• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看

      ?

      政府網(wǎng)站安全現(xiàn)狀及解決方案

      2017-03-09 18:02:53◆劉
      關(guān)鍵詞:信息系統(tǒng)信息安全網(wǎng)絡(luò)安全

      ◆劉 斌

      (浙江省舟山市公安局定海分局 浙江 316000)

      政府網(wǎng)站安全現(xiàn)狀及解決方案

      ◆劉 斌

      (浙江省舟山市公安局定海分局 浙江 316000)

      近年來,隨著政府部門信息化建設(shè)大力推進(jìn),政府網(wǎng)站應(yīng)運(yùn)而生,并且得到了蓬勃的發(fā)展。然而,目前我國各級(jí)政府部門門戶網(wǎng)站的安全狀況卻令人擔(dān)憂,多數(shù)政府網(wǎng)站還缺乏對(duì)安全的足夠重視。由于政府網(wǎng)站具有不可替代的權(quán)威性,對(duì)它的攻擊將嚴(yán)重影響我國的網(wǎng)絡(luò)信息安全。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2015年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》顯示,2015年我國政府網(wǎng)站被篡改數(shù)量為898個(gè),在被篡改的政府網(wǎng)站中,超過85%的網(wǎng)頁篡改方式是植入暗鏈(含博彩、色情內(nèi)容),為政府網(wǎng)站被入侵后發(fā)生比例最高的安全事件,這充分說明網(wǎng)絡(luò)犯罪黑色產(chǎn)業(yè)鏈已成為我國網(wǎng)絡(luò)安全環(huán)境的最大威脅。2015年,國家互聯(lián)網(wǎng)應(yīng)急中心通報(bào)了涉及政府機(jī)構(gòu)和重要信息系統(tǒng)部門的事件型漏洞近2.4萬起,約是2014年的2.6倍,繼續(xù)保持快速增長(zhǎng)態(tài)勢(shì)。國家互聯(lián)網(wǎng)應(yīng)急中心抽取2015年12月通報(bào)的安全漏洞事件進(jìn)行修復(fù)驗(yàn)證,發(fā)現(xiàn)政府部門網(wǎng)站系統(tǒng)漏洞隔月修復(fù)率僅為52.7%。如何讓虛弱不堪的政府網(wǎng)站變得固若金湯,保證其長(zhǎng)久正常運(yùn)作,是急需解決的問題。

      政府網(wǎng)站; 網(wǎng)絡(luò)安全; 網(wǎng)站群; 等級(jí)保護(hù); 漏洞掃描

      0 前言

      政府門戶網(wǎng)站的出現(xiàn)不但拉近了與群眾之間的距離,也方便了政府的政務(wù)處理,加快了陽光政務(wù)的進(jìn)程,同時(shí)也為政府機(jī)關(guān)廣泛收集民情民意,制定科學(xué)決策提供了最好的溝通橋梁作用。但是由于政府部門存在網(wǎng)站管理不到位、技術(shù)能力不達(dá)標(biāo)、安全防范不規(guī)范等原因,甚至部分政府網(wǎng)站存在“裸奔”現(xiàn)象,政府網(wǎng)站的安全狀況不容樂觀。上述種種因素,政府網(wǎng)站不可避免地成為境內(nèi)外黑客攻擊對(duì)象,造成網(wǎng)站癱瘓、信息泄露等嚴(yán)重后果。如何解決這些問題,使政府網(wǎng)站真正服務(wù)于群眾,是擺在我們面前的一個(gè)主要任務(wù)。

