付 靜，姚 葳，楊 非

（1. 水利部水利信息中心，北京 100053；2. 北京金水信息技術(shù)發(fā)展有限公司，北京 100053）

水利行業(yè)網(wǎng)站安全管理研究

付 靜1，姚 葳2，楊 非1

（1. 水利部水利信息中心，北京 100053；2. 北京金水信息技術(shù)發(fā)展有限公司，北京 100053）

水利行業(yè)網(wǎng)站在形象宣傳、信息發(fā)布、公眾服務(wù)、互動(dòng)交流上發(fā)揮著不可替代的積極作用。面對(duì)日益復(fù)雜的安全形勢，從現(xiàn)階段水利行業(yè)網(wǎng)站安全現(xiàn)狀出發(fā)，分析當(dāng)前面臨的安全威脅，提出對(duì)水利行業(yè)網(wǎng)站安全進(jìn)行防護(hù)的對(duì)策和展望，為水利行業(yè)網(wǎng)站安全管理提供參考。

水利行業(yè)網(wǎng)站；網(wǎng)站安全；安全防護(hù)

0 引言

隨著水利信息化建設(shè)的不斷深入，水利行業(yè)網(wǎng)站發(fā)揮行業(yè)優(yōu)勢，整合各類資源，在加強(qiáng)水利宣傳，增進(jìn)信息溝通，促進(jìn)水利發(fā)展，提供優(yōu)質(zhì)社會(huì)服務(wù)等方面發(fā)揮著不可替代的積極作用，社會(huì)影響巨大。然而，信息技術(shù)的飛躍發(fā)展，針對(duì)網(wǎng)站的攻擊和入侵手段也隨之變化多樣且層出不窮，如網(wǎng)站內(nèi)容被篡改，頁面被植入暗鏈木馬，DDoS 攻擊造成網(wǎng)站服務(wù)中斷等安全事件時(shí)有發(fā)生，并呈現(xiàn)日趨嚴(yán)重的發(fā)展態(tài)勢，網(wǎng)站一旦受到外界攻擊或內(nèi)部損壞，就會(huì)產(chǎn)生一系列不良影響，甚至產(chǎn)生巨大損失。在日益復(fù)雜嚴(yán)峻的安全形勢下，如何采取科學(xué)可靠的安全防護(hù)措施保障水利行業(yè)網(wǎng)站的安全，是一項(xiàng)亟待解決，刻不容緩的重要問題[1]。

1 水利行業(yè)網(wǎng)站安全現(xiàn)狀

水利行業(yè)網(wǎng)站安全現(xiàn)狀因網(wǎng)站建設(shè)的時(shí)間、技術(shù)、資金投入、運(yùn)維模式的不同呈兩極分化現(xiàn)象。以水利部門戶網(wǎng)站為代表的具有政府職能的水利行業(yè)網(wǎng)站基本都已經(jīng)建立了安全運(yùn)行長效機(jī)制，水利部門戶網(wǎng)站 2012年就已順利通過國家信息安全等級(jí)保護(hù)三級(jí)測評(píng)。水利部各司局及部分事業(yè)單位等子站已改變?cè)械母髯詾閼?zhàn)的運(yùn)維模式，統(tǒng)一納入水利部網(wǎng)站信息發(fā)布管理平臺(tái)進(jìn)行集約建設(shè)，在統(tǒng)一的水利信息網(wǎng)絡(luò)安全保障體系下，進(jìn)行重點(diǎn)防護(hù)和加固，配有相關(guān)網(wǎng)站安全產(chǎn)品和災(zāi)備設(shè)施，制定網(wǎng)絡(luò)安全管理制度，強(qiáng)化網(wǎng)絡(luò)安全檢查，提升應(yīng)急處置能力，運(yùn)行狀況良好。目前網(wǎng)站日均防范 1.5 萬余次網(wǎng)絡(luò)攻擊，敏感性詞實(shí)時(shí)監(jiān)控有效掃描日均 4 000 余條，迄今為止，未發(fā)生一起重大安全事件。

