王勛

摘 要： 把社會網(wǎng)站安全管理看作一項系統(tǒng)工程，利用系統(tǒng)科學(xué)的觀點、原理和方法，從網(wǎng)站相關(guān)方、監(jiān)管部門、黑客、安全人才、安全企業(yè)等方面對我國社會網(wǎng)站安全管理的現(xiàn)狀、問題及原因進行系統(tǒng)分析，最后利用系統(tǒng)論提出網(wǎng)站安全管理的宏觀策略建議。

關(guān)鍵詞： 社會網(wǎng)站； 安全管理； 系統(tǒng)論； 策略

中圖分類號：N949 文獻標志碼：A 文章編號：1006-8228（2018）02-48-04

Abstract： The paper considers the security management of social website as a systematic project. It adopts scientific approaches， theories and methods to systematically analyze the status quo of the security management of social website in China， its problems and its reasons in terms of website related parties， regulators， hackers， security talents and security companies. And then it puts forward some macroscopic strategic suggestions using system theory to address issues in the security management of social website.

Key words： social website； security management； system theory； strategy

0 引言

網(wǎng)站作為政府機構(gòu)發(fā)布信息的載體、企業(yè)形象宣傳的窗口和公眾獲取信息的重要渠道，已深刻融入到政治、經(jīng)濟、社會生活的各個方面。根據(jù)《中國互聯(lián)網(wǎng)站發(fā)展狀況及其安全報告（2017）》顯示，截至2016年12月底，中國網(wǎng)站總量達到475.4萬余個，同比年度凈增長48.7萬余個，其中社會網(wǎng)站占比約為95%[1-2]。社會網(wǎng)站指的是除黨政機關(guān)、事業(yè)單位、國有企業(yè)等政府相關(guān)網(wǎng)站之外的其他網(wǎng)站，如企業(yè)網(wǎng)站、社會團體網(wǎng)站、個人網(wǎng)站等。

1 我國社會網(wǎng)站安全現(xiàn)狀

隨著網(wǎng)站數(shù)量的劇增，網(wǎng)站安全問題日益突出，集中表現(xiàn)在政府機關(guān)、事業(yè)單位、公司企業(yè)網(wǎng)站頻繁遭受非法攻擊，導(dǎo)致機密信息被竊取、用戶數(shù)據(jù)泄露，造成巨大經(jīng)濟損失，惡劣社會影響。在國外，如美國大選候選人希拉里的郵件泄露，直接影響到美國大選的進程；雅虎兩次賬戶信息泄露，涉及約15億的個人賬戶，致使美國電信運營商威瑞森48億美元收購雅虎計劃擱置。在國內(nèi)，我國免疫規(guī)劃系統(tǒng)網(wǎng)絡(luò)被惡意入侵，20萬兒童信息被竊取并在網(wǎng)上公開售賣；高考的考生信息泄露間接奪去即將步入大學(xué)的女學(xué)生徐玉玉的生命[1]。網(wǎng)站安全問題儼然成為關(guān)系國家安全利益、社會和諧穩(wěn)定、企業(yè)生存發(fā)展、群眾切身利益的重大問題。

網(wǎng)站安全管理的最終目的是為確保在一個網(wǎng)站環(huán)境里信息的存在安全（保密性、完整性）和使用安全（可用性、可控性）[3]。

目前依托于國家出臺的《網(wǎng)絡(luò)安全法》、《關(guān)于加強黨政機關(guān)網(wǎng)站安全管理的通知》、《信息安全等級保護管理辦法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》等文件，經(jīng)監(jiān)管部門、安全服務(wù)公司及網(wǎng)站相關(guān)單位共同努力，政府類網(wǎng)站安全管理已走上正軌，各責(zé)任主體安全意識增強，初步形成了主動防御、積極應(yīng)對、扎實措施的良好氛圍，較大幅度地提升了網(wǎng)站安全監(jiān)測、防護、預(yù)警、響應(yīng)、恢復(fù)和抗擊能力。

