政府門戶網站信息安全技術體系研究

摘 要：本文從理論上構建了政府門戶網站信息安全保障體系。主要包括制定網站信息安全技術保障的總體規劃、積極應用各種安全技術產品和建立基于公眾應用需求的容災級別和容災系統。保障體系的提出，不僅為政府門戶網站信息安全保障提供了可行性借鑒，而且大大豐富了公共管理的理論體系。

關鍵詞：政府門戶網站；信息安全；保障；體系

政府門戶網站建設在帶來高效率和便利的同時，也帶來了威脅、風險和責任。目前在全球范圍內，計算機病毒、各種有害信息、系統安全漏洞和網絡違法犯罪等政府網站信息安全問題日漸突出，不僅制約了信息化的持續、健康發展，也給國家的經濟建設和人們的社會生活帶來了許多負面影響。如何保障政府門戶網站信息安全，已經成為世界各國政府主管部門、企業界和廣大用戶共同面臨的一個嚴峻挑戰。

一、制定網站信息安全技術保障的總體規劃

構建政府門戶網站信息安全技術保障體系，首先需要有關部門和單位對信息安全問題高度重視，并制定網站信息安全技術保障的總體規劃，防范信息安全風險。主要應做好以下幾個方面的工作：一是要加強政府門戶網站的總體規劃和統一建設，避免多頭建設和重復建設，保證網絡整體性，避免網絡架構缺陷引起的安全問題。二是統一信息安全技術標準與規范，各級政府門戶網站信息安全建設都應按照這個標準和規范進行實施，以確保信息整體安全。三是加強信息資源安全等級標準的規劃和建設，明確不同信息的服務對象和公開范圍。既要避免出現保密過度，限制政務信息化應用的推廣和發展的情況，又要避免保密不夠，造成電子政務信息泄密情況的發生。在確保信息安全的基礎上，最大限度地保證信息共享。四是在信息安全方面，既要考慮省、市級政府的信息服務對象著重于政府部門和相關的領導等的特點，又要考慮到縣、區級政府及相關部門的信息服務對象著重于群眾或居民的特點。

二、積極應用各種安全技術產品

目前，在市場上比較流行，而又能夠代表未來發展方向的安全產品大致有以下幾類：

1.防火墻。防火墻在某種意義上可以說是一種訪問控制產品。它在內部網絡與不安全的外部網絡之間設置障礙，阻止外界對內部資源的非法訪問，防止內部對外部的不安全訪問。主要技術有：包過濾技術，應用網關技術，代理服務技術。防火墻能較為有效地防止黑客利用不安全的服務對內部網絡的攻擊，并且能夠實現數據流的監控、過濾、記錄和報告功能，較好地隔斷內部網絡與外部網絡的連接。但其本身可能存在安全問題，也可能會是一個潛在的瓶頸。

2.入侵檢測系統。入侵檢測的軟件與硬件的組合便是入侵檢測系統。入侵檢測技術作為防火墻的合理補充，是主動保護自己免受攻擊的一種網絡安全技術。即通過對計算機網絡或計算機系統中的若干關鍵點收集的信息進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。與其他安全產品不同，入侵檢測系統需要更多的智能，它可以將得到的數據進行分析，并得出有用的結果。

3.近年來，門戶網站防篡改系統也出現了不少，可使系統修改檢測時間縮小到毫秒級，而且，由于采用的事件觸發技術，系統監測基本不額外占占用系統資源。目前市場上主流的網頁防篡改技術主要包括如下幾項技術：(1)外掛掃描技術。外掛掃描技術是采用從外部逐個掃描網頁文件的方式來判斷對網頁的非法修改，采用這種技術一般會有一定的時間間隔，而且網站文件越多，時間間隔越長，不能保證被黑客修改的網頁不被訪問者看到。(2)核心內嵌技術。采用核心內嵌技術的防篡改系統，其篡改檢測模塊運行于Web服務器軟件內部，與Web服務器無縫結合。每次Web服務器對外發送網頁時，系統都進行網頁防篡改檢測，從而能夠實時地確保每個網頁的真實性。(3)事件觸發技術。事件觸發技術是把系統的篡改檢測模塊嵌入到操作系統內核，因此所有的文件非法變更事件都會被事件觸發器無延遲的獲取，該機制完全區別于掃描技術和核心內嵌技術，不需要與備份庫對比分析的繁瑣過程，因此可以做到監控的實時性和系統資源低占用率。是當前比較先進的一種防篡改檢測技術。(4)CDN技術。CDN即內容分發，主服務器針對不同地區、不同電信運營商，將瀏覽內容鏡像到多個服務器上，如果一個服務器受到攻擊，則由其它鏡像來接管，網友可從最近的節點上獲取數據。

三、建立基于公眾應用需求的容災級別和容災系統

各種自然災害和突發事件都有可能導致各網站信息系統的癱瘓造成災難性后果。根據公眾對系統需求的緊急程度、應急恒復時間來劃分，容災備份通常分為以下三種級別。

1.最高級別容災系統。建立異地鏡像系統，即同時對系統軟、硬件進行備份，并且系統的數據實現遠程類實時備份。該級別的容災系統可確保原系統在完全崩潰的情況下，系統能夠立刻替代原系統響應服務。

2.一般級別容災系統。對動態系統數據進行定期完整備份和增量備份，并同時進行異地備份處理。網站系統服務平臺確保在指定的時間內搭建完成，然后提供與原系統基本相同的系統服務(與系統實時數據差別主要由增量備份的時間間隔決定，每次增量備份間時間間隔越短，備份數據與實時數據差別越小)。

3.最低級別容災系統。僅定期進行系統數據的完全冷備份，適用于僅要求系統可恢復且系統數據變化不大的情況下。

一般來說，政府門戶網站中的政策、公告等辦事指南系統和信息查詢、報名等公眾應用服務系統，都可以考慮采取以上備份方式。而公用信息發布系統數據相對來說一般是靜態的，采用一般或者更低級別的容災系統也是可以的。