杨兴春 牟剑平
四川警察学院 四川 646000
近年来,我国大力推进政府部门的信息化建设,电子政务的应用得到了全面普及,其重要体现就是各级政府机关(机构)的新闻、信息及政策发布、行政服务、招商引资、意见征集、举报投诉等一系列政务活动,都是通过政府门户网站进行的。门户网站不但方便了群众的服务要求,也方便了政府的政务处理,加快了阳光政务的进程,更重要的是,人民群众通过政府门户网站,可以及时了解党和政府的政策和信息,政府机关也能广泛收集民情民意,为决策的制定提供科学依据。
然而,目前我国各级政府门户网站的安全状况令人担忧。例如,仅2010年新年伊始,就曝出国内20余家大型政府网站被黑客挂马的重大安全事件。类似的一系列网站安全事故表明,我国各级政府门户网站亟待采取各种有效措施,消除安全隐患,为电子政务的良好运行提供必要的安全保障。
我国政府信息化建设经历了起步、推进、发展和高速发展四个阶段,其总的发展思路是先政府机关内部实现办公自动化,然后各管理部门实现网络信息化(如三金工程),最后是全面实现政府上网工程。
(1)起步阶段(1980-1990)。此阶段主要是中央和地方党政机关开展的办公自动化工程,并由此建立了部门机构间纵向和横向的内部信息交换办公网络。
(2)推进阶段(1991-1998)。此阶段我国启动了国民经济信息化建设的基础性工程:三金工程(金桥、金关和金卡工程)。三金工程是一项在中央政府主导下的政府信息化系统工程,也是我国政府信息化的雏形。
(3)发展阶段(1999-2001)。1999年1月,中央多个部委的信息主管部门共同发起了以提供政府信息资源共享和应用为目的政府上网工程,并制定了相应的建设目标和计划。政府上网工程的建设,最终让政府网站发展成为便民服务、提供政务受理和处理、发布信息和政策的重要窗口。
(4)高速发展阶段(2002-今)。2001年12月,国务院信息化领导小组作出了“中国建设信息化要政府先行”的重要决策。2002年7月,国务院召集上百位专家对政府信息化建设进行研究,并以正式文件的形式明确了“十五”期间我国电子政务的建设目标和发展战略框架,此举将政府信息化建设纳入了一个崭新的整体规划和整体发展的阶段。2002年 11月,十六大报告提出了通过推行电子政务以达到深化行政管理体制改革、加快政府职能转变的论述,更是加大了政府信息化建设的力度,加速了信息化建设的进程。
经过三十年的发展,我国的政府信息化建设已取得了巨大的社会效益和经济效益,尤其是政府门户网站的建设和完善,使得政府的决策更民主、科学,行政程序更规范,政府运作更透明,为打造阳光政府奠定了坚实的基础。
自互联网诞生以来,网络安全就一直深受科技人员、网络运营者及使用者的高度重视。与公安网等专用网络不同,政府门户网站是接入互联网的公共服务网,其权威性和公信度都较高,影响力大,并且其后台数据库中可能涉及有政府机密的数据,所以,政府门户网站一直是黑客及敌对势力的重要入侵目标。
据国家互联网应急中心(CNCERT)每月发布的互联网安全报告数据统计,2007年间境内政府网站被篡改数量达4234个,2008年间被篡改网站数量为3595个,2009年为 2765个,图1是2007—2009三年间政府网站每年被篡改总数的统计对比图。
从上图可以看出,虽然被篡改的网站数量有呈逐年下降的趋势,但安全状况仍不容乐观。公安机关2009年7月中旬对国内6000余家政府网站进行的安全抽样检测表明,37%的政府网站存在网页安全漏洞,极易遭到网页篡改和网页挂马等攻击破坏;另据工信部统计,仅2010年1月4日至10日一周内,我国境内政府网站主页被篡改的数量竟达178个,尤其是近期某些政府门户网站被频繁挂马或被篡改后链接到淫秽色情网站的安全事故更是给我们敲响了警钟。
政府门户网站被频繁入侵,除了入侵者欲挑战其权威性和公信度,或者炫耀其技术水平,甚至对政府机密数据感兴趣之外,也暴露出政府相关管理部门自身的问题。
(1)个别政府门户网站形同虚设。一些部门领导认为,只要建立了一个主页,上网工程就建好了,在这种意识主导下,网站功能得不到发挥,网站软件及内容长期得不到更新和维护,给了入侵者可乘之机。
(2)网站管理员的安全意识薄弱,疏于防范。比如使用的密码位数过低,或者采用诸如生日、电话号码、姓名拼音等弱口令;软件漏洞补丁更新不及时;盗版软件的使用以及移动存储设备的交叉使用,都可能会导致病毒、木马的感染。
(3)网站管理者技术水平有待进一步提高。目前,虽然很多政府门户网站投入巨资建设,但是没有建立起与之相配套的维护网络安全的专业力量。加之计算机技术日新月异,相关领导也忽视对管理员的技术再培训。
