文｜中國(guó)建筑科學(xué)院研究院建研科技股份有限公司 曲徑

當(dāng)前，以計(jì)算機(jī)技術(shù)、現(xiàn)代通信技術(shù)、物聯(lián)網(wǎng)、大數(shù)據(jù)以及云計(jì)算等新技術(shù)為支撐的信息時(shí)代引領(lǐng)人類社會(huì)進(jìn)入一個(gè)全新的時(shí)代，網(wǎng)絡(luò)空間成為信息時(shí)代的基本性標(biāo)志，其安全狀態(tài)對(duì)社會(huì)公共安全以及社會(huì)穩(wěn)定、經(jīng)濟(jì)發(fā)展影響重大。其中，政府網(wǎng)站的安全問題是社會(huì)安全的重要內(nèi)容，直接關(guān)系到國(guó)家安全。當(dāng)前，對(duì)政府網(wǎng)站安全構(gòu)成威脅的各種因素越來越復(fù)雜多樣，政府網(wǎng)站所面臨的安全形勢(shì)日趨復(fù)雜，迫切需要采取措施加強(qiáng)政府網(wǎng)站安全。

1 政府網(wǎng)站信息安全面臨更加復(fù)雜的嚴(yán)峻形勢(shì)

1.1 現(xiàn)有安全保障機(jī)制體制不能滿足形勢(shì)發(fā)展需要。傳統(tǒng)的政府網(wǎng)站信息安全通常以機(jī)關(guān)行政管理機(jī)構(gòu)+技術(shù)部門的模式形成保障機(jī)制，在信息化發(fā)展初期，此類做法能夠在短時(shí)間內(nèi)集中政府優(yōu)質(zhì)資源，少花錢多干事，解決了有沒有的問題，起到了信息化快速起步見成效的作用，有一定歷史積極意義，但是隨著信息社會(huì)的快速發(fā)展，安全形勢(shì)面臨日益復(fù)雜的局面，這種傳統(tǒng)模式已經(jīng)不能滿足發(fā)展需求，主要表現(xiàn)為：

（1）行政部門的科層式管理與信息化扁平化要求的矛盾。傳統(tǒng)的行政機(jī)關(guān)管理以科層式管理模式為主，遇事逐層上報(bào)，逐級(jí)批準(zhǔn)，信息化技術(shù)管理要求扁平化管理，即在一個(gè)平臺(tái)上可以同時(shí)進(jìn)行多個(gè)層級(jí)的上報(bào)批準(zhǔn)工作?，F(xiàn)實(shí)中形成的行政管理與技術(shù)支持的兩張皮模式，導(dǎo)致工作效率低下，在遇到重大信息安全問題時(shí)，缺乏足夠靈敏的反應(yīng)姿態(tài)。

（2）行政事業(yè)管理模式難以吸引和留住人才。網(wǎng)絡(luò)信息安全是當(dāng)前高端頂尖的IT技術(shù)領(lǐng)域，需要高水平人才方可勝任。行政事業(yè)單位受人員編制、薪酬待遇、晉升制度的限制，與社會(huì)IT公司相比較，待遇偏低、技術(shù)人才地位不高、升遷機(jī)會(huì)不多，往往對(duì)人才缺乏足夠的吸引力，對(duì)現(xiàn)有人員也難以形成凝聚力，造成人才流失，嚴(yán)重影響技術(shù)水平，導(dǎo)致安全保障手段難以實(shí)現(xiàn)。

（3）行政加事業(yè)的管理機(jī)制難以在研發(fā)上形成優(yōu)勢(shì)。傳統(tǒng)的信息安全管理機(jī)制以能應(yīng)對(duì)日常安全問題為訴求，沒有市場(chǎng)研發(fā)的壓力和動(dòng)機(jī)，也缺乏資金的投入和人才的儲(chǔ)備，安全保障手段往往以社會(huì)上成熟的技術(shù)為主，在遇到新的攻擊手段和安全威脅時(shí)，往往束手無策，坐以待斃，不能很好的先發(fā)制人。

