摘要：由于政府門戶網(wǎng)站涉及許多關(guān)鍵數(shù)據(jù)，且影響范圍廣泛，利用（數(shù)據(jù)）價(jià)值較高，導(dǎo)致其信息安全存在一定的風(fēng)險(xiǎn)性，需要相關(guān)人員積極梳理問(wèn)題，做好防范。本文主要分析了政府門戶網(wǎng)站的風(fēng)險(xiǎn)產(chǎn)生的影響因素，并就對(duì)應(yīng)安全保障體系的建立提出建議，以供參考。

關(guān)鍵詞：政府門戶網(wǎng)站;安全保障體系;管理機(jī)制

前言：政府門戶網(wǎng)站的主要功能在于更新最新政策、公開(kāi)有關(guān)信息、征集群眾建議、促進(jìn)招商引資，其不僅構(gòu)建了綜合性的百姓服務(wù)平臺(tái)，突顯了地方政府的職能，還發(fā)布、吸收、中轉(zhuǎn)了許多有價(jià)值的信息數(shù)據(jù)，對(duì)其自身工作的優(yōu)化、升級(jí)管理的展開(kāi)都具有關(guān)鍵性的意義[1]。也正因政府門戶網(wǎng)站的強(qiáng)大功能性和較高的信息價(jià)值，相關(guān)人員才更應(yīng)該對(duì)其安全防護(hù)工作加以重視，從當(dāng)前的網(wǎng)絡(luò)安全問(wèn)題著手分析，為政府門戶網(wǎng)站建立周密的安全保障體系。

一、政府門戶網(wǎng)站風(fēng)險(xiǎn)因素分析

1.網(wǎng)站安全現(xiàn)狀及問(wèn)題

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題也逐漸成為人們最為關(guān)注的話題之一，常見(jiàn)的網(wǎng)絡(luò)風(fēng)險(xiǎn)有病毒攻擊、黑客入侵，不僅對(duì)網(wǎng)絡(luò)用戶的網(wǎng)頁(yè)瀏覽造成困擾，還有可能對(duì)一些官方網(wǎng)站的安全帶來(lái)威脅。政府門戶網(wǎng)站主要以公共信息發(fā)布，群眾意見(jiàn)搜集和各項(xiàng)數(shù)據(jù)分析為指向來(lái)運(yùn)行，其中不乏有機(jī)密信息、重要數(shù)據(jù)，一旦流出將會(huì)為政府工作的展開(kāi)帶來(lái)較大的阻礙，但仍有不法分子為了獲取利益采取先進(jìn)手段對(duì)其展開(kāi)攻擊，且隨著網(wǎng)絡(luò)技術(shù)的不斷優(yōu)化，這些攻擊手段也得到了進(jìn)一步的升級(jí)。當(dāng)前政府門戶網(wǎng)站的安全問(wèn)題主要具有以下特點(diǎn)：攻擊手段隱秘;攻擊面擴(kuò)大（從網(wǎng)絡(luò)層發(fā)展至應(yīng)用層）;攻擊動(dòng)機(jī)清晰（原來(lái)的網(wǎng)絡(luò)攻擊，黑客的目的各異，或?yàn)樽C明自己、或?yàn)閾P(yáng)名、或?yàn)閭€(gè)人喜好，當(dāng)下的網(wǎng)絡(luò)攻擊基本為獲取利益）;讓相關(guān)管理人員不得不提高警惕。

