電子政府網(wǎng)站安全性的誤解及策略

張 森

武漢大學(xué)信息學(xué)院，湖北武漢 430072

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的普及，各地政府紛紛建立了門戶網(wǎng)站開始大力發(fā)展電子政務(wù)。由于電子政府門戶網(wǎng)站中包含巨大的經(jīng)濟(jì)利益和機(jī)密，所以經(jīng)常會(huì)遭遇網(wǎng)絡(luò)攻擊，致使門戶網(wǎng)站安全性的提升業(yè)己成為電子政府網(wǎng)站維護(hù)管理的重中之重。為此，許多電子政府門戶網(wǎng)站都采用了一定的網(wǎng)絡(luò)安全技術(shù)。同時(shí)，網(wǎng)站安全管理也隨著網(wǎng)絡(luò)攻擊的增多也得到加強(qiáng)。然而，目前網(wǎng)絡(luò)安全技術(shù)的廣泛應(yīng)用和網(wǎng)站安全管理的提升也為電子政府維護(hù)網(wǎng)站、提升電子政府門戶網(wǎng)站的安全性帶來了兩大誤區(qū)。

1 電子政府網(wǎng)站安全技術(shù)層面的誤區(qū)

目前我國(guó)電子政府網(wǎng)站安全技術(shù)層面的誤區(qū)主要表現(xiàn)在如下3方面：

1）認(rèn)為電子政府門戶網(wǎng)站采用了SSL加密，安全性就得到了保障

絕大多數(shù)電子政府門戶網(wǎng)站在建設(shè)過程中都會(huì)采取SSL加密技術(shù)，而且有相當(dāng)一部分人認(rèn)為采用了SSL加密，網(wǎng)站安全性就獲得了保障，甚至有些網(wǎng)絡(luò)維護(hù)人員也認(rèn)為如此。但實(shí)際上，僅僅依靠SSL加密是不能使電子政府門戶網(wǎng)站獲得安全性保障，因?yàn)镾SL加密僅僅是通過加密處理從而使網(wǎng)站發(fā)送和接收的動(dòng)態(tài)信息的安全性得到保障，而對(duì)于已經(jīng)存在于網(wǎng)站之中的靜態(tài)信息的保障效果卻并不理想。

2）認(rèn)為電子政府門戶網(wǎng)站采用了防火墻，安全性就得到了保障

目前大部分電子政府門戶網(wǎng)站都利用防火墻的過濾機(jī)制來實(shí)現(xiàn)對(duì)數(shù)據(jù)訪問的安全性控制，從而使網(wǎng)站得以將惡意訪問過濾出去而僅接受善意訪問。然而，由于防火墻針對(duì)網(wǎng)絡(luò)病毒、木馬更新?lián)Q代而進(jìn)行的升級(jí)存在一定的滯后性，因而對(duì)善意訪問和惡意訪問的識(shí)別并不完全準(zhǔn)確，而且一直都是剛火槍過濾機(jī)制的難點(diǎn)問題，而一旦識(shí)別錯(cuò)誤，防火墻則失去了安全防護(hù)的意義。

3）認(rèn)為漏洞掃描工具沒發(fā)現(xiàn)任何問題，網(wǎng)站就處于安全狀態(tài)

盡管漏洞掃描工具早在上世紀(jì)90年代初就已被廣泛用于探明網(wǎng)絡(luò)安全漏洞，但由于該工具并不能檢測(cè)網(wǎng)站應(yīng)用程序中存在的漏洞，因而盡管漏洞掃描工具有時(shí)沒發(fā)現(xiàn)問題，但仍然有病毒或者木馬會(huì)以應(yīng)用程序?yàn)檩d體，在被網(wǎng)站觸發(fā)后而對(duì)網(wǎng)站進(jìn)行攻擊。

2 電子政府網(wǎng)站安全管理層面的誤區(qū)

2.1 認(rèn)為完全是由于政府程序員人為因素導(dǎo)致網(wǎng)站安全出現(xiàn)問題

在電子政府網(wǎng)站安全管理中，網(wǎng)站安全一旦出現(xiàn)問題，往往要?dú)w咎于程序員，認(rèn)為是由程序員人為因素造成的。實(shí)際上，并不是所有的網(wǎng)站程序都能夠處于電子政府網(wǎng)站維護(hù)的程序員掌控之中。例如，一些最初從其他地方獲得的應(yīng)用程序源代碼就不在其掌控范圍內(nèi)。有時(shí)一個(gè)程序的開發(fā)是要分成多個(gè)小部分由不同的程序員來完成，這就存在每個(gè)單獨(dú)開發(fā)的部分都不存在問題但合到一起就出現(xiàn)問題的可能性。因此，盡管有些問題可能是由程序員造成的，但不能一概而論，否則將不能找到安全管理的癥結(jié)所在。

