◆張青云

“互聯(lián)網(wǎng)+政務(wù)服務(wù)”背景下政府網(wǎng)站安全風(fēng)險(xiǎn)研究

◆張青云

（山西省人民政府辦公廳政務(wù)信息中心 山西 030006）

隨著當(dāng)前我國(guó)信息技術(shù)的發(fā)展，人民的生產(chǎn)以及生活產(chǎn)生了非常大的影響，在這樣的情況下，網(wǎng)絡(luò)成了非常常見(jiàn)的一種形式，政府工作自然也不例外，因此“互聯(lián)網(wǎng)+政務(wù)服務(wù)”當(dāng)前對(duì)我國(guó)政府工作效率有了非常大的提升。但是網(wǎng)絡(luò)是一把雙刃劍，“互聯(lián)網(wǎng)+政務(wù)服務(wù)”背景下，政府網(wǎng)站也成了黑客攻擊的主要目標(biāo)，因此本文主要對(duì)此進(jìn)行分析，希望對(duì)相關(guān)的從業(yè)者有一定的參考作用。

“互聯(lián)網(wǎng)+政務(wù)服務(wù)”；政府網(wǎng)站；網(wǎng)絡(luò)安全

隨著當(dāng)前技術(shù)手段的發(fā)展，信息設(shè)備成了人們?nèi)粘Ｊ褂玫闹饕ぞ咧?，在這樣的情況下，很多行業(yè)開(kāi)始陸續(xù)引入信息技術(shù)進(jìn)入當(dāng)前的工作之中，政府工作自然也不例外，在這樣的形勢(shì)下，我國(guó)政府網(wǎng)站的建設(shè)已經(jīng)進(jìn)入了一個(gè)飛速發(fā)展的階段，在網(wǎng)站之中，政府的信息發(fā)布以及和人民進(jìn)行互動(dòng)交流等工作成了常態(tài)，不僅對(duì)當(dāng)前政府工作效率以及工作質(zhì)量做出了提升，同時(shí)也加強(qiáng)了政府和人民之間的交流，提升了政府的形象，尤其是我國(guó)在一定的時(shí)期進(jìn)行的“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的加速建設(shè)，讓政府網(wǎng)站的建設(shè)得到了進(jìn)一步的發(fā)展。

作為政府服務(wù)的窗口，在政府網(wǎng)站之中包含大量的政府業(yè)務(wù)數(shù)據(jù)，因此一旦被篡改，可能直接危及我國(guó)國(guó)家安全，并且對(duì)社會(huì)秩序以及公共利益都有極大的損害，因此加強(qiáng)這方面工作的保護(hù)，是政府發(fā)展的必然趨勢(shì)，也是當(dāng)前對(duì)我國(guó)政府服務(wù)的要求。然而政府網(wǎng)站在當(dāng)前的網(wǎng)絡(luò)之中，屬于權(quán)威性比較強(qiáng)的網(wǎng)絡(luò)站點(diǎn)，成了當(dāng)前黑客的重災(zāi)區(qū)，因此安全工作一直受到強(qiáng)烈的威脅，因此政府必須優(yōu)化當(dāng)前“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的網(wǎng)站管理，才能夠保證政府的安全，保證我國(guó)社會(huì)的長(zhǎng)治久安。

1 政府網(wǎng)站的主要類(lèi)型

在我國(guó)當(dāng)前政府網(wǎng)站之中，一般會(huì)采用三種情況進(jìn)行建設(shè)，這三種類(lèi)型分別承擔(dān)政府不同的職能，因此其中的業(yè)務(wù)功能等有較大的差別，在風(fēng)險(xiǎn)方面的表現(xiàn)也截然不同，所以想要對(duì)安全工作進(jìn)行強(qiáng)化，必須對(duì)這幾種方式有充分的認(rèn)識(shí)。