但與此同時，由于社會網(wǎng)站相較于政府類網(wǎng)站數(shù)量更巨大、類型更豐富、情況更復(fù)雜，對其的安全管理遠不如政府類網(wǎng)站，尤其是中小型社會網(wǎng)站仍存在極大安全隱患。因此，社會網(wǎng)站的安全管理已成為當前亟需深入研究并盡快找到解決方案的現(xiàn)實課題。

2 社會網(wǎng)站安全管理存在問題及原因分析

為了剖析社會網(wǎng)站安全管理中存在問題的原因并尋求相應(yīng)的優(yōu)化對策，本文以系統(tǒng)論中系統(tǒng)是由各相互聯(lián)系相互作用的部分組成的原理出發(fā)，從網(wǎng)站相關(guān)方、監(jiān)管方、黑客、安全服務(wù)公司的角度，對存在的問題進行細致分析。

2.1 網(wǎng)站相關(guān)方的認知盲區(qū)和制約因素

⑴ 網(wǎng)站安全意識淡薄

首先，安全意識未融入到立項過程。對網(wǎng)站經(jīng)營者來說，網(wǎng)站的生存是第一要務(wù)。經(jīng)統(tǒng)計網(wǎng)站平均生存周期13個月，2016全年停辦網(wǎng)站68.2萬個[1]。因此網(wǎng)站經(jīng)營者關(guān)注重點落在網(wǎng)站內(nèi)容是否合法規(guī)、網(wǎng)站訪問是否正常、用戶體驗是否便利等直接影響網(wǎng)站生存的關(guān)鍵因素上，對網(wǎng)站安全的認識比較缺乏，甚至認為網(wǎng)站安全問題無關(guān)大局，從而在思想上選擇性地忽視網(wǎng)站安全，造成投入不足、管理不到位的局面。

其次，安全意識未融入到開發(fā)過程。從網(wǎng)站開發(fā)者角度出發(fā)，其專注于網(wǎng)站功能開發(fā)、整體布局和穩(wěn)定性，往往忽視程序的安全性和對網(wǎng)站安全測試的必要性。

第三，安全意識未融入到運維過程。從網(wǎng)站運維者角度出發(fā)，其主要負責(zé)計算機網(wǎng)絡(luò)系統(tǒng)的日常維護和管理，關(guān)注重點在系統(tǒng)軟硬件的安裝、升級、保管、維護上，往往忽視漏洞檢測及修補。第四，安全意識未融入到使用過程。網(wǎng)站用戶按不同權(quán)限可劃分為管理員、內(nèi)部用戶、外部用戶等，用戶往往關(guān)注于網(wǎng)站功能的使用，而忽視網(wǎng)站訪問環(huán)境的安全性和賬號的安全性，同時用戶也不可避免地存在一些誤操作影響網(wǎng)站安全。

最后，從上到下普遍存在僥幸心理。認為網(wǎng)站受攻擊的概率很小，甚至不會被攻擊。認為即使網(wǎng)站被攻破，實際損失也不大。認為即使造成安全事件也不會被處罰，就算有處罰也不重。

⑵ 安全防護能力不強endprint

首先，社會網(wǎng)站，尤其是中小型社會網(wǎng)站，建設(shè)過程大多比較粗糙，大部分在功能上有缺陷，細節(jié)上有漏洞，導(dǎo)致網(wǎng)站本身安全性就不高。其次，網(wǎng)站安全既需初期一次性投入，如安全防護設(shè)備購置、安全公司評測，也需后期持續(xù)性投入，如安全防護設(shè)備更新、安全人才培養(yǎng)、員工安全意識培訓(xùn)，因此對資金的要求比較高。而實際上社會網(wǎng)站經(jīng)營者大多網(wǎng)絡(luò)安全資金預(yù)算不足，結(jié)果直接影響高水平安全人才的招聘錄用、先進安全防護設(shè)備的購置更新以及運維人才的進修培養(yǎng)，進而導(dǎo)致網(wǎng)站安全防護力量薄弱。第三，網(wǎng)站攻擊頻繁發(fā)生，攻擊方式日新月異，安全技術(shù)的發(fā)展總是滯后于攻擊技術(shù)的發(fā)展。

