淺談?wù)T(mén)戶網(wǎng)站網(wǎng)絡(luò)安全防護(hù)

王定玖

摘要：政府門(mén)戶網(wǎng)站作為政府信息公開(kāi)的主渠道，是公開(kāi)信息，對(duì)外服務(wù)，宣傳政府形象，實(shí)施電子政務(wù)的主要平臺(tái)。信息技術(shù)的更迭發(fā)展，在為社會(huì)大眾提供便利的同時(shí)，也帶來(lái)了前所未有的挑戰(zhàn)，政府網(wǎng)站面臨著巨大的網(wǎng)絡(luò)安全威脅。政府門(mén)戶網(wǎng)站集約化平臺(tái)作為大數(shù)量的關(guān)鍵信息基礎(chǔ)設(shè)施，必須特別重視網(wǎng)絡(luò)安全防護(hù)和保障。文章從做好政府門(mén)戶網(wǎng)站網(wǎng)絡(luò)安全防護(hù)的必要性為切入點(diǎn)，分析了影響政府網(wǎng)站網(wǎng)絡(luò)安全的因素，并提出幾點(diǎn)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)技術(shù)。

關(guān)鍵詞：政府門(mén)戶網(wǎng)站;網(wǎng)絡(luò)安全防護(hù);集約化;技術(shù)

中圖分類(lèi)號(hào)：TP311 ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）35-0032-02

政府門(mén)戶網(wǎng)站是政府信息公開(kāi)，服務(wù)大眾的窗口，同時(shí)也是群眾與政府互動(dòng)的重要渠道。 隨著信息技術(shù)的日益發(fā)展，在信息高度共享過(guò)程中，由于黑客和網(wǎng)絡(luò)病毒的入侵，造成網(wǎng)絡(luò)癱瘓，網(wǎng)站無(wú)法訪問(wèn)，政府門(mén)戶網(wǎng)站的網(wǎng)頁(yè)（首頁(yè)）內(nèi)容被篡改，嚴(yán)重影響人們對(duì)政府網(wǎng)站公信力的認(rèn)可。同時(shí)，網(wǎng)站受到攻擊，政府部分重要信息泄露，黑客在網(wǎng)站上發(fā)布虛假信息，則會(huì)造成嚴(yán)重的政治、社會(huì)事件。因此，我們必須主動(dòng)求變，應(yīng)對(duì)挑戰(zhàn)，多措并舉，重點(diǎn)加強(qiáng)網(wǎng)站網(wǎng)絡(luò)安全防護(hù)工作，最終實(shí)現(xiàn)政府門(mén)戶網(wǎng)站安全穩(wěn)定運(yùn)行，提升政府網(wǎng)上服務(wù)能力。

1 強(qiáng)化政府門(mén)戶網(wǎng)站安全防護(hù)的必要性

作為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施，縣級(jí)（含）以上政府門(mén)戶網(wǎng)站面向公眾提供網(wǎng)絡(luò)信息服務(wù)，具有公開(kāi)化，透明化的特征，是衡量政府現(xiàn)代化管理標(biāo)準(zhǔn)的一項(xiàng)重要指標(biāo)。政府門(mén)戶網(wǎng)站是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)之一，而一旦發(fā)生網(wǎng)絡(luò)安全事件，則可能造成十分嚴(yán)重的后果。加強(qiáng)網(wǎng)絡(luò)安全防護(hù)有助于提升政府門(mén)戶網(wǎng)站的安全性，保障網(wǎng)站安全穩(wěn)定運(yùn)行。2020 年上半年，受新冠疫情影響，DDoS 攻擊規(guī)模有所趨緩。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2020 年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析報(bào)告》顯示，每日峰值流量超過(guò) 10Gbps 的大流量 DDoS攻擊事件數(shù)量與上年基本持平，約 220 起。上述分析報(bào)告還顯示，網(wǎng)頁(yè)仿冒、網(wǎng)站后門(mén)、網(wǎng)頁(yè)篡改等網(wǎng)站安全問(wèn)題令人擔(dān)憂。我國(guó)境內(nèi)遭篡改的網(wǎng)站有約 7.4 萬(wàn)個(gè)，其中被篡改的政府網(wǎng)站有 318 個(gè)。因此，我們要做好網(wǎng)站網(wǎng)絡(luò)安全防護(hù)，有效抵御各種惡意攻擊，保護(hù)信息數(shù)據(jù)的安全性，網(wǎng)絡(luò)安全成為政府門(mén)戶網(wǎng)站建設(shè)的一項(xiàng)重要內(nèi)容。

