潘俊芳，侯振興

（蘭州財經(jīng)大學信息工程學院，甘肅 蘭州 730020）

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，政府網(wǎng)站是信息化發(fā)展下政府履行職責的重要平臺[1]。一些政府網(wǎng)站安全防護較為薄弱，給網(wǎng)絡(luò)犯罪分子提供了可乘之機。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）發(fā)布的數(shù)據(jù)顯示，僅在2022 年上半年，我國就有166 起政府網(wǎng)站被篡改事件和90 起網(wǎng)站被植入后門事件發(fā)生，安全事件頻發(fā)。一旦造成信息被竊取或篡改，將影響社會穩(wěn)定，甚至危及國家安全，政府網(wǎng)站安全面臨前所未有的挑戰(zhàn)，因此需要加強對政府網(wǎng)站的安全防護。

隨著電子政務(wù)的不斷發(fā)展，政府網(wǎng)站的安全防護也越來越受到學術(shù)界的關(guān)注。目前針對政府網(wǎng)站安全防護的相關(guān)研究一般在政府網(wǎng)站安全防護現(xiàn)狀、風險等方面。有學者認為政府網(wǎng)站安全面臨著核心技術(shù)不強、政府網(wǎng)站被攻擊和人們的安全意識不高等問題[2]，同時注入漏洞、“跨站腳本”漏洞和網(wǎng)站防護能力弱等對政府網(wǎng)站安全防護也存在一定威脅[3]；網(wǎng)站管理機制及制度不健全、防范措施及防護設(shè)備不完善[4]、自身監(jiān)管力度不足[5]、攻擊行為難發(fā)現(xiàn)等因素也影響政府網(wǎng)站的安全。關(guān)于政府網(wǎng)站的安全防護措施部分，一方面，有學者提出可使用一種從操作系統(tǒng)加固、網(wǎng)絡(luò)流量防護、網(wǎng)站內(nèi)容防護和安全態(tài)勢感知等方面設(shè)計的主機系統(tǒng)——“網(wǎng)防G01”，對政府網(wǎng)站服務(wù)器進行防護[6]，或者從網(wǎng)站基礎(chǔ)設(shè)施角度，通過配置Web 應(yīng)用防火墻和網(wǎng)頁防篡改系統(tǒng)，形成全方位的安全防護[7]；另一方面，有學者從管理視角認為加強網(wǎng)站監(jiān)管、提高政府工作人員的安全意識和不斷更新安全風險防范措施等，可以提高政府網(wǎng)站的防護水平[8]。

通過整理政府網(wǎng)站安全防護的相關(guān)文獻，發(fā)現(xiàn)缺乏具體的區(qū)域性案例的研究?？h區(qū)級政府是包含縣級市政府、縣級政府和區(qū)級政府的基層行政單位，是連接省市級政府和基層群眾的紐帶[9]，是改善民生的根本，是更好地服務(wù)群眾的基礎(chǔ)?？h區(qū)級政府網(wǎng)站是縣區(qū)政府向所屬縣區(qū)民眾提供直接的在線辦事信息及服務(wù)的重要途徑。如果基層政府網(wǎng)站的安全做不好，就無法保障人民信息財產(chǎn)安全。只有保障了基層政府網(wǎng)站的防護，才能更好地實現(xiàn)國家治理體系現(xiàn)代化，因此，做好縣區(qū)級政府網(wǎng)站安全防護至關(guān)重要?；诖耍疚囊愿拭C省縣區(qū)級政府網(wǎng)站為研究對象，深入分析其建設(shè)現(xiàn)狀和面臨的安全問題，并提出對應(yīng)的策略，旨在為甘肅省縣區(qū)級政府網(wǎng)站安全防護提供實質(zhì)性參考。

1 甘肅省縣區(qū)級政府網(wǎng)站建設(shè)現(xiàn)狀

建設(shè)和運營政府網(wǎng)站是為了更好地整合和利用各種信息資源，向大眾提供更便捷的服務(wù)，建立優(yōu)質(zhì)網(wǎng)絡(luò)環(huán)境。現(xiàn)階段我國的政府部門大多都擁有自己的門戶網(wǎng)站，可以在網(wǎng)站上發(fā)布政府工作動態(tài)、政務(wù)服務(wù)、政民互動、要聞等內(nèi)容；主要面向社會各界，信息更加公開透明，一定程度上還能吸引開發(fā)商投資[10]。