1.1 內(nèi)容發(fā)布型政府網(wǎng)站

顧名思義，這種網(wǎng)站的主要功能是對(duì)政府的一些工作內(nèi)容進(jìn)行發(fā)布以及人民反饋進(jìn)行收集。這種網(wǎng)站是政府最早建立的一種網(wǎng)站類(lèi)型，在當(dāng)前我國(guó)政府之中，絕大多數(shù)的部門(mén)都有這樣的網(wǎng)站，政府部門(mén)在網(wǎng)站上發(fā)布一些新聞、對(duì)自身的政務(wù)進(jìn)行公開(kāi)，讓群眾了解當(dāng)前政府的工作等等，這樣的內(nèi)容多數(shù)是以功能展示為主，隨著技術(shù)的發(fā)展，此類(lèi)網(wǎng)站也在不斷完善自身的功能，因此后續(xù)出現(xiàn)了政務(wù)搜索、政府問(wèn)卷調(diào)查以及留言答復(fù)等互動(dòng)的功能，通過(guò)這樣的方式，極大加強(qiáng)了政府和人民之間的聯(lián)系，因此在當(dāng)前的政府部門(mén)之中，使用的頻率非常高，且受到的攻擊也較為頻繁。

在系統(tǒng)架構(gòu)方面，此類(lèi)系統(tǒng)主要包括以下幾個(gè)方面的內(nèi)容，首先是Web應(yīng)用系統(tǒng)，內(nèi)容管理系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及媒體存儲(chǔ)系統(tǒng)等多個(gè)方面，在早期的情況下，訪客進(jìn)行訪問(wèn)的時(shí)候，Web應(yīng)用系統(tǒng)執(zhí)行數(shù)據(jù)的同時(shí)，對(duì)結(jié)果進(jìn)行展示，一般展示在被訪問(wèn)的頁(yè)面之上。但是隨著當(dāng)前技術(shù)的發(fā)展，形式也發(fā)生了一定的改變，最主要的是在訪問(wèn)方面，當(dāng)前是以靜態(tài)的頁(yè)面為主，內(nèi)容管理的內(nèi)容也成了靜態(tài)的，因此對(duì)訪客來(lái)說(shuō)，只提供訪客訪問(wèn)等互動(dòng)的內(nèi)容，不進(jìn)入后臺(tái)管理是無(wú)法對(duì)網(wǎng)站的內(nèi)容進(jìn)行操作的。

1.2 辦公型政府網(wǎng)站

辦公型政府網(wǎng)站更多是政府內(nèi)部進(jìn)行交流的平臺(tái)，主要是針對(duì)政府多個(gè)部門(mén)之間的協(xié)同以及合作，進(jìn)而讓各個(gè)部門(mén)之間能夠有效進(jìn)行配合，在當(dāng)前的政府網(wǎng)站之中，對(duì)于這種網(wǎng)站的使用頻率非常大，主要是為了能夠保持政府工作的效率，同時(shí)讓政府的工作更容易進(jìn)行。這樣的網(wǎng)站主要提供特定的政府流程辦事功能，使用者通常較為固定，主要是政府的工作人員，通過(guò)各自的賬號(hào)進(jìn)行登錄，因此這種網(wǎng)站一般很少有工作人員以外的人員知道，這種網(wǎng)站的架構(gòu)一般是業(yè)務(wù)邏輯的Web應(yīng)用系統(tǒng)，數(shù)據(jù)庫(kù)以及媒體儲(chǔ)存等等幾個(gè)方面，在辦公型政府網(wǎng)站之中，政府的數(shù)據(jù)非常多，因此設(shè)計(jì)的過(guò)程中，會(huì)主動(dòng)進(jìn)行權(quán)限的分類(lèi)，通過(guò)對(duì)權(quán)限的分配，進(jìn)而對(duì)當(dāng)前的業(yè)務(wù)進(jìn)行處理，在這種網(wǎng)站之中，政府的數(shù)據(jù)數(shù)量以及政府的文件數(shù)量是非常龐大的。

1.3 政務(wù)服務(wù)平臺(tái)

