肖 寧

摘要：本文從理論上構(gòu)建了政府門戶網(wǎng)站信息安全保障體系。主要包括制定網(wǎng)站信息安全技術(shù)保障的總體規(guī)劃、積極應(yīng)用各種安全技術(shù)產(chǎn)品和建立基于公眾應(yīng)用需求的容災(zāi)級(jí)別和容災(zāi)系統(tǒng)。保障體系的提出，不僅為政府門戶網(wǎng)站信息安全保障提供了可行性借鑒，而且大大豐富了公共管理的理論體系。

關(guān)鍵詞：政府門戶網(wǎng)站；信息安全；保障；體系

政府門戶網(wǎng)站建設(shè)在帶來(lái)高效率和便利的同時(shí)，也帶來(lái)了威脅、風(fēng)險(xiǎn)和責(zé)任。目前在全球范圍內(nèi)，計(jì)算機(jī)病毒、各種有害信息、系統(tǒng)安全漏洞和網(wǎng)絡(luò)違法犯罪等政府網(wǎng)站信息安全問(wèn)題日漸突出，不僅制約了信息化的持續(xù)、健康發(fā)展，也給國(guó)家的經(jīng)濟(jì)建設(shè)和人們的社會(huì)生活帶來(lái)了許多負(fù)面影響。如何保障政府門戶網(wǎng)站信息安全，已經(jīng)成為世界各國(guó)政府主管部門、企業(yè)界和廣大用戶共同面臨的一個(gè)嚴(yán)峻挑戰(zhàn)。

一、制定網(wǎng)站信息安全技術(shù)保障的總體規(guī)劃

構(gòu)建政府門戶網(wǎng)站信息安全技術(shù)保障體系，首先需要有關(guān)部門和單位對(duì)信息安全問(wèn)題高度重視，并制定網(wǎng)站信息安全技術(shù)保障的總體規(guī)劃，防范信息安全風(fēng)險(xiǎn)。主要應(yīng)做好以下幾個(gè)方面的工作：一是要加強(qiáng)政府門戶網(wǎng)站的總體規(guī)劃和統(tǒng)一建設(shè)，避免多頭建設(shè)和重復(fù)建設(shè)，保證網(wǎng)絡(luò)整體性，避免網(wǎng)絡(luò)架構(gòu)缺陷引起的安全問(wèn)題。二是統(tǒng)一信息安全技術(shù)標(biāo)準(zhǔn)與規(guī)范，各級(jí)政府門戶網(wǎng)站信息安全建設(shè)都應(yīng)按照這個(gè)標(biāo)準(zhǔn)和規(guī)范進(jìn)行實(shí)施，以確保信息整體安全。三是加強(qiáng)信息資源安全等級(jí)標(biāo)準(zhǔn)的規(guī)劃和建設(shè)，明確不同信息的服務(wù)對(duì)象和公開(kāi)范圍。既要避免出現(xiàn)保密過(guò)度，限制政務(wù)信息化應(yīng)用的推廣和發(fā)展的情況，又要避免保密不夠，造成電子政務(wù)信息泄密情況的發(fā)生。在確保信息安全的基礎(chǔ)上，最大限度地保證信息共享。四是在信息安全方面，既要考慮省、市級(jí)政府的信息服務(wù)對(duì)象著重于政府部門和相關(guān)的領(lǐng)導(dǎo)等的特點(diǎn)，又要考慮到縣、區(qū)級(jí)政府及相關(guān)部門的信息服務(wù)對(duì)象著重于群眾或居民的特點(diǎn)。

二、積極應(yīng)用各種安全技術(shù)產(chǎn)品

目前，在市場(chǎng)上比較流行，而又能夠代表未來(lái)發(fā)展方向的安全產(chǎn)品大致有以下幾類：

1.防火墻。防火墻在某種意義上可以說(shuō)是一種訪問(wèn)控制產(chǎn)品。它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止外界對(duì)內(nèi)部資源的非法訪問(wèn)，防止內(nèi)部對(duì)外部的不安全訪問(wèn)。主要技術(shù)有：包過(guò)濾技術(shù)，應(yīng)用網(wǎng)關(guān)技術(shù)，代理服務(wù)技術(shù)。防火墻能較為有效地防止黑客利用不安全的服務(wù)對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過(guò)濾、記錄和報(bào)告功能，較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接。但其本身可能存在安全問(wèn)題，也可能會(huì)是一個(gè)潛在的瓶頸。

2.入侵檢測(cè)系統(tǒng)。入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)。入侵檢測(cè)技術(shù)作為防火墻的合理補(bǔ)充，是主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。即通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集的信息進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。與其他安全產(chǎn)品不同，入侵檢測(cè)系統(tǒng)需要更多的智能，它可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。

