◆陳德智

“互聯(lián)網(wǎng)+政務(wù)服務(wù)”背景下政府網(wǎng)站群安全風(fēng)險研究

◆陳德智

（遼寧省信息中心網(wǎng)絡(luò)技術(shù)部 遼寧 110000）

為適應(yīng)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”背景，在統(tǒng)一規(guī)劃下，政府網(wǎng)站群近年來在大量興建，政府網(wǎng)站群安全風(fēng)險也開始引起業(yè)界廣泛關(guān)注。基于此，本文簡單分析“互聯(lián)網(wǎng)+政務(wù)服務(wù)”背景下政府網(wǎng)站群安全風(fēng)險，并深入探討安全風(fēng)險的應(yīng)對措施，以供業(yè)內(nèi)人士參考。

政府網(wǎng)站群；安全風(fēng)險；網(wǎng)絡(luò)安全保障體系

結(jié)合實(shí)際調(diào)研可以發(fā)現(xiàn)，現(xiàn)階段我國很多政府網(wǎng)站群存在安全風(fēng)險，平臺技術(shù)落后、資源開發(fā)利用整合程度低下等問題也較為常見。為盡可能保證政府網(wǎng)站群安全，必須設(shè)法優(yōu)化政府網(wǎng)站群管理系統(tǒng)，并同時打造高實(shí)用性網(wǎng)絡(luò)安全保障體系，為夯實(shí)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”提供基礎(chǔ)。

1 政府網(wǎng)站群安全風(fēng)險分析

1.1 平臺技術(shù)落后

政府網(wǎng)站群安全風(fēng)險與平臺技術(shù)落后存在一定關(guān)聯(lián)，很多政府網(wǎng)站群在公眾參與、在線辦事等功能方面存在的欠缺便屬于其中代表，溝通受到的固化應(yīng)用框架影響也需要引起重視。受差異較大的子網(wǎng)站建設(shè)水平、參差不齊的內(nèi)容實(shí)用性影響，基于需求對信息公開內(nèi)容進(jìn)行整合的難度也較高，這就使得政府網(wǎng)站群在提供“互聯(lián)網(wǎng)+政務(wù)服務(wù)”方面存在不足。平臺技術(shù)落后在自動化水平方面同樣有所體現(xiàn)，過于重視政府信息嚴(yán)謹(jǐn)性很容易引發(fā)這類問題，需要復(fù)雜操作才能夠在特定頁面展示內(nèi)部資源的情況也較為常見，這對公共資源利用率造成的負(fù)面影響較為深遠(yuǎn)[1]。

1.2 資源開發(fā)利用整合程度低下

對于由各部門自行負(fù)責(zé)的政府部門網(wǎng)站建設(shè)來說，業(yè)務(wù)部門網(wǎng)站與政府門戶網(wǎng)站間很容易在功能、內(nèi)容模塊整合方面出現(xiàn)脫節(jié)，信息共享功能存在欠缺的政府網(wǎng)站群也會影響分散信息共享、異構(gòu)資源交換。為提供“互聯(lián)網(wǎng)+政務(wù)服務(wù)”，各部門存在較高的信息共享需求，但受到分散的管理體制、分開的業(yè)務(wù)系統(tǒng)物理位置等因素影響，技術(shù)弱點(diǎn)制約下的政府網(wǎng)站群無法有效整合共享信息資源。在不斷增加的系統(tǒng)建設(shè)需求影響下，系統(tǒng)軟件、硬件設(shè)備、安全設(shè)備相關(guān)的重復(fù)投資很容易出現(xiàn)，規(guī)模增大和數(shù)量增加的應(yīng)用系統(tǒng)也使得信息孤島、重復(fù)建設(shè)問題日益突出[2]。