甘肅省有86 個縣區(qū)級區(qū)劃。根據(jù)省政府辦公廳發(fā)布的通報顯示，2022 年3 月甘肅省正在運行的政府網(wǎng)站有524家，其中縣區(qū)級政府網(wǎng)站172家，占全省數(shù)量的32.8%；而到了2022 年6月，甘肅省正在運行的政府網(wǎng)站382家，其中縣區(qū)級政府網(wǎng)站86家，占全省的22.5%。這3 個月期間，由于某些原因有141 家政府網(wǎng)站下線，有1 家移除監(jiān)管范圍，運行中的網(wǎng)站數(shù)量減少了約27%，縣區(qū)級政府網(wǎng)站數(shù)量減少了50%?？h區(qū)級政府網(wǎng)站的數(shù)量大幅度減少，其在全省政府網(wǎng)站中的占比也在降低。

根據(jù)調(diào)研，甘肅省政府網(wǎng)站建設(shè)存在的問題主要表現(xiàn)在以下兩方面：一是政府網(wǎng)站覆蓋率高，但建設(shè)水平參差不齊。有約27%的政府網(wǎng)站下線，而縣級政府網(wǎng)站減少了約16%，占減少總量的約60%，這說明政府的監(jiān)管變得更嚴格，多數(shù)縣區(qū)級政府網(wǎng)站建設(shè)不達標，網(wǎng)站建設(shè)整體處于初級階段。二是目前國家大力推進基礎(chǔ)設(shè)施IPv6 改造，使用IPv6 可以加密網(wǎng)絡(luò)層數(shù)據(jù)并檢驗訪問IP 報文，使政府網(wǎng)站具有更高的安全性。部分縣區(qū)級政府網(wǎng)站還未完成IPv6 改造，已完成IPv6 改造的部分政府網(wǎng)站，其二、三級頁面還不能支持IPv6 的訪問，上下級頁面之間的連通也不夠流暢，經(jīng)常出現(xiàn)卡頓情況。通過分析甘肅省縣區(qū)級政府網(wǎng)站建設(shè)現(xiàn)狀，可以發(fā)現(xiàn)其政府網(wǎng)站建設(shè)目前還處于初級階段，存在較大的問題。

2 甘肅省縣區(qū)級政府網(wǎng)站面臨的問題及成因分析

甘肅省縣區(qū)級政府網(wǎng)站在基礎(chǔ)建設(shè)方面存在的缺陷也暴露了很多其在防護方面存在的問題。

1）網(wǎng)站外部頻繁遭受攻擊，網(wǎng)站防護能力弱。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和網(wǎng)絡(luò)的普及，攻擊網(wǎng)站的技術(shù)也變得平民化，攻擊工具普遍且易使用，攻擊方法也變得更加復(fù)雜，政府網(wǎng)站的安全防護也變得越來越困難。政府網(wǎng)站目前面臨的威脅有：計算機病毒、網(wǎng)頁篡改、DDoS 和網(wǎng)站后門等。網(wǎng)站后門是指黑客在入侵服務(wù)器成功后留下了后門程序，黑客可以對服務(wù)器進行遠程操作，修改數(shù)據(jù)。網(wǎng)頁篡改是指惡意修改和破壞網(wǎng)頁內(nèi)容，使網(wǎng)站不能正常工作。如果黑客要進行網(wǎng)頁篡改，一般需要提前知道網(wǎng)站的漏洞，提前在網(wǎng)站中植入后門，最終獲得網(wǎng)站控制權(quán)。根據(jù)CNCERT 發(fā)布的數(shù)據(jù)，2016年—2021 年我國被篡改政府網(wǎng)站數(shù)量統(tǒng)計（見圖1）顯示我國每年都會遭遇大量的網(wǎng)頁篡改安全事件；根據(jù)2021 年7 月—2022 年6 月的統(tǒng)計數(shù)據(jù)可知（見圖2），我國政府網(wǎng)站在一年間共遭遇354 起網(wǎng)頁篡改和132 起網(wǎng)站后門引起的安全事件。安全事件的頻繁發(fā)生說明政府網(wǎng)站漏洞過多，網(wǎng)站安全體系的基礎(chǔ)建設(shè)薄弱，防護能力較差。

