誰來保衛(wèi)政府網(wǎng)站的安全

王元元

政府網(wǎng)站的后期更新與安全維護的基本缺失，使其近乎在互聯(lián)網(wǎng)世界“裸奔”

近日，江蘇常州警方偵破一起網(wǎng)絡售賣教師資格證的案件。

在警方公布的信息里，一個細節(jié)尤其引人注目：非法制證者通過黑客團隊，以漏洞掃描、上傳木馬程序等手段“黑”入政府官網(wǎng)，并將證件驗證窗口鏈接至售假團伙自家網(wǎng)站。

“這一犯罪手法，目前在國內尚屬首例?！背Ｖ菥降墓嬷袑懙馈?/p>

無獨有偶，2016年在社會上引起軒然大波的徐玉玉被電信詐騙致死案背后，同樣是網(wǎng)絡黑客作祟。

公訴機關的指控顯示，19歲的黑客杜某通過植入木馬等方式，非法入侵山東省2016年普通高等學校招生考試信息平臺網(wǎng)站，竊取包括徐玉玉在內的64萬余條2016年山東省高考考生個人信息，并對外出售牟利。

近年來，類似公共服務類網(wǎng)站被攻擊，從而導致民眾個人信息泄露的案件層出不窮。

無論是常州教師資格證網(wǎng)絡售假案，還是徐玉玉案，都暴露出政府網(wǎng)站的安全防護薄弱。

多位接受《瞭望東方周刊》采訪的網(wǎng)絡安全業(yè)內人士及專家直言，包括政府網(wǎng)站在內的公共服務類網(wǎng)站的安全問題長久以來都被忽視了，這些網(wǎng)站當前的安全形勢仍十分嚴峻。

“公共服務類網(wǎng)站的安全問題應該引起大家的高度重視，并拿出具體措施加以解決?！北本┼]電大學互聯(lián)網(wǎng)治理與法律研究中心副主任謝永江在接受《瞭望東方周刊》采訪時強調。

平均每個縣區(qū)開設30個政府網(wǎng)

上世紀90年代，電子政務開始發(fā)軔。

因其能夠極大地降低行政成本，同時提升政府管理、公共服務的效率，得到各國政府的大力支持和推動。中國亦是如此。

從本世紀初，中國公共服務觸網(wǎng)開始，此后電子政務市場規(guī)模不斷擴大。

綜合行業(yè)研究機構迪賽顧問和智研咨詢的數(shù)據(jù)：2006年以來，中國電子政務的市場規(guī)模一直保持著15%以上的增長速度，遠遠高出同期的GDP 增速；到2010年，其市場規(guī)模首次突破1000億元。

“2016 年時，中國電子政務的市場規(guī)模已經(jīng)達到了2569億元，比2010年翻了一番。”阿里巴巴集團安全部總監(jiān)虞煜軍告訴《瞭望東方周刊》。

在這場轟轟烈烈的電子政務普及浪潮中，興建政府網(wǎng)站成為許多地方政府的第一選擇。從中央到縣區(qū)、鄉(xiāng)鎮(zhèn)的各級政府部門，海關、稅務、教育、審計等各個系統(tǒng)，紛紛開設自己的政府網(wǎng)站。

“這樣幾年下來，攤子越鋪越大，網(wǎng)站越建越多。”謝永江說。

2015年，國務院辦公廳組織了第一次全國政府網(wǎng)站普查，結果顯示：各地區(qū)、各部門已開設政府網(wǎng)站8.4萬多個。

“當年中國有2861個縣區(qū)，就相當于平均每個縣區(qū)就開設了近30個政府網(wǎng)站?！敝x永江說。

然而，這些網(wǎng)站的情況并不盡如人意。2015年，國務院辦公廳在全國政府網(wǎng)站普查中發(fā)現(xiàn)，一些政府網(wǎng)站空白欄目數(shù)超過20個，一些網(wǎng)站的欄目7年未更新。

