电子政府网站安全性的误解及策略
2012-08-15张森
张 森
武汉大学信息学院,湖北武汉 430072
随着网络技术的发展和网络应用的普及,各地政府纷纷建立了门户网站开始大力发展电子政务。由于电子政府门户网站中包含巨大的经济利益和机密,所以经常会遭遇网络攻击,致使门户网站安全性的提升业己成为电子政府网站维护管理的重中之重。为此,许多电子政府门户网站都采用了一定的网络安全技术。同时,网站安全管理也随着网络攻击的增多也得到加强。然而,目前网络安全技术的广泛应用和网站安全管理的提升也为电子政府维护网站、提升电子政府门户网站的安全性带来了两大误区。
1 电子政府网站安全技术层面的误区
目前我国电子政府网站安全技术层面的误区主要表现在如下3方面:
1)认为电子政府门户网站采用了SSL加密,安全性就得到了保障
绝大多数电子政府门户网站在建设过程中都会采取SSL加密技术,而且有相当一部分人认为采用了SSL加密,网站安全性就获得了保障,甚至有些网络维护人员也认为如此。但实际上,仅仅依靠SSL加密是不能使电子政府门户网站获得安全性保障,因为SSL加密仅仅是通过加密处理从而使网站发送和接收的动态信息的安全性得到保障,而对于已经存在于网站之中的静态信息的保障效果却并不理想。
2)认为电子政府门户网站采用了防火墙,安全性就得到了保障
目前大部分电子政府门户网站都利用防火墙的过滤机制来实现对数据访问的安全性控制,从而使网站得以将恶意访问过滤出去而仅接受善意访问。然而,由于防火墙针对网络病毒、木马更新换代而进行的升级存在一定的滞后性,因而对善意访问和恶意访问的识别并不完全准确,而且一直都是刚火枪过滤机制的难点问题,而一旦识别错误,防火墙则失去了安全防护的意义。
3)认为漏洞扫描工具没发现任何问题,网站就处于安全状态
尽管漏洞扫描工具早在上世纪90年代初就已被广泛用于探明网络安全漏洞,但由于该工具并不能检测网站应用程序中存在的漏洞,因而尽管漏洞扫描工具有时没发现问题,但仍然有病毒或者木马会以应用程序为载体,在被网站触发后而对网站进行攻击。
2 电子政府网站安全管理层面的误区
2.1 认为完全是由于政府程序员人为因素导致网站安全出现问题
在电子政府网站安全管理中,网站安全一旦出现问题,往往要归咎于程序员,认为是由程序员人为因素造成的。实际上,并不是所有的网站程序都能够处于电子政府网站维护的程序员掌控之中。例如,一些最初从其他地方获得的应用程序源代码就不在其掌控范围内。有时一个程序的开发是要分成多个小部分由不同的程序员来完成,这就存在每个单独开发的部分都不存在问题但合到一起就出现问题的可能性。因此,尽管有些问题可能是由程序员造成的,但不能一概而论,否则将不能找到安全管理的症结所在。
2.2 认为每年进行一次网站安全评估可以确保电子政府门户网站的安全
由于网站程序代码更换较快,因而目前我国许多电子政府在网站维护时大都会每年进行一次安全评估。尽管这种做法是必备的,但一年仅进行一次安全评估是远远不够的。因为一年一次的安全评估会与电子政府网站快速变动的应用程序代码形成严重的滞后性。只要网站的应用程序代码发生变化,就会给网站带来风险隐患,而评估之间间隔周期越长,风险隐患就越大。
3 改进电子政府网站安全策略的建议
要保证电子政府网站的信息安全,就必须避免误入网站安全技术和网站安全管理两大误区,并且应从这两方面入手,综合考虑影响网站安全的种种因素。
3.1 电子政府网站安全技术策略
该策略主要是利用现有的高科技安全技术和安全产品,来实现网络攻击的事前防范、事中控制以及事后补救三大应对策略。为此,一个安全的电子政府网站至少应该具备如下功能:
1)网站被攻击的事前防范;
2)用户认证和访问控制功能:电子政府网站系统应该使用加密方法保证用户名和密码不被泄漏,在此基础上,对用户身份验证和识别,并限制用户对文件、目录、各种设备的操作和访问,防火墙就是一个特殊的访问控制安全技术;
3)安全漏洞检测功能:电子政府网站系统应该定期扫描系统,进行安全漏洞检查,以便及早发现问题并修补安全漏洞;
4)防病毒功能:防止外来病毒破坏系统和数据。
3.2 攻击过程中的应对措施
入侵检测功能:电子政府网站系统可以使用入侵检测的主动发现技术来预防和检测来自系统内外部的入侵;
3.3 电子政府网站被攻击后的应对策略
1)系统日志审计功能:电子政府网站系统应具备对各种事件进行记录和审计的功能,并且要控制对日志记录的访问,保证日志记录不被修改,以监控黑客攻击源及手段,检测各种攻击模式;
2)备份和恢复功能:电子政府网站系统应具备备份和恢复功能,在网站受到攻击后,可尽快恢复系统和数据。
3.4 电子政府网站安全管理策略
该策略主要是加强电子政府内部网络的安全管理、制定有关规章制度,其策略主要包括:确定安全管理等级和安全管理范围;制定有关电子政府内部网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施以及制定网站安全评估的有效方案等等。
电子政府网站安全要根据网站安全管理策略建立强有力的管理手段和措施,同时要根据电子政府网站安全技术策略建立合理全面的安全技术支持,只有如此,才能免于步入网站安全性的误区并使网站安全保障达到最佳效果。
[1]王念.关于网站服务器的安全维护问题[J].硅谷,2011(6).
[2]唐灯平.构建安全的网站发布环境技术的研究[J].电脑开发与应用,2011,1.
[3]杨凡.网络与信息安全基础[M].北京理工大学出版社,2008.