政府門戶網站 亟需注意信息安全保護問題

政府門戶網站是政務公開和服務型政府兩大主導思想在落實過程中所必須憑借的重要平臺，在未來的電子政務規劃中，政府門戶網站必將占有非常重要的地位。

政府門戶網站是政務公開和服務型政府兩大主導思想在落實過程中所必須憑借的重要平臺，在未來的電子政務規劃中，政府門戶網站必將占有非常重要的地位。目前，我國正在逐步推進信息安全等級保護工作，這一國家層面上的信息安全標準已成為未來在電子政務安全建設中的重要保障。

安全需求

政府門戶網站的地位非常重要，但其安全形勢卻不容樂觀。據統計，僅在2007年，就有3000余家政府門戶網站發生過網頁被篡改的事件，嚴重影響了政府的對外形象。隨著電子政務建設的逐步推進，政府門戶網站所承載業務的數量在逐步增加，網站被入侵或篡改所帶來的危害將不僅限于政府形象的損害，甚至會造成巨大的經濟損失，或者嚴重的社會問題。對于政府網站所面臨的主要風險，筆者總結如下：

（一）頁面被篡改。政府門戶網站作為政府形象的標志之一，常常是一些不法分子的重點攻擊對象，政府門戶網站一旦被篡改，常常會引發較大的影響，嚴重時甚至會造成政治事件。其中頁面被篡改的一種方式就是“網頁掛馬”，網頁內容表面上沒有任何異常，卻可能被偷偷地掛上了木馬程序。“網頁掛馬”雖然不會給網站帶來直接損害，但卻會給瀏覽者帶來損失。更重要的是，政府網站一旦被掛馬，其權威性和公信力將會受到嚴重打擊，最終給電子政務的普及帶來重大影響。

（二）在線業務被攻擊。對企業、公眾提供在線服務已成為政府門戶網站的重要功能，這些服務一旦受到拒絕就會面臨癱瘓或終止，對業務的正常運轉必然造成極大的影響，很可能會造成經濟損失，嚴重時甚至會影響社會穩定。

（三）數據被竊取。在線業務系統中總是需要保存一些企業、公眾的相關資料，這些資料往往涉及到企業機密和個人隱私，一旦泄露就會造成企業或個人的利益受損，很可能會給網站帶來嚴重的法律糾紛。

（四）內網被侵入。政府門戶網站雖然和政府辦公網絡之間設有隔離設備，但也會被一些手段高明的黑客入侵，從而盜取一些敏感材料，勢必會對電子政務的應用系統造成破壞。

以上總結僅僅是對政府門戶網站主要安全需求的簡單總結，事實上，政府門戶網站要想達到真正意義上的安全，亟需建立一個完善細致的安全防護體系。不僅要在技術上建立事前、事中和事后的縱深防御系統，還需要建立良好的信息安全管理制度。

解決方案

出于對信息安全的重視，國家已經出臺了信息安全等級保護的一系列文件和標準，用以促進和指導信息安全的建設。2007年6月22日，公安部與國家保密局、密碼管理局、國務院信息辦聯合會簽并印發了《信息安全等級保護管理辦法》（公通字[2007]43號），確定了信息安全等級保護制度的基本內容及各項工作要求。2007年7月16日，四部委聯合會簽并下發了《關于開展全國重要信息系統安全等級保護定級工作的通知》（公信安[2007]861號），就定級范圍、定級工作主要內容、定級工作要求等事項進行了部署。

《信息安全等級保護管理辦法》與《關于開展全國重要信息系統安全等級保護定級工作的通知》的出臺，標志著信息安全等級保護工作在全國范圍內已經進入到推廣實施的階段。其中根據《信息系統安全等級保護實施指南》中所給出的等級保護的建設過程，可以看到等級保護并不是一個一勞永逸的孤立項目，而是一個連續不斷、周而復始的過程。

而要實現這樣一個過程，就必須以安全服務為主線，從門戶網站的安全評估、差距評估等咨詢性服務開始，再延伸到整體安全規劃、解決方案設計等設計性服務，最終以運維支持、應急響應等持續性的技術服務為政府門戶網站提供一個符合等級保護精神的安全保障體系。

等級保護

政府門戶網站安全定級和備案階段的安全服務主要包括等級保護導入、信息系統輔助定級、協助用戶完成備案等部分。這些安全服務的目標是通過培訓使有關人員了解等級保護的內容和過程，并按照定級指南要求對門戶網站進行定級，最終幫助用戶完成備案工作。

（一）安全規劃設計階段。安全規劃設計階段的安全服務主要包括安全需求導出、信息系統風險評估、等級保護差距評估、安全建設整體規劃和安全基線指標設計等。安全需求導出服務的目標主要是為門戶網站導出真正的安全需求，不同網站的規模、訪問量、部署模式、政務公開信息的頻度、在線業務的重要程度都各不相同，其安全需求也就各有不同。

只有對網站業務進行詳細的調研和分析，才能給出符合實際的安全需求分析。信息系統風險評估服務、等級保護差距評估服務是結合風險評估的方法和理論，圍繞著系統所承載的具體業務，通過風險評估的方法評估系統的風險狀況，并根據系統的安全措施是否符合相應等級的安全要求來判斷系統與所定等級的差距。

（二）安全實施階段。安全實施階段是等級保護得以落地的主要階段。安全實施階段中主要包括安全解決方案設計、安全技術體系改造、安全管理體系改造、崗位培訓和應急響應演練等安全服務。

安全解決方案設計是如何將門戶網站業務安全目標和系統等級安全規劃落實的關鍵過程。安全技術體系改造主要包括物理層、網絡層、應用層、主機層和數據層5個層面，安全管理體系包括安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理5個方面。在技術體系和管理系統完成安全改造后，必須對崗位培訓和應急響應進行演練，使技術措施和管理流程得到充分的檢驗和鍛煉。

（三）安全運行管理階段。安全服務提供商能夠為客戶提供專業的安全服務，但在日常運行工作中，安全服務提供商不可能代替客戶做所有的事情。為保證客戶內部管理人員的安全管理工作和專業水平，基于安全指標設計的配置核查安全服務會使客戶的內部管理人員根據等級保護標準進行量化的安全指標，使用自動化工具去執行內部核查，這在很大程度上保證了日常運行管理的專業程度。在安全運行管理階段，還需要安全服務提供商提供階段性的風險評估服務、安全應急響應服務等來協助客戶通過等級保護安全檢查工作。