王元元

政府网站的后期更新与安全维护的基本缺失，使其近乎在互联网世界“裸奔”

近日，江苏常州警方侦破一起网络售卖教师资格证的案件。

在警方公布的信息里，一个细节尤其引人注目：非法制证者通过黑客团队，以漏洞扫描、上传木马程序等手段“黑”入政府官网，并将证件验证窗口链接至售假团伙自家网站。

“这一犯罪手法，目前在国内尚属首例。”常州警方的公告中写道。

无独有偶，2016年在社会上引起轩然大波的徐玉玉被电信诈骗致死案背后，同样是网络黑客作祟。

公诉机关的指控显示，19岁的黑客杜某通过植入木马等方式，非法入侵山东省2016年普通高等学校招生考试信息平台网站，窃取包括徐玉玉在内的64万余条2016年山东省高考考生个人信息，并对外出售牟利。

近年来，类似公共服务类网站被攻击，从而导致民众个人信息泄露的案件层出不穷。

无论是常州教师资格证网络售假案，还是徐玉玉案，都暴露出政府网站的安全防护薄弱。

多位接受《瞭望东方周刊》采访的网络安全业内人士及专家直言，包括政府网站在内的公共服务类网站的安全问题长久以来都被忽视了，这些网站当前的安全形势仍十分严峻。

“公共服务类网站的安全问题应该引起大家的高度重视，并拿出具体措施加以解决。”北京邮电大学互联网治理与法律研究中心副主任谢永江在接受《瞭望东方周刊》采访时强调。

平均每个县区开设30个政府网

上世纪90年代，电子政务开始发轫。

因其能够极大地降低行政成本，同时提升政府管理、公共服务的效率，得到各国政府的大力支持和推动。中国亦是如此。

从本世纪初，中国公共服务触网开始，此后电子政务市场规模不断扩大。

综合行业研究机构迪赛顾问和智研咨询的数据：2006年以来，中国电子政务的市场规模一直保持着15%以上的增长速度，远远高出同期的GDP 增速；到2010年，其市场规模首次突破1000亿元。

“2016 年时，中国电子政务的市场规模已经达到了2569亿元，比2010年翻了一番。”阿里巴巴集团安全部总监虞煜军告诉《瞭望东方周刊》。

在这场轰轰烈烈的电子政务普及浪潮中，兴建政府网站成为许多地方政府的第一选择。从中央到县区、乡镇的各级政府部门，海关、税务、教育、审计等各个系统，纷纷开设自己的政府网站。

“这样几年下来，摊子越铺越大，网站越建越多。”谢永江说。

2015年，国务院办公厅组织了第一次全国政府网站普查，结果显示：各地区、各部门已开设政府网站8.4万多个。

“当年中国有2861个县区，就相当于平均每个县区就开设了近30个政府网站。”谢永江说。

然而，这些网站的情况并不尽如人意。2015年，国务院办公厅在全国政府网站普查中发现，一些政府网站空白栏目数超过20个，一些网站的栏目7年未更新。

“事实上，这些常年不更新的‘僵尸官网在政府网中屡见不鲜。更严重的是，一些网站还会被黑客入侵，变得面目难辨。”中国信息安全测评中心总工程师王军对《瞭望东方周刊》说。

近1500家政府网站被植入后门

据谢永江观察，在政府网站建设浪潮中，各方关注的焦点仍然是大规模的硬件和网络设备建设，而对软件和服务的投入不够充分。

公开数据显示，2014年，中国1915亿元的电子商务市场规模中，其中硬件和网络设备的市场份额占比超过51%。“再往前这一比例还要更高。”虞煜军说。

因此，缺乏后期建设和安全维护的政府网站漏洞百出。从近年来频发的各类网络诈骗事件来看，也能看出公共服务类网站中尤以政府网站的安全问题最为突出。

国家互联网应急中心发布的监测数据显示：2014年，国内共有1763家政府网站被篡改攻击，1529家政府网站被植入“后门”，合计有3292家政府网站已存安全漏洞。

工信部下属的中国软件测评中心发布的《2015年中国政府网站绩效评估总报告》显示，2015年评估范围内的政府网站中：超过90%存在各种危险等级的安全漏洞；31%的网站被划入极度危险序列；17%的网站被划入高度危险序列。

上述报告还指出，近30%的网站安全漏洞数量超过30个、有60余家网站的安全漏洞数量超过100个。

而《2016年中国政府网站绩效评估总报告》也显示，评估范围内的70个部委、32个省（市、区）、330个市以及470余个区县的政府网站中共发现漏洞1190个，其中高危漏洞152个，中危漏洞780个。