2 分析影響政府門(mén)戶網(wǎng)站網(wǎng)絡(luò)安全的因素

當(dāng)前我們邁入大數(shù)據(jù)信息時(shí)代，政府門(mén)戶網(wǎng)站的重要性日益凸顯，并且所承載的業(yè)務(wù)數(shù)量劇增，網(wǎng)站面向社會(huì)的性質(zhì)也發(fā)生了變化，頻繁發(fā)生的網(wǎng)絡(luò)釣魚(yú)、篡改網(wǎng)頁(yè)、SQL注入等針對(duì)政府門(mén)戶網(wǎng)站的攻擊事件，成為制約網(wǎng)站健康發(fā)展的一個(gè)巨大障礙 [1]。

2.1 基層網(wǎng)站散亂

縣級(jí)各部門(mén)及鄉(xiāng)鎮(zhèn)、街道自建的政府網(wǎng)站平臺(tái)，信息化能力弱，支撐網(wǎng)站的運(yùn)營(yíng)能力更是薄弱，使得一些網(wǎng)站形同虛設(shè)。加之部分領(lǐng)導(dǎo)者網(wǎng)絡(luò)安全防護(hù)意識(shí)孱弱，用于網(wǎng)站網(wǎng)絡(luò)安全方面的經(jīng)費(fèi)短缺，硬件設(shè)施落后。立足于政府的角度來(lái)分析，在網(wǎng)絡(luò)安全防護(hù)方面缺乏強(qiáng)有力的監(jiān)管力度，沒(méi)有將其列入評(píng)估政府網(wǎng)站的重要指標(biāo)。沒(méi)有定期對(duì)網(wǎng)站進(jìn)行維護(hù)，甚至還出現(xiàn)了網(wǎng)站信息泄露或是篡改后，很長(zhǎng)一段時(shí)間無(wú)人問(wèn)津，嚴(yán)重影響了政府形象[2]。

2.2 技術(shù)力量薄弱

網(wǎng)站管理人員的安全意識(shí)和防護(hù)能力存在問(wèn)題，網(wǎng)絡(luò)環(huán)境軟硬件安全配置有待提升。網(wǎng)站美工設(shè)計(jì)、代碼編寫(xiě)、服務(wù)器搭建、維護(hù)管理等涉及多個(gè)領(lǐng)域，網(wǎng)站建設(shè)是一項(xiàng)綜合性的工程，基層網(wǎng)站管理員很難獨(dú)自適應(yīng)當(dāng)前網(wǎng)絡(luò)安全的需求 [3]。在進(jìn)行網(wǎng)站系統(tǒng)操作的過(guò)程中，隨意點(diǎn)開(kāi)來(lái)歷不明、不安全的網(wǎng)頁(yè)，為網(wǎng)站的安全隱患提供了滋生的土壤，網(wǎng)絡(luò)黑客抓住漏洞，入侵網(wǎng)站，盜取重要信息，甚至?xí)诰W(wǎng)站中植入病毒，導(dǎo)致整個(gè)網(wǎng)站癱瘓，破壞整個(gè)網(wǎng)站的運(yùn)行，制約相關(guān)工作的開(kāi)展。

