一、背景需求
党政机关、事业单位互联网网站是各级政府及所属单位履行职能(néng)、面向社会提供服务的(de)重要(yào)手段(duàn)和渠道(dào),在提高行政效能、提升公信力(lì)方面发挥着(zhe)重要作用,但脆弱的Web安全防护能(néng)力却与之形(xíng)成极大的反差,自2013年到(dào)2015年,公安部、网信办先后对全国政府网站(gov.cn域名)以及大量央企、省级(jí)门户网站、高(gāo)校(xiào)网站(zhàn)进行监测排查,55%左右(yòu)政(zhèng)府网站存在安全隐(yǐn)患,过半网(wǎng)站存(cún)在安全(quán)漏(lòu)洞。
为了提高党(dǎng)政机关、事业单位和国有(yǒu)企(qǐ)业互联网(wǎng)网站安全防护水平,防范和打击境内外不法(fǎ)分(fèn)子(zǐ)攻击篡改(gǎi)、破坏网站安全的(de)违法(fǎ)犯罪活动,维(wéi)护党政机关、事业单位和国有(yǒu)企业互(hù)联网网(wǎng)站安全稳定运行(háng),保障网络(luò)安全和国家安全,公安部、中央(yāng)网信办(bàn)、中编办、工信部四(sì)部(bù)委联合发布《互联(lián)网网站安全专项整治行动方案》在全国范围内(nèi)开展党政机关、事业单位和国(guó)有企业互联网网站的专项整治活动,从(cóng)统一(yī)管理、统一(yī)监测、统一防护的角(jiǎo)度指(zhǐ)导和督促各(gè)个单位提升互联网网站安(ān)全管理和防护水平。
需求
根据党政机关、事业单(dān)位和国有企业互联网网站面临(lín)的安全(quán)威胁现状、网(wǎng)站应用现状、安全防(fáng)护(hù)现状以及风险分析和实际发生(shēng)的网站安(ān)全事件案例,传(chuán)统的网站安全防护模(mó)式和手段已无法应对新时(shí)期互联网网站(zhàn)所面临的安全(quán)威胁,需要从(cóng)以下五(wǔ)个方面提(tí)出安(ān)全防护需求。
1. 动态防御安全架构(gòu)亟待引入(rù)
2. 网络边界防护手段有待增强
3. 网站安全服务能力(lì)有待提(tí)高
4. 网站基础防护措施(shī)亟需完善
5. 安全管理(lǐ)保障措施有待健全
二(èr)、解(jiě)决方案
本方案参(cān)考国家等级保护相(xiàng)关政策(cè)规范(fàn)和技术标(biāo)准要求(qiú),结合当前网站应用和(hé)防(fáng)护现状,设计互(hù)联网网站安全防护体系。以“防”、“监”、“固(gù)”、“评”为核心安全理(lǐ)念(niàn),从常(cháng)态、实时、及(jí)时、定时防护(hù)维度建设互联网网(wǎng)站(zhàn)自适应安全防护(hù)体系架构。
网(wǎng)站安全防护体系
常态(tài)“防”护:增强和优化现有网站应用基础(chǔ)设施、边(biān)界安全防护水平(píng)、通过(guò)WEB应用数据引流技术引入(rù)云防御平台形成具备三层(céng)纵深的(de)防护(hù)体系;
实时“监”测(cè):通过(guò)面向网(wǎng)站的在(zài)线安全监测(cè)服务,协助用户实(shí)时(shí)有效地了(le)解网站是否安全可靠,发(fā)现问题及(jí)时预警、告(gào)警和处(chù)置;
及时“固”本:依托后(hòu)台(tái)安全专家团队线下(xià)服务及时提供(gòng)安全(quán)事件的安全分析(xī)、策略加固、应急响应和救援,从整体上完善了各网站的安(ān)全防(fáng)护(hù)能力、自我发现(xiàn)能力(lì)和(hé)应(yīng)急响应(yīng)能力;
