采用集約型模式全面增強政府網站的安全防范能力

近年來，慈溪市針對信息技術及其應用高速發展形勢下政府網站安全問題愈加嚴峻的實際，在嚴格落實信息安全各項制度和技術措施的同時，積極推進實施政府網站建設從分散型、集中型模式向集約型模式轉變，實現了政府網站網絡級、硬件級和軟件級的集約型安全防范，有效地提升了政府網站的安全防范能力。目前，該市已全面摒棄了政府網站發展初期其建設和安全防范均由各單位自行委托IT公司實施，以及前些年政府網站統一由該市信息中心托管而軟件級安全防范仍委托IT公司承擔的做法，通過推進政府網站群項目建設，全市105個機關單位網站均按集約型模式依托網站群軟硬件統一平臺建設，其網絡級、硬件級和軟件級安全防范均由該市信息中心統一部署、管理，全面增強了政府網站的安全防范能力。

一、集約網絡級、硬件級建設，增強政府網站技術上的安全防范。即針對原分散型建設模式下各黨政機關網站均由各單位自行委托IT公司建設，其網站無論從網絡級、硬件級和軟件級均存在較大安全隱患的情況，從2004年開始，推行集中型模式，由該市信息中心為各黨政機關網站提供托管服務，竭力避免有些單位將其網站整體托管給私人或者較小規模IT公司而產生的網絡級和硬件級安全問題。至2007年底，有55個機關單位將網站托管至部署在電子政務外網公眾服務區的該市信息中心4臺服務器。經過2007年底開始的政府網站群項目建設，至目前，該市105個機關單位網站為公眾提供信息瀏覽和信息提交的服務均部署在電子政務外網公眾服務區的2臺服務器上，其他2臺數據庫服務器、1臺應用服務器和1臺備份服務器則部署于安全等級更高的資源共享區。該市信息中心逐年投入資金150余萬元，配備了千兆防火墻系統、千兆入侵檢測系統、上網行為日志審計系統、網絡負載均衡系統、防病毒系統、補丁升級系統等，集約用于政府網站的網絡級和硬件級安全防范。今年，又針對政府網站訪問不暢的實際，投入資金30余萬元，購置了網絡流量控制設備，成倍加大了政府網站訪問帶寬，增強了政府網站的網絡級和硬件級安全防范能力，提高了政府網站的使用效率。

二、集約軟件級建設，進一步增強政府網站技術上的安全防范。即針對前幾年集中型建設模式下網絡級和硬件級安全防范已得到增強，但由于網站軟件仍由各IT公司編制，其軟件級尤其是應用軟件級安全仍然存在較大隱患的情況，2007年底開始的政府網站群項目建設，要求全市政府網站不僅要依托統一的網絡和硬件平臺，還必須依托統一的軟件平臺。經過近二年的努力，已有105個機關單位網站依托了網站群軟件統一平臺建設，軟件級的安全防范由該市信息中心統一實施。該市信息中心投入200余萬元資金，配備了網站內容發布應用軟件、網站信息交互應用軟件、主頁防篡改軟件、數據備份軟件和網站運行動態監控軟件等，特別是配備網站運行動態監控軟件后，網站各級管理員借助該系統，即能第一時間收到網站檢測一旦異常而自動發給的短信，并迅速采取相應措施。

三、集約技術服務，全面增強政府網站技術上的安全防范。即針對目前政府網站集約型建設模式下已進一步增強了網絡級、硬件級和軟件級的安全防范，但由于信息技術發展日新月異，今天已經是很安全的防范在明天也許不太安全甚至很不安全的情況，該市信息中心委托專業的網絡安全服務公司，對政府網站開展每季度一次的全面安全檢測加固工作，以便能更有針對性做好日常的安全防范，全面增強政府網站的安全防范能力。例如在2009年一季度的檢測加固中，該市信息中心發現了省公安廳通報的網站XSS漏洞，找到了漏洞產生的原因和解決辦法，采取了對該漏洞進行日常監控的處置方案。2009年9月，該市信息中心協調網絡安全服務公司，對政府網站進行了國慶前的專項安全檢測加固工作，發現并改正了二個存在的漏洞隱患，制訂了進一步強化針對XSS漏洞的日常監控工作措施。

(作者單位:浙江省慈溪市府辦，慈溪市信息中心)