“互聯(lián)網(wǎng)+”背景下甘肅省縣區(qū)級政府網(wǎng)站安全防護(hù)分析*

潘俊芳，侯振興

（蘭州財(cái)經(jīng)大學(xué)信息工程學(xué)院，甘肅 蘭州 730020）

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，政府網(wǎng)站是信息化發(fā)展下政府履行職責(zé)的重要平臺[1]。一些政府網(wǎng)站安全防護(hù)較為薄弱，給網(wǎng)絡(luò)犯罪分子提供了可乘之機(jī)。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）發(fā)布的數(shù)據(jù)顯示，僅在2022 年上半年，我國就有166 起政府網(wǎng)站被篡改事件和90 起網(wǎng)站被植入后門事件發(fā)生，安全事件頻發(fā)。一旦造成信息被竊取或篡改，將影響社會穩(wěn)定，甚至危及國家安全，政府網(wǎng)站安全面臨前所未有的挑戰(zhàn)，因此需要加強(qiáng)對政府網(wǎng)站的安全防護(hù)。

隨著電子政務(wù)的不斷發(fā)展，政府網(wǎng)站的安全防護(hù)也越來越受到學(xué)術(shù)界的關(guān)注。目前針對政府網(wǎng)站安全防護(hù)的相關(guān)研究一般在政府網(wǎng)站安全防護(hù)現(xiàn)狀、風(fēng)險(xiǎn)等方面。有學(xué)者認(rèn)為政府網(wǎng)站安全面臨著核心技術(shù)不強(qiáng)、政府網(wǎng)站被攻擊和人們的安全意識不高等問題[2]，同時(shí)注入漏洞、“跨站腳本”漏洞和網(wǎng)站防護(hù)能力弱等對政府網(wǎng)站安全防護(hù)也存在一定威脅[3]；網(wǎng)站管理機(jī)制及制度不健全、防范措施及防護(hù)設(shè)備不完善[4]、自身監(jiān)管力度不足[5]、攻擊行為難發(fā)現(xiàn)等因素也影響政府網(wǎng)站的安全。關(guān)于政府網(wǎng)站的安全防護(hù)措施部分，一方面，有學(xué)者提出可使用一種從操作系統(tǒng)加固、網(wǎng)絡(luò)流量防護(hù)、網(wǎng)站內(nèi)容防護(hù)和安全態(tài)勢感知等方面設(shè)計(jì)的主機(jī)系統(tǒng)——“網(wǎng)防G01”，對政府網(wǎng)站服務(wù)器進(jìn)行防護(hù)[6]，或者從網(wǎng)站基礎(chǔ)設(shè)施角度，通過配置Web 應(yīng)用防火墻和網(wǎng)頁防篡改系統(tǒng)，形成全方位的安全防護(hù)[7]；另一方面，有學(xué)者從管理視角認(rèn)為加強(qiáng)網(wǎng)站監(jiān)管、提高政府工作人員的安全意識和不斷更新安全風(fēng)險(xiǎn)防范措施等，可以提高政府網(wǎng)站的防護(hù)水平[8]。

通過整理政府網(wǎng)站安全防護(hù)的相關(guān)文獻(xiàn)，發(fā)現(xiàn)缺乏具體的區(qū)域性案例的研究。縣區(qū)級政府是包含縣級市政府、縣級政府和區(qū)級政府的基層行政單位，是連接省市級政府和基層群眾的紐帶[9]，是改善民生的根本，是更好地服務(wù)群眾的基礎(chǔ)?？h區(qū)級政府網(wǎng)站是縣區(qū)政府向所屬縣區(qū)民眾提供直接的在線辦事信息及服務(wù)的重要途徑。如果基層政府網(wǎng)站的安全做不好，就無法保障人民信息財(cái)產(chǎn)安全。只有保障了基層政府網(wǎng)站的防護(hù)，才能更好地實(shí)現(xiàn)國家治理體系現(xiàn)代化，因此，做好縣區(qū)級政府網(wǎng)站安全防護(hù)至關(guān)重要?；诖耍疚囊愿拭C省縣區(qū)級政府網(wǎng)站為研究對象，深入分析其建設(shè)現(xiàn)狀和面臨的安全問題，并提出對應(yīng)的策略，旨在為甘肅省縣區(qū)級政府網(wǎng)站安全防護(hù)提供實(shí)質(zhì)性參考。

