再戰互聯網江湖 電子政府的安全“軟衛甲”
來源:江蘇省信息中心 更新時間:2012-04-14

 
 

    據統計,2007全年,政府網站累計被篡改數高達數千個,面對互聯網這一“險惡江湖”,政府采購中門戶網站的安全項目招標比例逐年增加,招標前還應從需求出發設計強有力的安全防護架構。

    在“5·12”汶川大地震期間,多個地方地震局網站遭受攻擊,有的甚至多次被黑,并發布虛假消息,給社會帶來了惡劣的影響。根據中國互聯網絡信息中心(CNNIC)2008年1月第21次《中國互聯網絡發展狀況統計報告》,我國網站的安全問題十分嚴峻,大量網站被黑客入侵和篡改,甚至被植入木馬攻擊程序,成為黑客的得力工具。在這些安全事件中,涉及國內政府機構和重要信息系統部門的網頁篡改類事件的數量最多。某些地方政府網站被篡改后長期無人過問,有些網站雖然在接到報告后能夠恢復,但并沒有根除安全隱患,從而遭到多次篡改。

    目前,政府網站系統在安全策略的配置、補丁的及時更新、網絡安全產品的部署、防病毒軟件的升級方面還存在一些問題,加上政府網站數據備份意識薄弱,必然給網站運行帶來很大的安全隱患。基于互聯網架構的政府網站,安全防護體系的建立引起國家安全部門和有關安全專家格外關注,解決政府網站的安全運營已經刻不容緩。但是,政府網站在紛紛尋找保護自己的“軟衛甲”時,容易操之過急,還沒有做系統的設計規劃就匆忙動手,結果必然達不到理想效果。政府采購中門戶網站的安全項目招標比例逐年增加,在招標前一定要從現狀出發,制定出一套好的策略規劃。
 
    政府網站  6大安全隱患

    目前我國政府網站的擁有率已經達到較高的水平,其中國家部委單位政府網站的擁有率為96.1%,省級、地市級、縣級三級政府網站擁有率分別為90.3%、94.9%和77.7%。由于某些部門對政府網站安全缺乏足夠認識,許多地方政府網站的安全防護體系建設都十分脆弱,其應急響應能力也很薄弱。面對漏洞信息的分析和處理缺乏必要的認識和判別,這無異于將重要信息暴露于外。正如很多業內專家所指出的那樣: 網頁頻遭篡改暴露出了政府網站重形式、輕安全的問題。

    我國90%以上的政府網站存在各種各樣的安全漏洞,很多網站都曾受到過黑客的攻擊和計算機病毒的侵害,給國家造成了較大的損失。政府網站安全主要存在以下幾方面問題:

    1. 政府網站的網絡與信息安全防護能力仍處于“初級階段”,尚未形成科學、完整、高效、統一的網站安全保障體系。目前,許多網站的政務信息應用系統處于“不設防”狀態。

    2. 目前政府網站的安全防護要么完全沒有部署安全產品,要么僅靠幾個安全設備來“維持”安全,沒有形成多個安全產品兼容、聯動、動態的防護體系。

    3. 目前政府網站的安全是只重視“局部”,輕視“全局”防護,沒有從網站的物理安全、網絡安全、系統安全、應用安全、病毒防治、冗余備份等安全防護體系來整體規劃部署。

    4. 大多數政府網站缺少安全管理體系,安全意識薄弱,職責不到位,沒有安全應急流程和預案,導致發現安全問題時不能及時、有效地解決。

    5. 大多數政府網站沒有通過實施“電子政務信息安全等級保護”來綜合考慮網站的安全防護體系,缺乏網站的安全風險與評估體系。

    6. 目前大多數政府網站缺乏自主創新的國產核心安全產品和安全防護體系解決方案。
    防止“病從口入”
    政務信息防護體系包含安全性防護、保密性防護、完整性防護、可信性防護和健康性防護等方面。

    政府網站是各級人民政府在國際互聯網上發布政府信息和提供在線服務的綜合平臺,不僅體現了各級人民政府為人民服務的宗旨,更代表著政府的形象。政府網站的安全防護體系與其他信息安全防護相比,有其自身的特點。

    1. 網站的信息加載和發布安全防護。

    網站信息需要不時更新,由于信息加載人員是基于互聯網上網,因此采用VPN接入、CA證書以及權限限制等安全技術,保證信息加載過程中信息的完整性。信息加載人員還應嚴格按照網站信息采集、編校、審核和報送工作流程,執行國家有關計算機網絡運行安全、保密規定,嚴禁涉密信息、有害信息上網,按照“先審查,后發布; 誰發布,誰負責”的原則,確保發布信息的真實性和合法性。

