門戶網(wǎng)站在政務(wù)公開(kāi)、政民互動(dòng)、業(yè)務(wù)管理和公眾服務(wù)中發(fā)揮著不可替代的作用，它也越來(lái)越成為信息化重要的安全風(fēng)險(xiǎn)點(diǎn)。廣州網(wǎng)站建設(shè)公司從“互聯(lián)網(wǎng)+政府服務(wù)”的新要求出發(fā)，從網(wǎng)站的管理機(jī)制、技術(shù)保障和運(yùn)維服務(wù)三方面要點(diǎn)入手，構(gòu)建了一套適用于各級(jí)政府網(wǎng)站的安全保障體系，可以為相關(guān)政府部門的網(wǎng)站建設(shè)管理提供參考。

　　前言

　　政府門戶網(wǎng)站的搭建在提供高效與便利時(shí)，也會(huì)埋下風(fēng)險(xiǎn)的隱患。如今在世界互聯(lián)網(wǎng)覆蓋到的范圍內(nèi)，電腦病毒、垃圾消息、網(wǎng)頁(yè)安全漏洞以及互聯(lián)網(wǎng)犯罪這一系列的有關(guān)政府門戶網(wǎng)站安全問(wèn)題日益明顯，在某些程度上嚴(yán)重拖慢了信息化社會(huì)持久正常的建設(shè)，也對(duì)政府的經(jīng)濟(jì)發(fā)展和百姓的日常生產(chǎn)生活造成了不小的麻煩。怎樣保證政府門戶網(wǎng)站信息安全，如今是整個(gè)世界上每個(gè)政府管理機(jī)構(gòu)，各大企業(yè)以及眾多公眾急需解決的問(wèn)題。

　　1 政府門戶網(wǎng)站

　　1.1 概念

　　關(guān)于政府門戶網(wǎng)站的定義，國(guó)內(nèi)外學(xué)者尚未達(dá)成共識(shí)。結(jié)合當(dāng)下中國(guó)政府門戶網(wǎng)站建設(shè)的實(shí)際情況，我們首先應(yīng)對(duì)政府門戶網(wǎng)站與一般政府網(wǎng)站加以區(qū)別。這是因?yàn)?，雖然我國(guó)近幾年政府網(wǎng)站的建設(shè)速度很快，但在各級(jí)政府和部門政府網(wǎng)站建設(shè)的過(guò)程中，“各自為政”的現(xiàn)象較為嚴(yán)重，各層級(jí)與各部門之間的協(xié)調(diào)機(jī)制并沒(méi)有良好的建立，從而導(dǎo)致重復(fù)建設(shè)，不但浪費(fèi)了大量資源，還致使公眾的需求無(wú)法在政府網(wǎng)站上高效的滿足。因此，界定清楚政府門戶網(wǎng)站和政府網(wǎng)站的概念，并定位好兩者的服務(wù)功能，是推進(jìn)我國(guó)電子政務(wù)水平、提高政府門戶網(wǎng)站服務(wù)能力的前提與必經(jīng)之路。

　　1.2 政府門戶網(wǎng)站服務(wù)能力

　　政府門戶網(wǎng)站服務(wù)是指政府利用現(xiàn)代新技術(shù)，將網(wǎng)絡(luò)應(yīng)用系統(tǒng)作為平臺(tái)，在政府內(nèi)部資源實(shí)現(xiàn)整合的基礎(chǔ)上，面向公眾提供優(yōu)質(zhì)化、全天候的高效服務(wù)。政府門戶網(wǎng)站服務(wù)能力是指政府通過(guò)網(wǎng)絡(luò)平臺(tái)向公眾提供電子化服務(wù)的方式及產(chǎn)生的服務(wù)收益。通過(guò)政府門戶網(wǎng)站向公眾提供服務(wù)，打破了傳統(tǒng)的柜臺(tái)服務(wù)模式，它是一種跨時(shí)空、無(wú)縫隙的服務(wù)模式[1]。

　　2 管理機(jī)制設(shè)計(jì)

　　2.1 制度建設(shè)

　　通過(guò)調(diào)研各級(jí)政府門戶網(wǎng)站工作流程，結(jié)合業(yè)務(wù)實(shí)際，建立一系列網(wǎng)站安全管理制度和規(guī)范，包括網(wǎng)站管理、網(wǎng)站建設(shè)、網(wǎng)站運(yùn)維、網(wǎng)站內(nèi)容保障、網(wǎng)站應(yīng)急預(yù)案、網(wǎng)站接口設(shè)計(jì)等方面，確保職責(zé)明確、分工合理、可操作、可執(zhí)行。

