政府門戶網(wǎng)站信息安全技術(shù)體系研究

肖 寧

摘要：本文從理論上構(gòu)建了政府門戶網(wǎng)站信息安全保障體系。主要包括制定網(wǎng)站信息安全技術(shù)保障的總體規(guī)劃、積極應(yīng)用各種安全技術(shù)產(chǎn)品和建立基于公眾應(yīng)用需求的容災(zāi)級別和容災(zāi)系統(tǒng)。保障體系的提出，不僅為政府門戶網(wǎng)站信息安全保障提供了可行性借鑒，而且大大豐富了公共管理的理論體系。

關(guān)鍵詞：政府門戶網(wǎng)站；信息安全；保障；體系

政府門戶網(wǎng)站建設(shè)在帶來高效率和便利的同時，也帶來了威脅、風險和責任。目前在全球范圍內(nèi)，計算機病毒、各種有害信息、系統(tǒng)安全漏洞和網(wǎng)絡(luò)違法犯罪等政府網(wǎng)站信息安全問題日漸突出，不僅制約了信息化的持續(xù)、健康發(fā)展，也給國家的經(jīng)濟建設(shè)和人們的社會生活帶來了許多負面影響。如何保障政府門戶網(wǎng)站信息安全，已經(jīng)成為世界各國政府主管部門、企業(yè)界和廣大用戶共同面臨的一個嚴峻挑戰(zhàn)。

一、制定網(wǎng)站信息安全技術(shù)保障的總體規(guī)劃

構(gòu)建政府門戶網(wǎng)站信息安全技術(shù)保障體系，首先需要有關(guān)部門和單位對信息安全問題高度重視，并制定網(wǎng)站信息安全技術(shù)保障的總體規(guī)劃，防范信息安全風險。主要應(yīng)做好以下幾個方面的工作：一是要加強政府門戶網(wǎng)站的總體規(guī)劃和統(tǒng)一建設(shè)，避免多頭建設(shè)和重復建設(shè)，保證網(wǎng)絡(luò)整體性，避免網(wǎng)絡(luò)架構(gòu)缺陷引起的安全問題。二是統(tǒng)一信息安全技術(shù)標準與規(guī)范，各級政府門戶網(wǎng)站信息安全建設(shè)都應(yīng)按照這個標準和規(guī)范進行實施，以確保信息整體安全。三是加強信息資源安全等級標準的規(guī)劃和建設(shè)，明確不同信息的服務(wù)對象和公開范圍。既要避免出現(xiàn)保密過度，限制政務(wù)信息化應(yīng)用的推廣和發(fā)展的情況，又要避免保密不夠，造成電子政務(wù)信息泄密情況的發(fā)生。在確保信息安全的基礎(chǔ)上，最大限度地保證信息共享。四是在信息安全方面，既要考慮省、市級政府的信息服務(wù)對象著重于政府部門和相關(guān)的領(lǐng)導等的特點，又要考慮到縣、區(qū)級政府及相關(guān)部門的信息服務(wù)對象著重于群眾或居民的特點。

二、積極應(yīng)用各種安全技術(shù)產(chǎn)品

目前，在市場上比較流行，而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類：

1.防火墻。防火墻在某種意義上可以說是一種訪問控制產(chǎn)品。它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止外界對內(nèi)部資源的非法訪問，防止內(nèi)部對外部的不安全訪問。主要技術(shù)有：包過濾技術(shù)，應(yīng)用網(wǎng)關(guān)技術(shù)，代理服務(wù)技術(shù)。防火墻能較為有效地防止黑客利用不安全的服務(wù)對內(nèi)部網(wǎng)絡(luò)的攻擊，并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過濾、記錄和報告功能，較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接。但其本身可能存在安全問題，也可能會是一個潛在的瓶頸。

2.入侵檢測系統(tǒng)。入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。入侵檢測技術(shù)作為防火墻的合理補充，是主動保護自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。即通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集的信息進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。與其他安全產(chǎn)品不同，入侵檢測系統(tǒng)需要更多的智能，它可以將得到的數(shù)據(jù)進行分析，并得出有用的結(jié)果。