2.3 網(wǎng)站內(nèi)核良莠不齊

用于建站的源代碼必須安全高效，模塊齊全，系統(tǒng)需不斷升級(jí)更新。選擇了網(wǎng)站管理系統(tǒng)內(nèi)核，接下來(lái)就是裝修，僅需熟悉HTML、CSS等語(yǔ)言，即可完成網(wǎng)站首頁(yè)、欄目頁(yè)、內(nèi)容頁(yè)的網(wǎng)頁(yè)模板的美化設(shè)計(jì)。系統(tǒng)源代碼不夠優(yōu)化，用戶體驗(yàn)會(huì)打折扣，本身存在安全漏洞，甚至留有后門(mén)，在網(wǎng)站系統(tǒng)開(kāi)發(fā)時(shí)沒(méi)有規(guī)避來(lái)歷不明的程序代碼，網(wǎng)站上線前也沒(méi)有及時(shí)檢測(cè)，都可能帶來(lái)安全隱患問(wèn)題。另外，由于技術(shù)標(biāo)準(zhǔn)各不相同，政府網(wǎng)站的數(shù)據(jù)很難實(shí)現(xiàn)共享。

3 加強(qiáng)政府門(mén)戶網(wǎng)站網(wǎng)絡(luò)安全防護(hù)方法

3.1 走網(wǎng)站集約化道路

2018年，《國(guó)務(wù)院辦公廳關(guān)于印發(fā)<政府網(wǎng)站集約化試點(diǎn)工作方案>的通知》國(guó)辦函〔2018〕71號(hào)，要求安全技術(shù)措施與集約化平臺(tái)同步規(guī)劃、同步建設(shè)、同步運(yùn)行，并確保集約化平臺(tái)支持互聯(lián)網(wǎng)協(xié)議第6版（IPv6）。2019年12月，作為試點(diǎn)地區(qū)之一的湖南省常德市政府網(wǎng)站集約化平臺(tái)正式上線試運(yùn)行。集約化平臺(tái)以常德市政府門(mén)戶網(wǎng)站為總?cè)肟冢铣５率姓?wù)服務(wù)平臺(tái)，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證、千人千網(wǎng)、信息資源共享共用，實(shí)現(xiàn)了全市政府網(wǎng)站標(biāo)準(zhǔn)體系、技術(shù)平臺(tái)、安全防護(hù)、運(yùn)維監(jiān)管四個(gè)方面的統(tǒng)一。全市關(guān)停了縣級(jí)部門(mén)和鄉(xiāng)鎮(zhèn)街道等基層網(wǎng)站。平臺(tái)僅給站群?jiǎn)挝痪W(wǎng)站開(kāi)放信息錄入權(quán)限，網(wǎng)站設(shè)置、模板修改等權(quán)限則不開(kāi)放，規(guī)避了網(wǎng)站站群管理員人為操作帶來(lái)的安全隱患。同時(shí)，在網(wǎng)信、公安等部門(mén)的指導(dǎo)下，加強(qiáng)技術(shù)防護(hù)、監(jiān)測(cè)預(yù)警與應(yīng)急處置。以平臺(tái)站群上的16個(gè)網(wǎng)站填報(bào)并公布的《2020年度政府網(wǎng)站工作年度報(bào)表》為樣本數(shù)據(jù)，其中“安全防護(hù)”一欄“安全檢測(cè)評(píng)估次數(shù)”均為12次，發(fā)現(xiàn)整改問(wèn)題都為0，都有“建立安全監(jiān)測(cè)預(yù)警機(jī)制”“開(kāi)展應(yīng)急演練”“明確網(wǎng)站安全責(zé)任人”。平臺(tái)運(yùn)行一年多，目前沒(méi)有發(fā)現(xiàn)安全問(wèn)題，各網(wǎng)站保持運(yùn)行良好。政府網(wǎng)站集約化，打破“信息孤島”，拆除“數(shù)據(jù)煙囪”，提升了政府網(wǎng)上服務(wù)群眾能力，也提高了各個(gè)站群?jiǎn)挝痪W(wǎng)站網(wǎng)絡(luò)安全防護(hù)水平。

