“互联网+政务服务”背景下政府网站群安全风险研究

◆陈德智

“互联网+政务服务”背景下政府网站群安全风险研究

◆陈德智

（辽宁省信息中心网络技术部 辽宁 110000）

为适应“互联网+政务服务”背景，在统一规划下，政府网站群近年来在大量兴建，政府网站群安全风险也开始引起业界广泛关注。基于此，本文简单分析“互联网+政务服务”背景下政府网站群安全风险，并深入探讨安全风险的应对措施，以供业内人士参考。

政府网站群；安全风险；网络安全保障体系

结合实际调研可以发现，现阶段我国很多政府网站群存在安全风险，平台技术落后、资源开发利用整合程度低下等问题也较为常见。为尽可能保证政府网站群安全，必须设法优化政府网站群管理系统，并同时打造高实用性网络安全保障体系，为夯实“互联网+政务服务”提供基础。

1 政府网站群安全风险分析

1.1 平台技术落后

政府网站群安全风险与平台技术落后存在一定关联，很多政府网站群在公众参与、在线办事等功能方面存在的欠缺便属于其中代表，沟通受到的固化应用框架影响也需要引起重视。受差异较大的子网站建设水平、参差不齐的内容实用性影响，基于需求对信息公开内容进行整合的难度也较高，这就使得政府网站群在提供“互联网+政务服务”方面存在不足。平台技术落后在自动化水平方面同样有所体现，过于重视政府信息严谨性很容易引发这类问题，需要复杂操作才能够在特定页面展示内部资源的情况也较为常见，这对公共资源利用率造成的负面影响较为深远[1]。

1.2 资源开发利用整合程度低下

对于由各部门自行负责的政府部门网站建设来说，业务部门网站与政府门户网站间很容易在功能、内容模块整合方面出现脱节，信息共享功能存在欠缺的政府网站群也会影响分散信息共享、异构资源交换。为提供“互联网+政务服务”，各部门存在较高的信息共享需求，但受到分散的管理体制、分开的业务系统物理位置等因素影响，技术弱点制约下的政府网站群无法有效整合共享信息资源。在不断增加的系统建设需求影响下，系统软件、硬件设备、安全设备相关的重复投资很容易出现，规模增大和数量增加的应用系统也使得信息孤岛、重复建设问题日益突出[2]。

1.3 安全隐患突出

在建设完成政府网站群的某个站点后，受管理措施不力、重视程度较低等因素影响，站点很容易变为睡眠站点，严重的安全隐患问题会因此出现，同时会严重威胁政府网站群的安全运维。利用睡眠站点，黑客可通过网站漏洞和后台管理进入政府网站群管理后台。政府网站群存在的组件共享、内容共享、站点管理等功能能够为黑客提供侵入途径，进而严重威胁相关网站的安全运行。如政府网站群的管理人员未能高度重视睡眠站点，未能做好对网站群平台安全漏洞的及时修补，安全问题的发生概率将大幅提升，如Struts2框架漏洞、FCKeditor编辑器漏洞等，这可能导致整个政府网站群被篡改。考虑到政府网站群存在的独特技术特点和应用差异性，必须认识到政府网站群维护的重要性，只有健全管理制度、完善运行机制、强化网站管理，风险防范工作方可取得预期效果，政府网站群的应有效益和影响才能够充分发挥。

2 政府网站群安全风险应对措施

2.1 开展云平台建设

为保证政府网站群安全，结合平台技术落后问题，政府网站群的云平台建设需要引起重视。通过资源整合，政府网站群需要向按需配比的云计算建设模式转型，通过对虚拟化技术的逐步引入，数据中心的高利用率、低能耗、低成本、智能管理、快速部署能够顺利实现，以此建成的多层体系架构应用支撑平台也具备更高安全性。在政府网站群云平台的建设过程中，需结合不同部门业务应用特点及“互联网+政务服务”需要，科学设置虚拟机、物理服务器、SAN/NAS存储，存储或服务器需结合业务应用特点配置，满足存储和计算需要。云平台本身具备更高安全性，且能够对虚拟资源、物理资源开展池化管理。云平台建设还能够实现即时申请IT资源、“数据双活+数据备份”，这能够较好服务于业务快速部署、全面数据保护、业务连续性增强，政府网站群的自动灾难恢复能力也能够随之大幅提升。具体的云平台建设应围绕接入层网络系统、数据备份系统、生产存储系统、应用层服务器系统展开，同时需要关注公共数据中心建设、云平台互联网安全接入。以云平台互联网安全接入为例，通过安全防护和接入交换机后，政府网站群存储区域和服务器数据能够与互联网、政务外网通过原有网络对接，这不仅能够保证云平台建设取得预期成果，政府网站群安全性也能够同时提升[3]。

