一、背景需求

黨政機關、事業單位互聯網網站是各級政府及所屬單位履行職能、面向社會提供服務的重要手段和渠道，在提高行政效能、提升公信力方面發揮著重要作用，但脆弱的Web安全防護能力卻與之形成極大的反差，自2013年到2015年，公安部、網信辦先后對全國政府網站(gov.cn域名)以及大量央企、省級門戶網站、高校網站進行監測排查，55%左右政府網站存在安全隱患,過半網站存在安全漏洞。

為了提高黨政機關、事業單位和國有企業互聯網網站安全防護水平，防范和打擊境內外不法分子攻擊篡改、破壞網站安全的違法犯罪活動，維護黨政機關、事業單位和國有企業互聯網網站安全穩定運行，保障網絡安全和國家安全，公安部、中央網信辦、中編辦、工信部四部委聯合發布《互聯網網站安全專項整治行動方案》在全國范圍內開展黨政機關、事業單位和國有企業互聯網網站的專項整治活動，從統一管理、統一監測、統一防護的角度指導和督促各個單位提升互聯網網站安全管理和防護水平。

需求

根據黨政機關、事業單位和國有企業互聯網網站面臨的安全威脅現狀、網站應用現狀、安全防護現狀以及風險分析和實際發生的網站安全事件案例，傳統的網站安全防護模式和手段已無法應對新時期互聯網網站所面臨的安全威脅，需要從以下五個方面提出安全防護需求。

1.   動態防御安全架構亟待引入

2.   網絡邊界防護手段有待增強

3.   網站安全服務能力有待提高

4.   網站基礎防護措施亟需完善

5.   安全管理保障措施有待健全

二、解決方案

本方案參考國家等級保護相關政策規范和技術標準要求，結合當前網站應用和防護現狀，設計互聯網網站安全防護體系。以“防”、“監”、“固”、“評”為核心安全理念，從常態、實時、及時、定時防護維度建設互聯網網站自適應安全防護體系架構。

網站安全防護體系

常態“防”護：增強和優化現有網站應用基礎設施、邊界安全防護水平、通過WEB應用數據引流技術引入云防御平臺形成具備三層縱深的防護體系；

實時“監”測：通過面向網站的在線安全監測服務，協助用戶實時有效地了解網站是否安全可靠，發現問題及時預警、告警和處置；

及時“固”本：依托后臺安全專家團隊線下服務及時提供安全事件的安全分析、策略加固、應急響應和救援，從整體上完善了各網站的安全防護能力、自我發現能力和應急響應能力；

定時“評”估：定期利用滲透測試等風險評估手段對網站所存在的安全風險進行監測和評估，進一步改進各種防護阻止策略和手段的完備性。

三、效能體現

立足黨政機關、事業單位和國有企業網站安全防護需求，以云防御、在線監測、線下專家、滲透評估為手段，結合基礎應用、網絡邊界防護措施的優化和加固，進行網站安全防護體系的建設，形成有縱深、策略統一的自適應網站安全防護架構。具備常態安全防護、實時在線監測、及時響應處置、定時滲透評估，提升黨政機關、事業單位和國有企業互聯網網站安全技術防范能力，提高網站安全管理水平、加強網絡安全監測和應急處置能力、增強抵御攻擊、篡改、破壞的能力。