“互联网+政务服务”背景下政府网站安全风险研究

2021-03-06张青云

网络安全技术与应用 2021年3期

◆张青云

◆张青云

（山西省人民政府办公厅政务信息中心山西 030006）

随着当前我国信息技术的发展，人民的生产以及生活产生了非常大的影响，在这样的情况下，网络成了非常常见的一种形式，政府工作自然也不例外，因此“互联网+政务服务”当前对我国政府工作效率有了非常大的提升。但是网络是一把双刃剑，“互联网+政务服务”背景下，政府网站也成了黑客攻击的主要目标，因此本文主要对此进行分析，希望对相关的从业者有一定的参考作用。

“互联网+政务服务”；政府网站；网络安全

随着当前技术手段的发展，信息设备成了人们日常使用的主要工具之一，在这样的情况下，很多行业开始陆续引入信息技术进入当前的工作之中，政府工作自然也不例外，在这样的形势下，我国政府网站的建设已经进入了一个飞速发展的阶段，在网站之中，政府的信息发布以及和人民进行互动交流等工作成了常态，不仅对当前政府工作效率以及工作质量做出了提升，同时也加强了政府和人民之间的交流，提升了政府的形象，尤其是我国在一定的时期进行的“互联网+政务服务”的加速建设，让政府网站的建设得到了进一步的发展。

作为政府服务的窗口，在政府网站之中包含大量的政府业务数据，因此一旦被篡改，可能直接危及我国国家安全，并且对社会秩序以及公共利益都有极大的损害，因此加强这方面工作的保护，是政府发展的必然趋势，也是当前对我国政府服务的要求。然而政府网站在当前的网络之中，属于权威性比较强的网络站点，成了当前黑客的重灾区，因此安全工作一直受到强烈的威胁，因此政府必须优化当前“互联网+政务服务”的网站管理，才能够保证政府的安全，保证我国社会的长治久安。

1 政府网站的主要类型

在我国当前政府网站之中，一般会采用三种情况进行建设，这三种类型分别承担政府不同的职能，因此其中的业务功能等有较大的差别，在风险方面的表现也截然不同，所以想要对安全工作进行强化，必须对这几种方式有充分的认识。

1.1 内容发布型政府网站

顾名思义，这种网站的主要功能是对政府的一些工作内容进行发布以及人民反馈进行收集。这种网站是政府最早建立的一种网站类型，在当前我国政府之中，绝大多数的部门都有这样的网站，政府部门在网站上发布一些新闻、对自身的政务进行公开，让群众了解当前政府的工作等等，这样的内容多数是以功能展示为主，随着技术的发展，此类网站也在不断完善自身的功能，因此后续出现了政务搜索、政府问卷调查以及留言答复等互动的功能，通过这样的方式，极大加强了政府和人民之间的联系，因此在当前的政府部门之中，使用的频率非常高，且受到的攻击也较为频繁。

在系统架构方面，此类系统主要包括以下几个方面的内容，首先是Web应用系统，内容管理系统、数据库系统以及媒体存储系统等多个方面，在早期的情况下，访客进行访问的时候，Web应用系统执行数据的同时，对结果进行展示，一般展示在被访问的页面之上。但是随着当前技术的发展，形式也发生了一定的改变，最主要的是在访问方面，当前是以静态的页面为主，内容管理的内容也成了静态的，因此对访客来说，只提供访客访问等互动的内容，不进入后台管理是无法对网站的内容进行操作的。

1.2 办公型政府网站

办公型政府网站更多是政府内部进行交流的平台，主要是针对政府多个部门之间的协同以及合作，进而让各个部门之间能够有效进行配合，在当前的政府网站之中，对于这种网站的使用频率非常大，主要是为了能够保持政府工作的效率，同时让政府的工作更容易进行。这样的网站主要提供特定的政府流程办事功能，使用者通常较为固定，主要是政府的工作人员，通过各自的账号进行登录，因此这种网站一般很少有工作人员以外的人员知道，这种网站的架构一般是业务逻辑的Web应用系统，数据库以及媒体储存等等几个方面，在办公型政府网站之中，政府的数据非常多，因此设计的过程中，会主动进行权限的分类，通过对权限的分配，进而对当前的业务进行处理，在这种网站之中，政府的数据数量以及政府的文件数量是非常庞大的。

1.3 政务服务平台

政务服务平台是人们日常生活之中和政府联系最紧密的一个网站，这个网站是当前新出现的一种政府服务形式，在当前政府平台之中，对一些政府的办事流程以及办事的过程继续进行相关的展现，并且人民也可以通过一些手段对这些业务进行办理，从而提升自身对于需要办理业务的办理。在政府服务平台之中，涉及大量的用户信息，范围非常广泛，因此一旦出现盗取的现象，不管是对政府的服务还是对人民财产都是非常严重的打击。所以这种网站成了当前受到攻击的主要目标。不仅如此，该网站同时还涉及大量的国家基础信息，包括人口、法人社保以及地理空间信息，所以信息的安全工作必须不断给予重视，这样才能够保证信息的安全。这种网络平台的建设，已经从传统的Web网页转为信息平台的建设，因此系统的架构较为复杂，在这样的情况下，政务管理的信息系统需要进行支付以及认证，这样才能够实现工作的协同以及业务的共享。

