1.云时代的网站安全管理分析

破解云计算环境中的安全迷局，需遵循信息安全管理体系的基础逻辑，需要为承载云计算应用的信息系统建立一套完善的信息安全管理体系，提升IT 管理者的管理能力、安全防护能力与运维能力。无论是被广泛使用的ISO/IEC27001 标准，还是云安全联盟(CSA)提出的《云计算关键领域安全指南》，保护云计算与应用安全的关键要素之一是确保Web 服务器的可控、可管、可信。自《中华人民共和国计算机信息系统安全保护条例》(国务院令第147 号)(以下简称《条例》)颁布之日起，我国已明确规定关键计算机信息系统需要实行安全等级保护制度。等级保护制度已成为我国计算机信息系统实施安全管理必须遵从的重要标准和规范，因此对重要Web 服务器贯彻落实等级保护政策是确保云更好的为公众及社会服务重要安全措施。

根据《条例》等有关法律法规，网站安全防护需明确：1)系统安全管理，应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补;2)恶意代码防范，应在网络边界处对恶意代码进行检测和清除，应维护恶意代码库的升级和检测系统的更新;3)备份和恢复，应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放，应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地，应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障，应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。

因此，解决云时代的网站安全问题，归根结底需要以访问控制为核心构建可信计算基(TCB)，实现自主访问、强制访问等分等级访问控制，在信息流程处理中做到控制与管理。

2.构建网站安全管理体系

众所周知，云计算可以为其所服务的对象提供随时随地的按需服务，灵活的接入方式，随需而变的资源池，以及弹性的架构。云时代的网站承载着更多的关键应用与服务，它更加灵活、开放，服务的群体也更加大众化。依照国家信息安全等级保护有关要求，政府门户网站系统的信息安全保护等级应定为三级，应建立符合第三级信息系统保护相关要求的安全防护体系，网站系统应建立综合的控制措施，形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析，形成网站系统的安全需求，采取有针对性的安全防护措施，建立安全保障体系框架。图1 为信息系统安全管理体系框架。

(责任编辑：)