浅谈政府门户网站网络安全防护
2021-02-28王定玖
王定玖
摘要:政府门户网站作为政府信息公开的主渠道,是公开信息,对外服务,宣传政府形象,实施电子政务的主要平台。信息技术的更迭发展,在为社会大众提供便利的同时,也带来了前所未有的挑战,政府网站面临着巨大的网络安全威胁。政府门户网站集约化平台作为大数量的关键信息基础设施,必须特别重视网络安全防护和保障。文章从做好政府门户网站网络安全防护的必要性为切入点,分析了影响政府网站网络安全的因素,并提出几点加强网络安全防护技术。
关键词:政府门户网站;网络安全防护;集约化;技术
中图分类号:TP311 文献标识码:A
文章编号:1009-3044(2021)35-0032-02
政府门户网站是政府信息公开,服务大众的窗口,同时也是群众与政府互动的重要渠道。 随着信息技术的日益发展,在信息高度共享过程中,由于黑客和网络病毒的入侵,造成网络瘫痪,网站无法访问,政府门户网站的网页(首页)内容被篡改,严重影响人们对政府网站公信力的认可。同时,网站受到攻击,政府部分重要信息泄露,黑客在网站上发布虚假信息,则会造成严重的政治、社会事件。因此,我们必须主动求变,应对挑战,多措并举,重点加强网站网络安全防护工作,最终实现政府门户网站安全稳定运行,提升政府网上服务能力。
1 强化政府门户网站安全防护的必要性
作为国家关键信息基础设施,县级(含)以上政府门户网站面向公众提供网络信息服务,具有公开化,透明化的特征,是衡量政府现代化管理标准的一项重要指标。政府门户网站是网络攻击的重灾区之一,而一旦发生网络安全事件,则可能造成十分严重的后果。加强网络安全防护有助于提升政府门户网站的安全性,保障网站安全稳定运行。2020 年上半年,受新冠疫情影响,DDoS 攻击规模有所趋缓。国家互联网应急中心发布的《2020 年上半年我国互联网网络安全监测数据分析报告》显示,每日峰值流量超过 10Gbps 的大流量 DDoS攻击事件数量与上年基本持平,约 220 起。上述分析报告还显示,网页仿冒、网站后门、网页篡改等网站安全问题令人担忧。我国境内遭篡改的网站有约 7.4 万个,其中被篡改的政府网站有 318 个。因此,我们要做好网站网络安全防护,有效抵御各种恶意攻击,保护信息数据的安全性,网络安全成为政府门户网站建设的一项重要内容。
2 分析影响政府门户网站网络安全的因素
當前我们迈入大数据信息时代,政府门户网站的重要性日益凸显,并且所承载的业务数量剧增,网站面向社会的性质也发生了变化,频繁发生的网络钓鱼、篡改网页、SQL注入等针对政府门户网站的攻击事件,成为制约网站健康发展的一个巨大障碍 [1]。
2.1 基层网站散乱
县级各部门及乡镇、街道自建的政府网站平台,信息化能力弱,支撑网站的运营能力更是薄弱,使得一些网站形同虚设。加之部分领导者网络安全防护意识孱弱,用于网站网络安全方面的经费短缺,硬件设施落后。立足于政府的角度来分析,在网络安全防护方面缺乏强有力的监管力度,没有将其列入评估政府网站的重要指标。没有定期对网站进行维护,甚至还出现了网站信息泄露或是篡改后,很长一段时间无人问津,严重影响了政府形象[2]。
2.2 技术力量薄弱
网站管理人员的安全意识和防护能力存在问题,网络环境软硬件安全配置有待提升。网站美工设计、代码编写、服务器搭建、维护管理等涉及多个领域,网站建设是一项综合性的工程,基层网站管理员很难独自适应当前网络安全的需求 [3]。在进行网站系统操作的过程中,随意点开来历不明、不安全的网页,为网站的安全隐患提供了滋生的土壤,网络黑客抓住漏洞,入侵网站,盗取重要信息,甚至会在网站中植入病毒,导致整个网站瘫痪,破坏整个网站的运行,制约相关工作的开展。
2.3 网站内核良莠不齐
用于建站的源代码必须安全高效,模块齐全,系统需不断升级更新。选择了网站管理系统内核,接下来就是装修,仅需熟悉HTML、CSS等语言,即可完成网站首页、栏目页、内容页的网页模板的美化设计。系统源代码不够优化,用户体验会打折扣,本身存在安全漏洞,甚至留有后门,在网站系统开发时没有规避来历不明的程序代码,网站上线前也没有及时检测,都可能带来安全隐患问题。另外,由于技术标准各不相同,政府网站的数据很难实现共享。
3 加强政府门户网站网络安全防护方法
3.1 走网站集约化道路
