1.云時代的網(wǎng)站安全管理分析
破解云計算環(huán)境中的安全迷局,需遵循信息安全管理體系的基礎(chǔ)邏輯,需要為承載云計算應(yīng)用的信息系統(tǒng)建立一套完善的信息安全管理體系,提升IT 管理者的管理能力、安全防護能力與運維能力。無論是被廣泛使用的ISO/IEC27001 標(biāo)準(zhǔn),還是云安全聯(lián)盟(CSA)提出的《云計算關(guān)鍵領(lǐng)域安全指南》,保護云計算與應(yīng)用安全的關(guān)鍵要素之一是確保Web 服務(wù)器的可控、可管、可信。自《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院令第147 號)(以下簡稱《條例》)頒布之日起,我國已明確規(guī)定關(guān)鍵計算機信息系統(tǒng)需要實行安全等級保護制度。等級保護制度已成為我國計算機信息系統(tǒng)實施安全管理必須遵從的重要標(biāo)準(zhǔn)和規(guī)范,因此對重要Web 服務(wù)器貫徹落實等級保護政策是確保云更好的為公眾及社會服務(wù)重要安全措施。
根據(jù)《條例》等有關(guān)法律法規(guī),網(wǎng)站安全防護需明確:1)系統(tǒng)安全管理,應(yīng)定期進行漏洞掃描,對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補;2)惡意代碼防范,應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除,應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新;3)備份和恢復(fù),應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能,完全數(shù)據(jù)備份至少每天一次,備份介質(zhì)場外存放,應(yīng)提供異地數(shù)據(jù)備份功能,利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地,應(yīng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),避免關(guān)鍵節(jié)點存在單點故障,應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,保證系統(tǒng)的高可用性。
因此,解決云時代的網(wǎng)站安全問題,歸根結(jié)底需要以訪問控制為核心構(gòu)建可信計算基(TCB),實現(xiàn)自主訪問、強制訪問等分等級訪問控制,在信息流程處理中做到控制與管理。
2.構(gòu)建網(wǎng)站安全管理體系
眾所周知,云計算可以為其所服務(wù)的對象提供隨時隨地的按需服務(wù),靈活的接入方式,隨需而變的資源池,以及彈性的架構(gòu)。云時代的網(wǎng)站承載著更多的關(guān)鍵應(yīng)用與服務(wù),它更加靈活、開放,服務(wù)的群體也更加大眾化。依照國家信息安全等級保護有關(guān)要求,政府門戶網(wǎng)站系統(tǒng)的信息安全保護等級應(yīng)定為三級,應(yīng)建立符合第三級信息系統(tǒng)保護相關(guān)要求的安全防護體系,網(wǎng)站系統(tǒng)應(yīng)建立綜合的控制措施,形成防護、檢測、響應(yīng)和恢復(fù)的保障體系。通過采用信息安全風(fēng)險分析和等級保護差距分析,形成網(wǎng)站系統(tǒng)的安全需求,采取有針對性的安全防護措施,建立安全保障體系框架。圖1 為信息系統(tǒng)安全管理體系框架。
圖1 信息系統(tǒng)安全管理體系框架
根據(jù)國務(wù)院辦公廳發(fā)布《關(guān)于進一步加強政府網(wǎng)站管理工作的通知》(國辦函[2011]40 號)要求,網(wǎng)站系統(tǒng)要切實采取防攻擊、防篡改、防病毒等安全防護措施,綜合提升網(wǎng)站系統(tǒng)的安全保障能力。新時期的網(wǎng)站安全保護需要實現(xiàn)涵蓋事前、事中、事后的完整的安全保護能力建設(shè)。一方面需要落實國家信息安全等級保護制度的各項保障措施,另一方面要加強信息系統(tǒng)自身的抗威脅能力。
為此,網(wǎng)神提出在Web 應(yīng)用及服務(wù)器前端部署基于應(yīng)用層的安全分析、過濾與審計能力的安全產(chǎn)品,才能真正提升網(wǎng)站及Web 服務(wù)器的安全性。網(wǎng)神SecWAF 3600 Web應(yīng)用防火墻系統(tǒng)(以下簡稱SecWAF)是具有完全自主知識產(chǎn)權(quán)的新一代安全產(chǎn)品,作為網(wǎng)關(guān)設(shè)備,防護對象為Web 服務(wù)器,其設(shè)計目標(biāo)為分別針對安全漏洞、攻擊手段及最終攻擊結(jié)果進行掃描、防護及診斷,提供綜合Web 應(yīng)用安全解決方案。網(wǎng)神Web 安全團隊根據(jù)常年觀察互聯(lián)網(wǎng)黑客攻擊方式和黑客技術(shù),總結(jié)開發(fā)出了一套完整的“Web 安全防護體系”,可顯著提升企事業(yè)單位門戶網(wǎng)站的“事前、事中、事后”綜合防御能力,滿足系統(tǒng)安全管理的定期網(wǎng)站漏洞掃描,網(wǎng)站代碼安全防護、代碼漏洞定期升級,網(wǎng)站實時備份和及時恢復(fù)等多個技術(shù)要求。
實踐證明,通過網(wǎng)神SecWAF 3600 Web 應(yīng)用防火墻構(gòu)建的“事前、事中、事后”綜合防御體系,可顯著降低企事業(yè)單位的網(wǎng)站安全風(fēng)險,實現(xiàn)與網(wǎng)站系統(tǒng)相配套的互聯(lián)網(wǎng)服務(wù)區(qū)、業(yè)務(wù)服務(wù)區(qū)、數(shù)據(jù)庫區(qū)、備份區(qū)和安全管理區(qū)的安全防護體系。目前,網(wǎng)神公司的Web 應(yīng)用防火墻已廣泛應(yīng)用于政府、企業(yè)、教育等多個行業(yè),為企事業(yè)單位網(wǎng)站安全穩(wěn)定運營提供了又一利器。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:云時代網(wǎng)站安全管理概述
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121512074.html