安恒信息电子政务网站安全防护解决方案_第1页
安恒信息电子政务网站安全防护解决方案_第2页
安恒信息电子政务网站安全防护解决方案_第3页
安恒信息电子政务网站安全防护解决方案_第4页
安恒信息电子政务网站安全防护解决方案_第5页
已阅读5页,还剩5页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、promote the extension of strictly administering the party grass-roots, but also the educational practice of the mass line of the party and "three-three" special education results achieved further inherited and expanded. To realize "two a" learning education is a necessary solutio

2、n to the present problems of party construction. Strengthen problem consciousness and insisted on problem-oriented, is full of strictly administering the party since the party's 18 a distinctive feature, a successful experience. Secretary Wang noted that some party members still have political a

3、wareness, lack of political responsibility issues, party awareness and consciousness of the problem belief does not really believe, slim does not actually fix problems, outspoken, and jump on the assessment of the party's policies, and so on. Bi Lifu Secretary pointed out that a quarter of the e

4、conomic situation is very serious, there is pressure on environment, seasonal factors and other objective reasons, but mainly subjective problem, is the problem of party members and cadres. Some depressed, negative slack, not responsible, . Double six, one, and two took the lead, build energy burst,

5、 Hongshan district, economic prosperity, eco-livable, civilized and harmonious island. It certainly can not be separated from the whole area 646 grass-roots party organizations and 14,146 members of broad participation and support. Through the "two" study and education, so that every cell

6、of the party health, every organization is strong, so that all members of the vanguard and exemplary role, all the fighting bastion role of grass-roots party organizations into full play so that we can cross the Rapids, overcome all difficulties and the smooth realization of the "Thirteen-Five&

7、quot; goal. Second, basic learning, focus on learning education must understand the learning content and learning styles "Foundation learning" these four words are important information inside is very large, capture profound work truth in life. For example, I often say that the good Carpen

8、ter NAO Carpenter, why do some carpenters made furniture to have everybody likes it, Carpenter we are not willing to look for him? are apparently two people high and low technology, dig into the deep is firmer when both of his apprentices are not solid, there is no good that way. Luban art of story

9、primary school are learn had, first after six mark test practice conduct, and practice cultivation, and practice perseverance, and practice patience, then with seven days seven night mill axe theory armed, and unity action, seriously learning XI General Secretary on reform development stable, and In

10、terior diplomatic defense, and rule party ruling army of important thought, seriously learning to XI comrade for General Secretary of Central ruling acting political new concept new thought new strategy, seriously learning XI General Secretary study in Inner Mongolia important speech spirit, Guide p

11、arty members and a deep understanding of a series of important speeches rich connotation and core ideas, which began so thoroughly Marxist positions电子政务网站安全防护解决方案1. 门户网站安全综述随着信息技术的发展网上办公、网上办事已经进入我们的日常生活,政府门户网站职能也有了较大的改变,由原来的静态内容发布 转变为全面而复杂的电子政务外网系统。然而随着信息技术进步的同时,我们要面对的信息安全问题也日益增多,我们面临的安全威胁正在不断增长,如何建

12、设一套 完整网站安全解决方案已经成为当前必须面对一个问题。 政策性要求继等级保护对政府网站明确要求之后,政府网站绩效考核也明确了对网站的安全要求,2010年国务院下发了40号文件进一步提出了对政府门户网站应加强安全管理和部署防御措施。 涉及防攻击、防篡改一是网站页面能否正常访问,各栏目及其子栏目内容是否及时更 新;二是信息发布审核和保密审查机制是否健全;三是网站提供的各项服务和互动功能是否正常;四是网站链接是否经过管理单位审核把关,是否存在错链和断链; 五是网站安全防范工作是否到位,是否采取了防攻击、防篡改、防病毒等安全防护措施,并制订了应急处置预案;六是网站管理单位和运行维护单位职责是否明确

