◆劉 斌

（浙江省舟山市公安局定海分局 浙江 316000）

政府網(wǎng)站安全現(xiàn)狀及解決方案

◆劉 斌

（浙江省舟山市公安局定海分局 浙江 316000）

近年來，隨著政府部門信息化建設(shè)大力推進(jìn)，政府網(wǎng)站應(yīng)運(yùn)而生，并且得到了蓬勃的發(fā)展。然而，目前我國各級(jí)政府部門門戶網(wǎng)站的安全狀況卻令人擔(dān)憂，多數(shù)政府網(wǎng)站還缺乏對(duì)安全的足夠重視。由于政府網(wǎng)站具有不可替代的權(quán)威性，對(duì)它的攻擊將嚴(yán)重影響我國的網(wǎng)絡(luò)信息安全。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2015年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》顯示，2015年我國政府網(wǎng)站被篡改數(shù)量為898個(gè)，在被篡改的政府網(wǎng)站中，超過85%的網(wǎng)頁篡改方式是植入暗鏈（含博彩、色情內(nèi)容），為政府網(wǎng)站被入侵后發(fā)生比例最高的安全事件，這充分說明網(wǎng)絡(luò)犯罪黑色產(chǎn)業(yè)鏈已成為我國網(wǎng)絡(luò)安全環(huán)境的最大威脅。2015年，國家互聯(lián)網(wǎng)應(yīng)急中心通報(bào)了涉及政府機(jī)構(gòu)和重要信息系統(tǒng)部門的事件型漏洞近2.4萬起，約是2014年的2.6倍，繼續(xù)保持快速增長(zhǎng)態(tài)勢(shì)。國家互聯(lián)網(wǎng)應(yīng)急中心抽取2015年12月通報(bào)的安全漏洞事件進(jìn)行修復(fù)驗(yàn)證，發(fā)現(xiàn)政府部門網(wǎng)站系統(tǒng)漏洞隔月修復(fù)率僅為52.7%。如何讓虛弱不堪的政府網(wǎng)站變得固若金湯，保證其長(zhǎng)久正常運(yùn)作，是急需解決的問題。

政府網(wǎng)站; 網(wǎng)絡(luò)安全; 網(wǎng)站群; 等級(jí)保護(hù); 漏洞掃描

0 前言

政府門戶網(wǎng)站的出現(xiàn)不但拉近了與群眾之間的距離，也方便了政府的政務(wù)處理，加快了陽光政務(wù)的進(jìn)程，同時(shí)也為政府機(jī)關(guān)廣泛收集民情民意，制定科學(xué)決策提供了最好的溝通橋梁作用。但是由于政府部門存在網(wǎng)站管理不到位、技術(shù)能力不達(dá)標(biāo)、安全防范不規(guī)范等原因，甚至部分政府網(wǎng)站存在“裸奔”現(xiàn)象，政府網(wǎng)站的安全狀況不容樂觀。上述種種因素，政府網(wǎng)站不可避免地成為境內(nèi)外黑客攻擊對(duì)象，造成網(wǎng)站癱瘓、信息泄露等嚴(yán)重后果。如何解決這些問題，使政府網(wǎng)站真正服務(wù)于群眾，是擺在我們面前的一個(gè)主要任務(wù)。

1 政府網(wǎng)站安全現(xiàn)狀

（1）重建設(shè)、輕管理，政府網(wǎng)站安全問題突出。近年來，政府網(wǎng)站安全事件（隱患）也日益呈現(xiàn)。政府網(wǎng)站被境外黑客攻擊篡改事件屢屢發(fā)生，經(jīng)調(diào)查發(fā)現(xiàn)，被攻擊網(wǎng)站安全防范措施較差，安全管理嚴(yán)重缺失，均屬于無專人維護(hù)或委托第三方的管理模式。從目前掌握的整體情況看，多數(shù)基層黨政機(jī)關(guān)網(wǎng)站，只有少數(shù)納入到了政府網(wǎng)站集群管理，部分網(wǎng)站建設(shè)在本單位機(jī)房自主維護(hù)，大多數(shù)網(wǎng)站租賃網(wǎng)絡(luò)公司的網(wǎng)絡(luò)空間搭建網(wǎng)站（其中大部分租賃的網(wǎng)站服務(wù)器不在本地，甚至在香港、美國等境外地區(qū)），一旦出現(xiàn)問題，不能迅速采取處置措施。同時(shí)，各個(gè)單位網(wǎng)站建設(shè)、維護(hù)方式的多樣性導(dǎo)致網(wǎng)站安全風(fēng)險(xiǎn)點(diǎn)多，也大大增加了公安機(jī)關(guān)開展政府網(wǎng)站安全監(jiān)管的難度。