2.主要風(fēng)險(xiǎn)因素分析

導(dǎo)致政府門戶網(wǎng)站存在安全問(wèn)題的因素主要可以分為兩方面：一是管理人員（部門）管理意識(shí)不足，一是管理手段、技術(shù)對(duì)不斷更新的風(fēng)險(xiǎn)內(nèi)容缺乏適用性。首先，政府門戶網(wǎng)站的管理人員在網(wǎng)站風(fēng)險(xiǎn)監(jiān)測(cè)與控制方面的專業(yè)度不強(qiáng)，有的雖然具備一定的理論識(shí)別能力，但實(shí)踐經(jīng)驗(yàn)方面要較專業(yè)人士低，常導(dǎo)致漏洞發(fā)現(xiàn)不及時(shí)或漏洞修復(fù)延期[2];加之對(duì)應(yīng)的網(wǎng)站管理機(jī)制不夠完善，相應(yīng)的制度缺乏專業(yè)、合理的分工，應(yīng)急預(yù)案的建設(shè)應(yīng)對(duì)范圍狹窄，甚至有些管理人員對(duì)應(yīng)急預(yù)案的建設(shè)缺乏周密的考慮;此外，相關(guān)培訓(xùn)機(jī)制創(chuàng)設(shè)的不足也側(cè)面反映了管理人員對(duì)門戶網(wǎng)站風(fēng)險(xiǎn)抵御認(rèn)識(shí)不足的問(wèn)題。其次，網(wǎng)站安全保護(hù)相關(guān)技術(shù)與配套服務(wù)意識(shí)的欠缺也導(dǎo)致了一系列安全性問(wèn)題。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)釣魚、SQL注入與跨站腳本攻擊等網(wǎng)絡(luò)入侵方式也不斷升級(jí)，而一些地區(qū)的政府門戶網(wǎng)站管理人員在技術(shù)上仍存在欠缺，對(duì)于安全問(wèn)題的抵御只限定于幾個(gè)方面（基本停留在網(wǎng)絡(luò)攻擊抵御上，對(duì)應(yīng)用端的風(fēng)險(xiǎn)防御較少涉及），對(duì)新的入侵手段則拿不出較具針對(duì)性的措施，為不法分子留下了可乘之機(jī)。

二、政府門戶網(wǎng)站安全體系建立

1.完善管理機(jī)制

基于以上對(duì)政府門戶網(wǎng)站風(fēng)險(xiǎn)因素的分析，可知對(duì)應(yīng)安全保障體系的建立必須從管理人員的意識(shí)、工作開(kāi)展模式和自身能力水平的提升著手，通過(guò)對(duì)管理機(jī)制的完善，為政府門戶網(wǎng)站地長(zhǎng)效安全運(yùn)行奠定基礎(chǔ)。第一步是制度的確立。相關(guān)管理人員應(yīng)對(duì)各級(jí)政府門戶網(wǎng)站的工作流程進(jìn)行調(diào)研分析，汲取經(jīng)驗(yàn)，并結(jié)合自身網(wǎng)站業(yè)務(wù)實(shí)際，完善日常安全管理的有關(guān)規(guī)范，如接口設(shè)計(jì)、網(wǎng)站運(yùn)維等的細(xì)則設(shè)定，保證職責(zé)明確、分工合理且具有較高的可操作性[3]。第二步是應(yīng)急預(yù)案的構(gòu)設(shè)。所謂應(yīng)急預(yù)案必須結(jié)合防護(hù)措施與恢復(fù)機(jī)制，從內(nèi)外兩方面將風(fēng)險(xiǎn)影響降至最低水平，以保證網(wǎng)站使用的連續(xù)性。而為減小對(duì)網(wǎng)站正常應(yīng)用的影響，其應(yīng)急預(yù)應(yīng)可在瀏覽人數(shù)較少的工作日展開(kāi)，并將演練結(jié)果作為應(yīng)急措施的改進(jìn)依據(jù)。第三步是管理人員培訓(xùn)?；谝恍┕芾砣藛T安全意識(shí)不高和風(fēng)險(xiǎn)防控水平不足的問(wèn)題，有關(guān)部門還應(yīng)定期對(duì)管理人員進(jìn)行培訓(xùn)，使其思想、能力的提升與網(wǎng)絡(luò)技術(shù)的發(fā)展保持一致。

