确保网站安全稳定运行,保障政府和用户信 息安全
来源:
徐州神赢网络科技有限公司
日期:2022-03-28 16:43:48
点击:900
属于:行业动态
⒈中国政府网站安全形势依然严峻
根据中国互联网协会联合国家互联网应急中心发布的《中国互联网站发展状况及其安全报告(2015)》显示,政府网站因其公信力高、影响力大,容易成为黑客攻击目标,特别是地方政府网站成为“重灾区”。中国政府网站频繁遭受黑客组织攻击,从攻击方式来看,黑客组织采用较多的仍然是网页篡改和植入后门,针对政
府网站的拒绝服务攻击、窃取并公布网站信息等攻击也时有发生。此外,从一些黑客组织公布的信息来看,不仅包括攻击目标的URL链接,还包括网站服务器类型、服务器IP地址等信息,体现出攻击的组织性和计划性。总体而言,黑客组织对政府网站的攻击方式呈现出日趋多样化、复杂化的趋势,政府网站的安全形势依然非常严峻。
⒉党和国家对政府网站安全的政策要求
以互联网为核心的网络空间已成为继陆、海、空、天之后的第五大战略空间,各国均高度重视网络空间的安全问题。针对当前中国政府网站面临的严峻形势,2014年5月,中央网络安全和信息化领导小组办公室下发《关于加强党政机关网站安全管理的通知》(中网办发文〔2014〕1号),指出了当前党政机关网站安全管理
工作中存在的一些亟待解决的问题和确保党政机关网站安全运行、健康发展的八条意见。为贯彻中央领导同志关于网站安全的重要指示精神,进一步落实《关于加强党政机关网站安全管理的通知》(中网办发文〔2014〕1号)、《关于做好党政机关网站开办审核、资格复核和网站标识管理工作的通知》(中央编办发〔2014〕69号)要求,切实加强党政机关、事业单位和国有企业网站安全管理和防护,保障网站安全稳定运行。2015年9月17日,公安部、中央网信办、中央机构编制委员会办公室、工业和信息化部等四部门联合下发《党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》(公信安〔2015〕2562号),决定自2015年9月底至2016年6月底,在全国范围内开展党政机关、事业单位和国有企业互联网网站安全专项整治行动。
⒊构建政府网站安全防护体系的途径
针对政府网站面临的严峻形势和目前存在的主要安全问题,需要从涉及信息安全的人、管理、技术三个方面入手,建立完善细致的安全防护体系以保障政府网站平台安全稳定运行。
⑴建立健全政府网站安全管理制度并认真贯彻执行一是建立政府网站的安全管理制度体系,指导和制约网站安全建设和管理工作。当网站出现相关问题时,工作人员要快速向网站相关负责人反映,以便及时得到处理。二是建立网站日常巡检制度,指定人员每日检查网站运行情况,及时发现并妥善解决存在的问题。三是建立具体负责人制度,对网站的网络管理、数据库服务维护、信息处理等实行谁主管谁负责。四是建立节假日值班制度,做到信息及时更新,保证网站不间断运行。五是建立日志记录备案制度,对网站日常工作要如实记录,并作为技术管理档案保存。
⑵加强人才队伍的培养,统筹建立政府网站应急处理体系一是加强政府网站安全管理培训。通过参加信息安全、信息技术、信息管理等方面的培训,进一步整体提高网站工作人员建设网站、管理网站的能力。二是强化技术支撑保障工作。由专业机构为政府网站提供技术保障和技术支撑服务。三是建立政府网站专项应急预案,
以保证政府网站在事故发生时得到快速、及时处理。四是建立信息安全检查监督机制。依据已确立的技术法规、标准与制度,定期开展信息安全检查工作,对检查中发现的违规行为,按规定处罚相关责任人,对检查中发现的安全问题和隐患,明确责任部门和责任人,限期整改。
