五關齊下保網站安全

孫雷

上世紀九十年代的起步階段到如今，

我國政府網站建設已經走過了十八年的歷程。政府網站作為公眾獲取政府信息和了解政府的主要渠道和信息發布平臺，代表著國家和政府形象，同時折射出政府電子政務應用的綜合水平，因此，網站的安全穩定成為電子政務信息安全防護體系的重要組成部分。

近年來，網站建設整體水平隨著電子政務應用的不斷深入，政府網站所面臨的威脅和風險也正在不斷加大。根據國家互聯網應急中心統計，截至2013年9月，境內被篡改網站數量為6935個，其中被篡改政府網站數量為532個；境內被植入后門的網站數量為22810個，其中政府網站有360個。

一直以來，國家出臺了很多如等級保護等相關制度，對政府網絡安全建設等級逐步加強，防護能力得到了很大的提升。但2013年“棱鏡門”事件讓全世界為之震驚，同時也真真切切地給我國政府、企業乃至個人上了一堂現實版的信息諜戰課，使“信息安全”再一次成為2013年最受關注的詞匯之一。透過“棱鏡門”事件，我們清楚地看到，在信息技術方面我國還有太多的硬傷，無論從軟件到硬件，從操作系統到網絡設備，從安全意識到防護手段，我們的安全意識和綜合實力急需進一步全面加強。

政府網站防護功夫不足

由于網站是暴露在相對開放的環境下的一種網絡應用方式，更容易導致來自外部互聯網或內部網絡上的安全威脅。造成當前網站安全威脅的原因多種多樣，除了互聯網快速發展，黑客技術和黑客攻擊手段的不斷增多，入侵者的裝備及技術水平正在不斷地超越政府網站的防護力量，還有我們自己有很多防護工作沒有下足功夫，其中主要表現在五個方面：

信息安全意識不強，對系統防護工作重視不夠。很多單位都沒有安排信息安全的具體負責人員，對網站系統的安全防護工作也沒有進行規劃部署，系統從未做過安全評估，主管領導對網站系統安全狀況掌握不足，相關工作還沒有落實到位。

技術防護水平薄弱，面對攻擊和入侵應對措施匱乏。政府網站的整體防護水平還比較薄弱，管理維護人員的安全技術水平有待進一步提高；同時受限于資金和人員問題，很多單位在應對攻擊和入侵時應對手段比較匱乏，一旦遭受攻擊，網站系統癱瘓后恢復的難度較大，同時存在被多次攻擊的情況。

對開發商缺乏監管，網站設計開發時缺少對安全的考慮。由于缺乏對網站系統開發單位的監管和要求，政府網站的設計和開發對安全的重視程度不夠，很多網站在上線后，存在代碼處理不嚴謹、語句語法、文件路徑泄露等問題，同時后臺支持數據庫的管理也比較混亂，存在很大安全隱患。

由于利益驅動等原因，內部個別人員對網站進行惡意破壞。個別單位的網站系統，存在被內部人員因為利益和其他原因，從內部進行破壞的情況。這種破壞雖然不常見，但是往往后果都比較嚴重。

缺少應急處置措施，發生安全事件時反應緩慢處置不力。大多數政府機關在應急處置方面還存在盲區，應急方案不夠完善，網站系統一旦遭到攻擊、篡改，沒有具體的應對的流程、沒有協調聯系人、沒有應對處置措施，同時很多的單位沒有與設備廠家建立日常聯系溝通機制，也沒有信息安全技術支持隊伍，造成應急事件處置起來存在較大問題。

五項“加強”保安全

針對以上問題，筆者認為面對政府單位的網站系統，必須常備不懈，對信息安全工作緊抓不放，做好以下五項“加強”工作：

加強信息安全的培訓和教育，提高信息安全意識。安全防范的根本是提高人的安全意識。通過組織各種形式的培訓，不斷提高機關人員的信息安全意識，形成從上到下 “信息安全是第一安全”的思想，加強相關部門、人員的主動防護意識，提升單位整體的信息安全認識。

加強信息安全技術水平，增強入侵和攻擊的應對能力。通過專業的培訓學習，提高單位關鍵崗位維護人員的信息安全技術水平，增添必要的信息安全防護設備，確保對網站系統的基本安全保障，設置合理的網絡安全管理策略，以應對來自互聯網絡的攻擊和破壞。

加強對開發商的監管，網站的設計開發遵循國家標準。網站使用單位應該要求網站系統的開發單位嚴格按照國家信息安全的管理要求，加強網站系統架構的健全性和安全性，并且遵守軟件開發方面的安全要求，盡量避免出現安全上的漏洞，并對測試時發現的問題進行修補，同時對數據庫實施嚴格的安全管理。

加強內部的信息安全管理，做到防患于未然。進一步完善信息安全規章制度，形成具有整體性的信息安全工作規劃，從整體上部署信息安全工作重點及任務，形成分工明確、權責清晰的層次化管理結構，同時制定嚴格的信息安全事件問責制度，將內部發生事件的概率降至最低。

加強網站安全檢查和應急處置力度，定期演練。網站維護單位要按照信息安全等級保護的要求，定期對網站進行安全檢查，并加大對信息安全應急處理手段的支持和保障，保證在事件發生時能夠調配足夠的資源來應對，同時不斷完善信息安全應急預案的流程和內容，并定期開展預案的演練工作。

（作者單位：黑龍江省工業和信息化委員會信息中心）