張程

（水利部松遼水利委員會，吉林長春 130021）

隨著信息技術(shù)的發(fā)展，政府網(wǎng)站作為政府轉(zhuǎn)變職能、提高工作效率、服務(wù)社會的重要舉措，社會公眾獲取政府信息和服務(wù)的主要接入渠道，網(wǎng)站數(shù)量得到了快速增長，松遼委網(wǎng)站也是眾多政府網(wǎng)站之一，經(jīng)歷了起步建設(shè)、逐步完善和快速發(fā)展階段，多年來，在宣傳水利、服務(wù)公眾、增加透明、提高辦事效率、增進(jìn)互動等方面發(fā)揮了積極的作用。然而，針對網(wǎng)站的各種攻擊和入侵手段也隨之變化多樣且層出不窮，如網(wǎng)站內(nèi)容被篡改，頁面被植入黑鏈木馬等，網(wǎng)站被攻擊造成網(wǎng)站服務(wù)中斷等安全事件時有發(fā)生，網(wǎng)站一旦受到攻擊和破壞，就會產(chǎn)生一系列不良影響，甚至產(chǎn)生巨大損失。如何采取有效的安全防護(hù)措施保障網(wǎng)站的安全可靠運(yùn)行是網(wǎng)站的重要工作之一。

1 加強(qiáng)網(wǎng)站安全防護(hù)的必要性

政府網(wǎng)站以物理鏈路聯(lián)入互聯(lián)網(wǎng)，各種信息資源在互聯(lián)網(wǎng)上傳輸，同時，來自互聯(lián)網(wǎng)上對政府網(wǎng)站的威脅也愈來愈多，一是網(wǎng)站服務(wù)器操作系統(tǒng)不可避免地存在某些安全漏洞，造成網(wǎng)絡(luò)安全問題的隱患；二是硬件和軟件系統(tǒng)同樣可能存在著缺陷，使數(shù)據(jù)在存儲和共享的過程中受到破壞；三是網(wǎng)絡(luò)病毒入侵和傳播。面臨諸多的網(wǎng)絡(luò)安全威脅，使網(wǎng)站不斷受到侵襲和危害，嚴(yán)重影響了網(wǎng)站的正常運(yùn)行，降低了網(wǎng)站運(yùn)行的可靠性，影響網(wǎng)站的形象和公眾信任度，因此，必須加強(qiáng)網(wǎng)站安全防護(hù)體系建設(shè)。

目前，網(wǎng)絡(luò)安全等級保護(hù)工作已經(jīng)基本完成，政府網(wǎng)站的安全等級為3級，被列為國家重要的信息系統(tǒng)，并且是國家檢查和測評的重點(diǎn)。在政府網(wǎng)站的應(yīng)用層面，對于來自網(wǎng)絡(luò)的安全威脅和攻擊，網(wǎng)站管理人員必須依照國家的安全等級保護(hù)政策，建立專門的機(jī)制，采用各種安全檢測手段對攻擊進(jìn)行檢測。網(wǎng)站管理人員要依照國家制定的保護(hù)條例和準(zhǔn)則等相關(guān)要求，首先要做好網(wǎng)站的安全維護(hù)工作，在此基礎(chǔ)上，才能更好的在應(yīng)用層面上做好網(wǎng)站的建設(shè)運(yùn)行與管理。

2 網(wǎng)站安全威脅的因素

網(wǎng)站安全威脅的內(nèi)在因素：一是在網(wǎng)站開發(fā)過程中，網(wǎng)站交互數(shù)據(jù)和網(wǎng)站管理系統(tǒng)登錄入口等代碼編程，隨著時間的推移，可能存在安全漏洞，這些漏洞極易被黑客利用對網(wǎng)站進(jìn)行腳本攻擊，造成網(wǎng)站數(shù)據(jù)庫被注入和掛馬等現(xiàn)象；二是隨著網(wǎng)站的不斷升級，原有舊版本的網(wǎng)站文件繼續(xù)保留在網(wǎng)站服務(wù)器上，會導(dǎo)致舊版本的安全漏洞變成新版本的安全隱患；三是網(wǎng)站安全管理制度不規(guī)范，如：網(wǎng)站運(yùn)行管理制度和網(wǎng)站編輯審核制度不完善，網(wǎng)站管理權(quán)限不嚴(yán)格和不限制擴(kuò)大，將可能造成網(wǎng)站發(fā)布不恰當(dāng)?shù)男畔?，甚至發(fā)生泄密事件。

網(wǎng)站安全威脅的外在因素：一是針對網(wǎng)站的黑客惡意攻擊頻繁發(fā)生，例如網(wǎng)頁篡改，即不法分子通過攻擊手段修改網(wǎng)站頁面原始內(nèi)容，添加惡意內(nèi)容；二是大流量DDos攻擊導(dǎo)致網(wǎng)站服務(wù)被迫中斷，且攻擊時長和頻度不斷攀升；三是網(wǎng)站操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、Web應(yīng)用等多個層面安全漏洞數(shù)量激增，直接威脅網(wǎng)站安全，四是病毒爆發(fā)，將直接威脅網(wǎng)站安全可靠運(yùn)行，甚至造成網(wǎng)站癱瘓。