　　2.2 應(yīng)急預(yù)案建設(shè)

　　通過(guò)預(yù)防措施和恢復(fù)控制相結(jié)合的方式，使得網(wǎng)站應(yīng)用系統(tǒng)由意外事件造成的影響減少至可接受的水平，保障網(wǎng)站應(yīng)用的連續(xù)性，尤其是免受重大故障或?yàn)?zāi)難的影響。同時(shí)，網(wǎng)站應(yīng)急預(yù)應(yīng)當(dāng)選擇業(yè)務(wù)不繁忙的工作日進(jìn)行演練來(lái)驗(yàn)證應(yīng)急預(yù)案的有效性，并根據(jù)演練結(jié)果對(duì)應(yīng)急預(yù)案做進(jìn)一步優(yōu)化。

　　2.3 安全培訓(xùn)

　　不定期開(kāi)展安全培訓(xùn)教育，使管理者和工作人員了解基本網(wǎng)站安全知識(shí)和安全行為準(zhǔn)則，并且具備一定的安全意識(shí)。使網(wǎng)絡(luò)管理員具備基本的安全知識(shí)、安全技術(shù)，并且在安全標(biāo)準(zhǔn)及安全管理方面有明顯提高[2]。

　　3 技術(shù)保障設(shè)計(jì)

　　網(wǎng)站系統(tǒng)安全保障設(shè)計(jì)本著兩個(gè)基本原則進(jìn)行設(shè)計(jì)：合規(guī)性、威脅性。合規(guī)性主要從網(wǎng)站系統(tǒng)等級(jí)保護(hù)技術(shù)要求及《指南》要求的合規(guī)性進(jìn)行考慮，采用逐步優(yōu)化循序漸進(jìn)的方式，優(yōu)先完善必須項(xiàng)，進(jìn)一步完善其他安全項(xiàng)。威脅性主要從風(fēng)險(xiǎn)分析入手，主要考慮網(wǎng)站系統(tǒng)所面臨的威脅因素，這些威脅因素會(huì)對(duì)網(wǎng)站系統(tǒng)產(chǎn)生哪些風(fēng)險(xiǎn)。

　　3.1 安全域劃分

　　依據(jù)網(wǎng)站系統(tǒng)內(nèi)各相關(guān)服務(wù)器的功能劃分不同的安全區(qū)域，通過(guò)在交換機(jī)上劃分虛擬局域網(wǎng)(VLAN)并設(shè)置訪問(wèn)控制列表(ACL)進(jìn)行安全區(qū)域間的控制與隔離。

　　3.2 操作系統(tǒng)安全

　　對(duì)網(wǎng)站服務(wù)器的操作系統(tǒng)和網(wǎng)站系統(tǒng)平臺(tái)部署，遵循最小安裝原則，禁用不必要的服務(wù)組件、應(yīng)用插件、注冊(cè)表項(xiàng)等，并保證網(wǎng)站相關(guān)系統(tǒng)補(bǔ)丁的及時(shí)更新。并對(duì)關(guān)鍵業(yè)務(wù)服務(wù)器進(jìn)行服務(wù)器安全加固系統(tǒng)，對(duì)需要受保護(hù)的服務(wù)器本身進(jìn)行安全加固。從服務(wù)器的開(kāi)機(jī)啟動(dòng)、登錄、運(yùn)行、連接、數(shù)據(jù)存儲(chǔ)、審計(jì)等各個(gè)環(huán)節(jié)進(jìn)行安全控制，提高服務(wù)器自身的安全防御能力，構(gòu)造服務(wù)器安全的主動(dòng)防御體系，從源頭杜絕危害，兼顧服務(wù)器安全的“內(nèi)憂外患”，有效解決已知或未知的病毒、蠕蟲(chóng)等惡意代碼攻擊、數(shù)據(jù)失竊、泄密等安全威脅，達(dá)到保障服務(wù)器的運(yùn)行安全、數(shù)據(jù)安全及安全管理的目標(biāo)。

　　3.3 防篡改系統(tǒng)

　　在門戶網(wǎng)站應(yīng)用服務(wù)器上部署防篡改系統(tǒng)，對(duì)網(wǎng)站頁(yè)面文件進(jìn)行監(jiān)控并在網(wǎng)站遭到惡意篡改時(shí)能夠及時(shí)恢復(fù)，最大限度的保障網(wǎng)站頁(yè)面文件的完整性，確保網(wǎng)站的可靠性。

