鄔敏華 費(fèi)亮

網(wǎng)絡(luò)的精妙之處在于互聯(lián)，由此帶來的各種問題也出在互聯(lián)。其國(guó)際化、社會(huì)化、開放化和個(gè)人化的特點(diǎn)，在給人們提供“信息共享”，帶來工作高效率和生活高質(zhì)量的同時(shí)，也不可避免投下了不安全的陰影。隨著政府部門對(duì)網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)資源依賴程度的加強(qiáng)，政府網(wǎng)站安全已成為廣受關(guān)注的重大戰(zhàn)略問題。

作為政府部門的對(duì)外服務(wù)窗口，政府網(wǎng)站隨著電子政務(wù)的不斷發(fā)展，正在扮演著愈來愈重要的角色。同時(shí)，網(wǎng)站作為組織信息系統(tǒng)的一種邊界，與生俱來就是外部攻擊的首選，其面臨的安全形勢(shì)在智慧城市建設(shè)階段更為復(fù)雜嚴(yán)峻。2011年底，國(guó)務(wù)院辦公廳和工信部分別發(fā)布了《關(guān)于進(jìn)一步加強(qiáng)政府網(wǎng)站管理工作的通知》（國(guó)辦函［2011］40號(hào)）和《委托開展政府網(wǎng)站安全管理試點(diǎn)工作的通知》（工信廳協(xié)函［2011］416號(hào)），要求提高政府網(wǎng)站的安全保障水平。據(jù)此，上海三零衛(wèi)士信息安全有限公司在上海市網(wǎng)安辦的指導(dǎo)下，在前期參與信安標(biāo)委《政府網(wǎng)站系統(tǒng)安全指南》國(guó)家標(biāo)準(zhǔn)和長(zhǎng)期從事信息安全服務(wù)的基礎(chǔ)上，提出了“三位一體”的政府網(wǎng)站安全保障體系。

所謂“三位一體”，就是從“技術(shù)”、“管理”和“運(yùn)維”三個(gè)方面來構(gòu)建完整的政府網(wǎng)站安全保障體系，主要遵循信息安全“技術(shù)與管理并重”、“建設(shè)與運(yùn)維并重”兩大原則。從現(xiàn)有的國(guó)家《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》來看，也是分為技術(shù)和管理兩大類，技術(shù)類按信息系統(tǒng)的層次結(jié)構(gòu)再細(xì)分，管理類則強(qiáng)調(diào)管理體系、建設(shè)管理和運(yùn)維管理。因此，一個(gè)有效的信息安全保障體系不是安全產(chǎn)品的堆砌，而是需要建立完善的安全管理體系，并通過專業(yè)的安全服務(wù)來實(shí)現(xiàn)的。就目前政府網(wǎng)站的安全保障而言，管理體系主要應(yīng)由政府網(wǎng)站主管部門負(fù)責(zé)，安全服務(wù)可以采用可控可信的服務(wù)外包的方式實(shí)現(xiàn)。

相關(guān)信息安全標(biāo)準(zhǔn)

目前，與電子政務(wù)相關(guān)的信息安全政策要求，主要有國(guó)家信息安全等級(jí)保護(hù)制度（2007年之后普遍開始推行）和工信部政府信息系統(tǒng)安全檢查（2009年起每年一次）兩項(xiàng)：前者是針對(duì)所有計(jì)算機(jī)和信息系統(tǒng)均需要實(shí)施的，主要參照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》和《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等國(guó)家標(biāo)準(zhǔn)，通過自查、測(cè)評(píng)和整改的方式落實(shí)；后者是針對(duì)政府部門的信息系統(tǒng)進(jìn)行年度整體檢查，主要參照《政府信息系統(tǒng)安全檢查指南》，通過自查和監(jiān)督的方式落實(shí)。具體來看，等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)是面向網(wǎng)絡(luò)信息系統(tǒng)的通用技術(shù)架構(gòu)（物理環(huán)境→網(wǎng)絡(luò)→主機(jī)→應(yīng)用→數(shù)據(jù)）來設(shè)置的，并沒有體現(xiàn)網(wǎng)站類信息系統(tǒng)特有的體系架構(gòu)（如IIS、Apache等Web應(yīng)用服務(wù)，網(wǎng)站腳本源代碼等），在管理要求上也缺乏對(duì)網(wǎng)站運(yùn)行中普遍的托管、外包和內(nèi)容發(fā)布等控制條款，而政府信息系統(tǒng)安全檢查中與網(wǎng)站直接相關(guān)的檢查項(xiàng)更是寥寥幾筆。

在美國(guó)NIST（國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所）發(fā)布的SP800系列（關(guān)于計(jì)算機(jī)安全的特殊出版物）中，有一份專門針對(duì)公共服務(wù)網(wǎng)站的安全指南：SP800-44（Guidelines on Securing Public Web Servers）。該指南從網(wǎng)站服務(wù)器的規(guī)劃和管理、網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、操作系統(tǒng)安全、Web服務(wù)安全、Web內(nèi)容安全、認(rèn)證和加密、運(yùn)維管理等方面提出了安全要求，并提供了一套非常翔實(shí)實(shí)用的檢查表，已作為聯(lián)邦政府部門和機(jī)構(gòu)實(shí)施網(wǎng)站安全保障的推薦標(biāo)準(zhǔn)。