13、。 对检查清理中发现的问题要及时整改,确保上网信息准确、真实,不发生失泄密问题,确保公众能够及时获取政府信息、获得便利的在线服务,确保链接正确有效、 网站安全平稳运行。对确实无力管好的网站或栏目,要果断予以关闭。 引自【国发函40号文】  面临的主要威胁政府门户网站的安全主要涉及两大应用系统的安全,即门户网站和邮件系统安全,两个应用系统对外网完全开放。如果安全方面处理不得当将来导致较为严重的安全事件,可能面临的主要威胁如下: 门户网站随着国家对信息安全的重视和对非法入侵打击力度的加大,传统的以入侵政府网站进行篡改页面的行为已经不再多见。为了降低入侵风险、提高入侵收益,入侵者大多采用更

14、为隐蔽的手段从事入侵活动。 · 入侵管理后台发布恶意言论:网站管理后台被入侵,导致网站发布内容被入侵者控制,如地震期间某权威地震网被黑客控制,发布错误的地震预警信息制造社会恐慌;某政府网站被入侵,国家禁止发布影响社会稳定的事件被暴光等类似的网站后台入侵事件给网站和政府声誉带来极大的破坏。 · 入侵数据库获取大量用户敏感信息:政府的一些门户网站可能涉及公众敏感的数据, 如住房公积金、医保、社保等保障系统。如果这些网站存在安全隐患,可能导致大批量的公众敏感数据丢失。如某省公积金网站发现访问异常,经过多方面分析才发 现网站所存贮的用户基础数据库被国外某情报机构入侵,窃取大量用户信

15、息和账户信息。 邮件系统邮件系统由于对网外完全开放,处理不当也会导致较多的安全问题,如下是常见的问题,如果处理不当可能导致一些严重的后果。 · 跨站脚本导致密钥失窃:邮件系统一直是跨站脚本攻击的重灾区,处理不当会导致用户在查阅邮件时自动将当前的会话密钥发送给入侵者,从而入侵者获得当前账户的邮件读取权限。 · 入侵用户邮箱读取涉密公务邮件:为了方便使用,政府的邮件系统大多提供了 webmail的功能,通过浏览器就可以访问邮件内容。甚至部分账户同时由多个人员轮流使用,因此邮箱内的邮件长期存放在邮件服务器。当账户存在弱口令、 webmail存在安全漏洞时大量的政府涉密邮件的内容将

16、被入侵者轻易读取、传播。 · 入侵邮件系统伪造邮件制造社舆论:邮件服务器的安全配置不当也会导致较多的安全问题,最为严重的当属邮件伪造。邮件伪造技术可利用邮件系统的漏洞伪造任何人向目标用户发户邮件。如伪造上级领导给下辖用户群发错误的通知等信息将会影响政府的正常工作秩序。 2. 网站安全方案整体安全框架网站安全是一个动态平衡的过程,目前尚没有一种技术或产品可以使网站安全一劳永逸。随着攻击者对安全技术的深入研究,可能 会发现新的安全问题,与此同时由于网站在不断的更新和改版这个过程又会引入新的安全问题。因此要保障网站的安全只有通过不断的安全评估、安全防护、安全响 应三个方面的措施才

17、能确保网站始终保持在较高的防护水平。 安恒信息为政府门户网站的安全提供整体安全方案,通过安全评估、安全防护、安全响应三个过程,涉及事前、事中、事后三个时间维度的安全过程来加强网站的安 全保障能力,深入识别网站存在的问题、提升网站的防攻击能力、增强网站安全的响应能力和速度。 图1 门户网站整体安全框架 安全评估网站安全保障是一项系统工程,如同左边的水桶,水桶的容量取决于最短的那块木板。网站的安全保障当前最为薄弱的环节就在于 缺少对WEB防护层面的整体考虑。而WEB安全层面的安全评估也是如此,通过安全扫描工具对网站扫描,可以检测出50%的已知通用的安全漏洞,但20%的 针对网站独有的漏洞

