近年來，政府網站面臨的安全形勢愈發嚴峻，安全事件頻頻出現。2007年上半年，江西省被黑客入侵的政府網站達38家；2008年5月，陜西地震局、廣西地震局網站先后被黑客利用發布虛假消息；2008年12月，荊州商務局網站被黑，領導圖片被替換……這一方面引起了國務院相關部門的高度重視，另一方面也暴露了目前政務網站的安全運維仍有待加強。
  怎樣才能有效維護政府網站形象，保護業務的正常運營？怎樣才能全面解決Web業務的安全問題？新疆自治區信息中心通過啟明星辰公司的Web安全解決方案，很好地化解了這一難題。

新疆信息中心web安全解決方案
  新疆自治區信息中心網絡建有一定規模的服務器群，承載著新疆外資網、新疆價格信息網、新疆發改委、新疆西部大開發網幾個重要網站的Web業務，網站影響廣，訪問量大。通過信息中心安全運維人員的分析，要保護這些網站，有以下幾個難點：
1、網站是否安全，怎么自查自知；
2、部署防護設備，如何選擇；
3、一旦問題發生了，應該怎么解決。
 
  啟明星辰的安全專家針對信心中心的需求，制定了一個完整的Web安全解決方案，不但解決了以上三個問題，更幫助信息中心建立了一套網站保護機制。解決方案從三個角度來保證網站的安全：

 網站安全檢測
  通過安全網站安全檢查服務，遠程對信息中心所轄網站進行安全狀況檢查和評估，通過專業的檢測平臺，對四個網站域名下的所有鏈接和網頁，分別從掛馬、Web漏洞、網絡漏洞等層面進行了細致的掃描，結合啟明星辰安全專家的分析，為信息中心提供了一份安全狀況報告，提供解決措施和建議。
網站安全實時防護
  在DMZ服務器區前部署專門針對Web攻擊的入侵防御產品——天清入侵防御系統，對內部的服務器群進行保護。不同于一般的網絡攻擊，像SQL注入、XSS攻擊這樣的Web攻擊，特征很難窮盡，需要采用基于行為檢測的IPS才能夠精確阻斷攻擊行為。天清IPS采用了業內先進的專利技術，在實際環境中取得了很好的保護效果。設備上線后，通過實時報警可以看到來自外部的攻擊被IPS阻斷。
 

  信息中心天清IPS部署圖

 網站安全巡檢
  部署了防護設備后，通過安星遠程安全檢查服務再次進行掃描，前后安全報告的對比，可以對IPS設備的防護效果進行驗證。同時結合網頁防篡改系統、網頁內容的實時審查等安全制度，保證了一旦安全事件發生后，能夠迅速發現并及時恢復，將損失降到最低。

  通過啟明星辰的Web業務安全解決方案，新疆自治區信息中心建立了防御、檢測、響應的全面網站安全保護體系，對信息中心所轄網站的安全狀況能夠進行了及時有效的檢查和全面掌握。同時安星提供的網站安全檢查報告為信息中心下一步購買網站防御產品提供指導，也可作為匯報參考數據。天清IPS產品部署后發現了大量的攻擊和入侵行為，并及時報警和阻斷，有效增強了網站保護能力，體現了精確保障業務的要求。借助這一方案，新疆信息中心也建立了應急響應的措施和規范，大大提高了網維人員的安全水平。

  網站保護是一場持久戰，需要技術、產品、服務以及管理制度的融合才能應對來自未知黑客世界的攻擊。相信在國家相關部門的扶持下，在專業安全廠商的協助下，政務網站會越來越安全，越來越便捷，從而為公眾提供更好的服務和了解政務的窗口。