加強政府網站安全的對策與建議

黨的十八大報告中首次將網絡空間安全作為三個國家安全之一提出來，網絡空間是信息時代的基本標志，網絡空間安全正在成為影響國家安全，成為滲透、影響甚至決定其他領域發展和成敗的重要因素之一。加強政府網站安全建設刻不容緩，要著力構建一個技術先進、管理高效、安全可靠的政府網站安全保障體系。

當前政府網站信息安全形勢日益嚴峻

國家互聯網應急中心發布的《2012我國互聯網網絡安全報告》，報告顯示，2012年，我國境內被暗中植入后門程序的網站有52324個，其中，政府網站有3016個，較2011年月均分別大幅增長213.7%和93.1%。2012年我國境內被篡改網站數量為16388個，較2011年的15443個略增6.1%。其中，境內政府網站被篡改數量為1802個，較2011年的1484個增長21.4%，佔境內全部被篡改網站數量的11.0%，從此項數據來看，我國政府網站面臨的安全形勢非常嚴峻，其面臨的主要風險從原來頁面被篡改、線業務被攻擊、數據被竊取、內網被侵入的基礎上，近幾年來網站被攻擊主要呈現的新特點：

一是攻擊者攻擊手段日益隱蔽。網絡罪犯將會選取一些知名、響應不夠及時的網站，作為第一攻擊目標，而后利用從第一攻擊目標上獲得的信息再去訪問最終的攻擊目標。

二是攻擊者逐漸從網絡層攻擊轉向應用層滲透和攻擊，這對Web應用防護必將提出更為嚴峻的挑戰。現階段的網站安全解決方案無一例外的把重點放在網絡安全層面，致使面臨應用層攻擊發生時，傳統的網絡防火牆、IDS/IPS等安全產品對此類攻擊的防御幾乎不起作用。

三是攻擊者的動機從個人愛好或是揚名到追求經濟獲利的重大轉變。黑色產業鏈的形成與逐漸壯大已經成為網絡安全必須面對的問題，部分不法分子為實現非法目的，不惜高價雇佣黑客修改、添加、刪除私人信息，使得此類政府網站易於成為黑客攻擊的對象。

哈爾濱市政府網站信息安全現存的問題

2012年，市專業安全檢測機構對哈爾濱市政府部門網站進行web應用安全檢測，檢測評估報告表明，哈爾濱市政府各部門網站存在Web安全洞 1156 個，其中緊急安全漏洞686個，中危漏洞103個，低危漏洞277個，信息類漏洞90個。同年，市政府網站組織全市各區縣（市）政府和市政府各部門共69家網站測評，在網站安全檢測過程中發現，5家網站關閉，21家網站掃描被攔截，43家網站存在安全漏洞，其中4家網站存在中危漏洞，39家網站存在高危漏洞，市政府部門網站漏洞佔70%，區政府網站佔14%，縣政府網站佔16%。存在的漏洞多數為web安全漏洞，如sql盲注、跨站點腳本編制、鏈接注入、利用框架釣魚等，情況較為嚴重。

哈爾濱市政府網站存在的安全問題仍然不容樂觀，產生這些問題的主要原因有以下三點。

1.網站管理機制不健全

管理機制主要包括制度、機構和人員三個方面，人員技術水平是否達到工作要求，是否把安全作為網站工作的重中之重來抓，制度是否落實到位，是否認真執行，都要靠健全的安全管理機制保障執行。

目前，哈爾濱市政府各部門網站處於分散管理，僅有十幾家政府網站托管在市政府網站平台統一管理，其余網站均自行維護，由於部分網站缺乏專業網絡技術維護人員，網絡技術水平不一，管理不到位，加之沒有形成一套行之有效的監管機制，導致網站出現安全問題不能及時處理和解決。

