系統論視角下的社會網站安全管理

王勛

摘 要： 把社會網站安全管理看作一項系統工程，利用系統科學的觀點、原理和方法，從網站相關方、監管部門、黑客、安全人才、安全企業等方面對我國社會網站安全管理的現狀、問題及原因進行系統分析，最后利用系統論提出網站安全管理的宏觀策略建議。

關鍵詞： 社會網站； 安全管理； 系統論； 策略

中圖分類號：N949 文獻標志碼：A 文章編號：1006-8228（2018）02-48-04

Abstract： The paper considers the security management of social website as a systematic project. It adopts scientific approaches， theories and methods to systematically analyze the status quo of the security management of social website in China， its problems and its reasons in terms of website related parties， regulators， hackers， security talents and security companies. And then it puts forward some macroscopic strategic suggestions using system theory to address issues in the security management of social website.

Key words： social website； security management； system theory； strategy

0 引言

網站作為政府機構發布信息的載體、企業形象宣傳的窗口和公眾獲取信息的重要渠道，已深刻融入到政治、經濟、社會生活的各個方面。根據《中國互聯網站發展狀況及其安全報告（2017）》顯示，截至2016年12月底，中國網站總量達到475.4萬余個，同比年度凈增長48.7萬余個，其中社會網站占比約為95%[1-2]。社會網站指的是除黨政機關、事業單位、國有企業等政府相關網站之外的其他網站，如企業網站、社會團體網站、個人網站等。

1 我國社會網站安全現狀

隨著網站數量的劇增，網站安全問題日益突出，集中表現在政府機關、事業單位、公司企業網站頻繁遭受非法攻擊，導致機密信息被竊取、用戶數據泄露，造成巨大經濟損失，惡劣社會影響。在國外，如美國大選候選人希拉里的郵件泄露，直接影響到美國大選的進程；雅虎兩次賬戶信息泄露，涉及約15億的個人賬戶，致使美國電信運營商威瑞森48億美元收購雅虎計劃擱置。在國內，我國免疫規劃系統網絡被惡意入侵，20萬兒童信息被竊取并在網上公開售賣；高考的考生信息泄露間接奪去即將步入大學的女學生徐玉玉的生命[1]。網站安全問題儼然成為關系國家安全利益、社會和諧穩定、企業生存發展、群眾切身利益的重大問題。

網站安全管理的最終目的是為確保在一個網站環境里信息的存在安全（保密性、完整性）和使用安全（可用性、可控性）[3]。

目前依托于國家出臺的《網絡安全法》、《關于加強黨政機關網站安全管理的通知》、《信息安全等級保護管理辦法》、《中華人民共和國計算機信息系統安全保護條例》等文件，經監管部門、安全服務公司及網站相關單位共同努力，政府類網站安全管理已走上正軌，各責任主體安全意識增強，初步形成了主動防御、積極應對、扎實措施的良好氛圍，較大幅度地提升了網站安全監測、防護、預警、響應、恢復和抗擊能力。

但與此同時，由于社會網站相較于政府類網站數量更巨大、類型更豐富、情況更復雜，對其的安全管理遠不如政府類網站，尤其是中小型社會網站仍存在極大安全隱患。因此，社會網站的安全管理已成為當前亟需深入研究并盡快找到解決方案的現實課題。

2 社會網站安全管理存在問題及原因分析

為了剖析社會網站安全管理中存在問題的原因并尋求相應的優化對策，本文以系統論中系統是由各相互聯系相互作用的部分組成的原理出發，從網站相關方、監管方、黑客、安全服務公司的角度，對存在的問題進行細致分析。

2.1 網站相關方的認知盲區和制約因素

⑴ 網站安全意識淡薄

首先，安全意識未融入到立項過程。對網站經營者來說，網站的生存是第一要務。經統計網站平均生存周期13個月，2016全年停辦網站68.2萬個[1]。因此網站經營者關注重點落在網站內容是否合法規、網站訪問是否正常、用戶體驗是否便利等直接影響網站生存的關鍵因素上，對網站安全的認識比較缺乏，甚至認為網站安全問題無關大局，從而在思想上選擇性地忽視網站安全，造成投入不足、管理不到位的局面。