1.2 技術(shù)層面上挑戰(zhàn)日益加劇。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心在2016年12月發(fā)布的《中國(guó)互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告（2016）》顯示，我國(guó)網(wǎng)站安全仍面臨更加復(fù)雜嚴(yán)峻的安全態(tài)勢(shì)。主要表現(xiàn)為：

（1）政府網(wǎng)站成為主要攻擊對(duì)象。政府網(wǎng)站在互聯(lián)網(wǎng)中成為主要的攻擊目標(biāo)，其所受威脅主要來自有價(jià)值信息造竊取、業(yè)務(wù)系統(tǒng)遭到癱瘓性攻擊、WEB服務(wù)器遭受控制性攻擊等。當(dāng)前，仿冒網(wǎng)頁(yè)、拒絕服務(wù)攻擊等形式已經(jīng)形成成熟的地下產(chǎn)業(yè)鏈，而且這種產(chǎn)業(yè)鏈正呈增長(zhǎng)的趨勢(shì)，網(wǎng)頁(yè)篡改、網(wǎng)站后門等攻擊事件頻發(fā)，黨政機(jī)關(guān)、科研機(jī)構(gòu)、重要行業(yè)單位網(wǎng)站成為黑客組織的首選重點(diǎn)攻擊目標(biāo)。

（2）植入后門等攻擊方式持續(xù)增加。數(shù)據(jù)表明，2015年我國(guó)有75028個(gè)網(wǎng)站被植入后門，與2014年相比增長(zhǎng)86.7%，其中有3514個(gè)政府網(wǎng)站，較2014年增長(zhǎng)130%。其中3.1萬(wàn)余個(gè)境外IP地址通過植入后門對(duì)境內(nèi)6.0萬(wàn)余個(gè)網(wǎng)站實(shí)施遠(yuǎn)程控制，境外控制端IP地址和所控制境內(nèi)網(wǎng)站數(shù)量分別較2014年增長(zhǎng)63%和82%，而位于美國(guó)的4361個(gè)IP地址通過植入后門控制了我國(guó)境內(nèi)11245個(gè)網(wǎng)站，入侵網(wǎng)站數(shù)量居首位。

（3）服務(wù)器安全面臨面臨未知攻擊增多。針對(duì)政府網(wǎng)站W(wǎng)eb服務(wù)器的各類各類網(wǎng)頁(yè)木馬、主流病毒、ARP攻擊、Web攻擊（抗CC）、DDOS攻擊、暴力破解、惡意篡改與刪除注冊(cè)表行為增多。

2 政府網(wǎng)站信息安全應(yīng)對(duì)措施

針對(duì)以上安全形勢(shì)問題，政府網(wǎng)站信息安全形勢(shì)不容樂觀，采取必要措施加強(qiáng)安全已經(jīng)刻不容緩。網(wǎng)絡(luò)空間安全問題在黨的十八大報(bào)告中，首次作為三個(gè)國(guó)家安全之一提出，我們有必要采取有效措施，構(gòu)建高效、科學(xué)、技術(shù)安全的網(wǎng)絡(luò)安全體系，以保障國(guó)家安全。