1.3 安全隱患突出

在建設(shè)完成政府網(wǎng)站群的某個站點(diǎn)后，受管理措施不力、重視程度較低等因素影響，站點(diǎn)很容易變?yōu)樗哒军c(diǎn)，嚴(yán)重的安全隱患問題會因此出現(xiàn)，同時會嚴(yán)重威脅政府網(wǎng)站群的安全運(yùn)維。利用睡眠站點(diǎn)，黑客可通過網(wǎng)站漏洞和后臺管理進(jìn)入政府網(wǎng)站群管理后臺。政府網(wǎng)站群存在的組件共享、內(nèi)容共享、站點(diǎn)管理等功能能夠?yàn)楹诳吞峁┣秩胪緩剑M(jìn)而嚴(yán)重威脅相關(guān)網(wǎng)站的安全運(yùn)行。如政府網(wǎng)站群的管理人員未能高度重視睡眠站點(diǎn)，未能做好對網(wǎng)站群平臺安全漏洞的及時修補(bǔ)，安全問題的發(fā)生概率將大幅提升，如Struts2框架漏洞、FCKeditor編輯器漏洞等，這可能導(dǎo)致整個政府網(wǎng)站群被篡改?？紤]到政府網(wǎng)站群存在的獨(dú)特技術(shù)特點(diǎn)和應(yīng)用差異性，必須認(rèn)識到政府網(wǎng)站群維護(hù)的重要性，只有健全管理制度、完善運(yùn)行機(jī)制、強(qiáng)化網(wǎng)站管理，風(fēng)險防范工作方可取得預(yù)期效果，政府網(wǎng)站群的應(yīng)有效益和影響才能夠充分發(fā)揮。

2 政府網(wǎng)站群安全風(fēng)險應(yīng)對措施

2.1 開展云平臺建設(shè)

為保證政府網(wǎng)站群安全，結(jié)合平臺技術(shù)落后問題，政府網(wǎng)站群的云平臺建設(shè)需要引起重視。通過資源整合，政府網(wǎng)站群需要向按需配比的云計(jì)算建設(shè)模式轉(zhuǎn)型，通過對虛擬化技術(shù)的逐步引入，數(shù)據(jù)中心的高利用率、低能耗、低成本、智能管理、快速部署能夠順利實(shí)現(xiàn)，以此建成的多層體系架構(gòu)應(yīng)用支撐平臺也具備更高安全性。在政府網(wǎng)站群云平臺的建設(shè)過程中，需結(jié)合不同部門業(yè)務(wù)應(yīng)用特點(diǎn)及“互聯(lián)網(wǎng)+政務(wù)服務(wù)”需要，科學(xué)設(shè)置虛擬機(jī)、物理服務(wù)器、SAN/NAS存儲，存儲或服務(wù)器需結(jié)合業(yè)務(wù)應(yīng)用特點(diǎn)配置，滿足存儲和計(jì)算需要。云平臺本身具備更高安全性，且能夠?qū)μ摂M資源、物理資源開展池化管理。云平臺建設(shè)還能夠?qū)崿F(xiàn)即時申請IT資源、“數(shù)據(jù)雙活+數(shù)據(jù)備份”，這能夠較好服務(wù)于業(yè)務(wù)快速部署、全面數(shù)據(jù)保護(hù)、業(yè)務(wù)連續(xù)性增強(qiáng)，政府網(wǎng)站群的自動災(zāi)難恢復(fù)能力也能夠隨之大幅提升。具體的云平臺建設(shè)應(yīng)圍繞接入層網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、生產(chǎn)存儲系統(tǒng)、應(yīng)用層服務(wù)器系統(tǒng)展開，同時需要關(guān)注公共數(shù)據(jù)中心建設(shè)、云平臺互聯(lián)網(wǎng)安全接入。以云平臺互聯(lián)網(wǎng)安全接入為例，通過安全防護(hù)和接入交換機(jī)后，政府網(wǎng)站群存儲區(qū)域和服務(wù)器數(shù)據(jù)能夠與互聯(lián)網(wǎng)、政務(wù)外網(wǎng)通過原有網(wǎng)絡(luò)對接，這不僅能夠保證云平臺建設(shè)取得預(yù)期成果，政府網(wǎng)站群安全性也能夠同時提升[3]。

