王元元

政府網(wǎng)站的后期更新與安全維護(hù)的基本缺失，使其近乎在互聯(lián)網(wǎng)世界“裸奔”

近日，江蘇常州警方偵破一起網(wǎng)絡(luò)售賣(mài)教師資格證的案件。

在警方公布的信息里，一個(gè)細(xì)節(jié)尤其引人注目：非法制證者通過(guò)黑客團(tuán)隊(duì)，以漏洞掃描、上傳木馬程序等手段“黑”入政府官網(wǎng)，并將證件驗(yàn)證窗口鏈接至售假團(tuán)伙自家網(wǎng)站。

“這一犯罪手法，目前在國(guó)內(nèi)尚屬首例?！背Ｖ菥降墓嬷袑?xiě)道。

無(wú)獨(dú)有偶，2016年在社會(huì)上引起軒然大波的徐玉玉被電信詐騙致死案背后，同樣是網(wǎng)絡(luò)黑客作祟。

公訴機(jī)關(guān)的指控顯示，19歲的黑客杜某通過(guò)植入木馬等方式，非法入侵山東省2016年普通高等學(xué)校招生考試信息平臺(tái)網(wǎng)站，竊取包括徐玉玉在內(nèi)的64萬(wàn)余條2016年山東省高考考生個(gè)人信息，并對(duì)外出售牟利。

近年來(lái)，類(lèi)似公共服務(wù)類(lèi)網(wǎng)站被攻擊，從而導(dǎo)致民眾個(gè)人信息泄露的案件層出不窮。

無(wú)論是常州教師資格證網(wǎng)絡(luò)售假案，還是徐玉玉案，都暴露出政府網(wǎng)站的安全防護(hù)薄弱。

多位接受《瞭望東方周刊》采訪(fǎng)的網(wǎng)絡(luò)安全業(yè)內(nèi)人士及專(zhuān)家直言，包括政府網(wǎng)站在內(nèi)的公共服務(wù)類(lèi)網(wǎng)站的安全問(wèn)題長(zhǎng)久以來(lái)都被忽視了，這些網(wǎng)站當(dāng)前的安全形勢(shì)仍十分嚴(yán)峻。

“公共服務(wù)類(lèi)網(wǎng)站的安全問(wèn)題應(yīng)該引起大家的高度重視，并拿出具體措施加以解決。”北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心副主任謝永江在接受《瞭望東方周刊》采訪(fǎng)時(shí)強(qiáng)調(diào)。

平均每個(gè)縣區(qū)開(kāi)設(shè)30個(gè)政府網(wǎng)

上世紀(jì)90年代，電子政務(wù)開(kāi)始發(fā)軔。

因其能夠極大地降低行政成本，同時(shí)提升政府管理、公共服務(wù)的效率，得到各國(guó)政府的大力支持和推動(dòng)。中國(guó)亦是如此。

從本世紀(jì)初，中國(guó)公共服務(wù)觸網(wǎng)開(kāi)始，此后電子政務(wù)市場(chǎng)規(guī)模不斷擴(kuò)大。

綜合行業(yè)研究機(jī)構(gòu)迪賽顧問(wèn)和智研咨詢(xún)的數(shù)據(jù)：2006年以來(lái)，中國(guó)電子政務(wù)的市場(chǎng)規(guī)模一直保持著15%以上的增長(zhǎng)速度，遠(yuǎn)遠(yuǎn)高出同期的GDP 增速；到2010年，其市場(chǎng)規(guī)模首次突破1000億元。

“2016 年時(shí)，中國(guó)電子政務(wù)的市場(chǎng)規(guī)模已經(jīng)達(dá)到了2569億元，比2010年翻了一番?！卑⒗锇桶图瘓F(tuán)安全部總監(jiān)虞煜軍告訴《瞭望東方周刊》。

在這場(chǎng)轟轟烈烈的電子政務(wù)普及浪潮中，興建政府網(wǎng)站成為許多地方政府的第一選擇。從中央到縣區(qū)、鄉(xiāng)鎮(zhèn)的各級(jí)政府部門(mén)，海關(guān)、稅務(wù)、教育、審計(jì)等各個(gè)系統(tǒng)，紛紛開(kāi)設(shè)自己的政府網(wǎng)站。

