1 / 23

神州数码网络(北京)有限公司 dcnetworks

政府网站安全保障和评估体系. 周向軍. 神州数码网络(北京)有限公司 www.dcnetworks.com.cn. 提纲. 政府网站 安全态势和防护目标. 政府网站 安全防护思路和重点. 政府网站 建设和管理评估体系. 提纲. 安全态势和防护目标. 政府网站. 1. 政府网站 安全态势和防护目标. 一切都基于 WEB 应用 !. 1. 政府网站 安全态势和防护目标. “ WEB 攻击”占网络安全事件的 70% !. 1. 政府网站 安全态势和防护目标. 数据来源: 《 cncert国家计算机网络应急技术处理协调中心2010年网站安全报告 》.

kaylee
Download Presentation

神州数码网络(北京)有限公司 dcnetworks

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 政府网站安全保障和评估体系 周向軍 神州数码网络(北京)有限公司 www.dcnetworks.com.cn

  2. 提纲 政府网站 安全态势和防护目标 政府网站 安全防护思路和重点 政府网站 建设和管理评估体系

  3. 提纲 安全态势和防护目标 政府网站

  4. 1. 政府网站 安全态势和防护目标 一切都基于WEB应用!

  5. 1. 政府网站 安全态势和防护目标 “WEB攻击”占网络安全事件的70%!

  6. 1. 政府网站 安全态势和防护目标 数据来源:《cncert国家计算机网络应急技术处理协调中心2010年网站安全报告》

  7. 1. 政府网站 安全态势和防护目标 • 几个近期很热门的事件:

  8. 1. 政府网站 安全态势和防护目标 政府网站安全现状: • 安全措施主要依靠防火墙、IPS、AV网关,部分已配置WAF; • 网络结构单一,缺少完整的安全架构; • 数据安全考虑少,备份数据的保护措施弱; • 现有的防篡改系统落后,保护力差; • 服务器主机安全措施几乎没有; • 数据的备份、还原以手工居多,不具备自动、高效特点; • 无远程应急控制系统,非工作时间出故障,反应慢,易造成后果。

  9. 1. 政府网站 安全态势和防护目标

  10. 1. 政府网站 安全态势和防护目标 (攻击演示)

  11. 1. 政府网站 安全态势和防护目标 防护目标:100%保障网站安全! 安全防护效果 边界安全层 边界防火墙、异常流量清洗 低 UTM [入侵防御+病毒网关] 接入安全层 应用安全层 WAF、数据库审计、邮件网关 主机安全层 文件系统保护、进程保护、数据防篡改 高 数据安全层 数据备份、数据恢复

  12. 提纲 安全防护思路和重点 政府网站

  13. 2. 政府网站 安全防护思路和重点 传统的安全设备能解决吗? IPS

  14. 2. 政府网站 安全防护思路和重点 Java XML .NET web services SOAP J2EE 文件和打印服务 Employees LAN 20%攻击 传统防火墙 只能防止网络攻击 Port 80/443 Web 流量畅通无阻 防火墙 IPS IDS Data Center Web应用

  15. 2. 政府网站 安全防护思路和重点 三个重点能力建设: • 网站漏洞分析能力; • 实时攻击防护能力; • 连续服务保障能力; • 7*24监控能力; • 远程告警能力; • 远程应急处置能力; • 数据即时防篡改能力; • 数据自动备份能力; • 数据快速恢复能力

  16. 2. 政府网站 安全防护思路和重点 • 关键能力: • 可防护 • 可监控 • 可恢复 • 五个特色: • 多层次、立体式的安全防护体系 • 专业的WEB应用安全防护 • 自动、快速的数据备份和恢复 • 坚固的即时防篡改 • 便捷、高效的远程应急处置

  17. 提纲 建设和管理评估体系 政府网站

  18. 3. 政府网站建设和管理评估体系 评估一:2011年国务院40号令 《国务院办公厅关于进一步加强政府网站管理工作的通知》 六项检查内容: 网站页面能否正常访问,各栏目及其子栏目内容是否及时更新; 信息发布审核和保密审查机制是否健全; 网站提供的各项服务和互动功能是否正常; 网站链接是否经过管理单位审核把关,是否存在错链和断链; 网站安全防范工作是否到位,是否采取了防攻击、防篡改、防病毒等安全防护措施,并制订了应急处置预案; 网站管理单位和运行维护单位职责是否明确;

  19. 3. 政府网站建设和管理评估体系 评估二:国家信息安全等级保护有关文件 5个等级 基本要求 • 用户自主保护级; • 系统审计保护级; • 安全标记访问级; • 结构化保护级; • 访问验证保护级; • 技术要求: • 物理安全; • 网络安全; • 应用安全; • 主机安全; • 数据安全及备份恢复; • 管理要求: • 安全管理制度; • 安全管理机构; • 人员安全管理; • 系统建设管理; • 系统运维管理;

  20. 3. 政府网站建设和管理评估体系 评估三:2011年政府网站绩效评估指标体系 【部委】评估指标 【地方政府】评估指标 教育领域服务能力; 社保领域服务能力; 就业领域服务能力; 医疗领域服务能力; 住房领域服务能力; 交通领域服务能力; 婚育收养领域服务能力; 公共事业领域服务能力; 证件办理领域服务能力; 企业开办领域服务能力; 经营纳税领域服务能力; 资质认定领域服务能力; 信息公开透明度评估指标; 互动交流服务能力; 工程建设领域专项评估指标; 日常保障能力评估指标; • 信息公开(36) • 主动公开-23; • 依申请公开-2; • 政府信息公开目录-9; • 公开保障-2; • 在线办事(20) • 服务导航-6; • 服务功能-7; • 特色服务-7; • 公众参与(24) • 政务咨询-6; • 投诉举报-6; • 实时交流-6; • 民意征集-6; • 用户调查(5) • 日常保障(15) • 内容日常保障情况; • 网站可用情况; • 新技术应用情况; 业务服务内容;——想不想做 综合保障能力;——有没有能力做

  21. 3. 政府网站建设和管理评估体系 2011政府网站绩效评估排名:省会城市

  22. 3. 政府网站建设和管理评估体系 联合主办第10届(2011年)中国政府网站绩效评估:

  23. 谢 谢! 网站安全解决方案 提供商

More Related