1 甘肅省縣區(qū)級政府網(wǎng)站建設(shè)現(xiàn)狀

建設(shè)和運(yùn)營政府網(wǎng)站是為了更好地整合和利用各種信息資源，向大眾提供更便捷的服務(wù)，建立優(yōu)質(zhì)網(wǎng)絡(luò)環(huán)境。現(xiàn)階段我國的政府部門大多都擁有自己的門戶網(wǎng)站，可以在網(wǎng)站上發(fā)布政府工作動態(tài)、政務(wù)服務(wù)、政民互動、要聞等內(nèi)容；主要面向社會各界，信息更加公開透明，一定程度上還能吸引開發(fā)商投資[10]。

甘肅省有86 個(gè)縣區(qū)級區(qū)劃。根據(jù)省政府辦公廳發(fā)布的通報(bào)顯示，2022 年3 月甘肅省正在運(yùn)行的政府網(wǎng)站有524家，其中縣區(qū)級政府網(wǎng)站172家，占全省數(shù)量的32.8%；而到了2022 年6月，甘肅省正在運(yùn)行的政府網(wǎng)站382家，其中縣區(qū)級政府網(wǎng)站86家，占全省的22.5%。這3 個(gè)月期間，由于某些原因有141 家政府網(wǎng)站下線，有1 家移除監(jiān)管范圍，運(yùn)行中的網(wǎng)站數(shù)量減少了約27%，縣區(qū)級政府網(wǎng)站數(shù)量減少了50%?？h區(qū)級政府網(wǎng)站的數(shù)量大幅度減少，其在全省政府網(wǎng)站中的占比也在降低。

根據(jù)調(diào)研，甘肅省政府網(wǎng)站建設(shè)存在的問題主要表現(xiàn)在以下兩方面：一是政府網(wǎng)站覆蓋率高，但建設(shè)水平參差不齊。有約27%的政府網(wǎng)站下線，而縣級政府網(wǎng)站減少了約16%，占減少總量的約60%，這說明政府的監(jiān)管變得更嚴(yán)格，多數(shù)縣區(qū)級政府網(wǎng)站建設(shè)不達(dá)標(biāo)，網(wǎng)站建設(shè)整體處于初級階段。二是目前國家大力推進(jìn)基礎(chǔ)設(shè)施IPv6 改造，使用IPv6 可以加密網(wǎng)絡(luò)層數(shù)據(jù)并檢驗(yàn)訪問IP 報(bào)文，使政府網(wǎng)站具有更高的安全性。部分縣區(qū)級政府網(wǎng)站還未完成IPv6 改造，已完成IPv6 改造的部分政府網(wǎng)站，其二、三級頁面還不能支持IPv6 的訪問，上下級頁面之間的連通也不夠流暢，經(jīng)常出現(xiàn)卡頓情況。通過分析甘肅省縣區(qū)級政府網(wǎng)站建設(shè)現(xiàn)狀，可以發(fā)現(xiàn)其政府網(wǎng)站建設(shè)目前還處于初級階段，存在較大的問題。

