作者: 祝国鑫

　　政府门户网站的地位非常重要，但其安全形势却不容乐观。绿盟科技“政府门户网站等级保护解决方案”以出色的技术底蕴和对等级保护的深刻理解，为政府客户提供安全保障。
 文章导读 1、政府门户网站的信息安全需求 2、绿盟科技政府门户网站等级保护解决方案 3、解决方案优势总结
　　政府门户网站是“政务公开”和“服务型政府”两大主导思想，在落实过程中所必须凭借的重要平台，在未来的电子政务规划中，政府门户网站必将占有非常重要的地位。国家正在逐步推进信息安全等级保护工作，这一国家层面的信息安全标准，已成为未来在电子政务安全建设中的重要保障。

　　绿盟科技特别推出的“政府门户网站等级保护解决方案”以业界最为出色的技术底蕴和对等级保护的深刻理解，为政府客户最需要保障之处，提供了最可靠的信心保证。

　　政府门户网站的信息安全需求

　　政府门户网站的地位非常重要，但其安全形势却不容乐观。据统计，仅在2007年，就有3000余个政府门户网站发生过网页被篡改的事件，严重影响了政府的对外形象。随着电子政务建设的逐步推进，政府门户网站所承载业务的数量在逐步增加，网站被入侵或篡改所带来的危害将不仅仅限于“政府形象”的损害，甚至能会造成巨大的经济损失，或者严重的社会问题。

　　对于政府网站所面临的主要风险，总结如下：

　　·页面被篡改

　　政府门户网站作为“政府形象”的标志之一，常常是一些不法分子的重点攻击对象。政府门户网站一旦被篡改(加入一些敏感的显性内容)，常常会引发较大的影响，严重时甚至会造成政治事件。

　　另外一种篡改方式是网页挂马：网页内容表面上没有任何异常，却可能被偷偷的挂上了木马程序。网页挂马虽然未必会给网站带来直接损害，但却会给浏览网站的用户带来损失。更重要的是，政府网站一旦被挂马，其权威性和公信力将会受到打击，最终给电子政务的普及带来重大影响。

　　·在线业务被攻击

　　对企业、公众提供在线服务，已经成为政府门户网站的重要功能。这些服务一旦受到拒绝服务攻击而瘫痪、终止，对业务的正常运转必然造成极大的影响，可能会造成经济损失，严重时甚至会影响社会稳定。

　　·数据被窃取

　　在线业务系统中，总是需要保存一些企业、公众的相关资料，这些资料往往涉及到企业秘密和个人隐私，一旦泄露，会造成企业或个人的利益受损，可能会给网站带来严重的法律纠纷。

　　·内网被侵入

　　政府门户网站虽然和政府的办公网络之间有逻辑隔离设备，但仍有可能被手段高明的黑客入侵，从而盗取一些敏感材料，或对电子政务应用系统造成破坏。

　　以上的总结仅仅是对政府门户网站主要安全需求的简单总结，事实上，政府门户网站要达到真正的安全，需要建立一个完善细致的安全防护体系，不仅要在技术上建立事前、事中和事后的纵深防御系统，还需要建立良好的信息安全管理制度。下文将结合信息安全等级保护政策，提出整体建议方案。

绿盟科技政府门户网站等级保护解决方案

　　出于对信息安全的重视，国家出台了信息安全等级保护的一系列文件和标准，用以促进和指导信息安全的建设。

　　2007年6月22日，公安部与国家保密局、密码管理局、国务院信息办联合会签并印发了《信息安全等级保护管理办法》(公通字[2007]43号)，确定了信息安全等级保护制度的基本内容及各项工作要求。

　　2007年7月16日，四部委联合会签并下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)，就定级范围、定级工作主要内容、定级工作要求等事项进行了通知。

