孫雷

上世紀(jì)九十年代的起步階段到如今，

我國政府網(wǎng)站建設(shè)已經(jīng)走過了十八年的歷程。政府網(wǎng)站作為公眾獲取政府信息和了解政府的主要渠道和信息發(fā)布平臺，代表著國家和政府形象，同時折射出政府電子政務(wù)應(yīng)用的綜合水平，因此，網(wǎng)站的安全穩(wěn)定成為電子政務(wù)信息安全防護(hù)體系的重要組成部分。

近年來，網(wǎng)站建設(shè)整體水平隨著電子政務(wù)應(yīng)用的不斷深入，政府網(wǎng)站所面臨的威脅和風(fēng)險也正在不斷加大。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心統(tǒng)計，截至2013年9月，境內(nèi)被篡改網(wǎng)站數(shù)量為6935個，其中被篡改政府網(wǎng)站數(shù)量為532個；境內(nèi)被植入后門的網(wǎng)站數(shù)量為22810個，其中政府網(wǎng)站有360個。

一直以來，國家出臺了很多如等級保護(hù)等相關(guān)制度，對政府網(wǎng)絡(luò)安全建設(shè)等級逐步加強，防護(hù)能力得到了很大的提升。但2013年“棱鏡門”事件讓全世界為之震驚，同時也真真切切地給我國政府、企業(yè)乃至個人上了一堂現(xiàn)實版的信息諜戰(zhàn)課，使“信息安全”再一次成為2013年最受關(guān)注的詞匯之一。透過“棱鏡門”事件，我們清楚地看到，在信息技術(shù)方面我國還有太多的硬傷，無論從軟件到硬件，從操作系統(tǒng)到網(wǎng)絡(luò)設(shè)備，從安全意識到防護(hù)手段，我們的安全意識和綜合實力急需進(jìn)一步全面加強。

政府網(wǎng)站防護(hù)功夫不足

由于網(wǎng)站是暴露在相對開放的環(huán)境下的一種網(wǎng)絡(luò)應(yīng)用方式，更容易導(dǎo)致來自外部互聯(lián)網(wǎng)或內(nèi)部網(wǎng)絡(luò)上的安全威脅。造成當(dāng)前網(wǎng)站安全威脅的原因多種多樣，除了互聯(lián)網(wǎng)快速發(fā)展，黑客技術(shù)和黑客攻擊手段的不斷增多，入侵者的裝備及技術(shù)水平正在不斷地超越政府網(wǎng)站的防護(hù)力量，還有我們自己有很多防護(hù)工作沒有下足功夫，其中主要表現(xiàn)在五個方面：

信息安全意識不強，對系統(tǒng)防護(hù)工作重視不夠。很多單位都沒有安排信息安全的具體負(fù)責(zé)人員，對網(wǎng)站系統(tǒng)的安全防護(hù)工作也沒有進(jìn)行規(guī)劃部署，系統(tǒng)從未做過安全評估，主管領(lǐng)導(dǎo)對網(wǎng)站系統(tǒng)安全狀況掌握不足，相關(guān)工作還沒有落實到位。

技術(shù)防護(hù)水平薄弱，面對攻擊和入侵應(yīng)對措施匱乏。政府網(wǎng)站的整體防護(hù)水平還比較薄弱，管理維護(hù)人員的安全技術(shù)水平有待進(jìn)一步提高；同時受限于資金和人員問題，很多單位在應(yīng)對攻擊和入侵時應(yīng)對手段比較匱乏，一旦遭受攻擊，網(wǎng)站系統(tǒng)癱瘓后恢復(fù)的難度較大，同時存在被多次攻擊的情況。

對開發(fā)商缺乏監(jiān)管，網(wǎng)站設(shè)計開發(fā)時缺少對安全的考慮。由于缺乏對網(wǎng)站系統(tǒng)開發(fā)單位的監(jiān)管和要求，政府網(wǎng)站的設(shè)計和開發(fā)對安全的重視程度不夠，很多網(wǎng)站在上線后，存在代碼處理不嚴(yán)謹(jǐn)、語句語法、文件路徑泄露等問題，同時后臺支持?jǐn)?shù)據(jù)庫的管理也比較混亂，存在很大安全隱患。

