政府網站安全現狀及解決方案

◆劉 斌

（浙江省舟山市公安局定海分局 浙江 316000）

政府網站安全現狀及解決方案

◆劉 斌

（浙江省舟山市公安局定海分局 浙江 316000）

近年來，隨著政府部門信息化建設大力推進，政府網站應運而生，并且得到了蓬勃的發展。然而，目前我國各級政府部門門戶網站的安全狀況卻令人擔憂，多數政府網站還缺乏對安全的足夠重視。由于政府網站具有不可替代的權威性，對它的攻擊將嚴重影響我國的網絡信息安全。據國家互聯網應急中心發布的《2015年中國互聯網網絡安全報告》顯示，2015年我國政府網站被篡改數量為898個，在被篡改的政府網站中，超過85%的網頁篡改方式是植入暗鏈（含博彩、色情內容），為政府網站被入侵后發生比例最高的安全事件，這充分說明網絡犯罪黑色產業鏈已成為我國網絡安全環境的最大威脅。2015年，國家互聯網應急中心通報了涉及政府機構和重要信息系統部門的事件型漏洞近2.4萬起，約是2014年的2.6倍，繼續保持快速增長態勢。國家互聯網應急中心抽取2015年12月通報的安全漏洞事件進行修復驗證，發現政府部門網站系統漏洞隔月修復率僅為52.7%。如何讓虛弱不堪的政府網站變得固若金湯，保證其長久正常運作，是急需解決的問題。

政府網站; 網絡安全; 網站群; 等級保護; 漏洞掃描

0 前言

政府門戶網站的出現不但拉近了與群眾之間的距離，也方便了政府的政務處理，加快了陽光政務的進程，同時也為政府機關廣泛收集民情民意，制定科學決策提供了最好的溝通橋梁作用。但是由于政府部門存在網站管理不到位、技術能力不達標、安全防范不規范等原因，甚至部分政府網站存在“裸奔”現象，政府網站的安全狀況不容樂觀。上述種種因素，政府網站不可避免地成為境內外黑客攻擊對象，造成網站癱瘓、信息泄露等嚴重后果。如何解決這些問題，使政府網站真正服務于群眾，是擺在我們面前的一個主要任務。

1 政府網站安全現狀

（1）重建設、輕管理，政府網站安全問題突出。近年來，政府網站安全事件（隱患）也日益呈現。政府網站被境外黑客攻擊篡改事件屢屢發生，經調查發現，被攻擊網站安全防范措施較差，安全管理嚴重缺失，均屬于無專人維護或委托第三方的管理模式。從目前掌握的整體情況看，多數基層黨政機關網站，只有少數納入到了政府網站集群管理，部分網站建設在本單位機房自主維護，大多數網站租賃網絡公司的網絡空間搭建網站（其中大部分租賃的網站服務器不在本地，甚至在香港、美國等境外地區），一旦出現問題，不能迅速采取處置措施。同時，各個單位網站建設、維護方式的多樣性導致網站安全風險點多，也大大增加了公安機關開展政府網站安全監管的難度。

（2）信息安全等級保護工作重視程度不高。近年來，政府單位的信息安全意識已普遍有所提高，但由于信息安全等級保護相關政策和標準的宣傳貫徹力度仍較弱，造成對等級保護工作在信息安全保障工作中的全局性和基礎性作用認識依然不足。多數政府單位一把手、信通科室工作人員均不知道信息安全等級保護工作。從檢查中可見，有獨立機房的單位在軟硬件方面均無法達到重要系統等級保護要求。

（3）應急保障的體制機制不健全。由于在信息系統安全管理和技術保護上還存在不小差距，導致信息系統安全事件（事故、案件）時有發生，重要信息系統應用單位必須采取有效的應對策略和措施，以確保損失降到最低。而目前很多單位未依據國家有關規定對本單位的信息系統進行安全事件的等級劃分，建立重大安全事件建立相應的報告和處理機制，缺少一套統一的應急預案，且未組織人員開展培訓和演練，從而出現被攻擊后無從下手的局面。

