政府门户网站安全防护方案

■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XX科技所有，受到有关产权及版权法保护。任何个人、机构未经XX科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。政府门户网站安全防护方案■文档编号■密级内部使用■版本编号V1.0■日期2015-05-25目录一.概述......................................................................................................................................................1二.政府门户网站安全建设必要性...........................................................................................................22.1合规性要求.......................................................................................................................................22.2面临的安全威胁...............................................................................................................................32.3政府网站安全管理现状...................................................................................................................4三.政府门户网站安全防护方案...............................................................................................................53.1安全防护方案示意图.......................................................................................................................53.2网络层安全防护...............................................................................................................................63.2.1安全域访问控制........................................................................................................................63.2.2拒绝服务攻击防护....................................................................................................................63.3系统层安全防护...............................................................................................................................73.3.1Web系统漏洞发现与管理........................................................................................................73.3.2Web系统安全加固....................................................................................................................73.4应用层安全防护...............................................................................................................................83.4.1Web应用防护............................................................................................................................83.4.2网页防篡改................................................................................................................................93.5网站安全云监护...............................................................................................................................93.5.1网站安全监测服务..................................................................................................................103.5.2WEB应用防护系统及可管理安全服务..................................................................................123.5.3抗拒绝服务系统及可管理安全服务......................................................................................13注：可支持接入XX安全云的设备型号及版本清单......................................................................14四.安全设备及服务主要适用场景.........................................................................................................14一.概述政府网站是政府职能部门信息化建设的重要内容，主要实现国家对政府网站的三大功能定位：信息公开、在线办事、公众参与。政府网站是政府部门履行职能、面向社会提供服务的窗口，是实现政务信息公开、服务企业和社会公众、方便公众参与的重要渠道，同时也是对外宣传政府形象、发布行业信息、开展电子政务的主要平台，是国家重要信息系统。而近年来，随着政府网站所承载业务的数量和重要性逐渐增加以及其面相公众的性质，使其越来越成为攻击和威胁的主要目标。据CNCERT/CC的统计数据，2012年全年，中国大陆有16388万个网站被黑客篡改，数量较2011年增加6.1%，但其中被篡改的政府网站高达1802个，与2011年相比大幅增长21.4%。被暗中植入后门的政府网站3016个，较去年大幅增长93.1%。其中除包括地市级政府网站外还包括省部级网站。对2012年07月至2013年06月一年内境内政府网站被篡改数量月度情况进行统计（如下图所示），不难看出，近期政府网站被篡改攻击的趋势已经愈发明显。二.政府门户网站安全建设必要性政府部门的网站普遍存在业务数据机密性要求高、业务连续性要求强、网络结构相对封闭、信息系统架构形式多样等特点。而网站中不同业务功能模块的信息安全需求又各不相同。如对外便民服务信息系统具有相对开放的结构特点，用户一般为普通民众，便民服务业务对数据的可用性和完整性要求往往大于其对机密性要求，而在网站上独立运行的业务信息系统具有相对封闭的结构特点，用户一般为内部用户，用户对数据的完整性和保密性要求往往大于可用性要求。因此政府网站安全风险贯穿前端Web访问到后端数据处理和反馈整个过程。因此可以定性的认为：前一类信息系统面临的服务中断、外部黑客攻击、非法入侵、安全漏洞等威胁的概率比较大，而后一类内网泄密、监管审计不到位等威胁的概率比较大。推动政府网站进行全面信息安全体系设计和建设的动力目前主要来自三个方面：合规性安全要求面临的安全威胁政府网站安全现状2.1合规性要求1)《关于进一步加强政府网站管理工作的通知》（国办函【2011】40号）2011年4月21日，国务院办公厅下发了《关于进一步加强政府网站管理工作的通知》。通知明确指明了一些政府网站依然存在着种种问题，主要原因是地方政府网站建而不管或管不到位，有些政府单位对本单位开办的政府网站不问不看，特别是网站安全管理中存在的问题长期得不到纠正。因此通知要求各地区、各部门要把办好网站放在政府工作的重要位置。政府网站要开展全面检查，要高度重视，监管机关要进一步加强对各级政府网站管理工作的监督与指导。要全面检查，切实解决政府网站管理中的突出问题。《通知》中明确提出了要针对目前政府网站管理中的各类突出问题进行严格检查：信息发布审核和保密审查机制是否健全；网站链接是否经过管理单位审核把关，是否存在错链和断链；网站安全防范工作是否到位，是否采取了防攻击、防篡改、防病毒等安全防护措施，并制订了应急处置预案；网站管理单位和运行维护单位职责是否明确。对检查清理中发现的问题要及时整改，确保上网信息准确、真实，不发生失泄密问题，确保公众能够及时获取政府信息、获得便利的在线服务，确保链接正确有效、网站安全平稳运行。对确实无力管好的网站或栏目，要果断予以关闭。2)《关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号2012年5月9日，温家宝总理主持召开国务院常务会议，研究部署保障信息安全工作《关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号。健全安全防护和管理。确保重要信息系统和基础信息网络安全。能源、交通、金融等领域涉及国计民生的重要信息系统，要同步规划、同步建设、同步运行安全防护设施，强化技术防范，严格安全管理，切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。其中政府网站作为极其重要的信息系统，其安全管理更应当得到进一步完善和强化。3)“等级保护”要求目前在已经基本完成的等级保护定级工作中，国家部委以及省市重要政府机关门户网站的安全级别基本定为3级，属于国家重要信息系统，是国家等级保护测评和检查重点。面对Web应用层面这类给Internet可用性带来极大损害的攻击，必须在国家等级保护政策的指导下，采用专门的机制，综合采用各种技术手段对攻击进行有效检测，应按照《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《信息安全等级保护管理办法》（公通字[2007]43号）等文件要求，参考《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》（GB/T22239-2008）等等级保护相关标准，开展等级保护整