采用集約型模式全面增強(qiáng)政府網(wǎng)站的安全防范能力

近年來，慈溪市針對信息技術(shù)及其應(yīng)用高速發(fā)展形勢下政府網(wǎng)站安全問題愈加嚴(yán)峻的實(shí)際，在嚴(yán)格落實(shí)信息安全各項(xiàng)制度和技術(shù)措施的同時(shí)，積極推進(jìn)實(shí)施政府網(wǎng)站建設(shè)從分散型、集中型模式向集約型模式轉(zhuǎn)變，實(shí)現(xiàn)了政府網(wǎng)站網(wǎng)絡(luò)級、硬件級和軟件級的集約型安全防范，有效地提升了政府網(wǎng)站的安全防范能力。目前，該市已全面摒棄了政府網(wǎng)站發(fā)展初期其建設(shè)和安全防范均由各單位自行委托IT公司實(shí)施，以及前些年政府網(wǎng)站統(tǒng)一由該市信息中心托管而軟件級安全防范仍委托IT公司承擔(dān)的做法，通過推進(jìn)政府網(wǎng)站群項(xiàng)目建設(shè)，全市105個(gè)機(jī)關(guān)單位網(wǎng)站均按集約型模式依托網(wǎng)站群軟硬件統(tǒng)一平臺建設(shè)，其網(wǎng)絡(luò)級、硬件級和軟件級安全防范均由該市信息中心統(tǒng)一部署、管理，全面增強(qiáng)了政府網(wǎng)站的安全防范能力。

一、集約網(wǎng)絡(luò)級、硬件級建設(shè)，增強(qiáng)政府網(wǎng)站技術(shù)上的安全防范。即針對原分散型建設(shè)模式下各黨政機(jī)關(guān)網(wǎng)站均由各單位自行委托IT公司建設(shè)，其網(wǎng)站無論從網(wǎng)絡(luò)級、硬件級和軟件級均存在較大安全隱患的情況，從2004年開始，推行集中型模式，由該市信息中心為各黨政機(jī)關(guān)網(wǎng)站提供托管服務(wù)，竭力避免有些單位將其網(wǎng)站整體托管給私人或者較小規(guī)模IT公司而產(chǎn)生的網(wǎng)絡(luò)級和硬件級安全問題。至2007年底，有55個(gè)機(jī)關(guān)單位將網(wǎng)站托管至部署在電子政務(wù)外網(wǎng)公眾服務(wù)區(qū)的該市信息中心4臺服務(wù)器。經(jīng)過2007年底開始的政府網(wǎng)站群項(xiàng)目建設(shè)，至目前，該市105個(gè)機(jī)關(guān)單位網(wǎng)站為公眾提供信息瀏覽和信息提交的服務(wù)均部署在電子政務(wù)外網(wǎng)公眾服務(wù)區(qū)的2臺服務(wù)器上，其他2臺數(shù)據(jù)庫服務(wù)器、1臺應(yīng)用服務(wù)器和1臺備份服務(wù)器則部署于安全等級更高的資源共享區(qū)。該市信息中心逐年投入資金150余萬元，配備了千兆防火墻系統(tǒng)、千兆入侵檢測系統(tǒng)、上網(wǎng)行為日志審計(jì)系統(tǒng)、網(wǎng)絡(luò)負(fù)載均衡系統(tǒng)、防病毒系統(tǒng)、補(bǔ)丁升級系統(tǒng)等，集約用于政府網(wǎng)站的網(wǎng)絡(luò)級和硬件級安全防范。今年，又針對政府網(wǎng)站訪問不暢的實(shí)際，投入資金30余萬元，購置了網(wǎng)絡(luò)流量控制設(shè)備，成倍加大了政府網(wǎng)站訪問帶寬，增強(qiáng)了政府網(wǎng)站的網(wǎng)絡(luò)級和硬件級安全防范能力，提高了政府網(wǎng)站的使用效率。

二、集約軟件級建設(shè)，進(jìn)一步增強(qiáng)政府網(wǎng)站技術(shù)上的安全防范。即針對前幾年集中型建設(shè)模式下網(wǎng)絡(luò)級和硬件級安全防范已得到增強(qiáng)，但由于網(wǎng)站軟件仍由各IT公司編制，其軟件級尤其是應(yīng)用軟件級安全仍然存在較大隱患的情況，2007年底開始的政府網(wǎng)站群項(xiàng)目建設(shè)，要求全市政府網(wǎng)站不僅要依托統(tǒng)一的網(wǎng)絡(luò)和硬件平臺，還必須依托統(tǒng)一的軟件平臺。經(jīng)過近二年的努力，已有105個(gè)機(jī)關(guān)單位網(wǎng)站依托了網(wǎng)站群軟件統(tǒng)一平臺建設(shè)，軟件級的安全防范由該市信息中心統(tǒng)一實(shí)施。該市信息中心投入200余萬元資金，配備了網(wǎng)站內(nèi)容發(fā)布應(yīng)用軟件、網(wǎng)站信息交互應(yīng)用軟件、主頁防篡改軟件、數(shù)據(jù)備份軟件和網(wǎng)站運(yùn)行動態(tài)監(jiān)控軟件等，特別是配備網(wǎng)站運(yùn)行動態(tài)監(jiān)控軟件后，網(wǎng)站各級管理員借助該系統(tǒng)，即能第一時(shí)間收到網(wǎng)站檢測一旦異常而自動發(fā)給的短信，并迅速采取相應(yīng)措施。

三、集約技術(shù)服務(wù)，全面增強(qiáng)政府網(wǎng)站技術(shù)上的安全防范。即針對目前政府網(wǎng)站集約型建設(shè)模式下已進(jìn)一步增強(qiáng)了網(wǎng)絡(luò)級、硬件級和軟件級的安全防范，但由于信息技術(shù)發(fā)展日新月異，今天已經(jīng)是很安全的防范在明天也許不太安全甚至很不安全的情況，該市信息中心委托專業(yè)的網(wǎng)絡(luò)安全服務(wù)公司，對政府網(wǎng)站開展每季度一次的全面安全檢測加固工作，以便能更有針對性做好日常的安全防范，全面增強(qiáng)政府網(wǎng)站的安全防范能力。例如在2009年一季度的檢測加固中，該市信息中心發(fā)現(xiàn)了省公安廳通報(bào)的網(wǎng)站XSS漏洞，找到了漏洞產(chǎn)生的原因和解決辦法，采取了對該漏洞進(jìn)行日常監(jiān)控的處置方案。2009年9月，該市信息中心協(xié)調(diào)網(wǎng)絡(luò)安全服務(wù)公司，對政府網(wǎng)站進(jìn)行了國慶前的專項(xiàng)安全檢測加固工作，發(fā)現(xiàn)并改正了二個(gè)存在的漏洞隱患，制訂了進(jìn)一步強(qiáng)化針對XSS漏洞的日常監(jiān)控工作措施。

(作者單位:浙江省慈溪市府辦，慈溪市信息中心)