1.云時(shí)代的網(wǎng)站安全管理分析

    破解云計(jì)算環(huán)境中的安全迷局，需遵循信息安全管理體系的基礎(chǔ)邏輯，需要為承載云計(jì)算應(yīng)用的信息系統(tǒng)建立一套完善的信息安全管理體系，提升IT 管理者的管理能力、安全防護(hù)能力與運(yùn)維能力。無(wú)論是被廣泛使用的ISO/IEC27001 標(biāo)準(zhǔn)，還是云安全聯(lián)盟（CSA）提出的《云計(jì)算關(guān)鍵領(lǐng)域安全指南》，保護(hù)云計(jì)算與應(yīng)用安全的關(guān)鍵要素之一是確保Web 服務(wù)器的可控、可管、可信。自《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院令第147 號(hào)）（以下簡(jiǎn)稱《條例》）頒布之日起，我國(guó)已明確規(guī)定關(guān)鍵計(jì)算機(jī)信息系統(tǒng)需要實(shí)行安全等級(jí)保護(hù)制度。等級(jí)保護(hù)制度已成為我國(guó)計(jì)算機(jī)信息系統(tǒng)實(shí)施安全管理必須遵從的重要標(biāo)準(zhǔn)和規(guī)范，因此對(duì)重要Web 服務(wù)器貫徹落實(shí)等級(jí)保護(hù)政策是確保云更好的為公眾及社會(huì)服務(wù)重要安全措施。

    根據(jù)《條例》等有關(guān)法律法規(guī)，網(wǎng)站安全防護(hù)需明確：1）系統(tǒng)安全管理，應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)；2）惡意代碼防范，應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除，應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新；3）備份和恢復(fù)，應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放，應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地，應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障，應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。

    因此，解決云時(shí)代的網(wǎng)站安全問(wèn)題，歸根結(jié)底需要以訪問(wèn)控制為核心構(gòu)建可信計(jì)算基（TCB），實(shí)現(xiàn)自主訪問(wèn)、強(qiáng)制訪問(wèn)等分等級(jí)訪問(wèn)控制，在信息流程處理中做到控制與管理。

    2.構(gòu)建網(wǎng)站安全管理體系

    眾所周知，云計(jì)算可以為其所服務(wù)的對(duì)象提供隨時(shí)隨地的按需服務(wù)，靈活的接入方式，隨需而變的資源池，以及彈性的架構(gòu)。云時(shí)代的網(wǎng)站承載著更多的關(guān)鍵應(yīng)用與服務(wù)，它更加靈活、開(kāi)放，服務(wù)的群體也更加大眾化。依照國(guó)家信息安全等級(jí)保護(hù)有關(guān)要求，政府門戶網(wǎng)站系統(tǒng)的信息安全保護(hù)等級(jí)應(yīng)定為三級(jí)，應(yīng)建立符合第三級(jí)信息系統(tǒng)保護(hù)相關(guān)要求的安全防護(hù)體系，網(wǎng)站系統(tǒng)應(yīng)建立綜合的控制措施，形成防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)的保障體系。通過(guò)采用信息安全風(fēng)險(xiǎn)分析和等級(jí)保護(hù)差距分析，形成網(wǎng)站系統(tǒng)的安全需求，采取有針對(duì)性的安全防護(hù)措施，建立安全保障體系框架。圖1 為信息系統(tǒng)安全管理體系框架。

圖1 信息系統(tǒng)安全管理體系框架

    根據(jù)國(guó)務(wù)院辦公廳發(fā)布《關(guān)于進(jìn)一步加強(qiáng)政府網(wǎng)站管理工作的通知》（國(guó)辦函[2011]40 號(hào)）要求，網(wǎng)站系統(tǒng)要切實(shí)采取防攻擊、防篡改、防病毒等安全防護(hù)措施，綜合提升網(wǎng)站系統(tǒng)的安全保障能力。新時(shí)期的網(wǎng)站安全保護(hù)需要實(shí)現(xiàn)涵蓋事前、事中、事后的完整的安全保護(hù)能力建設(shè)。一方面需要落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度的各項(xiàng)保障措施，另一方面要加強(qiáng)信息系統(tǒng)自身的抗威脅能力。

    為此，網(wǎng)神提出在Web 應(yīng)用及服務(wù)器前端部署基于應(yīng)用層的安全分析、過(guò)濾與審計(jì)能力的安全產(chǎn)品，才能真正提升網(wǎng)站及Web 服務(wù)器的安全性。網(wǎng)神SecWAF 3600 Web應(yīng)用防火墻系統(tǒng)（以下簡(jiǎn)稱SecWAF）是具有完全自主知識(shí)產(chǎn)權(quán)的新一代安全產(chǎn)品，作為網(wǎng)關(guān)設(shè)備，防護(hù)對(duì)象為Web 服務(wù)器，其設(shè)計(jì)目標(biāo)為分別針對(duì)安全漏洞、攻擊手段及最終攻擊結(jié)果進(jìn)行掃描、防護(hù)及診斷，提供綜合Web 應(yīng)用安全解決方案。網(wǎng)神Web 安全團(tuán)隊(duì)根據(jù)常年觀察互聯(lián)網(wǎng)黑客攻擊方式和黑客技術(shù)，總結(jié)開(kāi)發(fā)出了一套完整的“Web 安全防護(hù)體系”，可顯著提升企事業(yè)單位門戶網(wǎng)站的“事前、事中、事后”綜合防御能力，滿足系統(tǒng)安全管理的定期網(wǎng)站漏洞掃描，網(wǎng)站代碼安全防護(hù)、代碼漏洞定期升級(jí)，網(wǎng)站實(shí)時(shí)備份和及時(shí)恢復(fù)等多個(gè)技術(shù)要求。

    實(shí)踐證明，通過(guò)網(wǎng)神SecWAF 3600 Web 應(yīng)用防火墻構(gòu)建的“事前、事中、事后”綜合防御體系，可顯著降低企事業(yè)單位的網(wǎng)站安全風(fēng)險(xiǎn)，實(shí)現(xiàn)與網(wǎng)站系統(tǒng)相配套的互聯(lián)網(wǎng)服務(wù)區(qū)、業(yè)務(wù)服務(wù)區(qū)、數(shù)據(jù)庫(kù)區(qū)、備份區(qū)和安全管理區(qū)的安全防護(hù)體系。目前，網(wǎng)神公司的Web 應(yīng)用防火墻已廣泛應(yīng)用于政府、企業(yè)、教育等多個(gè)行業(yè)，為企事業(yè)單位網(wǎng)站安全穩(wěn)定運(yùn)營(yíng)提供了又一利器。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.vmgcyvh.cn/

本文標(biāo)題：云時(shí)代網(wǎng)站安全管理概述

本文網(wǎng)址：http://www.vmgcyvh.cn/html/support/11121512074.html