“互聯(lián)網+政務服務”背景下政府網站安全風險研究

◆張青云

“互聯(lián)網+政務服務”背景下政府網站安全風險研究

◆張青云

（山西省人民政府辦公廳政務信息中心 山西 030006）

隨著當前我國信息技術的發(fā)展，人民的生產以及生活產生了非常大的影響，在這樣的情況下，網絡成了非常常見的一種形式，政府工作自然也不例外，因此“互聯(lián)網+政務服務”當前對我國政府工作效率有了非常大的提升。但是網絡是一把雙刃劍，“互聯(lián)網+政務服務”背景下，政府網站也成了黑客攻擊的主要目標，因此本文主要對此進行分析，希望對相關的從業(yè)者有一定的參考作用。

“互聯(lián)網+政務服務”；政府網站；網絡安全

隨著當前技術手段的發(fā)展，信息設備成了人們日常使用的主要工具之一，在這樣的情況下，很多行業(yè)開始陸續(xù)引入信息技術進入當前的工作之中，政府工作自然也不例外，在這樣的形勢下，我國政府網站的建設已經進入了一個飛速發(fā)展的階段，在網站之中，政府的信息發(fā)布以及和人民進行互動交流等工作成了常態(tài)，不僅對當前政府工作效率以及工作質量做出了提升，同時也加強了政府和人民之間的交流，提升了政府的形象，尤其是我國在一定的時期進行的“互聯(lián)網+政務服務”的加速建設，讓政府網站的建設得到了進一步的發(fā)展。

作為政府服務的窗口，在政府網站之中包含大量的政府業(yè)務數據，因此一旦被篡改，可能直接危及我國國家安全，并且對社會秩序以及公共利益都有極大的損害，因此加強這方面工作的保護，是政府發(fā)展的必然趨勢，也是當前對我國政府服務的要求。然而政府網站在當前的網絡之中，屬于權威性比較強的網絡站點，成了當前黑客的重災區(qū)，因此安全工作一直受到強烈的威脅，因此政府必須優(yōu)化當前“互聯(lián)網+政務服務”的網站管理，才能夠保證政府的安全，保證我國社會的長治久安。

1 政府網站的主要類型

在我國當前政府網站之中，一般會采用三種情況進行建設，這三種類型分別承擔政府不同的職能，因此其中的業(yè)務功能等有較大的差別，在風險方面的表現(xiàn)也截然不同，所以想要對安全工作進行強化，必須對這幾種方式有充分的認識。

1.1 內容發(fā)布型政府網站

顧名思義，這種網站的主要功能是對政府的一些工作內容進行發(fā)布以及人民反饋進行收集。這種網站是政府最早建立的一種網站類型，在當前我國政府之中，絕大多數的部門都有這樣的網站，政府部門在網站上發(fā)布一些新聞、對自身的政務進行公開，讓群眾了解當前政府的工作等等，這樣的內容多數是以功能展示為主，隨著技術的發(fā)展，此類網站也在不斷完善自身的功能，因此后續(xù)出現(xiàn)了政務搜索、政府問卷調查以及留言答復等互動的功能，通過這樣的方式，極大加強了政府和人民之間的聯(lián)系，因此在當前的政府部門之中，使用的頻率非常高，且受到的攻擊也較為頻繁。

在系統(tǒng)架構方面，此類系統(tǒng)主要包括以下幾個方面的內容，首先是Web應用系統(tǒng)，內容管理系統(tǒng)、數據庫系統(tǒng)以及媒體存儲系統(tǒng)等多個方面，在早期的情況下，訪客進行訪問的時候，Web應用系統(tǒng)執(zhí)行數據的同時，對結果進行展示，一般展示在被訪問的頁面之上。但是隨著當前技術的發(fā)展，形式也發(fā)生了一定的改變，最主要的是在訪問方面，當前是以靜態(tài)的頁面為主，內容管理的內容也成了靜態(tài)的，因此對訪客來說，只提供訪客訪問等互動的內容，不進入后臺管理是無法對網站的內容進行操作的。