    2. 網站的Web服務器安全防護。

    網站的前臺發布服務器需要通過安全技術手段實現同后臺數據庫的邏輯隔離; 發布服務器可以采用多臺硬件服務器,實現負載均衡和相互備份的功能。發布服務器的操作系統安全等級高低依次為Unix、Linux和Windows,采用安全的Web服務器(Apache、Tomcat、IIS等)進行網站信息發布,還應在服務器上安裝網頁防篡改系統等安全產品,確保網站正常、安全、穩定地運行。

    3. 網站的應用系統安全防護。

    網站的應用包括郵件、視頻、信息報送、在線訪談、信息公開、網上申報審批等,應用系統的安全防護也是比較重要的。應用軟件的安全性要保證運行穩定可靠,有較好的容錯性,應用軟件應該經過充分測試,不會由于誤操作而出現系統崩潰的現象。還要注意加強應用系統產品化的采購和使用,這樣可以確保網站應用的安全可靠。

    4. 網站的運行維護管理安全防護。

    當網站的安全技術手段和措施到位后,網站的管理就顯得特別重要。要保障網站的日常運維,充分發揮安全技術人員的主觀能動性,定期檢查安全技術和措施有沒有發揮作用,存在哪些安全漏洞和隱患,以及如何解決等一系列問題。政府部門應定期進行網站安全的風險評估,加強應急預案的演練,防患于未然。
    P2DR     動態防護模型

政府網站系統應在最危險的地方設防,并時刻采取相應的檢測機制,及時修補和加固安全漏洞。這種安全防護思想就是“動態安全防護體系”,由此提出了P2DR模型: Policy(安全策略)、Protection(防護)、Detection(檢測)、Response(響應)。

    P2DR模型由防護、檢測和響應組成一個完整、動態的安全循環,在安全策略的指導下保證網站信息系統的安全,P2DR安全模型的特點就是動態性和基于時間的特性。

    Policy: “安全策略”是P2DR安全模型的核心,所有的防護、檢測、響應都是依據安全策略實施的,企業安全策略為安全管理提供管理方向和支持手段。策略體系的建立包括安全策略的制訂、評估、執行,制定可行的安全策略取決于對網絡信息系統的了解程度。

    Protection: 防護通常是通過采用一些傳統的靜態安全技術及方法來實現的,主要有防火墻、加密、認證等方法。

    Detection: 在P2DR模型中,“檢測”是非常重要的一個環節,“檢測”是動態響應和加強防護的依據,它也是強制落實安全策略的有力工具,通過不斷地檢測和監控網絡和網站系統,來發現新的威脅和弱點,并通過循環反饋來及時做出有效的響應。網站的安全風險是實時存在的,所以我們檢測的對象應該主要針對構成安全風險的兩個部分: 系統自身的脆弱性及外部威脅。

    Response: “緊急響應”在網站安全系統中占有最重要的地位,是解決潛在安全問題最有效的辦法。從某種意義上講,安全問題就是要解決緊急響應和異常處理問題。要解決好緊急響應問題,就要制定好緊急響應的方案,做好緊急響應方案中的一切準備工作。
    安全防護體系 策略規劃


    根據網站群系統安全防護需要,應從物理安全、系統平臺、系統安全、應用安全和內容安全等方面進行相關安全策略的規劃。

    ●  物理安全防護

    這里主要是指放置政府網站各種設備和線路的機房環境要求,它是建立網站安全防護體系的基礎。機房的空調、UPS、監控系統、通信線路、布線系統等基礎設施都必須符合國家有關標準和安全要求,政府網站的安全防護體系才會有很好的“安全根基”。選購網絡設備、安全設備以及服務器和各類終端時,建議要盡量選用國產化技術和國內公司的產品,特別是具有自主知識產權的安全產品。

    ●  系統平臺安全防護

     政府網站群平臺系統采用三層結構技術體系設計,三層結構技術將整體應用劃分成表現層、業務邏輯層、數據層。每一層相對獨立,能夠有效地實現安全性、可移植性、擴展性。通過采用三層結構有效地保證各個應用層面的可伸縮性。政府網站系統平臺要求較高的安全性設計,要從數據傳輸層安全、數據存儲安全、聯機事務處理安全、網絡結構安全等方面進行通盤考慮。使用傳輸層加密協議、CA認證管理、聯機事務處理布局、多層防火墻結構聯合部署的方式來最大程度地保證“政府網站群平臺系統”的安全性防護。

     ●  系統安全防護

    系統的安全性防護包括操作系統安全性、數據庫系統的安全性、服務器的安全性、應用軟件的安全性等,應采用主流、安全、標準、可靠的網絡操作系統,從而全面、穩妥管理和保護操作系統安全。充分利用大型數據庫的安全管理保護機制,實現數據庫系統安全; 還應定期升級操作系統和數據庫系統的安全補丁。

    ●  應用安全防護

    政府網站群是在統一的應用平臺進行信息發布,對于應用服務器,應采用集群(Cluster)、高可用(HA)系統和負載均衡等措施,提高整體性能和可靠性,在Web層、應用層、數據層消除單點故障。可通過應用層系統管理員的用戶管理、權限分配、口令管理、臨時賦權實現各類各級用戶安全訪問體系。管理員通過應用系統日志管理實現安全調查、追蹤和安全評估,以此增強網站應用安全性,確保安全的信息訪問和提升網站效率,保障Web服務應用、郵件、視頻、信息報送、在線訪談等政府網站應用系統的安全運行。

