誰來保衛政府網站的安全

王元元

政府網站的后期更新與安全維護的基本缺失，使其近乎在互聯網世界“裸奔”

近日，江蘇常州警方偵破一起網絡售賣教師資格證的案件。

在警方公布的信息里，一個細節尤其引人注目：非法制證者通過黑客團隊，以漏洞掃描、上傳木馬程序等手段“黑”入政府官網，并將證件驗證窗口鏈接至售假團伙自家網站。

“這一犯罪手法，目前在國內尚屬首例。”常州警方的公告中寫道。

無獨有偶，2016年在社會上引起軒然大波的徐玉玉被電信詐騙致死案背后，同樣是網絡黑客作祟。

公訴機關的指控顯示，19歲的黑客杜某通過植入木馬等方式，非法入侵山東省2016年普通高等學校招生考試信息平臺網站，竊取包括徐玉玉在內的64萬余條2016年山東省高考考生個人信息，并對外出售牟利。

近年來，類似公共服務類網站被攻擊，從而導致民眾個人信息泄露的案件層出不窮。

無論是常州教師資格證網絡售假案，還是徐玉玉案，都暴露出政府網站的安全防護薄弱。

多位接受《瞭望東方周刊》采訪的網絡安全業內人士及專家直言，包括政府網站在內的公共服務類網站的安全問題長久以來都被忽視了，這些網站當前的安全形勢仍十分嚴峻。

“公共服務類網站的安全問題應該引起大家的高度重視，并拿出具體措施加以解決。”北京郵電大學互聯網治理與法律研究中心副主任謝永江在接受《瞭望東方周刊》采訪時強調。

平均每個縣區開設30個政府網

上世紀90年代，電子政務開始發軔。

因其能夠極大地降低行政成本，同時提升政府管理、公共服務的效率，得到各國政府的大力支持和推動。中國亦是如此。

從本世紀初，中國公共服務觸網開始，此后電子政務市場規模不斷擴大。

綜合行業研究機構迪賽顧問和智研咨詢的數據：2006年以來，中國電子政務的市場規模一直保持著15%以上的增長速度，遠遠高出同期的GDP 增速；到2010年，其市場規模首次突破1000億元。

“2016 年時，中國電子政務的市場規模已經達到了2569億元，比2010年翻了一番。”阿里巴巴集團安全部總監虞煜軍告訴《瞭望東方周刊》。

在這場轟轟烈烈的電子政務普及浪潮中，興建政府網站成為許多地方政府的第一選擇。從中央到縣區、鄉鎮的各級政府部門，海關、稅務、教育、審計等各個系統，紛紛開設自己的政府網站。

“這樣幾年下來，攤子越鋪越大，網站越建越多。”謝永江說。

2015年，國務院辦公廳組織了第一次全國政府網站普查，結果顯示：各地區、各部門已開設政府網站8.4萬多個。

“當年中國有2861個縣區，就相當于平均每個縣區就開設了近30個政府網站。”謝永江說。

然而，這些網站的情況并不盡如人意。2015年，國務院辦公廳在全國政府網站普查中發現，一些政府網站空白欄目數超過20個，一些網站的欄目7年未更新。

“事實上，這些常年不更新的‘僵尸官網在政府網中屢見不鮮。更嚴重的是，一些網站還會被黑客入侵，變得面目難辨。”中國信息安全測評中心總工程師王軍對《瞭望東方周刊》說。

近1500家政府網站被植入后門

據謝永江觀察，在政府網站建設浪潮中，各方關注的焦點仍然是大規模的硬件和網絡設備建設，而對軟件和服務的投入不夠充分。

公開數據顯示，2014年，中國1915億元的電子商務市場規模中，其中硬件和網絡設備的市場份額占比超過51%。“再往前這一比例還要更高。”虞煜軍說。

因此，缺乏后期建設和安全維護的政府網站漏洞百出。從近年來頻發的各類網絡詐騙事件來看，也能看出公共服務類網站中尤以政府網站的安全問題最為突出。

國家互聯網應急中心發布的監測數據顯示：2014年，國內共有1763家政府網站被篡改攻擊，1529家政府網站被植入“后門”，合計有3292家政府網站已存安全漏洞。

工信部下屬的中國軟件測評中心發布的《2015年中國政府網站績效評估總報告》顯示，2015年評估范圍內的政府網站中：超過90%存在各種危險等級的安全漏洞；31%的網站被劃入極度危險序列；17%的網站被劃入高度危險序列。

上述報告還指出，近30%的網站安全漏洞數量超過30個、有60余家網站的安全漏洞數量超過100個。

而《2016年中國政府網站績效評估總報告》也顯示，評估范圍內的70個部委、32個省（市、區）、330個市以及470余個區縣的政府網站中共發現漏洞1190個，其中高危漏洞152個，中危漏洞780個。

