- 网站安全保护涉及国家法律法规、政策文件、组织管理、标准规范、运行环境、产品技术、应用开发、安全测评、应急响应等多方面内容
- 《信息安全技术 政府门户网站系统安全技术指南》(GB/T 31506-2015)提出了政府门户网站系统安全技术措施要求
(一)政府门户网站系统安全技术措施
层面防护 | 整体防护 | ||||
网站层 | Web应用安全 | 运行支撑 | 攻击防范 | 安全监控 | 应急响应 |
数据层 | 内容发布及数据安全 | ||||
主机层 | 服务器安全 管理终端安全 | ||||
网络层 | 边界安全 | ||||
物理层 | 物理安全 | ||||
注意:政府网站信息安全等级原则上不应低于二级;
三级网站每年应测评一次,二级网站每两年应测评一次。
(二)防护方案
防护方案 | 说明 | |
1 | DDoS防御 | 在政务网站与互联网边界处部署防DDoS攻击系统,防护来自互联网的拒绝服务攻击 |
2 | 网络访问控制 | 通过防火墙防止不必要服务进入政务网站系统,减少被攻击可能性 |
3 | 网页防篡改 | 在Web服务器上部署网页防篡改系统,保护网页和文件 |
4 | 网站应用防护 | 通过Web应用防火墙代理客户端所有请求,清洗异常流量,有效控制政务网站应用的各类安全威胁 |
5 | 入侵防御和病毒防护 | 通过入侵防御系统和防病毒网关系统,实现对非法入侵行为和网络病毒的有效检测和阻断 |
6 | 网络/数据库审计 | 通过网络数据库审计系统实现对政务网站访问行为和网站后台数据库访问行为进行监控、记录和审计 |
7 | 网站安全监控 | 通过网站安全监控系统实现漏洞扫描、网页木马监测、网页篡改监测、网页敏感信息监测等功能,同时系统与Web应用防火墙联动 |