◎戴東情 毛圣兵 張瑞

1.南京海關(guān)工業(yè)產(chǎn)品檢測(cè)中心 2.中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心

一、引言

近年來(lái)，我國(guó)對(duì)政府網(wǎng)站安全的建設(shè)格外重視，并取得了不錯(cuò)的成績(jī)，但在網(wǎng)站構(gòu)建和實(shí)施的過(guò)程當(dāng)中，還存在著很多問(wèn)題。諸如在網(wǎng)站信息安全方面，各地政府網(wǎng)站還存在著很大的漏洞和其他很多問(wèn)題。在冊(cè)的信息度還不夠高，信息化管理手段還比較薄弱，法律制度不健全，公民信息安全意識(shí)還是比較薄弱。同時(shí)，政府網(wǎng)站面臨著諸多網(wǎng)絡(luò)安全攻擊問(wèn)題，諸如特洛伊木馬、后門(mén)和其他攻擊手段等，許多危害始終威脅著政府網(wǎng)站的發(fā)展[1]。

隨著通信網(wǎng)絡(luò)快速發(fā)展，中國(guó)寬帶接入數(shù)量達(dá)3.96 億戶(hù)，躍居世界第一，占用戶(hù)總數(shù)的91%。但是，隨著信息技術(shù)的高速發(fā)展，公民的網(wǎng)絡(luò)安全意識(shí)、政府的法律法規(guī)、網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施等方面有諸多亟需解決的問(wèn)題。如為解決僵尸網(wǎng)站、睡眠網(wǎng)站等問(wèn)題，國(guó)務(wù)院辦公廳對(duì)全國(guó)政府網(wǎng)站按季度進(jìn)行了普查，普查結(jié)果如圖1 所示，2019 年全國(guó)政府網(wǎng)站總數(shù)如圖2 所示。通過(guò)普查，了解了國(guó)家政府網(wǎng)站的基本情況，并解決了問(wèn)題匯報(bào)不及時(shí)、信息不準(zhǔn)確、政府不響應(yīng)、措施不切實(shí)際等問(wèn)題[2]。從圖1 可以看出，2019 年每季度的政府網(wǎng)站的合格率是逐步上升的。而據(jù)圖2 所示，2019 年每季度的全國(guó)政府網(wǎng)站總數(shù)有所減少。

圖1 2019年政府網(wǎng)站普查合格率

為落實(shí)全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議要求，國(guó)務(wù)院辦公廳政務(wù)信息政務(wù)公開(kāi)辦公室對(duì)全國(guó)政府網(wǎng)站的漏洞進(jìn)行了評(píng)估，評(píng)估結(jié)果如圖3 所示。評(píng)估數(shù)據(jù)顯示，在231 個(gè)政府網(wǎng)站中，有90%以上都存在漏洞，現(xiàn)在政府網(wǎng)站信息安全的形勢(shì)十分嚴(yán)峻，從2014 年到2019 年，網(wǎng)站所存在漏洞數(shù)不斷增加。

二、政府網(wǎng)站信息安全管理中的問(wèn)題

圖2 2019年全國(guó)政府網(wǎng)站總數(shù)

圖3 2014-2019年新漏洞數(shù)量

如今，政府網(wǎng)站存在嚴(yán)峻的信息安全問(wèn)題的原因有很多，本節(jié)重點(diǎn)從重應(yīng)用輕安全、缺乏信息安全專(zhuān)業(yè)人員、關(guān)鍵技術(shù)嚴(yán)重依賴(lài)國(guó)外、缺乏制度化的安全管理四個(gè)方面逐一分析和闡述。

（一）重應(yīng)用輕安全

目前，政府網(wǎng)站建設(shè)最主要的問(wèn)題就是“重應(yīng)用輕安全”。此現(xiàn)象有兩個(gè)主要原因。首先，政府網(wǎng)站的建設(shè)單位通常更加關(guān)注功能要求和性能要求，卻忽視了安全性問(wèn)題。在招標(biāo)文件中，很少看到安全要求。造成這種現(xiàn)象的另一個(gè)重要原因是：政府網(wǎng)站面臨的信息安全問(wèn)題并不是評(píng)估政府網(wǎng)站的重要指標(biāo)之一。從測(cè)試中心所提出的網(wǎng)站性能評(píng)估指標(biāo)來(lái)看，都是從信息公開(kāi)和業(yè)務(wù)應(yīng)用的角度制定的，而網(wǎng)站安全所占比例為2%[3]。缺乏安全基準(zhǔn)和安全計(jì)劃似乎是問(wèn)題的根本原因。