　　3.4 入侵防范

　　通過(guò)部署入侵防護(hù)系統(tǒng)(IPS)，對(duì)外部訪問(wèn)數(shù)據(jù)進(jìn)行防護(hù)審計(jì)和防護(hù)。對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議(

　　HTTP/FTP/TELNET/POP3/SMTP/SMB/即時(shí)通信協(xié)議)及數(shù)據(jù)庫(kù)網(wǎng)絡(luò)操作行為(登錄/注銷/插入/刪除/執(zhí)行存儲(chǔ)過(guò)程等操作)進(jìn)行審計(jì)，遇到符合規(guī)則庫(kù)的攻擊行為則將其屏蔽。

　　3.5 身份鑒別

　　建立服務(wù)器操作系統(tǒng)、網(wǎng)站系統(tǒng)平臺(tái)、網(wǎng)站管理平臺(tái)各個(gè)層面的身份鑒別機(jī)制;修改操作系統(tǒng)默認(rèn)管理員的賬戶名和口令，及時(shí)刪除多余和過(guò)期的賬戶;建立操作員、管理員、審計(jì)員三類網(wǎng)站管理角色。

　　3.6 安全審計(jì)

　　審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶。系統(tǒng)不支持該要求的，應(yīng)以系統(tǒng)運(yùn)行安全和效率為前提，采用第三方安全審計(jì)產(chǎn)品或人工方式實(shí)現(xiàn)審計(jì)要求[3]。

　　3.7 訪問(wèn)控制

　　門戶網(wǎng)站內(nèi)網(wǎng)與互聯(lián)網(wǎng)之間的邊界訪問(wèn)控制，主要通過(guò)防火墻設(shè)備、VPN設(shè)備以及堡壘主機(jī)來(lái)綜合實(shí)現(xiàn)高的可控制性。為了方便權(quán)限分離及管理，產(chǎn)品引入三個(gè)管理員角色，即：系統(tǒng)管理員、安全管理員和安全審計(jì)員。根據(jù)最小權(quán)限原則，系統(tǒng)只賦予每個(gè)管理員完成任務(wù)所需的最小權(quán)限。并根據(jù)每個(gè)管理員上線的工作時(shí)間進(jìn)行限制，避免非工作時(shí)間賬號(hào)誤用。通過(guò)“三權(quán)分立”的管理模式，使得服務(wù)器系統(tǒng)中的不同管理員之間相互制約，每個(gè)角色各司其職，共同保障服務(wù)器系統(tǒng)的安全。

　　4 運(yùn)維服務(wù)設(shè)計(jì)

　　運(yùn)維服務(wù)本著“頂層設(shè)計(jì)、統(tǒng)一規(guī)劃、分步實(shí)施”的設(shè)計(jì)思想，利用先進(jìn)的計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，為政府網(wǎng)站提供專業(yè)、安全、高效的網(wǎng)站安全保障服務(wù)。

　　4.1 設(shè)計(jì)原則

　　政府網(wǎng)站的運(yùn)行維護(hù)設(shè)計(jì)必須考慮成熟性原則、開(kāi)放性原則、安全性原則、可行性原則和可維護(hù)性原則。在不影響當(dāng)前系統(tǒng)業(yè)務(wù)和網(wǎng)絡(luò)系統(tǒng)架構(gòu)的前提下，將安全策略、硬件及軟件等方法結(jié)合起來(lái)，使系統(tǒng)對(duì)網(wǎng)絡(luò)事件具備快速響應(yīng)能力。

　　4.2 安全監(jiān)控目標(biāo)

　　為了確保網(wǎng)站在出現(xiàn)安全問(wèn)題時(shí)能及時(shí)發(fā)現(xiàn)并且確定問(wèn)題的嚴(yán)重程度，網(wǎng)站監(jiān)控應(yīng)有三方面目標(biāo)：一是完整性，針對(duì)當(dāng)前越來(lái)越多的網(wǎng)站攻擊、部分頁(yè)面篡改、發(fā)布負(fù)面新聞等事件，網(wǎng)站內(nèi)容的完整性是首要需要關(guān)注的內(nèi)容。二是可用性，網(wǎng)站訪問(wèn)時(shí)的速度及相應(yīng)性能狀況都屬于可用性監(jiān)控的內(nèi)容。三是保密性，網(wǎng)站的保密性主要體現(xiàn)在網(wǎng)站的安全性上，隨著網(wǎng)站攻擊事件數(shù)量急劇上升，網(wǎng)站頁(yè)面被完全篡改、植入病毒代碼的安全事件也逐漸增多，根據(jù)不同的安全事件所產(chǎn)生的影響范圍也不同，安全性是監(jiān)控工作中的主要工作[4]。

