政府網(wǎng)站安全監(jiān)管機(jī)制研究

◎戴東情 毛圣兵 張瑞

1.南京海關(guān)工業(yè)產(chǎn)品檢測中心 2.中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心

一、引言

近年來，我國對政府網(wǎng)站安全的建設(shè)格外重視，并取得了不錯(cuò)的成績，但在網(wǎng)站構(gòu)建和實(shí)施的過程當(dāng)中，還存在著很多問題。諸如在網(wǎng)站信息安全方面，各地政府網(wǎng)站還存在著很大的漏洞和其他很多問題。在冊的信息度還不夠高，信息化管理手段還比較薄弱，法律制度不健全，公民信息安全意識還是比較薄弱。同時(shí)，政府網(wǎng)站面臨著諸多網(wǎng)絡(luò)安全攻擊問題，諸如特洛伊木馬、后門和其他攻擊手段等，許多危害始終威脅著政府網(wǎng)站的發(fā)展[1]。

隨著通信網(wǎng)絡(luò)快速發(fā)展，中國寬帶接入數(shù)量達(dá)3.96 億戶，躍居世界第一，占用戶總數(shù)的91%。但是，隨著信息技術(shù)的高速發(fā)展，公民的網(wǎng)絡(luò)安全意識、政府的法律法規(guī)、網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施等方面有諸多亟需解決的問題。如為解決僵尸網(wǎng)站、睡眠網(wǎng)站等問題，國務(wù)院辦公廳對全國政府網(wǎng)站按季度進(jìn)行了普查，普查結(jié)果如圖1 所示，2019 年全國政府網(wǎng)站總數(shù)如圖2 所示。通過普查，了解了國家政府網(wǎng)站的基本情況，并解決了問題匯報(bào)不及時(shí)、信息不準(zhǔn)確、政府不響應(yīng)、措施不切實(shí)際等問題[2]。從圖1 可以看出，2019 年每季度的政府網(wǎng)站的合格率是逐步上升的。而據(jù)圖2 所示，2019 年每季度的全國政府網(wǎng)站總數(shù)有所減少。

圖1 2019年政府網(wǎng)站普查合格率

為落實(shí)全國網(wǎng)絡(luò)安全和信息化工作會議要求，國務(wù)院辦公廳政務(wù)信息政務(wù)公開辦公室對全國政府網(wǎng)站的漏洞進(jìn)行了評估，評估結(jié)果如圖3 所示。評估數(shù)據(jù)顯示，在231 個(gè)政府網(wǎng)站中，有90%以上都存在漏洞，現(xiàn)在政府網(wǎng)站信息安全的形勢十分嚴(yán)峻，從2014 年到2019 年，網(wǎng)站所存在漏洞數(shù)不斷增加。

二、政府網(wǎng)站信息安全管理中的問題

圖2 2019年全國政府網(wǎng)站總數(shù)

圖3 2014-2019年新漏洞數(shù)量

如今，政府網(wǎng)站存在嚴(yán)峻的信息安全問題的原因有很多，本節(jié)重點(diǎn)從重應(yīng)用輕安全、缺乏信息安全專業(yè)人員、關(guān)鍵技術(shù)嚴(yán)重依賴國外、缺乏制度化的安全管理四個(gè)方面逐一分析和闡述。

（一）重應(yīng)用輕安全

目前，政府網(wǎng)站建設(shè)最主要的問題就是“重應(yīng)用輕安全”。此現(xiàn)象有兩個(gè)主要原因。首先，政府網(wǎng)站的建設(shè)單位通常更加關(guān)注功能要求和性能要求，卻忽視了安全性問題。在招標(biāo)文件中，很少看到安全要求。造成這種現(xiàn)象的另一個(gè)重要原因是：政府網(wǎng)站面臨的信息安全問題并不是評估政府網(wǎng)站的重要指標(biāo)之一。從測試中心所提出的網(wǎng)站性能評估指標(biāo)來看，都是從信息公開和業(yè)務(wù)應(yīng)用的角度制定的，而網(wǎng)站安全所占比例為2%[3]。缺乏安全基準(zhǔn)和安全計(jì)劃似乎是問題的根本原因。