“這樣幾年下來(lái)，攤子越鋪越大，網(wǎng)站越建越多?！敝x永江說(shuō)。

2015年，國(guó)務(wù)院辦公廳組織了第一次全國(guó)政府網(wǎng)站普查，結(jié)果顯示：各地區(qū)、各部門(mén)已開(kāi)設(shè)政府網(wǎng)站8.4萬(wàn)多個(gè)。

“當(dāng)年中國(guó)有2861個(gè)縣區(qū)，就相當(dāng)于平均每個(gè)縣區(qū)就開(kāi)設(shè)了近30個(gè)政府網(wǎng)站。”謝永江說(shuō)。

然而，這些網(wǎng)站的情況并不盡如人意。2015年，國(guó)務(wù)院辦公廳在全國(guó)政府網(wǎng)站普查中發(fā)現(xiàn)，一些政府網(wǎng)站空白欄目數(shù)超過(guò)20個(gè)，一些網(wǎng)站的欄目7年未更新。

“事實(shí)上，這些常年不更新的‘僵尸官網(wǎng)在政府網(wǎng)中屢見(jiàn)不鮮。更嚴(yán)重的是，一些網(wǎng)站還會(huì)被黑客入侵，變得面目難辨?！敝袊?guó)信息安全測(cè)評(píng)中心總工程師王軍對(duì)《瞭望東方周刊》說(shuō)。

近1500家政府網(wǎng)站被植入后門(mén)

據(jù)謝永江觀察，在政府網(wǎng)站建設(shè)浪潮中，各方關(guān)注的焦點(diǎn)仍然是大規(guī)模的硬件和網(wǎng)絡(luò)設(shè)備建設(shè)，而對(duì)軟件和服務(wù)的投入不夠充分。

公開(kāi)數(shù)據(jù)顯示，2014年，中國(guó)1915億元的電子商務(wù)市場(chǎng)規(guī)模中，其中硬件和網(wǎng)絡(luò)設(shè)備的市場(chǎng)份額占比超過(guò)51%。“再往前這一比例還要更高。”虞煜軍說(shuō)。

因此，缺乏后期建設(shè)和安全維護(hù)的政府網(wǎng)站漏洞百出。從近年來(lái)頻發(fā)的各類(lèi)網(wǎng)絡(luò)詐騙事件來(lái)看，也能看出公共服務(wù)類(lèi)網(wǎng)站中尤以政府網(wǎng)站的安全問(wèn)題最為突出。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的監(jiān)測(cè)數(shù)據(jù)顯示：2014年，國(guó)內(nèi)共有1763家政府網(wǎng)站被篡改攻擊，1529家政府網(wǎng)站被植入“后門(mén)”，合計(jì)有3292家政府網(wǎng)站已存安全漏洞。

工信部下屬的中國(guó)軟件測(cè)評(píng)中心發(fā)布的《2015年中國(guó)政府網(wǎng)站績(jī)效評(píng)估總報(bào)告》顯示，2015年評(píng)估范圍內(nèi)的政府網(wǎng)站中：超過(guò)90%存在各種危險(xiǎn)等級(jí)的安全漏洞；31%的網(wǎng)站被劃入極度危險(xiǎn)序列；17%的網(wǎng)站被劃入高度危險(xiǎn)序列。

上述報(bào)告還指出，近30%的網(wǎng)站安全漏洞數(shù)量超過(guò)30個(gè)、有60余家網(wǎng)站的安全漏洞數(shù)量超過(guò)100個(gè)。

而《2016年中國(guó)政府網(wǎng)站績(jī)效評(píng)估總報(bào)告》也顯示，評(píng)估范圍內(nèi)的70個(gè)部委、32個(gè)?。ㄊ?、區(qū)）、330個(gè)市以及470余個(gè)區(qū)縣的政府網(wǎng)站中共發(fā)現(xiàn)漏洞1190個(gè)，其中高危漏洞152個(gè)，中危漏洞780個(gè)。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的監(jiān)控?cái)?shù)據(jù)顯示：2017年1～8月，全國(guó)被篡改的政府網(wǎng)站數(shù)量為1232個(gè)，被植入后門(mén)的政府網(wǎng)站數(shù)量為1468個(gè)，整體數(shù)量同比下降了33%。