    ●  內容安全防護

    信息內容安全性防護通常包括訪問控制、身份認證系統、數據備份、網頁防篡改等。合理授權是政府網站群管理的核心,政府機關需要對不同的權屬人員采取不同的授權。 政府網站需建立統一規范的信息采集、審核和發布程序,未經審核的信息不得上網發布,加強對網上互動欄目的安全監管和維護,確保政府網站安全穩定地運行

常用技術選擇

    在政府網站的安全防護技術手段中,通常會采用網絡防火墻、入侵檢測(IDS)、防病毒系統和殺毒網關、漏洞掃描、防垃圾郵件、網頁防篡改系統、CA認證等系統。

    雙機熱備的防火墻系統  采用IP包過濾、應用代理、地址轉換、訪問控制等手段提高防御網絡黑客攻擊的能力,防火墻系統應當具備完善的日志記錄和分析功能。

    網絡入侵檢測系統  主動監視和審計網絡異常情況,并對網絡入侵檢測系統的入侵模式規則庫進行及時更新或者升級,網絡入侵檢測系統和防火墻系統要能產生聯動效應。

    計算機病毒防治系統和殺毒網關 通過控制信息的出入口,防止病毒入侵并對已經入侵的病毒及時進行檢測和清除,病毒防治系統應當具備定期掃描功能和實時檢測功能。

    網絡設備及主機漏洞掃描系統  通過定期掃描主要網絡設備和主機增強安全管理能力,并對掃描系統的漏洞及弱點規則庫進行及時更新或者升級。

    郵件過濾系統 對不同性質的非法郵件和可疑郵件做相應的處理,封堵垃圾郵件和郵件炸彈,防止惡意使用者利用服務器大量轉發不良郵件。

    網站安全發布系統  防止網絡黑客對頁面的非法篡改,并使網站具備應急恢復的能力。

     CA數字認證系統 加強發布信息的安全治理,分層規定網站工作人員的信息維護權限等。
     鏈接一  多層面的政府網站安全防護體系

     政府網站應當從管理、制度、技術等多層面建立嚴密可靠的網站安全防護體系。

    (1) 建立信息發布安全管理責任制,即上網信息的采集、發布和更新,嚴格執行保密規定,妥善處理公開與保密的關系,做到“上網不涉密,涉密不上網”。

    (2) 完善各種規章制度,制定病毒檢查網絡、安全漏洞監測制度、信息發布審核登記制度、信息監視、賬號使用登記和操作權限管理制度等各項制度,達到消除安全隱患的目的。

    (3)定期對網站進行風險評估,制定科學的事故應急預案、從而盡可能地縮短緊急事故的恢復時間,減少損失和影響; 同時需建立和完善網站安全運維的應急響應機制。

    (4)在政府網站安全建設資金有保障的情況下,要盡可能采用先進的技術、產品和安全策略以及“立體”的網站安全解決方案。

    (5)從技術層面防范病毒侵擾和黑客攻擊,增強服務器安全管理員和網站安全員的責任意識和技術能力,堅持7 (天)×24(小時)專職值班,對網站定期檢查,及時發現安全隱患、及時上報和處理,保證網站的安全運行。建立網站數據備份系統,定期備份網站重要數據,從而進一步保障政府網站的信息安全。
     鏈接二  政府網站安全防護體系建設原則


    ● 連續性防護原則

     安全防護應考慮安全的動態特性,應提供定期的連續性安全服務,以保障網站應用系統的長期安全。
 
    ● 規范性防護原則

    安全防護的實施必須由專業的安全服務人員依照規范的操作流程進行,對操作過程和結果要有相應的記錄,提供完整的服務報告,提供安全應急預案。

    ● 保密性防護原則

    對安全防護過程中獲知的網站政務系統信息均屬秘密信息,不得泄露給第三方單位或個人,不得利用這些信息進行任何侵害政府網站的行為。

    ● 完整性防護原則

    完整性防護主要是政府網站信息被篡改、丟失等風險,要保證網站重要數據庫系統的安全,實現數據的保密性、完整性和有效性; 確保政府網站數據安全的完整性備份。

    ● 可信性防護原則

    可信性防護是針對政府網站使用不同的終端類型和平臺形式制定出一系列完整規范,例如個人電腦(包括臺式和移動)、服務器、網站的網絡與應用軟件等,使政府網站運行在“可信網絡架構”中。

    ● 最小影響原則

    網站安全防護應盡可能小地影響系統和網絡的正常運行,不能對現有網站的運行和業務系統產生顯著影響(包括系統性能明顯下降、網絡阻塞、服務中斷等)。



铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios