門戶網站在政務公開、政民互動、業務管理和公眾服務中發揮著不可替代的作用，它也越來越成為信息化重要的安全風險點。廣州網站建設公司從“互聯網+政府服務”的新要求出發，從網站的管理機制、技術保障和運維服務三方面要點入手，構建了一套適用于各級政府網站的安全保障體系，可以為相關政府部門的網站建設管理提供參考。

　　前言

　　政府門戶網站的搭建在提供高效與便利時，也會埋下風險的隱患。如今在世界互聯網覆蓋到的范圍內，電腦病毒、垃圾消息、網頁安全漏洞以及互聯網犯罪這一系列的有關政府門戶網站安全問題日益明顯，在某些程度上嚴重拖慢了信息化社會持久正常的建設，也對政府的經濟發展和百姓的日常生產生活造成了不小的麻煩。怎樣保證政府門戶網站信息安全，如今是整個世界上每個政府管理機構，各大企業以及眾多公眾急需解決的問題。

　　1 政府門戶網站

　　1.1 概念

　　關于政府門戶網站的定義，國內外學者尚未達成共識。結合當下中國政府門戶網站建設的實際情況，我們首先應對政府門戶網站與一般政府網站加以區別。這是因為，雖然我國近幾年政府網站的建設速度很快，但在各級政府和部門政府網站建設的過程中，“各自為政”的現象較為嚴重，各層級與各部門之間的協調機制并沒有良好的建立，從而導致重復建設，不但浪費了大量資源，還致使公眾的需求無法在政府網站上高效的滿足。因此，界定清楚政府門戶網站和政府網站的概念，并定位好兩者的服務功能，是推進我國電子政務水平、提高政府門戶網站服務能力的前提與必經之路。

　　1.2 政府門戶網站服務能力

　　政府門戶網站服務是指政府利用現代新技術，將網絡應用系統作為平臺，在政府內部資源實現整合的基礎上，面向公眾提供優質化、全天候的高效服務。政府門戶網站服務能力是指政府通過網絡平臺向公眾提供電子化服務的方式及產生的服務收益。通過政府門戶網站向公眾提供服務，打破了傳統的柜臺服務模式，它是一種跨時空、無縫隙的服務模式[1]。

　　2 管理機制設計

　　2.1 制度建設

　　通過調研各級政府門戶網站工作流程，結合業務實際，建立一系列網站安全管理制度和規范，包括網站管理、網站建設、網站運維、網站內容保障、網站應急預案、網站接口設計等方面，確保職責明確、分工合理、可操作、可執行。

　　2.2 應急預案建設

　　通過預防措施和恢復控制相結合的方式，使得網站應用系統由意外事件造成的影響減少至可接受的水平，保障網站應用的連續性，尤其是免受重大故障或災難的影響。同時，網站應急預應當選擇業務不繁忙的工作日進行演練來驗證應急預案的有效性，并根據演練結果對應急預案做進一步優化。

　　2.3 安全培訓

　　不定期開展安全培訓教育，使管理者和工作人員了解基本網站安全知識和安全行為準則，并且具備一定的安全意識。使網絡管理員具備基本的安全知識、安全技術，并且在安全標準及安全管理方面有明顯提高[2]。

　　3 技術保障設計

　　網站系統安全保障設計本著兩個基本原則進行設計：合規性、威脅性。合規性主要從網站系統等級保護技術要求及《指南》要求的合規性進行考慮，采用逐步優化循序漸進的方式，優先完善必須項，進一步完善其他安全項。威脅性主要從風險分析入手，主要考慮網站系統所面臨的威脅因素，這些威脅因素會對網站系統產生哪些風險。

　　3.1 安全域劃分

　　依據網站系統內各相關服務器的功能劃分不同的安全區域，通過在交換機上劃分虛擬局域網(VLAN)并設置訪問控制列表(ACL)進行安全區域間的控制與隔離。

　　3.2 操作系統安全

　　對網站服務器的操作系統和網站系統平臺部署，遵循最小安裝原則，禁用不必要的服務組件、應用插件、注冊表項等，并保證網站相關系統補丁的及時更新。并對關鍵業務服務器進行服務器安全加固系統，對需要受保護的服務器本身進行安全加固。從服務器的開機啟動、登錄、運行、連接、數據存儲、審計等各個環節進行安全控制，提高服務器自身的安全防御能力，構造服務器安全的主動防御體系，從源頭杜絕危害，兼顧服務器安全的“內憂外患”，有效解決已知或未知的病毒、蠕蟲等惡意代碼攻擊、數據失竊、泄密等安全威脅，達到保障服務器的運行安全、數據安全及安全管理的目標。