2.1 構(gòu)建科學(xué)的管理體制，完善管理機(jī)制。首先，政府相關(guān)部門需要?jiǎng)?chuàng)新觀點(diǎn)和思想，對(duì)技術(shù)保障部門不宜用行政手段現(xiàn)在管理，行政機(jī)關(guān)更多地把握原則性問題，提出安全保障要求，具體的技術(shù)實(shí)施方面應(yīng)當(dāng)適當(dāng)放權(quán)，交由有技術(shù)實(shí)力的技術(shù)部門具體實(shí)施，實(shí)現(xiàn)原則管理與日常技術(shù)性支持相融合的高效科學(xué)管理機(jī)制。其次，政府的技術(shù)部門應(yīng)當(dāng)加強(qiáng)自身組織建設(shè)，引入IT科技公司管理機(jī)制模式，創(chuàng)建人才培養(yǎng)、人才激勵(lì)機(jī)制，培養(yǎng)人才、鍛煉人才，做到留得住、用得上、用得好、有發(fā)展，形成良好的人才培養(yǎng)、鍛煉、提升、發(fā)展良性循環(huán)模式，練好內(nèi)功，擔(dān)當(dāng)起安全保障重任。

2.2 技術(shù)上可以采取政府購(gòu)買服務(wù)的模式，面向社會(huì)引入高水平安全保障力量，提升安全保障品質(zhì)。傳統(tǒng)的政府網(wǎng)站信息安全保障體制和機(jī)制已經(jīng)不適應(yīng)形勢(shì)發(fā)展需要，可在安全保障方面采取政府采購(gòu)的模式，面向社會(huì)引入技術(shù)實(shí)力雄厚的專業(yè)安全技術(shù)公司提供服務(wù)，以提升安全信息保障水平。此舉既可以解決技術(shù)滯后的致命難題，同時(shí)又因?yàn)椴少?gòu)服務(wù)，不需在人才方面大力投入，節(jié)省了資金，從而可以實(shí)現(xiàn)用有限的經(jīng)費(fèi)做更多事情、更好事情的目標(biāo)。

2.3 產(chǎn)業(yè)化運(yùn)作，打造社會(huì)化信息安全新局面。相對(duì)社會(huì)企業(yè)而言，政府部門有相對(duì)較高的可信任度和影響力，安全信息技術(shù)提供商比較愿意跟政府打交道，以求在一方站穩(wěn)腳跟、開拓市場(chǎng)。政府部門可以利用自身優(yōu)勢(shì)，深入研究本地信息安全形勢(shì)和安全保障市場(chǎng)，選擇有實(shí)力、技術(shù)力量雄厚的龍頭企業(yè)，形成戰(zhàn)略合作伙伴關(guān)系，培育安全信息產(chǎn)業(yè)實(shí)現(xiàn)產(chǎn)業(yè)的本地化轉(zhuǎn)化，幫助企業(yè)開拓市場(chǎng)、帶動(dòng)地方經(jīng)濟(jì)發(fā)展的同時(shí)，有效解決自身的信息安全需求。

2.4 完善人才機(jī)構(gòu)，形成長(zhǎng)效人才機(jī)制。任何事業(yè)的成功離不開人才，進(jìn)入21世紀(jì)后人才的重要性日益呈現(xiàn)，重視人才、培養(yǎng)人才、留住人才、發(fā)展人才最終才能發(fā)展事業(yè)。應(yīng)進(jìn)一步加強(qiáng)人才教育、培養(yǎng)方面的工作，提升整個(gè)社會(huì)的重視人才的氛圍，為政府信息安全乃至社會(huì)發(fā)展集聚人才、儲(chǔ)備人才，準(zhǔn)備力量應(yīng)當(dāng)將來的各種挑戰(zhàn)。

3 結(jié)束語(yǔ)

信息時(shí)代最大的特征是網(wǎng)絡(luò)空間的快速增長(zhǎng)和虛擬與現(xiàn)實(shí)的不斷融合，信息安全已經(jīng)成為影響社會(huì)發(fā)展國(guó)家安全的重中之重，保障信息安全任重道遠(yuǎn)，需要我們從思想觀念上不斷創(chuàng)新，在工作機(jī)制和體制上不斷創(chuàng)新，在人才培養(yǎng)使用模式上不斷創(chuàng)新，以創(chuàng)新不息奮斗不停的精神為實(shí)現(xiàn)中國(guó)夢(mèng)貢獻(xiàn)力量。