◆劉 斌

（浙江省舟山市公安局定海分局 浙江 316000）

政府網(wǎng)站安全現(xiàn)狀及解決方案

◆劉 斌

（浙江省舟山市公安局定海分局 浙江 316000）

近年來，隨著政府部門信息化建設(shè)大力推進，政府網(wǎng)站應(yīng)運而生，并且得到了蓬勃的發(fā)展。然而，目前我國各級政府部門門戶網(wǎng)站的安全狀況卻令人擔(dān)憂，多數(shù)政府網(wǎng)站還缺乏對安全的足夠重視。由于政府網(wǎng)站具有不可替代的權(quán)威性，對它的攻擊將嚴重影響我國的網(wǎng)絡(luò)信息安全。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2015年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》顯示，2015年我國政府網(wǎng)站被篡改數(shù)量為898個，在被篡改的政府網(wǎng)站中，超過85%的網(wǎng)頁篡改方式是植入暗鏈（含博彩、色情內(nèi)容），為政府網(wǎng)站被入侵后發(fā)生比例最高的安全事件，這充分說明網(wǎng)絡(luò)犯罪黑色產(chǎn)業(yè)鏈已成為我國網(wǎng)絡(luò)安全環(huán)境的最大威脅。2015年，國家互聯(lián)網(wǎng)應(yīng)急中心通報了涉及政府機構(gòu)和重要信息系統(tǒng)部門的事件型漏洞近2.4萬起，約是2014年的2.6倍，繼續(xù)保持快速增長態(tài)勢。國家互聯(lián)網(wǎng)應(yīng)急中心抽取2015年12月通報的安全漏洞事件進行修復(fù)驗證，發(fā)現(xiàn)政府部門網(wǎng)站系統(tǒng)漏洞隔月修復(fù)率僅為52.7%。如何讓虛弱不堪的政府網(wǎng)站變得固若金湯，保證其長久正常運作，是急需解決的問題。

政府網(wǎng)站; 網(wǎng)絡(luò)安全; 網(wǎng)站群; 等級保護; 漏洞掃描

0 前言

政府門戶網(wǎng)站的出現(xiàn)不但拉近了與群眾之間的距離，也方便了政府的政務(wù)處理，加快了陽光政務(wù)的進程，同時也為政府機關(guān)廣泛收集民情民意，制定科學(xué)決策提供了最好的溝通橋梁作用。但是由于政府部門存在網(wǎng)站管理不到位、技術(shù)能力不達標、安全防范不規(guī)范等原因，甚至部分政府網(wǎng)站存在“裸奔”現(xiàn)象，政府網(wǎng)站的安全狀況不容樂觀。上述種種因素，政府網(wǎng)站不可避免地成為境內(nèi)外黑客攻擊對象，造成網(wǎng)站癱瘓、信息泄露等嚴重后果。如何解決這些問題，使政府網(wǎng)站真正服務(wù)于群眾，是擺在我們面前的一個主要任務(wù)。

1 政府網(wǎng)站安全現(xiàn)狀

（1）重建設(shè)、輕管理，政府網(wǎng)站安全問題突出。近年來，政府網(wǎng)站安全事件（隱患）也日益呈現(xiàn)。政府網(wǎng)站被境外黑客攻擊篡改事件屢屢發(fā)生，經(jīng)調(diào)查發(fā)現(xiàn)，被攻擊網(wǎng)站安全防范措施較差，安全管理嚴重缺失，均屬于無專人維護或委托第三方的管理模式。從目前掌握的整體情況看，多數(shù)基層黨政機關(guān)網(wǎng)站，只有少數(shù)納入到了政府網(wǎng)站集群管理，部分網(wǎng)站建設(shè)在本單位機房自主維護，大多數(shù)網(wǎng)站租賃網(wǎng)絡(luò)公司的網(wǎng)絡(luò)空間搭建網(wǎng)站（其中大部分租賃的網(wǎng)站服務(wù)器不在本地，甚至在香港、美國等境外地區(qū)），一旦出現(xiàn)問題，不能迅速采取處置措施。同時，各個單位網(wǎng)站建設(shè)、維護方式的多樣性導(dǎo)致網(wǎng)站安全風(fēng)險點多，也大大增加了公安機關(guān)開展政府網(wǎng)站安全監(jiān)管的難度。

