安恒信息电子政务网站安全防护解决实施计划方案

安恒信息电子政务网站安全防护解决实施计划方案

ID:28255119

大小:77.00 KB

页数:10页

时间:2018-12-08

安恒信息电子政务网站安全防护解决实施计划方案_第1页
安恒信息电子政务网站安全防护解决实施计划方案_第2页
安恒信息电子政务网站安全防护解决实施计划方案_第3页
安恒信息电子政务网站安全防护解决实施计划方案_第4页
安恒信息电子政务网站安全防护解决实施计划方案_第5页
资源描述:

《安恒信息电子政务网站安全防护解决实施计划方案》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、-电子政务网站安全防护解决方案1.门户网站安全综述随着信息技术的发展网上办公、网上办事已经进入我们的日常生活,政府门户网站职能也有了较大的改变,由原来的静态内容发布转变为全面而复杂的电子政务外网系统。然而随着信息技术进步的同时,我们要面对的信息安全问题也日益增多,我们面临的安全威胁正在不断增长,如何建设一套完整网站安全解决方案已经成为当前必须面对一个问题。政策性要求继等级保护对政府网站明确要求之后,政府网站绩效考核也明确了对网站的安全要求,2010年国务院下发了40号文件进一步提出了对政府门户网站应加强安全管理和部署防御措施。涉及防攻击、防篡改一是网站页面能否正常访问,各栏目及其子栏目

2、内容是否及时更新;二是信息发布审核和保密审查机制是否健全;三是网站提供的各项服务和互动功能是否正常;四是网站链接是否经过管理单位审核把关,是否存在错链和断链;五是网站安全防范工作是否到位,是否采取了防攻击、防篡改、防病毒等安全防护措施,并制订了应急处置预案;六是网站管理单位和运行维护单位职责是否明确。-页脚---对检查清理中发现的问题要及时整改,确保上网信息准确、真实,不发生失泄密问题,确保公众能够及时获取政府信息、获得便利的在线服务,确保链接正确有效、网站安全平稳运行。对确实无力管好的网站或栏目,要果断予以关闭。引自【国发函40号文】 面临的主要威胁政府门户网站的安全主要涉及两大应用

3、系统的安全,即门户网站和邮件系统安全,两个应用系统对外网完全开放。如果安全方面处理不得当将来导致较为严重的安全事件,可能面临的主要威胁如下:门户网站随着国家对信息安全的重视和对非法入侵打击力度的加大,传统的以入侵政府网站进行篡改页面的行为已经不再多见。为了降低入侵风险、提高入侵收益,入侵者大多采用更为隐蔽的手段从事入侵活动。·入侵管理后台发布恶意言论:网站管理后台被入侵,导致网站发布内容被入侵者控制,如地震期间某权威地震网被黑客控制,发布错误的地震预警信息制造社会恐慌;某政府网站被入侵,国家禁止发布影响社会稳定的事件被暴光等类似的网站后台入侵事件给网站和政府声誉带来极大的破坏。·入侵数

4、据库获取大量用户敏感信息:政府的一些门户网站可能涉及公众敏感的数据,如住房公积金、医保、社保等保障系统。如果这些网站存在安全隐患,可能导致大批量的公众敏感数据丢失。如某省公积金网站发现访问异常,经过多方面分析才发现网站所存贮的用户基础数据库被国外某情报机构入侵,窃取大量用户信息和账户信息。-页脚---邮件系统邮件系统由于对网外完全开放,处理不当也会导致较多的安全问题,如下是常见的问题,如果处理不当可能导致一些严重的后果。·跨站脚本导致密钥失窃:邮件系统一直是跨站脚本攻击的重灾区,处理不当会导致用户在查阅邮件时自动将当前的会话密钥发送给入侵者,从而入侵者获得当前账户的邮件读取权限。·入侵

5、用户邮箱读取涉密公务邮件:为了方便使用,政府的邮件系统大多提供了webmail的功能,通过浏览器就可以访问邮件内容。甚至部分账户同时由多个人员轮流使用,因此邮箱内的邮件长期存放在邮件服务器。当账户存在弱口令、webmail存在安全漏洞时大量的政府涉密邮件的内容将被入侵者轻易读取、传播。·入侵邮件系统伪造邮件制造社舆论:邮件服务器的安全配置不当也会导致较多的安全问题,最为严重的当属邮件伪造。邮件伪造技术可利用邮件系统的漏洞伪造任何人向目标用户发户邮件。如伪造上级领导给下辖用户群发错误的通知等信息将会影响政府的正常工作秩序。 2.网站安全方案整体安全框架-页脚---网站安全是一个动态平衡的

6、过程,目前尚没有一种技术或产品可以使网站安全一劳永逸。随着攻击者对安全技术的深入研究,可能会发现新的安全问题,与此同时由于网站在不断的更新和改版这个过程又会引入新的安全问题。因此要保障网站的安全只有通过不断的安全评估、安全防护、安全响应三个方面的措施才能确保网站始终保持在较高的防护水平。安恒信息为政府门户网站的安全提供整体安全方案,通过安全评估、安全防护、安全响应三个过程,涉及事前、事中、事后三个时间维度的安全过程来加强网站的安全保障能力,深入识别网站存在的问题、提升网站的防攻击能力、增强网站安全的响应能力和速度。图1门户网站整体安全框架 安全评估-页脚---网站安全保障是一项系统工程

7、,如同左边的水桶,水桶的容量取决于最短的那块木板。网站的安全保障当前最为薄弱的环节就在于缺少对WEB防护层面的整体考虑。而WEB安全层面的安全评估也是如此,通过安全扫描工具对网站扫描,可以检测出50%的已知通用的安全漏洞,但20%的针对网站独有的漏洞或设计缺陷则需要采用人工的安全测试才可以检测出来,而另外的30%则需要通过安全监测技术才能发现网站内容上的安全问题。这也是为什么很多网站扫描不到漏洞但仍然被黑客入侵的主要原因之一。安恒信息提供的安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。