2.強(qiáng)化技術(shù)保障

對(duì)應(yīng)當(dāng)前網(wǎng)絡(luò)入侵技術(shù)的升級(jí)，政府門戶網(wǎng)站安全管理工作也要在技術(shù)層面加強(qiáng)改進(jìn)，多方面考慮問(wèn)題，擴(kuò)大防御領(lǐng)域，優(yōu)化防御角度，全方位攔截、打擊非法入侵問(wèn)題。本著合規(guī)性、威脅性原則，政府門戶網(wǎng)站系統(tǒng)的安全防護(hù)體系應(yīng)在以下內(nèi)容上進(jìn)行設(shè)置：（1）劃分安全區(qū)域;根據(jù)網(wǎng)站各系統(tǒng)服務(wù)器功能設(shè)置不同安全區(qū)域，設(shè)定訪問(wèn)控制列表（ACL），以對(duì)不同區(qū)域進(jìn)行隔離及控制。（2）保證操作系統(tǒng)安全;秉承控制不必要服務(wù)軟件、插件的應(yīng)用以及及時(shí)更新系統(tǒng)補(bǔ)丁原則，對(duì)操作系統(tǒng)開(kāi)啟、運(yùn)行、連接、數(shù)據(jù)存儲(chǔ)等操作進(jìn)行規(guī)范，加強(qiáng)系統(tǒng)鞏固，有效提升對(duì)蠕蟲、未知病毒等的抵御。（3）增設(shè)防篡改系統(tǒng);于網(wǎng)站應(yīng)用服務(wù)器上部署防篡改系統(tǒng)，開(kāi)展對(duì)頁(yè)面文件的監(jiān)控，以隨時(shí)保證網(wǎng)站的可靠性。（4）提高入侵防范;布置入侵防范系統(tǒng)（IPS），實(shí)現(xiàn)對(duì)外部入侵的審查，對(duì)可判定的攻擊行為進(jìn)行屏蔽。（5）訪問(wèn)身份鑒別;對(duì)網(wǎng)站系統(tǒng)平臺(tái)、操作終端、管理平臺(tái)分別建立身份識(shí)別機(jī)制，各項(xiàng)系統(tǒng)操作默認(rèn)成管理員賬戶、密碼，完善操作員、審計(jì)員和管理員的職位、職能設(shè)定，對(duì)有不良操作記錄的賬戶進(jìn)行定期清理。（6）訪問(wèn)限制;通過(guò)引進(jìn)系統(tǒng)管理員、安全管理員與安全審計(jì)員的管理角色，實(shí)行訪問(wèn)權(quán)限分離，以避免賬號(hào)誤用的情況發(fā)生，且三個(gè)管理員相互制約，可共同促進(jìn)服務(wù)系統(tǒng)的安全性。

3.提升運(yùn)維服務(wù)

政府門戶網(wǎng)站也屬于開(kāi)放服務(wù)平臺(tái)，需要運(yùn)維人員對(duì)用戶進(jìn)行服務(wù)，因此網(wǎng)站安全性的提升還要從服務(wù)角度展開(kāi)設(shè)計(jì)。首先要充分考慮運(yùn)維服務(wù)的成熟開(kāi)放性、安全可行性以及后期可維護(hù)性;其次，運(yùn)維服務(wù)要對(duì)監(jiān)控目標(biāo)進(jìn)行確立，以令其服務(wù)開(kāi)展更具針對(duì)性，基于對(duì)網(wǎng)站安全問(wèn)題的防御條件分析，其安全監(jiān)控的目標(biāo)應(yīng)符合完整性、可用性及保密性原則，使其監(jiān)控效果更加顯著;最后，運(yùn)維服務(wù)中對(duì)風(fēng)險(xiǎn)問(wèn)題的監(jiān)控應(yīng)對(duì)文字、頁(yè)面框架、圖片、鏈接內(nèi)容進(jìn)行監(jiān)控，主要審核敏感字、疑似篡改、網(wǎng)站DNS劫持，從性能角度而言，則是對(duì)頁(yè)面下載實(shí)踐、網(wǎng)站訪問(wèn)時(shí)間進(jìn)行監(jiān)控，并配備預(yù)警機(jī)制，如預(yù)警鏈接、報(bào)警電話、郵箱等。

結(jié)語(yǔ)：政府門戶網(wǎng)站的功能性、價(jià)值性毋庸置疑，相關(guān)人員應(yīng)當(dāng)在豐富網(wǎng)站功能、提升網(wǎng)站服務(wù)之前保障網(wǎng)站的安全性。根據(jù)當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀可知，一些改進(jìn)了的網(wǎng)站入侵手段隱蔽性有所提升。因而相關(guān)安全防護(hù)體系的建立要從多角度考慮，不斷完善更新，在管理、技術(shù)和服務(wù)上都做出升級(jí)，以令政府門戶網(wǎng)站為人民生活的便利提供更好的促進(jìn)。

參考文獻(xiàn)：

[1]崔穎.政府門戶網(wǎng)站的網(wǎng)絡(luò)安全分析[J].電腦知識(shí)與技術(shù)，2019，15（21）：38-39.

[2]宋瑞鳳.基層政府門戶網(wǎng)站安全防護(hù)的對(duì)策探討[J].中國(guó)新通信，2019，21（23）：136-137.

[3]倪雄，宗志鋒，徐文君.政府門戶網(wǎng)站安全保障體系設(shè)計(jì)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（03）：85-86.

作者簡(jiǎn)介：楊丹，1982.11，男;民族：漢族;籍貫：浙江省湖州市;職稱：中級(jí);學(xué)歷：本科;研究方向：職業(yè)技能鑒定信息化建設(shè)。