但由于水利行業(yè)網(wǎng)站涉及層級(jí)多，范圍廣，部分水利行業(yè)網(wǎng)站目前仍然存在著安全隱患，尤其是地市級(jí)以下的網(wǎng)站安全問題尤為突出，存在安全防護(hù)措施缺失，應(yīng)急處置手段缺乏，安全監(jiān)督不到位等問題[2]。特別是早期開發(fā)建設(shè)的網(wǎng)站系統(tǒng)，往往為了滿足服務(wù)需求，定制開發(fā)獨(dú)有的 Web 應(yīng)用，這些應(yīng)用開發(fā)周期短，變更頻繁，存在不同程度的安全問題。而定制化的特點(diǎn)決定了這些應(yīng)用整改不及時(shí)，周期長，難以施行，或者沒有通用補(bǔ)丁可用，安全隱患較大。部分水利行業(yè)網(wǎng)站不重視網(wǎng)站技術(shù)投入，網(wǎng)站上線運(yùn)行后，網(wǎng)站日常維護(hù)人員只粗略了解計(jì)算機(jī)簡單操作，不具備網(wǎng)絡(luò)技術(shù)和網(wǎng)站安全防護(hù)知識(shí)，更談不上做好網(wǎng)站的安全管理工作，網(wǎng)站被攻擊或損壞的時(shí)候才臨時(shí)找技術(shù)人員解決，經(jīng)常是頭痛醫(yī)頭，腳痛醫(yī)腳，缺乏根治問題的技術(shù)手段和能力，安全事件時(shí)有發(fā)生。網(wǎng)站應(yīng)急響應(yīng)滯后，在遭到病毒感染、黑客攻擊造成故障或數(shù)據(jù)損壞后，才意識(shí)到網(wǎng)站安全出現(xiàn)問題；特別是針對(duì)一些表面上對(duì)網(wǎng)站服務(wù)沒有影響的攻擊，如網(wǎng)頁被植入暗鏈，服務(wù)器被掛上木馬，甚至被控制成為傀儡機(jī)時(shí)等更是毫無防范。

網(wǎng)站安全是一個(gè)動(dòng)態(tài)的問題，需要系統(tǒng)治理。隨著互聯(lián)網(wǎng)安全形勢的變化，網(wǎng)站也需要采取不同的應(yīng)對(duì)，這就需要持續(xù)不斷地完善軟硬件環(huán)境和信息安全設(shè)施，不斷利用主流技術(shù)措施，強(qiáng)化網(wǎng)站安全防護(hù)保障能力，構(gòu)建有效的網(wǎng)站安全防護(hù)保障體系，保障網(wǎng)站長期高效穩(wěn)定運(yùn)行。

2 水利行業(yè)網(wǎng)站安全問題分析

水利行業(yè)網(wǎng)站安全問題既有外界干擾因素，又有內(nèi)部存在的弊端；既有顯而易見的問題，又有潛在安全隱患。

2.1 互聯(lián)網(wǎng)安全威脅

信息技術(shù)創(chuàng)新發(fā)展伴隨的安全威脅與傳統(tǒng)安全問題相互交織，各種網(wǎng)絡(luò)攻擊事件層出不窮。當(dāng)前面臨的安全風(fēng)險(xiǎn)不斷加大，安全威脅主要存在以下4 個(gè)方面：

1）針對(duì)網(wǎng)站的惡意攻擊，特別是來自境外的網(wǎng)站攻擊事件頻繁發(fā)生，這些攻擊依托商業(yè)攻擊平臺(tái)和互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈數(shù)據(jù)等成熟資源，技術(shù)門檻低，溯源分析難度大，其中具有國家背景的黑客組織發(fā)動(dòng)的高級(jí)持續(xù)性威脅（APT）攻擊事件直接威脅網(wǎng)站安全[3]。

2）大流量 DDos 攻擊導(dǎo)致網(wǎng)站服務(wù)被迫中斷，且攻擊時(shí)長和頻度不斷攀升。攻擊來源于 24 h 在線的物聯(lián)網(wǎng)智能設(shè)備，由于這些設(shè)備感染惡意程序后不易被用戶察覺，容易形成“穩(wěn)定”的攻擊源，成為對(duì)網(wǎng)站攻擊的主要手段。

3）網(wǎng)站相關(guān)的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、Web 應(yīng)用等多個(gè)層面安全漏洞數(shù)量激增，直接威脅網(wǎng)站安全。2016年，通過國家信息安全漏洞共享平臺(tái)（CNVD）對(duì)外通報(bào)的高危漏洞就高達(dá) 4 146 個(gè)，涵蓋多家產(chǎn)品。