2.2 完善管理措施

为解决上文提及的资源开发利用整合程度低下问题，政府网站群安全风险应对还应聚焦管理措施完善，通过结合“互联网+政务服务”需要，总结以往管理经验，在需求导向下，需同时关注系统建设和基础建设，保证业务应用和安全保障、维护服务和项目实施同步。具体的管理完善可从社会技术力量利用、服务外包、各级各部门共同参与入手，如单一采购专项服务、实行服务外包、在业务相关部门及单位分解落实维护任务，在各级齐抓共管、社会技术力量充分利用下，政府网站群安全性和实用性将大幅提升，“互联网+政务服务”需要也将更好得到满足。

2.3 打造网络安全保障体系

为更好应对政府网站群安全风险，应设法打造网络安全保障体系，该体系由五部分组成。

（1）物理安全保障

作为政府网站群安全运行的基础，为避免人为操作失误、自然灾害等引发的硬件故障威胁其安全运行，运维部门需做完善的安全操作规范制定，结合各类安全问题明确应急措施。在开展云平台建设的同时，还可以通过异地物理机房提供备份站点，必要时通过备份资源提供服务，更好保证政府网站群物理安全。

（2）网络安全保障

网络安全保障同样属于网络安全保障体系的重要组成部分，具体保障需聚焦网络结构安全、恶意代码防范、入侵防范、安全审计、访问控制、网络设备防护安全等方面，具体可从拒绝服务攻击入手，并做好安全区域合理划分、网络边界保护、内容分发网络部署、防DDoS攻击部署。安全区域合理划分需要将政府网站群细分为托管类网站群、主要网站群，以此明确不同的重要程度、开发状态以及性质、维护手段，同时需按照安全区域差异进行网络结构划分，可采用VLAN法、防火墙法进行具体划分；网络边界保护可应用三层交换设备，以此实现不同安全区间政府网站群的ACL访问，访问的管控可同时通过防火墙实现，防火墙在互联网接入口的配置、抗攻击系统及入侵防御的设置、防病毒网关的设置也需要得到重视；内容分发网络部署可通过CDN缓存系统开展文件下载、视频数据、Web静态发布等服务及应用的网络分发，访问性能可通过动态链路选择访问机制和缓存提升，实现源点压力缓解、源站带宽瓶颈消除、用户体验提升；防DDoS攻击部署可采购相应服务或购入相应设备，以此提升政府网站群应对相关攻击的能力。

（3）主机安全保障

为保障政府网站群主机安全，需关注系统漏洞、操作系统配置不当等方面产生的主机系统风险，并选用以下几方面保障措施：第一，补丁管理。对数据库、操作系统进行定期扫描，保证漏洞的及时发现和处理；第二，主机加固软件安装。不断加固配置，做好操作系统的角色分配、身份鉴别、安全审计、强制访问控制；第三，主机监控。实时监控存储空间、CPU、内存，并在必要时发出预警。

（4）Web应用安全保障

为保障政府网站群Web应用安全，需聚焦脚本攻击、第三方控件漏洞、安全漏洞威胁，网站源代码安全缺陷也需要得到重视，具体可采用以下几方面保障措施：

第一，应用专业系统。应设法对WEB应用服务器进行加固，并引入网页防篡改软件和专业WEB防火墙保护系统，对WEB应用黑客攻击进行有效识别和阻止；

第二，源代码审计产品。代码审计可通过源代码审计产品开展，设计、实现环节引发的漏洞能够有效规避；

第三，静态网页设置。通过将静态网页设置于政府网站群前台，对外直接的应用服务器暴露能够大幅减少，受攻击机会降低、安全性提升自然能够顺利实现；

第四，优化后台管理。可采用多因子认证手段和加密传输进行后台管理，对管理员权限和账号进行严格划分，避免漏洞被管理员引入的情况出现。

（5）数据安全容灾备份

数据安全容灾备份同样属于网络安全保障体系的重要组成部分，应在异地建立至少两套应用功能相同系统，系统间能够实现功能切换和健康状态监视，因地震、火灾等因素导致一处系统工作意外停止时，系统可向另一处切换，“互联网+政务服务”的正常提供不受影响。作为高可用的组成部分，容灾技术建设需要关注外界环境、灾难性事件带来的影响，设法实现节点级别的系统恢复功能提供。分为应用备份和数据备份的容灾备份均需要得到重视，需关注网络系统、应用系统等资源的良好协调，保证容灾备份更好保障政府网站群安全。

3 结论

综上所述，政府网站群安全风险较为多样。在此基础上，本文涉及的开展云平台建设、完善管理措施、打造网络安全保障体系等内容，则提供可行性较高的政府网站群安全保障措施。为更好提供“互联网+政务服务”，上下互动、信息共享、左右协调的政府网站群建设管理同样需要设法实现。

[1]杨俊逸，谢芳.基于省级层面的政府网站集约化建设研究[J].长江信息通信，2021，34（03）：150-154.

[2]戴东情，毛圣兵，张瑞.政府网站安全监管机制研究[J].网信军民融合，2020（08）：16-18.

[3]乔侃.信息时代政府信息安全问题研究与防护[J].计算机产品与流通，2020（09）：127-128.