電子政府網站安全性的誤解及策略

張 森

武漢大學信息學院，湖北武漢 430072

隨著網絡技術的發展和網絡應用的普及，各地政府紛紛建立了門戶網站開始大力發展電子政務。由于電子政府門戶網站中包含巨大的經濟利益和機密，所以經常會遭遇網絡攻擊，致使門戶網站安全性的提升業己成為電子政府網站維護管理的重中之重。為此，許多電子政府門戶網站都采用了一定的網絡安全技術。同時，網站安全管理也隨著網絡攻擊的增多也得到加強。然而，目前網絡安全技術的廣泛應用和網站安全管理的提升也為電子政府維護網站、提升電子政府門戶網站的安全性帶來了兩大誤區。

1 電子政府網站安全技術層面的誤區

目前我國電子政府網站安全技術層面的誤區主要表現在如下3方面：

1）認為電子政府門戶網站采用了SSL加密，安全性就得到了保障

絕大多數電子政府門戶網站在建設過程中都會采取SSL加密技術，而且有相當一部分人認為采用了SSL加密，網站安全性就獲得了保障，甚至有些網絡維護人員也認為如此。但實際上，僅僅依靠SSL加密是不能使電子政府門戶網站獲得安全性保障，因為SSL加密僅僅是通過加密處理從而使網站發送和接收的動態信息的安全性得到保障，而對于已經存在于網站之中的靜態信息的保障效果卻并不理想。

2）認為電子政府門戶網站采用了防火墻，安全性就得到了保障

目前大部分電子政府門戶網站都利用防火墻的過濾機制來實現對數據訪問的安全性控制，從而使網站得以將惡意訪問過濾出去而僅接受善意訪問。然而，由于防火墻針對網絡病毒、木馬更新換代而進行的升級存在一定的滯后性，因而對善意訪問和惡意訪問的識別并不完全準確，而且一直都是剛火槍過濾機制的難點問題，而一旦識別錯誤，防火墻則失去了安全防護的意義。

3）認為漏洞掃描工具沒發現任何問題，網站就處于安全狀態

盡管漏洞掃描工具早在上世紀90年代初就已被廣泛用于探明網絡安全漏洞，但由于該工具并不能檢測網站應用程序中存在的漏洞，因而盡管漏洞掃描工具有時沒發現問題，但仍然有病毒或者木馬會以應用程序為載體，在被網站觸發后而對網站進行攻擊。

2 電子政府網站安全管理層面的誤區

2.1 認為完全是由于政府程序員人為因素導致網站安全出現問題

在電子政府網站安全管理中，網站安全一旦出現問題，往往要歸咎于程序員，認為是由程序員人為因素造成的。實際上，并不是所有的網站程序都能夠處于電子政府網站維護的程序員掌控之中。例如，一些最初從其他地方獲得的應用程序源代碼就不在其掌控范圍內。有時一個程序的開發是要分成多個小部分由不同的程序員來完成，這就存在每個單獨開發的部分都不存在問題但合到一起就出現問題的可能性。因此，盡管有些問題可能是由程序員造成的，但不能一概而論，否則將不能找到安全管理的癥結所在。

2.2 認為每年進行一次網站安全評估可以確保電子政府門戶網站的安全

由于網站程序代碼更換較快，因而目前我國許多電子政府在網站維護時大都會每年進行一次安全評估。盡管這種做法是必備的，但一年僅進行一次安全評估是遠遠不夠的。因為一年一次的安全評估會與電子政府網站快速變動的應用程序代碼形成嚴重的滯后性。只要網站的應用程序代碼發生變化，就會給網站帶來風險隱患，而評估之間間隔周期越長，風險隱患就越大。

3 改進電子政府網站安全策略的建議

要保證電子政府網站的信息安全，就必須避免誤入網站安全技術和網站安全管理兩大誤區，并且應從這兩方面入手，綜合考慮影響網站安全的種種因素。

3.1 電子政府網站安全技術策略

該策略主要是利用現有的高科技安全技術和安全產品，來實現網絡攻擊的事前防范、事中控制以及事后補救三大應對策略。為此，一個安全的電子政府網站至少應該具備如下功能：

1）網站被攻擊的事前防范；

2）用戶認證和訪問控制功能：電子政府網站系統應該使用加密方法保證用戶名和密碼不被泄漏，在此基礎上，對用戶身份驗證和識別，并限制用戶對文件、目錄、各種設備的操作和訪問，防火墻就是一個特殊的訪問控制安全技術；

3）安全漏洞檢測功能：電子政府網站系統應該定期掃描系統，進行安全漏洞檢查，以便及早發現問題并修補安全漏洞；

4）防病毒功能：防止外來病毒破壞系統和數據。

3.2 攻擊過程中的應對措施

入侵檢測功能：電子政府網站系統可以使用入侵檢測的主動發現技術來預防和檢測來自系統內外部的入侵；

3.3 電子政府網站被攻擊后的應對策略

1）系統日志審計功能：電子政府網站系統應具備對各種事件進行記錄和審計的功能，并且要控制對日志記錄的訪問，保證日志記錄不被修改，以監控黑客攻擊源及手段，檢測各種攻擊模式；

2）備份和恢復功能：電子政府網站系統應具備備份和恢復功能，在網站受到攻擊后，可盡快恢復系統和數據。

3.4 電子政府網站安全管理策略

該策略主要是加強電子政府內部網絡的安全管理、制定有關規章制度，其策略主要包括：確定安全管理等級和安全管理范圍；制定有關電子政府內部網絡操作使用規程和人員出入機房管理制度；制定網絡系統的維護制度和應急措施以及制定網站安全評估的有效方案等等。

電子政府網站安全要根據網站安全管理策略建立強有力的管理手段和措施，同時要根據電子政府網站安全技術策略建立合理全面的安全技術支持，只有如此，才能免于步入網站安全性的誤區并使網站安全保障達到最佳效果。

[1]王念.關于網站服務器的安全維護問題[J].硅谷，2011(6).

[2]唐燈平.構建安全的網站發布環境技術的研究[J].電腦開發與應用，2011，1.

[3]楊凡.網絡與信息安全基礎[M].北京理工大學出版社，2008.