王元元

近日，江蘇常州警方偵破一起網(wǎng)絡(luò)售賣教師資格證的案件。

在警方公布的信息里，一個(gè)細(xì)節(jié)尤其引人注目：非法制證者通過黑客團(tuán)隊(duì)，以漏洞掃描、上傳木馬程序等手段“黑”入政府官網(wǎng)，并將證件驗(yàn)證窗口鏈接至售假團(tuán)伙自家網(wǎng)站。

“這一犯罪手法，目前在國內(nèi)尚屬首例。”常州警方的公告中寫道。

無獨(dú)有偶，2016年在社會(huì)上引起軒然大波的徐玉玉被電信詐騙致死案背后，同樣是網(wǎng)絡(luò)黑客作祟。

公訴機(jī)關(guān)的指控顯示，19歲的黑客杜某通過植入木馬等方式，非法入侵山東省2016年普通高等學(xué)校招生考試信息平臺(tái)網(wǎng)站，竊取包括徐玉玉在內(nèi)的64萬余條2016年山東省高考考生個(gè)人信息，并對(duì)外出售牟利。

近年來，類似公共服務(wù)類網(wǎng)站被攻擊，從而導(dǎo)致民眾個(gè)人信息泄露的案件層出不窮。

無論是常州教師資格證網(wǎng)絡(luò)售假案，還是徐玉玉案，都暴露出政府網(wǎng)站的安全防護(hù)薄弱。

多位接受《瞭望東方周刊》采訪的網(wǎng)絡(luò)安全業(yè)內(nèi)人士及專家直言，包括政府網(wǎng)站在內(nèi)的公共服務(wù)類網(wǎng)站的安全問題長久以來都被忽視了，這些網(wǎng)站當(dāng)前的安全形勢仍十分嚴(yán)峻。

“公共服務(wù)類網(wǎng)站的安全問題應(yīng)該引起大家的高度重視，并拿出具體措施加以解決。”北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心副主任謝永江在接受《瞭望東方周刊》采訪時(shí)強(qiáng)調(diào)。

平均每個(gè)縣區(qū)開設(shè)30個(gè)政府網(wǎng)

20世紀(jì)90年代，電子政務(wù)開始發(fā)軔。

因其能夠極大地降低行政成本，同時(shí)提升政府管理、公共服務(wù)的效率，得到各國政府的大力支持和推動(dòng)。中國亦是如此。

從本世紀(jì)初，中國公共服務(wù)觸網(wǎng)開始，此后電子政務(wù)市場規(guī)模不斷擴(kuò)大。

綜合行業(yè)研究機(jī)構(gòu)迪賽顧問和智研咨詢的數(shù)據(jù)：2006年以來，中國電子政務(wù)的市場規(guī)模一直保持著15%以上的增長速度，遠(yuǎn)遠(yuǎn)高出同期的GDP增速；到2010年，其市場規(guī)模首次突破1000億元。

“2016年時(shí)，中國電子政務(wù)的市場規(guī)模已經(jīng)達(dá)到了2569億元，比2010年翻了一番?！卑⒗锇桶图瘓F(tuán)安全部總監(jiān)虞煜軍告訴《瞭望東方周刊》。

在這場轟轟烈烈的電子政務(wù)普及浪潮中，興建政府網(wǎng)站成為許多地方政府的第一選擇。從中央到縣區(qū)、鄉(xiāng)鎮(zhèn)的各級(jí)政府部門，海關(guān)、稅務(wù)、教育、審計(jì)等各個(gè)系統(tǒng)，紛紛開設(shè)自己的政府網(wǎng)站。

“這樣幾年下來，攤子越鋪越大，網(wǎng)站越建越多?！敝x永江說。

2015年，國務(wù)院辦公廳組織了第一次全國政府網(wǎng)站普查，結(jié)果顯示：各地區(qū)、各部門已開設(shè)政府網(wǎng)站8.4萬多個(gè)。

“當(dāng)年中國有2861個(gè)縣區(qū)，就相當(dāng)于平均每個(gè)縣區(qū)就開設(shè)了近30個(gè)政府網(wǎng)站?！敝x永江說。

然而，這些網(wǎng)站的情況并不盡如人意。2015年，國務(wù)院辦公廳在全國政府網(wǎng)站普查中發(fā)現(xiàn)，一些政府網(wǎng)站空白欄目數(shù)超過20個(gè)，一些網(wǎng)站的欄目7年未更新。

“事實(shí)上，這些常年不更新的‘僵尸官網(wǎng)在政府網(wǎng)中屢見不鮮。更嚴(yán)重的是，一些網(wǎng)站還會(huì)被黑客入侵，變得面目難辨?！敝袊畔踩珳y評(píng)中心總工程師王軍對(duì)《瞭望東方周刊》說。

