如何加强网站维护和网站安全建设
1前言根据国家权威数据显示近些年来网站遭受黑客攻击的次数呈现逐年上涨的趋势其中政府门户网站遇到的黑客攻击占到总体受攻击次数的30左右由此可见政府门户网站正面临着严重的安全隐患。
由于政府门户网站涉及诸多的重要信息主要包括政府的政治、经济、军事等重要信息这些信息关系到政府工作的安全必须要严加保护如果出现泄密事件将会对政府工作造成严重的伤害。
基于这一目的政府门户网站亟需加强网站维护和网站的安全建设只有这样才能保证政府门户网站的安全稳定运行。
由于互联网具有开放式的特点政府门户网站在日常运营中既要履行开放式功能和基本的服务职责又要考虑到网站安全性的需要由此也决定了政府门户网站维护和网站安全建设的复杂性。
所以政府门户网站的维护和安全建设必须立足网站本身的功能从其实际的使用特点出发。
2加强政府门户网站维护和安全建设的必要性从目前掌握的信息来看每年政府门户网站都会遭受大量的网络恶意攻击如果我们不加强政府门户网站的维护和安全建设不但无法规避网络恶意攻击带来的伤害还会使政府门户网站丧失原有的功能。
所以加强政府门户网站维护和安全建设是十分必要的。
其必要性主要表现在以下几个方面21加强政府门户网站维护和安全建设是提高网站安全性的必要手段为了保证政府门户网站安全
性我们必须加强网站日常的维护和安全建设提高维护管理水平和网站安全级别从根本上对政府门户网站的安全性引起足够的重视从手段上予以保障和加强。
从目前政府门户网站的维护和安全建设情况来看通过这两项建设政府门户网站的安全性得以明显提高。
所以加强政府门户网站维护和安全建设是提高网站安全性的必要手段。
22加强政府门户网站维护和安全建设是促进网站整体水平提升的必要途径对于我国的政府门户网站来讲由于发展时间段短在网站维护和安全建设水平上还处于较低的水平要想实现网站安全性提高就必须积极加强网站日常的维护和安全建设工作将网站维护和安全建设工作当作网站运行的主要事情来做努力提升网站维护和建设水平。
从目前政府门户网站的实际运行来看加强政府门户网站维护和安全建设是促进网站整体水平提升的必要途径。
23加强政府门户网站维护和安全建设是网站健康发展的必要阶段从目前网站的发展历程来看都会面临严峻的恶意攻击在这种形势下只有不断加强网站的日常维护和持续的安全建设才能有效应对网络攻击。
普通商业网站都是经历过这一发展阶段的对于组建时间较短的政府门户网站来讲更是如此。
所以政府门户网站要想实现健康发展的目标就必须经历加强
网站维护和安全建设的阶段。
3政府门户网站维护和安全建设的管理体系构建从目前政府门户网站的维护和安全建设情况来看要想有效加强政府门户网站维护和安全建设首先就要从管理体系的建设入手具体可以采用以下方法31在政府门户网站中建立标准的网站技术管理规范面对网络安全的脆弱性除在网络设计上增加安全服务功能完善系统的安全保密措施外还必须花大力气加强网络的安全管理。
1非涉密、涉密网机器不允许混用在政府网络系统内做好内外网络物理隔离。
2非涉密网机器不允许运行涉密信息涉密网机器不允许上非涉密网。
3必须严格按照安全等级划分制定相应的安全保密制度。
4不同安全域、安全等级之间的信息必须通过安全交换系统方可交流。
32在政府门户网站中建立完善的人员和组织结构在政府门户网站中我们要建立一支完善的网络维护队伍保证网络能够得到有效维护和正常使用。
另外我们还要建立健全的组织机构要将专业的网络维护队伍分级分层达到每个安全层级都有专业的网络管理员负责起到良好的网络安全监管作用保证网站的安全能够满足运行需要。