“即便如此，存在安全隱患的政府網(wǎng)站的絕對(duì)數(shù)目仍然不小?！卑⒗锇桶图瘓F(tuán)安全部總監(jiān)連斌告訴《瞭望東方周刊》。

王軍也認(rèn)為，盡管過(guò)去幾年，政府網(wǎng)站的安全問(wèn)題有所改善，但總體形勢(shì)依然非常嚴(yán)峻，“其他公共服務(wù)類(lèi)網(wǎng)站安全情況也大多如此，都不容樂(lè)觀?！?h4>不止是信息泄露

連斌認(rèn)為，在政府網(wǎng)站的建設(shè)潮中，公共服務(wù)類(lèi)網(wǎng)站尤其是政府網(wǎng)站安全形勢(shì)惡化有其必然性。

“一些政府部門(mén)在做網(wǎng)站時(shí)很盲目，就是為了完成任務(wù)，但卻并不太清楚如何把網(wǎng)站做好?！彼f(shuō)。

不過(guò)，謝永江也坦陳，一些政府部門(mén)有時(shí)也“心有余而力不足”，即便想把網(wǎng)站做好，也常因自身缺乏專(zhuān)業(yè)的網(wǎng)絡(luò)技術(shù)和安全人員而作罷，最終只得將網(wǎng)站的建設(shè)和維護(hù)外包給市場(chǎng)上的網(wǎng)絡(luò)公司。

這就帶來(lái)了更嚴(yán)重的問(wèn)題。

“因?yàn)樨?cái)政預(yù)算低以及缺乏網(wǎng)絡(luò)安全意識(shí)，有些政府部門(mén)會(huì)選擇費(fèi)用低的小公司幫它們做網(wǎng)站，這些公司技術(shù)力量都比較弱，網(wǎng)站安全等級(jí)也不高，自然很容易被黑客攻破?！鲍C豹移動(dòng)安全工程師李鐵軍告訴《瞭望東方周刊》。

此外，這些公司跟政府之間往往是一錘子買(mǎi)賣(mài)，網(wǎng)站建好就等于完成任務(wù)，更為重要的后期網(wǎng)站更新與安全維護(hù)基本缺失，使得這些政府網(wǎng)站近乎在互聯(lián)網(wǎng)世界“裸奔”。

“政府網(wǎng)站在給民眾提供各類(lèi)服務(wù)的過(guò)程中，收集了大量個(gè)人信息存儲(chǔ)在后臺(tái)，網(wǎng)站一旦被黑客攻破，個(gè)人信息就會(huì)泄露，由此引發(fā)一系列針對(duì)個(gè)人的網(wǎng)絡(luò)犯罪?！卑⒗锇桶图瘓F(tuán)副總裁余偉民說(shuō)。

教育、公安、人力資源和社會(huì)保障等與民眾日常生活密切的政府職能部門(mén)，一旦因網(wǎng)絡(luò)安全問(wèn)題導(dǎo)致信息泄露，帶來(lái)的后果不堪設(shè)想。徐玉玉被電信詐騙致死案就是一個(gè)典型例子。

余偉民認(rèn)為，其危害不止是會(huì)導(dǎo)致個(gè)人信息泄露，也可能造成政府內(nèi)部的信息泄露，嚴(yán)重的或許會(huì)危及國(guó)家安全，“即便只是網(wǎng)站癱瘓，也因會(huì)暫時(shí)無(wú)法提供服務(wù)而影響到政府的形象和公信力?！?h4>管理和技術(shù)要齊頭并進(jìn)

“無(wú)論是從國(guó)家安全層面，還是從個(gè)人信息泄露、網(wǎng)絡(luò)犯罪層面，政府都必須高度重視包括政府網(wǎng)站在內(nèi)的公共服務(wù)類(lèi)網(wǎng)站安全問(wèn)題?！庇鄠ッ窀嬖V本刊記者。