（2）信息安全等級保護工作重視程度不高。近年來，政府單位的信息安全意識已普遍有所提高，但由于信息安全等級保護相關(guān)政策和標準的宣傳貫徹力度仍較弱，造成對等級保護工作在信息安全保障工作中的全局性和基礎(chǔ)性作用認識依然不足。多數(shù)政府單位一把手、信通科室工作人員均不知道信息安全等級保護工作。從檢查中可見，有獨立機房的單位在軟硬件方面均無法達到重要系統(tǒng)等級保護要求。

（3）應(yīng)急保障的體制機制不健全。由于在信息系統(tǒng)安全管理和技術(shù)保護上還存在不小差距，導(dǎo)致信息系統(tǒng)安全事件（事故、案件）時有發(fā)生，重要信息系統(tǒng)應(yīng)用單位必須采取有效的應(yīng)對策略和措施，以確保損失降到最低。而目前很多單位未依據(jù)國家有關(guān)規(guī)定對本單位的信息系統(tǒng)進行安全事件的等級劃分，建立重大安全事件建立相應(yīng)的報告和處理機制，缺少一套統(tǒng)一的應(yīng)急預(yù)案，且未組織人員開展培訓(xùn)和演練，從而出現(xiàn)被攻擊后無從下手的局面。

（4）安全建設(shè)財政經(jīng)費保障不到位。目前，雖然不少政府部門及建立了防火墻+防病毒的安全體系。但是檢查過程中發(fā)現(xiàn)，不少單位防火墻版本較早，甚有單位雖有防火墻，網(wǎng)絡(luò)不經(jīng)過，純屬擺設(shè)，黑客可長驅(qū)直入。因此可以判斷，這些單位近10年在網(wǎng)絡(luò)安全方面的建設(shè)投入甚少。更別提信息安全等級保護檢測、漏洞掃描、防篡改等軟件方面的投入。這些投入的確需要花費大量的財力，而這些花費只有投入，卻沒有產(chǎn)出，很多單位領(lǐng)導(dǎo)不愿花這冤枉錢。

2 應(yīng)對處理對策

（1）整合資源，打造網(wǎng)站集約化云平臺。按照“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一架構(gòu)、統(tǒng)一維護、分級管理”的原則，將所有托管在外的政府網(wǎng)站搬遷到當?shù)卣?wù)云平臺或者統(tǒng)一選定本市網(wǎng)絡(luò)安全措施落實較為完善的IDC單位集中進行管理，落實專人集中運維，最大限度的政府門戶網(wǎng)站網(wǎng)絡(luò)與信息資源的安全，保障系統(tǒng)的運行穩(wěn)定，同時，采取硬件防篡改的安全保障措施，提供從系統(tǒng)自身安全功能設(shè)計到系統(tǒng)運行硬件安全防護的部署，能夠識別和阻斷跨站腳本（XSS）、注入式攻擊（包括SQL注入、命令注入、Cookie 注入等）、敏感信息泄露、惡意代碼、錯誤配置、隱藏字段、會話劫持、參數(shù)篡改、緩沖區(qū)溢出、應(yīng)用層拒絕服務(wù)、弱口令其他各類變形的應(yīng)用攻擊，從系統(tǒng)環(huán)境防護到人工組織預(yù)防等多層次地加強網(wǎng)站平臺的安全性。