3.2 系統(tǒng)安全加固

集約化平臺(tái)必須加強(qiáng)組織領(lǐng)導(dǎo)工作，管理技術(shù)人員保證7×24小時(shí)值班讀網(wǎng)，隨時(shí)監(jiān)控網(wǎng)站運(yùn)行情況，發(fā)現(xiàn)網(wǎng)站或頁(yè)面信息異常，立即進(jìn)行處理。落實(shí)惡意代碼防范管理、安全事件處置、網(wǎng)絡(luò)和系統(tǒng)安全管理、漏洞風(fēng)險(xiǎn)管理等行之有效的安全運(yùn)營(yíng)管理制度（見(jiàn)圖1）。定期檢查監(jiān)測(cè)，反復(fù)開(kāi)展應(yīng)急演練，掌握緊急情況下的風(fēng)險(xiǎn)問(wèn)題處理方式。強(qiáng)化接入管理，關(guān)閉或刪除不必要的應(yīng)用、服務(wù)和端口。計(jì)算機(jī)病毒具有種類(lèi)眾多，傳播速度快，攻擊途徑多樣化，破壞性大的特點(diǎn)。利用殺毒軟件查殺網(wǎng)站服務(wù)器計(jì)算機(jī)病毒、木馬和攜帶病毒的軟件等，從而消除對(duì)網(wǎng)站服務(wù)器帶來(lái)的威脅。殺毒軟件還能修復(fù)被病毒損壞的文件。因此，必須在服務(wù)器操作系統(tǒng)中安裝殺毒軟件，對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行全面監(jiān)測(cè)。發(fā)現(xiàn)已經(jīng)感染病毒的文件，首先要進(jìn)行隔離，并做好記錄備份，再進(jìn)行殺毒處理。殺毒軟件要及時(shí)升級(jí)，保持最新病毒庫(kù)，養(yǎng)成定期殺毒的習(xí)慣，讓網(wǎng)站服務(wù)器免受各種病毒危害。同時(shí)，部署數(shù)據(jù)災(zāi)備系統(tǒng)，對(duì)網(wǎng)站模板、數(shù)據(jù)庫(kù)等關(guān)鍵數(shù)據(jù)定期進(jìn)行備份，防止因病毒入侵或操作失誤，出現(xiàn)數(shù)據(jù)丟失或損壞，造成無(wú)法挽回的損失。網(wǎng)站服務(wù)器的操作系統(tǒng)、網(wǎng)站運(yùn)行環(huán)境及應(yīng)用軟件安裝，遵循最小安裝原則，絕不能安裝一些盜版及破解軟件，以免帶來(lái)安全隱患。同時(shí)，禁用不必要的服務(wù)組件、應(yīng)用插件等，減少可能的沖突和漏洞，并保證操作系統(tǒng)及網(wǎng)站程序相關(guān)補(bǔ)丁的及時(shí)更新。定期對(duì)網(wǎng)站應(yīng)用程序、操作系統(tǒng)及數(shù)據(jù)庫(kù)、管理終端進(jìn)行全面掃描，提煉歸納網(wǎng)站網(wǎng)絡(luò)運(yùn)行過(guò)程中設(shè)備、系統(tǒng)、服務(wù)器存在的薄弱之處，針對(duì)一系列脆弱性問(wèn)題，提出具有可行性的安全加固方案。密切關(guān)注有關(guān)部門(mén)發(fā)布的系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等預(yù)警和通報(bào)信息，并及時(shí)響應(yīng)。在具體的實(shí)施過(guò)程中，做好數(shù)據(jù)庫(kù)、操作系統(tǒng)的優(yōu)化配置，保障核心系統(tǒng)和設(shè)備的加固性，使之滿足安全防護(hù)的需求，保障網(wǎng)站安全穩(wěn)定運(yùn)行。

3.3 落實(shí)等級(jí)保護(hù)