（二）缺乏信息安全專業(yè)人員

實(shí)際上，政府網(wǎng)站的管理員主要是軟件開發(fā)人員或運(yùn)維人員，而網(wǎng)絡(luò)信息安全是一個(gè)高度專業(yè)化的課題，現(xiàn)有的管理員無法適應(yīng)當(dāng)前網(wǎng)絡(luò)安全需求[4]。目前，盡管一些高校已經(jīng)有意識地去開設(shè)信息網(wǎng)絡(luò)安全相關(guān)課程，但由于培養(yǎng)機(jī)制不完善，我國現(xiàn)在仍處于優(yōu)秀的信息安全理論和技術(shù)人才缺乏的狀態(tài)。一方面，由于起步晚，培訓(xùn)周期長，因此畢業(yè)的學(xué)生很少。另一方面，相對于實(shí)踐，學(xué)校更注重理論教育，畢業(yè)生無法適應(yīng)實(shí)際工作要求。

（三）關(guān)鍵技術(shù)嚴(yán)重依賴國外

近幾年，我國在網(wǎng)絡(luò)核心技術(shù)發(fā)展和產(chǎn)業(yè)支撐能力上有了很大的提升，但相較于西方發(fā)達(dá)國家，差距仍然較大。要加強(qiáng)政府網(wǎng)絡(luò)安全技術(shù)攻關(guān)，加大技術(shù)投入。我國政府網(wǎng)站的操作系統(tǒng)、數(shù)據(jù)庫等信息基礎(chǔ)設(shè)施國外產(chǎn)品占比較高。如網(wǎng)絡(luò)運(yùn)行在美國思科公司的網(wǎng)絡(luò)設(shè)備上，計(jì)算機(jī)通用處理芯片是Intel 公司的，操作系統(tǒng)是Microsoft 的，數(shù)據(jù)庫是美國IBM、Oracle 等供應(yīng)商的。顯然，我國政府網(wǎng)站核心技術(shù)都是基于國外廠商的，這對我國政府網(wǎng)站的信息安全構(gòu)成了嚴(yán)重的威脅。以操作系統(tǒng)為例，由于微軟處于壟斷地位，可以迫使用戶升級，升級到Windows 8 后，將無法卸載，這對Microsoft 來說是可信的，但對我們而言不是。盡管使用這些設(shè)備通常不會造成問題，但在關(guān)鍵時(shí)刻，我們不能排除對手國家通過遠(yuǎn)程無線控制系統(tǒng)啟動信息盜竊、數(shù)據(jù)刪除和系統(tǒng)攻擊的可能性，這可能使我們的重要信息系統(tǒng)癱瘓。

（四）缺乏制度化的安全管理

根據(jù)調(diào)查走訪，目前各省市的政府網(wǎng)站由于缺乏數(shù)據(jù)支撐暫時(shí)還沒有建立完善的安全管理制度。在網(wǎng)站運(yùn)營管理中，都缺乏有效的安全檢查和響應(yīng)保護(hù)體系[5]。同時(shí)，不完善的管理機(jī)制使網(wǎng)絡(luò)管理員或內(nèi)部人員可以輕松匿名地進(jìn)行犯罪活動。根據(jù)調(diào)查，由于缺乏高質(zhì)量的安全管理，許多網(wǎng)絡(luò)犯罪行為都來自內(nèi)部聯(lián)網(wǎng)計(jì)算機(jī)。

三、關(guān)于加強(qiáng)政府網(wǎng)站信息安全管理的建議

針對當(dāng)前我國政府網(wǎng)站存在的信息安全問題，本節(jié)重點(diǎn)從成立信息安全管理部門、使用自有品牌的操作系統(tǒng)、建立完善的信息安全管理體系三方面提出建議。

