系统论视角下的社会网站安全管理
2018-02-27王勋
王勋
摘 要: 把社会网站安全管理看作一项系统工程,利用系统科学的观点、原理和方法,从网站相关方、监管部门、黑客、安全人才、安全企业等方面对我国社会网站安全管理的现状、问题及原因进行系统分析,最后利用系统论提出网站安全管理的宏观策略建议。
关键词: 社会网站; 安全管理; 系统论; 策略
中图分类号:N949 文献标志码:A 文章编号:1006-8228(2018)02-48-04
Abstract: The paper considers the security management of social website as a systematic project. It adopts scientific approaches, theories and methods to systematically analyze the status quo of the security management of social website in China, its problems and its reasons in terms of website related parties, regulators, hackers, security talents and security companies. And then it puts forward some macroscopic strategic suggestions using system theory to address issues in the security management of social website.
Key words: social website; security management; system theory; strategy
0 引言
网站作为政府机构发布信息的载体、企业形象宣传的窗口和公众获取信息的重要渠道,已深刻融入到政治、经济、社会生活的各个方面。根据《中国互联网站发展状况及其安全报告(2017)》显示,截至2016年12月底,中国网站总量达到475.4万余个,同比年度净增长48.7万余个,其中社会网站占比约为95%[1-2]。社会网站指的是除党政机关、事业单位、国有企业等政府相关网站之外的其他网站,如企业网站、社会团体网站、个人网站等。
1 我国社会网站安全现状
随着网站数量的剧增,网站安全问题日益突出,集中表现在政府机关、事业单位、公司企业网站频繁遭受非法攻击,导致机密信息被窃取、用户数据泄露,造成巨大经济损失,恶劣社会影响。在国外,如美国大选候选人希拉里的邮件泄露,直接影响到美国大选的进程;雅虎两次账户信息泄露,涉及约15亿的个人账户,致使美国电信运营商威瑞森48亿美元收购雅虎计划搁置。在国内,我国免疫规划系统网络被恶意入侵,20万儿童信息被窃取并在网上公开售卖;高考的考生信息泄露间接夺去即将步入大学的女学生徐玉玉的生命[1]。网站安全问题俨然成为关系国家安全利益、社会和谐稳定、企业生存发展、群众切身利益的重大问题。
网站安全管理的最终目的是为确保在一个网站环境里信息的存在安全(保密性、完整性)和使用安全(可用性、可控性)[3]。
目前依托于国家出台的《网络安全法》、《关于加强党政机关网站安全管理的通知》、《信息安全等级保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》等文件,经监管部门、安全服务公司及网站相关单位共同努力,政府类网站安全管理已走上正轨,各责任主体安全意识增强,初步形成了主动防御、积极应对、扎实措施的良好氛围,较大幅度地提升了网站安全监测、防护、预警、响应、恢复和抗击能力。
但与此同时,由于社会网站相较于政府类网站数量更巨大、类型更丰富、情况更复杂,对其的安全管理远不如政府类网站,尤其是中小型社会网站仍存在极大安全隐患。因此,社会网站的安全管理已成为当前亟需深入研究并尽快找到解决方案的现实课题。
2 社会网站安全管理存在问题及原因分析
为了剖析社会网站安全管理中存在问题的原因并寻求相应的优化对策,本文以系统论中系统是由各相互联系相互作用的部分组成的原理出发,从网站相关方、监管方、黑客、安全服务公司的角度,对存在的问题进行细致分析。
2.1 网站相关方的认知盲区和制约因素
⑴ 网站安全意识淡薄
首先,安全意识未融入到立项过程。对网站经营者来说,网站的生存是第一要务。经统计网站平均生存周期13个月,2016全年停办网站68.2万个[1]。因此网站经营者关注重点落在网站内容是否合法规、网站访问是否正常、用户体验是否便利等直接影响网站生存的关键因素上,对网站安全的认识比较缺乏,甚至认为网站安全问题无关大局,从而在思想上选择性地忽视网站安全,造成投入不足、管理不到位的局面。
