張程

（水利部松遼水利委員會(huì)，吉林長(zhǎng)春 130021）

隨著信息技術(shù)的發(fā)展，政府網(wǎng)站作為政府轉(zhuǎn)變職能、提高工作效率、服務(wù)社會(huì)的重要舉措，社會(huì)公眾獲取政府信息和服務(wù)的主要接入渠道，網(wǎng)站數(shù)量得到了快速增長(zhǎng)，松遼委網(wǎng)站也是眾多政府網(wǎng)站之一，經(jīng)歷了起步建設(shè)、逐步完善和快速發(fā)展階段，多年來，在宣傳水利、服務(wù)公眾、增加透明、提高辦事效率、增進(jìn)互動(dòng)等方面發(fā)揮了積極的作用。然而，針對(duì)網(wǎng)站的各種攻擊和入侵手段也隨之變化多樣且層出不窮，如網(wǎng)站內(nèi)容被篡改，頁面被植入黑鏈木馬等，網(wǎng)站被攻擊造成網(wǎng)站服務(wù)中斷等安全事件時(shí)有發(fā)生，網(wǎng)站一旦受到攻擊和破壞，就會(huì)產(chǎn)生一系列不良影響，甚至產(chǎn)生巨大損失。如何采取有效的安全防護(hù)措施保障網(wǎng)站的安全可靠運(yùn)行是網(wǎng)站的重要工作之一。

1 加強(qiáng)網(wǎng)站安全防護(hù)的必要性

政府網(wǎng)站以物理鏈路聯(lián)入互聯(lián)網(wǎng)，各種信息資源在互聯(lián)網(wǎng)上傳輸，同時(shí)，來自互聯(lián)網(wǎng)上對(duì)政府網(wǎng)站的威脅也愈來愈多，一是網(wǎng)站服務(wù)器操作系統(tǒng)不可避免地存在某些安全漏洞，造成網(wǎng)絡(luò)安全問題的隱患；二是硬件和軟件系統(tǒng)同樣可能存在著缺陷，使數(shù)據(jù)在存儲(chǔ)和共享的過程中受到破壞；三是網(wǎng)絡(luò)病毒入侵和傳播。面臨諸多的網(wǎng)絡(luò)安全威脅，使網(wǎng)站不斷受到侵襲和危害，嚴(yán)重影響了網(wǎng)站的正常運(yùn)行，降低了網(wǎng)站運(yùn)行的可靠性，影響網(wǎng)站的形象和公眾信任度，因此，必須加強(qiáng)網(wǎng)站安全防護(hù)體系建設(shè)。

目前，網(wǎng)絡(luò)安全等級(jí)保護(hù)工作已經(jīng)基本完成，政府網(wǎng)站的安全等級(jí)為3級(jí)，被列為國(guó)家重要的信息系統(tǒng)，并且是國(guó)家檢查和測(cè)評(píng)的重點(diǎn)。在政府網(wǎng)站的應(yīng)用層面，對(duì)于來自網(wǎng)絡(luò)的安全威脅和攻擊，網(wǎng)站管理人員必須依照國(guó)家的安全等級(jí)保護(hù)政策，建立專門的機(jī)制，采用各種安全檢測(cè)手段對(duì)攻擊進(jìn)行檢測(cè)。網(wǎng)站管理人員要依照國(guó)家制定的保護(hù)條例和準(zhǔn)則等相關(guān)要求，首先要做好網(wǎng)站的安全維護(hù)工作，在此基礎(chǔ)上，才能更好的在應(yīng)用層面上做好網(wǎng)站的建設(shè)運(yùn)行與管理。

