◆陈德智
“互联网+政务服务”背景下政府网站群安全风险研究
◆陈德智
(辽宁省信息中心网络技术部 辽宁 110000)
为适应“互联网+政务服务”背景,在统一规划下,政府网站群近年来在大量兴建,政府网站群安全风险也开始引起业界广泛关注。基于此,本文简单分析“互联网+政务服务”背景下政府网站群安全风险,并深入探讨安全风险的应对措施,以供业内人士参考。
政府网站群;安全风险;网络安全保障体系
结合实际调研可以发现,现阶段我国很多政府网站群存在安全风险,平台技术落后、资源开发利用整合程度低下等问题也较为常见。为尽可能保证政府网站群安全,必须设法优化政府网站群管理系统,并同时打造高实用性网络安全保障体系,为夯实“互联网+政务服务”提供基础。
政府网站群安全风险与平台技术落后存在一定关联,很多政府网站群在公众参与、在线办事等功能方面存在的欠缺便属于其中代表,沟通受到的固化应用框架影响也需要引起重视。受差异较大的子网站建设水平、参差不齐的内容实用性影响,基于需求对信息公开内容进行整合的难度也较高,这就使得政府网站群在提供“互联网+政务服务”方面存在不足。平台技术落后在自动化水平方面同样有所体现,过于重视政府信息严谨性很容易引发这类问题,需要复杂操作才能够在特定页面展示内部资源的情况也较为常见,这对公共资源利用率造成的负面影响较为深远[1]。
对于由各部门自行负责的政府部门网站建设来说,业务部门网站与政府门户网站间很容易在功能、内容模块整合方面出现脱节,信息共享功能存在欠缺的政府网站群也会影响分散信息共享、异构资源交换。为提供“互联网+政务服务”,各部门存在较高的信息共享需求,但受到分散的管理体制、分开的业务系统物理位置等因素影响,技术弱点制约下的政府网站群无法有效整合共享信息资源。在不断增加的系统建设需求影响下,系统软件、硬件设备、安全设备相关的重复投资很容易出现,规模增大和数量增加的应用系统也使得信息孤岛、重复建设问题日益突出[2]。
在建设完成政府网站群的某个站点后,受管理措施不力、重视程度较低等因素影响,站点很容易变为睡眠站点,严重的安全隐患问题会因此出现,同时会严重威胁政府网站群的安全运维。利用睡眠站点,黑客可通过网站漏洞和后台管理进入政府网站群管理后台。政府网站群存在的组件共享、内容共享、站点管理等功能能够为黑客提供侵入途径,进而严重威胁相关网站的安全运行。如政府网站群的管理人员未能高度重视睡眠站点,未能做好对网站群平台安全漏洞的及时修补,安全问题的发生概率将大幅提升,如Struts2框架漏洞、FCKeditor编辑器漏洞等,这可能导致整个政府网站群被篡改。考虑到政府网站群存在的独特技术特点和应用差异性,必须认识到政府网站群维护的重要性,只有健全管理制度、完善运行机制、强化网站管理,风险防范工作方可取得预期效果,政府网站群的应有效益和影响才能够充分发挥。
为保证政府网站群安全,结合平台技术落后问题,政府网站群的云平台建设需要引起重视。通过资源整合,政府网站群需要向按需配比的云计算建设模式转型,通过对虚拟化技术的逐步引入,数据中心的高利用率、低能耗、低成本、智能管理、快速部署能够顺利实现,以此建成的多层体系架构应用支撑平台也具备更高安全性。在政府网站群云平台的建设过程中,需结合不同部门业务应用特点及“互联网+政务服务”需要,科学设置虚拟机、物理服务器、SAN/NAS存储,存储或服务器需结合业务应用特点配置,满足存储和计算需要。云平台本身具备更高安全性,且能够对虚拟资源、物理资源开展池化管理。云平台建设还能够实现即时申请IT资源、“数据双活+数据备份”,这能够较好服务于业务快速部署、全面数据保护、业务连续性增强,政府网站群的自动灾难恢复能力也能够随之大幅提升。具体的云平台建设应围绕接入层网络系统、数据备份系统、生产存储系统、应用层服务器系统展开,同时需要关注公共数据中心建设、云平台互联网安全接入。以云平台互联网安全接入为例,通过安全防护和接入交换机后,政府网站群存储区域和服务器数据能够与互联网、政务外网通过原有网络对接,这不仅能够保证云平台建设取得预期成果,政府网站群安全性也能够同时提升[3]。
为解决上文提及的资源开发利用整合程度低下问题,政府网站群安全风险应对还应聚焦管理措施完善,通过结合“互联网+政务服务”需要,总结以往管理经验,在需求导向下,需同时关注系统建设和基础建设,保证业务应用和安全保障、维护服务和项目实施同步。具体的管理完善可从社会技术力量利用、服务外包、各级各部门共同参与入手,如单一采购专项服务、实行服务外包、在业务相关部门及单位分解落实维护任务,在各级齐抓共管、社会技术力量充分利用下,政府网站群安全性和实用性将大幅提升,“互联网+政务服务”需要也将更好得到满足。