其次,安全意识未融入到开发过程。从网站开发者角度出发,其专注于网站功能开发、整体布局和稳定性,往往忽视程序的安全性和对网站安全测试的必要性。
第三,安全意识未融入到运维过程。从网站运维者角度出发,其主要负责计算机网络系统的日常维护和管理,关注重点在系统软硬件的安装、升级、保管、维护上,往往忽视漏洞检测及修补。第四,安全意识未融入到使用过程。网站用户按不同权限可划分为管理员、内部用户、外部用户等,用户往往关注于网站功能的使用,而忽视网站访问环境的安全性和賬号的安全性,同时用户也不可避免地存在一些误操作影响网站安全。
最后,从上到下普遍存在侥幸心理。认为网站受攻击的概率很小,甚至不会被攻击。认为即使网站被攻破,实际损失也不大。认为即使造成安全事件也不会被处罚,就算有处罚也不重。
⑵ 安全防护能力不强endprint
首先,社会网站,尤其是中小型社会网站,建设过程大多比较粗糙,大部分在功能上有缺陷,细节上有漏洞,导致网站本身安全性就不高。其次,网站安全既需初期一次性投入,如安全防护设备购置、安全公司评测,也需后期持续性投入,如安全防护设备更新、安全人才培养、员工安全意识培训,因此对资金的要求比较高。而实际上社会网站经营者大多网络安全资金预算不足,结果直接影响高水平安全人才的招聘录用、先进安全防护设备的购置更新以及运维人才的进修培养,进而导致网站安全防护力量薄弱。第三,网站攻击频繁发生,攻击方式日新月异,安全技术的发展总是滞后于攻击技术的发展。
⑶ 网站安全政策不解
社会网站经营者由于关注的重点是在影响网站生存的关键因素上,对网站安全的认识比较缺乏,对包括《网络安全法》、《信息安全等级保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》等在内的网络安全相关政策法规中涉及网站的技术安全、管理安全、内容安全等方面的要求缺乏了解,同时往往也对相关处罚政策不了解。
2.2 监管方的关注重点和制约因素
⑴ 监管关注重点
首先,网信办的《关于加强党政机关网站安全管理的通知》以及各省市相关的文件重点指向都是加强政府相关网站安全管理。因此各地网站安全监管部门将主要精力放在政府类网站管理上,有针对性地开展专项行动,如《杭州市党政机关、事业单位和国有企业互联网网站安全专项整治行动实施方案》。因此监管部门对社会网站管理重视度相对较低,投入的精力相对较少。其次,监管部门虽然也对社会网站开展专项行动,如“净网2016”专项行动、网址导航网站专项治理行动、“剑网2016”专项行动、“清朗”系列专项行动等,但此类行动的侧重点是在网站的内容安全上,关注的是信息的使用安全,而对信息存在安全涉及的网站技术安全和网站管理安全关注较少。
⑵ 监管人员紧缺
网站安全主要监管落實方是公安网络警察部门。网警人员编制较少,职能较多,包括管理、侦查、技术、建设等,分配在管理上的人员则更为紧缺。因人手紧缺,直接造成相关政策法规宣传覆盖面不够广泛、监管对象选择必须要有侧重点的局面。
⑶ 监管成本高
首先,据《中国互联网站发展状况及其安全报告(2017)》统计,2016年全年新开通的中国网站数量125.9万个,每月平均新开通网站10.5万,全年网站主办者自行停办的中国网站68.2万个,平均每月自行停办的网站5.7万个,可见社会网站数量巨大、更新频繁、情况复杂,监管工作量大难度高。其次,网站安全管理中涉及对网站的远程检测是通过第三方安全公司提供服务来推进,花销巨大。第三,由于大部分县区级网警部门人员少能力弱,只能有选择地对部分网站做上门实地检查。该过程也需第三方安全公司提供技术支撑,如给专管民警做技术业务培训或派技术员陪同民警上门检查。第四,针对远程检测或上门检查发现存在问题的网站单位,分步骤下发安全隐患报告、先期整改通知书、行政处罚通知书,要求相关单位落实整改,出具整改说明后,监管人员再次上门复查,如还存在安全隐患,继续整改直至没有问题。由此可见,目前的监管机制下,耗费的时间成本、人力成本、财力成本很高。
2.3 黑客攻击的特点
⑴ 攻击门槛低
首先,互联网上能够轻易找到黑客软件,只要掌握一定的计算机知识就可以对网站进行攻击。其次,成熟的攻击手段很多。近年来我国网站受到的威胁主要包括网页篡改、网站后门、软件漏洞、类型攻击、网页仿冒等类型,基于漏洞、病毒、未知威胁的APT攻击、0Day攻击日益增加。第三,网站攻击黑数高。网站攻击频繁发生,但是被发现的或者有记录的还不到10%,而其中造成安全事件被处罚的占比则更低。
⑵ 广撒网
除少部分有明确攻击目标的黑客外,大部分黑客采取的是广撒网多捞鱼策略,先期攻破各类安全性较低的网站服务器,种下木马后门程序,以备不时之需。
⑶ 高危害