（一）成立信息安全管理部門

在各級政府網(wǎng)站的建設(shè)和管理過程中，建立專門的網(wǎng)絡(luò)信息安全管理部門，這是保障我國政府網(wǎng)站安全的重中之重。聘請網(wǎng)絡(luò)空間安全專業(yè)人才，對政府網(wǎng)站的規(guī)劃設(shè)計(jì)、信息安全等級保護(hù)的實(shí)施、信息安全管理、升級改造、漏洞檢測等，進(jìn)行有計(jì)劃、有措施、有步驟的建設(shè)和運(yùn)維。

（二）使用自有品牌的操作系統(tǒng)

經(jīng)過多年的發(fā)展，我國的自主品牌操作系統(tǒng)有了一定的基礎(chǔ)，應(yīng)鼓勵(lì)政府網(wǎng)站建設(shè)使用自主品牌的操作系統(tǒng)。目前，國有自主品牌操作系統(tǒng)主要是基于Linux 的二次開發(fā)系統(tǒng)，代表性產(chǎn)品包括GDLC，Deepin，isoft，WiOS，StartOS 等。另外，我國政府在采購環(huán)節(jié)中應(yīng)為自主品牌操作系統(tǒng)提供更多支持。

（三）建立完善的信息安全管理體系

建立一個(gè)完善的信息安全管理體系，對于當(dāng)今政府網(wǎng)站發(fā)展有著重要意義。如圖4 所示，一個(gè)完整的網(wǎng)站信息安全管理體系應(yīng)該包含四部分：系統(tǒng)的總體方法、安全管理的組織系統(tǒng)、網(wǎng)絡(luò)部署統(tǒng)一的安全策略和所對應(yīng)的安全操作規(guī)范[6]。其中，總體方法是參照國內(nèi)外信息系統(tǒng)安全管理標(biāo)準(zhǔn)來制定的，并且要求符合國家信息系統(tǒng)安全保護(hù)規(guī)定和信息系統(tǒng)安全水平保護(hù)的基本要求[7]。安全管理的組織系統(tǒng)目的在于提高信息系統(tǒng)安全管理責(zé)任，使每一個(gè)部門都明確自己的安全管理任務(wù)，并對整個(gè)組織在系統(tǒng)信息安全管理工作的分配起促進(jìn)作用。網(wǎng)絡(luò)部署統(tǒng)一安全策略，要求從機(jī)房安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用程序安全、數(shù)據(jù)安全、應(yīng)急管理、安全審計(jì)、安全測試等多個(gè)方面進(jìn)行。并基于身份、規(guī)則和角色詳細(xì)闡述了行動策略[8]。所對應(yīng)的網(wǎng)站安全運(yùn)行規(guī)范，其內(nèi)容包括網(wǎng)站安全管理方法、計(jì)算機(jī)網(wǎng)絡(luò)安全管理規(guī)定、互聯(lián)網(wǎng)信息發(fā)布保密系統(tǒng)、機(jī)房安全管理系統(tǒng)等方面。建立該系統(tǒng)的目的是集成網(wǎng)站安全設(shè)計(jì)、網(wǎng)站安全基礎(chǔ)架構(gòu)、網(wǎng)站安全運(yùn)營和維護(hù)服務(wù)。

圖4 信息安全管理系統(tǒng)架構(gòu)

四、結(jié)論

綜上所述，加強(qiáng)政府網(wǎng)站信息安全是促進(jìn)當(dāng)前網(wǎng)絡(luò)發(fā)展、提高政府與群眾緊密程度的重要一環(huán)。這需要政府在建立和完善安全管理組織制度體系的情況下，同時(shí)要提升其相應(yīng)的工作運(yùn)行機(jī)制、管理體系、應(yīng)急機(jī)制、技術(shù)保護(hù)體系、監(jiān)督機(jī)制和培訓(xùn)機(jī)制。針對當(dāng)前政府網(wǎng)站的發(fā)展情況來看，我們對信息安全與政府網(wǎng)站發(fā)展之間的關(guān)系還需要有一個(gè)正確的態(tài)度，明白安全是前提，發(fā)展是最終目標(biāo)。我們必須在確保安全的條件下推進(jìn)政府網(wǎng)站的快速發(fā)展。