2016-G20峰会:网络安全防范方案与建议

今年9月，G20峰会将在杭州召开，平安是G20杭州峰会的前提。为应对G20在杭召开可能引发的密集式网络安全攻击，我们将针对贵网站的安全隐患采用以下安全防范方案与建议：
1.域名接入百度云等第三方安全防护监测平台
   将域名接入百度云等安全防护监测平台，所有的访问都通过云盾转发，百度云会自动过滤掉可能攻击的请求及请求地址，并可拦截比较常见的攻击行为，为我们的网站安全保驾护航。
2. 常规漏洞扫描修补
    首先对网站做安全检测，将发现的中高危漏洞全部修补，比如SQL注入、跨站脚本注入等。所有通过修改请求参数达到的攻击都可提前修补。
3. 后台管理系统限制内网访问
    网站的后台管理系统，发布及管理都限制只允许政务内网地址能访问，这样能有效控制对网站服务器写的操作，从物理上隔离攻击服务器的访问。
4. 远程桌面禁止
    远程桌面只允许通过政务网IP访问，不允许通过外网IP或域名访问，这样能限制通过破解远程帐号密码达到直接攻入服务器的攻击操作，从物理上隔离。
5. 外网地址禁止写入
    通过服务器配置，实现通过外网地址或域名访问进来的所有请求
只读不写，因为想要有效攻击是需要向服务器写入文件的。系统对所有非动态模块（如互动交流等）的写操作直接拒绝，对动态模块的写操作程序做有效控制，限制具体动态模块只能写某几张表或某个文件夹。（即对现有的动态模块进行安全加固）
6. 清理磁盘
    定期对网站所在目录做磁盘清理，清理出历史无效页面及可能隐藏的攻击危险，通过扫描磁盘也可查找出可能已经埋下的攻击种子并清理掉。
7. 限制文件上传
    对上传文件类型做限制，只允许上传非动态文件（如html,zip,doc等），禁止上传动态文件（如jsp,jar,bat等），并对上传的文件进行无序的重命名，打乱存放，这样有效防止攻击者通过我们提供的上传入口，上传他们攻击时利用的文件。
8. 其他确保安全的建议
    建议在G20峰会召开倒计时时间内，关停网站或网站所有动态模块。等峰会结束后再开启网站。但网站的安全防护工作将作为今后日常性的工作。