三张牌扎金花下载

解決方案

  網絡安全解決方案
        電子政務
        電力行業
        教育行業
        保險行業
        企業系統
        稅務行業
        網閘應用案例
        網閘應用測試
        政府門戶網站安全方案
  軟件解決方案
        門戶解決方案
        協同管理解決方案
        中網IT調度綜合管理系統
        經濟數據分析解決方案
        仲裁行業解決方案
        在線交易管理解決方案
        應急指揮解決方案
        數據整合解決方案
 
    電話:027-87367829
    郵箱:support@hbzw.net

  地址:

湖北省武漢市中北路1號楚天都市花園B座16樓
   
   

您的當前位置:首頁 > 解決方案 > 網絡安全解決方案

政府門戶網站安全方案

政府門戶網站安全防護措施探討

 

       一、門戶網站安全防護的重要性

政府門戶網站是各級政府在互聯網上的重要窗口,代表了政府的形象,同時也是老百姓了解有關政策、動態信息、實現與政府互動的快捷通道。

政府網站的信息安全防護能力仍處 初級階段,尚未形成科學、完整、高效、統一的電子政務安全保障體系。國家計算機網絡應急技術處理協調中心統計顯示,我國各級政府網站僅在2005年就被篡改網頁2027次,比2004年多一倍。我們身邊所聽到的或親身經歷到的網頁被篡改事件,大部門還未統計在內,因此實際發生的此類事件遠遠大于這一統計數據。

門戶網站直接或間接地與互聯網相聯,門戶網站所面臨的主要安全威脅是黑客入侵、篡改網頁、植入木馬、抗拒絕服務攻擊、數據庫注入攻擊等。如果政府門戶網站受到黑客攻擊,輕則頁面被篡改、信息被竊取、公眾無法正常訪問政府門戶網站,造成政府形象受損;重則被別有用心的黑客加以利用,在網站上發布虛假疫情、地震信息公告,則會造成嚴重的政治、社會事件。

因此建立門戶網站安全防護體系,是當前網站建設的重要目標之一。

二、傳統安全防護的誤區

目前大部分政府門戶網站在建設的時候都部署了防火墻設備,但是依然有很多網站被黑客入侵,這是因為防火墻雖然有包過濾機制,但因為防火墻主要是工作在網絡層,對應用層數據包無法進行深度檢查,所以還是無法應對許多惡意行為,例如Unicode攻擊、SQL注入攻擊等。而且,服務器的操作系統、服務器軟件都可能存在未被發現的漏洞,對此,一般防火墻有其缺陷。

另外黑客技術發展很快,各種方式的威脅技術層出不窮,不能單單依靠防火墻來防護,迫切需要專業設備做專業事,并建立一定的聯動機制,構成一個立體的安全防護體系。這就象鄉村診所,一個醫生能看百病,而到了醫療技術高超的醫院,不同的病癥要由專業科室來治療,對于疑難雜癥還要請各科專家會診。

     、安全防護技術措施

門戶網站安全防護技術手段,主要從網絡安全、系統安全、內容安全三方面來考慮。在網絡安全方面,除了防火墻,還應部署網閘、入侵檢測、抗拒絕服務攻擊措施;在系統安全方面,除了防病毒系統,還應經常進行漏洞掃描、查找系統弱點漏洞、進行內核加固和安裝補丁程序;在數據安全方面要在服務器上部署網頁防篡改系統用于監視網頁運行和被篡改情況的發生。

1、防火墻技術

      防火墻是在不同的安全區域之間設置的安全隔離措施。它可提供接入控制、訪問控制、過濾網絡之間各種消息的傳遞等。防火墻是完成邏輯隔離的關鍵設備,是傳統的成熟的安全隔離和訪問控制設備。防火墻部署在網絡出口處,是第一道基本的必不可少的安全屏障。
 
2、網閘隔離技術
 
      網閘隔離設備很好地解決了網絡斷開與數據交換的難題。它部署在兩個物理隔離的網絡邊界,在保證兩個網絡協議中止的情況下,以非網絡方式實現數據交換,沒有任何包、命令和TCP/IP協議(包括UDP和ICMP)可以穿透網閘。網閘隔離設備較之防火墻設備,其隔離強度更高、效果更好、安全性能更可靠。
        政府部門的行業專網,其核心服務器或核心數據庫是整個行業的數據命脈所在,對安全要求非常高,但其數據又要面向互聯網提供服務,此時可采用前置服務器(門戶網站)對互聯網上的用戶提供服務,而前置服務器讀取核心服務器的數據時,用網閘進行隔離,以保護核心服務器的安全。

3、防病毒技術

病毒傳播的主要途徑是網絡,網絡防病毒系統的部署應該由點及面,全方位進行部署,徹底截斷病毒入侵的途徑。需要部署的防病毒系統可采用網關防病毒、郵件防病毒、服務器防病毒、桌面防病毒等方式進行部署。