为更好应对政府网站群安全风险,应设法打造网络安全保障体系,该体系由五部分组成。
(1)物理安全保障
作为政府网站群安全运行的基础,为避免人为操作失误、自然灾害等引发的硬件故障威胁其安全运行,运维部门需做完善的安全操作规范制定,结合各类安全问题明确应急措施。在开展云平台建设的同时,还可以通过异地物理机房提供备份站点,必要时通过备份资源提供服务,更好保证政府网站群物理安全。
(2)网络安全保障
网络安全保障同样属于网络安全保障体系的重要组成部分,具体保障需聚焦网络结构安全、恶意代码防范、入侵防范、安全审计、访问控制、网络设备防护安全等方面,具体可从拒绝服务攻击入手,并做好安全区域合理划分、网络边界保护、内容分发网络部署、防DDoS攻击部署。安全区域合理划分需要将政府网站群细分为托管类网站群、主要网站群,以此明确不同的重要程度、开发状态以及性质、维护手段,同时需按照安全区域差异进行网络结构划分,可采用VLAN法、防火墙法进行具体划分;网络边界保护可应用三层交换设备,以此实现不同安全区间政府网站群的ACL访问,访问的管控可同时通过防火墙实现,防火墙在互联网接入口的配置、抗攻击系统及入侵防御的设置、防病毒网关的设置也需要得到重视;内容分发网络部署可通过CDN缓存系统开展文件下载、视频数据、Web静态发布等服务及应用的网络分发,访问性能可通过动态链路选择访问机制和缓存提升,实现源点压力缓解、源站带宽瓶颈消除、用户体验提升;防DDoS攻击部署可采购相应服务或购入相应设备,以此提升政府网站群应对相关攻击的能力。
(3)主机安全保障
为保障政府网站群主机安全,需关注系统漏洞、操作系统配置不当等方面产生的主机系统风险,并选用以下几方面保障措施:第一,补丁管理。对数据库、操作系统进行定期扫描,保证漏洞的及时发现和处理;第二,主机加固软件安装。不断加固配置,做好操作系统的角色分配、身份鉴别、安全审计、强制访问控制;第三,主机监控。实时监控存储空间、CPU、内存,并在必要时发出预警。
(4)Web应用安全保障
为保障政府网站群Web应用安全,需聚焦脚本攻击、第三方控件漏洞、安全漏洞威胁,网站源代码安全缺陷也需要得到重视,具体可采用以下几方面保障措施:
第一,应用专业系统。应设法对WEB应用服务器进行加固,并引入网页防篡改软件和专业WEB防火墙保护系统,对WEB应用黑客攻击进行有效识别和阻止;
第二,源代码审计产品。代码审计可通过源代码审计产品开展,设计、实现环节引发的漏洞能够有效规避;
第三,静态网页设置。通过将静态网页设置于政府网站群前台,对外直接的应用服务器暴露能够大幅减少,受攻击机会降低、安全性提升自然能够顺利实现;
第四,优化后台管理。可采用多因子认证手段和加密传输进行后台管理,对管理员权限和账号进行严格划分,避免漏洞被管理员引入的情况出现。
(5)数据安全容灾备份
数据安全容灾备份同样属于网络安全保障体系的重要组成部分,应在异地建立至少两套应用功能相同系统,系统间能够实现功能切换和健康状态监视,因地震、火灾等因素导致一处系统工作意外停止时,系统可向另一处切换,“互联网+政务服务”的正常提供不受影响。作为高可用的组成部分,容灾技术建设需要关注外界环境、灾难性事件带来的影响,设法实现节点级别的系统恢复功能提供。分为应用备份和数据备份的容灾备份均需要得到重视,需关注网络系统、应用系统等资源的良好协调,保证容灾备份更好保障政府网站群安全。
综上所述,政府网站群安全风险较为多样。在此基础上,本文涉及的开展云平台建设、完善管理措施、打造网络安全保障体系等内容,则提供可行性较高的政府网站群安全保障措施。为更好提供“互联网+政务服务”,上下互动、信息共享、左右协调的政府网站群建设管理同样需要设法实现。
[1]杨俊逸,谢芳.基于省级层面的政府网站集约化建设研究[J].长江信息通信,2021,34(03):150-154.
[2]戴东情,毛圣兵,张瑞.政府网站安全监管机制研究[J].网信军民融合,2020(08):16-18.
[3]乔侃.信息时代政府信息安全问题研究与防护[J].计算机产品与流通,2020(09):127-128.