政務(wù)服務(wù)平臺(tái)是人們?nèi)粘Ｉ钪泻驼?lián)系最緊密的一個(gè)網(wǎng)站，這個(gè)網(wǎng)站是當(dāng)前新出現(xiàn)的一種政府服務(wù)形式，在當(dāng)前政府平臺(tái)之中，對(duì)一些政府的辦事流程以及辦事的過(guò)程繼續(xù)進(jìn)行相關(guān)的展現(xiàn)，并且人民也可以通過(guò)一些手段對(duì)這些業(yè)務(wù)進(jìn)行辦理，從而提升自身對(duì)于需要辦理業(yè)務(wù)的辦理。在政府服務(wù)平臺(tái)之中，涉及大量的用戶信息，范圍非常廣泛，因此一旦出現(xiàn)盜取的現(xiàn)象，不管是對(duì)政府的服務(wù)還是對(duì)人民財(cái)產(chǎn)都是非常嚴(yán)重的打擊。所以這種網(wǎng)站成了當(dāng)前受到攻擊的主要目標(biāo)。不僅如此，該網(wǎng)站同時(shí)還涉及大量的國(guó)家基礎(chǔ)信息，包括人口、法人社保以及地理空間信息，所以信息的安全工作必須不斷給予重視，這樣才能夠保證信息的安全。這種網(wǎng)絡(luò)平臺(tái)的建設(shè)，已經(jīng)從傳統(tǒng)的Web網(wǎng)頁(yè)轉(zhuǎn)為信息平臺(tái)的建設(shè)，因此系統(tǒng)的架構(gòu)較為復(fù)雜，在這樣的情況下，政務(wù)管理的信息系統(tǒng)需要進(jìn)行支付以及認(rèn)證，這樣才能夠?qū)崿F(xiàn)工作的協(xié)同以及業(yè)務(wù)的共享。

2 “互聯(lián)網(wǎng)+政務(wù)服務(wù)”背景下網(wǎng)站的安全風(fēng)險(xiǎn)

2.1 注入漏洞

注入漏洞是一種常見(jiàn)的漏洞形式，并且有非常多的種類(lèi)，其中SQL是非常典型的且危害非常強(qiáng)的一種形式，對(duì)未進(jìn)行驗(yàn)證的數(shù)據(jù)進(jìn)行查詢(xún)以及命令的過(guò)程中，將這些信息發(fā)送并欺騙解釋器，就構(gòu)成了注入漏洞，攻擊者這個(gè)時(shí)候能夠通過(guò)發(fā)送惡意的信息去欺騙解釋器，從而執(zhí)行網(wǎng)絡(luò)業(yè)務(wù)邏輯以外的命令，并且對(duì)當(dāng)前的信息進(jìn)行訪問(wèn)，隨后進(jìn)行木馬的上傳，對(duì)服務(wù)器的權(quán)限進(jìn)行控制。

對(duì)于政府而言，輸入?yún)?shù)的場(chǎng)景，都可能成為數(shù)據(jù)攻擊的對(duì)象，在早期的政府網(wǎng)站，內(nèi)容多采用流動(dòng)性的網(wǎng)站模式，因此非常容易受到注入攻擊，但是隨著政府網(wǎng)站建設(shè)的更新，當(dāng)前已經(jīng)采用了靜態(tài)的網(wǎng)站模式，因此一定程度上防范了內(nèi)容的注入攻擊，但是“搜索”等功能的存在，依舊為注入攻擊提供了一定的窗口，因此在當(dāng)前的發(fā)布型政府網(wǎng)站之中，訪客的行為難以監(jiān)測(cè)，攻擊的成本也比較低，相對(duì)于辦公平臺(tái)需要登錄之后才能夠?qū)嵤┎僮鳎粜袨槿菀妆蛔匪?，攻擊成本比較高的情況來(lái)說(shuō)，安全方面存在的風(fēng)險(xiǎn)非常大。