4）病毒爆發(fā)，如 2017年 5月發(fā)生的敲詐勒索軟件病毒肆虐，該病毒采用加密重要數(shù)據(jù)或關(guān)鍵設(shè)備的手段，脅迫用戶支付解鎖費(fèi)用。一旦網(wǎng)站的服務(wù)器系統(tǒng)和重要數(shù)據(jù)資料被加密鎖死，將直接造成網(wǎng)站對(duì)外服務(wù)的癱瘓。

2.2 網(wǎng)站自身安全隱患

除了外部威脅，網(wǎng)站自身內(nèi)部在代碼和運(yùn)維安全、安全防御手段等層面可能還存在以下隱患：

1）網(wǎng)站開發(fā)代碼質(zhì)量。在網(wǎng)站開發(fā)過程中，除網(wǎng)站信息發(fā)布功能外，可能還存在較多的客戶端與服務(wù)端的復(fù)雜交互場景，若使用了存在漏洞的不規(guī)范編程語句，這些代碼漏洞極易被黑客利用對(duì)網(wǎng)站進(jìn)行腳本攻擊，造成網(wǎng)站數(shù)據(jù)庫被注入和掛馬等現(xiàn)象。在早期建設(shè)的水利行業(yè)網(wǎng)站中，這一問題尤為突出，越是老的網(wǎng)站模板，存在的漏洞可能越多，網(wǎng)站越可能被注入、掛馬。部分水利行業(yè)網(wǎng)站，在網(wǎng)站重新改版上線后，繼續(xù)保留網(wǎng)站歷史版本，會(huì)導(dǎo)致舊網(wǎng)站的安全漏洞又變成了新網(wǎng)站的安全隱患。

2）網(wǎng)站安全運(yùn)維水平。網(wǎng)站的安裝部署運(yùn)行如果直接使用系統(tǒng)及設(shè)備默認(rèn)的配置，未進(jìn)行安全定義和策略實(shí)施部署，與會(huì)話管理和身份認(rèn)證相關(guān)的功能得不到正確實(shí)現(xiàn)，缺少對(duì)訪問權(quán)限的驗(yàn)證，系統(tǒng)組件總是以全部權(quán)限運(yùn)行，只要一個(gè)帶有漏洞的組件被利用，就可能造成連鎖反應(yīng)，造成數(shù)據(jù)丟失或系統(tǒng)防御失效，導(dǎo)致攻擊者可以冒用其他用戶身份進(jìn)行破壞性操作。另外網(wǎng)站運(yùn)維人員安全意識(shí)薄弱、配置不當(dāng)、口令選擇不慎等造成的安全問題，也會(huì)給網(wǎng)站的安全帶來一定的威脅。

3）安全防御手段。網(wǎng)站的安全防御大多數(shù)基于特征識(shí)別的入侵防御或內(nèi)容過濾技術(shù)，屬于僅依賴于網(wǎng)絡(luò)層面的安全防護(hù)手段，對(duì)保護(hù)網(wǎng)站信息內(nèi)容安全的效果不佳。一旦網(wǎng)絡(luò)安全技術(shù)防護(hù)被突破，網(wǎng)站無法阻斷黑客攻擊，會(huì)輕松被黑客獲取網(wǎng)站控制權(quán)限。

4）網(wǎng)站信息安全監(jiān)管。信息作為網(wǎng)站的核心價(jià)值，更應(yīng)作為網(wǎng)站安全的重要組成部分。對(duì)網(wǎng)站信息的管理內(nèi)容不經(jīng)審核就上網(wǎng)，對(duì)網(wǎng)站文字錯(cuò)誤、斷鏈、錯(cuò)鏈等問題缺少管理手段，存在長期無人管理的廢棄欄目，這些隱患都應(yīng)引起關(guān)注。

3 水利行業(yè)網(wǎng)站安全防護(hù)對(duì)策

面對(duì)日益復(fù)雜嚴(yán)峻的安全形勢，需要水利行業(yè)網(wǎng)站從安全預(yù)警監(jiān)測、日常運(yùn)維管理、技術(shù)防御手段和內(nèi)容安全保障、運(yùn)行環(huán)境等方面采取針對(duì)性措施。

