文/张蕊,天津市信息中心

探讨我国现阶段政府网站安全漏洞分析与相关建议

文/张蕊,天津市信息中心

随着计算机技术与互联网技术的发展，互联网在各个行业都得到了应用。互联网技术在政府部门也得到了应用，政府部门创建政府网站有着树立政府形象、宣传当地旅游资源等的功能。本文简述了政府网站的安全情况，并提出了相关的措施，希望对保证政府网站安全有所帮助。

现阶段；政府网站；安全漏洞分析；相关建议

引言

随着计算机技术与互联网技术的发展，政府部门也建立了专门的政府网站来树立政府形象、宣传当地旅游资源，人们与企业可以通过政府网站来获得相关的服务与信息。政府网站的影响力与公信力都比较高，有些犯罪分子会攻击政府网站。因此，政府部门应该加强对政府网站信息安全的保护。

1 政府网站的安全情况

1.1 安全意识较低

有些部门领导并不重视网络安全，这就使得相关的管理人员的责任意识较弱，并不重视网络安全，并且没有充分的了解网络安全事件会造成的后果。

1.2 管理机制不规范

各级政府网站管理机制并不规范，有些政府网站是由信息中心管理的，而有些则是由办公室、秘书部门、技术部门等进行管理。还有一些会交由专业的公司来进行管理。

1.3 没有建立完善的管理制度

没有建立完善的管理制度来应对安全事故，没有建立完善的安全运维结构。虽然很多部门都使用了防火墙、防病毒等的安全防护技术，但是使用预防网络攻击、防篡改等的安全技术的部门比较少。

1.4 专业人才较少

现阶段，我国政府部门缺少专门的网站安全技术管理人才。在政府部门管理人员通常是身兼数职的，相关的安全技术人员也比较少。很多的部门没有安排专门的人员来进行网站安全的管理工作，网站是由专业的公司来管理的。

2 网站漏洞问题

随着网络技术的发展，黑客开始攻击Web应用。依据相关的调查我们可以发现，大部分的信息安全攻击是在Web应用。而Web应用安全方面的问题主要在代码安全与运维安全两个方面。

2.1 代码安全方面的漏洞

2.1.1 注入

这种攻击情况是发生在不可信数据是查询信息或者是命令的一部分的时候，其在发送给解释器之后，就会发生攻击情况。

2.1.2 身份认证与会话管理失效

通常情况下，在身份认证与会话管理等相关的功能不能实现的时候，黑客会采用破坏密码、密钥或者是利用其它的漏洞，来冒充其它有授权用户的身份来访问网站。

2.1.3 脚本攻击

在Web 应用受到了不可信的数据，并且没有进行转义或者是验证的情况下，就把其发给了浏览器，就会造成跨站脚本攻击的情况。

2.1.4 引用不安全的对象

在技术人员暴露出一个内部对象引用的时候，就会产生不安全的对象引用。在没有进行访问控制或者是其他的保护技术的时候，黑客可以利用这些引用来访问没有经过授权的数据信息。

2.1.5 没有对功能级的访问进行控制

我们可以在UI中见到Web 应用的功能，验证功能级别的访问是有权限的。在Web 应用进行每一个功能访问的过程中，服务器都会执行相关的控制检测。假如方位请求没有经过验证，黑客就可以利用伪造的方位请求在没有经过授权的时候访问相关的功能。

2.2 运维安全方面的漏洞

2.2.1 安全配置的问题

为了保证网站安全应该合理的配置应用程序、服务器、框架数据库服务器、Web 服务器等。而这些设备默认的配置并不够安全，因而，应该对设备进行定义并维护。

2.2.2 使用有漏洞的组件

组件是以全部的权限运行的。假如使用含有漏洞的组件，将会导致数据丢失或者是服务器接管的问题。使用含有漏洞的组件会损害应用的防御系统，并且可能会导致系统被黑客攻击。

3 政府网站安全措施

3.1 安全技术方面的措施

3.1.1 规范建设网站过程当中的编码安全

在网站安全问题中，代码漏洞是最常见的，在各级政府部门建设网站或者是变更网站的时候，技术人员应该依据相关的原则来进行建设工作，主要包含以下几点：第一，检测、编制并过滤用户的输入与输出；第二，采取数据库参数化检查的方法来预防出现诸如漏洞的问题；第三，要使用身份认证的方法，包含了验证码与登录失败锁定等的方法，以免被黑客暴力解决口令；第四，使用加密传输、存储的方法来传输并存储网站的业务数据与用户的信息等的数据；第五，严格控制没有经过授权用户的访问；第六，要确保文件上传与下载的安全。

3.1.2 加强对网站技术设备的安全保护

网站是由数据库、网站服务器、中间件等基础设施来支持的，这些设施的安全情况会直接影响网站的安全，主要的安全防护方法为：第一，禁止网站系统对外开放与业务无关额的服务或者是断口，有效的降低安全危机；第二，建立相关的安全防护措施，要及时发现并切断外部的工具；第三，应该定期加固基础设施的安全措施；第四，要严格的限制网站所在区域及其它网络区域的访问控制制度，以免黑客利用网站区域来攻击内部网络。

3.2 安全管理方面的措施

3.2.1 制定安全验收流程

在网站上线或者是在进行重大的改变之前应该对网站进行相关的安全检测，在检测合格之后才可以上线，要确保相关的漏洞在测试的过程中可以被修复，以免在网站上线之后还存在着安全问题。

3.2.2 定期对网站进行安全检测

在对网站进行日常更新、运行维护与调整、攻击方法更新等都会给网站造成安全隐患。因此，应该定期对网站进行安全扫描、测试等工作，并及时的发现并修复相关的漏洞。

3.2.3 建立完善的应急制度

要建立完善的应急流程制度，主要包含了建立获得安全漏洞与时间的路径、划分安全事件的种类、应急操作流程与事后的监管等，要定期的演练应急预案，确保应急响应预案是可行的。

4 结语

综上所述，政府网站正常运行可以有效的维护政府部门的形象，并加强和人民的沟通。而怎样建设与管理政府网站，确保网站的安全，就应该受到建设人员与管理人员的重视。政府部门应该采取有效的措施来确保网站信息的安全，保证政府网站可以安全运行。

[1]高铭骏.计算机系统安全漏洞探讨[J].科技视界,2015(5)：73-74.

[2]钟文建.浅析网站安全隐患及应对策略[J].中小企业管理与科技,2015(4)：314-316.

[3]毛黎.试论计算机网络安全漏洞及安全防范建议[J].工业,2016(10)：00256-00256.