淺析加強(qiáng)政府網(wǎng)站安全的對策與建議

張業(yè)濤

(河北省工業(yè)和信息化廳信息中心，河北 石家莊 050000)

政府網(wǎng)站是政府信息公開、聯(lián)系群眾的重要平臺，是構(gòu)建高效、安全政府服務(wù)體系的關(guān)鍵。2017年《河北省人民政府辦公廳關(guān)于印發(fā)河北政府網(wǎng)站管理辦法的通知》明確提出要加強(qiáng)政府網(wǎng)站建設(shè)，提高網(wǎng)站信息安全。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，越來越多的不法分子通過各種手段威脅政府網(wǎng)站信息，因此基于日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，我們必須要加強(qiáng)政府網(wǎng)站安全管理，以此實(shí)現(xiàn)我國信息強(qiáng)國戰(zhàn)略目標(biāo)。

一、政府網(wǎng)站安全所面臨的嚴(yán)峻形勢

根據(jù)中國軟件評測中心發(fā)布的相關(guān)數(shù)據(jù)顯示，2017年評估范圍內(nèi)的政府網(wǎng)站中超過80%存在各種危險(xiǎn)等級的安全漏洞，其中全國被篡改的政府網(wǎng)站數(shù)量為1232個(gè)，被植入后門的政府網(wǎng)站數(shù)量為1468個(gè)?？梢娢覈W(wǎng)站安全形勢非常嚴(yán)峻。從近些年我國政府網(wǎng)站被攻擊的現(xiàn)象分析，政府網(wǎng)站安全所面臨的嚴(yán)峻形勢呈現(xiàn)出以下特點(diǎn)：一是攻擊者的手段日益隱蔽。越來越多的網(wǎng)絡(luò)攻擊者往往是選擇知名度不高的網(wǎng)站作為依托去攻擊最終的政府網(wǎng)站，以此獲得相應(yīng)的信息或者目的；二是攻擊者從網(wǎng)絡(luò)層面轉(zhuǎn)向應(yīng)用層進(jìn)行滲透攻擊；三是攻擊者從最初的個(gè)人愛好轉(zhuǎn)變?yōu)橐垣@取經(jīng)濟(jì)利益為目的。例如網(wǎng)絡(luò)黑客攻擊政府網(wǎng)站，改變政府網(wǎng)站內(nèi)容，以此達(dá)到宣傳自己的目的。

二、政府網(wǎng)站安全存在問題

政府網(wǎng)站安全是維護(hù)社會穩(wěn)定、貫徹黨的十九大精神的重要體現(xiàn)?；诙嗄甑墓ぷ鲗?shí)踐，政府網(wǎng)站安全所存在主要問題集中在以下幾個(gè)方面：

(一)政府網(wǎng)站管理機(jī)制不健全

政府網(wǎng)站是外界了解政府信息的重要平臺，也是群眾客觀評價(jià)政府工作的主要形式。然而由于我國政府網(wǎng)站存在數(shù)量多、建設(shè)重復(fù)等問題，導(dǎo)致政府網(wǎng)站缺乏統(tǒng)一的管理。例如部分政府網(wǎng)站內(nèi)容常年沒有更新。由此可見我國政府網(wǎng)站存在管理制度不嚴(yán)格的問題。尤其是缺乏完善的政府網(wǎng)站安全績效考核機(jī)制，導(dǎo)致政府部門對于網(wǎng)站的安全管理存在責(zé)任心不夠的問題。

(二)政府網(wǎng)站安全漏洞問題突出

近些年政府網(wǎng)絡(luò)安全漏洞而引發(fā)的網(wǎng)絡(luò)安全問題較為突出，例如跨站腳本、SQL注入占比高達(dá)80%以上，其主要是不法分子非法竊取網(wǎng)站敏感數(shù)據(jù)或者網(wǎng)絡(luò)釣魚等。造成該問題的原因是由于在政府網(wǎng)站開發(fā)編制過程中沒有遵循安全編碼、沒有對輸入的特殊字符進(jìn)行過濾等；另外第三方軟件高危漏洞修復(fù)的周期比較長，容易造成不法軟件程序的入侵。

(三)政府網(wǎng)站管理人員安全意識淡薄，網(wǎng)站外包現(xiàn)象普遍存在

政府網(wǎng)站安全直接關(guān)系到社會的穩(wěn)定，然而目前我國政府網(wǎng)站，尤其是縣鄉(xiāng)政府部門的網(wǎng)站安全存在管理人員安全意識淡薄、網(wǎng)絡(luò)維修外包等現(xiàn)象。例如縣鄉(xiāng)政府部門由于缺乏高端計(jì)算機(jī)專業(yè)人才，因此導(dǎo)致在網(wǎng)絡(luò)維護(hù)中不得不采取外包的方式，這樣增加了政府機(jī)密數(shù)據(jù)的泄露等。

