陳力帥

摘 要： 當前政府門戶網站安全問題日益突出，但機構缺乏對地市級層面的網站安全現(xiàn)狀的分析和研究。選取某地級市的105個重點門戶網站作為對象，通過技術檢測和漏洞統(tǒng)計，提出當前地市級重點門戶網站面臨的主要風險和薄弱環(huán)節(jié)，并給出解決方案。結合實際情況，對地市級網絡安全主管部門的下一步工作及保障對策提出了建議。

關鍵詞： 地市級； 門戶網站； 網絡安全； 保障對策

中圖分類號：TP393 文獻標志碼：A 文章編號：1006-8228（2017）02-31-03

0 引言

在政府部門信息化建設的初期，由于建設經驗不足，存在重建設、輕安全的問題，致使部分黨政機關重點門戶網站缺乏必要的安全防護措施，同時，網絡安全制度不健全、落實不到位、網絡安全意識薄弱等問題層出不窮。

1 研究背景與目的

據國內某網絡信息安全龍頭企業(yè)統(tǒng)計：2015年全年，該公司網站安全檢測平臺共掃描各類網站231.2萬個，其中，存在安全漏洞的網站為101.5萬個，占掃描網站總數(shù)的43.9%。其中存在高危安全漏洞的網站共有30.8萬個，占掃描網站總數(shù)的13.0%，與2014年的對比如圖1所示。

又據國內某網絡安全防護領先企業(yè)統(tǒng)計，2015年，共檢測發(fā)現(xiàn)我國境內網站被黑事件33，929，213次，相比2014年的28，898.261次，增長456.44%。

由上述數(shù)據可見我國網絡安全現(xiàn)狀不容樂觀。目前國內各信息安全機構對國家和省級層面的網站安全檢查研究較多，但地市級的重點門戶網站安全報告較為稀少，通過本次研究旨在實現(xiàn)以下三個目的。

⑴ 通過掃描，檢測當前地市級重點門戶網站的健康概況，查找問題網站清單，發(fā)現(xiàn)面臨的主要網絡漏洞風險。

⑵ 根據緊急、高危、中危等風險等級，對重點網站進行風險評估，摸清當前地市級重點門戶網站現(xiàn)狀。

⑶ 總結研究數(shù)據，分析主要問題，提出符合地市級網絡信息安全管理水平，較為普適的保障對策。

2 研究的對象及方法

2.1 研究對象

本次研究對象為浙江省某地級市105家重點門戶網站。其中市政府及區(qū)縣政府門戶網站13家，市經信委及縣（市、區(qū)）經信局門戶網站6家，gov.cn結尾的市直黨政機關網站56家，直屬機構事業(yè)單位門戶網站30家，基本覆蓋改地級市網站類關鍵信息基礎設施。

2.2 研究實施過程

⑴ 2016年6月至9月上旬對該地級市市直部門、下轄區(qū)縣等單位共105個網站系統(tǒng)進行安全性檢測，檢測內容覆蓋網站掛馬、SQL注入、跨站腳本、表單繞過等高風險漏洞情況。

⑵ 2016年9月中下旬，對檢測的情況進行整理、匯總、歸納、分析，多維度評估事件及漏洞風險等級，綜合評定網站的安全現(xiàn)狀。

⑶ 2016年10月，對網站出現(xiàn)的問題進行研究，給出解決對策。

⑷ 2016年11月，對本次研究的過程和結果進行終結，認真分析問題，識別主要隱患，評價整改效果，提出下一步工作建議及保障對策。

3 研究結果

3.1 總體概況

檢測結果顯示，12家網站存在緊急及以下風險，5家網站存在高危及以下風險，11家網站存在中危及以下風險，77家網站處于低風險或較為安全的狀態(tài)，具體分布如圖2所示。

3.2 緊急風險漏洞情況

緊急風險漏洞為可以直接被利用的漏洞，且利用難度較低。被攻擊之后可能對網站或服務器的正常運行造成嚴重影響，或對用戶財產及個人信息造成重大損失，是網站安全防護的重中之重，此次檢測研究發(fā)現(xiàn)，主要存在緊急風險漏洞有以下。

⑴ SQL注入：SQL注入攻擊（SQL Injection），簡稱注入攻擊、SQL注入，被廣泛用于非法獲取網站控制權，是發(fā)生在應用程序的數(shù)據庫層上的安全漏洞。

