孙雷

上世纪九十年代的起步阶段到如今，

我国政府网站建设已经走过了十八年的历程。政府网站作为公众获取政府信息和了解政府的主要渠道和信息发布平台，代表着国家和政府形象，同时折射出政府电子政务应用的综合水平，因此，网站的安全稳定成为电子政务信息安全防护体系的重要组成部分。

近年来，网站建设整体水平随着电子政务应用的不断深入，政府网站所面临的威胁和风险也正在不断加大。根据国家互联网应急中心统计，截至2013年9月，境内被篡改网站数量为6935个，其中被篡改政府网站数量为532个；境内被植入后门的网站数量为22810个，其中政府网站有360个。

一直以来，国家出台了很多如等级保护等相关制度，对政府网络安全建设等级逐步加强，防护能力得到了很大的提升。但2013年“棱镜门”事件让全世界为之震惊，同时也真真切切地给我国政府、企业乃至个人上了一堂现实版的信息谍战课，使“信息安全”再一次成为2013年最受关注的词汇之一。透过“棱镜门”事件，我们清楚地看到，在信息技术方面我国还有太多的硬伤，无论从软件到硬件，从操作系统到网络设备，从安全意识到防护手段，我们的安全意识和综合实力急需进一步全面加强。

政府网站防护功夫不足

由于网站是暴露在相对开放的环境下的一种网络应用方式，更容易导致来自外部互联网或内部网络上的安全威胁。造成当前网站安全威胁的原因多种多样，除了互联网快速发展，黑客技术和黑客攻击手段的不断增多，入侵者的装备及技术水平正在不断地超越政府网站的防护力量，还有我们自己有很多防护工作没有下足功夫，其中主要表现在五个方面：

信息安全意识不强，对系统防护工作重视不够。很多单位都没有安排信息安全的具体负责人员，对网站系统的安全防护工作也没有进行规划部署，系统从未做过安全评估，主管领导对网站系统安全状况掌握不足，相关工作还没有落实到位。

技术防护水平薄弱，面对攻击和入侵应对措施匮乏。政府网站的整体防护水平还比较薄弱，管理维护人员的安全技术水平有待进一步提高；同时受限于资金和人员问题，很多单位在应对攻击和入侵时应对手段比较匮乏，一旦遭受攻击，网站系统瘫痪后恢复的难度较大，同时存在被多次攻击的情况。

对开发商缺乏监管，网站设计开发时缺少对安全的考虑。由于缺乏对网站系统开发单位的监管和要求，政府网站的设计和开发对安全的重视程度不够，很多网站在上线后，存在代码处理不严谨、语句语法、文件路径泄露等问题，同时后台支持数据库的管理也比较混乱，存在很大安全隐患。

由于利益驱动等原因，内部个别人员对网站进行恶意破坏。个别单位的网站系统，存在被内部人员因为利益和其他原因，从内部进行破坏的情况。这种破坏虽然不常见，但是往往后果都比较严重。

缺少应急处置措施，发生安全事件时反应缓慢处置不力。大多数政府机关在应急处置方面还存在盲区，应急方案不够完善，网站系统一旦遭到攻击、篡改，没有具体的应对的流程、没有协调联系人、没有应对处置措施，同时很多的单位没有与设备厂家建立日常联系沟通机制，也没有信息安全技术支持队伍，造成应急事件处置起来存在较大问题。

五项“加强”保安全

针对以上问题，笔者认为面对政府单位的网站系统，必须常备不懈，对信息安全工作紧抓不放，做好以下五项“加强”工作：

加强信息安全的培训和教育，提高信息安全意识。安全防范的根本是提高人的安全意识。通过组织各种形式的培训，不断提高机关人员的信息安全意识，形成从上到下 “信息安全是第一安全”的思想，加强相关部门、人员的主动防护意识，提升单位整体的信息安全认识。

加强信息安全技术水平，增强入侵和攻击的应对能力。通过专业的培训学习，提高单位关键岗位维护人员的信息安全技术水平，增添必要的信息安全防护设备，确保对网站系统的基本安全保障，设置合理的网络安全管理策略，以应对来自互联网络的攻击和破坏。

加强对开发商的监管，网站的设计开发遵循国家标准。网站使用单位应该要求网站系统的开发单位严格按照国家信息安全的管理要求，加强网站系统架构的健全性和安全性，并且遵守软件开发方面的安全要求，尽量避免出现安全上的漏洞，并对测试时发现的问题进行修补，同时对数据库实施严格的安全管理。

加强内部的信息安全管理，做到防患于未然。进一步完善信息安全规章制度，形成具有整体性的信息安全工作规划，从整体上部署信息安全工作重点及任务，形成分工明确、权责清晰的层次化管理结构，同时制定严格的信息安全事件问责制度，将内部发生事件的概率降至最低。

加强网站安全检查和应急处置力度，定期演练。网站维护单位要按照信息安全等级保护的要求，定期对网站进行安全检查，并加大对信息安全应急处理手段的支持和保障，保证在事件发生时能够调配足够的资源来应对，同时不断完善信息安全应急预案的流程和内容，并定期开展预案的演练工作。

（作者单位：黑龙江省工业和信息化委员会信息中心）