2.2 身份認(rèn)證和會(huì)話管理缺陷

用戶登錄信息和登錄會(huì)話是Web中最為敏感的問(wèn)題，也是攻擊者最想要獲取的信息，在Web應(yīng)用之中，身份認(rèn)證和會(huì)話管理相關(guān)的功能存在缺陷，就可能導(dǎo)致攻擊者對(duì)用戶的密碼以及會(huì)話進(jìn)行標(biāo)示，最終冒充成為合法的用戶，通過(guò)網(wǎng)絡(luò)嗅探、木馬攻擊等形式對(duì)信息進(jìn)行破解和獲取。在政府內(nèi)容發(fā)布之后，政府以及服務(wù)平臺(tái)都會(huì)有登錄的環(huán)節(jié)，因此在這個(gè)環(huán)節(jié)之中，存在很多的風(fēng)險(xiǎn)，攻擊者一旦成功冒用用戶的身份，就能夠?qū)φ膬?nèi)容進(jìn)行操作，進(jìn)而影響當(dāng)前的政府工作穩(wěn)定，對(duì)政府工作造成非常大的影響。

2.3 “跨站腳本”漏洞

“跨站腳本”漏洞是一種影響非常廣的Web漏洞，很多Web都存在這樣的漏洞，“跨站腳本”漏洞主要是對(duì)網(wǎng)站瀏覽者進(jìn)行攻擊，而并非攻擊網(wǎng)站本身，當(dāng)未驗(yàn)證的信息數(shù)據(jù)直接作為反饋結(jié)果時(shí)，就容易形成跨腳本漏洞，攻擊者通過(guò)向URL或者其他類(lèi)型的提交的數(shù)據(jù)進(jìn)行腳本插入，進(jìn)而實(shí)現(xiàn)在受害者瀏覽器上執(zhí)行腳本的目的，劫持受害者會(huì)話，或者是受害者瀏覽的網(wǎng)頁(yè)進(jìn)行惡意跳幀，這樣的攻擊形式一般有反射型、存儲(chǔ)型、DOM型三種。其中反射型和存儲(chǔ)型較為常見(jiàn)。

2.4 其他的攻擊方式

除此之外，在當(dāng)前政府網(wǎng)站受到的攻擊之中，還有其他的不同形式，其中包括訪問(wèn)控制缺陷、安全配置錯(cuò)誤、敏感信息泄露漏洞、攻擊檢測(cè)與防范不足、“跨站請(qǐng)求”偽造漏洞等等，這些漏洞都是對(duì)當(dāng)前的“互聯(lián)網(wǎng)+政務(wù)服務(wù)”造成威脅的漏洞，因此針對(duì)這些漏洞，一旦形成攻擊的形式，對(duì)于政府來(lái)說(shuō)是非常大的打擊，也會(huì)對(duì)關(guān)鍵信息造成一定的危害。

3 “互聯(lián)網(wǎng)+政務(wù)服務(wù)”背景下網(wǎng)絡(luò)安全的建議

3.1 技術(shù)性建議

在當(dāng)前的網(wǎng)站之中，想要增強(qiáng)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”形式的安全，必須注重從技術(shù)方面做好安全防范，因此在實(shí)際的工作之中，需要從以下幾個(gè)方面進(jìn)行：

第一，增強(qiáng)身份認(rèn)證和會(huì)話管理。很多政府人員在工作中，對(duì)于信息的安全不夠重視，因此口令的復(fù)雜度較低，所以政府可以對(duì)這方面進(jìn)行提升，進(jìn)而增強(qiáng)當(dāng)前的安全性，并且在使用的過(guò)程中，采取短信驗(yàn)證以及動(dòng)態(tài)口令的行為，讓潛在的危險(xiǎn)降低，并且在長(zhǎng)期無(wú)操作以及存在潛在威脅的情況下，要及時(shí)結(jié)束會(huì)話，這樣才能夠保證安全。