圖1 2016—2021 年我國境內(nèi)被篡改政府網(wǎng)站數(shù)量

圖2 2021 年7 月—2022 年6 月我國政府網(wǎng)站遭遇網(wǎng)頁篡改和網(wǎng)站后門事件數(shù)量

2）缺乏核心技術(shù)，網(wǎng)站維護能力差。政府網(wǎng)站的安全問題必須依托技術(shù)解決。政府通信技術(shù)水平和國家信息基礎(chǔ)設(shè)施水平密切相關(guān)，而缺乏自主技術(shù)支撐是政府網(wǎng)站防護過程中面臨的巨大威脅之一。我國通信行業(yè)起步較晚，缺乏對核心技術(shù)的掌控，如芯片、服務(wù)器和操作系統(tǒng)等安全產(chǎn)品需要從國外購買，“受制于人”的情況較為嚴重。近幾年，我國通信行業(yè)在網(wǎng)絡(luò)硬件方面發(fā)展迅速，在一些網(wǎng)絡(luò)產(chǎn)品方面擁有自主知識產(chǎn)權(quán)，但服務(wù)器、計算機存儲介質(zhì)和通信設(shè)備等硬件設(shè)施還是要依賴進口。另外，我國在前幾年發(fā)生的Intel 公司奔騰Ⅲ序列號事件和微軟公司操作系統(tǒng)NSA 密鑰事件中得到警醒，這些年我國在處理器和系統(tǒng)軟件方面存在技術(shù)依賴，如果發(fā)生此類安全事件，政府網(wǎng)站將處于被動狀態(tài)。一方面，由于縣區(qū)政府部門缺乏靈活的招聘機制和就業(yè)福利，未能吸引和容納高素質(zhì)的安全管理人員，政府網(wǎng)站運行管理技術(shù)短缺，許多政府將網(wǎng)站的建設(shè)與管理交給設(shè)備供應(yīng)商負責，沒有配備相關(guān)技術(shù)人員，不能保證政府網(wǎng)站的日常運行和維護；另一方面，由于甘肅省地理位置和經(jīng)濟狀況的限制，甘肅省縣區(qū)從事網(wǎng)站安全管理的人員相對較少，相關(guān)管理人員技術(shù)水平參差不齊，可能無法及時應(yīng)對一些安全問題。

3）政府部門監(jiān)管不到位，安全風險意識不高。由于甘肅省縣區(qū)級政府結(jié)構(gòu)不健全，許多縣區(qū)級政府部門公開招標網(wǎng)站安全防護服務(wù)項目，但卻沒有安全防護管理機構(gòu)，導致網(wǎng)站的責任體制不夠健全，對治理的監(jiān)察也不到位，使得政府網(wǎng)站處于不設(shè)防狀態(tài)。加上一些縣區(qū)政府部門沒有落實網(wǎng)站監(jiān)測措施，不能做到對網(wǎng)站的實時檢查、監(jiān)測，所以當網(wǎng)站出現(xiàn)故障時，管理人員不能及時發(fā)現(xiàn)并處理，網(wǎng)站有隨時被攻擊的風險。此外，政府部門缺乏對網(wǎng)站安全預(yù)防的重視。很多網(wǎng)站遭受攻擊主要是因為網(wǎng)站的安全性較差，而網(wǎng)站安全性可以通過網(wǎng)站安全評估來提高。由于一些縣區(qū)級政府缺乏能夠統(tǒng)一調(diào)配的機構(gòu)，也沒有形成成套的安全規(guī)范，缺乏對安全評估的重視，網(wǎng)站中存在的問題不斷增多，政府網(wǎng)站的安全性變得越來越差，攻擊網(wǎng)站就會變得易如反掌。甘肅省縣區(qū)級政府網(wǎng)站大都擁有安全監(jiān)測預(yù)警機制，但沒有嚴格規(guī)定評估次數(shù)。近幾年的報告顯示，甘谷縣政府網(wǎng)站每年安全評估次數(shù)多達25次，少至6次，沒有固定的標準。有些政府網(wǎng)站的評估次數(shù)更少，甚至為0。部分縣區(qū)級政府網(wǎng)站沒有進行過應(yīng)急演練，這些都表明政府部門對其網(wǎng)站安全防護不重視，導致網(wǎng)站的安全性降低，網(wǎng)站變得越來越“脆弱”。

3 “互聯(lián)網(wǎng)+”背景下縣區(qū)級政府網(wǎng)站安全防護策略

本文通過對甘肅省縣區(qū)級政府網(wǎng)站建設(shè)存在的問題進行分析，提出以下幾點措施建議，希望能為甘肅省縣區(qū)級政府網(wǎng)站的防護作出貢獻。