2 甘肅省縣區(qū)級政府網(wǎng)站面臨的問題及成因分析

甘肅省縣區(qū)級政府網(wǎng)站在基礎(chǔ)建設(shè)方面存在的缺陷也暴露了很多其在防護(hù)方面存在的問題。

1）網(wǎng)站外部頻繁遭受攻擊，網(wǎng)站防護(hù)能力弱。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和網(wǎng)絡(luò)的普及，攻擊網(wǎng)站的技術(shù)也變得平民化，攻擊工具普遍且易使用，攻擊方法也變得更加復(fù)雜，政府網(wǎng)站的安全防護(hù)也變得越來越困難。政府網(wǎng)站目前面臨的威脅有：計(jì)算機(jī)病毒、網(wǎng)頁篡改、DDoS 和網(wǎng)站后門等。網(wǎng)站后門是指黑客在入侵服務(wù)器成功后留下了后門程序，黑客可以對服務(wù)器進(jìn)行遠(yuǎn)程操作，修改數(shù)據(jù)。網(wǎng)頁篡改是指惡意修改和破壞網(wǎng)頁內(nèi)容，使網(wǎng)站不能正常工作。如果黑客要進(jìn)行網(wǎng)頁篡改，一般需要提前知道網(wǎng)站的漏洞，提前在網(wǎng)站中植入后門，最終獲得網(wǎng)站控制權(quán)。根據(jù)CNCERT 發(fā)布的數(shù)據(jù)，2016年—2021 年我國被篡改政府網(wǎng)站數(shù)量統(tǒng)計(jì)（見圖1）顯示我國每年都會遭遇大量的網(wǎng)頁篡改安全事件；根據(jù)2021 年7 月—2022 年6 月的統(tǒng)計(jì)數(shù)據(jù)可知（見圖2），我國政府網(wǎng)站在一年間共遭遇354 起網(wǎng)頁篡改和132 起網(wǎng)站后門引起的安全事件。安全事件的頻繁發(fā)生說明政府網(wǎng)站漏洞過多，網(wǎng)站安全體系的基礎(chǔ)建設(shè)薄弱，防護(hù)能力較差。

圖1 2016—2021 年我國境內(nèi)被篡改政府網(wǎng)站數(shù)量

圖2 2021 年7 月—2022 年6 月我國政府網(wǎng)站遭遇網(wǎng)頁篡改和網(wǎng)站后門事件數(shù)量

2）缺乏核心技術(shù)，網(wǎng)站維護(hù)能力差。政府網(wǎng)站的安全問題必須依托技術(shù)解決。政府通信技術(shù)水平和國家信息基礎(chǔ)設(shè)施水平密切相關(guān)，而缺乏自主技術(shù)支撐是政府網(wǎng)站防護(hù)過程中面臨的巨大威脅之一。我國通信行業(yè)起步較晚，缺乏對核心技術(shù)的掌控，如芯片、服務(wù)器和操作系統(tǒng)等安全產(chǎn)品需要從國外購買，“受制于人”的情況較為嚴(yán)重。近幾年，我國通信行業(yè)在網(wǎng)絡(luò)硬件方面發(fā)展迅速，在一些網(wǎng)絡(luò)產(chǎn)品方面擁有自主知識產(chǎn)權(quán)，但服務(wù)器、計(jì)算機(jī)存儲介質(zhì)和通信設(shè)備等硬件設(shè)施還是要依賴進(jìn)口。另外，我國在前幾年發(fā)生的Intel 公司奔騰Ⅲ序列號事件和微軟公司操作系統(tǒng)NSA 密鑰事件中得到警醒，這些年我國在處理器和系統(tǒng)軟件方面存在技術(shù)依賴，如果發(fā)生此類安全事件，政府網(wǎng)站將處于被動狀態(tài)。一方面，由于縣區(qū)政府部門缺乏靈活的招聘機(jī)制和就業(yè)福利，未能吸引和容納高素質(zhì)的安全管理人員，政府網(wǎng)站運(yùn)行管理技術(shù)短缺，許多政府將網(wǎng)站的建設(shè)與管理交給設(shè)備供應(yīng)商負(fù)責(zé)，沒有配備相關(guān)技術(shù)人員，不能保證政府網(wǎng)站的日常運(yùn)行和維護(hù)；另一方面，由于甘肅省地理位置和經(jīng)濟(jì)狀況的限制，甘肅省縣區(qū)從事網(wǎng)站安全管理的人員相對較少，相關(guān)管理人員技術(shù)水平參差不齊，可能無法及時(shí)應(yīng)對一些安全問題。