由此可見，目前國(guó)內(nèi)并沒有完全針對(duì)政府網(wǎng)站這類電子政務(wù)信息系統(tǒng)的信息安全標(biāo)準(zhǔn)，而國(guó)外的SP800-44所提供的詳細(xì)的安全規(guī)范，還需要和等級(jí)保護(hù)制度、電子政務(wù)管理辦法等國(guó)情相結(jié)合，這也是信安標(biāo)委進(jìn)行相關(guān)標(biāo)準(zhǔn)研究和工信部開展相關(guān)試點(diǎn)的原因。目的是希望能研究制定適合我國(guó)各類各級(jí)政府網(wǎng)站的信息安全保障標(biāo)準(zhǔn)，從而切實(shí)指導(dǎo)政府網(wǎng)站的建設(shè)、運(yùn)行和管理，提高政府網(wǎng)站防篡改、防病毒、防攻擊、防癱瘓、防泄密能力。

為政府網(wǎng)站安裝保障之門

“三位一體”的政府網(wǎng)站安全保障體系是基于《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》國(guó)家標(biāo)準(zhǔn)，并結(jié)合SP800-44和國(guó)內(nèi)信息安全服務(wù)企業(yè)的最佳實(shí)踐提出來的，由技術(shù)防護(hù)、管理機(jī)制和運(yùn)行維護(hù)三大部分組成，共計(jì)16個(gè)控制點(diǎn)，下圖給出了本體系結(jié)構(gòu)以及與等級(jí)保護(hù)、SP800-44的對(duì)應(yīng)關(guān)系。事實(shí)上，該體系不僅適用于政府網(wǎng)站，對(duì)于其他服務(wù)性和商業(yè)性網(wǎng)站同樣可以參照使用。

安全技術(shù)防護(hù)

技術(shù)防護(hù)部分主要基于等級(jí)保護(hù)的系統(tǒng)分層概念和IATF（信息保障技術(shù)框架）縱深防御理念，給出了網(wǎng)站基本架構(gòu)，如下圖所示。為保證網(wǎng)站安全各相關(guān)方語(yǔ)義上的一致，這里的網(wǎng)站基本架構(gòu)統(tǒng)一將網(wǎng)站系統(tǒng)分為網(wǎng)站基礎(chǔ)設(shè)施、網(wǎng)站應(yīng)用系統(tǒng)和網(wǎng)站數(shù)據(jù)三大層次，事實(shí)上不同層次的安全保障手段也各不相同。

基于這一基本架構(gòu)，就要求在各層面均滿足安全保障的基本要求。首先，應(yīng)在網(wǎng)絡(luò)邊界部署防火墻、入侵防護(hù)和檢測(cè)等安全網(wǎng)關(guān)產(chǎn)品；其次，應(yīng)將不同的服務(wù)器部署在不同的安全區(qū)域，并采用合適的隔離措施，保證服務(wù)器操作系統(tǒng)和網(wǎng)站系統(tǒng)平臺(tái)滿足最小安裝原則；第三，針對(duì)網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器操作系統(tǒng)和網(wǎng)站系統(tǒng)平臺(tái)、網(wǎng)站管理平臺(tái)等，均需要建立身份鑒別、訪問控制和安全審計(jì)三大安全技術(shù)措施；最后，針對(duì)網(wǎng)站數(shù)據(jù)庫(kù)文件、系統(tǒng)日志文件、設(shè)備配置文件和安全審計(jì)記錄等數(shù)據(jù)，應(yīng)采取有區(qū)別且合適的備份策略，確保數(shù)據(jù)可用性和業(yè)務(wù)連續(xù)性。

除了上述基本要求，針對(duì)網(wǎng)站系統(tǒng)特定的技術(shù)架構(gòu)，還需要根據(jù)實(shí)際情況，部署網(wǎng)頁(yè)防篡改、防拒絕服務(wù)攻擊、Web應(yīng)用防火墻、遠(yuǎn)程加密維護(hù)、管理終端IP地址限制等安全設(shè)備或安全機(jī)制，并充分考慮網(wǎng)站帶寬、鏈路冗余、訪問流量和連接數(shù)等可用性指標(biāo)。

安全管理機(jī)制

等級(jí)保護(hù)中對(duì)信息安全管理的要求，基本是基于ISO27K的要求，并結(jié)合國(guó)情增加了建設(shè)安全管理和運(yùn)維安全管理的內(nèi)容，重點(diǎn)是建立完整的信息安全管理體系，落實(shí)各項(xiàng)信息安全管理制度。本體系在此基礎(chǔ)上針對(duì)政府網(wǎng)站管理的實(shí)際情況：在管理責(zé)任方面，分別明確了安全責(zé)任部門和內(nèi)容審核部門；在管理制度方面，強(qiáng)調(diào)了對(duì)網(wǎng)站建設(shè)、運(yùn)維、內(nèi)容保障、應(yīng)急預(yù)案和服務(wù)外包（含托管）的要求。上述管理機(jī)制和管理制度，將通過各部門自身的培訓(xùn)考核、年度信息安全檢查、定期等保測(cè)評(píng)和整改等方式予以落實(shí)。本次試點(diǎn)工作中，上海市還提出了政府網(wǎng)站開辦備案和實(shí)名認(rèn)證的兩項(xiàng)管理機(jī)制，目的在于統(tǒng)一管理和避免政府網(wǎng)站仿冒釣魚。

