互联网网站(zhàn)安全防护解决(jué)方案
发布时间(jiān)��:2018-12-17
一(yī)���、背景需(xū)求
党政(zhèng)机关��、事业(yè)单位(wèi)互联网网站是各级政府及所属单位履行职能����、面向(xiàng)社会提(tí)供服(fú)务的(de)重要手(shǒu)段和渠道����,在提高行政(zhèng)效能����、提升(shēng)公信力方面(miàn)发挥(huī)着重要作用����,但脆(cuì)弱的Web安(ān)全防护能力(lì)却(què)与之形成(chéng)极大的反差���,自2013年到2015年(nián)���,公(gōng)安部��、网信办先后(hòu)对全国政府网站(gov.cn域名)以及大(dà)量央企(qǐ)���、省级门户网站���、高校网站进行监测排查��,55%左右政府网站存(cún)在(zài)安全(quán)隐(yǐn)患,过半(bàn)网站存在(zài)安全漏洞����。
为了提高党(dǎng)政机关(guān)���、事业单位和国有企业(yè)互联(lián)网(wǎng)网站安(ān)全(quán)防护(hù)水平����,防范(fàn)和打击境(jìng)内(nèi)外不法分子攻击篡改��、破坏网站安(ān)全(quán)的违(wéi)法犯罪活动���,维护(hù)党政(zhèng)机关��、事(shì)业单位和国(guó)有(yǒu)企业互联网网站安全稳定运行���,保障网络安全和国家安全���,公安部���、中央网(wǎng)信办���、中编(biān)办(bàn)���、工信部(bù)四(sì)部委联合发(fā)布《互联网网站安(ān)全专项整治(zhì)行动方案》在全国(guó)范围内开展党(dǎng)政(zhèng)机关����、事(shì)业单(dān)位和(hé)国有(yǒu)企业互联网网(wǎng)站的(de)专项整(zhěng)治活(huó)动�����,从统一管理���、统一监(jiān)测��、统(tǒng)一防护(hù)的角度(dù)指导(dǎo)和督促各个单(dān)位提升互联网网(wǎng)站安全管(guǎn)理和防护水平(píng)����。
需求
根据党政机关�����、事业单(dān)位和国(guó)有企业互联网网站面临的安全(quán)威胁现状����、网站应用现(xiàn)状����、安全防护现状(zhuàng)以及风险分(fèn)析和(hé)实际(jì)发生的(de)网(wǎng)站安全事(shì)件(jiàn)案例��,传(chuán)统的网站安全防(fáng)护(hù)模式和(hé)手(shǒu)段已无法应对新时(shí)期互联网网站所面临的安全威胁��,需(xū)要(yào)从以(yǐ)下五个方(fāng)面(miàn)提出安全防护(hù)需求����。
1. 动态防御(yù)安全架构(gòu)亟待引入
2. 网络(luò)边界防护手段有待增强
3. 网站安(ān)全服(fú)务能力有待提高(gāo)
4. 网站基础防护措施亟需完善(shàn)
5. 安全管理保(bǎo)障措施有(yǒu)待(dài)健(jiàn)全(quán)
二(èr)���、解(jiě)决方案
本方案参(cān)考国家等级保(bǎo)护相关政策规范和技术标准要求����,结合当前网站应(yīng)用和防护现状���,设计互联网网站安全防护体(tǐ)系����。以“防(fáng)”��、“监”���、“固”���、“评(píng)”为核心安全理念���,从常态����、实时���、及时(shí)��、定(dìng)时防护维度建设互联(lián)网网站自适应安全防护体(tǐ)系架构��。
网站(zhàn)安全防护体系
常(cháng)态“防(fáng)”护(hù)�����:增强和优化现有网站应用基础设施����、边界安全防护水平(píng)���、通过WEB应用数(shù)据引流技术(shù)引入(rù)云防御平台形成具备三层纵深的防护体(tǐ)系����;
实时(shí)“监”测���:通过面(miàn)向(xiàng)网站的在线(xiàn)安全监测服务(wù)����,协助用户实(shí)时有效(xiào)地了解网(wǎng)站是否(fǒu)安全可靠�����,发现问题及时预警���、告警和处置(zhì)���;
及时“固”本��:依托后台安全专家团队线下服务及(jí)时提(tí)供安(ān)全事(shì)件的安全分析����、策略加固(gù)���、应急响应和救(jiù)援����,从整体上完善了各网站的安全防护能(néng)力(lì)����、自我(wǒ)发现能(néng)力和应急响(xiǎng)应能力���;
定时“评”估��:定期利用渗透测试等风险(xiǎn)评估(gū)手段对网站所存在的安全(quán)风险进行(háng)监测和评估����,进(jìn)一步改进(jìn)各(gè)种(zhǒng)防护(hù)阻止策略和(hé)手段的完备性��。
三��、效能体现
立足党政机关(guān)���、事业单(dān)位和(hé)国有企业(yè)网(wǎng)站安(ān)全防护需(xū)求����,以(yǐ)云防御����、在线监(jiān)测����、线下专家����、渗透评估为手段���,结合基(jī)础应用����、网络边界(jiè)防护措施的优化和(hé)加固(gù)���,进行网(wǎng)站安全防护(hù)体系的建设����,形成有纵(zòng)深����、策略统一的自(zì)适应网(wǎng)站安全防护架构���。具备常态安(ān)全(quán)防护���、实时在线监(jiān)测����、及时响应处置����、定时渗透评估���,提(tí)升党政机关���、事业单(dān)位和国有企业(yè)互联网网(wǎng)站安全(quán)技术(shù)防范(fàn)能力(lì)���,提(tí)高(gāo)网(wǎng)站(zhàn)安(ān)全(quán)管理(lǐ)水平���、加(jiā)强(qiáng)网络安全监测和应急处(chù)置能(néng)力���、增(zēng)强抵御攻击��、篡改����、破(pò)坏的能力���。
