個人資訊保護傘|綠盟BMG守護政府網站業務安全

業務背景

隨著資訊科技的廣泛深入應用，特別是電子政務的不斷髮展，黨政機關網站作用日益突出，已經成為宣傳黨的路線方針政策、公開政務資訊的重要視窗，成為各級黨政機關履行社會管理和公共服務職能、為民辦事和了解掌握社情民意的重要平臺。但也要看到，隨著黨政機關網站承載的業務不斷增加，涉及政務資訊、商業秘密和個人資訊的內容越來越多，黨政機關網站日益成為不法分子和各種犯罪組織的重點攻擊物件，資料安全與個人資訊保護面臨嚴峻挑戰。

今年我國在個人資訊保護和資料安全制度建設方面也在加速，2020年5月28日，十三屆全國人大三次會議表決透過《民法典》，自2021年1月1日起施行。《民法典》中明確了自然人的個人資訊受法律保護，同時也界定個人資訊的定義以及處理的原則和條件等條例。7月，《中華人民共和國資料安全法（草案）》經第十三屆全國人大常委會第二十次會議審議後在中國人大網向公眾公開徵求意見。10月，《個人資訊保護法（草案）》也首度公開，對個人資訊保護的責任落實以及健全個人資訊處理規則進行明確。

為了更好的助力國家電子政務的發展，以及針對政府網站面臨的資料安全與個人資訊保護的問題，綠盟科技在2020年7月重磅推出了可精準阻擊爬蟲等自動化工具的綠盟業務安全閘道器係統（BMG）。透過撞庫等攻擊行為，爬蟲可以暴力破解查詢介面，獲取使用者隱私資訊。這類事件的發生可能嚴重損害政府和公眾利益，影響政府形象，乃至危害公共安全。

核心功能

• 機器人緩解

綠盟業務安全閘道器係統能對訪問應用系統的客戶端行為進行甄別，鑑別客戶端的訪問行為是否來自真實使用者操作，是否透過業務系統合法的訪問路徑與流程進行的訪問，是否具有真實使用者的正常軌跡。能從以下幾個方面進行識別：指令碼執行環境檢測、瀏覽器環境檢測、生物特徵識別等。

• 應用側加固

支援對響應的頁面內容中關鍵資訊進行混淆，客戶端提交的敏感資料進行加密以及透過生成動態的令牌來進行驗證請求是否合法等功能來進行主動防禦。

• 業務合規校驗

綠盟業務安全閘道器係統支援基礎業務安全校驗功能，包含：協議合規、請求合規、檔案合規等功能，來對業務系統進行防護。

• 自定義防護

1.支援細粒度防護，能對整個站點、部分頁面以及單個URL路徑進行防護。

2.支援基於客戶端特徵與攻擊行為的攔截，支援多源低頻和單源多頻攻擊的攔截。

3.支援新增新的策略規則防護，攔截規則策略要能針對使用者特徵的攔截和攻擊行為的攔截。

• 攻擊者畫像

綠盟業務安全閘道器支援攻擊者資訊關聯。根據請求流量、告警日誌、裝置指紋、使用者會話資訊分析特定攻擊者使用過的代理IP、網站使用者以及所有的事件活動，檢測分析近期攻擊過程及受影響資產範圍和數量。

典型部署

綠盟業務安全閘道器裝置提供多種靈活的部署方式，包括透明部署模式、反向代理模式和旁路模式。在部署了多業務網段伺服器的網路環境中，業務安全閘道器裝置可以採用旁路方式部署，提供一種邏輯線上防護能力。

客戶收益

幫助政府行業客戶實現API請求防控、機器人流量管理，同時精準阻擊拖庫、監管掃描、自動化、針對API的手動引數篡改等攻擊，有效提升政府網站個人資訊保護與資料安全的防護水平，全方位保障政府網站的業務安全。