（2）落實要求，深入開展信息安全等級保護工作。等級保護工作，是一項較為復(fù)雜的社會工程、系統(tǒng)工程，需要政府主管部門和各信息系統(tǒng)運營單位共同協(xié)作，持之以恒地開展等級保護工作動員和宣教，擴大社會影響，形成從根本上重視網(wǎng)絡(luò)安全的工作理念。通過定級、備案、安全建設(shè)整改、等級測評和監(jiān)督檢查等重點工作，全面落實信息安全等級保護制度和各項任務(wù)要求;建立健全重大信息安全事件分級報告處置制度和應(yīng)急預(yù)案，提高基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全管理水平和主動防御能力。

（3）加強監(jiān)管，定期安排社會力量進行網(wǎng)站安全掃描。以政府購買服務(wù)的形式，安排網(wǎng)絡(luò)公司開展定期網(wǎng)站安全掃描和現(xiàn)場檢查工作。根據(jù)網(wǎng)絡(luò)公司出具的報告，對存在高危漏洞的政府網(wǎng)站使用單位進行重點檢查，對存在的問題，能當場整改的督促其當場整改，問題嚴重的，公安機關(guān)制發(fā)《限期整改通知書》，責(zé)令限期整改。同時，購買信息預(yù)警等基礎(chǔ)防護體系，做到政府網(wǎng)站遭受外來攻擊時“第一時間發(fā)現(xiàn)、第一時間處置、第一時間查證、第一時間報告”。

（4）建立考核機制,真正將網(wǎng)絡(luò)安全落實到實處。建立健全督導(dǎo)考核機制。等級保護各職能部門對各信息系統(tǒng)運營單位進行考核,同時納入了工作考核,對工作開展不力、存在違反國家相關(guān)法律法規(guī)的單位,嚴肅依法處罰,加強對處罰整改落實情況的監(jiān)督。

3 網(wǎng)站集群管理優(yōu)勢

（1）節(jié)省了資源投入。實施政府網(wǎng)站群管理后，有效降低了各黨政機關(guān)對基礎(chǔ)軟件、網(wǎng)絡(luò)設(shè)備、機房建設(shè)等網(wǎng)站基礎(chǔ)設(shè)施資源的投入，充分提高當?shù)仉娮诱?wù)中心軟硬件資源的使用效率，同時也解決了因技術(shù)力量不足難以進行系統(tǒng)及設(shè)備管理、維護等問題。

（2）提升了防護能力。政府網(wǎng)站群統(tǒng)一了技術(shù)標準，最大限度上減少了網(wǎng)站異構(gòu)、異地所帶來的安全管理、運行維護上的問題，提高了應(yīng)對突發(fā)安全事件的能力和效率。

（3）提高了服務(wù)水平。政府網(wǎng)站群建設(shè)運維部門為各網(wǎng)站開辦單位提供了專業(yè)的、穩(wěn)定的、安全的保障服務(wù)，各單位可專心研究實施網(wǎng)站內(nèi)容設(shè)計和發(fā)布，從而提高了網(wǎng)站對外宣傳服務(wù)的水平，方便群眾的查詢?yōu)g覽和獲取政務(wù)公開的信息資源，提升了政府便民利民的良好形象。

4 結(jié)語

黨的十八大報告中首次將網(wǎng)絡(luò)空間安全作為三個國家安全之一提出來，網(wǎng)絡(luò)空間是信息時代的基本標志，網(wǎng)絡(luò)空間安全正在成為影響國家安全，成為滲透、影響甚至決定其他領(lǐng)域發(fā)展和成敗的重要因素之一。加強政府網(wǎng)站安全建設(shè)刻不容緩，著力構(gòu)建一個技術(shù)先進、管理高效、安全可靠的政府網(wǎng)站安全保障體系，從而更好地為人民群眾服務(wù)。

[1]卓悅，李蓓.政府網(wǎng)站安全防護的對策思考，2014.

[2]王亞東.淺析網(wǎng)絡(luò)安全體系設(shè)計與建設(shè)的研究，2012.

[3]徐金寶.試論信息安全等級保護制度助力網(wǎng)絡(luò)安全和信息化法治建設(shè)，2013.