从目前政府门户网站的实际运行来看建立完善的人员和组织结构是加强网站维护和安全建设的重要手段。
33在政府门户网站的日常运行中建立应急事件响应机制从政府门户网站的日常运行来看恶意网络攻击只是个别事件但是一旦事件发生往往会对网站造成不可弥补的损失。
因此我们要在保证网站正常运行的同时建立应急事件响应机制并建立网站恶意攻击应急预案保证在网站遇到恶意网络攻击的时候能够迅速响应、有效应对及时消除网站安全隐患解决网站受攻击问题减少网站损失。
34在政府门户网站中建立健全的安全培训体系要想加强政府门户网站的维护和安全建设工作仅仅依靠网络管理团队是远远不够的在组建网络管理团队之外我们还要对政府机关的每一个使用者进行网络安全知识培训并建立健全的安全培训体系保证安全知识培训的长效性。
我们要通过对每一个政府门户网站的使用者的培训来提升政府门户网站的安全性促进政府门户网站安全建设取得积极成果。
4加强政府门户网站维护和安全建设的具体技术措施考虑到加强政府门户网站维护和安全建设的必要性我们除了要从制度上保证政府门户网站维护和安全建设之外还要从具体的技术手段入手从技术层面切实加强政府门户网站维护和安全建设。
主要可以从以下几个方面入手41政府门户网站应该选择安全性高的结构设计从目前政府网站的运行维护模式来看主要采用了采集式、报送式和子同站三种主要模式其中子网站模式最能代表政府网站发展的潮流与趋势。
所以我们要在结构上选择安全性较高的设计方案。
以下方案为政府门户网站的主要形式42政府门户网站应该积极采用网页防篡改技术从目前政府门户网站所遭受的恶意攻击来看百分之八十的攻击行为都表现为网页篡改上黑客通过对政府门户网站网页的篡改误导网络用户从而对政府门户网站的正常运行造成极大的影响。
为了减少政府门户网站遭受的恶意攻击我们应该积极采用以下网页防篡改技术保护政府门户网站的安全。
外挂扫描技术是采用从外部逐个扫描网页文件的方式来判断对网页的非法修改来用这种技术一般会有一定的时间间隔而且网站的文件越多时间间隔越长不能保证被黑客修改的网页不被访问者看到。
由此可见虽然外挂扫描技术对防止网页文件的攻击有一定的效果但是这种技术也存在一定的技术局限就是每次进行全面扫描的时间较长被扫描的文件越多消耗的时间就越长由此也导致了对待某些攻击性文件不能马上做出反应导致反应相对迟缓。
所以我们在应用该方法的时候要尽量缩短扫描时间。
采用核心内嵌技术的防篡改系统其篡改检测模块运行于服务器软件内部与服务器无缝结合。
每次服务器对外发送网页时系统都进行网页防篡改检测从而能够实时地确保每个网页的真实性。
从目前政府门户网站的运行来看核心内嵌技术无疑成为对付恶
意网络攻击的重要手段。
在应用核心内嵌技术的同时我们要将外挂扫描技术和内嵌技术进行综合运用发挥二者在网站不同环节的优势有效应对网页篡改的发生从大到提升网站安全性的目的。
事件触发技术是把系统的篡改检测模块嵌入到操作系统内核致使所有的文件非法变更事件都会被事件触发器无延迟地获取。
该机制完全区别于扫描技术和核心内嵌技术不需要与备份进行对比分析的繁琐过程可以实现监控的实时性和系统资源低占用率是当前比较先进的一种防篡改检测技术。
事件触发技术有效解决了网站受到恶意攻击后的反馈问题提高了信息反馈速度提升了整个信息反馈的质量。
所以在政府门户网站的运行中我们要积极利用事件触发技术来应对网站的网页篡改攻击。
43政府门户网站应该定期对安全技术进行检验和评价从以上的分析可知外挂扫描技术、核心内嵌技术和事件触发技术是应对政府网站网页篡改的主要手段在政府门户网站的维护和安全建设中起到了积极作用。
