◆刘 斌
(浙江省舟山市公安局定海分局 浙江 316000)
政府网站安全现状及解决方案
◆刘 斌
(浙江省舟山市公安局定海分局 浙江 316000)
近年来,随着政府部门信息化建设大力推进,政府网站应运而生,并且得到了蓬勃的发展。然而,目前我国各级政府部门门户网站的安全状况却令人担忧,多数政府网站还缺乏对安全的足够重视。由于政府网站具有不可替代的权威性,对它的攻击将严重影响我国的网络信息安全。据国家互联网应急中心发布的《2015年中国互联网网络安全报告》显示,2015年我国政府网站被篡改数量为898个,在被篡改的政府网站中,超过85%的网页篡改方式是植入暗链(含博彩、色情内容),为政府网站被入侵后发生比例最高的安全事件,这充分说明网络犯罪黑色产业链已成为我国网络安全环境的最大威胁。2015年,国家互联网应急中心通报了涉及政府机构和重要信息系统部门的事件型漏洞近2.4万起,约是2014年的2.6倍,继续保持快速增长态势。国家互联网应急中心抽取2015年12月通报的安全漏洞事件进行修复验证,发现政府部门网站系统漏洞隔月修复率仅为52.7%。如何让虚弱不堪的政府网站变得固若金汤,保证其长久正常运作,是急需解决的问题。
政府网站; 网络安全; 网站群; 等级保护; 漏洞扫描
政府门户网站的出现不但拉近了与群众之间的距离,也方便了政府的政务处理,加快了阳光政务的进程,同时也为政府机关广泛收集民情民意,制定科学决策提供了最好的沟通桥梁作用。但是由于政府部门存在网站管理不到位、技术能力不达标、安全防范不规范等原因,甚至部分政府网站存在“裸奔”现象,政府网站的安全状况不容乐观。上述种种因素,政府网站不可避免地成为境内外黑客攻击对象,造成网站瘫痪、信息泄露等严重后果。如何解决这些问题,使政府网站真正服务于群众,是摆在我们面前的一个主要任务。
(1)重建设、轻管理,政府网站安全问题突出。近年来,政府网站安全事件(隐患)也日益呈现。政府网站被境外黑客攻击篡改事件屡屡发生,经调查发现,被攻击网站安全防范措施较差,安全管理严重缺失,均属于无专人维护或委托第三方的管理模式。从目前掌握的整体情况看,多数基层党政机关网站,只有少数纳入到了政府网站集群管理,部分网站建设在本单位机房自主维护,大多数网站租赁网络公司的网络空间搭建网站(其中大部分租赁的网站服务器不在本地,甚至在香港、美国等境外地区),一旦出现问题,不能迅速采取处置措施。同时,各个单位网站建设、维护方式的多样性导致网站安全风险点多,也大大增加了公安机关开展政府网站安全监管的难度。
(2)信息安全等级保护工作重视程度不高。近年来,政府单位的信息安全意识已普遍有所提高,但由于信息安全等级保护相关政策和标准的宣传贯彻力度仍较弱,造成对等级保护工作在信息安全保障工作中的全局性和基础性作用认识依然不足。多数政府单位一把手、信通科室工作人员均不知道信息安全等级保护工作。从检查中可见,有独立机房的单位在软硬件方面均无法达到重要系统等级保护要求。
(3)应急保障的体制机制不健全。由于在信息系统安全管理和技术保护上还存在不小差距,导致信息系统安全事件(事故、案件)时有发生,重要信息系统应用单位必须采取有效的应对策略和措施,以确保损失降到最低。而目前很多单位未依据国家有关规定对本单位的信息系统进行安全事件的等级划分,建立重大安全事件建立相应的报告和处理机制,缺少一套统一的应急预案,且未组织人员开展培训和演练,从而出现被攻击后无从下手的局面。
