分类: 信息化
2013-06-13 15:54:41
政府目前电子政务的运营模式是以站群的模式去实现,就是用站群的模式把政府职能部门都整合都站群中,以便最大的程度的利用各职能部门的信息,统一整合到门户网站;才能更好的为民办事,实现虚拟办事平台。
但作为站群机制安全性保障,是一个全新的模式,下面我就谈几点我的认识:
1. 后台产品的代码级安全
这个本身是个老掉牙的话题了,但很多公司的确做不到,我认为起码要做到以下:
跨站脚本(XSS)、SQL注入漏洞、跨站指令伪造、Web信息泄露、IO操作安全、缓存泄漏、输入验证、输出编码的防护措施;才能称得上是款站群产品。
2. 产品架构(独立站点模式)
这个我觉得是个重要的东西,因为传统的站群是CMS的扩展,数据存储是集中式的,这里要说的是‘没有真正意义上的的安全’,我们如何能在最后的关头去防范的,这就是产品架构的问题了,这里要的就是‘子站独立’的模式,不论门户还是只能部门的网站都是独立的CMS系统,这样即使遭到攻击,也只是‘一发’而非‘全身’;目前市场只有有款叫We7的站群产品,是这样的架构。
3. 统一权限分配管理、审核机制
这个也是关系的产品本身的问题,得有调控;再简单点说就是得有站群超级管理员,能够掌控全局,每个机构、每个级别该给什么样的权限,出问题了该怎样去通过权限解决问题,问题出在哪儿都能迅速的把握;再就是统一权限分配下的审核机制,最少三级审核以确保信息的安全。
必须得有独立的站群控制台。
4. 日志系统保障
辅助功能:详细记录所有用户的行为并可以进行数据导入导出,日志查询。以便有章可循。
5.对后台产品的保护措施
(1)IP地址访问限制
可以自定义ip策略,来针对不同的ip段进行特定的限制,可以具体到栏目级别。
每个栏目安全级别可以分为低级、中级、高级及自定义限定绑定IP访问、栏目访问IP网段设置、栏目级访问授权。
可以对栏目进行权限设定,允许用户或角色对某一栏目进行可读、可管理信息、可增加信息、可管理栏目等功能进行授权,从而实现精细化权限分配。
这样,对后台网站群系统的访问可以通过IP进行绑定限制,可以有效过滤掉本单位以外的其他访客,最大限度的缩小访问人群,从而将后台的安全风险降到最低。
(2)浏览器与PC机MAC地址绑定
MAC(Media Access Control)地址,或称为 MAC位址、硬件位址,用来定义网络设备的位置。一个主机会有一个IP地址,而每个网络位置会有一个专属于它的MAC位址。
每台机器的物理MAC地址基本是绑定不变的,因此,如果登录用户直接与自己的机器MAC地址绑定的话,那就取得了更大限度的限制,保证每一台指定机器可以进行访问与操作,所有访问与操作都将会被记录,这样的话,将后台的使用控制的更加严密,外部单位用代理服务器、伪装IP等都无法对后台服务器进行攻击,可以实现高强度的安全保障。
因为MAC地址一般的web程序是无法获取到,因此,此项功能需要开发一个IE插件,在第一次使用时每个客户端的浏览器需要下载安装一下。
(3)定时登录机制
超级管理员可以设置后台登录时间,如仅允许工作时间登录后台,其余时间关闭登录响应。
还可以按照角色进行设定,某些角色设置可以访问与登录的时间段。
这样可以在黑客等攻击者活动频繁的时段将系统进行访问过滤与限制,进一步降低系统被破坏与攻破的可能性。
作为站群模式的安全防护,我觉得架构是重要的,得有独立的站群管理平台、有超级管理员,才能统一管理去掌控;当今市面上也许有挺多这样的产品,但我能找到的是北京一家We7的站群产品,是因为他们把这个精心打造的原因吧。
寥寥几笔,希望能给关注者一些启示!