（2）信息安全等級(jí)保護(hù)工作重視程度不高。近年來，政府單位的信息安全意識(shí)已普遍有所提高，但由于信息安全等級(jí)保護(hù)相關(guān)政策和標(biāo)準(zhǔn)的宣傳貫徹力度仍較弱，造成對(duì)等級(jí)保護(hù)工作在信息安全保障工作中的全局性和基礎(chǔ)性作用認(rèn)識(shí)依然不足。多數(shù)政府單位一把手、信通科室工作人員均不知道信息安全等級(jí)保護(hù)工作。從檢查中可見，有獨(dú)立機(jī)房的單位在軟硬件方面均無法達(dá)到重要系統(tǒng)等級(jí)保護(hù)要求。

（3）應(yīng)急保障的體制機(jī)制不健全。由于在信息系統(tǒng)安全管理和技術(shù)保護(hù)上還存在不小差距，導(dǎo)致信息系統(tǒng)安全事件（事故、案件）時(shí)有發(fā)生，重要信息系統(tǒng)應(yīng)用單位必須采取有效的應(yīng)對(duì)策略和措施，以確保損失降到最低。而目前很多單位未依據(jù)國家有關(guān)規(guī)定對(duì)本單位的信息系統(tǒng)進(jìn)行安全事件的等級(jí)劃分，建立重大安全事件建立相應(yīng)的報(bào)告和處理機(jī)制，缺少一套統(tǒng)一的應(yīng)急預(yù)案，且未組織人員開展培訓(xùn)和演練，從而出現(xiàn)被攻擊后無從下手的局面。

（4）安全建設(shè)財(cái)政經(jīng)費(fèi)保障不到位。目前，雖然不少政府部門及建立了防火墻+防病毒的安全體系。但是檢查過程中發(fā)現(xiàn)，不少單位防火墻版本較早，甚有單位雖有防火墻，網(wǎng)絡(luò)不經(jīng)過，純屬擺設(shè)，黑客可長(zhǎng)驅(qū)直入。因此可以判斷，這些單位近10年在網(wǎng)絡(luò)安全方面的建設(shè)投入甚少。更別提信息安全等級(jí)保護(hù)檢測(cè)、漏洞掃描、防篡改等軟件方面的投入。這些投入的確需要花費(fèi)大量的財(cái)力，而這些花費(fèi)只有投入，卻沒有產(chǎn)出，很多單位領(lǐng)導(dǎo)不愿花這冤枉錢。

2 應(yīng)對(duì)處理對(duì)策

（1）整合資源，打造網(wǎng)站集約化云平臺(tái)。按照“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一架構(gòu)、統(tǒng)一維護(hù)、分級(jí)管理”的原則，將所有托管在外的政府網(wǎng)站搬遷到當(dāng)?shù)卣?wù)云平臺(tái)或者統(tǒng)一選定本市網(wǎng)絡(luò)安全措施落實(shí)較為完善的IDC單位集中進(jìn)行管理，落實(shí)專人集中運(yùn)維，最大限度的政府門戶網(wǎng)站網(wǎng)絡(luò)與信息資源的安全，保障系統(tǒng)的運(yùn)行穩(wěn)定，同時(shí)，采取硬件防篡改的安全保障措施，提供從系統(tǒng)自身安全功能設(shè)計(jì)到系統(tǒng)運(yùn)行硬件安全防護(hù)的部署，能夠識(shí)別和阻斷跨站腳本（XSS）、注入式攻擊（包括SQL注入、命令注入、Cookie 注入等）、敏感信息泄露、惡意代碼、錯(cuò)誤配置、隱藏字段、會(huì)話劫持、參數(shù)篡改、緩沖區(qū)溢出、應(yīng)用層拒絕服務(wù)、弱口令其他各類變形的應(yīng)用攻擊，從系統(tǒng)環(huán)境防護(hù)到人工組織預(yù)防等多層次地加強(qiáng)網(wǎng)站平臺(tái)的安全性。

（2）落實(shí)要求，深入開展信息安全等級(jí)保護(hù)工作。等級(jí)保護(hù)工作，是一項(xiàng)較為復(fù)雜的社會(huì)工程、系統(tǒng)工程，需要政府主管部門和各信息系統(tǒng)運(yùn)營單位共同協(xié)作，持之以恒地開展等級(jí)保護(hù)工作動(dòng)員和宣教，擴(kuò)大社會(huì)影響，形成從根本上重視網(wǎng)絡(luò)安全的工作理念。通過定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查等重點(diǎn)工作，全面落實(shí)信息安全等級(jí)保護(hù)制度和各項(xiàng)任務(wù)要求;建立健全重大信息安全事件分級(jí)報(bào)告處置制度和應(yīng)急預(yù)案，提高基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全管理水平和主動(dòng)防御能力。