2018年,《国务院办公厅关于印发<政府网站集约化试点工作方案>的通知》国办函〔2018〕71号,要求安全技术措施与集约化平台同步规划、同步建设、同步运行,并确保集约化平台支持互联网协议第6版(IPv6)。2019年12月,作为试点地区之一的湖南省常德市政府网站集约化平台正式上线试运行。集约化平台以常德市政府门户网站为总入口,整合常德市政务服务平台,实现统一身份认证、千人千网、信息资源共享共用,实现了全市政府网站标准体系、技术平台、安全防护、运维监管四个方面的统一。全市关停了县级部门和乡镇街道等基层网站。平台仅给站群单位网站开放信息录入权限,网站设置、模板修改等权限则不开放,规避了网站站群管理员人为操作带来的安全隐患。同时,在网信、公安等部门的指导下,加强技术防护、监测预警与应急处置。以平台站群上的16个网站填报并公布的《2020年度政府网站工作年度报表》为样本数据,其中“安全防护”一栏“安全检测评估次数”均为12次,发现整改问题都为0,都有“建立安全监测预警机制”“开展应急演练”“明确网站安全责任人”。平台运行一年多,目前没有发现安全问题,各网站保持运行良好。政府网站集约化,打破“信息孤岛”,拆除“数据烟囱”,提升了政府网上服务群众能力,也提高了各个站群单位网站网络安全防护水平。
3.2 系统安全加固
集约化平台必须加强组织领导工作,管理技术人员保证7×24小时值班读网,随时监控网站运行情况,发现网站或页面信息异常,立即进行处理。落实恶意代码防范管理、安全事件处置、网络和系统安全管理、漏洞风险管理等行之有效的安全运营管理制度(见图1)。定期检查监测,反复开展应急演练,掌握紧急情况下的风险问题处理方式。强化接入管理,关闭或删除不必要的应用、服务和端口。计算机病毒具有种类众多,传播速度快,攻击途径多样化,破坏性大的特点。利用杀毒软件查杀网站服务器计算机病毒、木马和携带病毒的软件等,从而消除对网站服务器带来的威胁。杀毒软件还能修复被病毒损坏的文件。因此,必须在服务器操作系统中安装杀毒软件,对网络和系统进行全面监测。发现已经感染病毒的文件,首先要进行隔离,并做好记录备份,再进行杀毒处理。杀毒软件要及时升级,保持最新病毒库,养成定期杀毒的习惯,让网站服务器免受各种病毒危害。同时,部署数据灾备系统,对网站模板、数据库等关键数据定期进行备份,防止因病毒入侵或操作失误,出现数据丢失或损坏,造成无法挽回的损失。网站服务器的操作系统、网站运行环境及应用软件安装,遵循最小安装原则,绝不能安装一些盗版及破解软件,以免带来安全隐患。同时,禁用不必要的服务组件、应用插件等,减少可能的冲突和漏洞,并保证操作系统及网站程序相关补丁的及时更新。定期对网站应用程序、操作系统及数据库、管理终端进行全面扫描,提炼归纳网站网络运行过程中设备、系统、服务器存在的薄弱之处,针对一系列脆弱性问题,提出具有可行性的安全加固方案。密切关注有关部门发布的系统漏洞、计算机病毒、网络攻击、网络侵入等预警和通报信息,并及时响应。在具体的实施过程中,做好数据库、操作系统的优化配置,保障核心系统和设备的加固性,使之满足安全防护的需求,保障网站安全稳定运行。
3.3 落实等级保护
2017年6月1日起正式实施的《中华人民共和国网络安全法》指出,网络运营者应当落实网络安全等级保护制度,采取必要措施对攻击、侵入、窃取、篡改网站等行为进行防范[4]。按照网络安全法的要求,在网信、公安等部门的指导下,配合第三方测评机构开展网站等级保护工作,按照定级、备案、建设整改、等级测评、自查等规定程序,逐一落实到位。对等级测评查找出来的系统安全隐患,认真进行整改,加强技术防护和监测预警与应急处置,直至安全达标。
3.4 强化内部制度建设
集约化平台建成运行后,需要明晰集约化平台、站群单位网站管理及外包运维管理三者各自的法律责任。严格落实国家网络安全法和关键信息基础设施安全保护的有关要求,按照 “谁主管谁负责、谁运行谁负责、谁发布谁负责”的规定,确实担起平台建设、数据存储、业务管理、内容发布的安全保障责任。应当对平台管理人员、站群单位网站使用人员和外包运维人员开展定期的安全教育和培训,并且应对网站关键岗位人员进行安全背景审查,确保人员安全。必须强化组织构架管理、安全运营管理、制度策略管理,逐步完善网站安全保障体系(见图1)。
4 结语
综上所述,政府门户网站集约化平台是国家的关键信息基础设施,必须强化组织构架管理、安全运营管理、制度策略管理,逐步完善网站安全保障体系。在复杂化的网络环境,政府门户网站由于数据机密性高、业务连续性要求高等特征,非常容易受到黑客和网络病毒的攻击,导致重要信息被篡改和丢失事件的频繁发生,甚至还会让整个网络系统瘫痪。对此,我们要居安思危、未雨绸缪,制定科学全面的网络安全防护方案,在传统安全防护的基礎上,统筹谋划,整体设计,认真思考集约化平台将信息基础设施集中起来,可能带来的新风险,做好网站的网络安全防护。
参考文献:
[1] 陈彦达,丁韦娜,王伟楠.中国政府部门网络安全保护研究[J].全球科技经济瞭望,2020,35(10):46-55.
[2] 刘冠君.政府事业单位信息化网络安全的实现[D].大连:大连交通大学,2016.
[3] 戴东情,毛圣兵,张瑞.政府网站安全监管机制研究[J].网信军民融合,2020(8):16-18.
[4] 詹申平,陈建宏.等级保护下政府部门门户网站的安全管理措施的应用[J].科技创新与应用,2019(3):195-196.
【通联编辑:李雅琪】