　　43号文和861号文这两个主要文件的出台，标志着信息安全等级保护工作在全国范围内进入推广实施阶段。

　　针对政府门户网站的安全需求，以及信息安全等级保护相关文件和标准，绿盟科技以安全服务为主线，提出了符合等级保护要求的政府门户网站整体安全解决方案。

　　根据《信息系统安全等级保护实施指南》中所给出的等级保护的建设过程(如图1所示)，可以看到等级保护并不是一个“一劳永逸”的孤立项目，而是一个连续不断，周而复始的“过程”。

　　要实现这样一个过程，就必须要以安全服务为主线，从门户网站的安全评估、差距评估等咨询性服务开始，到整体安全规划、解决方案设计等设计性服务，最终以运维支持、应急响应等持续的技术性服务为政府门户网站提供一个符合等级保护精神的安全保障体系。

　　绿盟科技在等级保护过程的各阶段中所提供的系列安全服务如下图所示：

　　图2 等级保护过程及各阶段安全服务

　　上图所示的各阶段都分别对应多个安全服务，限于篇幅，不能一一尽述，下面就各阶段中的主要部分做简要介绍。

　　安全定级阶段安全服务

　　政府门户网站安全定级和备案阶段的安全服务包括等级保护导入、信息系统辅助定级、协助用户完成备案等几部分。

　　这些安全服务的目标是通过培训，使客户方有关人员了解等级保护的内容和过程，并按照定级指南要求对门户网站进行定级，最终帮助用户完成备案工作。

　　绿盟科技具备丰富的系统定级和备案经验，能够为政府门户网站进行准确定级，并顺利完成备案工作。

　　安全规划设计阶段安全服务

　　安全规划设计阶段的安全服务包括安全需求导出、信息系统风险评估、等级保护差距评估、安全建设整体规划和安全基线指标设计等。

　　安全需求导出服务的目标主要是为门户网站导出真正的安全需求。不同网站的规模、访问量、部署模式、政务公开信息的频度、在线业务的重要程度都各不相同，其安全需求也就各有不同。只有对网站业务进行详细的调研和分析，才能给出符合实际的安全需求分析。

　　信息系统风险评估服务、等级保护差距评估服务是结合风险评估的方法和理论，围绕着系统所承载的具体业务，通过风险评估的方法评估系统的风险状况，并根据系统的安全措施是否符合相应等级的安全要求来判断系统与所定等级的差距。

　　Lord Kelvirl有—句名言“你不能改进你不能测量的东西”，为评价各项安全工作是否有效，并为门户网站安全管理考核体系打下可量化考核的基础，绿盟科技设计了安全基线指标设计服务。安全基线指标设计服务为用户建立了可量化的安全指标体系，为未来的运维管理和自我检查奠定了坚实的基础，是绿盟科技在业内的独有优势服务。

　　安全实施阶段安全服务

　　安全实施阶段是等级保护“落地”的主要阶段。在这个阶段中，绿盟科技将以闻名业界的安全服务团队，辅以业界领先的高端产品，为政府门户网站构建符合等级保护要求的，严密的信息安全保障体系。

　　安全实施阶段中主要包括安全解决方案设计、安全技术体系改造、安全管理体系改造、岗位培训和应急响应演练等安全服务。

　　安全解决方案设计是如何将门户网站业务安全目标和系统等级安全规划落实的关键过程。绿盟科技依靠多年的方案设计经验，将在深入理解等级保护政策、标准，分析系统业务安全需求的基础上，为用户提供并建立一套符合相应等级保护要求并适合门户网站实际需求整体安全解决方案。

　　安全技术体系改造主要包括物理层、网络层、应用层、主机层和数据层五个层面，对于一般网站而言，较为重要的是网络、应用、数据三个层面。

　　在网络层面，网站安全主要关注安全域划分、入侵防范和抗拒绝服务攻击。绿盟科技的安全域划分服务通过对网站业务、数据流向、网络结构等多方面因素进行专业分析，为网站划分合理的安全域。在入侵防范方面，绿盟科技的入侵防御系统能够抵御来自互联网的入侵行为，而黑洞抗拒绝服务攻击系统则能够保证在线业务顺畅进行，不致被恶意攻击所瘫痪。此外，绿盟科技还拥有漏洞管理系统、网络安全审计、内容安全管理等全线网络安全产品，能够为客户构建严密、专业的网络安全保障体系。