2.2 完善管理措施

為解決上文提及的資源開發(fā)利用整合程度低下問題，政府網(wǎng)站群安全風(fēng)險應(yīng)對還應(yīng)聚焦管理措施完善，通過結(jié)合“互聯(lián)網(wǎng)+政務(wù)服務(wù)”需要，總結(jié)以往管理經(jīng)驗(yàn)，在需求導(dǎo)向下，需同時關(guān)注系統(tǒng)建設(shè)和基礎(chǔ)建設(shè)，保證業(yè)務(wù)應(yīng)用和安全保障、維護(hù)服務(wù)和項(xiàng)目實(shí)施同步。具體的管理完善可從社會技術(shù)力量利用、服務(wù)外包、各級各部門共同參與入手，如單一采購專項(xiàng)服務(wù)、實(shí)行服務(wù)外包、在業(yè)務(wù)相關(guān)部門及單位分解落實(shí)維護(hù)任務(wù)，在各級齊抓共管、社會技術(shù)力量充分利用下，政府網(wǎng)站群安全性和實(shí)用性將大幅提升，“互聯(lián)網(wǎng)+政務(wù)服務(wù)”需要也將更好得到滿足。

2.3 打造網(wǎng)絡(luò)安全保障體系

為更好應(yīng)對政府網(wǎng)站群安全風(fēng)險，應(yīng)設(shè)法打造網(wǎng)絡(luò)安全保障體系，該體系由五部分組成。

（1）物理安全保障

作為政府網(wǎng)站群安全運(yùn)行的基礎(chǔ)，為避免人為操作失誤、自然災(zāi)害等引發(fā)的硬件故障威脅其安全運(yùn)行，運(yùn)維部門需做完善的安全操作規(guī)范制定，結(jié)合各類安全問題明確應(yīng)急措施。在開展云平臺建設(shè)的同時，還可以通過異地物理機(jī)房提供備份站點(diǎn)，必要時通過備份資源提供服務(wù)，更好保證政府網(wǎng)站群物理安全。

（2）網(wǎng)絡(luò)安全保障

網(wǎng)絡(luò)安全保障同樣屬于網(wǎng)絡(luò)安全保障體系的重要組成部分，具體保障需聚焦網(wǎng)絡(luò)結(jié)構(gòu)安全、惡意代碼防范、入侵防范、安全審計(jì)、訪問控制、網(wǎng)絡(luò)設(shè)備防護(hù)安全等方面，具體可從拒絕服務(wù)攻擊入手，并做好安全區(qū)域合理劃分、網(wǎng)絡(luò)邊界保護(hù)、內(nèi)容分發(fā)網(wǎng)絡(luò)部署、防DDoS攻擊部署。安全區(qū)域合理劃分需要將政府網(wǎng)站群細(xì)分為托管類網(wǎng)站群、主要網(wǎng)站群，以此明確不同的重要程度、開發(fā)狀態(tài)以及性質(zhì)、維護(hù)手段，同時需按照安全區(qū)域差異進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)劃分，可采用VLAN法、防火墻法進(jìn)行具體劃分；網(wǎng)絡(luò)邊界保護(hù)可應(yīng)用三層交換設(shè)備，以此實(shí)現(xiàn)不同安全區(qū)間政府網(wǎng)站群的ACL訪問，訪問的管控可同時通過防火墻實(shí)現(xiàn)，防火墻在互聯(lián)網(wǎng)接入口的配置、抗攻擊系統(tǒng)及入侵防御的設(shè)置、防病毒網(wǎng)關(guān)的設(shè)置也需要得到重視；內(nèi)容分發(fā)網(wǎng)絡(luò)部署可通過CDN緩存系統(tǒng)開展文件下載、視頻數(shù)據(jù)、Web靜態(tài)發(fā)布等服務(wù)及應(yīng)用的網(wǎng)絡(luò)分發(fā)，訪問性能可通過動態(tài)鏈路選擇訪問機(jī)制和緩存提升，實(shí)現(xiàn)源點(diǎn)壓力緩解、源站帶寬瓶頸消除、用戶體驗(yàn)提升；防DDoS攻擊部署可采購相應(yīng)服務(wù)或購入相應(yīng)設(shè)備，以此提升政府網(wǎng)站群應(yīng)對相關(guān)攻擊的能力。

（3）主機(jī)安全保障

為保障政府網(wǎng)站群主機(jī)安全，需關(guān)注系統(tǒng)漏洞、操作系統(tǒng)配置不當(dāng)?shù)确矫娈a(chǎn)生的主機(jī)系統(tǒng)風(fēng)險，并選用以下幾方面保障措施：第一，補(bǔ)丁管理。對數(shù)據(jù)庫、操作系統(tǒng)進(jìn)行定期掃描，保證漏洞的及時發(fā)現(xiàn)和處理；第二，主機(jī)加固軟件安裝。不斷加固配置，做好操作系統(tǒng)的角色分配、身份鑒別、安全審計(jì)、強(qiáng)制訪問控制；第三，主機(jī)監(jiān)控。實(shí)時監(jiān)控存儲空間、CPU、內(nèi)存，并在必要時發(fā)出預(yù)警。