      1 政府網(wǎng)站安全現(xiàn)狀

      (1)重建設(shè)、輕管理,政府網(wǎng)站安全問題突出。近年來,政府網(wǎng)站安全事件(隱患)也日益呈現(xiàn)。政府網(wǎng)站被境外黑客攻擊篡改事件屢屢發(fā)生,經(jīng)調(diào)查發(fā)現(xiàn),被攻擊網(wǎng)站安全防范措施較差,安全管理嚴(yán)重缺失,均屬于無專人維護(hù)或委托第三方的管理模式。從目前掌握的整體情況看,多數(shù)基層黨政機(jī)關(guān)網(wǎng)站,只有少數(shù)納入到了政府網(wǎng)站集群管理,部分網(wǎng)站建設(shè)在本單位機(jī)房自主維護(hù),大多數(shù)網(wǎng)站租賃網(wǎng)絡(luò)公司的網(wǎng)絡(luò)空間搭建網(wǎng)站(其中大部分租賃的網(wǎng)站服務(wù)器不在本地,甚至在香港、美國等境外地區(qū)),一旦出現(xiàn)問題,不能迅速采取處置措施。同時(shí),各個(gè)單位網(wǎng)站建設(shè)、維護(hù)方式的多樣性導(dǎo)致網(wǎng)站安全風(fēng)險(xiǎn)點(diǎn)多,也大大增加了公安機(jī)關(guān)開展政府網(wǎng)站安全監(jiān)管的難度。

      (2)信息安全等級(jí)保護(hù)工作重視程度不高。近年來,政府單位的信息安全意識(shí)已普遍有所提高,但由于信息安全等級(jí)保護(hù)相關(guān)政策和標(biāo)準(zhǔn)的宣傳貫徹力度仍較弱,造成對(duì)等級(jí)保護(hù)工作在信息安全保障工作中的全局性和基礎(chǔ)性作用認(rèn)識(shí)依然不足。多數(shù)政府單位一把手、信通科室工作人員均不知道信息安全等級(jí)保護(hù)工作。從檢查中可見,有獨(dú)立機(jī)房的單位在軟硬件方面均無法達(dá)到重要系統(tǒng)等級(jí)保護(hù)要求。

      (3)應(yīng)急保障的體制機(jī)制不健全。由于在信息系統(tǒng)安全管理和技術(shù)保護(hù)上還存在不小差距,導(dǎo)致信息系統(tǒng)安全事件(事故、案件)時(shí)有發(fā)生,重要信息系統(tǒng)應(yīng)用單位必須采取有效的應(yīng)對(duì)策略和措施,以確保損失降到最低。而目前很多單位未依據(jù)國家有關(guān)規(guī)定對(duì)本單位的信息系統(tǒng)進(jìn)行安全事件的等級(jí)劃分,建立重大安全事件建立相應(yīng)的報(bào)告和處理機(jī)制,缺少一套統(tǒng)一的應(yīng)急預(yù)案,且未組織人員開展培訓(xùn)和演練,從而出現(xiàn)被攻擊后無從下手的局面。

      (4)安全建設(shè)財(cái)政經(jīng)費(fèi)保障不到位。目前,雖然不少政府部門及建立了防火墻+防病毒的安全體系。但是檢查過程中發(fā)現(xiàn),不少單位防火墻版本較早,甚有單位雖有防火墻,網(wǎng)絡(luò)不經(jīng)過,純屬擺設(shè),黑客可長(zhǎng)驅(qū)直入。因此可以判斷,這些單位近10年在網(wǎng)絡(luò)安全方面的建設(shè)投入甚少。更別提信息安全等級(jí)保護(hù)檢測(cè)、漏洞掃描、防篡改等軟件方面的投入。這些投入的確需要花費(fèi)大量的財(cái)力,而這些花費(fèi)只有投入,卻沒有產(chǎn)出,很多單位領(lǐng)導(dǎo)不愿花這冤枉錢。