2017年6月8日，國(guó)務(wù)院辦公廳發(fā)布《政府網(wǎng)站發(fā)展指引》，明確要求落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，建立安全監(jiān)測(cè)預(yù)警和應(yīng)急響應(yīng)機(jī)制，對(duì)攻擊、侵入和破壞政府網(wǎng)站的行為以及影響政府網(wǎng)站正常運(yùn)行的意外事故進(jìn)行防范，確保網(wǎng)站穩(wěn)定、可靠、安全運(yùn)行。

當(dāng)然，這還不夠。

接受《瞭望東方周刊》記者采訪(fǎng)的業(yè)內(nèi)專(zhuān)家建議，進(jìn)一步明確責(zé)任劃分，將網(wǎng)站的安全責(zé)任逐級(jí)落實(shí)到具體部門(mén)或者部門(mén)內(nèi)部機(jī)構(gòu)上，做到專(zhuān)人專(zhuān)責(zé)。同時(shí)，定期對(duì)相關(guān)人員進(jìn)行培訓(xùn)，以增強(qiáng)后者的網(wǎng)絡(luò)安全意識(shí)。

李鐵軍認(rèn)為，主管部門(mén)可以考慮建立一個(gè)全國(guó)性的網(wǎng)絡(luò)安全監(jiān)管平臺(tái)，將各級(jí)政府網(wǎng)站都納入該平臺(tái)之中，實(shí)行24小時(shí)在線(xiàn)監(jiān)控，及時(shí)發(fā)現(xiàn)問(wèn)題、處理問(wèn)題。

未來(lái)，政府還可以此為樣本，將其他公共服務(wù)類(lèi)網(wǎng)站如學(xué)校、銀行、公益機(jī)構(gòu)等按性質(zhì)、行業(yè)分類(lèi)，每個(gè)類(lèi)別的網(wǎng)站都可建立一個(gè)全國(guó)性的網(wǎng)絡(luò)安全監(jiān)管平臺(tái)。

虞煜軍則認(rèn)為，主管部門(mén)應(yīng)制定一套明確的準(zhǔn)入標(biāo)準(zhǔn)，篩選出專(zhuān)業(yè)的網(wǎng)絡(luò)技術(shù)公司，建立一個(gè)名單庫(kù)供包括政府網(wǎng)站、學(xué)校、公益機(jī)構(gòu)在內(nèi)的所有公共服務(wù)類(lèi)網(wǎng)站選擇，以確保外包公司有絕對(duì)的實(shí)力和能力保證網(wǎng)站安全。

“將一些需要保密的個(gè)人信息、機(jī)構(gòu)內(nèi)部信息存儲(chǔ)到專(zhuān)業(yè)網(wǎng)絡(luò)技術(shù)公司的云盤(pán)上?！蓖踯娊ㄗh。

對(duì)此，余偉民表示，目前很多公共服務(wù)類(lèi)網(wǎng)站的信息都存在一些安全級(jí)別不高的本地服務(wù)器里，極易被攻擊，而像阿里巴巴旗下的阿里云等云盤(pán)服務(wù)則擁有更高級(jí)別的安全防護(hù)技術(shù)，服務(wù)器防抗攻擊的能力更強(qiáng)。

同時(shí)，還可以使用HTTPS技術(shù)，以解決網(wǎng)站的加密通信和真實(shí)性問(wèn)題。“如今，HTTPS和SSL證書(shū)已經(jīng)成為英美政府網(wǎng)站的標(biāo)配?！敝x永江介紹道。

美國(guó)政府和英國(guó)政府分別于2015年6月、2016年10月要求該國(guó)所有的政府部門(mén)必須使用HTTPS。

目前，國(guó)內(nèi)已有部分政府網(wǎng)站安裝了SSL證書(shū)，取得了良好效果。受訪(fǎng)專(zhuān)家建議，主管部門(mén)可考慮將該技術(shù)的應(yīng)用擴(kuò)展到全國(guó)范圍。