陳力帥

摘 要： 當(dāng)前政府門戶網(wǎng)站安全問(wèn)題日益突出，但機(jī)構(gòu)缺乏對(duì)地市級(jí)層面的網(wǎng)站安全現(xiàn)狀的分析和研究。選取某地級(jí)市的105個(gè)重點(diǎn)門戶網(wǎng)站作為對(duì)象，通過(guò)技術(shù)檢測(cè)和漏洞統(tǒng)計(jì)，提出當(dāng)前地市級(jí)重點(diǎn)門戶網(wǎng)站面臨的主要風(fēng)險(xiǎn)和薄弱環(huán)節(jié)，并給出解決方案。結(jié)合實(shí)際情況，對(duì)地市級(jí)網(wǎng)絡(luò)安全主管部門的下一步工作及保障對(duì)策提出了建議。

關(guān)鍵詞： 地市級(jí)； 門戶網(wǎng)站； 網(wǎng)絡(luò)安全； 保障對(duì)策

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2017）02-31-03

0 引言

在政府部門信息化建設(shè)的初期，由于建設(shè)經(jīng)驗(yàn)不足，存在重建設(shè)、輕安全的問(wèn)題，致使部分黨政機(jī)關(guān)重點(diǎn)門戶網(wǎng)站缺乏必要的安全防護(hù)措施，同時(shí)，網(wǎng)絡(luò)安全制度不健全、落實(shí)不到位、網(wǎng)絡(luò)安全意識(shí)薄弱等問(wèn)題層出不窮。

1 研究背景與目的

據(jù)國(guó)內(nèi)某網(wǎng)絡(luò)信息安全龍頭企業(yè)統(tǒng)計(jì)：2015年全年，該公司網(wǎng)站安全檢測(cè)平臺(tái)共掃描各類網(wǎng)站231.2萬(wàn)個(gè)，其中，存在安全漏洞的網(wǎng)站為101.5萬(wàn)個(gè)，占掃描網(wǎng)站總數(shù)的43.9%。其中存在高危安全漏洞的網(wǎng)站共有30.8萬(wàn)個(gè)，占掃描網(wǎng)站總數(shù)的13.0%，與2014年的對(duì)比如圖1所示。

又據(jù)國(guó)內(nèi)某網(wǎng)絡(luò)安全防護(hù)領(lǐng)先企業(yè)統(tǒng)計(jì)，2015年，共檢測(cè)發(fā)現(xiàn)我國(guó)境內(nèi)網(wǎng)站被黑事件33，929，213次，相比2014年的28，898.261次，增長(zhǎng)456.44%。

由上述數(shù)據(jù)可見(jiàn)我國(guó)網(wǎng)絡(luò)安全現(xiàn)狀不容樂(lè)觀。目前國(guó)內(nèi)各信息安全機(jī)構(gòu)對(duì)國(guó)家和省級(jí)層面的網(wǎng)站安全檢查研究較多，但地市級(jí)的重點(diǎn)門戶網(wǎng)站安全報(bào)告較為稀少，通過(guò)本次研究旨在實(shí)現(xiàn)以下三個(gè)目的。

⑴ 通過(guò)掃描，檢測(cè)當(dāng)前地市級(jí)重點(diǎn)門戶網(wǎng)站的健康概況，查找問(wèn)題網(wǎng)站清單，發(fā)現(xiàn)面臨的主要網(wǎng)絡(luò)漏洞風(fēng)險(xiǎn)。

⑵ 根據(jù)緊急、高危、中危等風(fēng)險(xiǎn)等級(jí)，對(duì)重點(diǎn)網(wǎng)站進(jìn)行風(fēng)險(xiǎn)評(píng)估，摸清當(dāng)前地市級(jí)重點(diǎn)門戶網(wǎng)站現(xiàn)狀。

⑶ 總結(jié)研究數(shù)據(jù)，分析主要問(wèn)題，提出符合地市級(jí)網(wǎng)絡(luò)信息安全管理水平，較為普適的保障對(duì)策。

2 研究的對(duì)象及方法

2.1 研究對(duì)象

本次研究對(duì)象為浙江省某地級(jí)市105家重點(diǎn)門戶網(wǎng)站。其中市政府及區(qū)縣政府門戶網(wǎng)站13家，市經(jīng)信委及縣（市、區(qū)）經(jīng)信局門戶網(wǎng)站6家，gov.cn結(jié)尾的市直黨政機(jī)關(guān)網(wǎng)站56家，直屬機(jī)構(gòu)事業(yè)單位門戶網(wǎng)站30家，基本覆蓋改地級(jí)市網(wǎng)站類關(guān)鍵信息基礎(chǔ)設(shè)施。