3）政府部門監(jiān)管不到位，安全風(fēng)險(xiǎn)意識不高。由于甘肅省縣區(qū)級政府結(jié)構(gòu)不健全，許多縣區(qū)級政府部門公開招標(biāo)網(wǎng)站安全防護(hù)服務(wù)項(xiàng)目，但卻沒有安全防護(hù)管理機(jī)構(gòu)，導(dǎo)致網(wǎng)站的責(zé)任體制不夠健全，對治理的監(jiān)察也不到位，使得政府網(wǎng)站處于不設(shè)防狀態(tài)。加上一些縣區(qū)政府部門沒有落實(shí)網(wǎng)站監(jiān)測措施，不能做到對網(wǎng)站的實(shí)時(shí)檢查、監(jiān)測，所以當(dāng)網(wǎng)站出現(xiàn)故障時(shí)，管理人員不能及時(shí)發(fā)現(xiàn)并處理，網(wǎng)站有隨時(shí)被攻擊的風(fēng)險(xiǎn)。此外，政府部門缺乏對網(wǎng)站安全預(yù)防的重視。很多網(wǎng)站遭受攻擊主要是因?yàn)榫W(wǎng)站的安全性較差，而網(wǎng)站安全性可以通過網(wǎng)站安全評估來提高。由于一些縣區(qū)級政府缺乏能夠統(tǒng)一調(diào)配的機(jī)構(gòu)，也沒有形成成套的安全規(guī)范，缺乏對安全評估的重視，網(wǎng)站中存在的問題不斷增多，政府網(wǎng)站的安全性變得越來越差，攻擊網(wǎng)站就會變得易如反掌。甘肅省縣區(qū)級政府網(wǎng)站大都擁有安全監(jiān)測預(yù)警機(jī)制，但沒有嚴(yán)格規(guī)定評估次數(shù)。近幾年的報(bào)告顯示，甘谷縣政府網(wǎng)站每年安全評估次數(shù)多達(dá)25次，少至6次，沒有固定的標(biāo)準(zhǔn)。有些政府網(wǎng)站的評估次數(shù)更少，甚至為0。部分縣區(qū)級政府網(wǎng)站沒有進(jìn)行過應(yīng)急演練，這些都表明政府部門對其網(wǎng)站安全防護(hù)不重視，導(dǎo)致網(wǎng)站的安全性降低，網(wǎng)站變得越來越“脆弱”。

3 “互聯(lián)網(wǎng)+”背景下縣區(qū)級政府網(wǎng)站安全防護(hù)策略

本文通過對甘肅省縣區(qū)級政府網(wǎng)站建設(shè)存在的問題進(jìn)行分析，提出以下幾點(diǎn)措施建議，希望能為甘肅省縣區(qū)級政府網(wǎng)站的防護(hù)作出貢獻(xiàn)。

1）提升網(wǎng)站核心技術(shù)，加強(qiáng)網(wǎng)站安全防護(hù)。強(qiáng)化政府網(wǎng)站安全的最基本措施就是通過提升政府網(wǎng)站的核心技術(shù)來提高網(wǎng)站防御能力?？h區(qū)級政府要積極引入國產(chǎn)安全產(chǎn)品，通過使用國產(chǎn)安全產(chǎn)品來提高網(wǎng)站防御水平，減少使用外國產(chǎn)品帶來的安全隱患。一方面，政府可以聯(lián)合當(dāng)?shù)刂腎T 企業(yè)研發(fā)網(wǎng)站相應(yīng)的軟硬件產(chǎn)品，促進(jìn)網(wǎng)站新技術(shù)開發(fā)，提高網(wǎng)站裝備水平；另一方面，政府要加強(qiáng)對通信技術(shù)行業(yè)的扶持力度，幫助從業(yè)者盡快研發(fā)擁有自主產(chǎn)權(quán)的通信技術(shù)和安全產(chǎn)品，特別是加強(qiáng)服務(wù)器和芯片技術(shù)的研發(fā)。此外，縣區(qū)級政府要完善網(wǎng)站安全防護(hù)措施，提高網(wǎng)站的物理防御能力。一方面，除了配備基礎(chǔ)的殺毒軟件、防火墻和入侵防御系統(tǒng)外，還要針對網(wǎng)頁篡改、網(wǎng)站后門、DDoS等威脅，配備DDoS 防御和網(wǎng)頁防篡改系統(tǒng)，實(shí)現(xiàn)對網(wǎng)站的全方位預(yù)警、防護(hù)；另一方面，要了解最新的行業(yè)信息，避免網(wǎng)站更替、新型漏洞和病毒、攻擊手段給網(wǎng)站安全帶來威脅。