3.1 增強(qiáng)網(wǎng)站技術(shù)防御手段

1）部署專業(yè)的防篡改和注入系統(tǒng)，有效阻斷針對(duì)網(wǎng)站應(yīng)用層的攻擊及掛馬風(fēng)險(xiǎn)，強(qiáng)制訪問控制對(duì)用戶數(shù)據(jù)文件進(jìn)行一致性校驗(yàn)，保障網(wǎng)站前后臺(tái)數(shù)據(jù)的一致性。采用脫敏檢查比對(duì)確保合法用戶對(duì)敏感信息的安全訪問，有效避免保密違規(guī)行為的發(fā)生。

2）通過動(dòng)態(tài)策略控制，在網(wǎng)站運(yùn)行中對(duì)加載的重要應(yīng)用程序和服務(wù)進(jìn)行可信驗(yàn)證，建立可信存儲(chǔ)和報(bào)告機(jī)制，根據(jù)規(guī)則確保用戶合法訪問網(wǎng)絡(luò)資源，限制惡意網(wǎng)站對(duì)終端的攻擊行為，減少攻擊所帶來的危害，基于白名單技術(shù)控制網(wǎng)站信息存儲(chǔ)、處理、傳輸?shù)臋C(jī)密性和完整性，以及 Web 服務(wù)和應(yīng)用程序的完整性，只允許白名單內(nèi)受信任的用戶和應(yīng)用執(zhí)行，確保網(wǎng)站運(yùn)行的可信計(jì)算環(huán)境。

3）部署 UWS 等應(yīng)急保護(hù)及災(zāi)備系統(tǒng)，使網(wǎng)站服務(wù)器的操作系統(tǒng)、應(yīng)用和數(shù)據(jù)生成多版本快照。在必要時(shí)可以通過 UWS 系統(tǒng)實(shí)現(xiàn)回滾到其它不同時(shí)刻的版本，從而快速恢復(fù)到網(wǎng)站可用狀態(tài)。同時(shí)UWS 也可作為網(wǎng)站臨時(shí)備機(jī)提供訪問服務(wù)。當(dāng)被保護(hù)服務(wù)器發(fā)生硬件損毀需要更換時(shí)，也可以通過UWS 實(shí)現(xiàn)網(wǎng)站系統(tǒng)及數(shù)據(jù)的即時(shí)遷移。

4）在部署網(wǎng)站防火墻和入侵檢測系統(tǒng)等網(wǎng)絡(luò)層面的安全防護(hù)設(shè)備基礎(chǔ)上，有條件的單位可以部署網(wǎng)站防火墻（WAF），持續(xù)分析告警日志，通過優(yōu)化和調(diào)整安全防護(hù)策略，可對(duì)攻擊進(jìn)行迅速且精準(zhǔn)的攔截，幫助用戶降低網(wǎng)站安全風(fēng)險(xiǎn)，對(duì)外部掃描、探測、入侵等行為能快速發(fā)現(xiàn)及告警，并阻斷外部病毒、木馬對(duì)網(wǎng)站系統(tǒng)的傳播。

5）部署異地容災(zāi)備份系統(tǒng)，發(fā)生不可抗力災(zāi)難時(shí)，可使用異地備份系統(tǒng)快速接管網(wǎng)站服務(wù)，保障網(wǎng)站運(yùn)行的連續(xù)性。

3.2 建立有效的網(wǎng)站安全預(yù)警監(jiān)測

1）充分依托已建的水利信息網(wǎng)絡(luò)安全保障體系，將水利行業(yè)網(wǎng)站納入并進(jìn)行統(tǒng)一管理，協(xié)同網(wǎng)絡(luò)安全技術(shù)人員，快速明確攻擊范圍，對(duì)攻擊網(wǎng)站的行為進(jìn)行針對(duì)性的實(shí)時(shí)阻截防御。

2）定期掃描網(wǎng)站風(fēng)險(xiǎn)漏洞，利用專用的系統(tǒng)漏洞掃描程序構(gòu)建自動(dòng)化掃描平臺(tái)，借助專用的漏洞檢測數(shù)據(jù)庫，構(gòu)造各種類型的“異?！碧峤粎?shù)，模擬 Web 前端與實(shí)際的 Web 應(yīng)用程序通信，探測各種已知和未知的漏洞，從而及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的安全缺陷，找到攻擊者遠(yuǎn)程突破網(wǎng)站安全防護(hù)的可能性，提前解決外界入侵威脅。