國家互聯網應急中心的監控數據顯示：2017年1～8月，全國被篡改的政府網站數量為1232個，被植入后門的政府網站數量為1468個，整體數量同比下降了33%。

“即便如此，存在安全隱患的政府網站的絕對數目仍然不小。”阿里巴巴集團安全部總監連斌告訴《瞭望東方周刊》。

王軍也認為，盡管過去幾年，政府網站的安全問題有所改善，但總體形勢依然非常嚴峻，“其他公共服務類網站安全情況也大多如此，都不容樂觀。”

不止是信息泄露

連斌認為，在政府網站的建設潮中，公共服務類網站尤其是政府網站安全形勢惡化有其必然性。

“一些政府部門在做網站時很盲目，就是為了完成任務，但卻并不太清楚如何把網站做好。”他說。

不過，謝永江也坦陳，一些政府部門有時也“心有余而力不足”，即便想把網站做好，也常因自身缺乏專業的網絡技術和安全人員而作罷，最終只得將網站的建設和維護外包給市場上的網絡公司。

這就帶來了更嚴重的問題。

“因為財政預算低以及缺乏網絡安全意識，有些政府部門會選擇費用低的小公司幫它們做網站，這些公司技術力量都比較弱，網站安全等級也不高，自然很容易被黑客攻破。”獵豹移動安全工程師李鐵軍告訴《瞭望東方周刊》。

此外，這些公司跟政府之間往往是一錘子買賣，網站建好就等于完成任務，更為重要的后期網站更新與安全維護基本缺失，使得這些政府網站近乎在互聯網世界“裸奔”。

“政府網站在給民眾提供各類服務的過程中，收集了大量個人信息存儲在后臺，網站一旦被黑客攻破，個人信息就會泄露，由此引發一系列針對個人的網絡犯罪。”阿里巴巴集團副總裁余偉民說。

教育、公安、人力資源和社會保障等與民眾日常生活密切的政府職能部門，一旦因網絡安全問題導致信息泄露，帶來的后果不堪設想。徐玉玉被電信詐騙致死案就是一個典型例子。

余偉民認為，其危害不止是會導致個人信息泄露，也可能造成政府內部的信息泄露，嚴重的或許會危及國家安全，“即便只是網站癱瘓，也因會暫時無法提供服務而影響到政府的形象和公信力。”

管理和技術要齊頭并進

“無論是從國家安全層面，還是從個人信息泄露、網絡犯罪層面，政府都必須高度重視包括政府網站在內的公共服務類網站安全問題。”余偉民告訴本刊記者。

2017年6月8日，國務院辦公廳發布《政府網站發展指引》，明確要求落實網絡安全等級保護制度，建立安全監測預警和應急響應機制，對攻擊、侵入和破壞政府網站的行為以及影響政府網站正常運行的意外事故進行防范，確保網站穩定、可靠、安全運行。

當然，這還不夠。

接受《瞭望東方周刊》記者采訪的業內專家建議，進一步明確責任劃分，將網站的安全責任逐級落實到具體部門或者部門內部機構上，做到專人專責。同時，定期對相關人員進行培訓，以增強后者的網絡安全意識。

李鐵軍認為，主管部門可以考慮建立一個全國性的網絡安全監管平臺，將各級政府網站都納入該平臺之中，實行24小時在線監控，及時發現問題、處理問題。

未來，政府還可以此為樣本，將其他公共服務類網站如學校、銀行、公益機構等按性質、行業分類，每個類別的網站都可建立一個全國性的網絡安全監管平臺。

虞煜軍則認為，主管部門應制定一套明確的準入標準，篩選出專業的網絡技術公司，建立一個名單庫供包括政府網站、學校、公益機構在內的所有公共服務類網站選擇，以確保外包公司有絕對的實力和能力保證網站安全。

“將一些需要保密的個人信息、機構內部信息存儲到專業網絡技術公司的云盤上。”王軍建議。

對此，余偉民表示，目前很多公共服務類網站的信息都存在一些安全級別不高的本地服務器里，極易被攻擊，而像阿里巴巴旗下的阿里云等云盤服務則擁有更高級別的安全防護技術，服務器防抗攻擊的能力更強。

同時，還可以使用HTTPS技術，以解決網站的加密通信和真實性問題。“如今，HTTPS和SSL證書已經成為英美政府網站的標配。”謝永江介紹道。

美國政府和英國政府分別于2015年6月、2016年10月要求該國所有的政府部門必須使用HTTPS。

目前，國內已有部分政府網站安裝了SSL證書，取得了良好效果。受訪專家建議，主管部門可考慮將該技術的應用擴展到全國范圍。