2.2 研究實(shí)施過(guò)程

⑴ 2016年6月至9月上旬對(duì)該地級(jí)市市直部門、下轄區(qū)縣等單位共105個(gè)網(wǎng)站系統(tǒng)進(jìn)行安全性檢測(cè)，檢測(cè)內(nèi)容覆蓋網(wǎng)站掛馬、SQL注入、跨站腳本、表單繞過(guò)等高風(fēng)險(xiǎn)漏洞情況。

⑵ 2016年9月中下旬，對(duì)檢測(cè)的情況進(jìn)行整理、匯總、歸納、分析，多維度評(píng)估事件及漏洞風(fēng)險(xiǎn)等級(jí)，綜合評(píng)定網(wǎng)站的安全現(xiàn)狀。

⑶ 2016年10月，對(duì)網(wǎng)站出現(xiàn)的問(wèn)題進(jìn)行研究，給出解決對(duì)策。

⑷ 2016年11月，對(duì)本次研究的過(guò)程和結(jié)果進(jìn)行終結(jié)，認(rèn)真分析問(wèn)題，識(shí)別主要隱患，評(píng)價(jià)整改效果，提出下一步工作建議及保障對(duì)策。

3 研究結(jié)果

3.1 總體概況

檢測(cè)結(jié)果顯示，12家網(wǎng)站存在緊急及以下風(fēng)險(xiǎn)，5家網(wǎng)站存在高危及以下風(fēng)險(xiǎn)，11家網(wǎng)站存在中危及以下風(fēng)險(xiǎn)，77家網(wǎng)站處于低風(fēng)險(xiǎn)或較為安全的狀態(tài)，具體分布如圖2所示。

3.2 緊急風(fēng)險(xiǎn)漏洞情況

緊急風(fēng)險(xiǎn)漏洞為可以直接被利用的漏洞，且利用難度較低。被攻擊之后可能對(duì)網(wǎng)站或服務(wù)器的正常運(yùn)行造成嚴(yán)重影響，或?qū)τ脩糌?cái)產(chǎn)及個(gè)人信息造成重大損失，是網(wǎng)站安全防護(hù)的重中之重，此次檢測(cè)研究發(fā)現(xiàn)，主要存在緊急風(fēng)險(xiǎn)漏洞有以下。

⑴ SQL注入：SQL注入攻擊（SQL Injection），簡(jiǎn)稱注入攻擊、SQL注入，被廣泛用于非法獲取網(wǎng)站控制權(quán)，是發(fā)生在應(yīng)用程序的數(shù)據(jù)庫(kù)層上的安全漏洞。

⑵ 跨站腳本：跨站腳本攻擊（Cross-site scripting，通常簡(jiǎn)稱為XSS）發(fā)生在客戶端，可被用于進(jìn)行竊取隱私、釣魚(yú)欺騙、偷取密碼、傳播惡意代碼等攻擊行為。

檢測(cè)結(jié)果中緊急風(fēng)險(xiǎn)漏洞的分布如圖3所示。

從網(wǎng)站類型上看，緊急風(fēng)險(xiǎn)漏洞的分布情況如圖4所示。

區(qū)縣政府門戶網(wǎng)站中，有4家存在緊急風(fēng)險(xiǎn)，占31%。市直黨政機(jī)關(guān)門戶網(wǎng)站中，有4家存在緊急風(fēng)險(xiǎn)，占7%。直屬機(jī)構(gòu)及事業(yè)單位門戶網(wǎng)站中，有3家存在緊急風(fēng)險(xiǎn)，占10%。經(jīng)信系統(tǒng)門戶網(wǎng)站中，有1家存在緊急風(fēng)險(xiǎn)，占16%。

由此可知，區(qū)縣政府門戶網(wǎng)站面臨較大風(fēng)險(xiǎn)，其次是直屬機(jī)構(gòu)及事業(yè)單位的門戶網(wǎng)站。

3.3 問(wèn)題解決對(duì)策

⑴ 加強(qiáng)網(wǎng)站對(duì)SQL注入和跨站腳本等主要風(fēng)險(xiǎn)的防范；

⑵ 加強(qiáng)對(duì)網(wǎng)站安全風(fēng)險(xiǎn)的監(jiān)控和持續(xù)防護(hù)；

⑶ 加強(qiáng)對(duì)存在緊急風(fēng)險(xiǎn)漏洞網(wǎng)站的檢查力度。

4 研究建議

根據(jù)此次研究結(jié)果并結(jié)合地級(jí)市普遍存在的實(shí)際情況，對(duì)下一步網(wǎng)絡(luò)信息安全保障工作提出以下幾點(diǎn)建議，以供參考：

