探討我國(guó)現(xiàn)階段政府網(wǎng)站安全漏洞分析與相關(guān)建議

文/張蕊,天津市信息中心

探討我國(guó)現(xiàn)階段政府網(wǎng)站安全漏洞分析與相關(guān)建議

文/張蕊,天津市信息中心

隨著計(jì)算機(jī)技術(shù)與互聯(lián)網(wǎng)技術(shù)的發(fā)展，互聯(lián)網(wǎng)在各個(gè)行業(yè)都得到了應(yīng)用。互聯(lián)網(wǎng)技術(shù)在政府部門(mén)也得到了應(yīng)用，政府部門(mén)創(chuàng)建政府網(wǎng)站有著樹(shù)立政府形象、宣傳當(dāng)?shù)芈糜钨Y源等的功能。本文簡(jiǎn)述了政府網(wǎng)站的安全情況，并提出了相關(guān)的措施，希望對(duì)保證政府網(wǎng)站安全有所幫助。

現(xiàn)階段；政府網(wǎng)站；安全漏洞分析；相關(guān)建議

引言

隨著計(jì)算機(jī)技術(shù)與互聯(lián)網(wǎng)技術(shù)的發(fā)展，政府部門(mén)也建立了專(zhuān)門(mén)的政府網(wǎng)站來(lái)樹(shù)立政府形象、宣傳當(dāng)?shù)芈糜钨Y源，人們與企業(yè)可以通過(guò)政府網(wǎng)站來(lái)獲得相關(guān)的服務(wù)與信息。政府網(wǎng)站的影響力與公信力都比較高，有些犯罪分子會(huì)攻擊政府網(wǎng)站。因此，政府部門(mén)應(yīng)該加強(qiáng)對(duì)政府網(wǎng)站信息安全的保護(hù)。

1 政府網(wǎng)站的安全情況

1.1 安全意識(shí)較低

有些部門(mén)領(lǐng)導(dǎo)并不重視網(wǎng)絡(luò)安全，這就使得相關(guān)的管理人員的責(zé)任意識(shí)較弱，并不重視網(wǎng)絡(luò)安全，并且沒(méi)有充分的了解網(wǎng)絡(luò)安全事件會(huì)造成的后果。

1.2 管理機(jī)制不規(guī)范

各級(jí)政府網(wǎng)站管理機(jī)制并不規(guī)范，有些政府網(wǎng)站是由信息中心管理的，而有些則是由辦公室、秘書(shū)部門(mén)、技術(shù)部門(mén)等進(jìn)行管理。還有一些會(huì)交由專(zhuān)業(yè)的公司來(lái)進(jìn)行管理。

1.3 沒(méi)有建立完善的管理制度

沒(méi)有建立完善的管理制度來(lái)應(yīng)對(duì)安全事故，沒(méi)有建立完善的安全運(yùn)維結(jié)構(gòu)。雖然很多部門(mén)都使用了防火墻、防病毒等的安全防護(hù)技術(shù)，但是使用預(yù)防網(wǎng)絡(luò)攻擊、防篡改等的安全技術(shù)的部門(mén)比較少。

1.4 專(zhuān)業(yè)人才較少

現(xiàn)階段，我國(guó)政府部門(mén)缺少專(zhuān)門(mén)的網(wǎng)站安全技術(shù)管理人才。在政府部門(mén)管理人員通常是身兼數(shù)職的，相關(guān)的安全技術(shù)人員也比較少。很多的部門(mén)沒(méi)有安排專(zhuān)門(mén)的人員來(lái)進(jìn)行網(wǎng)站安全的管理工作，網(wǎng)站是由專(zhuān)業(yè)的公司來(lái)管理的。

2 網(wǎng)站漏洞問(wèn)題

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，黑客開(kāi)始攻擊Web應(yīng)用。依據(jù)相關(guān)的調(diào)查我們可以發(fā)現(xiàn)，大部分的信息安全攻擊是在Web應(yīng)用。而Web應(yīng)用安全方面的問(wèn)題主要在代碼安全與運(yùn)維安全兩個(gè)方面。

