安恒信息电子政务网站安全防护解决方案..doc

电子政务网站安全防护解决方案1. 门户网站安全综述 随着信息技术的发展网上办公、网上办事已经进入我们的日常生活，政府门户网站职能也有了较大的改变，由原来的静态内容发布 转变为全面而复杂的电子政务外网系统。然而随着信息技术进步的同时，我们要面对的信息安全问题也日益增多，我们面临的安全威胁正在不断增长，如何建设一套 完整网站安全解决方案已经成为当前必须面对一个问题。 政策性要求 继等级保护对政府网站明确要求之后，政府网站绩效考核也明确了对网站的安全要求，2010年国务院下发了40号文件进一步提出了对政府门户网站应加强安全管理和部署防御措施。 涉及防攻击、防篡改一是网站页面能否正常访问，各栏目及其子栏目内容是否及时更 新；二是信息发布审核和保密审查机制是否健全；三是网站提供的各项服务和互动功能是否正常；四是网站链接是否经过管理单位审核把关，是否存在错链和断链； 五是网站安全防范工作是否到位，是否采取了防攻击、防篡改、防病毒等安全防护措施，并制订了应急处置预案；六是网站管理单位和运行维护单位职责是否明确。 对检查清理中发现的问题要及时整改，确保上网信息准确、真实，不发生失泄密问题，确保公众能够及时获取政府信息、获得便利的在线服务，确保链接正确有效、 网站安全平稳运行。对确实无力管好的网站或栏目，要果断予以关闭。 引自【国发函40号文】 ? 要威胁 政府门户网站的安全主要涉及两大应用系统的安全，即门户网站和邮件系统安全，两个应用系统对外网完全开放。如果安全方面处理不得当将来导致较为严重的安全事件，可能面临的主要威胁如下： 门户网站 随着国家对信息安全的重视和对非法入侵打击力度的加大，传统的以入侵政府网站进行篡改页面的行为已经不再多见。为了降低入侵风险、提高入侵收益，入侵者大多采用更为隐蔽的手段从事入侵活动。 台发布恶意言论：网站管理后台被入侵，导致网站发布内容被入侵者控制，如地震期间某权威地震网被黑客控制，发布错误的地震预警信息制造社会恐慌；某政府网站被入侵，国家禁止发布影响社会稳定的事件被暴光等类似的网站后台入侵事件给网站和政府声誉带来极大的破坏。 入侵数据库获取大量用户敏感信息：政府的一些门户网站可能涉及公众敏感的数据， 如住房公积金、医保、社保等保障系统。如果这些网站存在安全隐患，可能导致大批量的公众敏感数据丢失。如某省公积金网站发现访问异常，经过多方面分析才发 现网站所存贮的用户基础数据库被国外某情报机构入侵，窃取大量用户信息和账户信息。 件系统 邮件系统由于对网外完全开放，处理不当也会导致较多的安全问题，如下是常见的问题，如果处理不当可能导致一些严重的后果。 站脚本导致密钥失窃：邮件系统一直是跨站脚本攻击的重灾区，处理不当会导致用户在查阅邮件时自动将当前的会话密钥发送给入侵者，从而入侵者获得当前账户的邮件取权限。 入侵用户邮箱读取涉密公务邮件：为了方便使用，政府的邮件系统大多提供了 webmail的功能，通过浏览器就可以访问邮件内容。甚至部分账户同时由多个人员轮流使用，因此邮箱内的邮件长期存放在邮件服务器。当账户存在弱口令、 webmail存在安全漏洞时大量的政府涉密邮件的内容将被入侵者轻易读取、传播。 入侵邮件系统伪造邮件制造社舆论：邮件服务器的安全配置不当也会导致较多的安全问题，最为严重的当属邮件伪造。邮件伪造技术可利用邮件系统的漏洞伪造任何人向目标用户发户邮件。如伪造上级领导给下辖用户群发错误的通知等信息将会影响政府的正常工作秩序。 ? 2. 网站安全方案 安全框架 网站安全是一个动态平衡的过程，目前尚没有一种技术或产品可以使网站安全一劳永逸。随着攻击者对安全技术的深入研究，可能 会发现新的安全问题，与此同时由于网站在不断的更新和改版这个过程又会引入新的安全问题。因此要保障网站的安全只有通过不断的安全评估、安全防护、安全响 应三个方面的措施才能确保网站始终保持在较高的防护水平。 安恒信息为政府门户网站的安全提供整体安全方案，通过安全评估、安全防护、安全响应三个过程，涉及事前、事中、事后三个时间维度的安全过程来加强网站的安 全保障能力，深入识别网站存在的问题、提升网站的防攻击能力、增强网站安全的响应能力和速度。 图1 门户网站整体安全框架 ? 安全评估 网站安全保障是一项系统工程，如同左边的水桶，水桶的容量取决于最短的那块木板。网站的安全保障当前最为薄弱的环节就在于 缺少对WEB防护层面的整体考虑。而WEB安全层面的安全评估也是如此，通过安全扫描工具对网站扫描，可以检测出50%的已知通用的安全漏洞，但20%的 针对网站独有的漏洞或设计缺陷则需要采用人工的安全测试才可以检测出来，而另外的30%则需要通过安全监测技术才能发现网站内容上的安全问题。这也是为什 么很多网站扫描不到漏洞但仍然被黑客