⑵ 跨站腳本：跨站腳本攻擊（Cross-site scripting，通常簡稱為XSS）發(fā)生在客戶端，可被用于進行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意代碼等攻擊行為。

檢測結果中緊急風險漏洞的分布如圖3所示。

從網站類型上看，緊急風險漏洞的分布情況如圖4所示。

區(qū)縣政府門戶網站中，有4家存在緊急風險，占31%。市直黨政機關門戶網站中，有4家存在緊急風險，占7%。直屬機構及事業(yè)單位門戶網站中，有3家存在緊急風險，占10%。經信系統(tǒng)門戶網站中，有1家存在緊急風險，占16%。

由此可知，區(qū)縣政府門戶網站面臨較大風險，其次是直屬機構及事業(yè)單位的門戶網站。

3.3 問題解決對策

⑴ 加強網站對SQL注入和跨站腳本等主要風險的防范；

⑵ 加強對網站安全風險的監(jiān)控和持續(xù)防護；

⑶ 加強對存在緊急風險漏洞網站的檢查力度。

4 研究建議

根據此次研究結果并結合地級市普遍存在的實際情況，對下一步網絡信息安全保障工作提出以下幾點建議，以供參考：

⑴ 加強網絡信息安全相關人員專業(yè)技術培訓。當前安全相關崗位人員專業(yè)技術水平還比較欠缺，網絡安全工作基本上處于完全依賴開發(fā)單位和安全服務單位的狀態(tài)。應組織專門的網絡信息安全基本技能培訓，進一步提高網絡安全工作人員的專業(yè)水平和責任擔當意識。

⑵ 進一步加強重點門戶網站的應急管理體系建設。研究建立全市重點門戶網站的的應急響應標準，須要求各單位落實責任制，明確應急響應的各個環(huán)節(jié)，根據事件的分級要求，保證網絡安全事件發(fā)生時的應急和處置能力。

⑶ 依托云計算、云防護等先進技術，加快政府網站集群建設。依托云技術、云防護技術的網站群模式能有效強化資源整合，規(guī)范建設運維標準，明顯提高安全短板，鞏固提升整體的安全防護能力。

⑷ 加快相關管理制度和規(guī)范的制定。目前保障網站安全的應對措施主要是靠技術手段，需要從政府層面對網站進行統(tǒng)一監(jiān)管并制定一系列規(guī)范的數(shù)據管理條例，加強個人隱私保護、知識產權保護等方面的規(guī)范制度建設，明確處罰措施。

⑸ 集全市之智，組建專業(yè)可靠的專家智庫。嘗試在地市范圍內征集信息安全專家，不拘一格，通過考核選拔，成立網絡信息安全工作組或者專家智庫，負責對重點門戶網站安全狀況進行風險評估，指導監(jiān)督網絡安全審查工作，對安全態(tài)勢進行感知和預判，為主管單位提供智力支撐。

⑹ 強化重點信息化項目系統(tǒng)生命周期的管理。對于涉及關鍵領域的大型信息化建設項目，可從立項設計、建設實施，到部署運維、升級變更等各個階段引入并實施相應級別的安全管理和技術檢測，落實等級保護，加強關鍵信息基礎設施的網絡信息安全。

5 結束語

安全是相對的，不是絕對的，隨著電子政務的快速發(fā)展，政府門戶網站的網絡信息安全任重道遠。文本中的案例和建議僅提供參考，下一步，信息系統(tǒng)審計、態(tài)勢感知平臺等新技術的應用將給主管部門帶來更廣闊的治理思路。

參考文獻（References）：

[1] 工業(yè)和信息化部電子科學技術研究所浙江省信息安全行業(yè)

協(xié)會.政府部門如何做好網絡信息安全檢查工作[J].中國信息化，2014.23：107-112

[2] 知道創(chuàng)宇有限公司.2015年中國互聯(lián)網網站安全報告.http：

//www.isc.org.cn/zxzx/xhdt/listinfo-31793，2016.4.3.

[3] 奇虎360科技有限公司.2015年中國網站安全報告http：//

zt.#/1101061855.php？dtid=1101062368&did=1101536490，2016.6.1.

[4] Ross Anderso著.齊寧韓志文劉國萍譯.信息安全工程（第2

版）.清華大學出版社，2012.

[5] 沈笑慧，鮑克，劉曉莉.浙江省電子信息產品檢驗所.政務云信

息安全淺析[J].計算機時代，2016.7：24-27