刍议政府网站安全存在的问题及对策

2017-08-31中国建筑科学院研究院建研科技股份有限公司曲径

中国建设信息化 2017年3期

文｜中国建筑科学院研究院建研科技股份有限公司曲径

当前，以计算机技术、现代通信技术、物联网、大数据以及云计算等新技术为支撑的信息时代引领人类社会进入一个全新的时代，网络空间成为信息时代的基本性标志，其安全状态对社会公共安全以及社会稳定、经济发展影响重大。其中，政府网站的安全问题是社会安全的重要内容，直接关系到国家安全。当前，对政府网站安全构成威胁的各种因素越来越复杂多样，政府网站所面临的安全形势日趋复杂，迫切需要采取措施加强政府网站安全。

1 政府网站信息安全面临更加复杂的严峻形势

1.1 现有安全保障机制体制不能满足形势发展需要。传统的政府网站信息安全通常以机关行政管理机构+技术部门的模式形成保障机制，在信息化发展初期，此类做法能够在短时间内集中政府优质资源，少花钱多干事，解决了有没有的问题，起到了信息化快速起步见成效的作用，有一定历史积极意义，但是随着信息社会的快速发展，安全形势面临日益复杂的局面，这种传统模式已经不能满足发展需求，主要表现为：

（1）行政部门的科层式管理与信息化扁平化要求的矛盾。传统的行政机关管理以科层式管理模式为主，遇事逐层上报，逐级批准，信息化技术管理要求扁平化管理，即在一个平台上可以同时进行多个层级的上报批准工作。现实中形成的行政管理与技术支持的两张皮模式，导致工作效率低下，在遇到重大信息安全问题时，缺乏足够灵敏的反应姿态。

（2）行政事业管理模式难以吸引和留住人才。网络信息安全是当前高端顶尖的IT技术领域，需要高水平人才方可胜任。行政事业单位受人员编制、薪酬待遇、晋升制度的限制，与社会IT公司相比较，待遇偏低、技术人才地位不高、升迁机会不多，往往对人才缺乏足够的吸引力，对现有人员也难以形成凝聚力，造成人才流失，严重影响技术水平，导致安全保障手段难以实现。

（3）行政加事业的管理机制难以在研发上形成优势。传统的信息安全管理机制以能应对日常安全问题为诉求，没有市场研发的压力和动机，也缺乏资金的投入和人才的储备，安全保障手段往往以社会上成熟的技术为主，在遇到新的攻击手段和安全威胁时，往往束手无策，坐以待毙，不能很好的先发制人。

1.2 技术层面上挑战日益加剧。国家互联网应急中心在2016年12月发布的《中国互联网站发展状况及其安全报告（2016）》显示，我国网站安全仍面临更加复杂严峻的安全态势。主要表现为：

（1）政府网站成为主要攻击对象。政府网站在互联网中成为主要的攻击目标，其所受威胁主要来自有价值信息造窃取、业务系统遭到瘫痪性攻击、WEB服务器遭受控制性攻击等。当前，仿冒网页、拒绝服务攻击等形式已经形成成熟的地下产业链，而且这种产业链正呈增长的趋势，网页篡改、网站后门等攻击事件频发，党政机关、科研机构、重要行业单位网站成为黑客组织的首选重点攻击目标。

（2）植入后门等攻击方式持续增加。数据表明，2015年我国有75028个网站被植入后门，与2014年相比增长86.7%，其中有3514个政府网站，较2014年增长130%。其中3.1万余个境外IP地址通过植入后门对境内6.0万余个网站实施远程控制，境外控制端IP地址和所控制境内网站数量分别较2014年增长63%和82%，而位于美国的4361个IP地址通过植入后门控制了我国境内11245个网站，入侵网站数量居首位。

（3）服务器安全面临面临未知攻击增多。针对政府网站Web服务器的各类各类网页木马、主流病毒、ARP攻击、Web攻击（抗CC）、DDOS攻击、暴力破解、恶意篡改与删除注册表行为增多。

2 政府网站信息安全应对措施

针对以上安全形势问题，政府网站信息安全形势不容乐观，采取必要措施加强安全已经刻不容缓。网络空间安全问题在党的十八大报告中，首次作为三个国家安全之一提出，我们有必要采取有效措施，构建高效、科学、技术安全的网络安全体系，以保障国家安全。

2.1 构建科学的管理体制，完善管理机制。首先，政府相关部门需要创新观点和思想，对技术保障部门不宜用行政手段现在管理，行政机关更多地把握原则性问题，提出安全保障要求，具体的技术实施方面应当适当放权，交由有技术实力的技术部门具体实施，实现原则管理与日常技术性支持相融合的高效科学管理机制。其次，政府的技术部门应当加强自身组织建设，引入IT科技公司管理机制模式，创建人才培养、人才激励机制，培养人才、锻炼人才，做到留得住、用得上、用得好、有发展，形成良好的人才培养、锻炼、提升、发展良性循环模式，练好内功，担当起安全保障重任。

2.2 技术上可以采取政府购买服务的模式，面向社会引入高水平安全保障力量，提升安全保障品质。传统的政府网站信息安全保障体制和机制已经不适应形势发展需要，可在安全保障方面采取政府采购的模式，面向社会引入技术实力雄厚的专业安全技术公司提供服务，以提升安全信息保障水平。此举既可以解决技术滞后的致命难题，同时又因为采购服务，不需在人才方面大力投入，节省了资金，从而可以实现用有限的经费做更多事情、更好事情的目标。

2.3 产业化运作，打造社会化信息安全新局面。相对社会企业而言，政府部门有相对较高的可信任度和影响力，安全信息技术提供商比较愿意跟政府打交道，以求在一方站稳脚跟、开拓市场。政府部门可以利用自身优势，深入研究本地信息安全形势和安全保障市场，选择有实力、技术力量雄厚的龙头企业，形成战略合作伙伴关系，培育安全信息产业实现产业的本地化转化，帮助企业开拓市场、带动地方经济发展的同时，有效解决自身的信息安全需求。

2.4 完善人才机构，形成长效人才机制。任何事业的成功离不开人才，进入21世纪后人才的重要性日益呈现，重视人才、培养人才、留住人才、发展人才最终才能发展事业。应进一步加强人才教育、培养方面的工作，提升整个社会的重视人才的氛围，为政府信息安全乃至社会发展集聚人才、储备人才，准备力量应当将来的各种挑战。