政府网站安全方案
一、导语 政府网站是政府职能部门信息化建设的重要内容,同时也是对外宣传政府形象、发布行业信息、开展电子政务的主要平台,是国家重要信息系统。

而近年来,随着政府网站所承载业务的数量和重要性逐渐增加,政府网站被篡改、网络钓鱼、SQL注入和跨站脚本等带来攻击事件频频发生,严重影响了人们对政府网站公信力的认可。另外,目前多数政府网站在安全建设过程依然存在重应用轻安全现象,网站整体安全性差,缺乏必要的经常性维护。而且现有政府网站安全管理、防范措施、安全意识薄弱,极易遭到黑客攻击。
本文主要针对服务器技术运维人员,介绍如何搭建一个安全、稳定的运营平台。不对程序本身做探讨,开发人员的能力决定了程序的优异,无法通过外部方式改变。
二、搭建Web平台 一个优秀的Web平台,能减少很多危险漏洞。非常流行的Apache、Nginx等Web平台,都存在严重的溢出漏洞,给黑客提供可乘之机。如果在Windows系统搭建Web平台,建议使用IIS,IIS的漏洞明显少于Apache、Nginx。
推荐使用“护卫神.主机大师”配置IIS环境,一键安装IIS+PHP+ASP.net+ASP+MySQL,护卫神.主机大师默认对PHP、MySQL、PHPMyAdmin做好了安全加固,防范黑客以此作为入侵突破口。同时用护卫神.主机大师开设的站点,可以防范跨站入侵。
三、部署安全防护 平台搭建好以后,还需要部署一些必备的安全防护措施,才能抵挡黑客的入侵。
黑客一般有三条途径入侵服务器:系统、应用、网站。针对每一条途径,我们都应该做好完善的防护措施,让黑客无从得手。
1、系统入侵防护 首先更新系统补丁,修复已经存在的系统漏洞。
然后再禁用危险服务、删除危险组件、关闭危险端口、清除危险权限,全面排除暴露的系统危险。
如果您不知道如何操作,可以购买护卫神.系统安全加固服务,由护卫神的技术工程师帮您部署。
2、应用入侵防护 常用的SQL Server、MySQL、Apache、Nginx、Tomcat、Serv-u等等软件,都存在漏洞,黑客通过这些软件可以轻松入侵服务器。需要对这些软件做降权处理,防止黑客通过这些软件提权。
有经济条件的用户,建议再部署“护卫神·防篡改系统”,限制软件的访问行为,禁止访问安装目录以外的任何文件,防止非法获取数据。
3、网站入侵防护 网站入侵主要有三种方式:上传网页木马、SQL注入、程序逻辑漏洞。
这些问题其实都可以通过修复程序解决,但实际上也就只能想想。再优秀的程序员,也开发不出没有Bug、没有漏洞的大型系统。因此配备辅助安全系统成了必然之选。辅助安全系统推荐“护卫神·入侵防护系统”和“护卫神·网站安全系统”。

护卫神·入侵防护系统具有强大的木马查杀能力,自动查杀黑客上传的网页木马,让木马无处遁形。其SQL注入保护模块,实时拦截黑客的SQL注入行为。另外还有"账户提权防护"、"网站提权拦截"、"远程桌面保护"、"网页篡改保护"等多项安全模块,多重防护确保服务器安全。

护卫神·网站安全系统则进一步提升网站安全,让网站防挂马、防黑链、防篡改。由技术工程师分析网站的每一个文件,定制专属网站安全策略,精准区分游客和管理员,最大限度降低游客的操作权限,让游客无权做任何入侵操作。同时为后台增加密码锁,只有解锁了的管理员才能登录;即使泄露了管理账户和密码,也无惧黑客入侵。
四、部署数据备份 毫无疑问,数据安全是所有网络安全的核心,我们除了做好应有的安全防护措施,还应该从数据备份层面进一步加强数据安全。数据备份有四种模式:本地备份、异地备份、数据热备和容灾备份。详细介绍请参考:数据备份方案
五、例行运营维护 例行维护主要是检查服务器运行状况,确保各项自动化任务都已按预定计划执行,预防意外发生,建议每周进行一次,并重启一次服务器。
大致有以下项目:安全检查、硬件检查、性能检测、任务检查、冗余清理。
1、安全检查 是否有新补丁、系统用户是否异常、防火墙是否开启、是否有陌生进程、辅助安全系统是否正常工作、远程桌面有无异常登录、复查系统权限、全面查杀木马、分析系统日志、分析安全防护系统日志。
2、硬件检查 CPU温度检测、硬盘温度检测、风扇转速检测、电源电压检测、磁盘碎片整理(注意:SSD硬盘不能整理碎片),确保硬件良好,防范硬件故障。
3、性能检测 重点检查CPU、内存、硬盘IO等性能负载,及时替换硬件,提升负载能力。
4、任务检查 主要检查各自动化任务是否正常运行,如数据是否按预期进行备份。