芻議政府網站安全存在的問題及對策

文｜中國建筑科學院研究院建研科技股份有限公司 曲徑

當前，以計算機技術、現代通信技術、物聯網、大數據以及云計算等新技術為支撐的信息時代引領人類社會進入一個全新的時代，網絡空間成為信息時代的基本性標志，其安全狀態(tài)對社會公共安全以及社會穩(wěn)定、經濟發(fā)展影響重大。其中，政府網站的安全問題是社會安全的重要內容，直接關系到國家安全。當前，對政府網站安全構成威脅的各種因素越來越復雜多樣，政府網站所面臨的安全形勢日趨復雜，迫切需要采取措施加強政府網站安全。

1 政府網站信息安全面臨更加復雜的嚴峻形勢

1.1 現有安全保障機制體制不能滿足形勢發(fā)展需要。傳統的政府網站信息安全通常以機關行政管理機構+技術部門的模式形成保障機制，在信息化發(fā)展初期，此類做法能夠在短時間內集中政府優(yōu)質資源，少花錢多干事，解決了有沒有的問題，起到了信息化快速起步見成效的作用，有一定歷史積極意義，但是隨著信息社會的快速發(fā)展，安全形勢面臨日益復雜的局面，這種傳統模式已經不能滿足發(fā)展需求，主要表現為：

（1）行政部門的科層式管理與信息化扁平化要求的矛盾。傳統的行政機關管理以科層式管理模式為主，遇事逐層上報，逐級批準，信息化技術管理要求扁平化管理，即在一個平臺上可以同時進行多個層級的上報批準工作。現實中形成的行政管理與技術支持的兩張皮模式，導致工作效率低下，在遇到重大信息安全問題時，缺乏足夠靈敏的反應姿態(tài)。

（2）行政事業(yè)管理模式難以吸引和留住人才。網絡信息安全是當前高端頂尖的IT技術領域，需要高水平人才方可勝任。行政事業(yè)單位受人員編制、薪酬待遇、晉升制度的限制，與社會IT公司相比較，待遇偏低、技術人才地位不高、升遷機會不多，往往對人才缺乏足夠的吸引力，對現有人員也難以形成凝聚力，造成人才流失，嚴重影響技術水平，導致安全保障手段難以實現。

（3）行政加事業(yè)的管理機制難以在研發(fā)上形成優(yōu)勢。傳統的信息安全管理機制以能應對日常安全問題為訴求，沒有市場研發(fā)的壓力和動機，也缺乏資金的投入和人才的儲備，安全保障手段往往以社會上成熟的技術為主，在遇到新的攻擊手段和安全威脅時，往往束手無策，坐以待斃，不能很好的先發(fā)制人。

1.2 技術層面上挑戰(zhàn)日益加劇。國家互聯網應急中心在2016年12月發(fā)布的《中國互聯網站發(fā)展狀況及其安全報告（2016）》顯示，我國網站安全仍面臨更加復雜嚴峻的安全態(tài)勢。主要表現為：

（1）政府網站成為主要攻擊對象。政府網站在互聯網中成為主要的攻擊目標，其所受威脅主要來自有價值信息造竊取、業(yè)務系統遭到癱瘓性攻擊、WEB服務器遭受控制性攻擊等。當前，仿冒網頁、拒絕服務攻擊等形式已經形成成熟的地下產業(yè)鏈，而且這種產業(yè)鏈正呈增長的趨勢，網頁篡改、網站后門等攻擊事件頻發(fā)，黨政機關、科研機構、重要行業(yè)單位網站成為黑客組織的首選重點攻擊目標。

（2）植入后門等攻擊方式持續(xù)增加。數據表明，2015年我國有75028個網站被植入后門，與2014年相比增長86.7%，其中有3514個政府網站，較2014年增長130%。其中3.1萬余個境外IP地址通過植入后門對境內6.0萬余個網站實施遠程控制，境外控制端IP地址和所控制境內網站數量分別較2014年增長63%和82%，而位于美國的4361個IP地址通過植入后門控制了我國境內11245個網站，入侵網站數量居首位。

（3）服務器安全面臨面臨未知攻擊增多。針對政府網站Web服務器的各類各類網頁木馬、主流病毒、ARP攻擊、Web攻擊（抗CC）、DDOS攻擊、暴力破解、惡意篡改與刪除注冊表行為增多。

2 政府網站信息安全應對措施

針對以上安全形勢問題，政府網站信息安全形勢不容樂觀，采取必要措施加強安全已經刻不容緩。網絡空間安全問題在黨的十八大報告中，首次作為三個國家安全之一提出，我們有必要采取有效措施，構建高效、科學、技術安全的網絡安全體系，以保障國家安全。

2.1 構建科學的管理體制，完善管理機制。首先，政府相關部門需要創(chuàng)新觀點和思想，對技術保障部門不宜用行政手段現在管理，行政機關更多地把握原則性問題，提出安全保障要求，具體的技術實施方面應當適當放權，交由有技術實力的技術部門具體實施，實現原則管理與日常技術性支持相融合的高效科學管理機制。其次，政府的技術部門應當加強自身組織建設，引入IT科技公司管理機制模式，創(chuàng)建人才培養(yǎng)、人才激勵機制，培養(yǎng)人才、鍛煉人才，做到留得住、用得上、用得好、有發(fā)展，形成良好的人才培養(yǎng)、鍛煉、提升、發(fā)展良性循環(huán)模式，練好內功，擔當起安全保障重任。

2.2 技術上可以采取政府購買服務的模式，面向社會引入高水平安全保障力量，提升安全保障品質。傳統的政府網站信息安全保障體制和機制已經不適應形勢發(fā)展需要，可在安全保障方面采取政府采購的模式，面向社會引入技術實力雄厚的專業(yè)安全技術公司提供服務，以提升安全信息保障水平。此舉既可以解決技術滯后的致命難題，同時又因為采購服務，不需在人才方面大力投入，節(jié)省了資金，從而可以實現用有限的經費做更多事情、更好事情的目標。

2.3 產業(yè)化運作，打造社會化信息安全新局面。相對社會企業(yè)而言，政府部門有相對較高的可信任度和影響力，安全信息技術提供商比較愿意跟政府打交道，以求在一方站穩(wěn)腳跟、開拓市場。政府部門可以利用自身優(yōu)勢，深入研究本地信息安全形勢和安全保障市場，選擇有實力、技術力量雄厚的龍頭企業(yè)，形成戰(zhàn)略合作伙伴關系，培育安全信息產業(yè)實現產業(yè)的本地化轉化，幫助企業(yè)開拓市場、帶動地方經濟發(fā)展的同時，有效解決自身的信息安全需求。

2.4 完善人才機構，形成長效人才機制。任何事業(yè)的成功離不開人才，進入21世紀后人才的重要性日益呈現，重視人才、培養(yǎng)人才、留住人才、發(fā)展人才最終才能發(fā)展事業(yè)。應進一步加強人才教育、培養(yǎng)方面的工作，提升整個社會的重視人才的氛圍，為政府信息安全乃至社會發(fā)展集聚人才、儲備人才，準備力量應當將來的各種挑戰(zhàn)。

3 結束語

信息時代最大的特征是網絡空間的快速增長和虛擬與現實的不斷融合，信息安全已經成為影響社會發(fā)展國家安全的重中之重，保障信息安全任重道遠，需要我們從思想觀念上不斷創(chuàng)新，在工作機制和體制上不斷創(chuàng)新，在人才培養(yǎng)使用模式上不斷創(chuàng)新，以創(chuàng)新不息奮斗不停的精神為實現中國夢貢獻力量。