1.2 辦公型政府網站

辦公型政府網站更多是政府內部進行交流的平臺，主要是針對政府多個部門之間的協(xié)同以及合作，進而讓各個部門之間能夠有效進行配合，在當前的政府網站之中，對于這種網站的使用頻率非常大，主要是為了能夠保持政府工作的效率，同時讓政府的工作更容易進行。這樣的網站主要提供特定的政府流程辦事功能，使用者通常較為固定，主要是政府的工作人員，通過各自的賬號進行登錄，因此這種網站一般很少有工作人員以外的人員知道，這種網站的架構一般是業(yè)務邏輯的Web應用系統(tǒng)，數據庫以及媒體儲存等等幾個方面，在辦公型政府網站之中，政府的數據非常多，因此設計的過程中，會主動進行權限的分類，通過對權限的分配，進而對當前的業(yè)務進行處理，在這種網站之中，政府的數據數量以及政府的文件數量是非常龐大的。

1.3 政務服務平臺

政務服務平臺是人們日常生活之中和政府聯(lián)系最緊密的一個網站，這個網站是當前新出現(xiàn)的一種政府服務形式，在當前政府平臺之中，對一些政府的辦事流程以及辦事的過程繼續(xù)進行相關的展現(xiàn)，并且人民也可以通過一些手段對這些業(yè)務進行辦理，從而提升自身對于需要辦理業(yè)務的辦理。在政府服務平臺之中，涉及大量的用戶信息，范圍非常廣泛，因此一旦出現(xiàn)盜取的現(xiàn)象，不管是對政府的服務還是對人民財產都是非常嚴重的打擊。所以這種網站成了當前受到攻擊的主要目標。不僅如此，該網站同時還涉及大量的國家基礎信息，包括人口、法人社保以及地理空間信息，所以信息的安全工作必須不斷給予重視，這樣才能夠保證信息的安全。這種網絡平臺的建設，已經從傳統(tǒng)的Web網頁轉為信息平臺的建設，因此系統(tǒng)的架構較為復雜，在這樣的情況下，政務管理的信息系統(tǒng)需要進行支付以及認證，這樣才能夠實現(xiàn)工作的協(xié)同以及業(yè)務的共享。

2 “互聯(lián)網+政務服務”背景下網站的安全風險

2.1 注入漏洞

注入漏洞是一種常見的漏洞形式，并且有非常多的種類，其中SQL是非常典型的且危害非常強的一種形式，對未進行驗證的數據進行查詢以及命令的過程中，將這些信息發(fā)送并欺騙解釋器，就構成了注入漏洞，攻擊者這個時候能夠通過發(fā)送惡意的信息去欺騙解釋器，從而執(zhí)行網絡業(yè)務邏輯以外的命令，并且對當前的信息進行訪問，隨后進行木馬的上傳，對服務器的權限進行控制。

對于政府而言，輸入參數的場景，都可能成為數據攻擊的對象，在早期的政府網站，內容多采用流動性的網站模式，因此非常容易受到注入攻擊，但是隨著政府網站建設的更新，當前已經采用了靜態(tài)的網站模式，因此一定程度上防范了內容的注入攻擊，但是“搜索”等功能的存在，依舊為注入攻擊提供了一定的窗口，因此在當前的發(fā)布型政府網站之中，訪客的行為難以監(jiān)測，攻擊的成本也比較低，相對于辦公平臺需要登錄之后才能夠實施操作，攻擊行為容易被追溯，攻擊成本比較高的情況來說，安全方面存在的風險非常大。

2.2 身份認證和會話管理缺陷

用戶登錄信息和登錄會話是Web中最為敏感的問題，也是攻擊者最想要獲取的信息，在Web應用之中，身份認證和會話管理相關的功能存在缺陷，就可能導致攻擊者對用戶的密碼以及會話進行標示，最終冒充成為合法的用戶，通過網絡嗅探、木馬攻擊等形式對信息進行破解和獲取。在政府內容發(fā)布之后，政府以及服務平臺都會有登錄的環(huán)節(jié)，因此在這個環(huán)節(jié)之中，存在很多的風險，攻擊者一旦成功冒用用戶的身份，就能夠對政府的內容進行操作，進而影響當前的政府工作穩(wěn)定，對政府工作造成非常大的影響。