18、或设计缺陷则需要采用人工的安全测试才可以检测出来,而另外的30%则需要通过安全监测技术才能发现网站内容上的安全问题。这也是为什 么很多网站扫描不到漏洞但仍然被黑客入侵的主要原因之一。 安恒信息提供的安全评估有别于常规安全服务公司提供的简单安全扫描服务,而是结合多年的安全服务经验如北京奥运会、广州亚运会、上海世博会、深圳大运会等网站安全服务的标准对政府网站提供深入的安全服务。 针对政府网站的安全评估,安恒信息使用安全扫描、渗透测试、安全监测三个方面的技术手段进行实施评估工作。 图2 安全评估手段 安全扫描安全扫描使用安恒自主知识产权的明鉴网站弱点扫描器进行扫描,该扫描器也是国家信息安全

19、权威机构进行网站安全检查时所使用的工具。 安全扫描采用模拟入侵者的手法,对网站进行模拟攻击。可迅速发现大多数常见的网站安全漏洞,如常见的SQL注 入、跨站脚本、目录浏览、应用错误等漏洞。安全扫描对安全技术人员的要求相对较低。启动扫描器添加任务即可进行扫描,而且明鉴弱点扫描器采用取证式扫描误 判率极低便于指导后期的安全分析和加固工作。 安全扫描器技术先进的同时也存在一些无法解决的问题,如网页内容中的恶意代码难识别、程序中的逻辑漏洞等需要人工判断的内容无法实现自动化。针对这两类问题我们建议使用安恒信息提供的安全监测平台和渗透测试服务,可以很好的补充单独使用扫描器存在的水足。 安全监测明鉴网站安全监

20、测平台是自主知识产权监测平台,可实现对网站内容的安全监测,主要用于对网页木马监测、网站可用性、关键字监测。 通过该平台,可以实现网页木马监测,因为网页木马不同于常规的网站漏洞,具有一定的潜伏性和隐蔽性,常规模拟入侵者的攻击无法发现木马,而需要模拟成一个有漏洞的操作系统去访问这些网页,监测有漏洞的操作系统是否会被网站植入木马。 明鉴网站安全监测平台可以实现7*24小时不间断网站安全监测服务,并且可以很好地兼容当前的云计算网络,将监测平台部署在台平台中。监测到安全问题可在第一时间通过邮件、短信通知到管理员。 渗透测试渗透测试借助安全专家多年安全测试的经验,使用大量安全工具、安全方法和安全理论相结合

21、,从攻击、防御多个角度出发去识别 网站存在的安全风险。相比于工具型扫描渗透测试更多侧重于逻辑类型的安全问题识别、需要人工辅助类型的安全问题检测,从而可以将网站的安全水平提升到一个 新的高度。 例如扫描器检测出网站存某处敏感信息泄露,可能报告的是低危险级别的安全事件。然后辅助人工则可利用这个敏感信息可能进一步获取网站的管理员账户和密码信息,最终实现完全控制网站的目的。 安全防御安全防御是实践安全预警、分析、防御、加固的系统措施的过程,而非部署某一款安全产品这样简单。安恒信息建议政府网站安全的防御应至少做到如下三个方面。 安全分析安全分析是安全防御的基础,安全分析的重心是安全评估的报告和安全设备的

22、日志汇总信息。通过安全分析可以清晰的认识到当前存在的主要问题以及所面临的安全威胁。 安全分析是一个跨部门协调的工作,通常安恒信息建议由用户职能部门牵头安全服务商负责整体安全分析的内容纲要,由安全服务商、软件开发商、系统运维人员、业务使用代表等共同参与以最终确定安全防御的目标。 安全防护安全防护目前采用主流的WEB应用防火墙技术进行防护。推荐使用安恒自主研发的国内首创全透明WEB应用防火墙,该产品比国内同类其它产品早了两年多发布。 明御WEB应用防火墙与其他厂商的WEB防火墙有着明显的差异。该产品实现了安全告警、安全分析、安全防御、 安全加固的四大主要功能,而其他厂商的产品仅在安全防御这一环节具