国家互联网应急中心的监控数据显示：2017年1～8月，全国被篡改的政府网站数量为1232个，被植入后门的政府网站数量为1468个，整体数量同比下降了33%。

“即便如此，存在安全隐患的政府网站的绝对数目仍然不小。”阿里巴巴集团安全部总监连斌告诉《瞭望东方周刊》。

王军也认为，尽管过去几年，政府网站的安全问题有所改善，但总体形势依然非常严峻，“其他公共服务类网站安全情况也大多如此，都不容乐观。”

不止是信息泄露

连斌认为，在政府网站的建设潮中，公共服务类网站尤其是政府网站安全形势恶化有其必然性。

“一些政府部门在做网站时很盲目，就是为了完成任务，但却并不太清楚如何把网站做好。”他说。

不过，谢永江也坦陈，一些政府部门有时也“心有余而力不足”，即便想把网站做好，也常因自身缺乏专业的网络技术和安全人員而作罢，最终只得将网站的建设和维护外包给市场上的网络公司。

这就带来了更严重的问题。

“因为财政预算低以及缺乏网络安全意识，有些政府部门会选择费用低的小公司帮它们做网站，这些公司技术力量都比较弱，网站安全等级也不高，自然很容易被黑客攻破。”猎豹移动安全工程师李铁军告诉《瞭望东方周刊》。

此外，这些公司跟政府之间往往是一锤子买卖，网站建好就等于完成任务，更为重要的后期网站更新与安全维护基本缺失，使得这些政府网站近乎在互联网世界“裸奔”。

“政府网站在给民众提供各类服务的过程中，收集了大量个人信息存储在后台，网站一旦被黑客攻破，个人信息就会泄露，由此引发一系列针对个人的网络犯罪。”阿里巴巴集团副总裁余伟民说。

教育、公安、人力资源和社会保障等与民众日常生活密切的政府职能部门，一旦因网络安全问题导致信息泄露，带来的后果不堪设想。徐玉玉被电信诈骗致死案就是一个典型例子。

余伟民认为，其危害不止是会导致个人信息泄露，也可能造成政府内部的信息泄露，严重的或许会危及国家安全，“即便只是网站瘫痪，也因会暂时无法提供服务而影响到政府的形象和公信力。”

管理和技術要齐头并进

“无论是从国家安全层面，还是从个人信息泄露、网络犯罪层面，政府都必须高度重视包括政府网站在内的公共服务类网站安全问题。”余伟民告诉本刊记者。

2017年6月8日，国务院办公厅发布《政府网站发展指引》，明确要求落实网络安全等级保护制度，建立安全监测预警和应急响应机制，对攻击、侵入和破坏政府网站的行为以及影响政府网站正常运行的意外事故进行防范，确保网站稳定、可靠、安全运行。

当然，这还不够。

接受《瞭望东方周刊》记者采访的业内专家建议，进一步明确责任划分，将网站的安全责任逐级落实到具体部门或者部门内部机构上，做到专人专责。同时，定期对相关人员进行培训，以增强后者的网络安全意识。

李铁军认为，主管部门可以考虑建立一个全国性的网络安全监管平台，将各级政府网站都纳入该平台之中，实行24小时在线监控，及时发现问题、处理问题。

未来，政府还可以此为样本，将其他公共服务类网站如学校、银行、公益机构等按性质、行业分类，每个类别的网站都可建立一个全国性的网络安全监管平台。

虞煜军则认为，主管部门应制定一套明确的准入标准，筛选出专业的网络技术公司，建立一个名单库供包括政府网站、学校、公益机构在内的所有公共服务类网站选择，以确保外包公司有绝对的实力和能力保证网站安全。

“将一些需要保密的个人信息、机构内部信息存储到专业网络技术公司的云盘上。”王军建议。

对此，余伟民表示，目前很多公共服务类网站的信息都存在一些安全级别不高的本地服务器里，极易被攻击，而像阿里巴巴旗下的阿里云等云盘服务则拥有更高级别的安全防护技术，服务器防抗攻击的能力更强。

同时，还可以使用HTTPS技术，以解决网站的加密通信和真实性问题。“如今，HTTPS和SSL证书已经成为英美政府网站的标配。”谢永江介绍道。

美国政府和英国政府分别于2015年6月、2016年10月要求该国所有的政府部门必须使用HTTPS。

目前，国内已有部分政府网站安装了SSL证书，取得了良好效果。受访专家建议，主管部门可考虑将该技术的应用扩展到全国范围。