（二）缺乏信息安全專(zhuān)業(yè)人員

實(shí)際上，政府網(wǎng)站的管理員主要是軟件開(kāi)發(fā)人員或運(yùn)維人員，而網(wǎng)絡(luò)信息安全是一個(gè)高度專(zhuān)業(yè)化的課題，現(xiàn)有的管理員無(wú)法適應(yīng)當(dāng)前網(wǎng)絡(luò)安全需求[4]。目前，盡管一些高校已經(jīng)有意識(shí)地去開(kāi)設(shè)信息網(wǎng)絡(luò)安全相關(guān)課程，但由于培養(yǎng)機(jī)制不完善，我國(guó)現(xiàn)在仍處于優(yōu)秀的信息安全理論和技術(shù)人才缺乏的狀態(tài)。一方面，由于起步晚，培訓(xùn)周期長(zhǎng)，因此畢業(yè)的學(xué)生很少。另一方面，相對(duì)于實(shí)踐，學(xué)校更注重理論教育，畢業(yè)生無(wú)法適應(yīng)實(shí)際工作要求。

（三）關(guān)鍵技術(shù)嚴(yán)重依賴(lài)國(guó)外

近幾年，我國(guó)在網(wǎng)絡(luò)核心技術(shù)發(fā)展和產(chǎn)業(yè)支撐能力上有了很大的提升，但相較于西方發(fā)達(dá)國(guó)家，差距仍然較大。要加強(qiáng)政府網(wǎng)絡(luò)安全技術(shù)攻關(guān)，加大技術(shù)投入。我國(guó)政府網(wǎng)站的操作系統(tǒng)、數(shù)據(jù)庫(kù)等信息基礎(chǔ)設(shè)施國(guó)外產(chǎn)品占比較高。如網(wǎng)絡(luò)運(yùn)行在美國(guó)思科公司的網(wǎng)絡(luò)設(shè)備上，計(jì)算機(jī)通用處理芯片是Intel 公司的，操作系統(tǒng)是Microsoft 的，數(shù)據(jù)庫(kù)是美國(guó)IBM、Oracle 等供應(yīng)商的。顯然，我國(guó)政府網(wǎng)站核心技術(shù)都是基于國(guó)外廠(chǎng)商的，這對(duì)我國(guó)政府網(wǎng)站的信息安全構(gòu)成了嚴(yán)重的威脅。以操作系統(tǒng)為例，由于微軟處于壟斷地位，可以迫使用戶(hù)升級(jí)，升級(jí)到Windows 8 后，將無(wú)法卸載，這對(duì)Microsoft 來(lái)說(shuō)是可信的，但對(duì)我們而言不是。盡管使用這些設(shè)備通常不會(huì)造成問(wèn)題，但在關(guān)鍵時(shí)刻，我們不能排除對(duì)手國(guó)家通過(guò)遠(yuǎn)程無(wú)線(xiàn)控制系統(tǒng)啟動(dòng)信息盜竊、數(shù)據(jù)刪除和系統(tǒng)攻擊的可能性，這可能使我們的重要信息系統(tǒng)癱瘓。

（四）缺乏制度化的安全管理

根據(jù)調(diào)查走訪(fǎng)，目前各省市的政府網(wǎng)站由于缺乏數(shù)據(jù)支撐暫時(shí)還沒(méi)有建立完善的安全管理制度。在網(wǎng)站運(yùn)營(yíng)管理中，都缺乏有效的安全檢查和響應(yīng)保護(hù)體系[5]。同時(shí)，不完善的管理機(jī)制使網(wǎng)絡(luò)管理員或內(nèi)部人員可以輕松匿名地進(jìn)行犯罪活動(dòng)。根據(jù)調(diào)查，由于缺乏高質(zhì)量的安全管理，許多網(wǎng)絡(luò)犯罪行為都來(lái)自?xún)?nèi)部聯(lián)網(wǎng)計(jì)算機(jī)。

三、關(guān)于加強(qiáng)政府網(wǎng)站信息安全管理的建議

針對(duì)當(dāng)前我國(guó)政府網(wǎng)站存在的信息安全問(wèn)題，本節(jié)重點(diǎn)從成立信息安全管理部門(mén)、使用自有品牌的操作系統(tǒng)、建立完善的信息安全管理體系三方面提出建議。

（一）成立信息安全管理部門(mén)

