政務(wù)網(wǎng)站安全問題及安全防護體系研究

蔡俊

摘 ?要：伴隨互聯(lián)網(wǎng)+的到來，政務(wù)網(wǎng)站的建設(shè)實現(xiàn)了政府部門網(wǎng)絡(luò)化辦公，作為公眾及企業(yè)獲取政府服務(wù)和信息的渠道，政務(wù)網(wǎng)站是辦公能力與服務(wù)質(zhì)量的體現(xiàn)，網(wǎng)站的安全運行尤為關(guān)鍵，近年來網(wǎng)站安全事件時有發(fā)生，政務(wù)網(wǎng)站暴露出一些安全問題，本文對其進行分析并提出相應(yīng)的對策和措施。

關(guān)鍵詞：政務(wù)網(wǎng)站;安全防護;安全對策;解決方案

一、政務(wù)網(wǎng)站安全現(xiàn)狀

互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）每月發(fā)布的互聯(lián)網(wǎng)安全報告數(shù)據(jù)統(tǒng)計，2016年7月互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況整體評價為中，政府等網(wǎng)站是不法分子攻擊的重點目標(biāo)，安全漏洞是遭遇攻擊的主因，被篡改政府網(wǎng)站數(shù)為140個，被植入后門的政府網(wǎng)站數(shù)為241個，占被植入后門網(wǎng)站的比例2.9%上升到3.5%。為強化為了強化網(wǎng)站管理，網(wǎng)站管理部門制定了一些制度完善管理，如對網(wǎng)站信息的采集，審核，使用和發(fā)布環(huán)節(jié)進行規(guī)范并保證信息質(zhì)量和保密，確保信息安全可靠。同時采取了一些技術(shù)措施和手段保障網(wǎng)站安全。

二、政務(wù)網(wǎng)站安全問題

（一）管理層面

認為搭建完政務(wù)網(wǎng)站就已實現(xiàn)網(wǎng)絡(luò)化發(fā)展，缺少長遠規(guī)劃，缺乏后期系統(tǒng)化，制度化管理，難以形成有效的管理機制和持續(xù)更新的安全策略。新模塊在使用前缺少安全評估。安全應(yīng)急預(yù)案不全面，主要是范圍不全面，針對性不強。

（二）技術(shù)層面

政務(wù)網(wǎng)站技術(shù)管理要不斷優(yōu)化及創(chuàng)新。當(dāng)前政務(wù)網(wǎng)站技術(shù)管理落后，安全技術(shù)應(yīng)用有限，導(dǎo)致管理的時效性較弱。部分政務(wù)網(wǎng)站網(wǎng)絡(luò)防御系統(tǒng)落后，存在網(wǎng)絡(luò)、服務(wù)器安全漏洞的情況。

（三）人員層面

部分政務(wù)網(wǎng)站投入運行后，沒有一個專業(yè)的技術(shù)管理隊伍進行日常管理，專業(yè)管理人才短缺，管理的專業(yè)性難以得到有效保障。

（四）制度層面

我國制定的關(guān)于計算機或網(wǎng)絡(luò)信息安全方面的正式法律較少，在針對網(wǎng)絡(luò)入侵的偵查、起訴、量刑上存在一定困難。

三、安全政策與安全防護體系

（一）安全策略

1、制定切實可行的政務(wù)網(wǎng)站安全標(biāo)準(zhǔn)規(guī)范，在其建設(shè)和運行時需遵循相應(yīng)的安全標(biāo)準(zhǔn)，最大程度地減少網(wǎng)站安全事件發(fā)生。

2、建立應(yīng)急預(yù)案。政務(wù)網(wǎng)站根據(jù)可能出現(xiàn)的各類情況制定相應(yīng)的應(yīng)急預(yù)案，當(dāng)出現(xiàn)突發(fā)事件，啟動該事件的應(yīng)急預(yù)案進行處理，處理后及時的對處理效果進行評估，不斷完善應(yīng)急預(yù)案。

3、加強技術(shù)防護。政務(wù)網(wǎng)站運用入侵檢測、防火墻、身份認證、訪問控制、安全審計、病毒防護等技術(shù)手段來提高政務(wù)網(wǎng)站的防護能力。

