一. 概述

　　对于政府机构来说，电子政务是政府实现政务公开的一种重要形式和发展方向，而电子政务的功能和内容主要是通过政务网站的形式表现出来的，外界对政府信息化的了解也是从政务网站开始的。

　　政府网站是政府职能部门信息化建设的重要内容，主要实现国家对政府网站的三大功能定位：信息公开、在线办事、政民互动。政府门户网站是电子政务的窗口,也是政府的窗口，是政府部门履行职能、面向社会提供服务的官方网站，是提高政府电子政务服务质量、服务效率、公众认知度和满意度的关键环节，是国家重要信息系统。

　　而近年来，随着政务网站所运行业务的重要性逐渐增加以及其公众性质使其越来越成为攻击和威胁的主要目标，政府网站所面临的Web应用安全问题越来越复杂，混合威胁的风险正在飞速增长，如网页篡改、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等，极大地困扰着政府和公众用户，给政府的政务形象、信息网络和核心业务造成严重的破坏。

　　因此一个优秀的电子政务网站安全建设是电子政务是否能取得成效、充分发挥职能的基础，而合规、有效、全面的信息安全体系建设对保障其正常运行至关重要。

　　绿盟科技基于多年在信息安全领域持续深入的研究、积累的丰富技术成果以及对门户网站安全建设实践，设计了该方案，从检测与发现、防护与阻击、安全监控与安全恢复几个方面为政府网站提供全方位的安全保障。

　　二. 政府门户网站安全建设必要性

　　推动政府网站进行全面信息安全体系设计和建设的动力目前主要来自三个方面：

　　等级保护等合规性安全要求

　　面临的安全威胁

　　政府网站安全现状

　　三. 面临的典型攻击

　　魔鬼出没的世界 - 卡尔?萨根，用这句话形容网站目前所处的恶劣安全环境是再合适不过了。对于政府网站的电子政务应用特点，针对政府网站最普遍的攻击有如下

　　跨站脚本

　　信息泄漏

　　SQL 注入

　　越权攻击

　　DDOS攻击

　　四. 绿盟科技政府门户网站安全防护

　　作为信息系统的一个典型应用，网站的安全防护与信息系统一样，涉及的层面比较多，可分为网络层面、系统层面、一般服务组件如数据库、通用软件、常用软件等、特定应用，对于前三类防护手段是通用的，我们使用的是传统的防护技术。如下图：

　　对网络、通信协议、操作系统、数据库等层面上的防护可以认为是通用的，传统的边界安全设备，如防火墙、安全网关、IDS /IPS、审计产品、终端防护产品等，作为网站整体安全策略中不可缺少的重要模块，其防护效果是比较有效的。

　　但在对政府网站系统采用传统技术手段进行安全防护的同时，也要充分考虑如何针对用户特定应用的应用层面脆弱性及威胁进行安全保障，因为网站的安全问题中，业务层面所暴露的安全问题显得尤为突出，针对WEB特定应用的脆弱性以及产生的安全问题是个性化和不通用的，以上这些传统的技术手段就显得力不从心了，不能有效的防范和检测网站特定的威胁和攻击，本方案重点是围绕政府网站面临的典型安全问题，如跨站脚本、信息泄露、SQL注入、越权操作、DDOS攻击，解决典型用户特定Web应用的防护和保障的解决方案，传统层面的保障方案参见公司其他方案。

文章作者：国脉电子政务网