定时“评”估:定期利用渗透测(cè)试(shì)等风险评估手段对网站所存在的安全风险进行监测和评估,进一步(bù)改进各种防护(hù)阻止策略(luè)和手段(duàn)的完备性。
三(sān)、效(xiào)能(néng)体现
立足党政机(jī)关、事业单位和国有企业网站安全防护需(xū)求,以云防御(yù)、在(zài)线监测、线下专家、渗透(tòu)评估为手段,结合基础应用、网络边(biān)界(jiè)防护措施的(de)优化和(hé)加固,进行网站安全防护体系(xì)的建设(shè),形成有纵深、策略统一(yī)的自适(shì)应网站安(ān)全防护架构。具备常态(tài)安全防(fáng)护、实时在线(xiàn)监测、及时响应处置(zhì)、定时渗透评(píng)估,提升(shēng)党(dǎng)政机关、事业单位和国有企(qǐ)业互(hù)联(lián)网网(wǎng)站安全技术防范能力(lì),提高网站安全管(guǎn)理(lǐ)水平、加强网(wǎng)络安全监测和应急处置能(néng)力、增强(qiáng)抵御攻击、篡(cuàn)改(gǎi)、破坏的能力。
一、背景需求随着国家“互联网+政务服务(wù)”理念的持续推广,各类电(diàn)子政(zhèng)务服务模式在各地纷纷涌现,电子(zǐ)证(zhèng)照作(zuò)为(wéi)政务服务的重要支撑工具,各地通过试(shì)点推进的方(fāng)式进行了电子证照应用(yòng)建设的探索,从目前的建设现状(zhuàng)来(lái)看,主(zhǔ)要分为两种(zhǒng)建(jiàn)设模(mó)式,一(yī)是以部委为中(zhōng)心主导的(de)纵向服务于(yú)该(gāi)部(bù)委(wěi)各级直(zhí)属(shǔ)机关的条状电子证照(zhào)建设模式(shì),如...
一、背景需求目(mù)前,全(quán)国(guó)省、市级政府(fǔ)在大力推进“互(hù)联网+政务服务”建设,各级政务(wù)服务平台属(shǔ)于(yú)“关(guān)键基础设(shè)施(shī)”,其安全保障建设必须以较高的标准同步进行设计和建设(shè)。 需求1. 政(zhèng)务服务门户网站(zhàn)面临(lín)来自互联网(wǎng)攻击和(hé)渗透的威胁,需要采用先进的防护(hù)思路和手段,保护政府...
一、背景需求党政机关、事业单位(wèi)互联网网站是各级政府及(jí)所属单位履(lǚ)行职能、面(miàn)向社会提供(gòng)服务(wù)的重(chóng)要手(shǒu)段和渠道,在提(tí)高行政效(xiào)能、提升公信(xìn)力方面发挥(huī)着重要作用,但脆弱的Web安全防护能力(lì)却与之形(xíng)成(chéng)极大的反差,自(zì)2013年到(dào)2015年,公安部、网信办先后(hòu)对全国政府(fǔ)网(wǎng)站(gov.cn域名)以及大(dà)量央企、省级门户(hù)网...
一、背景需求随着医疗行业信(xìn)息化建设的飞(fēi)速(sù)发(fā)展,IT 技术的应用与(yǔ)医疗(liáo)信息建设的日趋成(chéng)熟,医院对信息(xī)化的(de)依(yī)赖程度(dù)也越(yuè)来越高(gāo),信息(xī)系统(tǒng)成为医院运行中不可缺少(shǎo)的基础设(shè)施与支撑(chēng)平台。数(shù)字化医院(yuàn)作为一种全新的医院(yuàn)管理模(mó)式与理念,是(shì)我国现代医疗发展的新趋势,可(kě)以全面(miàn)提高医院的工作效(xiào)率和管(guǎn)理水平,促进医院(yuàn)的快速发(fā)...
区域人口健康信息平台安全总体解决方案依据国家等级保护制(zhì)度(dù)要求,按照区域人口健康信息化平(píng)台统一规划,进行人口健康信息化(huà)平台安全一体(tǐ)化设(shè)计
