原标题：国办印发《政府网站发展指引》后，政府网站的安全解决之道——政府网站整体安全解决方案

2017年6月8号国务院办公厅印发《政府网站发展指引》（以下简称《指引》），对全国政府网站的建设发展作出明确规范，同时对于政府网站的安全提出了更高的要求。

《指引》明确政府网站定义，明确了政府网站的的主管单位、安全管理单位、协同监管单位和职责。指出政府网站开始原则，同时要推进网站集约化，通过统一标准体系、统一技术平台、统一安全防护、统一运维监管、集中管理信息数据，集中提供内容服务，实现网站资源优化融合、平台整合安全、数据互认共享、管理统筹规范、服务便捷高效。

《指引》强调，要根据网络安全法等要求，落实网络安全等级保护制度，建立安全监测预警和应急响应机制，对攻击、侵入和破坏政府网站的行为以及影响政府网站正常运行的意外事故进行防范，确保网站稳定、可靠、安全运行。

1、 《指引》对政府网站明确提出了以下几项安全要求：

1） 根据网络安全法等要求，落实网络安全等级保护制度

2） 网站时效性，政府网站不得随意关停。

安全因素导致政府网站不可用因素包括：

●拒绝服务攻击导致链路瘫痪。

●利用网站漏洞发起攻击耗尽系统资源导致宕机。

3） 防范攻击、侵入和破坏政府网站。

●网站被篡改

●网站敏感信息泄露

●网站被挂马

4） 发现处理钓鱼/仿冒网站。

2、 《指引》明确指明政府网站采取以下技术手段进行监测预警、安全防护和应急响应：

1） 政府网站安全持续监测需求

 网站篡改持续监测

 多链路的网站可用监测

 钓鱼/仿冒网站发现

 未知资产发现

 零日（0day）漏洞感知

2） 政府网站自身安全需求

 代码审计安全需求

 漏洞发现和管理需求

 网站高级威胁（APT）发现需求

3） 网站攻击防护需求

 保障网站传输链路可用

 防止网站漏洞利用

 防止网站敏感数据泄密

 防止网站被劫持

4） 政府网站跨区域集中监管需求

5） 政府网站跨区域集中防护需求

6） 应急响应服务需求

7） 网站安全考核评价需求

8） 安全人才培养需求

3、 政府网站整体安全解决方案总体设计

360企业安全结合安全滑动标尺中逐渐增强的威胁情报需求，依托360安全大数据、威胁情报中心，为客户提供传统解决方案前所未有价值。方案架构以网站安全的事前检查预警、事中监督防护、事后规范考核处理流程结合安全服务应急响应、等保咨询进行设计：

1） 事前检查预警

首先进行源码级的安全检测，同时采用漏扫工具、配置核查工具以及组织社会白帽子资源发现政府网站安全隐患，进行预警防控。

 通过国内首款源代码审计商业化产品360代码卫士从源代码上发现安全问题，规避安全风险，解决源代码安全问题。

 通过360全球首创的被动扫描工具鹰眼，采用不占用网站资源、更全面的流量抓取模式被动获取URL方式，发现管理漏洞，解决漏洞的全生命周期管理。

 通过全球最大的中文漏洞共享平台组织白帽子资源提供众测服务，发现政府网站其他安全隐患。

2） 事中监督防护

持续监测网站可用、篡改、敏感词、钓鱼/仿冒等安全指标，发现问题及时通报处理。采用能够抵御利用漏洞攻击和大流量DDoS攻击公有云 + 私有云的方式防护模式进行安全防护。

 通过全球独有基于安全大数据和威胁情报的360网站云监测产品，在云端对政府网站进行可用性监控、挂马发现、钓鱼/仿冒网站发现、网页篡改发现、暗链发现、漏洞发现、敏感信息等进行持续监测，解决监管需求。通过威胁情报推送国家各个层面发布的漏洞、病毒、网络攻击等预警和通报信息，满足《指引》要求。

 360为政府网站安全防护提供以下三种方案：

 通过360安域云端Web应用防护系统对政府网站进行云端防护，以抵御Web漏洞利用攻击、DNS攻击、大流量DDos攻击、应用层CC攻击等网站威胁。360安域采用CDN（内容分发网络）等技术进行缓存加速，提升访问请求响应速度，同时提供CND防护、CND加速，契合《指引》的建议要求

 基于混合云部署的网站防护，将360安域云端防护系统落地为私有云节点，与安域公有云防护系统进行联动。常态化的网站防护由私有云防护节点完成，大流量DDoS攻击或者私有云节点故障时自动切换到安域公有云防护。

 360首创云、端联动防护，即通过云端安域+本地防篡改软进行web攻击防护，保障网站文件不被非授权人员篡改同时提供RASP防护，可以基于主机行为有效防护内部非法人员对政府网站攻击。



 通过360安域云端防护及部署数据库审计、运维审计系统对数据库的操作行为进行实时监测，发现问题及时处理。从技术手段解决网站数据泄密的需求。

 发生安全事件时，依托360强大的安服应急团队，依照应急处置流程通过远程或现场的方式，对出现的安全事件快速响应，快速处理。解决应急响应需求。在现场进行信息收集，进行WEB攻击画像，给出防御体系修复建议。

3） 事后规范考核

 依托360首创的网站威胁态势感知系统，提供网站安全全生命周期的网站安全运营，通过可视化的界面实时展现网站安全事件，周期性网站安全状况，为下一步动作提供决策能力。解决统一监管需求，同时为政府网站主管单位提供考核依据。

 采用360网络安全实训系统，构建人才培训、考核评估、科研测试于一体培养模式，持续培养网络安全人才。满足安全人才培养与人才考核需求。

4） 安全服务

360不仅提供安全咨询、渗透测试、加固整改等安全服务，同时提供全生命周期的等保咨询服务，360结合多年互联网安全技术经验及等保标准要求，推出“互联网+”的网站安全等保合规实施方法论，将整个政府网站等保合规实施过程分为三大阶段，核心实施过程分为五大步骤，并将360威胁情报态势感知技术相融合，增强政府网站防护的预先感知及防护能力。满足政府根据网络安全法等要求，落实网络安全等级保护制度需求。 

4、 政府网站整体安全解决方案部署示意图

、

5、 政府网站整体安全解决方案优势