第二，做好數(shù)據(jù)有效性的驗(yàn)證，在上述的攻擊方式之中，很多都是通過(guò)無(wú)效信息對(duì)網(wǎng)站進(jìn)行攻擊的，因此在當(dāng)前的輸入之中，政府網(wǎng)站可以建設(shè)一些白名單，從而對(duì)數(shù)據(jù)進(jìn)行過(guò)濾，這樣才可以保證安全。

第三，完善網(wǎng)站安全相關(guān)的設(shè)計(jì)。在網(wǎng)站建設(shè)之中應(yīng)該對(duì)關(guān)鍵的操作以及相關(guān)的信息采取更多的保護(hù)機(jī)制，尤其是在一些用戶密碼以及賬號(hào)，需要采用一些加密設(shè)計(jì)，進(jìn)而避免敏感信息泄露。

第四，前后端分離。政府網(wǎng)站通常有明顯的前端和后端功能，因此在網(wǎng)站建設(shè)的過(guò)程中，需要充分利用這個(gè)方面的優(yōu)勢(shì)，將前后端進(jìn)行分離操作，這樣才能夠保證不會(huì)出現(xiàn)仿冒前端用戶對(duì)后端進(jìn)行操作的行為。

第五，增強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制，建設(shè)政府網(wǎng)站，需要對(duì)政府服務(wù)以及管理系統(tǒng)進(jìn)行訪問(wèn)控制，限制在一定的IP之中，這樣才能夠避免暴露，從而防范攻擊行為。

第六，及時(shí)升級(jí)網(wǎng)絡(luò)組件，對(duì)網(wǎng)絡(luò)組件以及相關(guān)的軟件需要及時(shí)更新，這樣才能夠及時(shí)補(bǔ)充漏洞，避免漏洞出現(xiàn)被利用的情況。

第七，規(guī)范安全配置。通過(guò)安全配置，對(duì)當(dāng)前的行為以及方式進(jìn)行約束，進(jìn)而保證系統(tǒng)的安全，防止出現(xiàn)入侵現(xiàn)象。

3.2 管理方面的建議

在管理的工作中，政府人員需要統(tǒng)一進(jìn)行規(guī)劃，集中進(jìn)行建設(shè)和管理，加強(qiáng)安全管理工作。同時(shí)對(duì)政府工作人員定期進(jìn)行網(wǎng)絡(luò)安全的教育，提升政府工作人員的網(wǎng)絡(luò)安全意識(shí)。最后就是在政府網(wǎng)站安全工作之中，需要不斷對(duì)安全風(fēng)險(xiǎn)問(wèn)題進(jìn)行革新，由于當(dāng)前的網(wǎng)絡(luò)風(fēng)險(xiǎn)是在不斷發(fā)展以及變化的，因此只有做好與時(shí)俱進(jìn)，才能夠真正對(duì)抗網(wǎng)絡(luò)的風(fēng)險(xiǎn)，讓“互聯(lián)網(wǎng)+政務(wù)服務(wù)”能夠長(zhǎng)久的運(yùn)行。

4 結(jié)語(yǔ)

“互聯(lián)網(wǎng)+政務(wù)服務(wù)”對(duì)于政府來(lái)說(shuō)是非常有效的一種執(zhí)政方式，在當(dāng)前的社會(huì)中有著非常重要的意義，因此做好安全工作，是提升政府工作效率的有效方式，也是推動(dòng)我國(guó)發(fā)展的有效手段。

[1]阿里木江·阿布迪日依木，吾馬爾江·依不拉音.互聯(lián)網(wǎng)+政務(wù)服務(wù)背景下政府網(wǎng)站安全風(fēng)險(xiǎn)研究[J].數(shù)碼世界，2020（03）：194.

[2]趙弘洋，李丹.“互聯(lián)網(wǎng)+政務(wù)服務(wù)”背景下政府網(wǎng)站安全風(fēng)險(xiǎn)研究[J].電子質(zhì)量，2017（06）：70-74.