网站安全及稳定性解决方案.docxVIP

we are what we think **股份 网站安全及稳定性解决方案 方案编码：PRO[2013-AUGUST-JDC] 方案类型：网站安全及稳定性解决方案 服务单位：西安网是科技发展有限公司 2013 年 8 月 28 日 we are what we think **股份网站安全及稳定性解决方案 近期，国内大型的集团企业政府等网站相继出现了多次被恶意攻击导致网站（前台、 后台）无法正常访问并且在页面内挂有非法文件及链接的情况。更为严重的有些企业集团 的网站被不法分子侵入并利用网站平台发布大量违法信息，给企业集团甚至国家造成了很 大的危害，所以国家安全局近期要求企业政府集团加强网站安全防范意识，采取措施，从 根本上解决网站安全问题，具体要求如下：  网站安全管理制度 1.建立网站安全管理制度，对网站安全防护、信息发布等方面进行相应的规定。 2.根据管理制度的要求，生成相应的制度执行记录，并保证记录的留存时限 防攻击 在网站系统网络边界及应用层部署安全防护设备，将内部的网站服务器与外部网络 进行安全隔离 对安全防护设备进行有效配置 防篡改 为网站系统部署网页防篡改系统，通过技术手段保障页面安全 防恶意代码 为网站服务器安装恶意代码防范软件 维护恶意代码防范软件版本和恶意代码库的更新 定期杀毒，发现恶意代码时详细记录结果 严格控制第三方软件和移动存储介质在网站系统服务器的安装和使用，必要时，在 运行前先对其进行病毒检查 防泄密 1.建立网站信息发布审核管理制度，对网站信息发布、防泄密等方面进行相应的规定 2.根据审核管理制度的要求，生成相应的信息发布审批单，并保证单据的留存时限 3.不在网站上发布涉密信息 六 防瘫痪 具备在网站系统发生故障时能够及时恢复对外服务的能力，保障网站系统的业务 连续性 七 网站数据备份情况 制定网站数据的备份策略和恢复策略，指明数据的备份方式、备份频度、备份数据 的放置场所、文件命名规则、存储介质和保存期 按照网站数据备份策略的要求对数据进行备份 八 网站专项应急预案 制订网站系统专项应急预案，应急预案包括启动应急预案的条件、应急处理流程、系 统恢复流程、事后教育和培训等内容 九 网站监控 采用人工或技术手段对网站系统的相关指标（页面响应时间、CPU 及内存占用率）进行 实时监控，在网站系统出现服务能力降低等异常情况时及时告警 we are what we think 十 网站部署 采用分级方式部署网站应用和数据库。 根据国安局的要求，为更好的服务广大客户，加强贵单位的网站安全管理，避免因网站 安全给贵单位带来不必要的麻烦，我单位特为贵单位提出以下加强网站安全管理方案，供 贵单位参考选择： 一：建议就目前服务进行调整更换。 因贵单位目前使用是网站服务器为 2008 年采购并开始使用，到目前已经使用有 5 年多 时间，原服务器的配置一般，硬件配置冗余空间有限，加上长时间运行和硬件老化，稳定 性和综合性能已经大幅下降，就目前通过我公司技术人员运维情况来看，未来发展已不能 满足网站等稳定运行需要，所以我公司建议贵单位更换网站服务器。以确保网站和邮件系 统的稳定、安全、高速运行。 建议新配置服务器由我公司推荐配置，并且硬盘建议采用目前市场成熟的 raid 技术 （1+0 最好），这样不但保证了 web 服务器快速数据读写，又保证了数据的安全性。另外在 有数据库的情况下，内存容量要足够大，频率要高，访问才能加快，这样能保证服务器的 访问速度。 在硬件方面，如果能在服务器前端增加一台防火墙设备，防护效果还是很明显（供借 鉴）。 二：建议贵单位安装使用门户网站安全管理及远程灾备系统。 该系统的主要作用就在于能有效的防止网站遭受非法攻击，防止网页非法篡改、恶意 代码和网页木马的入侵，同时该系统可实现无人值守的数据备份，实现数据定时备份，时 时备份和远程数据灾备，在应急状况下，配合应急预案做到快速数据恢复和数据的灾难恢 复。很好的预防了网站数据安全方面的隐患，为了贵单位网站安全，稳定，高效的运行并 保证最大限度的无故障运行，避免因网站安全隐患而给企业造成不必要的损失及麻烦，从 另外一个重要方面，避免了一些不必要的法律风险。应国家安全局的要求，行业标准，建 议贵单位安装上述安全软件。 网是科技网页防篡改系统 系统概述 考虑到攻防的动态变化，提供事后补偿机制是非常必要的补充，即 网页已经被篡改时，能及时、有效阻断非法页面发布，将风险降到 最低。 系统功能 提供“安全-成本”的最佳平衡点，沿用纵深安全设计思路，提供 事中防护及事后补偿的综合防护方案。事中：基于智能特征分析技 术，对网页采用的攻击手段（如 web shell、非法上传、SQL 注入 及 XSS 等）进行检测并做有效阻断。事后：采用先进的 web 服