3 松遼委網(wǎng)站安全防護(hù)措施

1）嚴(yán)格網(wǎng)站信息發(fā)布、轉(zhuǎn)載和鏈接的審核管理。松遼委網(wǎng)站運(yùn)行管理嚴(yán)格執(zhí)行水利部網(wǎng)站管理及安全各項(xiàng)制度，松遼委制定發(fā)布了松遼委網(wǎng)站信息發(fā)布管理辦法，松遼委網(wǎng)站中委內(nèi)信息欄目的信息上網(wǎng)發(fā)布由松遼委制定了上網(wǎng)信息多級審核制度，并在松遼委政務(wù)外網(wǎng)OA系統(tǒng)上設(shè)置審批流程；松遼委網(wǎng)站轉(zhuǎn)載欄目上的轉(zhuǎn)載信息采用紙質(zhì)上網(wǎng)轉(zhuǎn)載信息審批單制度，由部門領(lǐng)導(dǎo)審批同意后上網(wǎng)發(fā)布；松遼委網(wǎng)站鏈接管理、子網(wǎng)鏈接、專題設(shè)置管理等均需經(jīng)過松遼委主管網(wǎng)站的部門領(lǐng)導(dǎo)審查同意后才能在松遼委網(wǎng)站進(jìn)行鏈接和設(shè)置；松遼委網(wǎng)站各子網(wǎng)和專題的信息管理，均由相關(guān)子網(wǎng)和專題負(fù)責(zé)部門嚴(yán)格按照松遼委網(wǎng)站信息發(fā)布管理辦法執(zhí)行管理；在各級審核環(huán)節(jié)中，各級審核人在信息內(nèi)容審批同時，也負(fù)責(zé)上網(wǎng)信息涉密審核，保證上網(wǎng)信息不涉密不泄密；同時對網(wǎng)站管理平臺使用人員進(jìn)行嚴(yán)格的最小化使用權(quán)限管理。

2）網(wǎng)站服務(wù)器運(yùn)行環(huán)境防護(hù)。網(wǎng)站服務(wù)器布設(shè)在松遼委專業(yè)的信息機(jī)房內(nèi)，機(jī)房建設(shè)嚴(yán)格按照計算機(jī)機(jī)房標(biāo)準(zhǔn)建設(shè)，服務(wù)器電源采用集中式UPS電源供電，適宜的溫度保證服務(wù)器工作在最佳溫濕度下，同時有效避免雷擊、灰塵、水淹、斷電等風(fēng)險，為服務(wù)器提供良好的運(yùn)行環(huán)境。

網(wǎng)站核心的信息管理平臺和數(shù)據(jù)庫服務(wù)器，部署在松遼委局域網(wǎng)內(nèi)，網(wǎng)站W(wǎng)EB服務(wù)器部署在局域網(wǎng)防火墻DMZ區(qū)，網(wǎng)站采用租用通信服務(wù)商光纖專線線路聯(lián)入互聯(lián)網(wǎng)，網(wǎng)站設(shè)備均在松遼委局域網(wǎng)網(wǎng)絡(luò)安全體系保護(hù)框架下運(yùn)行。

3）委托專業(yè)網(wǎng)站安全公司，掃描網(wǎng)站應(yīng)用系統(tǒng)安全隱患。委托專業(yè)網(wǎng)站安全公司對網(wǎng)站應(yīng)用系統(tǒng)和網(wǎng)站目錄的安全性進(jìn)行掃描，一是及時發(fā)現(xiàn)應(yīng)用系統(tǒng)安全漏洞，及時修補(bǔ)或升級應(yīng)用系統(tǒng)不安全部分，確保應(yīng)用系統(tǒng)不存在安全漏洞隱患；二是及時發(fā)現(xiàn)舊版網(wǎng)站文件是否存在安全漏洞，確認(rèn)不再需要的不安全網(wǎng)站文件及時刪除，還在使用的舊版不安全網(wǎng)站文件，及時修補(bǔ)，消除漏洞隱患。

4）防火墻安全防護(hù)。防火墻是網(wǎng)絡(luò)安全防護(hù)體系的主體構(gòu)成，是網(wǎng)站與互聯(lián)網(wǎng)之間的保護(hù)屏障，通過設(shè)置防火墻安全防護(hù)策略，對來自互聯(lián)網(wǎng)的各種數(shù)據(jù)信息進(jìn)行安全檢查，對內(nèi)外網(wǎng)的資源共享和數(shù)據(jù)傳輸活動實(shí)施控制，有效攔截病毒程序的訪問，以此來保護(hù)網(wǎng)站安全。

5）安裝防病毒軟件。網(wǎng)站服務(wù)器均安裝360天擎防病毒軟件，定時從松遼委360防病毒服務(wù)器更新病毒庫，實(shí)時防護(hù)服務(wù)器病毒入侵。同時，網(wǎng)站技術(shù)人員定期檢查網(wǎng)站服務(wù)器漏洞補(bǔ)丁更新，及時安裝網(wǎng)站漏洞更新，保障網(wǎng)站系統(tǒng)安全。

