保护机制

目的

技术措施

1

身份鉴别

针对网站相关资源用户，采用身份标识和鉴别的安全措施，防止非授权用户访问重要资源

用户名/口令、U盾、人脸识别及基于证书的统一用户身份管理

2

访问控制

防止非授权用户访问网站资源

是防火墙、数据加密及操作系统、数据库、Web软件、Web应用程序等内置访问控制措施综合集成实现

3

网站内容安全

确保网站符合所在区域法律法规及政策要求，避免网站被恶意攻击者利用

网站文字内容安全检查、网页防篡改、敏感词汇过滤

4

网站数据安全

确保数据资源安全性、防止数据泄露、完整性破坏及用户隐私泄露

用户数据隔离、数据加密、SSL、数据备份及隐私保护

5

网站安全防护

增强网站抗攻击能力，识别Web攻击类型及阻断攻击行为，包括非授权访问防护、暴力破解防护、Webshell识别和拦截、目录遍历防护、SQL注入攻击防护

支持DDoS清洗，能正常防御SYN Flood、ACK Flood、ICMP Flood、UDP Flood、HTTP Flood、DNS Flood、CC攻击等拒绝服务类攻击

6

网站安全审计与监控

掌握网站的安全及运行状况，保留相关日志数据，提供事后攻击取证及应急恢复指导

SysLog、Web流量截取、网页篡改或挂马检查、Web入侵监测、电子取证等

7

网站应急响应

针对网站意外事故，提供应急响应服务，保障网站持续运行及相关资源安全性

网页防篡改、网站域名服务灾备、网络流量清洗、灾缶中心、刚络攻击取证等

8

网站合规管理

确保网站符合相关规定要求，保证网站合法性

合规管理：网站备案、网站防伪标识、网站等保测评等

9

网站安全测评

应及时有效发现安全隐患，指导安全整改直至符合标准测评，避免重大网站安全事件

漏洞扫描、渗透测试、代码审核、风险分析等

10

网站安全管理机制

确保网站安全利益相关者能承担网站安全责任，落实网站安全措施，持续改进网站安全管理工作

包括网站安全保障工作总体方针和安全策略，建立网站建设、运维、内容、域名、应急预案等方面安全管理制度，确保有效执行、及时修订完善