近1500家政府網(wǎng)站被植入后門

據(jù)謝永江觀察，在政府網(wǎng)站建設(shè)浪潮中，各方關(guān)注的焦點(diǎn)仍然是大規(guī)模的硬件和網(wǎng)絡(luò)設(shè)備建設(shè)，而對(duì)軟件和服務(wù)的投入不夠充分。

公開數(shù)據(jù)顯示，2014年，中國1915億元的電子商務(wù)市場規(guī)模中，其中硬件和網(wǎng)絡(luò)設(shè)備的市場份額占比超過51%?！霸偻斑@一比例還要更高。”虞煜軍說。

因此，缺乏后期建設(shè)和安全維護(hù)的政府網(wǎng)站漏洞百出。從近年來頻發(fā)的各類網(wǎng)絡(luò)詐騙事件來看，也能看出公共服務(wù)類網(wǎng)站中尤以政府網(wǎng)站的安全問題最為突出。

國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的監(jiān)測數(shù)據(jù)顯示：2014年，國內(nèi)共有1763家政府網(wǎng)站被篡改攻擊，1529家政府網(wǎng)站被植入“后門”，合計(jì)有3292家政府網(wǎng)站已存安全漏洞。

工信部下屬的中國軟件測評(píng)中心發(fā)布的《2015年中國政府網(wǎng)站績效評(píng)估總報(bào)告》顯示，2015年評(píng)估范圍內(nèi)的政府網(wǎng)站中：超過90%存在各種危險(xiǎn)等級(jí)的安全漏洞；31%的網(wǎng)站被劃入極度危險(xiǎn)序列；17%的網(wǎng)站被劃入高度危險(xiǎn)序列。

上述報(bào)告還指出，近30%的網(wǎng)站安全漏洞數(shù)量超過30個(gè)、有60余家網(wǎng)站的安全漏洞數(shù)量超過100個(gè)。

而《2016年中國政府網(wǎng)站績效評(píng)估總報(bào)告》也顯示，評(píng)估范圍內(nèi)的70個(gè)部委、32個(gè)省（市、區(qū)）、330個(gè)市以及470余個(gè)區(qū)縣的政府網(wǎng)站中共發(fā)現(xiàn)漏洞1190個(gè)，其中高危漏洞152個(gè)，中危漏洞780個(gè)。

國家互聯(lián)網(wǎng)應(yīng)急中心的監(jiān)控?cái)?shù)據(jù)顯示：2017年1～8月，全國被篡改的政府網(wǎng)站數(shù)量為1232個(gè)，被植入后門的政府網(wǎng)站數(shù)量為1468個(gè)，整體數(shù)量同比下降了33%。

“即便如此，存在安全隱患的政府網(wǎng)站的絕對(duì)數(shù)目仍然不小。”阿里巴巴集團(tuán)安全部總監(jiān)連斌告訴《瞭望東方周刊》。

王軍也認(rèn)為，盡管過去幾年，政府網(wǎng)站的安全問題有所改善，但總體形勢依然非常嚴(yán)峻，“其他公共服務(wù)類網(wǎng)站安全情況也大多如此，都不容樂觀?！?h3>不止是信息泄露

連斌認(rèn)為，在政府網(wǎng)站的建設(shè)潮中，公共服務(wù)類網(wǎng)站尤其是政府網(wǎng)站安全形勢惡化有其必然性。

“一些政府部門在做網(wǎng)站時(shí)很盲目，就是為了完成任務(wù)，但卻并不太清楚如何把網(wǎng)站做好?！彼f。

不過，謝永江也坦陳，一些政府部門有時(shí)也“心有余而力不足”，即便想把網(wǎng)站做好，也常因自身缺乏專業(yè)的網(wǎng)絡(luò)技術(shù)和安全人員而作罷，最終只得將網(wǎng)站的建設(shè)和維護(hù)外包給市場上的網(wǎng)絡(luò)公司。

這就帶來了更嚴(yán)重的問題。

“因?yàn)樨?cái)政預(yù)算低以及缺乏網(wǎng)絡(luò)安全意識(shí)，有些政府部門會(huì)選擇費(fèi)用低的小公司幫它們做網(wǎng)站，這些公司技術(shù)力量都比較弱，網(wǎng)站安全等級(jí)也不高，自然很容易被黑客攻破?！鲍C豹移動(dòng)安全工程師李鐵軍告訴《瞭望東方周刊》。

此外，這些公司跟政府之間往往是一錘子買賣，網(wǎng)站建好就等于完成任務(wù)，更為重要的后期網(wǎng)站更新與安全維護(hù)基本缺失，使得這些政府網(wǎng)站近乎在互聯(lián)網(wǎng)世界“裸奔”。