6）部署網(wǎng)頁防篡改系統(tǒng)。在網(wǎng)站上部署InforGuard防篡改系統(tǒng),實(shí)現(xiàn)包括網(wǎng)站監(jiān)控保護(hù)、動態(tài)防護(hù)、同步與備份、告警與應(yīng)急響應(yīng)、安全統(tǒng)一監(jiān)管、威脅分析與報告等一體化的網(wǎng)站安全保護(hù)。一是監(jiān)控與恢復(fù)：針對網(wǎng)站文件安全的保障機(jī)制，實(shí)時監(jiān)控網(wǎng)站文件的變更，有效降低篡改發(fā)生的概率，并且一旦發(fā)生篡改，可以自動實(shí)時地進(jìn)行文件恢復(fù)；二是動態(tài)防護(hù)：提供了全面防御WEB應(yīng)用層攻擊的完善功能，包括SQL注入防護(hù)、跨站攻擊防護(hù)、危險命令防護(hù)等；三是同步與備份：與各類網(wǎng)站發(fā)布方式無縫集成，確保網(wǎng)站內(nèi)容正常更新維護(hù)的自動化和實(shí)時性；四是提供網(wǎng)站備份能力，以便保障系統(tǒng)實(shí)施過程中的初始化可以在不借助第三方軟件的情況下順利進(jìn)行；五是告警與應(yīng)急響應(yīng)：支持聲音、電子郵件、手機(jī)短信等多種告警模式，提供靈活完善的告警策略定制機(jī)制，針對網(wǎng)站進(jìn)行的各類篡改企圖或篡改操作，實(shí)時以告警的方式提交給網(wǎng)站管理人員；六安全統(tǒng)一監(jiān)管：系統(tǒng)通過監(jiān)管平臺提供跨互聯(lián)網(wǎng)的、多層級的安全事件統(tǒng)一監(jiān)管功能；七是威脅分析與報告：系統(tǒng)提供靈活的查詢統(tǒng)計，支持列表、圖表等多種展示方式，便于管理人員直觀全面的了解網(wǎng)站安全和系統(tǒng)運(yùn)行狀況。

7）委托專業(yè)網(wǎng)絡(luò)安全公司實(shí)時網(wǎng)站安全監(jiān)測。隨著政府網(wǎng)站的日益廣泛及其中蘊(yùn)藏價值的不斷提升，引發(fā)了黑客的攻擊熱潮，網(wǎng)站內(nèi)容被篡改、頁面被植入木馬、DDoS攻擊造成業(yè)務(wù)中斷、網(wǎng)站機(jī)密信息被竊取等安全事件的反復(fù)發(fā)生，甚至造成網(wǎng)站癱瘓，能夠主動的發(fā)現(xiàn)網(wǎng)站的漏洞，并及時采取修補(bǔ)措施，則可以降低風(fēng)險和減少損失。因此，委托綠盟公司進(jìn)行網(wǎng)站安全監(jiān)測服務(wù)，通過不間斷的遠(yuǎn)程監(jiān)測，包括網(wǎng)頁掛馬、網(wǎng)頁黑鏈、網(wǎng)頁篡改、網(wǎng)頁敏感內(nèi)容、近似域名、過期域名、搜索引擎關(guān)鍵詞組、SSL證書劫持、第三方內(nèi)容安全、頁面重定向、反釣魚等監(jiān)測和網(wǎng)站服務(wù)器漏洞掃描，全天候?yàn)榫W(wǎng)站提供安全性檢查、安全事件監(jiān)測、實(shí)時響應(yīng)和安全趨勢分析等服務(wù)，確保網(wǎng)站安全風(fēng)險得到及時修補(bǔ)。

8）采用多種方式進(jìn)行網(wǎng)站備份。采用多種方式對網(wǎng)站進(jìn)行備份，一是對網(wǎng)站各服務(wù)器做系統(tǒng)快照，二是對網(wǎng)站服務(wù)器進(jìn)行克隆，三是對網(wǎng)站服務(wù)器做整體完全備份和增量定期備份，四是對網(wǎng)站數(shù)據(jù)、數(shù)據(jù)庫數(shù)據(jù)定時進(jìn)行自動備份，確保在網(wǎng)站出現(xiàn)故障情況下，能短時間迅速恢復(fù)。

4 結(jié)語

松遼委網(wǎng)站是松遼委面向社會公眾提供服務(wù)、履行政府公開職責(zé)、提供公眾參與的窗口，網(wǎng)站安全防護(hù)是松遼委網(wǎng)站穩(wěn)定可靠運(yùn)行的基礎(chǔ)保障，還需要根據(jù)網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)站安全運(yùn)行現(xiàn)狀，不斷探索，進(jìn)一步實(shí)踐，建立起完善的網(wǎng)站安全防護(hù)體系。