2 “互联网+政务服务”背景下网站的安全风险

2.1 注入漏洞

注入漏洞是一种常见的漏洞形式，并且有非常多的种类，其中SQL是非常典型的且危害非常强的一种形式，对未进行验证的数据进行查询以及命令的过程中，将这些信息发送并欺骗解释器，就构成了注入漏洞，攻击者这个时候能够通过发送恶意的信息去欺骗解释器，从而执行网络业务逻辑以外的命令，并且对当前的信息进行访问，随后进行木马的上传，对服务器的权限进行控制。

对于政府而言，输入参数的场景，都可能成为数据攻击的对象，在早期的政府网站，内容多采用流动性的网站模式，因此非常容易受到注入攻击，但是随着政府网站建设的更新，当前已经采用了静态的网站模式，因此一定程度上防范了内容的注入攻击，但是“搜索”等功能的存在，依旧为注入攻击提供了一定的窗口，因此在当前的发布型政府网站之中，访客的行为难以监测，攻击的成本也比较低，相对于办公平台需要登录之后才能够实施操作，攻击行为容易被追溯，攻击成本比较高的情况来说，安全方面存在的风险非常大。

2.2 身份认证和会话管理缺陷

用户登录信息和登录会话是Web中最为敏感的问题，也是攻击者最想要获取的信息，在Web应用之中，身份认证和会话管理相关的功能存在缺陷，就可能导致攻击者对用户的密码以及会话进行标示，最终冒充成为合法的用户，通过网络嗅探、木马攻击等形式对信息进行破解和获取。在政府内容发布之后，政府以及服务平台都会有登录的环节，因此在这个环节之中，存在很多的风险，攻击者一旦成功冒用用户的身份，就能够对政府的内容进行操作，进而影响当前的政府工作稳定，对政府工作造成非常大的影响。

2.3 “跨站脚本”漏洞

“跨站脚本”漏洞是一种影响非常广的Web漏洞，很多Web都存在这样的漏洞，“跨站脚本”漏洞主要是对网站浏览者进行攻击，而并非攻击网站本身，当未验证的信息数据直接作为反馈结果时，就容易形成跨脚本漏洞，攻击者通过向URL或者其他类型的提交的数据进行脚本插入，进而实现在受害者浏览器上执行脚本的目的，劫持受害者会话，或者是受害者浏览的网页进行恶意跳帧，这样的攻击形式一般有反射型、存储型、DOM型三种。其中反射型和存储型较为常见。

2.4 其他的攻击方式

除此之外，在当前政府网站受到的攻击之中，还有其他的不同形式，其中包括访问控制缺陷、安全配置错误、敏感信息泄露漏洞、攻击检测与防范不足、“跨站请求”伪造漏洞等等，这些漏洞都是对当前的“互联网+政务服务”造成威胁的漏洞，因此针对这些漏洞，一旦形成攻击的形式，对于政府来说是非常大的打击，也会对关键信息造成一定的危害。

3 “互联网+政务服务”背景下网络安全的建议

3.1 技术性建议

在当前的网站之中，想要增强“互联网+政务服务”形式的安全，必须注重从技术方面做好安全防范，因此在实际的工作之中，需要从以下几个方面进行：

第一，增强身份认证和会话管理。很多政府人员在工作中，对于信息的安全不够重视，因此口令的复杂度较低，所以政府可以对这方面进行提升，进而增强当前的安全性，并且在使用的过程中，采取短信验证以及动态口令的行为，让潜在的危险降低，并且在长期无操作以及存在潜在威胁的情况下，要及时结束会话，这样才能够保证安全。

第二，做好数据有效性的验证，在上述的攻击方式之中，很多都是通过无效信息对网站进行攻击的，因此在当前的输入之中，政府网站可以建设一些白名单，从而对数据进行过滤，这样才可以保证安全。

第三，完善网站安全相关的设计。在网站建设之中应该对关键的操作以及相关的信息采取更多的保护机制，尤其是在一些用户密码以及账号，需要采用一些加密设计，进而避免敏感信息泄露。

第四，前后端分离。政府网站通常有明显的前端和后端功能，因此在网站建设的过程中，需要充分利用这个方面的优势，将前后端进行分离操作，这样才能够保证不会出现仿冒前端用户对后端进行操作的行为。

第五，增强网络访问控制，建设政府网站，需要对政府服务以及管理系统进行访问控制，限制在一定的IP之中，这样才能够避免暴露，从而防范攻击行为。

第六，及时升级网络组件，对网络组件以及相关的软件需要及时更新，这样才能够及时补充漏洞，避免漏洞出现被利用的情况。

第七，规范安全配置。通过安全配置，对当前的行为以及方式进行约束，进而保证系统的安全，防止出现入侵现象。

3.2 管理方面的建议

在管理的工作中，政府人员需要统一进行规划，集中进行建设和管理，加强安全管理工作。同时对政府工作人员定期进行网络安全的教育，提升政府工作人员的网络安全意识。最后就是在政府网站安全工作之中，需要不断对安全风险问题进行革新，由于当前的网络风险是在不断发展以及变化的，因此只有做好与时俱进，才能够真正对抗网络的风险，让“互联网+政务服务”能够长久的运行。