4、專業(yè)隊伍建設(shè)。組建政務(wù)網(wǎng)站技術(shù)運維團隊，采用最新安全技術(shù)和方法培訓(xùn)，使技術(shù)管理人員掌握新技術(shù)原理并熟練運用。同時通過采取各種措施和手段，加強政務(wù)網(wǎng)站的內(nèi)部監(jiān)督與管理，提高內(nèi)部控制水平，防止內(nèi)部風(fēng)險的發(fā)生。

5、加強法制建設(shè)。立法機構(gòu)出臺關(guān)于網(wǎng)絡(luò)安全的法律，以法律形式規(guī)范網(wǎng)絡(luò)的使用，保障網(wǎng)絡(luò)安全，同時加大對網(wǎng)絡(luò)違法犯罪的打擊力度。

（二）安全防護體系

安全防護體系包括物理、網(wǎng)絡(luò)、應(yīng)用和主機數(shù)據(jù)安全。

1.物理安全。避免政務(wù)網(wǎng)站出現(xiàn)的各類硬件故障。對于政務(wù)網(wǎng)站關(guān)鍵應(yīng)用，應(yīng)采用雙機熱備，定期對重要數(shù)據(jù)進行備份。

2.網(wǎng)絡(luò)安全。在網(wǎng)絡(luò)部署上遵守能不對外開放的服務(wù)，盡量不對外開放的原則。針對政府網(wǎng)絡(luò)系統(tǒng)中內(nèi)部局域網(wǎng)、廣域網(wǎng)和互聯(lián)網(wǎng)三大區(qū)域之間，都部署了防火墻或網(wǎng)閘，依據(jù)安全政策對出入網(wǎng)絡(luò)的信息流進行控制，有條件地允許，拒絕，檢測或過濾信息。通過專業(yè)的漏洞掃描軟件對網(wǎng)絡(luò)設(shè)備及服務(wù)器系統(tǒng)進行掃描，及時發(fā)現(xiàn)安全漏洞。部署網(wǎng)絡(luò)安全審計、內(nèi)容安全管理、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，構(gòu)建嚴密安全保障體系。

3應(yīng)用安全。采用頁面防篡改系統(tǒng)，對網(wǎng)站的全面監(jiān)控，對網(wǎng)頁應(yīng)用漏洞進行預(yù)先掃描，實時捕獲篡改事件，并在第一時間對發(fā)生自發(fā)的網(wǎng)頁進行自動恢復(fù)和報警，同事具備對SQL注入，跨腳本等入侵動作實時阻斷，達到事前，事中，事后的防御效果。

4 數(shù)據(jù)安全。通過網(wǎng)絡(luò)安全域劃分，對數(shù)據(jù)庫的訪問權(quán)限做最為嚴格的設(shè)定，最大限度保證數(shù)據(jù)庫安全。對于關(guān)鍵數(shù)據(jù)，增加交叉認證保證更高的安全性并定期對數(shù)據(jù)庫備份。

政務(wù)網(wǎng)站是連接政府與社會公眾的一座橋梁，為地區(qū)發(fā)展提供了有力的信息技術(shù)支持。構(gòu)建安全的政務(wù)網(wǎng)站，是建設(shè)服務(wù)型政府的必然要求，是實現(xiàn)和諧社會的必要手段。

參考文獻

[1] ?張婷.網(wǎng)站的分類、組建、管理與維護[J].科技創(chuàng)新與應(yīng)用，2015（28）.

[2] ?于艷杰.網(wǎng)站安全防范淺析[J].科技創(chuàng)新與應(yīng)用，2013（16）.

[3] ?史京.網(wǎng)站安全維護的問題與建議綜述[J].電子技術(shù)與軟件工程，2016（04）.

[4] ?左曉棟.做好黨政機關(guān)網(wǎng)站安全管理工作[J].信息安全與通信保密，2015-1.

[5] ?張婷.網(wǎng)站的分類、組建、管理與維護[J].科技創(chuàng)新與應(yīng)用，2015（28）.

[6] ?王熙.淺析政府網(wǎng)站的安全管理[J].計算機安全，2014-7.