      2 應(yīng)對(duì)處理對(duì)策

      (1)整合資源,打造網(wǎng)站集約化云平臺(tái)。按照“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一架構(gòu)、統(tǒng)一維護(hù)、分級(jí)管理”的原則,將所有托管在外的政府網(wǎng)站搬遷到當(dāng)?shù)卣?wù)云平臺(tái)或者統(tǒng)一選定本市網(wǎng)絡(luò)安全措施落實(shí)較為完善的IDC單位集中進(jìn)行管理,落實(shí)專人集中運(yùn)維,最大限度的政府門戶網(wǎng)站網(wǎng)絡(luò)與信息資源的安全,保障系統(tǒng)的運(yùn)行穩(wěn)定,同時(shí),采取硬件防篡改的安全保障措施,提供從系統(tǒng)自身安全功能設(shè)計(jì)到系統(tǒng)運(yùn)行硬件安全防護(hù)的部署,能夠識(shí)別和阻斷跨站腳本(XSS)、注入式攻擊(包括SQL注入、命令注入、Cookie 注入等)、敏感信息泄露、惡意代碼、錯(cuò)誤配置、隱藏字段、會(huì)話劫持、參數(shù)篡改、緩沖區(qū)溢出、應(yīng)用層拒絕服務(wù)、弱口令其他各類變形的應(yīng)用攻擊,從系統(tǒng)環(huán)境防護(hù)到人工組織預(yù)防等多層次地加強(qiáng)網(wǎng)站平臺(tái)的安全性。

      (2)落實(shí)要求,深入開展信息安全等級(jí)保護(hù)工作。等級(jí)保護(hù)工作,是一項(xiàng)較為復(fù)雜的社會(huì)工程、系統(tǒng)工程,需要政府主管部門和各信息系統(tǒng)運(yùn)營單位共同協(xié)作,持之以恒地開展等級(jí)保護(hù)工作動(dòng)員和宣教,擴(kuò)大社會(huì)影響,形成從根本上重視網(wǎng)絡(luò)安全的工作理念。通過定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查等重點(diǎn)工作,全面落實(shí)信息安全等級(jí)保護(hù)制度和各項(xiàng)任務(wù)要求;建立健全重大信息安全事件分級(jí)報(bào)告處置制度和應(yīng)急預(yù)案,提高基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全管理水平和主動(dòng)防御能力。

      (3)加強(qiáng)監(jiān)管,定期安排社會(huì)力量進(jìn)行網(wǎng)站安全掃描。以政府購買服務(wù)的形式,安排網(wǎng)絡(luò)公司開展定期網(wǎng)站安全掃描和現(xiàn)場(chǎng)檢查工作。根據(jù)網(wǎng)絡(luò)公司出具的報(bào)告,對(duì)存在高危漏洞的政府網(wǎng)站使用單位進(jìn)行重點(diǎn)檢查,對(duì)存在的問題,能當(dāng)場(chǎng)整改的督促其當(dāng)場(chǎng)整改,問題嚴(yán)重的,公安機(jī)關(guān)制發(fā)《限期整改通知書》,責(zé)令限期整改。同時(shí),購買信息預(yù)警等基礎(chǔ)防護(hù)體系,做到政府網(wǎng)站遭受外來攻擊時(shí)“第一時(shí)間發(fā)現(xiàn)、第一時(shí)間處置、第一時(shí)間查證、第一時(shí)間報(bào)告”。

      (4)建立考核機(jī)制,真正將網(wǎng)絡(luò)安全落實(shí)到實(shí)處。建立健全督導(dǎo)考核機(jī)制。等級(jí)保護(hù)各職能部門對(duì)各信息系統(tǒng)運(yùn)營單位進(jìn)行考核,同時(shí)納入了工作考核,對(duì)工作開展不力、存在違反國家相關(guān)法律法規(guī)的單位,嚴(yán)肅依法處罰,加強(qiáng)對(duì)處罰整改落實(shí)情況的監(jiān)督。

      3 網(wǎng)站集群管理優(yōu)勢(shì)

      (1)節(jié)省了資源投入。實(shí)施政府網(wǎng)站群管理后,有效降低了各黨政機(jī)關(guān)對(duì)基礎(chǔ)軟件、網(wǎng)絡(luò)設(shè)備、機(jī)房建設(shè)等網(wǎng)站基礎(chǔ)設(shè)施資源的投入,充分提高當(dāng)?shù)仉娮诱?wù)中心軟硬件資源的使用效率,同時(shí)也解決了因技術(shù)力量不足難以進(jìn)行系統(tǒng)及設(shè)備管理、維護(hù)等問題。

