王育賓 王育欣 韓江寧

摘要：隨著互聯(lián)網(wǎng)技術(shù)不斷涌現(xiàn)，政府業(yè)務(wù)不斷向網(wǎng)絡(luò)化方向轉(zhuǎn)變。網(wǎng)絡(luò)安全問題的日益突出，使政府網(wǎng)站安全建設(shè)面臨著前所未有的挑戰(zhàn)，本文從政府網(wǎng)站目前存在的安全問題為切入點(diǎn)，闡述如何有效構(gòu)建設(shè)計(jì)政府網(wǎng)站安全防護(hù)體系。

關(guān)鍵詞：政府網(wǎng)站；互聯(lián)網(wǎng)+ 網(wǎng)絡(luò)安全；Web防火墻；網(wǎng)頁防篡改

中圖分類號：G642 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2018）21-0060-01

近年來，隨著電子政務(wù)系統(tǒng)建設(shè)的技術(shù)手段不斷拓展、技術(shù)環(huán)境不斷改善，針對網(wǎng)站系統(tǒng)漏洞進(jìn)行的網(wǎng)絡(luò)攻擊技術(shù)手段也在不斷升級，網(wǎng)絡(luò)黑客以各種方式持續(xù)通過網(wǎng)絡(luò)發(fā)起攻擊，導(dǎo)致在世界各地不斷出現(xiàn)嚴(yán)重的網(wǎng)絡(luò)系統(tǒng)安全事件。政府部門由于其自身所代表的特殊身份，不僅具有服務(wù)職能，更有行政管理職能，政府網(wǎng)站代表著國家和政府的公眾形象，其發(fā)布的信息具有權(quán)威性，一旦政府網(wǎng)站遭到攻擊、信息遭到篡改，將對政府形象造成嚴(yán)重的負(fù)面影響，大大降低政府部門的執(zhí)行力和社會公信力。

1 現(xiàn)狀及存在問題

忽視網(wǎng)站系統(tǒng)安全建設(shè)是政府網(wǎng)站建設(shè)過程中普遍存在的現(xiàn)象：網(wǎng)站安全管理機(jī)制及制度的不健全，導(dǎo)致問題出現(xiàn)后不能及時(shí)、有效地進(jìn)行處理；防范措施及防護(hù)設(shè)備不完善，未能在關(guān)鍵環(huán)節(jié)有效部署如：Web防火墻、網(wǎng)頁漏洞掃描、網(wǎng)頁防篡改等專業(yè)防護(hù)措施及設(shè)備，導(dǎo)致常規(guī)防護(hù)體系無法對從網(wǎng)絡(luò)層、應(yīng)用層等多層次發(fā)起的網(wǎng)絡(luò)攻擊進(jìn)行全面、有效的防御；網(wǎng)站系統(tǒng)程序編寫缺乏統(tǒng)一標(biāo)準(zhǔn)、嚴(yán)謹(jǐn)性不足、網(wǎng)站安全檢查及維護(hù)無法做到常態(tài)化，導(dǎo)致應(yīng)用系統(tǒng)存在被黑客利用安全漏洞進(jìn)行攻擊的潛在風(fēng)險(xiǎn)；缺乏安全意識、對網(wǎng)絡(luò)安全重視程度不夠等問題都是造成政府網(wǎng)經(jīng)常被黑客攻擊的重要因素。

目前，政府網(wǎng)站面對的網(wǎng)絡(luò)安全問題主要有：網(wǎng)站頁面被惡意篡改、重要業(yè)務(wù)數(shù)據(jù)被盜取、業(yè)務(wù)服務(wù)被中斷等幾方面。

2 構(gòu)建設(shè)計(jì)

網(wǎng)站安全防護(hù)體系的建立是一項(xiàng)系統(tǒng)工程，根據(jù)層級劃分主要分為四個(gè)部分：檢查整改、檢測加固、技術(shù)防護(hù)、監(jiān)測響應(yīng)。有效實(shí)現(xiàn)：上線階段做好全面檢測防范、運(yùn)行階段做好實(shí)時(shí)監(jiān)控防護(hù)、維護(hù)階段做好定期分析加固的全流程安全防護(hù)建設(shè)。

2.1 檢查整改

通過專業(yè)的安全監(jiān)測工具及軟件進(jìn)行全站掃描，初步檢查網(wǎng)站當(dāng)前的安全漏洞；根據(jù)掃描報(bào)告，對JDK版本和struts框架等基礎(chǔ)應(yīng)用進(jìn)行升級，修補(bǔ)相應(yīng)安全漏洞；對網(wǎng)站代碼進(jìn)行嚴(yán)格的代碼審查，修改存在問題，提高代碼級別的安全性。