（3）加強(qiáng)監(jiān)管，定期安排社會(huì)力量進(jìn)行網(wǎng)站安全掃描。以政府購買服務(wù)的形式，安排網(wǎng)絡(luò)公司開展定期網(wǎng)站安全掃描和現(xiàn)場(chǎng)檢查工作。根據(jù)網(wǎng)絡(luò)公司出具的報(bào)告，對(duì)存在高危漏洞的政府網(wǎng)站使用單位進(jìn)行重點(diǎn)檢查，對(duì)存在的問題，能當(dāng)場(chǎng)整改的督促其當(dāng)場(chǎng)整改，問題嚴(yán)重的，公安機(jī)關(guān)制發(fā)《限期整改通知書》，責(zé)令限期整改。同時(shí)，購買信息預(yù)警等基礎(chǔ)防護(hù)體系，做到政府網(wǎng)站遭受外來攻擊時(shí)“第一時(shí)間發(fā)現(xiàn)、第一時(shí)間處置、第一時(shí)間查證、第一時(shí)間報(bào)告”。

（4）建立考核機(jī)制,真正將網(wǎng)絡(luò)安全落實(shí)到實(shí)處。建立健全督導(dǎo)考核機(jī)制。等級(jí)保護(hù)各職能部門對(duì)各信息系統(tǒng)運(yùn)營單位進(jìn)行考核,同時(shí)納入了工作考核,對(duì)工作開展不力、存在違反國家相關(guān)法律法規(guī)的單位,嚴(yán)肅依法處罰,加強(qiáng)對(duì)處罰整改落實(shí)情況的監(jiān)督。

3 網(wǎng)站集群管理優(yōu)勢(shì)

（1）節(jié)省了資源投入。實(shí)施政府網(wǎng)站群管理后，有效降低了各黨政機(jī)關(guān)對(duì)基礎(chǔ)軟件、網(wǎng)絡(luò)設(shè)備、機(jī)房建設(shè)等網(wǎng)站基礎(chǔ)設(shè)施資源的投入，充分提高當(dāng)?shù)仉娮诱?wù)中心軟硬件資源的使用效率，同時(shí)也解決了因技術(shù)力量不足難以進(jìn)行系統(tǒng)及設(shè)備管理、維護(hù)等問題。

（2）提升了防護(hù)能力。政府網(wǎng)站群統(tǒng)一了技術(shù)標(biāo)準(zhǔn)，最大限度上減少了網(wǎng)站異構(gòu)、異地所帶來的安全管理、運(yùn)行維護(hù)上的問題，提高了應(yīng)對(duì)突發(fā)安全事件的能力和效率。

（3）提高了服務(wù)水平。政府網(wǎng)站群建設(shè)運(yùn)維部門為各網(wǎng)站開辦單位提供了專業(yè)的、穩(wěn)定的、安全的保障服務(wù)，各單位可專心研究實(shí)施網(wǎng)站內(nèi)容設(shè)計(jì)和發(fā)布，從而提高了網(wǎng)站對(duì)外宣傳服務(wù)的水平，方便群眾的查詢?yōu)g覽和獲取政務(wù)公開的信息資源，提升了政府便民利民的良好形象。

4 結(jié)語

黨的十八大報(bào)告中首次將網(wǎng)絡(luò)空間安全作為三個(gè)國家安全之一提出來，網(wǎng)絡(luò)空間是信息時(shí)代的基本標(biāo)志，網(wǎng)絡(luò)空間安全正在成為影響國家安全，成為滲透、影響甚至決定其他領(lǐng)域發(fā)展和成敗的重要因素之一。加強(qiáng)政府網(wǎng)站安全建設(shè)刻不容緩，著力構(gòu)建一個(gè)技術(shù)先進(jìn)、管理高效、安全可靠的政府網(wǎng)站安全保障體系，從而更好地為人民群眾服務(wù)。

[1]卓悅，李蓓.政府網(wǎng)站安全防護(hù)的對(duì)策思考，2014.

[2]王亞東.淺析網(wǎng)絡(luò)安全體系設(shè)計(jì)與建設(shè)的研究，2012.

[3]徐金寶.試論信息安全等級(jí)保護(hù)制度助力網(wǎng)絡(luò)安全和信息化法治建設(shè)，2013.