其次，安全意識未融入到開發過程。從網站開發者角度出發，其專注于網站功能開發、整體布局和穩定性，往往忽視程序的安全性和對網站安全測試的必要性。

第三，安全意識未融入到運維過程。從網站運維者角度出發，其主要負責計算機網絡系統的日常維護和管理，關注重點在系統軟硬件的安裝、升級、保管、維護上，往往忽視漏洞檢測及修補。第四，安全意識未融入到使用過程。網站用戶按不同權限可劃分為管理員、內部用戶、外部用戶等，用戶往往關注于網站功能的使用，而忽視網站訪問環境的安全性和賬號的安全性，同時用戶也不可避免地存在一些誤操作影響網站安全。

最后，從上到下普遍存在僥幸心理。認為網站受攻擊的概率很小，甚至不會被攻擊。認為即使網站被攻破，實際損失也不大。認為即使造成安全事件也不會被處罰，就算有處罰也不重。

⑵ 安全防護能力不強endprint

首先，社會網站，尤其是中小型社會網站，建設過程大多比較粗糙，大部分在功能上有缺陷，細節上有漏洞，導致網站本身安全性就不高。其次，網站安全既需初期一次性投入，如安全防護設備購置、安全公司評測，也需后期持續性投入，如安全防護設備更新、安全人才培養、員工安全意識培訓，因此對資金的要求比較高。而實際上社會網站經營者大多網絡安全資金預算不足，結果直接影響高水平安全人才的招聘錄用、先進安全防護設備的購置更新以及運維人才的進修培養，進而導致網站安全防護力量薄弱。第三，網站攻擊頻繁發生，攻擊方式日新月異，安全技術的發展總是滯后于攻擊技術的發展。

⑶ 網站安全政策不解

社會網站經營者由于關注的重點是在影響網站生存的關鍵因素上，對網站安全的認識比較缺乏，對包括《網絡安全法》、《信息安全等級保護管理辦法》、《中華人民共和國計算機信息系統安全保護條例》等在內的網絡安全相關政策法規中涉及網站的技術安全、管理安全、內容安全等方面的要求缺乏了解，同時往往也對相關處罰政策不了解。

2.2 監管方的關注重點和制約因素

⑴ 監管關注重點

首先，網信辦的《關于加強黨政機關網站安全管理的通知》以及各省市相關的文件重點指向都是加強政府相關網站安全管理。因此各地網站安全監管部門將主要精力放在政府類網站管理上，有針對性地開展專項行動，如《杭州市黨政機關、事業單位和國有企業互聯網網站安全專項整治行動實施方案》。因此監管部門對社會網站管理重視度相對較低，投入的精力相對較少。其次，監管部門雖然也對社會網站開展專項行動，如“凈網2016”專項行動、網址導航網站專項治理行動、“劍網2016”專項行動、“清朗”系列專項行動等，但此類行動的側重點是在網站的內容安全上，關注的是信息的使用安全，而對信息存在安全涉及的網站技術安全和網站管理安全關注較少。

⑵ 監管人員緊缺

網站安全主要監管落實方是公安網絡警察部門。網警人員編制較少，職能較多，包括管理、偵查、技術、建設等，分配在管理上的人員則更為緊缺。因人手緊缺，直接造成相關政策法規宣傳覆蓋面不夠廣泛、監管對象選擇必須要有側重點的局面。

⑶ 監管成本高

首先，據《中國互聯網站發展狀況及其安全報告（2017）》統計，2016年全年新開通的中國網站數量125.9萬個，每月平均新開通網站10.5萬，全年網站主辦者自行停辦的中國網站68.2萬個，平均每月自行停辦的網站5.7萬個，可見社會網站數量巨大、更新頻繁、情況復雜，監管工作量大難度高。其次，網站安全管理中涉及對網站的遠程檢測是通過第三方安全公司提供服務來推進，花銷巨大。第三，由于大部分縣區級網警部門人員少能力弱，只能有選擇地對部分網站做上門實地檢查。該過程也需第三方安全公司提供技術支撐，如給專管民警做技術業務培訓或派技術員陪同民警上門檢查。第四，針對遠程檢測或上門檢查發現存在問題的網站單位，分步驟下發安全隱患報告、先期整改通知書、行政處罰通知書，要求相關單位落實整改，出具整改說明后，監管人員再次上門復查，如還存在安全隱患，繼續整改直至沒有問題。由此可見，目前的監管機制下，耗費的時間成本、人力成本、財力成本很高。

