1、GB/T31506-2022API:应用程序编程接口(Application Programming Interface)APP:移动互联网应用程序(Mobile Internet Application)CDN:内容分发网络(Content Delivery Network).CPU:中央处理器(Central Processing Unit)DDoS:分布式拒绝服务(Distributed Denial of Service)DNS:域名系统(Domain Name System)FTP:文件传输协议(File Transfer Protocol)HTTPS:超文件传输安全协议(Hyper
2、text Transfer Protocol Secure)HTTP:超文本传输协议(Hypertext Transfer Protocol)IDC:互联网数据中心(Internet Data Center)IP:互联网协议(Internet Protocol)IPSee:互联网协议安全(Internet Protocol Security)IT:互联网技术(Internet Technology)MAC:介质访问控制层(Media Access Control)PV:页面浏览量(Page View)SFTP:安全文件传送协议(Secret File Transfer Protocol)SQL
3、:结构化查询语言(Structured Query Language)SSH:安全外壳协议(Secure Shell)SSL:安全套接层(Secure Sockets Layer)UPS:不间断电源(Uninterruptible Power System)VLAN:虚拟局域网(Virtual Local Area Network)VPN:虚拟专用网(Virtual Private Network)WWW:万维网(World Wide Web)5概述5.1安全目标及防护措施5.1.1安全目标政务网站系统由于其代表政务部门的特殊属性,与普通网站相比更容易遭到来自互联网的攻击。攻击者为了破坏政务形
4、象、干扰政务工作秩序或窃取政务部门敏感信息,可能采用Wb应用攻击、拒绝服务攻击、暴力破解攻击、上传恶意木马等方式,实现篡改网页、中断服务、窃取信息、控制网站及感染访问用户等攻击目标。因此,政务网站系统的安全防护工作应重点实现以下目标:)提升网页防篡改及监测、恢复能力,降低网页被篡改的安全风险:b)提高抵抗拒绝服务攻击的能力及系统可用性,降低网站服务中断的风险;)提高入侵防护能力,强化数据安全管控措施,降低网站敏感信息泄露的安全风险:d)构建纵深防御体系,降低网站被恶意控制的风险:)采取网站防假冒措施,降低网站被仿冒的安全风险。5.1.2安全措施概述根据政务网站系统的结构组成(见附录A),结合对政务网站系统的安全风险分析,政务网站系统的安全防护措施应包括安全技术措施(包括安全管理中心)和安全管理措施两个部分。针对构成政务网站系统结构的基础设施层、信息资源层、应用和访问层等层面存在的脆弱性,分层给出相应的安全技术措施,其中应用访问安全、信息资源安全和基础设施安全中的相关内容共同构成网站系统中计算环境的安全保障措施。安全管理中心是通过技术措施配合管埋手段共同建立主动防御能力的安全措施部分,实现对恶意代码、补丁升级、审计数据、策略管理、设备运行状况及安全事件等集中式的分析与管控。结合政务网站系统的建设、运维、退出等生命周期主要环节的安全防护需求,给出相应的安全管理措施,如图1所示。2