“事實上，這些常年不更新的‘僵尸官網(wǎng)在政府網(wǎng)中屢見不鮮。更嚴重的是，一些網(wǎng)站還會被黑客入侵，變得面目難辨?！敝袊畔踩珳y評中心總工程師王軍對《瞭望東方周刊》說。

近1500家政府網(wǎng)站被植入后門

據(jù)謝永江觀察，在政府網(wǎng)站建設浪潮中，各方關注的焦點仍然是大規(guī)模的硬件和網(wǎng)絡設備建設，而對軟件和服務的投入不夠充分。

公開數(shù)據(jù)顯示，2014年，中國1915億元的電子商務市場規(guī)模中，其中硬件和網(wǎng)絡設備的市場份額占比超過51%?！霸偻斑@一比例還要更高?！庇蒽宪娬f。

因此，缺乏后期建設和安全維護的政府網(wǎng)站漏洞百出。從近年來頻發(fā)的各類網(wǎng)絡詐騙事件來看，也能看出公共服務類網(wǎng)站中尤以政府網(wǎng)站的安全問題最為突出。

國家互聯(lián)網(wǎng)應急中心發(fā)布的監(jiān)測數(shù)據(jù)顯示：2014年，國內共有1763家政府網(wǎng)站被篡改攻擊，1529家政府網(wǎng)站被植入“后門”，合計有3292家政府網(wǎng)站已存安全漏洞。

工信部下屬的中國軟件測評中心發(fā)布的《2015年中國政府網(wǎng)站績效評估總報告》顯示，2015年評估范圍內的政府網(wǎng)站中：超過90%存在各種危險等級的安全漏洞；31%的網(wǎng)站被劃入極度危險序列；17%的網(wǎng)站被劃入高度危險序列。

上述報告還指出，近30%的網(wǎng)站安全漏洞數(shù)量超過30個、有60余家網(wǎng)站的安全漏洞數(shù)量超過100個。

而《2016年中國政府網(wǎng)站績效評估總報告》也顯示，評估范圍內的70個部委、32個?。ㄊ?、區(qū)）、330個市以及470余個區(qū)縣的政府網(wǎng)站中共發(fā)現(xiàn)漏洞1190個，其中高危漏洞152個，中危漏洞780個。

國家互聯(lián)網(wǎng)應急中心的監(jiān)控數(shù)據(jù)顯示：2017年1～8月，全國被篡改的政府網(wǎng)站數(shù)量為1232個，被植入后門的政府網(wǎng)站數(shù)量為1468個，整體數(shù)量同比下降了33%。

“即便如此，存在安全隱患的政府網(wǎng)站的絕對數(shù)目仍然不小?！卑⒗锇桶图瘓F安全部總監(jiān)連斌告訴《瞭望東方周刊》。

王軍也認為，盡管過去幾年，政府網(wǎng)站的安全問題有所改善，但總體形勢依然非常嚴峻，“其他公共服務類網(wǎng)站安全情況也大多如此，都不容樂觀。”

不止是信息泄露

連斌認為，在政府網(wǎng)站的建設潮中，公共服務類網(wǎng)站尤其是政府網(wǎng)站安全形勢惡化有其必然性。

“一些政府部門在做網(wǎng)站時很盲目，就是為了完成任務，但卻并不太清楚如何把網(wǎng)站做好?！彼f。

不過，謝永江也坦陳，一些政府部門有時也“心有余而力不足”，即便想把網(wǎng)站做好，也常因自身缺乏專業(yè)的網(wǎng)絡技術和安全人員而作罷，最終只得將網(wǎng)站的建設和維護外包給市場上的網(wǎng)絡公司。

這就帶來了更嚴重的問題。

“因為財政預算低以及缺乏網(wǎng)絡安全意識，有些政府部門會選擇費用低的小公司幫它們做網(wǎng)站，這些公司技術力量都比較弱，網(wǎng)站安全等級也不高，自然很容易被黑客攻破?！鲍C豹移動安全工程師李鐵軍告訴《瞭望東方周刊》。

