入后门的政府网站3016个，较去年大幅增长93.1%。其中除包括地市级政府网站外还包括省部级网站。对2012年07月至2013年06月一年内境内政府网站被篡改数量月度情况进行统计（如下图所示），不难看出，近期政府网站被篡改攻击的趋势已经愈发明显。......学习参考二.政府门户网站安全建设必要性政府部门的网站普遍存在业务数据机密性要求高、业务连续性要求强、网络结构相对封闭、信息系统架构形式多样等特点。而网站中不同业务功能模块的信息安全需求又各不相同。如对外便民服务信息系统具有相对开放的结构特点，用户一般为普通民众，便民服务业务对数据的可用性和完整性要求往往大于其对机密性要求，而在网站上独立运行的业务信息系统具有相对封闭的结构特点，用户一般为内部用户，用户对数据的完整性和保密性要求往往大于可用性要求。因此政府网站安全风险贯穿前端Web访问到后端数据处理和反馈整个过程。因此可以定性的认为：前一类信息系统面临的服务中断、外部黑客攻击、非法入侵、安全漏洞等威胁的概率比较大，而后一类内网泄密、监管审计不到位等威胁的概率比较大。推动政府网站进行全面信息安全体系设计和建设的动力目前主要来自三个方面：合规性安全要求面临的安全威胁政府网站安全现状2.1合规性要求1)《关于进一步加强政府网站管理工作的通知》（国办函【2011】40号）2011年4月21日，国务院办公厅下发了《关于进一步加强政府网站管理工作的通知》。通知明确指明了一些政府网站依然存在着种种问题，主要原因是地方政府网站建而不管或管不到位，有些政府单位对本单位开办的政府网站不问不看，特别是网站安全管理中存在的问题长期得不到纠正。因此通知要求各地区、各部门要把办好网站放在政府工作的重要位置。政府网站要开展全面检查，要高度重视，监管机关要进一步加强对各级政府网站管理工作的监督与指导。要全面检查，切实解决政府网站管理中的突出问题。《通知》中明确提出了要针对目前政府网站管理中的各类突出问题进行严格检查：信息发布审核和保密审查机制是否健全；网站链接是否经过管理单位审核把关，是否存在错链和断链；......学习参考网站安全防范工作是否到位，是否采取了防攻击、防篡改、防病毒等安全防护措施，并制订了应急处置预案；网站管理单位和运行维护单位职责是否明确。对检查清理中发现的问题要及时整改，确保上网信息准确、真实，不发生失泄密问题，确保公众能够及时获取政府信息、获得便利的在线服务，确保链接正确有效、网站安全平稳运行。对确实无力管好的网站或栏目，要果断予以关闭。2)《关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号2012年5月9日，温家宝总理主持召开国务院常务会议，研究部署保障信息安全工作《关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号。健全安全防护和管理。确保重要信息系统和基础信息网络安全。能源、交通、金融等领域涉及国计民生的重要信息系统，要同步规划、同步建设、同步运行安全防护设施，强化技术防范，严格安全管理，切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。其中政府网站作为极其重要的信息系统，其安全管理更应当得到进一步完善和强化。3)“等级保护”要求目前在已经基本完成的等级保护定级工作中，国家部委以及省市重要政府机关门户网站的安全级别基本定为3级，属于国家重要信息系统，是国家等级保护测评和检查重点。面对Web应用层面这类给Internet可用性带来极大损害的攻击，必须在国家等级保护政策的指导下，采用专门的机制，综合采用各种技术手段对攻击进行有效检测，应按照《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《信息安全等级保护管理办法》（公通字[2007]43号）等文件要求，参考《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》（GB/T22239-2008）等等级保护相关标准，开展等级保护整改、测评工作，切实为将网站建成“信息公开、在线办事、公众参与”三位一体的业务体系，为各企业和社会公众提供“一站式”电子政务公共服务政务目标提供有力保障。2.2面临的安全威胁近几年关于政府门户网站被篡改、网络钓鱼、SQL注入和跨站脚本等带来严重后果的攻击事件频频发生，严重影响了人们对政府网站公信力的认可，根据Gartner的数据分析，80%基......学习参考于Web的应用都存在安全问题，其中很大一部分是相当严重的问题。Web应用系统的安全性越来越引起人们的高度关注。目前网络中常见的攻击已经由传统的系统漏洞攻击逐渐发展演变为对应用自身脆弱性的攻击。与此同时，政府网站也因安全隐患频繁遭到各种攻击，导致网站敏感数据丢失、网页被篡改，甚至成为传播木马的傀儡。政府网站安全形势日益严峻，而政府网站被攻击后造成的巨大政治风险、名誉损失、公信力下降已经成为电子政务健康发展的一个巨大障碍。2.3政府网站安全管理现状尽管国家早在2008年对各政府网站安全防范工作就提出了防攻击、防篡改、防病毒等安全保障目标，有些地方政府也制订了政府网站应急处置预案，但是政府网站目前所面临的Web应用安全威胁仍然在飞速增长，极大地困扰着政府和公众用户，给政府的政务形象、信息网络和核心业务造成严重的破坏。目前多数政府网站在安全建设过程依然存在比较突出的重应用轻安全现象，网站整体安全性差，缺乏必要的经常性维护。比如在某政府机构所制定的网站绩效评估指标中，基本上都是从网站的业务应用角度出发制定的，对信息安全的考虑基本没有，根据前期的调研发现，目前政府网站的安全控制与措施大多独立考虑，部分系统甚至缺少基本的安全策略，缺少安全主线和安全规划，导致只解决了局部问题，而未能从整体解决安全问题，从而降低了整体的安全效率，导致多个信息安全孤岛的出现。而且现有政府网站安全管理、防范措施、安全意识薄弱，极易遭到黑客攻击。以至于某些政府网站被篡改后长期无人过问，还有些政府网站虽然在接到报告后能够恢复，但并没有根除安全隐患从而反复遭到多次篡改。因此针对这种现状，必须采取专门的监管机制，围绕政府网站特定的安全需求开展系统的、有针对性的网站安全监管已经变得刻不容缓。......学习参考三.政府门户网站安全防护方案3.1安全防护方案示意图针对常见的政府门户网站拓扑图，我们可以采取以下安全措施进行防护：1.DDoS防御：在Internet出口处部署一台抗DDOS攻击防护系统，用于防护来自外网的拒绝服务攻击；2.网络访问控制：利用防火墙进行访问控制，防止不必要的服务请求进入网站系统，减少被攻击的可能性；3.系统安全加固：找出主机系统、网络设备及其他设备系统中存在的补丁漏洞和配置漏洞，进行加固，以保障系统的安全性；4.应用层防护：在网站服务器前部署一台Web应用防护系统，通过Web应用防护系统有效控制和缓解HTTP及HTTPS应用下各类安全威胁，如SQL注入、XSS、跨站伪造（CSRF）、cookie篡改以及应用层DDoS等，有效应