网站安全专家

中国电信云公司2013年12月CDN产品交流材料ICT专项行动产品解决方案网站安全专家中国电信集团2015年3月目录产品篇营销篇自服务平台与手机客户端展示*产品篇监控分析防护可用性、挂马、敏感字、篡改、漏洞监控漏洞扫描、渗透测试防护策略、安全加固、应急响应网站安全监控网站安全防护专家分析网站安全全方位解决方案中国电信网站安全专家服务中国电信网站安全专家服务，是中国电信提供的基于SAAS的全方位、立体化网站安全服务。包括网站安全监控、网站安全防护、专家分析等服务功能。中国电信网站安全专家服务网站安全监控系统监控+人工验证，高时效，零误报部署：SAAS模式，不需软硬件的安装，提供域名即可开通服务功能：监测网站，提供安全预警。是您的网站监控“报警摄像头”挂马敏感字篡改及时预警：网站瘫痪根据漏洞情况，提供量身定制的个性化略网站安全防护功能：对网站进行实时防护，过滤攻击。是您网站的“安检+保镖”缓存加速网站查询日志报表临时维护页面实时防护：替身防火墙部署：SAAS模式，不需软硬件安装，域名指向安全防护平台即可专家人工服务功能：对网站进行安全体检，对症下药，是您网站的“私人医生”处置：远程服务，安全评估、加固*营销篇地方政府网站是黑客攻击的“重灾区”，2013年我国境内被篡改和被植入后门的政府网站中，超过

90%是省市级以下的地方政府网站。

2013年，中国政府网站被篡改数量较2012年大幅度增长34.9%，占CNCERT/CC监测的政府网站类别总数的4.0%。即平均每1000个政府网站中就有40个网站遭到了篡改攻击.

来源:国家互联网应急中心《中国互联网站发展状况及其安全报告(2014)》网站面临的潜在威胁（1）——篡改网站面临的潜在威胁（2）——漏洞信息系统漏洞数量呈逐年递态势。2013年国家信息漏洞共享平台（CNVD）新增收录信息系统安全漏洞较2012年收录数量增长15%。大多数针对网站的篡改和后门攻击等网络安全威胁都是由网站信息系统所存在的安全漏洞诱发的。应用软件和WEB应用漏洞占较大比例。医疗卫生、政府网站和社区论坛最容易遭到漏洞攻击。2014年全年，360网站安全检测平台共扫描各类网站164.2万个；其中，存在安全漏洞的网站为61.7万个，占扫描网站总数的37.6%,存在高危安全漏洞的网站共有27.9万个，占扫描网站总数的17.0%。数据来源：《2014中国网站安全报告》及《中国互联网站发展状况及其安全报告(2014)》篡改举例国家对政府网站安全的相关政策《信息安全等级保护管理办法》【公通字[2007]43号】《国务院办公厅关于进一步加强政府网站管理工作的通知》【国办函〔2011〕40号】《关于加强党政机关网站安全管理的通知》【中网办发文[2014]1号】典型客户：以地市为主，兼顾各省、市、区、县各级党政机关、国营单位；目前网站安全专家服务的政府、金融、企业客户接入比例为7：1.5：1.5地市级政府网站防护较为薄弱，是网站安全专家的重点销售目标。客户核心诉求：合规免责，避免影响！党政客户特征：国家对其有合规性要求无监管手段运维能力不足，多为5*8突发安全事件应急能力不足客户心理最好：不出事如果：出点小事马上解决，不要造成不良影响一旦：有专业的指导、日志证据留存等服务客户特征分析群众反映被黑---为什么不是管理者第一时间发现？委托服务公司---为什么不自己管理？每年投入2000元---预算就这么点，太少了吧？托管服务器被黑---这样的服务商靠谱吗？平时访问少---被黑了访问量却暴增？没有及时预警措施没有7X24小时实时监控没有专门的安全技术人员人力不足、资源匮乏托管公司服务不专业缺乏应急响应措施资金有限关键在于不够重视好事不出门坏事传千里目标客户痛点中国电信解决方案优势中国电信解决方案业内其他解决方案公司规模三大运营商之一，资金雄厚，历史悠长普通安全厂商，规模较小，历史较短平台规模中国电信自有平台，数千万投资，120G专线带宽，可承担5000余个域名、36万次扫描/日的工作量，全国部署38个安全监控节点。需要客户自建平台，平台承载量，扫描频率等受客户资源约束，仅支持单一监测点团队力量遍布全国的应急响应团队，百余人专业研究、监控队伍，人员均拥有至少1项以上安全资质认证，具有原创漏洞挖掘能力，CNCERT应急响应支撑单位缺少专业监控人员和本地应急响应支撑能力，安全队伍良莠不齐服务能力多种扫描工具，原创篡改监控规则，人工验证后告警，百分百告警准确率，重大活动、法定假日提供重保服务扫描工具单一，缺乏有效的监控验证手段，误报率可高达70%以上售后服务力量专业客服、7*24小时400电话支撑，本地分公司应急支撑，提供QQ、微博、微信、客户经理等售后服务方式5*8电话支撑，缺乏本地应急团队优势1--平台力量与安全团队中国电信网站安全平台始建于2008年，前后投资数千万元，在7省19个IDC机房部署38台安全监控节点，全球部署104个可用性监控节点，最大业务带宽120G。主要用于对政企客户网站进行监控等安全服务，至少可容纳5000余个域名。平台利用国家互联网应急响应中心最新漏洞数据，实时更新监控内容和范围。平台力量中国电信网站安全平台配备了一支百余人的专业安全监控和研究队伍，包括等级保护测评资质25人，CISP11人，CISSP3人，CISA3人，ITIL认证45人，PMP29人，技术专家28人，高级工程师42人，拥有原创漏洞挖掘能力。国内顶级专业技术安全团队优势2--互联网应急响应中心国家级支撑单位中国电信是经互联网应急响应中心认证的国家级支撑单位，曾经成功的在两会、奥运、十八大、十一、春节等重大活动、法定节假日期间为数百家家政企网站进行了重保服务，并取得了良好的服务效果。优势3--安全资质ISO27001信息安全体系认证信息安全服务二级资质

（最高级）灾难恢复服务二级资质

（最高级）网络安全应急服务支撑单位

（国家级）信息安全等级保护测评资质信息安全风险评估一级资质

（最高级）信息安全应急处理一级资质

（最高级）信息系统安全集成一级资质借势推广

上个月，国办发布了《国务院办公厅关于开展第一次全国政府网站普查的通知》（以下简称《通知》），《通知》对政府网站包括“可用性”与“严重错误”在内的多个指标，提出了明确的量化要求，制订了详细的评分标准，其中，“严重错误”的内容格外引人关注，错别字、反动、暴力、色情都属“严重错误”范畴。出现该类错误的原因，除了网站编辑疏忽之外，更加严重、不可控的原因是网站被恶意篡改所导致，一旦网站被恶意篡改，出现了错别字，甚至反动、暴力、色情等内容，网站将被“一票否