2 網(wǎng)站安全威脅的因素

網(wǎng)站安全威脅的內(nèi)在因素：一是在網(wǎng)站開發(fā)過程中，網(wǎng)站交互數(shù)據(jù)和網(wǎng)站管理系統(tǒng)登錄入口等代碼編程，隨著時(shí)間的推移，可能存在安全漏洞，這些漏洞極易被黑客利用對(duì)網(wǎng)站進(jìn)行腳本攻擊，造成網(wǎng)站數(shù)據(jù)庫被注入和掛馬等現(xiàn)象；二是隨著網(wǎng)站的不斷升級(jí)，原有舊版本的網(wǎng)站文件繼續(xù)保留在網(wǎng)站服務(wù)器上，會(huì)導(dǎo)致舊版本的安全漏洞變成新版本的安全隱患；三是網(wǎng)站安全管理制度不規(guī)范，如：網(wǎng)站運(yùn)行管理制度和網(wǎng)站編輯審核制度不完善，網(wǎng)站管理權(quán)限不嚴(yán)格和不限制擴(kuò)大，將可能造成網(wǎng)站發(fā)布不恰當(dāng)?shù)男畔?，甚至發(fā)生泄密事件。

網(wǎng)站安全威脅的外在因素：一是針對(duì)網(wǎng)站的黑客惡意攻擊頻繁發(fā)生，例如網(wǎng)頁篡改，即不法分子通過攻擊手段修改網(wǎng)站頁面原始內(nèi)容，添加惡意內(nèi)容；二是大流量DDos攻擊導(dǎo)致網(wǎng)站服務(wù)被迫中斷，且攻擊時(shí)長(zhǎng)和頻度不斷攀升；三是網(wǎng)站操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、Web應(yīng)用等多個(gè)層面安全漏洞數(shù)量激增，直接威脅網(wǎng)站安全，四是病毒爆發(fā)，將直接威脅網(wǎng)站安全可靠運(yùn)行，甚至造成網(wǎng)站癱瘓。

3 松遼委網(wǎng)站安全防護(hù)措施

1）嚴(yán)格網(wǎng)站信息發(fā)布、轉(zhuǎn)載和鏈接的審核管理。松遼委網(wǎng)站運(yùn)行管理嚴(yán)格執(zhí)行水利部網(wǎng)站管理及安全各項(xiàng)制度，松遼委制定發(fā)布了松遼委網(wǎng)站信息發(fā)布管理辦法，松遼委網(wǎng)站中委內(nèi)信息欄目的信息上網(wǎng)發(fā)布由松遼委制定了上網(wǎng)信息多級(jí)審核制度，并在松遼委政務(wù)外網(wǎng)OA系統(tǒng)上設(shè)置審批流程；松遼委網(wǎng)站轉(zhuǎn)載欄目上的轉(zhuǎn)載信息采用紙質(zhì)上網(wǎng)轉(zhuǎn)載信息審批單制度，由部門領(lǐng)導(dǎo)審批同意后上網(wǎng)發(fā)布；松遼委網(wǎng)站鏈接管理、子網(wǎng)鏈接、專題設(shè)置管理等均需經(jīng)過松遼委主管網(wǎng)站的部門領(lǐng)導(dǎo)審查同意后才能在松遼委網(wǎng)站進(jìn)行鏈接和設(shè)置；松遼委網(wǎng)站各子網(wǎng)和專題的信息管理，均由相關(guān)子網(wǎng)和專題負(fù)責(zé)部門嚴(yán)格按照松遼委網(wǎng)站信息發(fā)布管理辦法執(zhí)行管理；在各級(jí)審核環(huán)節(jié)中，各級(jí)審核人在信息內(nèi)容審批同時(shí)，也負(fù)責(zé)上網(wǎng)信息涉密審核，保證上網(wǎng)信息不涉密不泄密；同時(shí)對(duì)網(wǎng)站管理平臺(tái)使用人員進(jìn)行嚴(yán)格的最小化使用權(quán)限管理。

2）網(wǎng)站服務(wù)器運(yùn)行環(huán)境防護(hù)。網(wǎng)站服務(wù)器布設(shè)在松遼委專業(yè)的信息機(jī)房?jī)?nèi)，機(jī)房建設(shè)嚴(yán)格按照計(jì)算機(jī)機(jī)房標(biāo)準(zhǔn)建設(shè)，服務(wù)器電源采用集中式UPS電源供電，適宜的溫度保證服務(wù)器工作在最佳溫濕度下，同時(shí)有效避免雷擊、灰塵、水淹、斷電等風(fēng)險(xiǎn)，為服務(wù)器提供良好的運(yùn)行環(huán)境。