3.近年來(lái)，門戶網(wǎng)站防篡改系統(tǒng)也出現(xiàn)了不少，可使系統(tǒng)修改檢測(cè)時(shí)間縮小到毫秒級(jí)，而且，由于采用的事件觸發(fā)技術(shù)，系統(tǒng)監(jiān)測(cè)基本不額外占占用系統(tǒng)資源。目前市場(chǎng)上主流的網(wǎng)頁(yè)防篡改技術(shù)主要包括如下幾項(xiàng)技術(shù)：(1)外掛掃描技術(shù)。外掛掃描技術(shù)是采用從外部逐個(gè)掃描網(wǎng)頁(yè)文件的方式來(lái)判斷對(duì)網(wǎng)頁(yè)的非法修改，采用這種技術(shù)一般會(huì)有一定的時(shí)間間隔，而且網(wǎng)站文件越多，時(shí)間間隔越長(zhǎng)，不能保證被黑客修改的網(wǎng)頁(yè)不被訪問(wèn)者看到。(2)核心內(nèi)嵌技術(shù)。采用核心內(nèi)嵌技術(shù)的防篡改系統(tǒng)，其篡改檢測(cè)模塊運(yùn)行于Web服務(wù)器軟件內(nèi)部，與Web服務(wù)器無(wú)縫結(jié)合。每次Web服務(wù)器對(duì)外發(fā)送網(wǎng)頁(yè)時(shí)，系統(tǒng)都進(jìn)行網(wǎng)頁(yè)防篡改檢測(cè)，從而能夠?qū)崟r(shí)地確保每個(gè)網(wǎng)頁(yè)的真實(shí)性。(3)事件觸發(fā)技術(shù)。事件觸發(fā)技術(shù)是把系統(tǒng)的篡改檢測(cè)模塊嵌入到操作系統(tǒng)內(nèi)核，因此所有的文件非法變更事件都會(huì)被事件觸發(fā)器無(wú)延遲的獲取，該機(jī)制完全區(qū)別于掃描技術(shù)和核心內(nèi)嵌技術(shù)，不需要與備份庫(kù)對(duì)比分析的繁瑣過(guò)程，因此可以做到監(jiān)控的實(shí)時(shí)性和系統(tǒng)資源低占用率。是當(dāng)前比較先進(jìn)的一種防篡改檢測(cè)技術(shù)。(4)CDN技術(shù)。CDN即內(nèi)容分發(fā)，主服務(wù)器針對(duì)不同地區(qū)、不同電信運(yùn)營(yíng)商，將瀏覽內(nèi)容鏡像到多個(gè)服務(wù)器上，如果一個(gè)服務(wù)器受到攻擊，則由其它鏡像來(lái)接管，網(wǎng)友可從最近的節(jié)點(diǎn)上獲取數(shù)據(jù)。

三、建立基于公眾應(yīng)用需求的容災(zāi)級(jí)別和容災(zāi)系統(tǒng)

各種自然災(zāi)害和突發(fā)事件都有可能導(dǎo)致各網(wǎng)站信息系統(tǒng)的癱瘓?jiān)斐蔀?zāi)難性后果。根據(jù)公眾對(duì)系統(tǒng)需求的緊急程度、應(yīng)急恒復(fù)時(shí)間來(lái)劃分，容災(zāi)備份通常分為以下三種級(jí)別。

1.最高級(jí)別容災(zāi)系統(tǒng)。建立異地鏡像系統(tǒng)，即同時(shí)對(duì)系統(tǒng)軟、硬件進(jìn)行備份，并且系統(tǒng)的數(shù)據(jù)實(shí)現(xiàn)遠(yuǎn)程類實(shí)時(shí)備份。該級(jí)別的容災(zāi)系統(tǒng)可確保原系統(tǒng)在完全崩潰的情況下，系統(tǒng)能夠立刻替代原系統(tǒng)響應(yīng)服務(wù)。

2.一般級(jí)別容災(zāi)系統(tǒng)。對(duì)動(dòng)態(tài)系統(tǒng)數(shù)據(jù)進(jìn)行定期完整備份和增量備份，并同時(shí)進(jìn)行異地備份處理。網(wǎng)站系統(tǒng)服務(wù)平臺(tái)確保在指定的時(shí)間內(nèi)搭建完成，然后提供與原系統(tǒng)基本相同的系統(tǒng)服務(wù)(與系統(tǒng)實(shí)時(shí)數(shù)據(jù)差別主要由增量備份的時(shí)間間隔決定，每次增量備份間時(shí)間間隔越短，備份數(shù)據(jù)與實(shí)時(shí)數(shù)據(jù)差別越小)。

3.最低級(jí)別容災(zāi)系統(tǒng)。僅定期進(jìn)行系統(tǒng)數(shù)據(jù)的完全冷備份，適用于僅要求系統(tǒng)可恢復(fù)且系統(tǒng)數(shù)據(jù)變化不大的情況下。

一般來(lái)說(shuō)，政府門戶網(wǎng)站中的政策、公告等辦事指南系統(tǒng)和信息查詢、報(bào)名等公眾應(yīng)用服務(wù)系統(tǒng)，都可以考慮采取以上備份方式。而公用信息發(fā)布系統(tǒng)數(shù)據(jù)相對(duì)來(lái)說(shuō)一般是靜態(tài)的，采用一般或者更低級(jí)別的容災(zāi)系統(tǒng)也是可以的。