2.2 認(rèn)為每年進(jìn)行一次網(wǎng)站安全評(píng)估可以確保電子政府門戶網(wǎng)站的安全

由于網(wǎng)站程序代碼更換較快，因而目前我國(guó)許多電子政府在網(wǎng)站維護(hù)時(shí)大都會(huì)每年進(jìn)行一次安全評(píng)估。盡管這種做法是必備的，但一年僅進(jìn)行一次安全評(píng)估是遠(yuǎn)遠(yuǎn)不夠的。因?yàn)橐荒暌淮蔚陌踩u(píng)估會(huì)與電子政府網(wǎng)站快速變動(dòng)的應(yīng)用程序代碼形成嚴(yán)重的滯后性。只要網(wǎng)站的應(yīng)用程序代碼發(fā)生變化，就會(huì)給網(wǎng)站帶來風(fēng)險(xiǎn)隱患，而評(píng)估之間間隔周期越長(zhǎng)，風(fēng)險(xiǎn)隱患就越大。

3 改進(jìn)電子政府網(wǎng)站安全策略的建議

要保證電子政府網(wǎng)站的信息安全，就必須避免誤入網(wǎng)站安全技術(shù)和網(wǎng)站安全管理兩大誤區(qū)，并且應(yīng)從這兩方面入手，綜合考慮影響網(wǎng)站安全的種種因素。

3.1 電子政府網(wǎng)站安全技術(shù)策略

該策略主要是利用現(xiàn)有的高科技安全技術(shù)和安全產(chǎn)品，來實(shí)現(xiàn)網(wǎng)絡(luò)攻擊的事前防范、事中控制以及事后補(bǔ)救三大應(yīng)對(duì)策略。為此，一個(gè)安全的電子政府網(wǎng)站至少應(yīng)該具備如下功能：

1）網(wǎng)站被攻擊的事前防范；

2）用戶認(rèn)證和訪問控制功能：電子政府網(wǎng)站系統(tǒng)應(yīng)該使用加密方法保證用戶名和密碼不被泄漏，在此基礎(chǔ)上，對(duì)用戶身份驗(yàn)證和識(shí)別，并限制用戶對(duì)文件、目錄、各種設(shè)備的操作和訪問，防火墻就是一個(gè)特殊的訪問控制安全技術(shù)；

3）安全漏洞檢測(cè)功能：電子政府網(wǎng)站系統(tǒng)應(yīng)該定期掃描系統(tǒng)，進(jìn)行安全漏洞檢查，以便及早發(fā)現(xiàn)問題并修補(bǔ)安全漏洞；

4）防病毒功能：防止外來病毒破壞系統(tǒng)和數(shù)據(jù)。

3.2 攻擊過程中的應(yīng)對(duì)措施

入侵檢測(cè)功能：電子政府網(wǎng)站系統(tǒng)可以使用入侵檢測(cè)的主動(dòng)發(fā)現(xiàn)技術(shù)來預(yù)防和檢測(cè)來自系統(tǒng)內(nèi)外部的入侵；

3.3 電子政府網(wǎng)站被攻擊后的應(yīng)對(duì)策略

1）系統(tǒng)日志審計(jì)功能：電子政府網(wǎng)站系統(tǒng)應(yīng)具備對(duì)各種事件進(jìn)行記錄和審計(jì)的功能，并且要控制對(duì)日志記錄的訪問，保證日志記錄不被修改，以監(jiān)控黑客攻擊源及手段，檢測(cè)各種攻擊模式；

2）備份和恢復(fù)功能：電子政府網(wǎng)站系統(tǒng)應(yīng)具備備份和恢復(fù)功能，在網(wǎng)站受到攻擊后，可盡快恢復(fù)系統(tǒng)和數(shù)據(jù)。

3.4 電子政府網(wǎng)站安全管理策略

該策略主要是加強(qiáng)電子政府內(nèi)部網(wǎng)絡(luò)的安全管理、制定有關(guān)規(guī)章制度，其策略主要包括：確定安全管理等級(jí)和安全管理范圍；制定有關(guān)電子政府內(nèi)部網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施以及制定網(wǎng)站安全評(píng)估的有效方案等等。

電子政府網(wǎng)站安全要根據(jù)網(wǎng)站安全管理策略建立強(qiáng)有力的管理手段和措施，同時(shí)要根據(jù)電子政府網(wǎng)站安全技術(shù)策略建立合理全面的安全技術(shù)支持，只有如此，才能免于步入網(wǎng)站安全性的誤區(qū)并使網(wǎng)站安全保障達(dá)到最佳效果。

[1]王念.關(guān)于網(wǎng)站服務(wù)器的安全維護(hù)問題[J].硅谷，2011(6).

[2]唐燈平.構(gòu)建安全的網(wǎng)站發(fā)布環(huán)境技術(shù)的研究[J].電腦開發(fā)與應(yīng)用，2011，1.

[3]楊凡.網(wǎng)絡(luò)與信息安全基礎(chǔ)[M].北京理工大學(xué)出版社，2008.