　　在应用层面，绿盟科技WEB应用防火墙能够对WEB应用漏洞进行预先扫描，同时具备对SQL注入、跨站脚本等通过应用层的入侵动作实时阻断，真正达到“网页防篡改”的效果。

　　在数据层面，通过网络安全域划分，数据库将被隐藏在安全区域，同时通过绿盟科技的安全加固服务对数据库进行安全配置，并对数据库的访问权限做最为严格的设定，最大限度保证数据库安全。

　　在安全管理体系的设计中，绿盟科技借助丰富的安全咨询经验和对等级保护管理要求的清晰理解，为用户量身定做符合实际的、可操作的安全管理体系。

　　在安全管理体系建立完毕后，绿盟科技将提供全面的岗位培训和有针对性的应急演练，帮助客户掌握岗位所需的安全职责，并对未来可能发生的信息安全事件预先做好准备。

　　安全运行管理阶段安全服务

　　在政府门户网站的运行管理阶段，绿盟科技建议通过内部管理人员维护和采用专业安全厂商的安全服务相结合的方式来实现。

　　安全服务提供商能够为用户提供专业的安全服务，但在日常运行工作中，安全服务提供商不可能代替用户做所有的事情。为保证客户的内部管理人员的安全管理工作也能够保持专业水平，绿盟科技提出了“基于安全指标设计的配置核查”安全服务，使客户的内部管理人员根据等级保护标准进行量化的安全指标，使用自动化工具去执行内部核查，保证了日常运行管理的专业程度。

　　在安全运行管理阶段，还需要安全服务提供商提供的阶段性风险评估服务、安全应急响应服务和协助用户通过等级保护安全检查工作等。

解决方案优势总结

　　本文提出的政府门户网站等级保护解决方案体现了绿盟科技公司多方面的独特优势：

　　对等级保护政策的深刻理解

　　绿盟科技公司作为专业安全厂商，参与了等级保护相关标准的制订工作，与国家主管部门、业界专家保持紧密联系，具备对相关政策、标准的准确把握能力。

　　领先的WEB应用防护产品

　　针对当前WEB应用面临的挑战，绿盟科技推出独有的WEB应用防火墙，能够协助用户准确监测、识别各类针对Web应用的攻击型流量并进行实时阻断，有效防护针对Web应用的篡改攻击。

　　领先的抗拒绝服务攻击产品

　　绿盟科技的分布式拒绝服务攻击(DDoS)防护技术处于国际领先水准，目前在中国互联网上已部署了近300G的流量防护能力，为中国互联网的稳定做出了卓越贡献。

　　领先的网站安全漏洞管理技术

　　绿盟科技基础研究部是国内最强的研究安全攻防技术的专业团队，由顶尖的安全专家组成。他们长期对国内外最新的网络安全漏洞进行最及时、最紧密的跟踪，取得了一系列在国内甚至是国际上处于领先水平的优秀成果。

　　专门为网站安全所设计的Web应用安全漏洞检测功能能够对被检测站点进行深度内容分析，找出可被浏览的ASP、JSP、PHP、CGI等页面，同时可以分析被检测站点页面源代码，以检测网站是否存在SQL注入或输入验证信息泄露等漏洞。

　　专业安全服务实力

　　绿盟科技是国内第一家从事专业商业安全服务的公司，第一家获得ISO9001国内、国际双认证的专业安全服务企业，第一家通过ISO27001认证的国内信息安全企业。

　　在举世瞩目的奥运会期间，绿盟科技作为技术保障单位，出色的完成了奥运期间的信息安全保障工作，得到了国家主管部门的高度评价。