(4)缺乏相应的应急机制。大多数市、县级及以下的政府门户网站都缺乏相应的应急机制,一旦出现网站安全事故,反应迟缓,甚至几周之内得不到修复,这必将会大大降低政府的公信度和权威性,并会带来极大的社会负面影响。
(5)打击力度不够。不同于一般的违法犯罪,网络入侵者一般都具有比较高的网络安全技术方面的知识和能力,这给公安机关的侦查破案带来了相当大的难度,甚至很多时候无能为力,这在一定程度上也助长了入侵者的嚣张气势。
(6)网络信息安全法律缺失。目前,虽然我国制定了很多关于计算机或网络信息安全方面的规章、条例和办法,但是没有制定一部正式的法律,这给网络犯罪的侦查、起诉、量刑带来了一定的困难,也不能对网络犯罪形成有效的威慑,因而助长了利用网络进行违法犯罪的活动。值得欣慰的是,今年的两会上,有代表提出了关于制定网络信息安全法律的提议。
(1)制定切实可行的政府网站安全标准规范。政府网站不同于其它类型网站,在其建设时就要遵循相应的网络安全标准,这样可以最大程度地减少网络安全事故的发生,从而维护政府网站的权威性和公信度,保护网站数据的安全。
(2)提高部门领导和网络管理人员的安全意识。要让政府门户网站切实发挥其应有的功能,不能作为门面摆设;要提高管理者的安全意识,强化对管理人员的安全教育;加强网站安全监管,定期或不定期对网站进行安全评估,及时发现问题,堵塞漏洞;要加大对有关领导和相关管理人员的责任追究力度。
(3)重视软件建设和管理队伍的建设。除了硬件的建设,政府门户网站一定要重视软件的建设,选用正版软件和安全性好的软件;更要重视建设一支业务素质高的网站管理队伍,并加强队伍人员的业务培训和指导。
(4)加强安全技术防护。政府门户网站要综合运用身份认证、访问控制、安全审计、病毒防护等技术手段和措施,采用具有自主知识产权的信息安全技术和产品,从根本上提高防护能力和水平;要建立健全事故应急机制,出现问题能及时解决。
(5)加大网络信息安全执法力度与立法进度。要充分发挥公安网监部门的“网络警察”作用,提高其相关人员的技术水平;要加大对网络违法犯罪的打击力度,对攻击、篡改政府网站的组织及个人实施精确、有效的打击。另外,立法机构还应当加紧出台关于网络信息安全的法律,以法律的形式规范网络使用,保障网络安全,威慑网络违法犯罪行为。
政府门户网站的建设维护和安全运行,关系到政府的形象和声誉,影响到通过网络平台进行的日常行政办公,更关系到阳光政务的推行,然而,其安全现状却不容乐观。面对全球日益严峻的网络安全形势,我们必须采取各种措施,包括人员的、技术的和法律的措施,强力保障政府门户网站的安全可靠运行。
[1]360安全中心.新年安全警报:21家政府网站被黑“挂马”[EB/OL].http://bbs.360.cn/4000002/33941953.html?recommend=1.2010.
[2]中国网.我国政府信息化的发展历程[EB/OL].http://www.china.com.cn/zhuanti2005/txt/2003-02/27/content_5283258.htm.2003.
[3]国家互联网应急中心.每月被黑网页统计报告[EB/OL].http://www.cert.org.cn/servlet/SubChannelArticles?channel=bull etin&sub=1l.
[4]公安部.第九次全国信息网络安全状况与计算机病毒疫情调查报告[EB/OL].http://www.cert.org.cn/articles/news/common/2010020824809.shtml.2010.
[5]新浪新闻网.178个政府网站被恶意篡改网络安全势态严峻[EB/OL].http://politics.people.com.cn/GB/1027/ 10795158. html.2010.
[6]唐卫毅.政府网站安全亟待加强[EB/OL].http://news.sina.com.cn/c/2010-03-05/100619796303.shtml.2010.
[7]国脉电子政务网.湖北鄂州市政府网站被黑,非法页面悬挂15日未关闭[EB/OL].http://www.echinagov.com/gov/zxzx/2010/3/23/98334.shtml.2010.
[8]肖恩君.政采网络信息安全工作应重视[EB/OL].http://cs.ccgp.gov.cn/llsj/rdcg/845403.shtml.2009.