　　4.3 監(jiān)控方法與內(nèi)容

　　一是安全性監(jiān)控，主要針對(duì)首頁(yè)面下的文字、頁(yè)面框架、圖片、鏈接，不包括鏈接指向的內(nèi)容進(jìn)行實(shí)時(shí)監(jiān)控。網(wǎng)站DNS劫持、頁(yè)面關(guān)鍵內(nèi)容、頁(yè)面敏感字、疑似篡改、站點(diǎn)掛馬等安全方面進(jìn)行實(shí)時(shí)監(jiān)控，保證網(wǎng)站能夠安全運(yùn)行。二是性能監(jiān)控，主要針對(duì)網(wǎng)站訪問(wèn)時(shí)的響應(yīng)時(shí)間、頁(yè)面下載速度、加載時(shí)間進(jìn)行實(shí)時(shí)監(jiān)控。網(wǎng)站的連通性進(jìn)行實(shí)時(shí)監(jiān)控，監(jiān)控網(wǎng)站狀態(tài)和服務(wù)端口。三是預(yù)警機(jī)制，在監(jiān)測(cè)出安全問(wèn)題后使用多種報(bào)警類型相結(jié)合的方式給網(wǎng)站相關(guān)人員發(fā)送報(bào)警信息，主要報(bào)警類型有電話、E-MAIL、短信、傳真和微信等。

　　4.4 網(wǎng)站漏洞掃描

　　掃描服務(wù)主要針對(duì)目前常用的政府網(wǎng)站架構(gòu)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)站服務(wù)器、應(yīng)用軟件等。同時(shí)，可增加驗(yàn)證性掃描，即第三方定期掃描。

　　4.5 本地安全檢查

　　定期對(duì)網(wǎng)絡(luò)設(shè)備及安全設(shè)備本地實(shí)施安全性檢查，對(duì)冗余策略、ACL、異常管理賬戶、日常使用情況進(jìn)行檢查，主要采用人工結(jié)合輔助工具的檢查形式發(fā)現(xiàn)當(dāng)前業(yè)務(wù)環(huán)境中存在的漏洞及安全隱患，根據(jù)所發(fā)現(xiàn)的安全問(wèn)題提出對(duì)應(yīng)的解決方案[5]。

　　5 結(jié)束語(yǔ)

　　政府門戶網(wǎng)站是為各級(jí)政府機(jī)關(guān)和社會(huì)群眾提供服務(wù)的官方網(wǎng)站,是政府機(jī)關(guān)實(shí)現(xiàn)政務(wù)公開(kāi)、服務(wù)企業(yè)和社會(huì)公眾,互動(dòng)交流的重要渠道，它事關(guān)政府公共服務(wù)的形象。因此，網(wǎng)站安全保障建設(shè)必須堅(jiān)持頂層設(shè)計(jì)、管理先行、系統(tǒng)性開(kāi)發(fā)、常態(tài)性維護(hù)的理念，緊跟互聯(lián)網(wǎng)發(fā)展的新技術(shù)要求，不斷完善政府網(wǎng)站的安全保障體系，不斷提高應(yīng)用水平和服務(wù)效能。

途傲科技為中小企業(yè)提供網(wǎng)站制作、網(wǎng)站建設(shè)、微信H5、微信小程序，多商戶平臺(tái)，多級(jí)分銷系統(tǒng)，APP開(kāi)發(fā)，手機(jī)網(wǎng)站，HTML5多端自適應(yīng)網(wǎng)站，營(yíng)銷型企業(yè)站建設(shè)，及對(duì)技術(shù)人才的培養(yǎng)等都積累與沉淀了豐富的心得和實(shí)戰(zhàn)經(jīng)驗(yàn)。

如果您有想法，可以將需求提交給我們【免費(fèi)提交需求，獲取解決方案】

免責(zé)聲明：文章部分內(nèi)容收集于互聯(lián)網(wǎng)，不代表本站的觀點(diǎn)和立場(chǎng)，如有侵權(quán)請(qǐng)聯(lián)系刪除。