新电子政务网站安全防护方案—安恒信息

　　门户网站是指通向某类综合性互联网信息资源并提供有关信息服务的应用系统。

　　网站安全是指出于防止网站受到外来电脑入侵者对其网站进行挂马，篡改网页等行为而做出一系列的防御工作。

　　电子政务门户网站信息安全形势严峻

　　门户网站作为电子政务（运用计算机、网络和通信等现代信息技术手段，实现政府组织结构和工作流程的优化重组，超越时间、空间和部门分隔的限制，建成一个精简、高效、廉洁、公平的政府运作模式，以便全方位地向社会提供优质、规范、透明、符合国际水准的管理与服务）的重要组成部分，是政府部门对外的窗口和实施电子政务的重要平台，其地位非常重要，但其安全形势却不容乐观。

　　据CNCERT（国家计算机网络应急技术处理协调中心是在信息产业部互联网应急处理协调办公室的直接领导下，负责协调我国各计算机网络安全事件应急小组（ CERT ），共同处理国家公共互联网上的安全紧急事件，为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持，及时收集、核实、汇总、发布有关互联网安全的权威性信息，组织国内计算机网络安全应急组织进行国际合作和交流的组织）统计显示，2009年我国大陆地区政府网页遭篡改事件呈现大幅度增长趋势， 2010年上半年我国大陆地区被篡改的政府网站的数量就达到7189个。电子政务门户网站基于WEB应用服务方式，给用户提供了方便，然而针对WEB业务的攻击亦在迅猛增长，类似网页被篡改或者网站被入侵等安全事件频繁发生，不但严重影响了政府的对外形象，有时甚至会造成巨大的经济损失，或者严重的社会问题，严重危及国家安全和人民利益。

　　电子政务门户网站防护体系建设需求

　　从早先的"三金工程"（指"金卡、金关、金桥"工程），经过"政府上网工程"（电信总局和相关部委办局信息主管部门策划发动和统一规划布署，各省、自治区、直辖市电信管理局作为主要支持落实单位，联合信息产业界的各方面力量（ISP/ICP、软硬件厂商、新闻媒体），推动我国各级政府各部门建立正式网上站点并提供信息共享和便民服务的应用项目，争取2000年实现80%的政府上网，构建我国的"电子政府"），到"电子政务工程",随着政府信息化进程的推进，应用系统承载着庞大的重要数据，电子政务涉及对国家秘密信息和高敏感度政务的保护，而互联网站存在许多的安全问题，电子政务的应用面临着严峻的挑战。

　　随着"权力阳光"工程的开展，政府和用户对应用系统的依赖性将不断增加，信息安全的保障成为重要研究项目。电子政务作为党委、政府、人大、政协有效决策、管理、服务的重要手段，必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。目前，信息安全已成为制约电子政务平台建设的首要因素。

　　电子政务安全防护体系建设依据

　　电子政务门户网站安全防护体系依据《国家信息化领导小组关于我国电子政务建设指导意见》；ISO15408 / GB/T 18336（《信息技术 安全技术 信息技术安全性评估准则》）；国家973信息与网络安全体系研究G1999035801课题组IATF《信息技术保障技术框架》相关要求，根据电子政务门户网站的安全现状制定的。

　　安恒信息应用安全防护体系建设方案

　　杭州安恒信息技术有限公司（以下简称"安恒信息"），作为国内的WEB应用和数据库安全解决方案提供商，针对目前电子政务系统所存在的安全隐患，结合《国家信息化领导小组关于我国电子政务建设指导意见》以及《信息系统安全等级保护基本要求》，制定具有针对性的安全产品解决方案。

　　如上示意图为电子政务应用安全防护体系

　　明鉴WEB应用弱点扫描器：在黑客进行入侵和攻击之前主动发现电子政务系统WEB应用层可能存在的如SQL（（Structured Query Language）结构化查询语言，是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统，同时也是数据库脚本文件的扩展名）注入、跨站脚本以及文件上传等安全隐患，及时进行有针对性的加固和维护，消除安全风险。

　　明御WEB应用防火墙：在电子政务应用服务器与网络防火墙之间直连部署明御WEB应用防火墙，对基于正常端口访问所发出的请求进行动态检测，及时发现并有效阻断WEB应用攻击/入侵行为，包括SQL注入攻击、跨站脚本攻击以及木马上传等。

　　电子政务门户网站防护体系建设目标

　　作为公安部、浙江省信息安全等级保护专用应用安全测评工具，明鉴WEB应用弱点扫描器可以帮助用户充分了解WEB应用所存在的安全问题，存在哪些安全薄弱环节；明御WEB应用防火墙可以对电子政务门户网站进行有效的安全防护，避免入侵攻击、网页篡改以及信息泄露等安全事件的发生，保障电子政务门户网站的长期安全、稳定的运营。