云時代網站安全管理概述

   1.云時代的網站安全管理分析

    破解云計算環境中的安全迷局，需遵循信息安全管理體系的基礎邏輯，需要為承載云計算應用的信息系統建立一套完善的信息安全管理體系，提升IT 管理者的管理能力、安全防護能力與運維能力。無論是被廣泛使用的ISO/IEC27001 標準，還是云安全聯盟（CSA）提出的《云計算關鍵領域安全指南》，保護云計算與應用安全的關鍵要素之一是確保Web 服務器的可控、可管、可信。自《中華人民共和國計算機信息系統安全保護條例》（國務院令第147 號）（以下簡稱《條例》）頒布之日起，我國已明確規定關鍵計算機信息系統需要實行安全等級保護制度。等級保護制度已成為我國計算機信息系統實施安全管理必須遵從的重要標準和規范，因此對重要Web 服務器貫徹落實等級保護政策是確保云更好的為公眾及社會服務重要安全措施。

    根據《條例》等有關法律法規，網站安全防護需明確：1）系統安全管理，應定期進行漏洞掃描，對發現的系統安全漏洞及時進行修補；2）惡意代碼防范，應在網絡邊界處對惡意代碼進行檢測和清除，應維護惡意代碼庫的升級和檢測系統的更新；3）備份和恢復，應提供本地數據備份與恢復功能，完全數據備份至少每天一次，備份介質場外存放，應提供異地數據備份功能，利用通信網絡將關鍵數據定時批量傳送至備用場地，應采用冗余技術設計網絡拓撲結構，避免關鍵節點存在單點故障，應提供主要網絡設備、通信線路和數據處理系統的硬件冗余，保證系統的高可用性。

    因此，解決云時代的網站安全問題，歸根結底需要以訪問控制為核心構建可信計算基（TCB），實現自主訪問、強制訪問等分等級訪問控制，在信息流程處理中做到控制與管理。

    2.構建網站安全管理體系

    眾所周知，云計算可以為其所服務的對象提供隨時隨地的按需服務，靈活的接入方式，隨需而變的資源池，以及彈性的架構。云時代的網站承載著更多的關鍵應用與服務，它更加靈活、開放，服務的群體也更加大眾化。依照國家信息安全等級保護有關要求，政府門戶網站系統的信息安全保護等級應定為三級，應建立符合第三級信息系統保護相關要求的安全防護體系，網站系統應建立綜合的控制措施，形成防護、檢測、響應和恢復的保障體系。通過采用信息安全風險分析和等級保護差距分析，形成網站系統的安全需求，采取有針對性的安全防護措施，建立安全保障體系框架。圖1 為信息系統安全管理體系框架。

圖1 信息系統安全管理體系框架

    根據國務院辦公廳發布《關于進一步加強政府網站管理工作的通知》（國辦函[2011]40 號）要求，網站系統要切實采取防攻擊、防篡改、防病毒等安全防護措施，綜合提升網站系統的安全保障能力。新時期的網站安全保護需要實現涵蓋事前、事中、事后的完整的安全保護能力建設。一方面需要落實國家信息安全等級保護制度的各項保障措施，另一方面要加強信息系統自身的抗威脅能力。

    為此，網神提出在Web 應用及服務器前端部署基于應用層的安全分析、過濾與審計能力的安全產品，才能真正提升網站及Web 服務器的安全性。網神SecWAF 3600 Web應用防火墻系統（以下簡稱SecWAF）是具有完全自主知識產權的新一代安全產品，作為網關設備，防護對象為Web 服務器，其設計目標為分別針對安全漏洞、攻擊手段及最終攻擊結果進行掃描、防護及診斷，提供綜合Web 應用安全解決方案。網神Web 安全團隊根據常年觀察互聯網黑客攻擊方式和黑客技術，總結開發出了一套完整的“Web 安全防護體系”，可顯著提升企事業單位門戶網站的“事前、事中、事后”綜合防御能力，滿足系統安全管理的定期網站漏洞掃描，網站代碼安全防護、代碼漏洞定期升級，網站實時備份和及時恢復等多個技術要求。

    實踐證明，通過網神SecWAF 3600 Web 應用防火墻構建的“事前、事中、事后”綜合防御體系，可顯著降低企事業單位的網站安全風險，實現與網站系統相配套的互聯網服務區、業務服務區、數據庫區、備份區和安全管理區的安全防護體系。目前，網神公司的Web 應用防火墻已廣泛應用于政府、企業、教育等多個行業，為企事業單位網站安全穩定運營提供了又一利器。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：云時代網站安全管理概述

本文網址：http://m.hanmeixuan.com/html/support/11121512074.html