互联网网(wǎng)站安全防护(hù)解决方案(àn)
发(fā)布时间���:2018-12-17
一���、背景需求
党政机关(guān)��、事业(yè)单位互(hù)联网网站是各级政府及所属单位履(lǚ)行职能���、面向社(shè)会提供(gòng)服(fú)务的重要手段和渠道(dào)��,在提高行(háng)政效能����、提升公信力方面发挥着重要作用���,但(dàn)脆弱(ruò)的Web安(ān)全防护能力(lì)却(què)与(yǔ)之形(xíng)成(chéng)极大的反差(chà)��,自2013年到(dào)2015年��,公安(ān)部���、网信办先后对全国政府网站(zhàn)(gov.cn域名(míng))以及大量央企���、省级门户(hù)网站���、高校网站进行监测排(pái)查���,55%左右政府网站存(cún)在安全隐患,过(guò)半网(wǎng)站存(cún)在安全漏洞��。
为了提高党政机关�����、事(shì)业单位和(hé)国有企业互联(lián)网网站安全(quán)防(fáng)护水平����,防范和打击境内外(wài)不法(fǎ)分子攻击篡改���、破坏网站安全的违法犯罪活动��,维护党政机关����、事业单位和国有企业互联网(wǎng)网站安全稳定运(yùn)行���,保障网络安全和国家安(ān)全����,公安部���、中央网(wǎng)信办���、中编(biān)办����、工信(xìn)部四部委联合发(fā)布《互联网网站安(ān)全专项整治行动方案》在(zài)全国(guó)范围(wéi)内(nèi)开展(zhǎn)党(dǎng)政机关��、事业单位和国有企业互联(lián)网网站(zhàn)的专项(xiàng)整治(zhì)活动����,从统一管理����、统一监测����、统一防(fáng)护的角度指导和(hé)督促各个单位提(tí)升互联网网站(zhàn)安全(quán)管理和防护(hù)水平��。
需求
根据党(dǎng)政机关����、事业单位和国(guó)有企业互联网网站面临的安全(quán)威胁现状���、网站应用现状�����、安全防护现状以及(jí)风险分析(xī)和实际(jì)发生的网站安(ān)全事件(jiàn)案例(lì)����,传统的网(wǎng)站安全防护模式和(hé)手段已无法应对新时(shí)期互(hù)联网(wǎng)网站(zhàn)所面临的安(ān)全威胁��,需(xū)要(yào)从以(yǐ)下五个方(fāng)面提出安全防护需求��。
1. 动态(tài)防御安全架(jià)构亟待引入
2. 网络(luò)边(biān)界防护手段(duàn)有(yǒu)待增强
3. 网站安(ān)全服(fú)务能(néng)力有(yǒu)待提高
4. 网站基础防护措施亟(jí)需完善(shàn)
5. 安全管理保障措(cuò)施有待健全
二(èr)��、解决(jué)方案
本方案参考(kǎo)国家等(děng)级保(bǎo)护相关政(zhèng)策规范和技术标(biāo)准(zhǔn)要(yào)求(qiú)��,结合当前网站应(yīng)用和防护现状����,设计互(hù)联网网站安全防护体系����。以“防”���、“监”����、“固”��、“评”为核心(xīn)安全(quán)理(lǐ)念����,从常态����、实时����、及(jí)时���、定时防(fáng)护(hù)维(wéi)度建设互联网网站自适应安全防护体系架构���。
网站安全防护体系
常态“防”护�����:增强和优化现有网站应用基础设施����、边界(jiè)安全防(fáng)护(hù)水平����、通过WEB应用数(shù)据引流技术(shù)引入云防(fáng)御平台形(xíng)成具(jù)备三(sān)层纵深的防(fáng)护体系��;
实时(shí)“监”测�����:通过面(miàn)向网站的在线安全监测服务����,协助用户实时有效地了解(jiě)网站(zhàn)是(shì)否安(ān)全可靠���,发现问题及(jí)时预(yù)警��、告警和(hé)处置����;
及时“固”本(běn)����:依托后台安(ān)全专(zhuān)家团队线下服(fú)务及时提供(gòng)安全事件的安全分析���、策(cè)略加(jiā)固����、应(yīng)急响应和救援���,从整体上完善了各网(wǎng)站(zhàn)的安全(quán)防护能力(lì)�����、自我发现能力和(hé)应急响应(yīng)能力��;
定(dìng)时“评”估(gū)���:定期利用渗透(tòu)测试等风险(xiǎn)评估手段对网(wǎng)站(zhàn)所存在的安全(quán)风险进行监测和评估��,进一步改进(jìn)各种防护阻止策略和手(shǒu)段的完备(bèi)性���。
三(sān)���、效能(néng)体现
立足党政机关����、事业(yè)单(dān)位和国有(yǒu)企业网站安全防护需求��,以云防御��、在线监测����、线下专家(jiā)��、渗(shèn)透评估(gū)为(wéi)手段���,结合基础应用(yòng)��、网络边界防护措施的优化和加固��,进行网站(zhàn)安(ān)全防护体系的建设����,形(xíng)成有(yǒu)纵深(shēn)�����、策略统(tǒng)一的自适应网站安全防护(hù)架构����。具备(bèi)常态安(ān)全防(fáng)护����、实时在线(xiàn)监测����、及时响(xiǎng)应处置�����、定时渗(shèn)透评估��,提升党政机关����、事业单位和国(guó)有企业互联网网站安全技术防范(fàn)能力��,提(tí)高(gāo)网站(zhàn)安全管理(lǐ)水平(píng)��、加强网络安全监测和应急处置(zhì)能力�����、增(zēng)强抵御攻击���、篡改����、破坏的能力����。