安全運(yùn)行維護(hù)

運(yùn)行維護(hù)是任何信息系統(tǒng)生命周期中耗時(shí)最長(zhǎng)、投入最大的階段，但受制于以往信息化工作“重建設(shè)、重產(chǎn)品”指導(dǎo)思想的慣性，信息系統(tǒng)擁有者對(duì)長(zhǎng)期運(yùn)行維護(hù)及專業(yè)人力投入的理解還不深刻，等級(jí)保護(hù)和政府信息系統(tǒng)安全檢查中也沒有專門涉及安全運(yùn)維的要求。

因此，本體系特別增加了這一大類的保障要求。一方面，在網(wǎng)站的日常運(yùn)維中，要求通過“準(zhǔn)實(shí)時(shí)”的監(jiān)控平臺(tái)監(jiān)控網(wǎng)站的安全性和可用性，要求通過定期的本地安全檢查確保網(wǎng)站各層面的配置安全，通過定期的網(wǎng)站安全掃描及時(shí)發(fā)現(xiàn)并修復(fù)安全漏洞，并將網(wǎng)站源代碼掃描和滲透性測(cè)試也列為運(yùn)維工作的“規(guī)定項(xiàng)目”。另一方面，在網(wǎng)站的應(yīng)急管理中，要求針對(duì)網(wǎng)站癱瘓、網(wǎng)頁(yè)篡改或掛馬、DDOS攻擊、域名劫持、信息泄漏等重大事件建立應(yīng)急預(yù)案，明確事件級(jí)別和啟動(dòng)條件、應(yīng)急處置流程和系統(tǒng)恢復(fù)時(shí)限，并定期進(jìn)行演練和修訂。

值得注意的是，本體系在關(guān)注網(wǎng)絡(luò)信息系統(tǒng)安全的同時(shí)，還特別關(guān)注了服務(wù)外包的安全。針對(duì)政府網(wǎng)站設(shè)計(jì)、開發(fā)、部署和運(yùn)維中普遍的信息技術(shù)服務(wù)外包（可以理解為ITO），重點(diǎn)應(yīng)在服務(wù)合同中明確安全責(zé)任、服務(wù)內(nèi)容、服務(wù)方式和服務(wù)級(jí)別，并要求網(wǎng)站安全責(zé)任部門對(duì)外包方的資質(zhì)、人員、流程、工具和文檔等服務(wù)要素進(jìn)行安全管控。針對(duì)政府網(wǎng)站內(nèi)容編輯和發(fā)布的服務(wù)外包（可以理解為BPO），也要求網(wǎng)站內(nèi)容審核部門通過加強(qiáng)審核進(jìn)行安全管控。

讓信息安全“總體可控”

基于上述政府網(wǎng)站安全保障體系，上海市網(wǎng)安辦于2012年3月制定印發(fā)了《上海市政府網(wǎng)站安全保障指南（試行）》，并對(duì)本次工信部試點(diǎn)的重點(diǎn)政府網(wǎng)站（市級(jí)委辦局和區(qū)縣政府）進(jìn)行了宣貫培訓(xùn)，要求各政府部門結(jié)合網(wǎng)站安全保障實(shí)際，認(rèn)真遵照?qǐng)?zhí)行。2012年5～10月期間，市網(wǎng)安辦還將組織相關(guān)力量，通過檢查、監(jiān)控、掃描、測(cè)試等技術(shù)手段和安全服務(wù)，進(jìn)一步落實(shí)《指南》的各項(xiàng)要求，掌握全市整體情況，最終目的是通過試點(diǎn)保障全市政府網(wǎng)站的安全“總體可控”。

要達(dá)到這一目的，除了市網(wǎng)安辦等信息安全主管部門協(xié)調(diào)推進(jìn)外，還需要政府網(wǎng)站單位和專業(yè)信息安全服務(wù)單位兩方面的力量投入：對(duì)前者而言，關(guān)鍵是意識(shí)上重視、經(jīng)費(fèi)上保障、工作上落實(shí)；對(duì)后者而言，關(guān)鍵是按照《指南》的要求統(tǒng)一認(rèn)識(shí)，從提高政府網(wǎng)站安全保障的實(shí)際需求出發(fā)，客觀公正地發(fā)揮安全技術(shù)優(yōu)勢(shì)和專業(yè)服務(wù)能力。此外，區(qū)縣政府的信息安全主管部門，在落實(shí)區(qū)縣政府門戶網(wǎng)站安全保障的基礎(chǔ)上，還需要考慮如何進(jìn)一步規(guī)范區(qū)縣下屬的大量政府網(wǎng)站的有效運(yùn)行和安全保障。