“互联网+”背景下的政府网站安全防护体系构建
2018-11-07王育宾王育欣韩江宁
王育宾 王育欣 韩江宁
摘要:随着互联网技术不断涌现,政府业务不断向网络化方向转变。网络安全问题的日益突出,使政府网站安全建设面临着前所未有的挑战,本文从政府网站目前存在的安全问题为切入点,阐述如何有效构建设计政府网站安全防护体系。
关键词:政府网站;互联网+ 网络安全;Web防火墙;网页防篡改
中图分类号:G642 文献标识码:A 文章编号:1009-3044(2018)21-0060-01
近年来,随着电子政务系统建设的技术手段不断拓展、技术环境不断改善,针对网站系统漏洞进行的网络攻击技术手段也在不断升级,网络黑客以各种方式持续通过网络发起攻击,导致在世界各地不断出现严重的网络系统安全事件。政府部门由于其自身所代表的特殊身份,不仅具有服务职能,更有行政管理职能,政府网站代表着国家和政府的公众形象,其发布的信息具有权威性,一旦政府网站遭到攻击、信息遭到篡改,将对政府形象造成严重的负面影响,大大降低政府部门的执行力和社会公信力。
1 现状及存在问题
忽视网站系统安全建设是政府网站建设过程中普遍存在的现象:网站安全管理机制及制度的不健全,导致问题出现后不能及时、有效地进行处理;防范措施及防护设备不完善,未能在关键环节有效部署如:Web防火墙、网页漏洞扫描、网页防篡改等专业防护措施及设备,导致常规防护体系无法对从网络层、应用层等多层次发起的网络攻击进行全面、有效的防御;网站系统程序编写缺乏统一标准、严谨性不足、网站安全检查及维护无法做到常态化,导致应用系统存在被黑客利用安全漏洞进行攻击的潜在风险;缺乏安全意识、对网络安全重视程度不够等问题都是造成政府网经常被黑客攻击的重要因素。
目前,政府网站面对的网络安全问题主要有:网站页面被恶意篡改、重要业务数据被盗取、业务服务被中断等几方面。
2 构建设计
网站安全防护体系的建立是一项系统工程,根据层级划分主要分为四个部分:检查整改、检测加固、技术防护、监测响应。有效实现:上线阶段做好全面检测防范、运行阶段做好实时监控防护、维护阶段做好定期分析加固的全流程安全防护建设。
2.1 检查整改
通过专业的安全监测工具及软件进行全站扫描,初步检查网站当前的安全漏洞;根据扫描报告,对JDK版本和struts框架等基础应用进行升级,修补相应安全漏洞;对网站代码进行严格的代码审查,修改存在问题,提高代码级别的安全性。
2.2 检测加固
网站系统在上线前,必须要做好网站备案、信息系统安全等级评测等相关工作,请有专业资质的检测机构通过漏洞扫描、渗透测试、人工审计等手段对对网站系统进行全面检测,针对检测及评估结果有针对性制定安全加固方案,对网站系统、应用服务、安全策略等进行加固和配置优化,将存在的风险和隐患控制到最低。
2.3 技术防护
完善网站安全技术防护手段,提升物理防御能力是政府网站安全防护体系构建的重点。在配备DDoS防御、网络访问控制、入侵防护等常规网络安全防护措施的前提下,增加配置Web应用防火墙和网页防篡改系统,实现网站预警和防御功能于一体,对网站形成多维度、全方位的安全防护。
NGFW虽然集成了WAF模块等安全模块,但和传统防火墙一样,采用的仍是包转发技术,开启WAF功能这会严重影响NGFW的性能,影响WAF的防护能力。而WEB防火墙是针对Web内容检测和应用层安全控制的专用安全设备,部署在网站Web服务器前端,通过专用的应用规则,制定完备的安全策略,可解决包含SQL注入、應用层DDoS以及Cookie篡改等在内的各种HTTP/HTTPS应用中的安全威胁,为Web应用的安全运行提供全面的技术保障。
网页防篡改系统,是保护Web网页和文件的重要技术手段,部署在Web服务器上,包含检测模块和文件防护模块,采用进程和文件夹双重保护,通过核心内嵌技术及事件触发技术,对网页内容和数据进行实时监测和防篡改保护,从根本上杜绝网页被篡改的风险。
2.4 监测响应
部署Zabbix、Cloud Insight等网络系统监控软件,以Web界面集中管理的方式,实时对系统各种网络参数进行分布式监控,并通过短信、邮件等多种预警通知机制,将对网站系统的安 全监测做到常态化,确保实现网站7╳24小时安全运行的目标。
安装日志审计设备,通过集中采集系统日志信息、进行规范化分析处理的方式,实现对整个网站日志的全面审计,及时发现各种安全威胁、异常行为事件,为系统提供全局保障,确保网站业务的不间断运行。制定完备的网站安全事件通报与应急响应机制及网络安全应急预案,建立主动的网站安全检查机制。
3 结语
随着“互联网+”时代的来临, 网络安全已经上升到国家安全的层面,全面提升政府网站安全建设工作力度已经迫在眉睫。深化“互联网+”理念、规范管理制度,增强技术防护手段,构建一个安全可靠的政府网站安全防护体系,已经成为政府为人民群众做好服务工作的重要前提保障。
参考文献:
[1] 刘斌.政府网站安全现状及解决方案[J].网络安全技术与应用,2017(1):125-125.
[2] 金建明,杨彬.浅谈全媒体网站安全防护体系建设[J].中国报业, 2017(3):50-52.
[3] 季益龙,程松泉. “互联网+”背景下的高校网站安全保障体系构建[J].中国教育信息化,2017(15):93-96.
【通联编辑:唐一东】