2.2 檢測加固

網(wǎng)站系統(tǒng)在上線前，必須要做好網(wǎng)站備案、信息系統(tǒng)安全等級評測等相關(guān)工作，請有專業(yè)資質(zhì)的檢測機(jī)構(gòu)通過漏洞掃描、滲透測試、人工審計(jì)等手段對對網(wǎng)站系統(tǒng)進(jìn)行全面檢測，針對檢測及評估結(jié)果有針對性制定安全加固方案，對網(wǎng)站系統(tǒng)、應(yīng)用服務(wù)、安全策略等進(jìn)行加固和配置優(yōu)化，將存在的風(fēng)險(xiǎn)和隱患控制到最低。

2.3 技術(shù)防護(hù)

完善網(wǎng)站安全技術(shù)防護(hù)手段，提升物理防御能力是政府網(wǎng)站安全防護(hù)體系構(gòu)建的重點(diǎn)。在配備DDoS防御、網(wǎng)絡(luò)訪問控制、入侵防護(hù)等常規(guī)網(wǎng)絡(luò)安全防護(hù)措施的前提下，增加配置Web應(yīng)用防火墻和網(wǎng)頁防篡改系統(tǒng)，實(shí)現(xiàn)網(wǎng)站預(yù)警和防御功能于一體，對網(wǎng)站形成多維度、全方位的安全防護(hù)。

NGFW雖然集成了WAF模塊等安全模塊，但和傳統(tǒng)防火墻一樣，采用的仍是包轉(zhuǎn)發(fā)技術(shù)，開啟WAF功能這會嚴(yán)重影響NGFW的性能，影響WAF的防護(hù)能力。而WEB防火墻是針對Web內(nèi)容檢測和應(yīng)用層安全控制的專用安全設(shè)備，部署在網(wǎng)站W(wǎng)eb服務(wù)器前端，通過專用的應(yīng)用規(guī)則，制定完備的安全策略，可解決包含SQL注入、應(yīng)用層DDoS以及Cookie篡改等在內(nèi)的各種HTTP/HTTPS應(yīng)用中的安全威脅，為Web應(yīng)用的安全運(yùn)行提供全面的技術(shù)保障。

網(wǎng)頁防篡改系統(tǒng)，是保護(hù)Web網(wǎng)頁和文件的重要技術(shù)手段，部署在Web服務(wù)器上，包含檢測模塊和文件防護(hù)模塊，采用進(jìn)程和文件夾雙重保護(hù)，通過核心內(nèi)嵌技術(shù)及事件觸發(fā)技術(shù)，對網(wǎng)頁內(nèi)容和數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測和防篡改保護(hù)，從根本上杜絕網(wǎng)頁被篡改的風(fēng)險(xiǎn)。

2.4 監(jiān)測響應(yīng)

部署Zabbix、Cloud Insight等網(wǎng)絡(luò)系統(tǒng)監(jiān)控軟件，以Web界面集中管理的方式，實(shí)時(shí)對系統(tǒng)各種網(wǎng)絡(luò)參數(shù)進(jìn)行分布式監(jiān)控，并通過短信、郵件等多種預(yù)警通知機(jī)制，將對網(wǎng)站系統(tǒng)的安 全監(jiān)測做到常態(tài)化，確保實(shí)現(xiàn)網(wǎng)站7╳24小時(shí)安全運(yùn)行的目標(biāo)。

安裝日志審計(jì)設(shè)備，通過集中采集系統(tǒng)日志信息、進(jìn)行規(guī)范化分析處理的方式，實(shí)現(xiàn)對整個(gè)網(wǎng)站日志的全面審計(jì)，及時(shí)發(fā)現(xiàn)各種安全威脅、異常行為事件，為系統(tǒng)提供全局保障，確保網(wǎng)站業(yè)務(wù)的不間斷運(yùn)行。制定完備的網(wǎng)站安全事件通報(bào)與應(yīng)急響應(yīng)機(jī)制及網(wǎng)絡(luò)安全應(yīng)急預(yù)案，建立主動的網(wǎng)站安全檢查機(jī)制。

3 結(jié)語

隨著“互聯(lián)網(wǎng)+”時(shí)代的來臨， 網(wǎng)絡(luò)安全已經(jīng)上升到國家安全的層面，全面提升政府網(wǎng)站安全建設(shè)工作力度已經(jīng)迫在眉睫。深化“互聯(lián)網(wǎng)+”理念、規(guī)范管理制度，增強(qiáng)技術(shù)防護(hù)手段，構(gòu)建一個(gè)安全可靠的政府網(wǎng)站安全防護(hù)體系，已經(jīng)成為政府為人民群眾做好服務(wù)工作的重要前提保障。

參考文獻(xiàn)：

[1] 劉斌.政府網(wǎng)站安全現(xiàn)狀及解決方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（1）：125-125.

[2] 金建明，楊彬.淺談全媒體網(wǎng)站安全防護(hù)體系建設(shè)[J].中國報(bào)業(yè)， 2017（3）：50-52.

[3] 季益龍，程松泉. “互聯(lián)網(wǎng)+”背景下的高校網(wǎng)站安全保障體系構(gòu)建[J].中國教育信息化，2017（15）：93-96.

【通聯(lián)編輯：唐一東】