由于利益驅(qū)動等原因，內(nèi)部個別人員對網(wǎng)站進(jìn)行惡意破壞。個別單位的網(wǎng)站系統(tǒng)，存在被內(nèi)部人員因為利益和其他原因，從內(nèi)部進(jìn)行破壞的情況。這種破壞雖然不常見，但是往往后果都比較嚴(yán)重。

缺少應(yīng)急處置措施，發(fā)生安全事件時反應(yīng)緩慢處置不力。大多數(shù)政府機關(guān)在應(yīng)急處置方面還存在盲區(qū)，應(yīng)急方案不夠完善，網(wǎng)站系統(tǒng)一旦遭到攻擊、篡改，沒有具體的應(yīng)對的流程、沒有協(xié)調(diào)聯(lián)系人、沒有應(yīng)對處置措施，同時很多的單位沒有與設(shè)備廠家建立日常聯(lián)系溝通機制，也沒有信息安全技術(shù)支持隊伍，造成應(yīng)急事件處置起來存在較大問題。

五項“加強”保安全

針對以上問題，筆者認(rèn)為面對政府單位的網(wǎng)站系統(tǒng)，必須常備不懈，對信息安全工作緊抓不放，做好以下五項“加強”工作：

加強信息安全的培訓(xùn)和教育，提高信息安全意識。安全防范的根本是提高人的安全意識。通過組織各種形式的培訓(xùn)，不斷提高機關(guān)人員的信息安全意識，形成從上到下 “信息安全是第一安全”的思想，加強相關(guān)部門、人員的主動防護(hù)意識，提升單位整體的信息安全認(rèn)識。

加強信息安全技術(shù)水平，增強入侵和攻擊的應(yīng)對能力。通過專業(yè)的培訓(xùn)學(xué)習(xí)，提高單位關(guān)鍵崗位維護(hù)人員的信息安全技術(shù)水平，增添必要的信息安全防護(hù)設(shè)備，確保對網(wǎng)站系統(tǒng)的基本安全保障，設(shè)置合理的網(wǎng)絡(luò)安全管理策略，以應(yīng)對來自互聯(lián)網(wǎng)絡(luò)的攻擊和破壞。

加強對開發(fā)商的監(jiān)管，網(wǎng)站的設(shè)計開發(fā)遵循國家標(biāo)準(zhǔn)。網(wǎng)站使用單位應(yīng)該要求網(wǎng)站系統(tǒng)的開發(fā)單位嚴(yán)格按照國家信息安全的管理要求，加強網(wǎng)站系統(tǒng)架構(gòu)的健全性和安全性，并且遵守軟件開發(fā)方面的安全要求，盡量避免出現(xiàn)安全上的漏洞，并對測試時發(fā)現(xiàn)的問題進(jìn)行修補，同時對數(shù)據(jù)庫實施嚴(yán)格的安全管理。

加強內(nèi)部的信息安全管理，做到防患于未然。進(jìn)一步完善信息安全規(guī)章制度，形成具有整體性的信息安全工作規(guī)劃，從整體上部署信息安全工作重點及任務(wù)，形成分工明確、權(quán)責(zé)清晰的層次化管理結(jié)構(gòu)，同時制定嚴(yán)格的信息安全事件問責(zé)制度，將內(nèi)部發(fā)生事件的概率降至最低。

加強網(wǎng)站安全檢查和應(yīng)急處置力度，定期演練。網(wǎng)站維護(hù)單位要按照信息安全等級保護(hù)的要求，定期對網(wǎng)站進(jìn)行安全檢查，并加大對信息安全應(yīng)急處理手段的支持和保障，保證在事件發(fā)生時能夠調(diào)配足夠的資源來應(yīng)對，同時不斷完善信息安全應(yīng)急預(yù)案的流程和內(nèi)容，并定期開展預(yù)案的演練工作。

（作者單位：黑龍江省工業(yè)和信息化委員會信息中心）