(4)安全建设财政经费保障不到位。目前,虽然不少政府部门及建立了防火墙+防病毒的安全体系。但是检查过程中发现,不少单位防火墙版本较早,甚有单位虽有防火墙,网络不经过,纯属摆设,黑客可长驱直入。因此可以判断,这些单位近10年在网络安全方面的建设投入甚少。更别提信息安全等级保护检测、漏洞扫描、防篡改等软件方面的投入。这些投入的确需要花费大量的财力,而这些花费只有投入,却没有产出,很多单位领导不愿花这冤枉钱。
(1)整合资源,打造网站集约化云平台。按照“统一规划、统一标准、统一架构、统一维护、分级管理”的原则,将所有托管在外的政府网站搬迁到当地政务云平台或者统一选定本市网络安全措施落实较为完善的IDC单位集中进行管理,落实专人集中运维,最大限度的政府门户网站网络与信息资源的安全,保障系统的运行稳定,同时,采取硬件防篡改的安全保障措施,提供从系统自身安全功能设计到系统运行硬件安全防护的部署,能够识别和阻断跨站脚本(XSS)、注入式攻击(包括SQL注入、命令注入、Cookie 注入等)、敏感信息泄露、恶意代码、错误配置、隐藏字段、会话劫持、参数篡改、缓冲区溢出、应用层拒绝服务、弱口令其他各类变形的应用攻击,从系统环境防护到人工组织预防等多层次地加强网站平台的安全性。
(2)落实要求,深入开展信息安全等级保护工作。等级保护工作,是一项较为复杂的社会工程、系统工程,需要政府主管部门和各信息系统运营单位共同协作,持之以恒地开展等级保护工作动员和宣教,扩大社会影响,形成从根本上重视网络安全的工作理念。通过定级、备案、安全建设整改、等级测评和监督检查等重点工作,全面落实信息安全等级保护制度和各项任务要求;建立健全重大信息安全事件分级报告处置制度和应急预案,提高基础信息网络和重要信息系统的安全管理水平和主动防御能力。
(3)加强监管,定期安排社会力量进行网站安全扫描。以政府购买服务的形式,安排网络公司开展定期网站安全扫描和现场检查工作。根据网络公司出具的报告,对存在高危漏洞的政府网站使用单位进行重点检查,对存在的问题,能当场整改的督促其当场整改,问题严重的,公安机关制发《限期整改通知书》,责令限期整改。同时,购买信息预警等基础防护体系,做到政府网站遭受外来攻击时“第一时间发现、第一时间处置、第一时间查证、第一时间报告”。
(4)建立考核机制,真正将网络安全落实到实处。建立健全督导考核机制。等级保护各职能部门对各信息系统运营单位进行考核,同时纳入了工作考核,对工作开展不力、存在违反国家相关法律法规的单位,严肃依法处罚,加强对处罚整改落实情况的监督。
(1)节省了资源投入。实施政府网站群管理后,有效降低了各党政机关对基础软件、网络设备、机房建设等网站基础设施资源的投入,充分提高当地电子政务中心软硬件资源的使用效率,同时也解决了因技术力量不足难以进行系统及设备管理、维护等问题。
(2)提升了防护能力。政府网站群统一了技术标准,最大限度上减少了网站异构、异地所带来的安全管理、运行维护上的问题,提高了应对突发安全事件的能力和效率。
(3)提高了服务水平。政府网站群建设运维部门为各网站开办单位提供了专业的、稳定的、安全的保障服务,各单位可专心研究实施网站内容设计和发布,从而提高了网站对外宣传服务的水平,方便群众的查询浏览和获取政务公开的信息资源,提升了政府便民利民的良好形象。
党的十八大报告中首次将网络空间安全作为三个国家安全之一提出来,网络空间是信息时代的基本标志,网络空间安全正在成为影响国家安全,成为渗透、影响甚至决定其他领域发展和成败的重要因素之一。加强政府网站安全建设刻不容缓,着力构建一个技术先进、管理高效、安全可靠的政府网站安全保障体系,从而更好地为人民群众服务。
[1]卓悦,李蓓.政府网站安全防护的对策思考,2014.
[2]王亚东.浅析网络安全体系设计与建设的研究,2012.
[3]徐金宝.试论信息安全等级保护制度助力网络安全和信息化法治建设,2013.