首先,各种形式的虚假信息、反动言论或商业广告,导致网站用户被欺骗/蒙蔽,造成网络空间乌烟瘴气,影响社会和谐、国家稳定。其次,如果是个别网友进行小规模的攻击,一般影响不大。但如果攻击者具备较高的水平,或者黑客聚集在一起向网站发动攻击,将会对网站运行造成较大影响。
2.4 安全人才紧缺及安全公司的缺陷
⑴ 安全服务人才紧缺。安全技术是网站安全管理中关键一环,高级的安全防护需要高技术的安全人才。统计显示近年来我国高校教育培养的信息安全及相关专业人才仅3万余人,而网络安全人才总需求量则超过70万人,预计到2020年相关人才需求将增长到140万,人才缺口巨大[4]。
⑵ 安全公司的缺陷。首先,攻和防是矛和盾的关系,做信息安全就是在做盾,做盾不能闭门造车,要看外面的矛怎么样,相对开放的体系才知道到底能不能抵挡别人的攻击。现在我国很多安全产品还是10年前的产品,防御技术和防御理念没有跟随攻击进行提升,固守着‘入侵检测、防火墙、防病毒老三样,进行传统防御,追求静态的“绝对安全”,依靠发现威胁、分析威胁、处理威胁的滞后性防御思维,已经跟不上形势发展。如何根据社会网站系统特点构筑定制型的动态防御亟需进一步研究。其次,除了少部分实力强劲的安全服务公司会考虑社会责任感和社会效益外,大部分安全服务公司考虑的是最小成本投入,获取最大的名利收益,如金钱、荣誉、广告等,其关注合作重点在政府相关网站和大型企业,而中小型企业和个人网站则常常被忽视。
3 社会网站安全管理的策略
从社会网站安全管理存在问题及原因分析可以看出,社会网站安全处于被动的封堵漏洞状态,从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,网站安全形势严峻。为此利用系统论思想提出如下的策略建议。
3.1 从全局提高网站安全意识endprint
首先,政府要从全局整体出发,营造网站安全管理良好氛围。其次,监管部门要全面考虑,树立网站安全管理不仅只是政府相关网站管理的观念。第三,加强网站相关方安全意识,树立网站安全管理不仅仅在于运维管理中的观念,还应在立项、开发、运维等网站生存全周期中始终树立安全意识。第四,安全服务公司在关注合作政府类和大型企业网站的同时,不能忽视中小型企业和个人网站。
3.2 协同落实主体责任
首先,政府要开展广泛研究,从宏观顶层设计和整体谋划角度,制定出切实可行和行之有效的政策法规。其次,监管部门要加强网站安全相关政策法规宣传,严格网站的申请审核测试制度,对网站安全的整体态势做出准确感知,对网站主体单位要做到监督检查指导,同时对涉网违法犯罪要坚决打击,对黑客群体和生态做好有效地管控。第三,网站主体单位要主动了解网站安全相关政策法规,据此构建本单位安全防护体系,达到规范要求,履行相关责任义务。第四,安全服务公司要主动开展最新安全技术研究,给政府、监管部门、网站主体单位提供智库支撑、技术支持和安全服务。
3.3 注重管理对象的层次性
区分不同管理对象,从性质、规模、网站类型、建站方式维度构建管理对象的结构模型,如图1所示。其中,性质维度分为:政府类(包括党政机关、事业单位和国有企业)、社会类(包括公司企业、社会团体、个人);规模维度分为:巨型、大型、中型、小型、微型,依据Alexa[5]排名中日均uv亿、千万、百万、十万节点划分;网站类型维度分为:基础应用类,商务交易类、网络金融类、网络娱乐类、公共服务类[6];建站方式分为:托管、租用(虚拟主机租用、云服务器租用、物理服务器租用)、自建机房。
在总体规范要求下,根据网站的不同规模、不同服务类型、不同建站方式的结构性特点,从技术安全、管理安全、内容安全三个层面分类制定切实可行的个性化管理方案,实现像管理人员户籍一样管理社会网站。
4 结束语
通过多措并举、多方参与、多样分类,各责任主体积极履责,社会网站安全管理能有的放矢地进行,从根本上形成有法可依、监管有力、主动防御的良好局面,有效确保信息在一个网站环境里的存在安全和使用安全。
参考文献(References):
[1] 国家互联网应急中心.中国互联网站发展状况及其安全报告[R].中国互联网协会,2017.
[2] 国家统计局数据[EB/OL].[2017-12-20] http://data.stats.gov.cn/easyquery.htm?cn=C01&zb=A010402&sj=2015.
[3] 刘云志.浅析计算机网络安全技术及其存在的问题[J].信息系统工程,2012.2:73-74
[4] 人民网新闻[EB/OL].[2017-09-20] http://bbs1.people.com.cn/post/129/1/2/164533077.html.
[5] Alexa[EB/OL].[2017-12-20]http://www.alexa.cn/.
[6] CNNIC.第40次中國互联网络发展状况统计报告[R].CNNIC,2017.endprint