2.1 代碼安全方面的漏洞

2.1.1 注入

這種攻擊情況是發(fā)生在不可信數(shù)據(jù)是查詢(xún)信息或者是命令的一部分的時(shí)候，其在發(fā)送給解釋器之后，就會(huì)發(fā)生攻擊情況。

2.1.2 身份認(rèn)證與會(huì)話管理失效

通常情況下，在身份認(rèn)證與會(huì)話管理等相關(guān)的功能不能實(shí)現(xiàn)的時(shí)候，黑客會(huì)采用破壞密碼、密鑰或者是利用其它的漏洞，來(lái)冒充其它有授權(quán)用戶(hù)的身份來(lái)訪問(wèn)網(wǎng)站。

2.1.3 腳本攻擊

在Web 應(yīng)用受到了不可信的數(shù)據(jù)，并且沒(méi)有進(jìn)行轉(zhuǎn)義或者是驗(yàn)證的情況下，就把其發(fā)給了瀏覽器，就會(huì)造成跨站腳本攻擊的情況。

2.1.4 引用不安全的對(duì)象

在技術(shù)人員暴露出一個(gè)內(nèi)部對(duì)象引用的時(shí)候，就會(huì)產(chǎn)生不安全的對(duì)象引用。在沒(méi)有進(jìn)行訪問(wèn)控制或者是其他的保護(hù)技術(shù)的時(shí)候，黑客可以利用這些引用來(lái)訪問(wèn)沒(méi)有經(jīng)過(guò)授權(quán)的數(shù)據(jù)信息。

2.1.5 沒(méi)有對(duì)功能級(jí)的訪問(wèn)進(jìn)行控制

我們可以在UI中見(jiàn)到Web 應(yīng)用的功能，驗(yàn)證功能級(jí)別的訪問(wèn)是有權(quán)限的。在Web 應(yīng)用進(jìn)行每一個(gè)功能訪問(wèn)的過(guò)程中，服務(wù)器都會(huì)執(zhí)行相關(guān)的控制檢測(cè)。假如方位請(qǐng)求沒(méi)有經(jīng)過(guò)驗(yàn)證，黑客就可以利用偽造的方位請(qǐng)求在沒(méi)有經(jīng)過(guò)授權(quán)的時(shí)候訪問(wèn)相關(guān)的功能。

2.2 運(yùn)維安全方面的漏洞

2.2.1 安全配置的問(wèn)題

為了保證網(wǎng)站安全應(yīng)該合理的配置應(yīng)用程序、服務(wù)器、框架數(shù)據(jù)庫(kù)服務(wù)器、Web 服務(wù)器等。而這些設(shè)備默認(rèn)的配置并不夠安全，因而，應(yīng)該對(duì)設(shè)備進(jìn)行定義并維護(hù)。

2.2.2 使用有漏洞的組件

組件是以全部的權(quán)限運(yùn)行的。假如使用含有漏洞的組件，將會(huì)導(dǎo)致數(shù)據(jù)丟失或者是服務(wù)器接管的問(wèn)題。使用含有漏洞的組件會(huì)損害應(yīng)用的防御系統(tǒng)，并且可能會(huì)導(dǎo)致系統(tǒng)被黑客攻擊。

3 政府網(wǎng)站安全措施

3.1 安全技術(shù)方面的措施

3.1.1 規(guī)范建設(shè)網(wǎng)站過(guò)程當(dāng)中的編碼安全

在網(wǎng)站安全問(wèn)題中，代碼漏洞是最常見(jiàn)的，在各級(jí)政府部門(mén)建設(shè)網(wǎng)站或者是變更網(wǎng)站的時(shí)候，技術(shù)人員應(yīng)該依據(jù)相關(guān)的原則來(lái)進(jìn)行建設(shè)工作，主要包含以下幾點(diǎn)：第一，檢測(cè)、編制并過(guò)濾用戶(hù)的輸入與輸出；第二，采取數(shù)據(jù)庫(kù)參數(shù)化檢查的方法來(lái)預(yù)防出現(xiàn)諸如漏洞的問(wèn)題；第三，要使用身份認(rèn)證的方法，包含了驗(yàn)證碼與登錄失敗鎖定等的方法，以免被黑客暴力解決口令；第四，使用加密傳輸、存儲(chǔ)的方法來(lái)傳輸并存儲(chǔ)網(wǎng)站的業(yè)務(wù)數(shù)據(jù)與用戶(hù)的信息等的數(shù)據(jù)；第五，嚴(yán)格控制沒(méi)有經(jīng)過(guò)授權(quán)用戶(hù)的訪問(wèn)；第六，要確保文件上傳與下載的安全。