2）加強(qiáng)人才引進(jìn)，組建高水平隊(duì)伍。政府網(wǎng)站的防護(hù)需要專業(yè)的技術(shù)人員和管理人員負(fù)責(zé)，而專業(yè)人員的匱乏是縣區(qū)級政府網(wǎng)站防護(hù)的一個(gè)重大難題。從事網(wǎng)站安全防護(hù)的人員需要有較高的專業(yè)素質(zhì)和技術(shù)水平，但目前甘肅省內(nèi)從事安全防護(hù)的專業(yè)人員相對較少，專業(yè)能力參差不齊。政府可以提供補(bǔ)貼，讓企業(yè)組織網(wǎng)站安全防護(hù)的相關(guān)專業(yè)人員進(jìn)行集中培訓(xùn)，全面提高從業(yè)人員的專業(yè)水平。此外，政府還需要制定相關(guān)政策，吸引更多專業(yè)人員到甘肅省從事網(wǎng)站安全防護(hù)行業(yè)。一方面，對于如何吸引外省人才，政府可以提高對專業(yè)人才的就業(yè)和創(chuàng)業(yè)補(bǔ)貼，在落戶、教育和醫(yī)療保障等方面提供優(yōu)惠，讓他們沒有后顧之憂，安心創(chuàng)業(yè)；另一方面，政府可以通過對研發(fā)出創(chuàng)新科技成果的人才提供獎勵、政府補(bǔ)貼等方式，提高該行業(yè)從業(yè)人員的福利待遇，還可以通過推薦優(yōu)秀人才擔(dān)任“兩代表一委員”的方式，給予人才政治鼓勵，從而吸引更多人才從事這個(gè)行業(yè)。政府需要從實(shí)際需求出發(fā)，從網(wǎng)站建設(shè)、防護(hù)和管理方面考慮，招收更多的優(yōu)秀專業(yè)人才，并通過年度考核獎勵機(jī)制激勵從業(yè)人員提高自身專業(yè)素質(zhì)和工作能力。

3）增強(qiáng)政府的監(jiān)管力度，提高政府部門的安全風(fēng)險(xiǎn)意識。做好政府網(wǎng)站的防護(hù)不僅要從技術(shù)方面提高，還要注重管理。首先，政府部門要完善部門結(jié)構(gòu)，健全責(zé)任體系，做到部門各司其職、網(wǎng)站專人專責(zé)，做好網(wǎng)站的安全評估和應(yīng)急演練；其次，要完善網(wǎng)絡(luò)監(jiān)測措施，部署Cloud Insight 等監(jiān)控系統(tǒng)，做到實(shí)時(shí)檢查、檢測網(wǎng)站，以便能及時(shí)發(fā)現(xiàn)并處理網(wǎng)站出現(xiàn)的故障；最后，還需要健全管理制度，制定完備的安全規(guī)范，從預(yù)防的角度解決網(wǎng)站安全防護(hù)難題。對于風(fēng)險(xiǎn)意識培養(yǎng)，一方面，政府部門要加強(qiáng)自身對預(yù)防安全風(fēng)險(xiǎn)的重視，通過公開講座向工作人員講述預(yù)防的重要性，提高其安全風(fēng)險(xiǎn)意識；另一方面，政府部門應(yīng)根據(jù)不同縣區(qū)政府網(wǎng)站的實(shí)際情況，制定安全評估標(biāo)準(zhǔn)，要求他們嚴(yán)格執(zhí)行，定期評估和演練。

4 結(jié)束語

文章基于甘肅省縣區(qū)級政府網(wǎng)站的建設(shè)現(xiàn)狀、安全問題及成因，提出提升網(wǎng)站核心技術(shù)、加強(qiáng)人才引進(jìn)和提高政府安全風(fēng)險(xiǎn)意識等措施，以保障政府網(wǎng)站的持續(xù)安全運(yùn)行。