⑴ 加強(qiáng)網(wǎng)絡(luò)信息安全相關(guān)人員專業(yè)技術(shù)培訓(xùn)。當(dāng)前安全相關(guān)崗位人員專業(yè)技術(shù)水平還比較欠缺，網(wǎng)絡(luò)安全工作基本上處于完全依賴開(kāi)發(fā)單位和安全服務(wù)單位的狀態(tài)。應(yīng)組織專門的網(wǎng)絡(luò)信息安全基本技能培訓(xùn)，進(jìn)一步提高網(wǎng)絡(luò)安全工作人員的專業(yè)水平和責(zé)任擔(dān)當(dāng)意識(shí)。

⑵ 進(jìn)一步加強(qiáng)重點(diǎn)門戶網(wǎng)站的應(yīng)急管理體系建設(shè)。研究建立全市重點(diǎn)門戶網(wǎng)站的的應(yīng)急響應(yīng)標(biāo)準(zhǔn)，須要求各單位落實(shí)責(zé)任制，明確應(yīng)急響應(yīng)的各個(gè)環(huán)節(jié)，根據(jù)事件的分級(jí)要求，保證網(wǎng)絡(luò)安全事件發(fā)生時(shí)的應(yīng)急和處置能力。

⑶ 依托云計(jì)算、云防護(hù)等先進(jìn)技術(shù)，加快政府網(wǎng)站集群建設(shè)。依托云技術(shù)、云防護(hù)技術(shù)的網(wǎng)站群模式能有效強(qiáng)化資源整合，規(guī)范建設(shè)運(yùn)維標(biāo)準(zhǔn)，明顯提高安全短板，鞏固提升整體的安全防護(hù)能力。

⑷ 加快相關(guān)管理制度和規(guī)范的制定。目前保障網(wǎng)站安全的應(yīng)對(duì)措施主要是靠技術(shù)手段，需要從政府層面對(duì)網(wǎng)站進(jìn)行統(tǒng)一監(jiān)管并制定一系列規(guī)范的數(shù)據(jù)管理?xiàng)l例，加強(qiáng)個(gè)人隱私保護(hù)、知識(shí)產(chǎn)權(quán)保護(hù)等方面的規(guī)范制度建設(shè)，明確處罰措施。

⑸ 集全市之智，組建專業(yè)可靠的專家智庫(kù)。嘗試在地市范圍內(nèi)征集信息安全專家，不拘一格，通過(guò)考核選拔，成立網(wǎng)絡(luò)信息安全工作組或者專家智庫(kù)，負(fù)責(zé)對(duì)重點(diǎn)門戶網(wǎng)站安全狀況進(jìn)行風(fēng)險(xiǎn)評(píng)估，指導(dǎo)監(jiān)督網(wǎng)絡(luò)安全審查工作，對(duì)安全態(tài)勢(shì)進(jìn)行感知和預(yù)判，為主管單位提供智力支撐。

⑹ 強(qiáng)化重點(diǎn)信息化項(xiàng)目系統(tǒng)生命周期的管理。對(duì)于涉及關(guān)鍵領(lǐng)域的大型信息化建設(shè)項(xiàng)目，可從立項(xiàng)設(shè)計(jì)、建設(shè)實(shí)施，到部署運(yùn)維、升級(jí)變更等各個(gè)階段引入并實(shí)施相應(yīng)級(jí)別的安全管理和技術(shù)檢測(cè)，落實(shí)等級(jí)保護(hù)，加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)信息安全。

5 結(jié)束語(yǔ)

安全是相對(duì)的，不是絕對(duì)的，隨著電子政務(wù)的快速發(fā)展，政府門戶網(wǎng)站的網(wǎng)絡(luò)信息安全任重道遠(yuǎn)。文本中的案例和建議僅提供參考，下一步，信息系統(tǒng)審計(jì)、態(tài)勢(shì)感知平臺(tái)等新技術(shù)的應(yīng)用將給主管部門帶來(lái)更廣闊的治理思路。

參考文獻(xiàn)（References）：

[1] 工業(yè)和信息化部電子科學(xué)技術(shù)研究所浙江省信息安全行業(yè)

協(xié)會(huì).政府部門如何做好網(wǎng)絡(luò)信息安全檢查工作[J].中國(guó)信息化，2014.23：107-112

[2] 知道創(chuàng)宇有限公司.2015年中國(guó)互聯(lián)網(wǎng)網(wǎng)站安全報(bào)告.http：

//www.isc.org.cn/zxzx/xhdt/listinfo-31793，2016.4.3.

[3] 奇虎360科技有限公司.2015年中國(guó)網(wǎng)站安全報(bào)告http：//

zt.#/1101061855.php？dtid=1101062368&did=1101536490，2016.6.1.

[4] Ross Anderso著.齊寧韓志文劉國(guó)萍譯.信息安全工程（第2

版）.清華大學(xué)出版社，2012.

[5] 沈笑慧，鮑克，劉曉莉.浙江省電子信息產(chǎn)品檢驗(yàn)所.政務(wù)云信

息安全淺析[J].計(jì)算機(jī)時(shí)代，2016.7：24-27