1）提升網(wǎng)站核心技術(shù)，加強網(wǎng)站安全防護。強化政府網(wǎng)站安全的最基本措施就是通過提升政府網(wǎng)站的核心技術(shù)來提高網(wǎng)站防御能力?？h區(qū)級政府要積極引入國產(chǎn)安全產(chǎn)品，通過使用國產(chǎn)安全產(chǎn)品來提高網(wǎng)站防御水平，減少使用外國產(chǎn)品帶來的安全隱患。一方面，政府可以聯(lián)合當?shù)刂腎T 企業(yè)研發(fā)網(wǎng)站相應(yīng)的軟硬件產(chǎn)品，促進網(wǎng)站新技術(shù)開發(fā)，提高網(wǎng)站裝備水平；另一方面，政府要加強對通信技術(shù)行業(yè)的扶持力度，幫助從業(yè)者盡快研發(fā)擁有自主產(chǎn)權(quán)的通信技術(shù)和安全產(chǎn)品，特別是加強服務(wù)器和芯片技術(shù)的研發(fā)。此外，縣區(qū)級政府要完善網(wǎng)站安全防護措施，提高網(wǎng)站的物理防御能力。一方面，除了配備基礎(chǔ)的殺毒軟件、防火墻和入侵防御系統(tǒng)外，還要針對網(wǎng)頁篡改、網(wǎng)站后門、DDoS等威脅，配備DDoS 防御和網(wǎng)頁防篡改系統(tǒng)，實現(xiàn)對網(wǎng)站的全方位預(yù)警、防護；另一方面，要了解最新的行業(yè)信息，避免網(wǎng)站更替、新型漏洞和病毒、攻擊手段給網(wǎng)站安全帶來威脅。

2）加強人才引進，組建高水平隊伍。政府網(wǎng)站的防護需要專業(yè)的技術(shù)人員和管理人員負責，而專業(yè)人員的匱乏是縣區(qū)級政府網(wǎng)站防護的一個重大難題。從事網(wǎng)站安全防護的人員需要有較高的專業(yè)素質(zhì)和技術(shù)水平，但目前甘肅省內(nèi)從事安全防護的專業(yè)人員相對較少，專業(yè)能力參差不齊。政府可以提供補貼，讓企業(yè)組織網(wǎng)站安全防護的相關(guān)專業(yè)人員進行集中培訓，全面提高從業(yè)人員的專業(yè)水平。此外，政府還需要制定相關(guān)政策，吸引更多專業(yè)人員到甘肅省從事網(wǎng)站安全防護行業(yè)。一方面，對于如何吸引外省人才，政府可以提高對專業(yè)人才的就業(yè)和創(chuàng)業(yè)補貼，在落戶、教育和醫(yī)療保障等方面提供優(yōu)惠，讓他們沒有后顧之憂，安心創(chuàng)業(yè)；另一方面，政府可以通過對研發(fā)出創(chuàng)新科技成果的人才提供獎勵、政府補貼等方式，提高該行業(yè)從業(yè)人員的福利待遇，還可以通過推薦優(yōu)秀人才擔任“兩代表一委員”的方式，給予人才政治鼓勵，從而吸引更多人才從事這個行業(yè)。政府需要從實際需求出發(fā)，從網(wǎng)站建設(shè)、防護和管理方面考慮，招收更多的優(yōu)秀專業(yè)人才，并通過年度考核獎勵機制激勵從業(yè)人員提高自身專業(yè)素質(zhì)和工作能力。

3）增強政府的監(jiān)管力度，提高政府部門的安全風險意識。做好政府網(wǎng)站的防護不僅要從技術(shù)方面提高，還要注重管理。首先，政府部門要完善部門結(jié)構(gòu)，健全責任體系，做到部門各司其職、網(wǎng)站專人專責，做好網(wǎng)站的安全評估和應(yīng)急演練；其次，要完善網(wǎng)絡(luò)監(jiān)測措施，部署Cloud Insight 等監(jiān)控系統(tǒng)，做到實時檢查、檢測網(wǎng)站，以便能及時發(fā)現(xiàn)并處理網(wǎng)站出現(xiàn)的故障；最后，還需要健全管理制度，制定完備的安全規(guī)范，從預(yù)防的角度解決網(wǎng)站安全防護難題。對于風險意識培養(yǎng)，一方面，政府部門要加強自身對預(yù)防安全風險的重視，通過公開講座向工作人員講述預(yù)防的重要性，提高其安全風險意識；另一方面，政府部門應(yīng)根據(jù)不同縣區(qū)政府網(wǎng)站的實際情況，制定安全評估標準，要求他們嚴格執(zhí)行，定期評估和演練。

4 結(jié)束語

文章基于甘肅省縣區(qū)級政府網(wǎng)站的建設(shè)現(xiàn)狀、安全問題及成因，提出提升網(wǎng)站核心技術(shù)、加強人才引進和提高政府安全風險意識等措施，以保障政府網(wǎng)站的持續(xù)安全運行。