網(wǎng)站核心的信息管理平臺(tái)和數(shù)據(jù)庫服務(wù)器，部署在松遼委局域網(wǎng)內(nèi)，網(wǎng)站W(wǎng)EB服務(wù)器部署在局域網(wǎng)防火墻DMZ區(qū)，網(wǎng)站采用租用通信服務(wù)商光纖專線線路聯(lián)入互聯(lián)網(wǎng)，網(wǎng)站設(shè)備均在松遼委局域網(wǎng)網(wǎng)絡(luò)安全體系保護(hù)框架下運(yùn)行。

3）委托專業(yè)網(wǎng)站安全公司，掃描網(wǎng)站應(yīng)用系統(tǒng)安全隱患。委托專業(yè)網(wǎng)站安全公司對(duì)網(wǎng)站應(yīng)用系統(tǒng)和網(wǎng)站目錄的安全性進(jìn)行掃描，一是及時(shí)發(fā)現(xiàn)應(yīng)用系統(tǒng)安全漏洞，及時(shí)修補(bǔ)或升級(jí)應(yīng)用系統(tǒng)不安全部分，確保應(yīng)用系統(tǒng)不存在安全漏洞隱患；二是及時(shí)發(fā)現(xiàn)舊版網(wǎng)站文件是否存在安全漏洞，確認(rèn)不再需要的不安全網(wǎng)站文件及時(shí)刪除，還在使用的舊版不安全網(wǎng)站文件，及時(shí)修補(bǔ)，消除漏洞隱患。

4）防火墻安全防護(hù)。防火墻是網(wǎng)絡(luò)安全防護(hù)體系的主體構(gòu)成，是網(wǎng)站與互聯(lián)網(wǎng)之間的保護(hù)屏障，通過設(shè)置防火墻安全防護(hù)策略，對(duì)來自互聯(lián)網(wǎng)的各種數(shù)據(jù)信息進(jìn)行安全檢查，對(duì)內(nèi)外網(wǎng)的資源共享和數(shù)據(jù)傳輸活動(dòng)實(shí)施控制，有效攔截病毒程序的訪問，以此來保護(hù)網(wǎng)站安全。

5）安裝防病毒軟件。網(wǎng)站服務(wù)器均安裝360天擎防病毒軟件，定時(shí)從松遼委360防病毒服務(wù)器更新病毒庫，實(shí)時(shí)防護(hù)服務(wù)器病毒入侵。同時(shí)，網(wǎng)站技術(shù)人員定期檢查網(wǎng)站服務(wù)器漏洞補(bǔ)丁更新，及時(shí)安裝網(wǎng)站漏洞更新，保障網(wǎng)站系統(tǒng)安全。

6）部署網(wǎng)頁防篡改系統(tǒng)。在網(wǎng)站上部署InforGuard防篡改系統(tǒng),實(shí)現(xiàn)包括網(wǎng)站監(jiān)控保護(hù)、動(dòng)態(tài)防護(hù)、同步與備份、告警與應(yīng)急響應(yīng)、安全統(tǒng)一監(jiān)管、威脅分析與報(bào)告等一體化的網(wǎng)站安全保護(hù)。一是監(jiān)控與恢復(fù)：針對(duì)網(wǎng)站文件安全的保障機(jī)制，實(shí)時(shí)監(jiān)控網(wǎng)站文件的變更，有效降低篡改發(fā)生的概率，并且一旦發(fā)生篡改，可以自動(dòng)實(shí)時(shí)地進(jìn)行文件恢復(fù)；二是動(dòng)態(tài)防護(hù)：提供了全面防御WEB應(yīng)用層攻擊的完善功能，包括SQL注入防護(hù)、跨站攻擊防護(hù)、危險(xiǎn)命令防護(hù)等；三是同步與備份：與各類網(wǎng)站發(fā)布方式無縫集成，確保網(wǎng)站內(nèi)容正常更新維護(hù)的自動(dòng)化和實(shí)時(shí)性；四是提供網(wǎng)站備份能力，以便保障系統(tǒng)實(shí)施過程中的初始化可以在不借助第三方軟件的情況下順利進(jìn)行；五是告警與應(yīng)急響應(yīng)：支持聲音、電子郵件、手機(jī)短信等多種告警模式，提供靈活完善的告警策略定制機(jī)制，針對(duì)網(wǎng)站進(jìn)行的各類篡改企圖或篡改操作，實(shí)時(shí)以告警的方式提交給網(wǎng)站管理人員；六安全統(tǒng)一監(jiān)管：系統(tǒng)通過監(jiān)管平臺(tái)提供跨互聯(lián)網(wǎng)的、多層級(jí)的安全事件統(tǒng)一監(jiān)管功能；七是威脅分析與報(bào)告：系統(tǒng)提供靈活的查詢統(tǒng)計(jì)，支持列表、圖表等多種展示方式，便于管理人員直觀全面的了解網(wǎng)站安全和系統(tǒng)運(yùn)行狀況。

