芻議政府網(wǎng)站安全存在的問題及對策

文｜中國建筑科學(xué)院研究院建研科技股份有限公司 曲徑

當(dāng)前，以計算機技術(shù)、現(xiàn)代通信技術(shù)、物聯(lián)網(wǎng)、大數(shù)據(jù)以及云計算等新技術(shù)為支撐的信息時代引領(lǐng)人類社會進入一個全新的時代，網(wǎng)絡(luò)空間成為信息時代的基本性標(biāo)志，其安全狀態(tài)對社會公共安全以及社會穩(wěn)定、經(jīng)濟發(fā)展影響重大。其中，政府網(wǎng)站的安全問題是社會安全的重要內(nèi)容，直接關(guān)系到國家安全。當(dāng)前，對政府網(wǎng)站安全構(gòu)成威脅的各種因素越來越復(fù)雜多樣，政府網(wǎng)站所面臨的安全形勢日趨復(fù)雜，迫切需要采取措施加強政府網(wǎng)站安全。

1 政府網(wǎng)站信息安全面臨更加復(fù)雜的嚴(yán)峻形勢

1.1 現(xiàn)有安全保障機制體制不能滿足形勢發(fā)展需要。傳統(tǒng)的政府網(wǎng)站信息安全通常以機關(guān)行政管理機構(gòu)+技術(shù)部門的模式形成保障機制，在信息化發(fā)展初期，此類做法能夠在短時間內(nèi)集中政府優(yōu)質(zhì)資源，少花錢多干事，解決了有沒有的問題，起到了信息化快速起步見成效的作用，有一定歷史積極意義，但是隨著信息社會的快速發(fā)展，安全形勢面臨日益復(fù)雜的局面，這種傳統(tǒng)模式已經(jīng)不能滿足發(fā)展需求，主要表現(xiàn)為：

（1）行政部門的科層式管理與信息化扁平化要求的矛盾。傳統(tǒng)的行政機關(guān)管理以科層式管理模式為主，遇事逐層上報，逐級批準(zhǔn)，信息化技術(shù)管理要求扁平化管理，即在一個平臺上可以同時進行多個層級的上報批準(zhǔn)工作?，F(xiàn)實中形成的行政管理與技術(shù)支持的兩張皮模式，導(dǎo)致工作效率低下，在遇到重大信息安全問題時，缺乏足夠靈敏的反應(yīng)姿態(tài)。

（2）行政事業(yè)管理模式難以吸引和留住人才。網(wǎng)絡(luò)信息安全是當(dāng)前高端頂尖的IT技術(shù)領(lǐng)域，需要高水平人才方可勝任。行政事業(yè)單位受人員編制、薪酬待遇、晉升制度的限制，與社會IT公司相比較，待遇偏低、技術(shù)人才地位不高、升遷機會不多，往往對人才缺乏足夠的吸引力，對現(xiàn)有人員也難以形成凝聚力，造成人才流失，嚴(yán)重影響技術(shù)水平，導(dǎo)致安全保障手段難以實現(xiàn)。

（3）行政加事業(yè)的管理機制難以在研發(fā)上形成優(yōu)勢。傳統(tǒng)的信息安全管理機制以能應(yīng)對日常安全問題為訴求，沒有市場研發(fā)的壓力和動機，也缺乏資金的投入和人才的儲備，安全保障手段往往以社會上成熟的技術(shù)為主，在遇到新的攻擊手段和安全威脅時，往往束手無策，坐以待斃，不能很好的先發(fā)制人。

1.2 技術(shù)層面上挑戰(zhàn)日益加劇。國家互聯(lián)網(wǎng)應(yīng)急中心在2016年12月發(fā)布的《中國互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報告（2016）》顯示，我國網(wǎng)站安全仍面臨更加復(fù)雜嚴(yán)峻的安全態(tài)勢。主要表現(xiàn)為：

（1）政府網(wǎng)站成為主要攻擊對象。政府網(wǎng)站在互聯(lián)網(wǎng)中成為主要的攻擊目標(biāo)，其所受威脅主要來自有價值信息造竊取、業(yè)務(wù)系統(tǒng)遭到癱瘓性攻擊、WEB服務(wù)器遭受控制性攻擊等。當(dāng)前，仿冒網(wǎng)頁、拒絕服務(wù)攻擊等形式已經(jīng)形成成熟的地下產(chǎn)業(yè)鏈，而且這種產(chǎn)業(yè)鏈正呈增長的趨勢，網(wǎng)頁篡改、網(wǎng)站后門等攻擊事件頻發(fā)，黨政機關(guān)、科研機構(gòu)、重要行業(yè)單位網(wǎng)站成為黑客組織的首選重點攻擊目標(biāo)。