3.1.2 加強(qiáng)對(duì)網(wǎng)站技術(shù)設(shè)備的安全保護(hù)

網(wǎng)站是由數(shù)據(jù)庫(kù)、網(wǎng)站服務(wù)器、中間件等基礎(chǔ)設(shè)施來(lái)支持的，這些設(shè)施的安全情況會(huì)直接影響網(wǎng)站的安全，主要的安全防護(hù)方法為：第一，禁止網(wǎng)站系統(tǒng)對(duì)外開(kāi)放與業(yè)務(wù)無(wú)關(guān)額的服務(wù)或者是斷口，有效的降低安全危機(jī)；第二，建立相關(guān)的安全防護(hù)措施，要及時(shí)發(fā)現(xiàn)并切斷外部的工具；第三，應(yīng)該定期加固基礎(chǔ)設(shè)施的安全措施；第四，要嚴(yán)格的限制網(wǎng)站所在區(qū)域及其它網(wǎng)絡(luò)區(qū)域的訪問(wèn)控制制度，以免黑客利用網(wǎng)站區(qū)域來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。

3.2 安全管理方面的措施

3.2.1 制定安全驗(yàn)收流程

在網(wǎng)站上線或者是在進(jìn)行重大的改變之前應(yīng)該對(duì)網(wǎng)站進(jìn)行相關(guān)的安全檢測(cè)，在檢測(cè)合格之后才可以上線，要確保相關(guān)的漏洞在測(cè)試的過(guò)程中可以被修復(fù)，以免在網(wǎng)站上線之后還存在著安全問(wèn)題。

3.2.2 定期對(duì)網(wǎng)站進(jìn)行安全檢測(cè)

在對(duì)網(wǎng)站進(jìn)行日常更新、運(yùn)行維護(hù)與調(diào)整、攻擊方法更新等都會(huì)給網(wǎng)站造成安全隱患。因此，應(yīng)該定期對(duì)網(wǎng)站進(jìn)行安全掃描、測(cè)試等工作，并及時(shí)的發(fā)現(xiàn)并修復(fù)相關(guān)的漏洞。

3.2.3 建立完善的應(yīng)急制度

要建立完善的應(yīng)急流程制度，主要包含了建立獲得安全漏洞與時(shí)間的路徑、劃分安全事件的種類(lèi)、應(yīng)急操作流程與事后的監(jiān)管等，要定期的演練應(yīng)急預(yù)案，確保應(yīng)急響應(yīng)預(yù)案是可行的。

4 結(jié)語(yǔ)

綜上所述，政府網(wǎng)站正常運(yùn)行可以有效的維護(hù)政府部門(mén)的形象，并加強(qiáng)和人民的溝通。而怎樣建設(shè)與管理政府網(wǎng)站，確保網(wǎng)站的安全，就應(yīng)該受到建設(shè)人員與管理人員的重視。政府部門(mén)應(yīng)該采取有效的措施來(lái)確保網(wǎng)站信息的安全，保證政府網(wǎng)站可以安全運(yùn)行。

[1]高銘駿.計(jì)算機(jī)系統(tǒng)安全漏洞探討[J].科技視界,2015(5)：73-74.

[2]鐘文建.淺析網(wǎng)站安全隱患及應(yīng)對(duì)策略[J].中小企業(yè)管理與科技,2015(4)：314-316.

[3]毛黎.試論計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞及安全防范建議[J].工業(yè),2016(10)：00256-00256.