（4）安全建設財政經費保障不到位。目前，雖然不少政府部門及建立了防火墻+防病毒的安全體系。但是檢查過程中發現，不少單位防火墻版本較早，甚有單位雖有防火墻，網絡不經過，純屬擺設，黑客可長驅直入。因此可以判斷，這些單位近10年在網絡安全方面的建設投入甚少。更別提信息安全等級保護檢測、漏洞掃描、防篡改等軟件方面的投入。這些投入的確需要花費大量的財力，而這些花費只有投入，卻沒有產出，很多單位領導不愿花這冤枉錢。

2 應對處理對策

（1）整合資源，打造網站集約化云平臺。按照“統一規劃、統一標準、統一架構、統一維護、分級管理”的原則，將所有托管在外的政府網站搬遷到當地政務云平臺或者統一選定本市網絡安全措施落實較為完善的IDC單位集中進行管理，落實專人集中運維，最大限度的政府門戶網站網絡與信息資源的安全，保障系統的運行穩定，同時，采取硬件防篡改的安全保障措施，提供從系統自身安全功能設計到系統運行硬件安全防護的部署，能夠識別和阻斷跨站腳本（XSS）、注入式攻擊（包括SQL注入、命令注入、Cookie 注入等）、敏感信息泄露、惡意代碼、錯誤配置、隱藏字段、會話劫持、參數篡改、緩沖區溢出、應用層拒絕服務、弱口令其他各類變形的應用攻擊，從系統環境防護到人工組織預防等多層次地加強網站平臺的安全性。

（2）落實要求，深入開展信息安全等級保護工作。等級保護工作，是一項較為復雜的社會工程、系統工程，需要政府主管部門和各信息系統運營單位共同協作，持之以恒地開展等級保護工作動員和宣教，擴大社會影響，形成從根本上重視網絡安全的工作理念。通過定級、備案、安全建設整改、等級測評和監督檢查等重點工作，全面落實信息安全等級保護制度和各項任務要求;建立健全重大信息安全事件分級報告處置制度和應急預案，提高基礎信息網絡和重要信息系統的安全管理水平和主動防御能力。

（3）加強監管，定期安排社會力量進行網站安全掃描。以政府購買服務的形式，安排網絡公司開展定期網站安全掃描和現場檢查工作。根據網絡公司出具的報告，對存在高危漏洞的政府網站使用單位進行重點檢查，對存在的問題，能當場整改的督促其當場整改，問題嚴重的，公安機關制發《限期整改通知書》，責令限期整改。同時，購買信息預警等基礎防護體系，做到政府網站遭受外來攻擊時“第一時間發現、第一時間處置、第一時間查證、第一時間報告”。

（4）建立考核機制,真正將網絡安全落實到實處。建立健全督導考核機制。等級保護各職能部門對各信息系統運營單位進行考核,同時納入了工作考核,對工作開展不力、存在違反國家相關法律法規的單位,嚴肅依法處罰,加強對處罰整改落實情況的監督。

3 網站集群管理優勢

（1）節省了資源投入。實施政府網站群管理后，有效降低了各黨政機關對基礎軟件、網絡設備、機房建設等網站基礎設施資源的投入，充分提高當地電子政務中心軟硬件資源的使用效率，同時也解決了因技術力量不足難以進行系統及設備管理、維護等問題。

（2）提升了防護能力。政府網站群統一了技術標準，最大限度上減少了網站異構、異地所帶來的安全管理、運行維護上的問題，提高了應對突發安全事件的能力和效率。

（3）提高了服務水平。政府網站群建設運維部門為各網站開辦單位提供了專業的、穩定的、安全的保障服務，各單位可專心研究實施網站內容設計和發布，從而提高了網站對外宣傳服務的水平，方便群眾的查詢瀏覽和獲取政務公開的信息資源，提升了政府便民利民的良好形象。

4 結語

黨的十八大報告中首次將網絡空間安全作為三個國家安全之一提出來，網絡空間是信息時代的基本標志，網絡空間安全正在成為影響國家安全，成為滲透、影響甚至決定其他領域發展和成敗的重要因素之一。加強政府網站安全建設刻不容緩，著力構建一個技術先進、管理高效、安全可靠的政府網站安全保障體系，從而更好地為人民群眾服務。

[1]卓悅，李蓓.政府網站安全防護的對策思考，2014.

[2]王亞東.淺析網絡安全體系設計與建設的研究，2012.

[3]徐金寶.試論信息安全等級保護制度助力網絡安全和信息化法治建設，2013.