2017年6月1日起正式實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》指出，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，采取必要措施對(duì)攻擊、侵入、竊取、篡改網(wǎng)站等行為進(jìn)行防范[4]。按照網(wǎng)絡(luò)安全法的要求，在網(wǎng)信、公安等部門(mén)的指導(dǎo)下，配合第三方測(cè)評(píng)機(jī)構(gòu)開(kāi)展網(wǎng)站等級(jí)保護(hù)工作，按照定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、自查等規(guī)定程序，逐一落實(shí)到位。對(duì)等級(jí)測(cè)評(píng)查找出來(lái)的系統(tǒng)安全隱患，認(rèn)真進(jìn)行整改，加強(qiáng)技術(shù)防護(hù)和監(jiān)測(cè)預(yù)警與應(yīng)急處置，直至安全達(dá)標(biāo)。

3.4 強(qiáng)化內(nèi)部制度建設(shè)

集約化平臺(tái)建成運(yùn)行后，需要明晰集約化平臺(tái)、站群?jiǎn)挝痪W(wǎng)站管理及外包運(yùn)維管理三者各自的法律責(zé)任。嚴(yán)格落實(shí)國(guó)家網(wǎng)絡(luò)安全法和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的有關(guān)要求，按照 “誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)發(fā)布誰(shuí)負(fù)責(zé)”的規(guī)定，確實(shí)擔(dān)起平臺(tái)建設(shè)、數(shù)據(jù)存儲(chǔ)、業(yè)務(wù)管理、內(nèi)容發(fā)布的安全保障責(zé)任。應(yīng)當(dāng)對(duì)平臺(tái)管理人員、站群?jiǎn)挝痪W(wǎng)站使用人員和外包運(yùn)維人員開(kāi)展定期的安全教育和培訓(xùn)，并且應(yīng)對(duì)網(wǎng)站關(guān)鍵崗位人員進(jìn)行安全背景審查，確保人員安全。必須強(qiáng)化組織構(gòu)架管理、安全運(yùn)營(yíng)管理、制度策略管理，逐步完善網(wǎng)站安全保障體系（見(jiàn)圖1）。

4 結(jié)語(yǔ)

綜上所述，政府門(mén)戶網(wǎng)站集約化平臺(tái)是國(guó)家的關(guān)鍵信息基礎(chǔ)設(shè)施，必須強(qiáng)化組織構(gòu)架管理、安全運(yùn)營(yíng)管理、制度策略管理，逐步完善網(wǎng)站安全保障體系。在復(fù)雜化的網(wǎng)絡(luò)環(huán)境，政府門(mén)戶網(wǎng)站由于數(shù)據(jù)機(jī)密性高、業(yè)務(wù)連續(xù)性要求高等特征，非常容易受到黑客和網(wǎng)絡(luò)病毒的攻擊，導(dǎo)致重要信息被篡改和丟失事件的頻繁發(fā)生，甚至還會(huì)讓整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓。對(duì)此，我們要居安思危、未雨綢繆，制定科學(xué)全面的網(wǎng)絡(luò)安全防護(hù)方案，在傳統(tǒng)安全防護(hù)的基礎(chǔ)上，統(tǒng)籌謀劃，整體設(shè)計(jì)，認(rèn)真思考集約化平臺(tái)將信息基礎(chǔ)設(shè)施集中起來(lái)，可能帶來(lái)的新風(fēng)險(xiǎn)，做好網(wǎng)站的網(wǎng)絡(luò)安全防護(hù)。

參考文獻(xiàn)：

[1] 陳彥達(dá)，丁韋娜，王偉楠.中國(guó)政府部門(mén)網(wǎng)絡(luò)安全保護(hù)研究[J].全球科技經(jīng)濟(jì)瞭望，2020，35（10）：46-55.

[2] 劉冠君.政府事業(yè)單位信息化網(wǎng)絡(luò)安全的實(shí)現(xiàn)[D].大連：大連交通大學(xué)，2016.

[3] 戴東情，毛圣兵，張瑞.政府網(wǎng)站安全監(jiān)管機(jī)制研究[J].網(wǎng)信軍民融合，2020（8）：16-18.

[4] 詹申平，陳建宏.等級(jí)保護(hù)下政府部門(mén)門(mén)戶網(wǎng)站的安全管理措施的應(yīng)用[J].科技創(chuàng)新與應(yīng)用，2019（3）：195-196.

【通聯(lián)編輯：李雅琪】