2.3 “跨站腳本”漏洞

“跨站腳本”漏洞是一種影響非常廣的Web漏洞，很多Web都存在這樣的漏洞，“跨站腳本”漏洞主要是對網站瀏覽者進行攻擊，而并非攻擊網站本身，當未驗證的信息數據直接作為反饋結果時，就容易形成跨腳本漏洞，攻擊者通過向URL或者其他類型的提交的數據進行腳本插入，進而實現(xiàn)在受害者瀏覽器上執(zhí)行腳本的目的，劫持受害者會話，或者是受害者瀏覽的網頁進行惡意跳幀，這樣的攻擊形式一般有反射型、存儲型、DOM型三種。其中反射型和存儲型較為常見。

2.4 其他的攻擊方式

除此之外，在當前政府網站受到的攻擊之中，還有其他的不同形式，其中包括訪問控制缺陷、安全配置錯誤、敏感信息泄露漏洞、攻擊檢測與防范不足、“跨站請求”偽造漏洞等等，這些漏洞都是對當前的“互聯(lián)網+政務服務”造成威脅的漏洞，因此針對這些漏洞，一旦形成攻擊的形式，對于政府來說是非常大的打擊，也會對關鍵信息造成一定的危害。

3 “互聯(lián)網+政務服務”背景下網絡安全的建議

3.1 技術性建議

在當前的網站之中，想要增強“互聯(lián)網+政務服務”形式的安全，必須注重從技術方面做好安全防范，因此在實際的工作之中，需要從以下幾個方面進行：

第一，增強身份認證和會話管理。很多政府人員在工作中，對于信息的安全不夠重視，因此口令的復雜度較低，所以政府可以對這方面進行提升，進而增強當前的安全性，并且在使用的過程中，采取短信驗證以及動態(tài)口令的行為，讓潛在的危險降低，并且在長期無操作以及存在潛在威脅的情況下，要及時結束會話，這樣才能夠保證安全。

第二，做好數據有效性的驗證，在上述的攻擊方式之中，很多都是通過無效信息對網站進行攻擊的，因此在當前的輸入之中，政府網站可以建設一些白名單，從而對數據進行過濾，這樣才可以保證安全。

第三，完善網站安全相關的設計。在網站建設之中應該對關鍵的操作以及相關的信息采取更多的保護機制，尤其是在一些用戶密碼以及賬號，需要采用一些加密設計，進而避免敏感信息泄露。

第四，前后端分離。政府網站通常有明顯的前端和后端功能，因此在網站建設的過程中，需要充分利用這個方面的優(yōu)勢，將前后端進行分離操作，這樣才能夠保證不會出現(xiàn)仿冒前端用戶對后端進行操作的行為。

第五，增強網絡訪問控制，建設政府網站，需要對政府服務以及管理系統(tǒng)進行訪問控制，限制在一定的IP之中，這樣才能夠避免暴露，從而防范攻擊行為。

第六，及時升級網絡組件，對網絡組件以及相關的軟件需要及時更新，這樣才能夠及時補充漏洞，避免漏洞出現(xiàn)被利用的情況。

第七，規(guī)范安全配置。通過安全配置，對當前的行為以及方式進行約束，進而保證系統(tǒng)的安全，防止出現(xiàn)入侵現(xiàn)象。

3.2 管理方面的建議

在管理的工作中，政府人員需要統(tǒng)一進行規(guī)劃，集中進行建設和管理，加強安全管理工作。同時對政府工作人員定期進行網絡安全的教育，提升政府工作人員的網絡安全意識。最后就是在政府網站安全工作之中，需要不斷對安全風險問題進行革新，由于當前的網絡風險是在不斷發(fā)展以及變化的，因此只有做好與時俱進，才能夠真正對抗網絡的風險，讓“互聯(lián)網+政務服務”能夠長久的運行。

4 結語

“互聯(lián)網+政務服務”對于政府來說是非常有效的一種執(zhí)政方式，在當前的社會中有著非常重要的意義，因此做好安全工作，是提升政府工作效率的有效方式，也是推動我國發(fā)展的有效手段。

[1]阿里木江·阿布迪日依木，吾馬爾江·依不拉音.互聯(lián)網+政務服務背景下政府網站安全風險研究[J].數碼世界，2020（03）：194.

[2]趙弘洋，李丹.“互聯(lián)網+政務服務”背景下政府網站安全風險研究[J].電子質量，2017（06）：70-74.