4、入侵檢測(防護)技術

入侵檢測系統是從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,如果發現有黑客入侵或者入侵前的準備行為(例如對服務器的端口進行掃描),就及時向管理員進行報警,并由管理員做出相應的應對措施。入侵檢測系統一般旁路在所要檢測網段的交換機上,如果在其上加上入侵防護功能,就成為入侵防護系統,入侵防護設備一般部署在互聯網出口位置。

5、抗拒絕服務攻擊技術

拒絕服務攻擊(DoS)就是利用正常的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務響應。DDoS就是利用更多的傀儡機來發起進攻,比單個的DoS攻擊的規模更大。

目前能有效對付DDoS攻擊的手段主要是一些專業的硬件來代替服務器完成TCP三次握手,從而保障只有正常的請求才能進入服務器,而這樣的解決辦法對設備的硬件性能及軟件算法速度都有很高的要求。

6、漏洞掃描技術

通過對網絡設備及服務器系統的掃描,可以了解安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級。網絡管理員根據掃描結果更正系統中的錯誤配置、進行系統加固、安裝補丁程序,或采用其它相關防范措施。

7、服務器內核加固技術

內核加固系統是在服務器上安裝一套軟件系統,該系統通過攔截I/O管理器創造代表I/O操作的IRP請求包,過濾所有文件操作來實現對操作系統的保護。它把對操作系統的保護做在了底層,對被保護的文件,具有讀不了、改不了、宕不了的堅固防護。同時,它又對原有系統超級用戶權限進行合理分散與適度制約。

8、網頁防篡改技術

網頁防篡改技術是通過對網站的全面監控,實時捕獲篡改事件,并在第一時間對發生篡改的網頁進行自動恢復和報警,并通過日志實現對網站文件更新過程的全程記錄。網頁防篡改系統部署在服務器上,對服務器的資源占用較小,不影響服務器的正常使用。

9、對服務器進行安全配置

服務器的安全配置是至關重要。首先是調整服務器的屬性,做到必要時關閉TCP 445端口的訪問,關閉TCP 139端口的訪問;其次是停止不必要的服務,這不僅是安全加固的需要,同時也是服務器性能優化的一部分;最后是增強日志審計能力,當網站被入侵后,只有日志能夠幫助定位入侵事件。

10、其它安全防護技巧

除了上面介紹的主要防護措施之外,還應該關注以下防護技巧。

l         SQL注入攻擊的防范

目前黑客攻入網站最常見的伎倆是SQL注入攻擊。由于SQL注入是從正常的WWW端口訪問,跟一般的Web頁面訪問沒什么區別,所以防火墻都不會對SQL注入發出警報。為了防范黑客通過SQL注入攻進網站,可以使用防注入攻擊的專用軟件對數據庫進行加固處理。

l         堵住數據庫下載漏洞

目前仍有許多動態網站采用Access數據庫,但Access數據庫是以文件方式存放,后綴為*.mdb。如果不采取相應的措施,就有可能被一些惡意用戶下載,從而造成重要信息的泄露。對于此威脅,應采取措施堵住漏洞防止下載。

l         盡量不使用上傳程序

網站中最好不使用任何上傳程序,建議采用FTP上傳、維護網頁,不要安裝ASP的上傳程序。如果ASP上傳文件功能必須保留,也應該進行嚴格的身份認證。

l         注意后臺管理程序

不要在網頁上顯示后臺管理程序的入口鏈接,以免黑客攻入網站后臺管理程序。管理員的用戶名和密碼也不能過于簡單,注意定期更改。建議維護時通過ftp上傳后臺管理程序,使用后即時刪除。

l         檢查是否有木馬,并做好數據庫備份工作

 WEB虛擬路徑下的所有文件定期做批量的MD5效驗,審核每個文件,對有來歷不明的文件要立即刪除。除了日常維護外,還要時常備份數據庫等重要文件。

 四、結束語

根據筆者經驗,部署上述技術措施后的網站,基本未出現安全事件。但在具體技術措施的選取上,也可根據實際情況,如網站規模、宣傳范圍、知名度、數據內容重要程度、實時性要求強度、可容忍的網站停運時間、資金狀況等因素來進行裁減,選擇具體的技術措施。

另外,解決門戶網站安全問題,除了要有好的安全防護技術措施外,還要有一支具有豐富安全服務經驗的專業技術隊伍,在運維支撐方面才能得到可靠的保障。

三张牌的游戏 大乐透现场开奖直播网 18选7 极速时时彩怎么玩才会赢 如何用手机写文章赚钱吗 98彩票首页 在校大学生怎么赚钱 宁夏十一选五 江苏快3遗漏 668彩票苹果 北京快3 球琛足球让球即时指数 上海快三开盘时间 高频彩票有没有漏洞 重庆快乐十分 网络骰子彩票技巧 hi时时彩计划软件