“政府網(wǎng)站在給民眾提供各類服務(wù)的過程中，收集了大量個(gè)人信息存儲(chǔ)在后臺(tái)，網(wǎng)站一旦被黑客攻破，個(gè)人信息就會(huì)泄露，由此引發(fā)一系列針對(duì)個(gè)人的網(wǎng)絡(luò)犯罪。”阿里巴巴集團(tuán)副總裁余偉民說。

教育、公安、人力資源和社會(huì)保障等與民眾日常生活密切的政府職能部門，一旦因網(wǎng)絡(luò)安全問題導(dǎo)致信息泄露，帶來的后果不堪設(shè)想。徐玉玉被電信詐騙致死案就是一個(gè)典型例子。

余偉民認(rèn)為，其危害不只是會(huì)導(dǎo)致個(gè)人信息泄露，也可能造成政府內(nèi)部的信息泄露，嚴(yán)重的或許會(huì)危及國家安全，“即便只是網(wǎng)站癱瘓，也因會(huì)暫時(shí)無法提供服務(wù)而影響到政府的形象和公信力。”

管理和技術(shù)要齊頭并進(jìn)

“無論是從國家安全層面，還是從個(gè)人信息泄露、網(wǎng)絡(luò)犯罪層面，政府都必須高度重視包括政府網(wǎng)站在內(nèi)的公共服務(wù)類網(wǎng)站安全問題?！庇鄠ッ窀嬖V本刊記者。

2017年6月8日，國務(wù)院辦公廳發(fā)布《政府網(wǎng)站發(fā)展指引》，明確要求落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，建立安全監(jiān)測預(yù)警和應(yīng)急響應(yīng)機(jī)制，對(duì)攻擊、侵入和破壞政府網(wǎng)站的行為以及影響政府網(wǎng)站正常運(yùn)行的意外事故進(jìn)行防范，確保網(wǎng)站穩(wěn)定、可靠、安全運(yùn)行。

當(dāng)然，這還不夠。

接受《瞭望東方周刊》記者采訪的業(yè)內(nèi)專家建議，進(jìn)一步明確責(zé)任劃分，將網(wǎng)站的安全責(zé)任逐級(jí)落實(shí)到具體部門或者部門內(nèi)部機(jī)構(gòu)上，做到專人專責(zé)。同時(shí)，定期對(duì)相關(guān)人員進(jìn)行培訓(xùn)，以增強(qiáng)后者的網(wǎng)絡(luò)安全意識(shí)。

李鐵軍認(rèn)為，主管部門可以考慮建立一個(gè)全國性的網(wǎng)絡(luò)安全監(jiān)管平臺(tái)，將各級(jí)政府網(wǎng)站都納入該平臺(tái)之中，實(shí)行24小時(shí)在線監(jiān)控，及時(shí)發(fā)現(xiàn)問題、處理問題。

未來，政府還可以此為樣本，將其他公共服務(wù)類網(wǎng)站如學(xué)校、銀行、公益機(jī)構(gòu)等按性質(zhì)、行業(yè)分類，每個(gè)類別的網(wǎng)站都可建立一個(gè)全國性的網(wǎng)絡(luò)安全監(jiān)管平臺(tái)。

虞煜軍則認(rèn)為，主管部門應(yīng)制定一套明確的準(zhǔn)入標(biāo)準(zhǔn)，篩選出專業(yè)的網(wǎng)絡(luò)技術(shù)公司，建立一個(gè)名單庫供包括政府網(wǎng)站、學(xué)校、公益機(jī)構(gòu)在內(nèi)的所有公共服務(wù)類網(wǎng)站選擇，以確保外包公司有絕對(duì)的實(shí)力和能力保證網(wǎng)站安全。

“將一些需要保密的個(gè)人信息、機(jī)構(gòu)內(nèi)部信息存儲(chǔ)到專業(yè)網(wǎng)絡(luò)技術(shù)公司的云盤上?！蓖踯娊ㄗh。

對(duì)此，余偉民表示，目前很多公共服務(wù)類網(wǎng)站的信息都存在一些安全級(jí)別不高的本地服務(wù)器里，極易被攻擊，而像阿里巴巴旗下的阿里云等云盤服務(wù)則擁有更高級(jí)別的安全防護(hù)技術(shù)，服務(wù)器防抗攻擊的能力更強(qiáng)。

同時(shí)，還可以使用HTTPS技術(shù)，以解決網(wǎng)站的加密通信和真實(shí)性問題?！叭缃瘢琀TTPS和SSL證書已經(jīng)成為英美政府網(wǎng)站的標(biāo)配?！敝x永江介紹道。

美國政府和英國政府分別于2015年6月、2016年10月要求該國所有的政府部門必須使用HTTPS。

目前，國內(nèi)已有部分政府網(wǎng)站安裝了SSL證書，取得了良好效果。受訪專家建議，主管部門可考慮將該技術(shù)的應(yīng)用擴(kuò)展到全國范圍。

（摘自《瞭望新聞周刊》）