3.近年來，門戶網(wǎng)站防篡改系統(tǒng)也出現(xiàn)了不少，可使系統(tǒng)修改檢測時間縮小到毫秒級，而且，由于采用的事件觸發(fā)技術(shù)，系統(tǒng)監(jiān)測基本不額外占占用系統(tǒng)資源。目前市場上主流的網(wǎng)頁防篡改技術(shù)主要包括如下幾項技術(shù)：(1)外掛掃描技術(shù)。外掛掃描技術(shù)是采用從外部逐個掃描網(wǎng)頁文件的方式來判斷對網(wǎng)頁的非法修改，采用這種技術(shù)一般會有一定的時間間隔，而且網(wǎng)站文件越多，時間間隔越長，不能保證被黑客修改的網(wǎng)頁不被訪問者看到。(2)核心內(nèi)嵌技術(shù)。采用核心內(nèi)嵌技術(shù)的防篡改系統(tǒng)，其篡改檢測模塊運行于Web服務(wù)器軟件內(nèi)部，與Web服務(wù)器無縫結(jié)合。每次Web服務(wù)器對外發(fā)送網(wǎng)頁時，系統(tǒng)都進行網(wǎng)頁防篡改檢測，從而能夠?qū)崟r地確保每個網(wǎng)頁的真實性。(3)事件觸發(fā)技術(shù)。事件觸發(fā)技術(shù)是把系統(tǒng)的篡改檢測模塊嵌入到操作系統(tǒng)內(nèi)核，因此所有的文件非法變更事件都會被事件觸發(fā)器無延遲的獲取，該機制完全區(qū)別于掃描技術(shù)和核心內(nèi)嵌技術(shù)，不需要與備份庫對比分析的繁瑣過程，因此可以做到監(jiān)控的實時性和系統(tǒng)資源低占用率。是當前比較先進的一種防篡改檢測技術(shù)。(4)CDN技術(shù)。CDN即內(nèi)容分發(fā)，主服務(wù)器針對不同地區(qū)、不同電信運營商，將瀏覽內(nèi)容鏡像到多個服務(wù)器上，如果一個服務(wù)器受到攻擊，則由其它鏡像來接管，網(wǎng)友可從最近的節(jié)點上獲取數(shù)據(jù)。

三、建立基于公眾應(yīng)用需求的容災(zāi)級別和容災(zāi)系統(tǒng)

各種自然災(zāi)害和突發(fā)事件都有可能導致各網(wǎng)站信息系統(tǒng)的癱瘓造成災(zāi)難性后果。根據(jù)公眾對系統(tǒng)需求的緊急程度、應(yīng)急恒復時間來劃分，容災(zāi)備份通常分為以下三種級別。

1.最高級別容災(zāi)系統(tǒng)。建立異地鏡像系統(tǒng)，即同時對系統(tǒng)軟、硬件進行備份，并且系統(tǒng)的數(shù)據(jù)實現(xiàn)遠程類實時備份。該級別的容災(zāi)系統(tǒng)可確保原系統(tǒng)在完全崩潰的情況下，系統(tǒng)能夠立刻替代原系統(tǒng)響應(yīng)服務(wù)。

2.一般級別容災(zāi)系統(tǒng)。對動態(tài)系統(tǒng)數(shù)據(jù)進行定期完整備份和增量備份，并同時進行異地備份處理。網(wǎng)站系統(tǒng)服務(wù)平臺確保在指定的時間內(nèi)搭建完成，然后提供與原系統(tǒng)基本相同的系統(tǒng)服務(wù)(與系統(tǒng)實時數(shù)據(jù)差別主要由增量備份的時間間隔決定，每次增量備份間時間間隔越短，備份數(shù)據(jù)與實時數(shù)據(jù)差別越小)。

3.最低級別容災(zāi)系統(tǒng)。僅定期進行系統(tǒng)數(shù)據(jù)的完全冷備份，適用于僅要求系統(tǒng)可恢復且系統(tǒng)數(shù)據(jù)變化不大的情況下。

一般來說，政府門戶網(wǎng)站中的政策、公告等辦事指南系統(tǒng)和信息查詢、報名等公眾應(yīng)用服務(wù)系統(tǒng)，都可以考慮采取以上備份方式。而公用信息發(fā)布系統(tǒng)數(shù)據(jù)相對來說一般是靜態(tài)的，采用一般或者更低級別的容災(zāi)系統(tǒng)也是可以的。