⑶统筹规划政府网站群建设,实施集约化管理一是进行统筹规划,统一网站运行载体,避免分散、重复建设;对于缺乏建设、维护网站能力的单位或部门,不再建设独立网站,上级主管部门代为承载其应向社会公众提供的政府信息公开等政务公共服务功能;二是确立统一标准,完善政府信息资源共享机制,规划政府网站群及内容管理系统建设,按照统一规划、分步实施的原则,建立统一的站群管理平台;三是加强网站群建设管理,强化安全保障,建立应急响应机制,依托统一的站群管理平台,为子网站提供安全技术支持、信息技术培训、网络安全风险评估等服务。
⑷加大安全技术体系建设,加强技术防护能力一是加强网络环境安全。安装网站防火墙(WAF)、入侵检测系统和网站防篡改系统等,从网络的应用层面提高网站安全防护能力,进一步优化配置来阻断黑客非法入侵、恶意攻击,识别黑客非法入侵、恶意攻击以及异常数据流量,防止网站内容被恶意篡改。二是加强网站群平台安全管理。优化完善网络结构、合理配置网络资源,配置下一代防火墙、病毒防护体系、网络安全检测扫描设备和网络安全集中审计系统等设备,从边界防护、访问控制、入侵检测、行为审计、防毒防护、安全保护等方面不断完善平台的安全体系建设。三是加强网站代码安全。要求网站技术开发人员在开发应用系统过程中,养成良好的代码编写习惯,尽量不要使用来历不明的代码和插件,编写程序时要严格过滤敏感的字符,并且在系统开发完成后,要有相应的代码检测机制和手段,及时更新漏洞补丁,从源头上遏制网站挂马、SQL注入和跨站点脚本攻击等行为。四是加强数据安全。要加强数据库的安全,采用正版数据库系统,通过网络安全域划分,数据库被隐藏在安全区域,同时通过安全加固服务对数据库进行安全配置,并对数据库的访问权限做最为严格的设定;部署数据灾备系统,对网站和关键应用系统数据进行定期备份。 本文来源:神网科技,转载请注明出处!如果需要营销型网站建设、微商城、小程序商城、多端小程序 请联系我们!
根据中国互联网协会联合国家互联网应急中心发布的《中国互联网站发展状况及其安全报告(2015)》显示,政府网站因其公信力高、影响力大,容易成为黑客攻击目标,特别是地方政府网站成为“重灾区”。中国政府网站频繁遭受黑客组织攻击,从攻击方式来看,黑客组织采用较多的仍然是网页篡改和植入后门,针对政
府网站的拒绝服务攻击、窃取并公布网站信息等攻击也时有发生。此外,从一些黑客组织公布的信息来看,不仅包括攻击目标的URL链接,还包括网站服务器类型、服务器IP地址等信息,体现出攻击的组织性和计划性。总体而言,黑客组织对政府网站的攻击方式呈现出日趋多样化、复杂化的趋势,政府网站的安全形势依然非常严峻。
⒉党和国家对政府网站安全的政策要求
以互联网为核心的网络空间已成为继陆、海、空、天之后的第五大战略空间,各国均高度重视网络空间的安全问题。针对当前中国政府网站面临的严峻形势,2014年5月,中央网络安全和信息化领导小组办公室下发《关于加强党政机关网站安全管理的通知》(中网办发文〔2014〕1号),指出了当前党政机关网站安全管理
工作中存在的一些亟待解决的问题和确保党政机关网站安全运行、健康发展的八条意见。为贯彻中央领导同志关于网站安全的重要指示精神,进一步落实《关于加强党政机关网站安全管理的通知》(中网办发文〔2014〕1号)、《关于做好党政机关网站开办审核、资格复核和网站标识管理工作的通知》(中央编办发〔2014〕69号)要求,切实加强党政机关、事业单位和国有企业网站安全管理和防护,保障网站安全稳定运行。2015年9月17日,公安部、中央网信办、中央机构编制委员会办公室、工业和信息化部等四部门联合下发《党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》(公信安〔2015〕2562号),决定自2015年9月底至2016年6月底,在全国范围内开展党政机关、事业单位和国有企业互联网网站安全专项整治行动。