      (2)提升了防護(hù)能力。政府網(wǎng)站群統(tǒng)一了技術(shù)標(biāo)準(zhǔn),最大限度上減少了網(wǎng)站異構(gòu)、異地所帶來的安全管理、運(yùn)行維護(hù)上的問題,提高了應(yīng)對(duì)突發(fā)安全事件的能力和效率。

      (3)提高了服務(wù)水平。政府網(wǎng)站群建設(shè)運(yùn)維部門為各網(wǎng)站開辦單位提供了專業(yè)的、穩(wěn)定的、安全的保障服務(wù),各單位可專心研究實(shí)施網(wǎng)站內(nèi)容設(shè)計(jì)和發(fā)布,從而提高了網(wǎng)站對(duì)外宣傳服務(wù)的水平,方便群眾的查詢?yōu)g覽和獲取政務(wù)公開的信息資源,提升了政府便民利民的良好形象。

      4 結(jié)語

      黨的十八大報(bào)告中首次將網(wǎng)絡(luò)空間安全作為三個(gè)國家安全之一提出來,網(wǎng)絡(luò)空間是信息時(shí)代的基本標(biāo)志,網(wǎng)絡(luò)空間安全正在成為影響國家安全,成為滲透、影響甚至決定其他領(lǐng)域發(fā)展和成敗的重要因素之一。加強(qiáng)政府網(wǎng)站安全建設(shè)刻不容緩,著力構(gòu)建一個(gè)技術(shù)先進(jìn)、管理高效、安全可靠的政府網(wǎng)站安全保障體系,從而更好地為人民群眾服務(wù)。

      [1]卓悅,李蓓.政府網(wǎng)站安全防護(hù)的對(duì)策思考,2014.

      [2]王亞東.淺析網(wǎng)絡(luò)安全體系設(shè)計(jì)與建設(shè)的研究,2012.

      [3]徐金寶.試論信息安全等級(jí)保護(hù)制度助力網(wǎng)絡(luò)安全和信息化法治建設(shè),2013.

      猜你喜歡
      信息系統(tǒng)信息安全網(wǎng)絡(luò)安全
      企業(yè)信息系統(tǒng)安全防護(hù)
      哈爾濱軸承(2022年1期)2022-05-23 13:13:18
      網(wǎng)絡(luò)安全
      網(wǎng)絡(luò)安全人才培養(yǎng)應(yīng)“實(shí)戰(zhàn)化”
      基于區(qū)塊鏈的通航維護(hù)信息系統(tǒng)研究
      電子制作(2018年11期)2018-08-04 03:25:54
      上網(wǎng)時(shí)如何注意網(wǎng)絡(luò)安全?
      保護(hù)信息安全要滴水不漏
      信息系統(tǒng)審計(jì)中計(jì)算機(jī)審計(jì)的應(yīng)用
      高校信息安全防護(hù)
      基于SG-I6000的信息系統(tǒng)運(yùn)檢自動(dòng)化診斷實(shí)踐
      保護(hù)個(gè)人信息安全刻不容緩
      济源市| 应城市| 谷城县| 荆门市| 武乡县| 临邑县| 襄城县| 荆州市| 平原县| 崇左市| 鄂尔多斯市| 宾川县| 峨眉山市| 舞钢市| 鹤庆县| 汉源县| 临清市| 常州市| 汕头市| 南汇区| 荃湾区| 神农架林区| 五华县| 奎屯市| 绵阳市| 定南县| 晴隆县| 枞阳县| 松原市| 称多县| 西安市| 含山县| 涞源县| 定边县| 鄢陵县| 江都市| 新干县| 罗城| 武强县| 多伦县| 商南县|