在各級(jí)政府網(wǎng)站的建設(shè)和管理過(guò)程中，建立專(zhuān)門(mén)的網(wǎng)絡(luò)信息安全管理部門(mén)，這是保障我國(guó)政府網(wǎng)站安全的重中之重。聘請(qǐng)網(wǎng)絡(luò)空間安全專(zhuān)業(yè)人才，對(duì)政府網(wǎng)站的規(guī)劃設(shè)計(jì)、信息安全等級(jí)保護(hù)的實(shí)施、信息安全管理、升級(jí)改造、漏洞檢測(cè)等，進(jìn)行有計(jì)劃、有措施、有步驟的建設(shè)和運(yùn)維。

（二）使用自有品牌的操作系統(tǒng)

經(jīng)過(guò)多年的發(fā)展，我國(guó)的自主品牌操作系統(tǒng)有了一定的基礎(chǔ)，應(yīng)鼓勵(lì)政府網(wǎng)站建設(shè)使用自主品牌的操作系統(tǒng)。目前，國(guó)有自主品牌操作系統(tǒng)主要是基于Linux 的二次開(kāi)發(fā)系統(tǒng)，代表性產(chǎn)品包括GDLC，Deepin，isoft，WiOS，StartOS 等。另外，我國(guó)政府在采購(gòu)環(huán)節(jié)中應(yīng)為自主品牌操作系統(tǒng)提供更多支持。

（三）建立完善的信息安全管理體系

建立一個(gè)完善的信息安全管理體系，對(duì)于當(dāng)今政府網(wǎng)站發(fā)展有著重要意義。如圖4 所示，一個(gè)完整的網(wǎng)站信息安全管理體系應(yīng)該包含四部分：系統(tǒng)的總體方法、安全管理的組織系統(tǒng)、網(wǎng)絡(luò)部署統(tǒng)一的安全策略和所對(duì)應(yīng)的安全操作規(guī)范[6]。其中，總體方法是參照國(guó)內(nèi)外信息系統(tǒng)安全管理標(biāo)準(zhǔn)來(lái)制定的，并且要求符合國(guó)家信息系統(tǒng)安全保護(hù)規(guī)定和信息系統(tǒng)安全水平保護(hù)的基本要求[7]。安全管理的組織系統(tǒng)目的在于提高信息系統(tǒng)安全管理責(zé)任，使每一個(gè)部門(mén)都明確自己的安全管理任務(wù)，并對(duì)整個(gè)組織在系統(tǒng)信息安全管理工作的分配起促進(jìn)作用。網(wǎng)絡(luò)部署統(tǒng)一安全策略，要求從機(jī)房安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用程序安全、數(shù)據(jù)安全、應(yīng)急管理、安全審計(jì)、安全測(cè)試等多個(gè)方面進(jìn)行。并基于身份、規(guī)則和角色詳細(xì)闡述了行動(dòng)策略[8]。所對(duì)應(yīng)的網(wǎng)站安全運(yùn)行規(guī)范，其內(nèi)容包括網(wǎng)站安全管理方法、計(jì)算機(jī)網(wǎng)絡(luò)安全管理規(guī)定、互聯(lián)網(wǎng)信息發(fā)布保密系統(tǒng)、機(jī)房安全管理系統(tǒng)等方面。建立該系統(tǒng)的目的是集成網(wǎng)站安全設(shè)計(jì)、網(wǎng)站安全基礎(chǔ)架構(gòu)、網(wǎng)站安全運(yùn)營(yíng)和維護(hù)服務(wù)。

圖4 信息安全管理系統(tǒng)架構(gòu)

四、結(jié)論

綜上所述，加強(qiáng)政府網(wǎng)站信息安全是促進(jìn)當(dāng)前網(wǎng)絡(luò)發(fā)展、提高政府與群眾緊密程度的重要一環(huán)。這需要政府在建立和完善安全管理組織制度體系的情況下，同時(shí)要提升其相應(yīng)的工作運(yùn)行機(jī)制、管理體系、應(yīng)急機(jī)制、技術(shù)保護(hù)體系、監(jiān)督機(jī)制和培訓(xùn)機(jī)制。針對(duì)當(dāng)前政府網(wǎng)站的發(fā)展情況來(lái)看，我們對(duì)信息安全與政府網(wǎng)站發(fā)展之間的關(guān)系還需要有一個(gè)正確的態(tài)度，明白安全是前提，發(fā)展是最終目標(biāo)。我們必須在確保安全的條件下推進(jìn)政府網(wǎng)站的快速發(fā)展。