政府网站安全监管机制研究

◎戴东情 毛圣兵 张瑞

1.南京海关工业产品检测中心 2.中国网络安全审查技术与认证中心

一、引言

近年来，我国对政府网站安全的建设格外重视，并取得了不错的成绩，但在网站构建和实施的过程当中，还存在着很多问题。诸如在网站信息安全方面，各地政府网站还存在着很大的漏洞和其他很多问题。在册的信息度还不够高，信息化管理手段还比较薄弱，法律制度不健全，公民信息安全意识还是比较薄弱。同时，政府网站面临着诸多网络安全攻击问题，诸如特洛伊木马、后门和其他攻击手段等，许多危害始终威胁着政府网站的发展[1]。

随着通信网络快速发展，中国宽带接入数量达3.96 亿户，跃居世界第一，占用户总数的91%。但是，随着信息技术的高速发展，公民的网络安全意识、政府的法律法规、网络安全基础设施等方面有诸多亟需解决的问题。如为解决僵尸网站、睡眠网站等问题，国务院办公厅对全国政府网站按季度进行了普查，普查结果如图1 所示，2019 年全国政府网站总数如图2 所示。通过普查，了解了国家政府网站的基本情况，并解决了问题汇报不及时、信息不准确、政府不响应、措施不切实际等问题[2]。从图1 可以看出，2019 年每季度的政府网站的合格率是逐步上升的。而据图2 所示，2019 年每季度的全国政府网站总数有所减少。

图1 2019年政府网站普查合格率

为落实全国网络安全和信息化工作会议要求，国务院办公厅政务信息政务公开办公室对全国政府网站的漏洞进行了评估，评估结果如图3 所示。评估数据显示，在231 个政府网站中，有90%以上都存在漏洞，现在政府网站信息安全的形势十分严峻，从2014 年到2019 年，网站所存在漏洞数不断增加。

二、政府网站信息安全管理中的问题

图2 2019年全国政府网站总数

图3 2014-2019年新漏洞数量

如今，政府网站存在严峻的信息安全问题的原因有很多，本节重点从重应用轻安全、缺乏信息安全专业人员、关键技术严重依赖国外、缺乏制度化的安全管理四个方面逐一分析和阐述。

（一）重应用轻安全

目前，政府网站建设最主要的问题就是“重应用轻安全”。此现象有两个主要原因。首先，政府网站的建设单位通常更加关注功能要求和性能要求，却忽视了安全性问题。在招标文件中，很少看到安全要求。造成这种现象的另一个重要原因是：政府网站面临的信息安全问题并不是评估政府网站的重要指标之一。从测试中心所提出的网站性能评估指标来看，都是从信息公开和业务应用的角度制定的，而网站安全所占比例为2%[3]。缺乏安全基准和安全计划似乎是问题的根本原因。

（二）缺乏信息安全专业人员

实际上，政府网站的管理员主要是软件开发人员或运维人员，而网络信息安全是一个高度专业化的课题，现有的管理员无法适应当前网络安全需求[4]。目前，尽管一些高校已经有意识地去开设信息网络安全相关课程，但由于培养机制不完善，我国现在仍处于优秀的信息安全理论和技术人才缺乏的状态。一方面，由于起步晚，培训周期长，因此毕业的学生很少。另一方面，相对于实践，学校更注重理论教育，毕业生无法适应实际工作要求。

（三）关键技术严重依赖国外

近几年，我国在网络核心技术发展和产业支撑能力上有了很大的提升，但相较于西方发达国家，差距仍然较大。要加强政府网络安全技术攻关，加大技术投入。我国政府网站的操作系统、数据库等信息基础设施国外产品占比较高。如网络运行在美国思科公司的网络设备上，计算机通用处理芯片是Intel 公司的，操作系统是Microsoft 的，数据库是美国IBM、Oracle 等供应商的。显然，我国政府网站核心技术都是基于国外厂商的，这对我国政府网站的信息安全构成了严重的威胁。以操作系统为例，由于微软处于垄断地位，可以迫使用户升级，升级到Windows 8 后，将无法卸载，这对Microsoft 来说是可信的，但对我们而言不是。尽管使用这些设备通常不会造成问题，但在关键时刻，我们不能排除对手国家通过远程无线控制系统启动信息盗窃、数据删除和系统攻击的可能性，这可能使我们的重要信息系统瘫痪。

（四）缺乏制度化的安全管理

根据调查走访，目前各省市的政府网站由于缺乏数据支撑暂时还没有建立完善的安全管理制度。在网站运营管理中，都缺乏有效的安全检查和响应保护体系[5]。同时，不完善的管理机制使网络管理员或内部人员可以轻松匿名地进行犯罪活动。根据调查，由于缺乏高质量的安全管理，许多网络犯罪行为都来自内部联网计算机。

三、关于加强政府网站信息安全管理的建议

针对当前我国政府网站存在的信息安全问题，本节重点从成立信息安全管理部门、使用自有品牌的操作系统、建立完善的信息安全管理体系三方面提出建议。

（一）成立信息安全管理部门

在各级政府网站的建设和管理过程中，建立专门的网络信息安全管理部门，这是保障我国政府网站安全的重中之重。聘请网络空间安全专业人才，对政府网站的规划设计、信息安全等级保护的实施、信息安全管理、升级改造、漏洞检测等，进行有计划、有措施、有步骤的建设和运维。

（二）使用自有品牌的操作系统

经过多年的发展，我国的自主品牌操作系统有了一定的基础，应鼓励政府网站建设使用自主品牌的操作系统。目前，国有自主品牌操作系统主要是基于Linux 的二次开发系统，代表性产品包括GDLC，Deepin，isoft，WiOS，StartOS 等。另外，我国政府在采购环节中应为自主品牌操作系统提供更多支持。

（三）建立完善的信息安全管理体系

建立一个完善的信息安全管理体系，对于当今政府网站发展有着重要意义。如图4 所示，一个完整的网站信息安全管理体系应该包含四部分：系统的总体方法、安全管理的组织系统、网络部署统一的安全策略和所对应的安全操作规范[6]。其中，总体方法是参照国内外信息系统安全管理标准来制定的，并且要求符合国家信息系统安全保护规定和信息系统安全水平保护的基本要求[7]。安全管理的组织系统目的在于提高信息系统安全管理责任，使每一个部门都明确自己的安全管理任务，并对整个组织在系统信息安全管理工作的分配起促进作用。网络部署统一安全策略，要求从机房安全、网络安全、系统安全、应用程序安全、数据安全、应急管理、安全审计、安全测试等多个方面进行。并基于身份、规则和角色详细阐述了行动策略[8]。所对应的网站安全运行规范，其内容包括网站安全管理方法、计算机网络安全管理规定、互联网信息发布保密系统、机房安全管理系统等方面。建立该系统的目的是集成网站安全设计、网站安全基础架构、网站安全运营和维护服务。

图4 信息安全管理系统架构

四、结论

综上所述，加强政府网站信息安全是促进当前网络发展、提高政府与群众紧密程度的重要一环。这需要政府在建立和完善安全管理组织制度体系的情况下，同时要提升其相应的工作运行机制、管理体系、应急机制、技术保护体系、监督机制和培训机制。针对当前政府网站的发展情况来看，我们对信息安全与政府网站发展之间的关系还需要有一个正确的态度，明白安全是前提，发展是最终目标。我们必须在确保安全的条件下推进政府网站的快速发展。