⑶ 網(wǎng)站安全政策不解

社會網(wǎng)站經(jīng)營者由于關(guān)注的重點是在影響網(wǎng)站生存的關(guān)鍵因素上，對網(wǎng)站安全的認識比較缺乏，對包括《網(wǎng)絡(luò)安全法》、《信息安全等級保護管理辦法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》等在內(nèi)的網(wǎng)絡(luò)安全相關(guān)政策法規(guī)中涉及網(wǎng)站的技術(shù)安全、管理安全、內(nèi)容安全等方面的要求缺乏了解，同時往往也對相關(guān)處罰政策不了解。

2.2 監(jiān)管方的關(guān)注重點和制約因素

⑴ 監(jiān)管關(guān)注重點

首先，網(wǎng)信辦的《關(guān)于加強黨政機關(guān)網(wǎng)站安全管理的通知》以及各省市相關(guān)的文件重點指向都是加強政府相關(guān)網(wǎng)站安全管理。因此各地網(wǎng)站安全監(jiān)管部門將主要精力放在政府類網(wǎng)站管理上，有針對性地開展專項行動，如《杭州市黨政機關(guān)、事業(yè)單位和國有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全專項整治行動實施方案》。因此監(jiān)管部門對社會網(wǎng)站管理重視度相對較低，投入的精力相對較少。其次，監(jiān)管部門雖然也對社會網(wǎng)站開展專項行動，如“凈網(wǎng)2016”專項行動、網(wǎng)址導(dǎo)航網(wǎng)站專項治理行動、“劍網(wǎng)2016”專項行動、“清朗”系列專項行動等，但此類行動的側(cè)重點是在網(wǎng)站的內(nèi)容安全上，關(guān)注的是信息的使用安全，而對信息存在安全涉及的網(wǎng)站技術(shù)安全和網(wǎng)站管理安全關(guān)注較少。

⑵ 監(jiān)管人員緊缺

網(wǎng)站安全主要監(jiān)管落實方是公安網(wǎng)絡(luò)警察部門。網(wǎng)警人員編制較少，職能較多，包括管理、偵查、技術(shù)、建設(shè)等，分配在管理上的人員則更為緊缺。因人手緊缺，直接造成相關(guān)政策法規(guī)宣傳覆蓋面不夠廣泛、監(jiān)管對象選擇必須要有側(cè)重點的局面。

⑶ 監(jiān)管成本高

首先，據(jù)《中國互聯(lián)網(wǎng)站發(fā)展狀況及其安全報告（2017）》統(tǒng)計，2016年全年新開通的中國網(wǎng)站數(shù)量125.9萬個，每月平均新開通網(wǎng)站10.5萬，全年網(wǎng)站主辦者自行停辦的中國網(wǎng)站68.2萬個，平均每月自行停辦的網(wǎng)站5.7萬個，可見社會網(wǎng)站數(shù)量巨大、更新頻繁、情況復(fù)雜，監(jiān)管工作量大難度高。其次，網(wǎng)站安全管理中涉及對網(wǎng)站的遠程檢測是通過第三方安全公司提供服務(wù)來推進，花銷巨大。第三，由于大部分縣區(qū)級網(wǎng)警部門人員少能力弱，只能有選擇地對部分網(wǎng)站做上門實地檢查。該過程也需第三方安全公司提供技術(shù)支撐，如給專管民警做技術(shù)業(yè)務(wù)培訓(xùn)或派技術(shù)員陪同民警上門檢查。第四，針對遠程檢測或上門檢查發(fā)現(xiàn)存在問題的網(wǎng)站單位，分步驟下發(fā)安全隱患報告、先期整改通知書、行政處罰通知書，要求相關(guān)單位落實整改，出具整改說明后，監(jiān)管人員再次上門復(fù)查，如還存在安全隱患，繼續(xù)整改直至沒有問題。由此可見，目前的監(jiān)管機制下，耗費的時間成本、人力成本、財力成本很高。