⒊构建政府网站安全防护体系的途径
针对政府网站面临的严峻形势和目前存在的主要安全问题,需要从涉及信息安全的人、管理、技术三个方面入手,建立完善细致的安全防护体系以保障政府网站平台安全稳定运行。
⑴建立健全政府网站安全管理制度并认真贯彻执行一是建立政府网站的安全管理制度体系,指导和制约网站安全建设和管理工作。当网站出现相关问题时,工作人员要快速向网站相关负责人反映,以便及时得到处理。二是建立网站日常巡检制度,指定人员每日检查网站运行情况,及时发现并妥善解决存在的问题。三是建立具体负责人制度,对网站的网络管理、数据库服务维护、信息处理等实行谁主管谁负责。四是建立节假日值班制度,做到信息及时更新,保证网站不间断运行。五是建立日志记录备案制度,对网站日常工作要如实记录,并作为技术管理档案保存。
⑵加强人才队伍的培养,统筹建立政府网站应急处理体系一是加强政府网站安全管理培训。通过参加信息安全、信息技术、信息管理等方面的培训,进一步整体提高网站工作人员建设网站、管理网站的能力。二是强化技术支撑保障工作。由专业机构为政府网站提供技术保障和技术支撑服务。三是建立政府网站专项应急预案,
以保证政府网站在事故发生时得到快速、及时处理。四是建立信息安全检查监督机制。依据已确立的技术法规、标准与制度,定期开展信息安全检查工作,对检查中发现的违规行为,按规定处罚相关责任人,对检查中发现的安全问题和隐患,明确责任部门和责任人,限期整改。
⑶统筹规划政府网站群建设,实施集约化管理一是进行统筹规划,统一网站运行载体,避免分散、重复建设;对于缺乏建设、维护网站能力的单位或部门,不再建设独立网站,上级主管部门代为承载其应向社会公众提供的政府信息公开等政务公共服务功能;二是确立统一标准,完善政府信息资源共享机制,规划政府网站群及内容管理系统建设,按照统一规划、分步实施的原则,建立统一的站群管理平台;三是加强网站群建设管理,强化安全保障,建立应急响应机制,依托统一的站群管理平台,为子网站提供安全技术支持、信息技术培训、网络安全风险评估等服务。
⑷加大安全技术体系建设,加强技术防护能力一是加强网络环境安全。安装网站防火墙(WAF)、入侵检测系统和网站防篡改系统等,从网络的应用层面提高网站安全防护能力,进一步优化配置来阻断黑客非法入侵、恶意攻击,识别黑客非法入侵、恶意攻击以及异常数据流量,防止网站内容被恶意篡改。二是加强网站群平台安全管理。优化完善网络结构、合理配置网络资源,配置下一代防火墙、病毒防护体系、网络安全检测扫描设备和网络安全集中审计系统等设备,从边界防护、访问控制、入侵检测、行为审计、防毒防护、安全保护等方面不断完善平台的安全体系建设。三是加强网站代码安全。要求网站技术开发人员在开发应用系统过程中,养成良好的代码编写习惯,尽量不要使用来历不明的代码和插件,编写程序时要严格过滤敏感的字符,并且在系统开发完成后,要有相应的代码检测机制和手段,及时更新漏洞补丁,从源头上遏制网站挂马、SQL注入和跨站点脚本攻击等行为。四是加强数据安全。要加强数据库的安全,采用正版数据库系统,通过网络安全域划分,数据库被隐藏在安全区域,同时通过安全加固服务对数据库进行安全配置,并对数据库的访问权限做最为严格的设定;部署数据灾备系统,对网站和关键应用系统数据进行定期备份。 本文来源:神网科技,转载请注明出处!如果需要营销型网站建设、微商城、小程序商城、多端小程序 请联系我们!