此外，這些公司跟政府之間往往是一錘子買賣，網(wǎng)站建好就等于完成任務，更為重要的后期網(wǎng)站更新與安全維護基本缺失，使得這些政府網(wǎng)站近乎在互聯(lián)網(wǎng)世界“裸奔”。

“政府網(wǎng)站在給民眾提供各類服務的過程中，收集了大量個人信息存儲在后臺，網(wǎng)站一旦被黑客攻破，個人信息就會泄露，由此引發(fā)一系列針對個人的網(wǎng)絡犯罪?！卑⒗锇桶图瘓F副總裁余偉民說。

教育、公安、人力資源和社會保障等與民眾日常生活密切的政府職能部門，一旦因網(wǎng)絡安全問題導致信息泄露，帶來的后果不堪設想。徐玉玉被電信詐騙致死案就是一個典型例子。

余偉民認為，其危害不止是會導致個人信息泄露，也可能造成政府內部的信息泄露，嚴重的或許會危及國家安全，“即便只是網(wǎng)站癱瘓，也因會暫時無法提供服務而影響到政府的形象和公信力?！?h4>管理和技術要齊頭并進

“無論是從國家安全層面，還是從個人信息泄露、網(wǎng)絡犯罪層面，政府都必須高度重視包括政府網(wǎng)站在內的公共服務類網(wǎng)站安全問題?！庇鄠ッ窀嬖V本刊記者。

2017年6月8日，國務院辦公廳發(fā)布《政府網(wǎng)站發(fā)展指引》，明確要求落實網(wǎng)絡安全等級保護制度，建立安全監(jiān)測預警和應急響應機制，對攻擊、侵入和破壞政府網(wǎng)站的行為以及影響政府網(wǎng)站正常運行的意外事故進行防范，確保網(wǎng)站穩(wěn)定、可靠、安全運行。

當然，這還不夠。

接受《瞭望東方周刊》記者采訪的業(yè)內專家建議，進一步明確責任劃分，將網(wǎng)站的安全責任逐級落實到具體部門或者部門內部機構上，做到專人專責。同時，定期對相關人員進行培訓，以增強后者的網(wǎng)絡安全意識。

李鐵軍認為，主管部門可以考慮建立一個全國性的網(wǎng)絡安全監(jiān)管平臺，將各級政府網(wǎng)站都納入該平臺之中，實行24小時在線監(jiān)控，及時發(fā)現(xiàn)問題、處理問題。

未來，政府還可以此為樣本，將其他公共服務類網(wǎng)站如學校、銀行、公益機構等按性質、行業(yè)分類，每個類別的網(wǎng)站都可建立一個全國性的網(wǎng)絡安全監(jiān)管平臺。

虞煜軍則認為，主管部門應制定一套明確的準入標準，篩選出專業(yè)的網(wǎng)絡技術公司，建立一個名單庫供包括政府網(wǎng)站、學校、公益機構在內的所有公共服務類網(wǎng)站選擇，以確保外包公司有絕對的實力和能力保證網(wǎng)站安全。

“將一些需要保密的個人信息、機構內部信息存儲到專業(yè)網(wǎng)絡技術公司的云盤上?！蓖踯娊ㄗh。

對此，余偉民表示，目前很多公共服務類網(wǎng)站的信息都存在一些安全級別不高的本地服務器里，極易被攻擊，而像阿里巴巴旗下的阿里云等云盤服務則擁有更高級別的安全防護技術，服務器防抗攻擊的能力更強。

同時，還可以使用HTTPS技術，以解決網(wǎng)站的加密通信和真實性問題?！叭缃瘢琀TTPS和SSL證書已經(jīng)成為英美政府網(wǎng)站的標配?！敝x永江介紹道。

美國政府和英國政府分別于2015年6月、2016年10月要求該國所有的政府部門必須使用HTTPS。

目前，國內已有部分政府網(wǎng)站安裝了SSL證書，取得了良好效果。受訪專家建議，主管部門可考慮將該技術的應用擴展到全國范圍。