（4）Web應(yīng)用安全保障

為保障政府網(wǎng)站群Web應(yīng)用安全，需聚焦腳本攻擊、第三方控件漏洞、安全漏洞威脅，網(wǎng)站源代碼安全缺陷也需要得到重視，具體可采用以下幾方面保障措施：

第一，應(yīng)用專業(yè)系統(tǒng)。應(yīng)設(shè)法對WEB應(yīng)用服務(wù)器進(jìn)行加固，并引入網(wǎng)頁防篡改軟件和專業(yè)WEB防火墻保護(hù)系統(tǒng)，對WEB應(yīng)用黑客攻擊進(jìn)行有效識別和阻止；

第二，源代碼審計(jì)產(chǎn)品。代碼審計(jì)可通過源代碼審計(jì)產(chǎn)品開展，設(shè)計(jì)、實(shí)現(xiàn)環(huán)節(jié)引發(fā)的漏洞能夠有效規(guī)避；

第三，靜態(tài)網(wǎng)頁設(shè)置。通過將靜態(tài)網(wǎng)頁設(shè)置于政府網(wǎng)站群前臺，對外直接的應(yīng)用服務(wù)器暴露能夠大幅減少，受攻擊機(jī)會降低、安全性提升自然能夠順利實(shí)現(xiàn)；

第四，優(yōu)化后臺管理?？刹捎枚嘁蜃诱J(rèn)證手段和加密傳輸進(jìn)行后臺管理，對管理員權(quán)限和賬號進(jìn)行嚴(yán)格劃分，避免漏洞被管理員引入的情況出現(xiàn)。

（5）數(shù)據(jù)安全容災(zāi)備份

數(shù)據(jù)安全容災(zāi)備份同樣屬于網(wǎng)絡(luò)安全保障體系的重要組成部分，應(yīng)在異地建立至少兩套應(yīng)用功能相同系統(tǒng)，系統(tǒng)間能夠?qū)崿F(xiàn)功能切換和健康狀態(tài)監(jiān)視，因地震、火災(zāi)等因素導(dǎo)致一處系統(tǒng)工作意外停止時，系統(tǒng)可向另一處切換，“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的正常提供不受影響。作為高可用的組成部分，容災(zāi)技術(shù)建設(shè)需要關(guān)注外界環(huán)境、災(zāi)難性事件帶來的影響，設(shè)法實(shí)現(xiàn)節(jié)點(diǎn)級別的系統(tǒng)恢復(fù)功能提供。分為應(yīng)用備份和數(shù)據(jù)備份的容災(zāi)備份均需要得到重視，需關(guān)注網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)等資源的良好協(xié)調(diào)，保證容災(zāi)備份更好保障政府網(wǎng)站群安全。

3 結(jié)論

綜上所述，政府網(wǎng)站群安全風(fēng)險較為多樣。在此基礎(chǔ)上，本文涉及的開展云平臺建設(shè)、完善管理措施、打造網(wǎng)絡(luò)安全保障體系等內(nèi)容，則提供可行性較高的政府網(wǎng)站群安全保障措施。為更好提供“互聯(lián)網(wǎng)+政務(wù)服務(wù)”，上下互動、信息共享、左右協(xié)調(diào)的政府網(wǎng)站群建設(shè)管理同樣需要設(shè)法實(shí)現(xiàn)。

[1]楊俊逸，謝芳.基于省級層面的政府網(wǎng)站集約化建設(shè)研究[J].長江信息通信，2021，34（03）：150-154.

[2]戴東情，毛圣兵，張瑞.政府網(wǎng)站安全監(jiān)管機(jī)制研究[J].網(wǎng)信軍民融合，2020（08）：16-18.

[3]喬侃.信息時代政府信息安全問題研究與防護(hù)[J].計(jì)算機(jī)產(chǎn)品與流通，2020（09）：127-128.