　　3.3 防篡改系統

　　在門戶網站應用服務器上部署防篡改系統，對網站頁面文件進行監控并在網站遭到惡意篡改時能夠及時恢復，最大限度的保障網站頁面文件的完整性，確保網站的可靠性。

　　3.4 入侵防范

　　通過部署入侵防護系統(IPS)，對外部訪問數據進行防護審計和防護。對多種網絡應用協議(

　　HTTP/FTP/TELNET/POP3/SMTP/SMB/即時通信協議)及數據庫網絡操作行為(登錄/注銷/插入/刪除/執行存儲過程等操作)進行審計，遇到符合規則庫的攻擊行為則將其屏蔽。

　　3.5 身份鑒別

　　建立服務器操作系統、網站系統平臺、網站管理平臺各個層面的身份鑒別機制;修改操作系統默認管理員的賬戶名和口令，及時刪除多余和過期的賬戶;建立操作員、管理員、審計員三類網站管理角色。

　　3.6 安全審計

　　審計范圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶。系統不支持該要求的，應以系統運行安全和效率為前提，采用第三方安全審計產品或人工方式實現審計要求[3]。

　　3.7 訪問控制

　　門戶網站內網與互聯網之間的邊界訪問控制，主要通過防火墻設備、VPN設備以及堡壘主機來綜合實現高的可控制性。為了方便權限分離及管理，產品引入三個管理員角色，即：系統管理員、安全管理員和安全審計員。根據最小權限原則，系統只賦予每個管理員完成任務所需的最小權限。并根據每個管理員上線的工作時間進行限制，避免非工作時間賬號誤用。通過“三權分立”的管理模式，使得服務器系統中的不同管理員之間相互制約，每個角色各司其職，共同保障服務器系統的安全。

　　4 運維服務設計

　　運維服務本著“頂層設計、統一規劃、分步實施”的設計思想，利用先進的計算機技術和網絡技術，為政府網站提供專業、安全、高效的網站安全保障服務。

　　4.1 設計原則

　　政府網站的運行維護設計必須考慮成熟性原則、開放性原則、安全性原則、可行性原則和可維護性原則。在不影響當前系統業務和網絡系統架構的前提下，將安全策略、硬件及軟件等方法結合起來，使系統對網絡事件具備快速響應能力。

　　4.2 安全監控目標

　　為了確保網站在出現安全問題時能及時發現并且確定問題的嚴重程度，網站監控應有三方面目標：一是完整性，針對當前越來越多的網站攻擊、部分頁面篡改、發布負面新聞等事件，網站內容的完整性是首要需要關注的內容。二是可用性，網站訪問時的速度及相應性能狀況都屬于可用性監控的內容。三是保密性，網站的保密性主要體現在網站的安全性上，隨著網站攻擊事件數量急劇上升，網站頁面被完全篡改、植入病毒代碼的安全事件也逐漸增多，根據不同的安全事件所產生的影響范圍也不同，安全性是監控工作中的主要工作[4]。

　　4.3 監控方法與內容

　　一是安全性監控，主要針對首頁面下的文字、頁面框架、圖片、鏈接，不包括鏈接指向的內容進行實時監控。網站DNS劫持、頁面關鍵內容、頁面敏感字、疑似篡改、站點掛馬等安全方面進行實時監控，保證網站能夠安全運行。二是性能監控，主要針對網站訪問時的響應時間、頁面下載速度、加載時間進行實時監控。網站的連通性進行實時監控，監控網站狀態和服務端口。三是預警機制，在監測出安全問題后使用多種報警類型相結合的方式給網站相關人員發送報警信息，主要報警類型有電話、E-MAIL、短信、傳真和微信等。

　　4.4 網站漏洞掃描

　　掃描服務主要針對目前常用的政府網站架構、數據庫系統、網站服務器、應用軟件等。同時，可增加驗證性掃描，即第三方定期掃描。

　　4.5 本地安全檢查

　　定期對網絡設備及安全設備本地實施安全性檢查，對冗余策略、ACL、異常管理賬戶、日常使用情況進行檢查，主要采用人工結合輔助工具的檢查形式發現當前業務環境中存在的漏洞及安全隱患，根據所發現的安全問題提出對應的解決方案[5]。

　　5 結束語

　　政府門戶網站是為各級政府機關和社會群眾提供服務的官方網站,是政府機關實現政務公開、服務企業和社會公眾,互動交流的重要渠道，它事關政府公共服務的形象。因此，網站安全保障建設必須堅持頂層設計、管理先行、系統性開發、常態性維護的理念，緊跟互聯網發展的新技術要求，不斷完善政府網站的安全保障體系，不斷提高應用水平和服務效能。

途傲科技為中小企業提供網站制作、網站建設、微信H5、微信小程序，多商戶平臺，多級分銷系統，APP開發，手機網站，HTML5多端自適應網站，營銷型企業站建設，及對技術人才的培養等都積累與沉淀了豐富的心得和實戰經驗。

如果您有想法，可以將需求提交給我們【免費提交需求，獲取解決方案】

免責聲明：文章部分內容收集于互聯網，不代表本站的觀點和立場，如有侵權請聯系刪除。