因此我们要积极推动这三项技术的应用。
但是随着网络技术的飞速发展我们要想保证这三项技术能够持续发挥作用就要定期对这三项安全技术的效果进行检验和评价保证其能发挥正常作用。
虽然外挂扫描技术取得了积极的效果在政府门户网站的安全建
设中发挥了重要作用但是受到技术自身的局限即使应用了外挂扫描技术也无法阻止公众访问到被篡改网页它只能在被篡改后一段时间发现和进行恢复因此公众有很大可能访问到被篡改网页。
基于这种状况我们要定期对外挂扫面技术进行检验和评价以验证该技术是否仍然有效。
检验过程主要依靠模拟恶意攻击的方式来实现通过用已知的网络攻击手段来模拟网络恶意攻击以此来验证该技术的实际效果。
相对于外挂扫描技术而言核心内嵌技术的优点更加突出并且实效性更强在政府门户网站的安全建设中起到了突出的作用不但提升了整个网站的安全级别同时也提高了网站的技术实力从现有的使用效果来看核心内嵌技术的优点主要在于守住网页流出的最后一道关口因此能够完全杜绝被篡改的网页被公众访问到真正做到万无一失。
所以我们在对核心内嵌技术进行检验和评价的时候要针对其控制能力进行检验和评价验证其控制能力是否依然有效。
由于只在正常网页发布时进行安全检查因此对网页访问的影响几乎为零额外占用的服务器负载也基本上为零。
事件触发技术并不能确保捕获对文件的所有方式的修改例如直接写磁盘、直接写内核驱动程序、利用操作系统漏洞等非常容易被专业黑客很容易绕过而且一旦成功它没有任何手段来察觉和恢复。
它的技术特点决定了它类似于防病毒工具以黑防黑而不是专门针对网站保护的系统。
5结论通过本文的分析可知在目前政府门户网站的运行过程中出于维护网站正常运行和保证网站安全性的目的我们必须加强政府门户网站的维护和网站的安全建设从根本上保证政府门户网站能够安全、稳定、可靠的运行提高政府门户网站的安全级别和攻击预防能力。
由此可见我们应积极构建政府门户网站维护和安全建设的管理体系选择安全性高的结构设计并积极采用网页防篡改技术维护政府门户网站的安全消除政府门户网站的安全隐患解决政府门户网站受到恶意网络攻击的问题。
本文作者王瑜工作单位天津市信息中心
bgpto怎么样?bgp.to日本机房、新加坡机房的独立服务器在搞特价促销,日本独立服务器低至6.5折优惠,新加坡独立服务器低至7.5折优惠,所有优惠都是循环的,终身不涨价。服务器不限制流量,支持升级带宽,免费支持Linux和Windows server中文版(还包括Windows 10). 特色:自动部署,无需人工干预,用户可以在后台自己重装系统、重启、关机等操作!bgpto主打日本(东京、大阪...
A2Hosting主机,A2Hosting怎么样?A2Hosting是UK2集团下属公司,成立于2003年的老牌国外主机商,产品包括虚拟主机、VPS和独立服务器等,数据中心提供包括美国、新加坡softlayer和荷兰三个地区机房。A2Hosting在国外是一家非常大非常有名气的终合型主机商,拥有几百万的客户,非常值得信赖,国外主机论坛对它家的虚拟主机评价非常不错,当前,A2Hosting主机庆祝1...
无忧云怎么样?无忧云值不值得购买?无忧云,无忧云是一家成立于2017年的老牌商家旗下的服务器销售品牌,现由深圳市云上无忧网络科技有限公司运营,是正规持证IDC/ISP/IRCS商家,主要销售国内、中国香港、国外服务器产品,线路有腾讯云国外线路、自营香港CN2线路等,都是中国大陆直连线路,非常适合免备案建站业务需求和各种负载较高的项目,同时国内服务器也有多个BGP以及高防节点。目前,四川雅安机房,4...