2012年7月21日,以“融合与发展——政府网站发展新趋势”为主题的第二届中国政府网站发展论坛在海口举行,国家工业和信息化部信息化推进司司长徐愈到会作主题演讲。包括启明星辰在内的国内领先的IT产品服务提供商应邀参加本次会议并发表主题演讲,就政府网站信息安全、内容建设、服务功能、新技术在政府网站中的应用等方面的问题进行了深入的研讨。
经过十多年的建设发展,政府网站已经实现了从信息发布向提供政务服务转变,承担了政务公开,信息发布,民意收集以及网上办公等多项职能,是政府工作透明化的最为有力的手段。由于政府网站的特殊性,黑客攻陷政府网站不仅可以迅速获得知名度的提升,还能获得巨大的经济利益。这使得政府网站面临着巨大的安全压力。据CNCERT的《2011年中国互联网网络安全态势报告》提供的数据显示,2011年中国大陆被篡改的政府网站数量多达2800余家。
启明星辰是国内最早从事Web安全研究的专业网络安全企业。启明星辰ADLab(积极防御实验室)是国内安全业内最早成立的攻防技术研究实验室之一。研究范围包括网络漏洞与隐患攻击、防御与反攻击、实时入侵检测与监控、安全审计、操作系统内核、缓冲区溢出、数据库入侵与防御、移动终端安全、工业控制系统安全、基于Web的入侵与防御体系等。截至2011年12月底,启明星辰ADLab已经发布了CVE漏洞近90个(其中40%和Web应用相关),持续保持发布漏洞数量居亚洲首位。
在上市之后,启明星辰累计投入数千万元,整合内部各个层面的针对Web安全的研究资源,并形成了自己完整的、充分的整体Web安全解决方案。就政府网站而言,启明星辰推出了政府网站安全五星解决方案。
五星解决方案保护政府网站安全
网站安全五星方案对应信息安全PDR(检测、防护、响应)模型的三个方面。检测部分包含全面系统评估(第一颗星)和深入应用检查(第二颗星);防护部分包含准确攻击防护(第三颗星)和关键数据监控(第四颗星);响应部分包括及时安全响应(第五颗星)。
全面系统检测:通过对网站所处的网络环境进行全面的系统检测,发现其中存在的设备配置、操作系统的安全隐患,是保障政府网站安全的首要环节。
用户可以使用漏洞扫描产品定期对网站支撑环境进行漏洞检查,并按照安全建议进行修补。
深入应用检查:通过对网站业务系统进行深入检查,发现Web应用中存在的漏洞和挂马等行为,是保障政府网站安全的关键环节。
用户可以使用Web漏洞扫描产品或者是专业安全公司提供的网站安全检查服务,对Web业务系统进行定期检查,并依据产品提供的修补建议或者是安全服务报告,对网站进行调整或者加固。
准确攻击防护:在进行评估之后,就要根据评估结果来采取相应的防护措施,保障网站免受恶意攻击威胁,准确攻击防护是保障政府网站安全的核心环节。
用户可以在Web业务系统前方部署WAF(Web应用防火墙)产品以及抗拒绝服务产品,对所有实时访问Web业务系统的数据进行检测,及时发现并阻断其中存在的恶意攻击行为。
关键数据监控:许多政府网站不仅提供了政务信息的公开,还提供了在线办事、网络查询等便民业务。这些业务所涉及的后台数据系统中,存放了大量关键数据。运维管理人员某些有意或无意的违规操作,如窃取数据库中的公民信息或者是修改数据库字段,都将对业务系统造成重大影响。