7）委托專業(yè)網(wǎng)絡(luò)安全公司實(shí)時(shí)網(wǎng)站安全監(jiān)測(cè)。隨著政府網(wǎng)站的日益廣泛及其中蘊(yùn)藏價(jià)值的不斷提升，引發(fā)了黑客的攻擊熱潮，網(wǎng)站內(nèi)容被篡改、頁面被植入木馬、DDoS攻擊造成業(yè)務(wù)中斷、網(wǎng)站機(jī)密信息被竊取等安全事件的反復(fù)發(fā)生，甚至造成網(wǎng)站癱瘓，能夠主動(dòng)的發(fā)現(xiàn)網(wǎng)站的漏洞，并及時(shí)采取修補(bǔ)措施，則可以降低風(fēng)險(xiǎn)和減少損失。因此，委托綠盟公司進(jìn)行網(wǎng)站安全監(jiān)測(cè)服務(wù)，通過不間斷的遠(yuǎn)程監(jiān)測(cè)，包括網(wǎng)頁掛馬、網(wǎng)頁黑鏈、網(wǎng)頁篡改、網(wǎng)頁敏感內(nèi)容、近似域名、過期域名、搜索引擎關(guān)鍵詞組、SSL證書劫持、第三方內(nèi)容安全、頁面重定向、反釣魚等監(jiān)測(cè)和網(wǎng)站服務(wù)器漏洞掃描，全天候?yàn)榫W(wǎng)站提供安全性檢查、安全事件監(jiān)測(cè)、實(shí)時(shí)響應(yīng)和安全趨勢(shì)分析等服務(wù)，確保網(wǎng)站安全風(fēng)險(xiǎn)得到及時(shí)修補(bǔ)。

8）采用多種方式進(jìn)行網(wǎng)站備份。采用多種方式對(duì)網(wǎng)站進(jìn)行備份，一是對(duì)網(wǎng)站各服務(wù)器做系統(tǒng)快照，二是對(duì)網(wǎng)站服務(wù)器進(jìn)行克隆，三是對(duì)網(wǎng)站服務(wù)器做整體完全備份和增量定期備份，四是對(duì)網(wǎng)站數(shù)據(jù)、數(shù)據(jù)庫數(shù)據(jù)定時(shí)進(jìn)行自動(dòng)備份，確保在網(wǎng)站出現(xiàn)故障情況下，能短時(shí)間迅速恢復(fù)。

4 結(jié)語

松遼委網(wǎng)站是松遼委面向社會(huì)公眾提供服務(wù)、履行政府公開職責(zé)、提供公眾參與的窗口，網(wǎng)站安全防護(hù)是松遼委網(wǎng)站穩(wěn)定可靠運(yùn)行的基礎(chǔ)保障，還需要根據(jù)網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)站安全運(yùn)行現(xiàn)狀，不斷探索，進(jìn)一步實(shí)踐，建立起完善的網(wǎng)站安全防護(hù)體系。