三、加強(qiáng)政府網(wǎng)站安全的對策建議

政府網(wǎng)站安全關(guān)系到政府服務(wù)群眾的工作效率，關(guān)系到政府信息公開透明程度。加強(qiáng)政府網(wǎng)站安全管理是政府機(jī)關(guān)信息中心工作人員的基本職責(zé)，結(jié)合多年的工作實(shí)踐經(jīng)驗(yàn)，加強(qiáng)政府網(wǎng)站安全必須要做好以下工作：

(一)完善政府網(wǎng)站安全管理制度，強(qiáng)化崗位責(zé)任

基于政府網(wǎng)站建設(shè)的情況，國家、省市層面都建立了相對完善的政府網(wǎng)站管理制度，《河北省人民政府辦公廳關(guān)于印發(fā)河北政府網(wǎng)站管理辦法的通知》明確提出要強(qiáng)化網(wǎng)站安全管理。因此針對政府網(wǎng)站安全所面臨的形勢，我國必須要進(jìn)一步完善政府網(wǎng)站管理制度，強(qiáng)化制度的實(shí)施力度。例如針對政府部門網(wǎng)站長期不更新或者重復(fù)建設(shè)的問題，政府部門要建立績效考核制度，將網(wǎng)站安全管理工作納入到政府績效考核體系中，以此強(qiáng)化政府主管領(lǐng)導(dǎo)的責(zé)任。

(二)防范網(wǎng)站安全漏洞，加強(qiáng)政府網(wǎng)監(jiān)測

針對政府網(wǎng)站所存在的安全漏洞一方面要從技術(shù)層面做好防護(hù)工作。例如在政府網(wǎng)站開發(fā)的過程中要編制安全的編碼，網(wǎng)站開發(fā)人員必須要使用數(shù)據(jù)庫參數(shù)化查詢方式SQL注入漏洞；另一方面要加強(qiáng)網(wǎng)站基礎(chǔ)設(shè)施的安全防護(hù)。網(wǎng)站基礎(chǔ)設(shè)施的安全是直接影響網(wǎng)站安全的，例如政府網(wǎng)站必須要嚴(yán)禁網(wǎng)站系統(tǒng)對外開放非業(yè)務(wù)需求的服務(wù)，以此達(dá)到降低安全隱患的目的。當(dāng)然網(wǎng)站監(jiān)管部門必須要加強(qiáng)對網(wǎng)絡(luò)的監(jiān)測力度，及時(shí)發(fā)現(xiàn)問題及時(shí)解決。同時(shí)部署數(shù)據(jù)災(zāi)備系統(tǒng)，對網(wǎng)站和關(guān)鍵應(yīng)用系統(tǒng)數(shù)據(jù)進(jìn)行定期備份，確保關(guān)鍵數(shù)據(jù)安全，防止造成無法挽回的損失。

(三)加強(qiáng)人才隊(duì)伍建設(shè)，建立網(wǎng)站應(yīng)急處理體系

基于政府網(wǎng)站安全所面臨的新問題，我國必須要加強(qiáng)人才隊(duì)伍的建設(shè)：一是政府部門要加強(qiáng)對網(wǎng)站管理人員的在崗教育培訓(xùn)，通過培訓(xùn)提高他們的專業(yè)技能和綜合素質(zhì)。例如基于當(dāng)前政府網(wǎng)站整合力度的提升，網(wǎng)站管理人員必須要掌握網(wǎng)站維護(hù)能力，尤其是要掌握應(yīng)急信息的安全維護(hù)能力；二是建立政府網(wǎng)站專項(xiàng)應(yīng)急預(yù)案，以保證政府網(wǎng)站在事故發(fā)生時(shí)得到快速、及時(shí)處理；三是要積極引進(jìn)高端人才。政府信息中心要加大對高端人才的引進(jìn)力度，通過高端人才帶動政府網(wǎng)站安全管理水平。

四、結(jié)束語

基于我國電子政務(wù)平臺建設(shè)規(guī)模的不斷提升，各種網(wǎng)絡(luò)隱患也隨之不斷增多，例如病毒入侵、黑客攻擊等等，給政府網(wǎng)站的安全管理帶來巨大的安全隱患。為切實(shí)保護(hù)政府網(wǎng)站，為公眾提供安全、可靠的網(wǎng)絡(luò)環(huán)境，政府網(wǎng)站運(yùn)行管理部門必須要采取有效的網(wǎng)絡(luò)安全手段防范網(wǎng)絡(luò)安全隱患，凈化政府網(wǎng)站環(huán)境，保證政府網(wǎng)站信息的安全，推動電子政務(wù)的發(fā)展。