3）長期進(jìn)行網(wǎng)站安全監(jiān)測，通過網(wǎng)站域名從網(wǎng)站外部對(duì)網(wǎng)站的可用性、完整性等方面進(jìn)行監(jiān)測。通過全國各地運(yùn)營商網(wǎng)絡(luò)線路，遠(yuǎn)程實(shí)時(shí)監(jiān)測目標(biāo)站點(diǎn)在多種網(wǎng)絡(luò)協(xié)議下的響應(yīng)速度、首頁加載時(shí)間等反映網(wǎng)站性能狀況的內(nèi)容。與國家安全部門及水利部安全管理機(jī)構(gòu)建立安全預(yù)警監(jiān)測長效溝通機(jī)制，及時(shí)發(fā)現(xiàn)、處置潛在的安全風(fēng)險(xiǎn)。

4）通過大數(shù)據(jù)技術(shù)手段對(duì)各網(wǎng)站系統(tǒng)相關(guān)安全設(shè)備日常采集到的安全事件記錄日志進(jìn)行未知威脅分析處理，融合各安全要素信息并分析內(nèi)在聯(lián)系，得出態(tài)勢值衡量當(dāng)前網(wǎng)站整體安全狀況，并預(yù)測下一階段變化趨勢。

3.3 完善網(wǎng)站日常運(yùn)維

1）使用堡壘主機(jī)對(duì)網(wǎng)站進(jìn)行日常運(yùn)維，通過運(yùn)維賬號(hào)的集中管理、認(rèn)證授權(quán)及用戶的操作行為審計(jì)等策略對(duì)網(wǎng)站安全進(jìn)行有效的控制。結(jié)合統(tǒng)一用戶身份認(rèn)證系統(tǒng)，采用密鑰 Key 等軟硬件結(jié)合的安全策略，先由計(jì)算機(jī)識(shí)別連接在 USB 接口上的密鑰，再進(jìn)行堡壘主機(jī)的登錄，實(shí)現(xiàn)對(duì)管理用戶身份的準(zhǔn)確鑒別及權(quán)限的嚴(yán)格控制，進(jìn)一步增強(qiáng)網(wǎng)站防護(hù)。

2）第一時(shí)間對(duì)操作系統(tǒng)、數(shù)據(jù)庫等關(guān)鍵軟件進(jìn)行修補(bǔ)或者版本升級(jí)，以防黑客利用系統(tǒng)漏洞和弱點(diǎn)非法入侵。實(shí)時(shí)監(jiān)測網(wǎng)站服務(wù)器系統(tǒng)狀態(tài)和流量，出現(xiàn)異常情況應(yīng)對(duì)照內(nèi)置規(guī)則集和自定義規(guī)則進(jìn)行訪問控制，做好網(wǎng)站日常安全審計(jì)，快速準(zhǔn)確發(fā)現(xiàn)日常系統(tǒng)管理違規(guī)情況。定期對(duì)網(wǎng)站進(jìn)行滲透測試，發(fā)現(xiàn)網(wǎng)站深層次邏輯弱點(diǎn)并進(jìn)行修復(fù)。

3）網(wǎng)站系統(tǒng)的開發(fā)、調(diào)試過程均遵循規(guī)定的安全編碼原則和建設(shè)要求。借助專業(yè)設(shè)備及外部技術(shù)力量，在網(wǎng)站正式上線對(duì)外提供服務(wù)前，完成對(duì)網(wǎng)站代碼掃描和安全滲透測試，及時(shí)修正發(fā)現(xiàn)的風(fēng)險(xiǎn)漏洞，從源頭遏制網(wǎng)站掛馬、SQL 注入和跨站腳本攻擊等行為，提升網(wǎng)站的抗攻擊能力。按照國家信息系統(tǒng)安全等級(jí)保護(hù)要求，通過信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)。

4）建立完整規(guī)范的關(guān)鍵數(shù)據(jù)備份恢復(fù)機(jī)制，對(duì)應(yīng)用、系統(tǒng)、數(shù)據(jù)及底層驅(qū)動(dòng)的信息進(jìn)行逐日增量備份，發(fā)生服務(wù)故障時(shí)，能夠快速恢復(fù)，減少影響時(shí)間和損失。

3.4 保障可靠的網(wǎng)站運(yùn)行環(huán)境

1）將網(wǎng)站部署于可靠、安全的專業(yè)機(jī)房中，能夠?yàn)榫W(wǎng)站的穩(wěn)定運(yùn)行提供良好的物理環(huán)境支撐，保障系統(tǒng)運(yùn)行所需的電力供應(yīng)，避免因灰塵、水浸、雷電、非法人員接觸等造成的安全風(fēng)險(xiǎn)，降低自然風(fēng)險(xiǎn)隱患帶來的破壞。

