基于政府网站安全建设的分析和思考.docVIP

基于政府网站安全建设的分析和思考 　　摘要：分析和阐述了在政府网站安全建设的重要意思，使用了网页防篡改系统，双机热备技术，数据备份策略和网站监控分析方案保障政府网站安全，并对网站安全管理做了一些探索和思考。强调通过合理配置资源，整合技术手段，加强安全管理，多措并举有效保障政府网站安全。 　　关键词：网站安全；网页防篡改；双机热备；数据备份；网站监控；日志分析 　　中图分类号：TP309文献标识码：A文章编号：1009-3044(2011)18-4316-03 　　Analysis and Thoughts about the Safety of Government Site Construction 　　LIU Bing 　　(Anhui Economic Information Center, Hefei 230001, China) 　　Abstract: The paper analyzed and explained the important of security of government portal website. Web page tamper-resistant system, hot standby technology, data backup strategy and site monitoring analysis program are used to protect the government site from being attacked. The paper also probed into website security management. Stressing the importance of rational allocation of resources, integration of technical means and strengthening security management, the paper demonstrated that various measures should be taken to protect the government website. 　　Key words: site security; web page integrity assurance; servers hot standby; data backup; site monitoring and control; log analysis 　　随着网络技术的高速发展，政府网站建设也一直走在网络发展的前端，同时，网站的安全问题也日益突出。近两年来，黑客攻击、网络病毒等等层出不穷，而且一次比一次破坏力大，对网站安全造成的威胁也越来越大，一旦入侵，遭受重大损失在所难免。 　　政府网站是政府部门向社会发布信息，宣传政策法规，展示政府良好形象的窗口，也是增进政府与公众交流的桥梁，同时又是电子政务建设的风向标与晴雨表，是集中体现党和政府“立党为公，执政为民”的服务宗旨的重要方式，解决好政府网站的安全防范是切实保证这个窗口正常运作的根本依据。 　　在过去的一年，政府网站安全建设一直受到各级政府的高度重视，政府部门或从技术手段出发，采用各类信息安全技术来保障电子政务安全，或是辅之以信息安全的制度保障，从技术加管理的角度来落实安全措施。新的时期，我们面临新的安全挑战。目前，我们的安全技术人员从网络层面、操作系统层面和网站代码层面做了全面的排查，基本排除了重大安全隐患，所以，笔者将根据多年来的工作经验，从网站管理技术人员的角度来做一些简单的分析和总结。近期，我们结合网站安全建设发展现状和工作实际，做了最新的评估和检测，认为在未来一段时期，做好以下四个安全模块的建设，可以有效保障政府网站的安全。 　　1 网页防篡改 　　网页防篡改系统采用先进的Web服务器核心内嵌技术，将篡改检测模块（数字水印技术）和应用防护模块（防注入攻击）内嵌于Web服务器内部，并辅助以增强型事件触发检测技术，不仅实现了对静态网页和脚本的实时检测和恢复，更可以保护数据库中的动态内容免受来自于Web的攻击和篡改，彻底解决网页防篡改问题。篡改检测模块使用密码技术，为网页对象计算出唯一性的数字水印。公众每次访问网页时，都将网页内容与数字水印进行对比；一旦发现网页被非法修改，即进行自动恢复，保证非法网页内容不被公众浏览，完全实时地杜绝篡改后的网页被访问的可能性；同时，应用防护模块对用户输入的URL地址和提交的表单内容进行检查，任何对数据库的注入式攻击都能够被实时阻断，从而杜绝任何使用Web方式对后台数据库的篡改。 　　网络结构拓扑图设计如图1。 　　该网页防篡改系统为C/S结构，分为监控代理