（2）植入后門等攻擊方式持續(xù)增加。數(shù)據(jù)表明，2015年我國有75028個網(wǎng)站被植入后門，與2014年相比增長86.7%，其中有3514個政府網(wǎng)站，較2014年增長130%。其中3.1萬余個境外IP地址通過植入后門對境內(nèi)6.0萬余個網(wǎng)站實施遠程控制，境外控制端IP地址和所控制境內(nèi)網(wǎng)站數(shù)量分別較2014年增長63%和82%，而位于美國的4361個IP地址通過植入后門控制了我國境內(nèi)11245個網(wǎng)站，入侵網(wǎng)站數(shù)量居首位。

（3）服務(wù)器安全面臨面臨未知攻擊增多。針對政府網(wǎng)站W(wǎng)eb服務(wù)器的各類各類網(wǎng)頁木馬、主流病毒、ARP攻擊、Web攻擊（抗CC）、DDOS攻擊、暴力破解、惡意篡改與刪除注冊表行為增多。

2 政府網(wǎng)站信息安全應(yīng)對措施

針對以上安全形勢問題，政府網(wǎng)站信息安全形勢不容樂觀，采取必要措施加強安全已經(jīng)刻不容緩。網(wǎng)絡(luò)空間安全問題在黨的十八大報告中，首次作為三個國家安全之一提出，我們有必要采取有效措施，構(gòu)建高效、科學(xué)、技術(shù)安全的網(wǎng)絡(luò)安全體系，以保障國家安全。

2.1 構(gòu)建科學(xué)的管理體制，完善管理機制。首先，政府相關(guān)部門需要創(chuàng)新觀點和思想，對技術(shù)保障部門不宜用行政手段現(xiàn)在管理，行政機關(guān)更多地把握原則性問題，提出安全保障要求，具體的技術(shù)實施方面應(yīng)當(dāng)適當(dāng)放權(quán)，交由有技術(shù)實力的技術(shù)部門具體實施，實現(xiàn)原則管理與日常技術(shù)性支持相融合的高效科學(xué)管理機制。其次，政府的技術(shù)部門應(yīng)當(dāng)加強自身組織建設(shè)，引入IT科技公司管理機制模式，創(chuàng)建人才培養(yǎng)、人才激勵機制，培養(yǎng)人才、鍛煉人才，做到留得住、用得上、用得好、有發(fā)展，形成良好的人才培養(yǎng)、鍛煉、提升、發(fā)展良性循環(huán)模式，練好內(nèi)功，擔(dān)當(dāng)起安全保障重任。

2.2 技術(shù)上可以采取政府購買服務(wù)的模式，面向社會引入高水平安全保障力量，提升安全保障品質(zhì)。傳統(tǒng)的政府網(wǎng)站信息安全保障體制和機制已經(jīng)不適應(yīng)形勢發(fā)展需要，可在安全保障方面采取政府采購的模式，面向社會引入技術(shù)實力雄厚的專業(yè)安全技術(shù)公司提供服務(wù)，以提升安全信息保障水平。此舉既可以解決技術(shù)滯后的致命難題，同時又因為采購服務(wù)，不需在人才方面大力投入，節(jié)省了資金，從而可以實現(xiàn)用有限的經(jīng)費做更多事情、更好事情的目標(biāo)。

2.3 產(chǎn)業(yè)化運作，打造社會化信息安全新局面。相對社會企業(yè)而言，政府部門有相對較高的可信任度和影響力，安全信息技術(shù)提供商比較愿意跟政府打交道，以求在一方站穩(wěn)腳跟、開拓市場。政府部門可以利用自身優(yōu)勢，深入研究本地信息安全形勢和安全保障市場，選擇有實力、技術(shù)力量雄厚的龍頭企業(yè)，形成戰(zhàn)略合作伙伴關(guān)系，培育安全信息產(chǎn)業(yè)實現(xiàn)產(chǎn)業(yè)的本地化轉(zhuǎn)化，幫助企業(yè)開拓市場、帶動地方經(jīng)濟發(fā)展的同時，有效解決自身的信息安全需求。

2.4 完善人才機構(gòu)，形成長效人才機制。任何事業(yè)的成功離不開人才，進入21世紀(jì)后人才的重要性日益呈現(xiàn)，重視人才、培養(yǎng)人才、留住人才、發(fā)展人才最終才能發(fā)展事業(yè)。應(yīng)進一步加強人才教育、培養(yǎng)方面的工作，提升整個社會的重視人才的氛圍，為政府信息安全乃至社會發(fā)展集聚人才、儲備人才，準(zhǔn)備力量應(yīng)當(dāng)將來的各種挑戰(zhàn)。

3 結(jié)束語

信息時代最大的特征是網(wǎng)絡(luò)空間的快速增長和虛擬與現(xiàn)實的不斷融合，信息安全已經(jīng)成為影響社會發(fā)展國家安全的重中之重，保障信息安全任重道遠，需要我們從思想觀念上不斷創(chuàng)新，在工作機制和體制上不斷創(chuàng)新，在人才培養(yǎng)使用模式上不斷創(chuàng)新，以創(chuàng)新不息奮斗不停的精神為實現(xiàn)中國夢貢獻力量。