2.網站人員技術水平有限

信息技術飛速發展，黑客攻擊手段越來越高，網站工作人員技術水平與現時期工作要求還有一些差距，具體表現為:一是網絡維護人員在網絡通訊設備和網絡服務器配置上使用方法不當，導致網絡硬件被黑客攻擊﹔二是網站技術開發人員程序編寫不夠嚴密，導致應用系統被侵襲利用﹔三是網站技術人員安全防范技術能力不夠，需要及時更新網絡安全知識和業務技能﹔四是網站資金投入較少，網絡硬件陳舊，軟件應用新技術更新緩慢，不能適應當前網絡安全新形勢。

3.網站運維人員安全意識薄弱

目前，哈爾濱市各部門政府網站還處於網站功能建設階段，很多部門重建設、輕維護,重應用、輕管理的現象比較嚴重，對網站功能建設要求較多，主要精力投入功能實現上，從而忽略了代碼質量，垃圾代碼過多導致安全隱患問題。同時，網絡維護人員、信息工作人員密碼安全意識薄弱，防控病毒意識不強等原因也給網站安全帶來極大風險。

構建網站安全防護體系，保障政府網站安全運行

針對上述政府網站面臨的嚴峻形勢和目前存在的主要安全問題，需要從涉及信息安全的人、管理、技術三個方面入手，要建立一個完善細致的安全防護體系,來保障政府網站平台安全穩定運行。

1.加強政府網站安全工作組織領導，提高責任意識

從哈爾濱市每年開展的政府網站績效考核工作可以看出，有相當數量部門領導沒有把政府網站建設和安全管理工作作為一項重要工作來抓，存在重建設輕管理的問題。借鑒全國其他省（市）的先進經驗，一是建議市政府將政府網站納入地方政府和部門績效考核體系，作為領導班子綜合考核評價的內容之一，作為領導干部選拔任用的依據。二是要按照誰主管誰負責、誰運行誰負責的原則，強化管理和明確責任，確保政府網站安全管理工作落實到人，一層抓一層，做到網站管理不缺位，信息安全有保障。

2.建立健全政府網站安全管理制度，認真貫徹執行。

一是建立政府網站的安全管理制度體系，指導和制約網站安全建設和管理工作。網站出現相關問題時，工作人員要快速向網站相關負責人反映，以便及時得到處理﹔二是建立網站日常巡檢制度，指定人員每日檢查網站運行情況，及時發現並妥善解決存在的問題﹔三是建立具體負責人制度，對網站的網絡管理、數據庫服務維護、信息處理等實行誰主管誰負責﹔四是建立節假日值班制度，做到信息及時更新，保証網站不間斷運行﹔建立日志記錄備案制度，對網站日常工作要如實記錄，並作為技術管理檔案保存。

3.加強人才隊伍的培養，統籌建立哈爾濱市應急處理體系

一是加強政府網站安全管理培訓。通過參加信息安全、信息技術、信息管理等方面的培訓，進一步提高網站工作人員整體建設網站、管理網站的能力。二是強化技術支撐保障工作。成立哈爾濱市信息安全測評中心，為哈爾濱市黨政機關、企事業單位網站提供技術保障和技術支撐服務。三是建立政府網站專項應急預案，以保証政府網站在事故發生時得到快速、及時處理。四是建立信息安全檢查監督機制。依據已確立的技術法規、標准與制度,定期開展信息安全檢查工作,對檢查中發現的違規行為,按規定處罰相關責任人,對檢查中發現的安全問題和隱患,明確責任部門和責任人,限期整改。