23、备能用的防御功能,无法实现安全加固功能。当网站检测出有特定安全问题时将无相应的安全 应对措施。 明御WEB应用防火墙具备良好的安全加固功能,除通用的防护策略之外还提供20余类的安全加固对象,可以完全满足安全加固策略的实施。 安全加固网站安全加固是一个不断改进的过程,随着业务的变更、安全研究的深入等均会促进安全加固工作的展开。安全加固分为两个方面来实现。 · WEB应用防火墙虚拟补丁技术:明御WEB应用防火墙实现了虚拟补丁技术,当发现网站程序问题而存在漏洞时虚拟补丁技术是最为有效的方法,不需要中断业务可以迅速的通过WEB应用防火墙进行加固。 · 安全加固建议:采用WEB应用防

24、火墙加固的同时安恒信息会为用户方提供详细的安全加固建议,便于程序开发商修复存在的安全缺陷。 应急响应紧急事件响应,是当安全威胁事件发生后迅速采取的措施和行动,其目的是最快速恢复系统的保密性、完整性和可用性,阻止和降低安全威胁事件带来的严重性影响。 紧急事件主要包括: · 病毒和蠕虫事件;· 黑客入侵事件;· 误操作或设备故障事件。当入侵或者破坏发生时,对应的处理方法主要的原则是首先保护或恢复计算机、网络服务的正常工作;然后再对入侵者进行追查。因此对于客户紧急事件响应服务主要包括准备、识别事件(判定安全事件类型)、抑制(缩小事件的影响范围)、解决问题、恢复以及后续跟

25、踪。 安恒信息安全应急响应服务方式分为远程支持或现场支持。 远程支持安全服务方式可以分为以下几种: · 电话在线支持服务; · 7*24小时电话支持服务; · 传真支持服务; · EMAIL支持服务。 当远程支持无法解决问题时,将派遣专业的应急响应服务人员在第一时间到达客户所在地提供现场支持服务。  3. 产品及服务清单序号 设备/服务 描述 数量 1WEB弱点扫描器 明鉴WEB应用弱点扫描器 1台 2网页木马监测工具 明鉴网站安全监测平台 1台 3网站渗透测试 专业渗透测试服务 1套 4WEB应用防火墙 明御WEB应用防火墙 1台 5安全服务

26、 风险评估 1套 安全加固 1套 应急响应 1套 安全培训 1套 涉及重大决策事项、重要人事任免、重大项目安排和大额度资金使用等,具有决策、行政执法、行政许可、部门管理等决策、审批、自由裁量、事务管理决定权的领导岗位。To sum up, is divided into 9 main parts: 1. with regard to persisting and developing socialism with Chinese characteristics. 18 since the XIOn more than one occasion, General Secretary of the

27、 historical origin and development process of socialism with Chinese characteristics, the road of socialism with Chinese characteristics, System Info, system, uphold and develop the understanding of socialism with Chinese characteristics is determined to have been profoundly expounded, further stren

28、gthened the party and the people adhere to and develop the confidence and determination of the socialism with Chinese characteristics. XI General Secretary's speech in this regard include the people's yearning for a better life, that is our goal, closely focus on the development of socialism

29、 with Chinese characteristics study and publicize the spirit of party 18, the unwaveringly adhere to the development of socialism with Chinese characteristics, the persistence and good use of Mao Ze-Dong's thought of soul. 2. with regard to the Chinese dream of realizing the great rejuvenation o

30、f the Chinese nation. 18 closing soon, the new Central collective leadership when they visited the exhibition of the road to recovery, XI, General Secretary of the solemn declaration "the great rejuvenation of the Chinese nation, the greatest dream of the Chinese nation in modern times." Z

31、hihou, on more than one occasion, General Secretary expounded the scientific connotation of Chinese dream, realize the Chinese dream must take the road, carry forward the spirit and cohesion of Chinese forces, gradually formed the China dream, a strategic thought. And practice with the Chinese dream

32、, reflects the history of the new session of the CPC Central Committee, and conforms to the development trend and the people hope, embodies the greatest common divisor and the consensus of Chinese people at home and abroad, inspiring all peoples forging ahead in unity, the spirit of unswervingly follow the road of socialism with Chinese characteristics flags and high melo

人人文库> 全部分类> 生活休闲 > 科普知识

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论