2.3 黑客攻擊的特點

⑴ 攻擊門檻低

首先，互聯(lián)網(wǎng)上能夠輕易找到黑客軟件，只要掌握一定的計算機知識就可以對網(wǎng)站進行攻擊。其次，成熟的攻擊手段很多。近年來我國網(wǎng)站受到的威脅主要包括網(wǎng)頁篡改、網(wǎng)站后門、軟件漏洞、類型攻擊、網(wǎng)頁仿冒等類型，基于漏洞、病毒、未知威脅的APT攻擊、0Day攻擊日益增加。第三，網(wǎng)站攻擊黑數(shù)高。網(wǎng)站攻擊頻繁發(fā)生，但是被發(fā)現(xiàn)的或者有記錄的還不到10%，而其中造成安全事件被處罰的占比則更低。

⑵ 廣撒網(wǎng)

除少部分有明確攻擊目標的黑客外，大部分黑客采取的是廣撒網(wǎng)多撈魚策略，先期攻破各類安全性較低的網(wǎng)站服務(wù)器，種下木馬后門程序，以備不時之需。

⑶ 高危害

首先，各種形式的虛假信息、反動言論或商業(yè)廣告，導(dǎo)致網(wǎng)站用戶被欺騙/蒙蔽，造成網(wǎng)絡(luò)空間烏煙瘴氣，影響社會和諧、國家穩(wěn)定。其次，如果是個別網(wǎng)友進行小規(guī)模的攻擊，一般影響不大。但如果攻擊者具備較高的水平，或者黑客聚集在一起向網(wǎng)站發(fā)動攻擊，將會對網(wǎng)站運行造成較大影響。

2.4 安全人才緊缺及安全公司的缺陷

⑴ 安全服務(wù)人才緊缺。安全技術(shù)是網(wǎng)站安全管理中關(guān)鍵一環(huán)，高級的安全防護需要高技術(shù)的安全人才。統(tǒng)計顯示近年來我國高校教育培養(yǎng)的信息安全及相關(guān)專業(yè)人才僅3萬余人，而網(wǎng)絡(luò)安全人才總需求量則超過70萬人，預(yù)計到2020年相關(guān)人才需求將增長到140萬，人才缺口巨大[4]。

⑵ 安全公司的缺陷。首先，攻和防是矛和盾的關(guān)系，做信息安全就是在做盾，做盾不能閉門造車，要看外面的矛怎么樣，相對開放的體系才知道到底能不能抵擋別人的攻擊。現(xiàn)在我國很多安全產(chǎn)品還是10年前的產(chǎn)品，防御技術(shù)和防御理念沒有跟隨攻擊進行提升，固守著‘入侵檢測、防火墻、防病毒老三樣，進行傳統(tǒng)防御，追求靜態(tài)的“絕對安全”，依靠發(fā)現(xiàn)威脅、分析威脅、處理威脅的滯后性防御思維，已經(jīng)跟不上形勢發(fā)展。如何根據(jù)社會網(wǎng)站系統(tǒng)特點構(gòu)筑定制型的動態(tài)防御亟需進一步研究。其次，除了少部分實力強勁的安全服務(wù)公司會考慮社會責(zé)任感和社會效益外，大部分安全服務(wù)公司考慮的是最小成本投入，獲取最大的名利收益，如金錢、榮譽、廣告等，其關(guān)注合作重點在政府相關(guān)網(wǎng)站和大型企業(yè)，而中小型企業(yè)和個人網(wǎng)站則常常被忽視。

3 社會網(wǎng)站安全管理的策略

從社會網(wǎng)站安全管理存在問題及原因分析可以看出，社會網(wǎng)站安全處于被動的封堵漏洞狀態(tài)，從上到下普遍存在僥幸心理，沒有形成主動防范、積極應(yīng)對的全民意識，網(wǎng)站安全形勢嚴峻。為此利用系統(tǒng)論思想提出如下的策略建議。

3.1 從全局提高網(wǎng)站安全意識endprint

首先，政府要從全局整體出發(fā)，營造網(wǎng)站安全管理良好氛圍。其次，監(jiān)管部門要全面考慮，樹立網(wǎng)站安全管理不僅只是政府相關(guān)網(wǎng)站管理的觀念。第三，加強網(wǎng)站相關(guān)方安全意識，樹立網(wǎng)站安全管理不僅僅在于運維管理中的觀念，還應(yīng)在立項、開發(fā)、運維等網(wǎng)站生存全周期中始終樹立安全意識。第四，安全服務(wù)公司在關(guān)注合作政府類和大型企業(yè)網(wǎng)站的同時，不能忽視中小型企業(yè)和個人網(wǎng)站。