4.統籌規劃政府網站群建設，實施集約化管理。

積極推進雲模式下政府網站群的集約化建設。一是按照哈爾濱市電子政務建設的總體要求，進行統籌規劃，統一網站運行載體，避免分散、重復建設，即：利用哈爾濱市信息中心平台的基礎環境作為哈爾濱市政府網站運行載體﹔由哈爾濱市信息中心平台的技術隊伍，承擔哈爾濱市政府網站的建設及日常運行的技術維護工作﹔對於缺乏建設、維護網站能力的單位或部門，不再建設獨立網站，由哈爾濱市信息中心平台代為承載其應向社會公眾提供的政府信息公開等政務公共服務功能。二是確立統一標准，完善政府信息公開和政務信息資源共享機制，規劃“中國哈爾濱”門戶網站群及內容管理系統建設，進一步整合各部門政府網站，按照統一規劃、分步實施的原則，建立統一的站群管理平台，將哈爾濱市各政府機構網站整合到站群平台上運行，形成以市政府門戶網站為核心，以政府機構網站為群體的，資源共享、協調聯動的網站群體系，全面提高政府網站公共服務水平。三是加強網站群建設管理，強化安全保障，建立應急響應機制，依托由哈爾濱市信息中心平台現有技術、人才優勢，為哈爾濱市政府網站建設單位提供安全技術支持、信息技術培訓、網絡安全風險評估等服務。

5.加大安全技術體系建設

技術防護是確保網站信息安全的有力措施，在技術防護上，主要做好以下幾方面工作。

一是要加強網絡環境安全。首先要安裝網站防火牆（WAF）、網站防篡改系統、網絡防火牆和入侵檢測系統等，在傳統的網絡防火牆基礎上，網站防火牆（WAF）從網絡的應用層面提高網站安全防護能力，利用入侵檢測系統識別黑客非法入侵、惡意攻擊以及異常數據流量, 通過對網站防火牆（WAF）和網絡防火牆進一步優化配置來阻斷黑客非法入侵、惡意攻擊。網站防篡改系統是網站最后一道防護屏障，一旦防護失效時，網站首頁或內容被篡改，防篡改系統可立即恢復網站被篡改的內容，不至於造成政治事件和影響，同時給網站管理人員短暫喘息時間，及時修改和完善網站安全配置文件，確保網站安全穩定運行。

二是加強網站平台安全管理。在現有中心平台的基礎上，進一步優化完善網絡結構、合理配置網絡資源，配置下一代防火牆、病毒防護體系、網絡安全檢測掃描設備和網絡安全集中審計系統等設備，從邊界防護、訪問控制、入侵檢測、行為審計、防毒防護、安全保護等方面不斷完善哈爾濱市信息化中心平台的安全體系建設，確保在哈爾濱市信息中心平台基礎環境下，大數據平台、大工業體系信息化輔助決策平台和雲模式下政府網站群平台安全穩定建設運行。

三是加強網站代碼安全。一個安全的網站，不但要有良好的網絡環境，更要有高質量的應用系統，現時期由於網站代碼不嚴密、安全性差引起的網絡安全事件屢見不鮮，這就要求網站技術開發人員在開發應用系統過程中，要養成良好的代碼編寫習慣，盡量不要使用來歷不明的代碼和插件，編寫程序時要嚴格過濾敏感的字符，並且在系統開發完成后，要有相應的代碼檢測機制和手段，及時更新漏洞補丁，從源頭上遏制網站挂馬、SQL注入和跨站點腳本攻擊等行為。要部署網頁防篡改系統，網頁防篡改系統具備實時阻斷非法修改和對非法修改的文件進行恢復的能力，在其他防護措施失效的情況下，能夠有效地解決網頁被篡改的問題，實現針對網站信息的保護。

四是加強數據安全。要加強數據庫的安全，採用正版數據庫系統，通過網絡安全域劃分,數據庫被隱藏在安全區域,同時通過安全加固服務對數據庫進行安全配置,並對數據庫的訪問權限做最為嚴格的設定,最大限定保証數據庫安全﹔部署數據災備系統，對網站和關鍵應用系統數據進行定期備份，利用市政府大樓機房環境，將這些數據進行異地備份，確保關鍵數據安全，防止造成無法挽回的損失。

隨著信息技術的飛躍發展，黑客、木馬等攻擊和入侵手段也隨之變化多樣且層出不窮，給政府網站的安全管理帶來極大的威脅，各級政府、各部門要切實增強政府網站安全責任意識，加強對政府網站安全工作的領導，進一步強化監督管理，明確責任分工，加強安全防范措施，以安全為己任，為哈爾濱市政府網站和重要信息系統安全穩定運行創造一個良好的環境。

（來源：中國信息安全）