本文探讨了政府网站群安全的重要性,提出了包括代码级安全、独立站点模式、统一权限分配管理、审核机制、日志系统保障以及后台访问保护措施在内的多个关键点。强调了站群产品应具备防止XSS、SQL注入等攻击的能力,采用子站独立的架构以减少攻击影响,实施严格的权限控制和日志记录,同时通过IP限制、MAC地址绑定和定时登录等手段增强后台安全。
政府目前电子政务的运营模式是以站群的模式去实现,就是用站群的模式把政府职能部门都整合都站群中,以便最大的程度的利用各职能部门的信息,统一整合到门户网站;才能更好的为民办事,实现虚拟办事平台。
但作为站群机制安全性保障,是一个全新的模式,下面我就谈几点我的认识:
1. 后台产品的代码级安全
这个本身是个老掉牙的话题了,但很多公司的确做不到,我认为起码要做到以下:
跨站脚本(XSS)、SQL注入漏洞、跨站指令伪造、Web信息泄露、IO操作安全、缓存泄漏、输入验证、输出编码的防护措施;才能称得上是款站群产品。
2. 产品架构(独立站点模式)
这个我觉得是个重要的东西,因为传统的站群是CMS的扩展,数据存储是集中式的,这里要说的是‘没有真正意义上的的安全’,我们如何能在最后的关头去防范的,这就是产品架构的问题了,这里要的就是‘子站独立’的模式,不论门户还是只能部门的网站都是独立的CMS系统,这样即使遭到攻击,也只是‘一发’而非‘全身’;目前市场只有有款叫We7的站群产品,是这样的架构。
3. 统一权限分配管理、审核机制
这个也是关系的产品本身的问题,得有调控;再简单点说就是得有站群超级管理员,能够掌控全局,每个机构、每个级别该给什么样的权限,出问题了该怎样去通过权限解决问题,问题出在哪儿都能迅速的把握;再就是统一权限分配下的审核机制,最少三级审核以确保信息的安全。
必须得有独立的站群控制台。
4. 日志系统保障
最低0.47元/天 解锁文章
扫一扫
1903
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