2）支撐網(wǎng)站運(yùn)行的服務(wù)器和后臺(tái)管理系統(tǒng)要遵循最小化原則進(jìn)行權(quán)限設(shè)置，且確保系統(tǒng)的高可用性。有條件的水利行業(yè)網(wǎng)站可采用網(wǎng)站集群，增強(qiáng)網(wǎng)站的可靠性。應(yīng)確保至少有 1 臺(tái)其他服務(wù)器作為備機(jī)，當(dāng)集群中 1 臺(tái)網(wǎng)站服務(wù)器不可用時(shí)，備機(jī)能自動(dòng)接管故障服務(wù)器提供服務(wù)，允許集群內(nèi)部分節(jié)點(diǎn)掉線、故障或損壞而不影響整個(gè)網(wǎng)站的正常運(yùn)作。

3）確保網(wǎng)站所在網(wǎng)絡(luò)環(huán)境可靠，滿足網(wǎng)站關(guān)鍵訪問及應(yīng)用調(diào)用過程中的帶寬需求，保障正常業(yè)務(wù)高峰不受帶寬影響限制，并為網(wǎng)站系統(tǒng)提供冗余的關(guān)鍵鏈路及設(shè)備，避免因單一網(wǎng)絡(luò)鏈路故障造成影響。

3.5 做好網(wǎng)站信息內(nèi)容的安全保障

1）網(wǎng)站信息內(nèi)容的發(fā)布應(yīng)嚴(yán)格遵守國家關(guān)于網(wǎng)絡(luò)和網(wǎng)站的有關(guān)法律、法規(guī)、規(guī)定、辦法及水利部相關(guān)規(guī)章制度，嚴(yán)禁涉密信息上網(wǎng)并落實(shí)責(zé)任到人，避免泄密違規(guī)行為的發(fā)生。

2）在網(wǎng)站后臺(tái)前置內(nèi)容糾錯(cuò)系統(tǒng)，跟蹤監(jiān)測網(wǎng)站后臺(tái)編輯發(fā)布的信息，提高內(nèi)容質(zhì)量。建立信息追溯管理機(jī)制，實(shí)現(xiàn)信息處理流程的可跟蹤、追溯，以及數(shù)據(jù)變化的可監(jiān)測、還原。

4 水利行業(yè)網(wǎng)站安全展望

隨著《水利網(wǎng)絡(luò)安全頂層設(shè)計(jì)》的出臺(tái)和逐步實(shí)施，水利部提出水利網(wǎng)絡(luò)安全總體框架，要求在統(tǒng)一安全策略的指導(dǎo)下，以水利信息化基礎(chǔ)設(shè)施、數(shù)據(jù)資源和業(yè)務(wù)應(yīng)用等為安全保護(hù)對(duì)象，以組織管理、監(jiān)督檢查作為推進(jìn)安全工作的基礎(chǔ)保障，加強(qiáng)監(jiān)測預(yù)警、縱深防御、應(yīng)急響應(yīng) 3 個(gè)方面安全能力的建設(shè)[4]。

水利行業(yè)網(wǎng)站作為水利重要信息系統(tǒng)之一，傳統(tǒng)的、各自為戰(zhàn)的網(wǎng)站建設(shè)和運(yùn)維模式已經(jīng)無法對(duì)抗互聯(lián)網(wǎng)時(shí)代網(wǎng)站安全的全面挑戰(zhàn)，滿足日漸提高的水利行業(yè)網(wǎng)站安全穩(wěn)定運(yùn)行需求?；凇盎ヂ?lián)網(wǎng)+”的云模式下的水利行業(yè)網(wǎng)站建設(shè)將是發(fā)展方向，特別是缺乏網(wǎng)站安全防護(hù)技術(shù)力量的單位和部門，應(yīng)盡早將網(wǎng)站轉(zhuǎn)移至上級(jí)水利行業(yè)主管部門統(tǒng)一的網(wǎng)站管理平臺(tái)下，進(jìn)行統(tǒng)一的安全運(yùn)維管理。