3.2 協(xié)同落實主體責(zé)任

首先，政府要開展廣泛研究，從宏觀頂層設(shè)計和整體謀劃角度，制定出切實可行和行之有效的政策法規(guī)。其次，監(jiān)管部門要加強網(wǎng)站安全相關(guān)政策法規(guī)宣傳，嚴格網(wǎng)站的申請審核測試制度，對網(wǎng)站安全的整體態(tài)勢做出準確感知，對網(wǎng)站主體單位要做到監(jiān)督檢查指導(dǎo)，同時對涉網(wǎng)違法犯罪要堅決打擊，對黑客群體和生態(tài)做好有效地管控。第三，網(wǎng)站主體單位要主動了解網(wǎng)站安全相關(guān)政策法規(guī)，據(jù)此構(gòu)建本單位安全防護體系，達到規(guī)范要求，履行相關(guān)責(zé)任義務(wù)。第四，安全服務(wù)公司要主動開展最新安全技術(shù)研究，給政府、監(jiān)管部門、網(wǎng)站主體單位提供智庫支撐、技術(shù)支持和安全服務(wù)。

3.3 注重管理對象的層次性

區(qū)分不同管理對象，從性質(zhì)、規(guī)模、網(wǎng)站類型、建站方式維度構(gòu)建管理對象的結(jié)構(gòu)模型，如圖1所示。其中，性質(zhì)維度分為：政府類（包括黨政機關(guān)、事業(yè)單位和國有企業(yè)）、社會類（包括公司企業(yè)、社會團體、個人）；規(guī)模維度分為：巨型、大型、中型、小型、微型，依據(jù)Alexa[5]排名中日均uv億、千萬、百萬、十萬節(jié)點劃分；網(wǎng)站類型維度分為：基礎(chǔ)應(yīng)用類，商務(wù)交易類、網(wǎng)絡(luò)金融類、網(wǎng)絡(luò)娛樂類、公共服務(wù)類[6]；建站方式分為：托管、租用（虛擬主機租用、云服務(wù)器租用、物理服務(wù)器租用）、自建機房。

在總體規(guī)范要求下，根據(jù)網(wǎng)站的不同規(guī)模、不同服務(wù)類型、不同建站方式的結(jié)構(gòu)性特點，從技術(shù)安全、管理安全、內(nèi)容安全三個層面分類制定切實可行的個性化管理方案，實現(xiàn)像管理人員戶籍一樣管理社會網(wǎng)站。

4 結(jié)束語

通過多措并舉、多方參與、多樣分類，各責(zé)任主體積極履責(zé)，社會網(wǎng)站安全管理能有的放矢地進行，從根本上形成有法可依、監(jiān)管有力、主動防御的良好局面，有效確保信息在一個網(wǎng)站環(huán)境里的存在安全和使用安全。

參考文獻（References）：

[1] 國家互聯(lián)網(wǎng)應(yīng)急中心.中國互聯(lián)網(wǎng)站發(fā)展狀況及其安全報告[R].中國互聯(lián)網(wǎng)協(xié)會，2017.

[2] 國家統(tǒng)計局數(shù)據(jù)[EB/OL].[2017-12-20] http：//data.stats.gov.cn/easyquery.htm？cn=C01&zb=A010402&sj=2015.

[3] 劉云志.淺析計算機網(wǎng)絡(luò)安全技術(shù)及其存在的問題[J].信息系統(tǒng)工程，2012.2：73-74

[4] 人民網(wǎng)新聞[EB/OL].[2017-09-20] http：//bbs1.people.com.cn/post/129/1/2/164533077.html.

[5] Alexa[EB/OL].[2017-12-20]http：//www.alexa.cn/.

[6] CNNIC.第40次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告[R].CNNIC，2017.endprint