水利行業(yè)網(wǎng)站安全要在水利信息化統(tǒng)一安全策略下，充分運(yùn)用水利網(wǎng)絡(luò)安全構(gòu)建的縱向聯(lián)動(dòng)整體防護(hù)體系，全面保障網(wǎng)站涉及的基礎(chǔ)設(shè)施、數(shù)據(jù)資源和應(yīng)用安全，強(qiáng)調(diào)網(wǎng)站內(nèi)容和服務(wù)的安全。健全網(wǎng)站組織管理，明確責(zé)任分工，落實(shí)安全責(zé)任，完善包括工作制度、流程、規(guī)范和操作規(guī)程在內(nèi)的網(wǎng)站安全管理制度；強(qiáng)化監(jiān)督檢查，建立常態(tài)化的網(wǎng)站安全監(jiān)督檢查機(jī)制。在水利網(wǎng)絡(luò)安全整體技術(shù)體系下，不斷提升網(wǎng)站監(jiān)測預(yù)警、縱深防御、應(yīng)急響應(yīng)的三大能力。網(wǎng)站安全運(yùn)維人員的素質(zhì)和能力直接影響網(wǎng)站安全問題的解決，因此，持續(xù)不斷的網(wǎng)站安全技術(shù)培訓(xùn)是各水利行業(yè)網(wǎng)站需要注意加強(qiáng)的，只有提高網(wǎng)站工作人員對(duì)安全的認(rèn)知，才能降低網(wǎng)站的安全風(fēng)險(xiǎn)。

水利行業(yè)網(wǎng)站安全建設(shè)不是一朝一夕間就能解決的事情，需要長期堅(jiān)持，并且能夠隨著網(wǎng)站業(yè)務(wù)目標(biāo)的變化、流程的調(diào)整、成熟度的豐滿而不斷與時(shí)俱進(jìn)。在整個(gè)網(wǎng)站安全建設(shè)過程中，都要本著解決問題的思路，并且要符合自身實(shí)際業(yè)務(wù)情況，實(shí)事求是，才能將網(wǎng)站安全運(yùn)營的效力更好地發(fā)揮出來。

5 結(jié)語

水利行業(yè)網(wǎng)站安全是綜合的動(dòng)態(tài)系統(tǒng)工作，安全問題解決的好，網(wǎng)站才能真正發(fā)揮應(yīng)有作用。提出的網(wǎng)站安全防護(hù)對(duì)策，還需要通過各單位結(jié)合自身業(yè)務(wù)特點(diǎn)，進(jìn)一步實(shí)踐、深化和完善。如何在水利信息系統(tǒng)安全保障體系下，綜合應(yīng)用多種安全措施，共同構(gòu)筑水利行業(yè)網(wǎng)站安全防護(hù)的銅墻鐵壁，樹立水利行業(yè)良好形象，是未來需要深入研究的方向。

[1] 蔡陽. 水利信息化“十三五”發(fā)展應(yīng)著力解決的幾個(gè)問題[J]. 水利信息化，2016 （1）: 1-5.

[2] 付靜，周維續(xù)，曾焱. 水利信息系統(tǒng)運(yùn)維體制與機(jī)制建設(shè)的幾點(diǎn)思考[J]. 水利信息化，2016 （4）: 53-58.

[3] 國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心. 2016年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述[A]. 北京：國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，2017.

[4] 水利部網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組辦公室. 水利網(wǎng)絡(luò)安全頂層設(shè)計(jì)[A]. 北京：水利部網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組辦公室， 2016.

Research on website security in water conservancy

FU Jing1, YAO Wei2, YANG Fei1

（1. Information Center, the Ministry of Water Resources, Beijing 100053, China；2. Beijing Jinshui Information Technology Development Co. Ltd, Beijing 100053, China）

With the deep construction of water resources informatization, water conservancy website plays an irreplaceable and positive role in image publicity, information release, public service and interactive communication. However, the security of the water conservancy website has become the focus of current informatization construction under the increasingly complicated security situation. According to the current situation of water conservancy at the present stage of website security, the paper analyses the current security threats which we are facing, proposes corresponding countermeasures and prospects and provides references for website safety management.

water conservancy website; website security; security defense

TV211；TP393.07

A

1674-9405（2017）03-0024-05

2017-05-16

付 靜（1976-），女，北京人，教授級(jí)高工，從事水利信息化有關(guān)工作。

10.19364/j.1674-9405.2017.03.006