2.3 黑客攻擊的特點

⑴ 攻擊門檻低

首先，互聯網上能夠輕易找到黑客軟件，只要掌握一定的計算機知識就可以對網站進行攻擊。其次，成熟的攻擊手段很多。近年來我國網站受到的威脅主要包括網頁篡改、網站后門、軟件漏洞、類型攻擊、網頁仿冒等類型，基于漏洞、病毒、未知威脅的APT攻擊、0Day攻擊日益增加。第三，網站攻擊黑數高。網站攻擊頻繁發生，但是被發現的或者有記錄的還不到10%，而其中造成安全事件被處罰的占比則更低。

⑵ 廣撒網

除少部分有明確攻擊目標的黑客外，大部分黑客采取的是廣撒網多撈魚策略，先期攻破各類安全性較低的網站服務器，種下木馬后門程序，以備不時之需。

⑶ 高危害

首先，各種形式的虛假信息、反動言論或商業廣告，導致網站用戶被欺騙/蒙蔽，造成網絡空間烏煙瘴氣，影響社會和諧、國家穩定。其次，如果是個別網友進行小規模的攻擊，一般影響不大。但如果攻擊者具備較高的水平，或者黑客聚集在一起向網站發動攻擊，將會對網站運行造成較大影響。

2.4 安全人才緊缺及安全公司的缺陷

⑴ 安全服務人才緊缺。安全技術是網站安全管理中關鍵一環，高級的安全防護需要高技術的安全人才。統計顯示近年來我國高校教育培養的信息安全及相關專業人才僅3萬余人，而網絡安全人才總需求量則超過70萬人，預計到2020年相關人才需求將增長到140萬，人才缺口巨大[4]。

⑵ 安全公司的缺陷。首先，攻和防是矛和盾的關系，做信息安全就是在做盾，做盾不能閉門造車，要看外面的矛怎么樣，相對開放的體系才知道到底能不能抵擋別人的攻擊。現在我國很多安全產品還是10年前的產品，防御技術和防御理念沒有跟隨攻擊進行提升，固守著‘入侵檢測、防火墻、防病毒老三樣，進行傳統防御，追求靜態的“絕對安全”，依靠發現威脅、分析威脅、處理威脅的滯后性防御思維，已經跟不上形勢發展。如何根據社會網站系統特點構筑定制型的動態防御亟需進一步研究。其次，除了少部分實力強勁的安全服務公司會考慮社會責任感和社會效益外，大部分安全服務公司考慮的是最小成本投入，獲取最大的名利收益，如金錢、榮譽、廣告等，其關注合作重點在政府相關網站和大型企業，而中小型企業和個人網站則常常被忽視。

3 社會網站安全管理的策略

從社會網站安全管理存在問題及原因分析可以看出，社會網站安全處于被動的封堵漏洞狀態，從上到下普遍存在僥幸心理，沒有形成主動防范、積極應對的全民意識，網站安全形勢嚴峻。為此利用系統論思想提出如下的策略建議。

3.1 從全局提高網站安全意識endprint

首先，政府要從全局整體出發，營造網站安全管理良好氛圍。其次，監管部門要全面考慮，樹立網站安全管理不僅只是政府相關網站管理的觀念。第三，加強網站相關方安全意識，樹立網站安全管理不僅僅在于運維管理中的觀念，還應在立項、開發、運維等網站生存全周期中始終樹立安全意識。第四，安全服務公司在關注合作政府類和大型企業網站的同時，不能忽視中小型企業和個人網站。

3.2 協同落實主體責任

首先，政府要開展廣泛研究，從宏觀頂層設計和整體謀劃角度，制定出切實可行和行之有效的政策法規。其次，監管部門要加強網站安全相關政策法規宣傳，嚴格網站的申請審核測試制度，對網站安全的整體態勢做出準確感知，對網站主體單位要做到監督檢查指導，同時對涉網違法犯罪要堅決打擊，對黑客群體和生態做好有效地管控。第三，網站主體單位要主動了解網站安全相關政策法規，據此構建本單位安全防護體系，達到規范要求，履行相關責任義務。第四，安全服務公司要主動開展最新安全技術研究，給政府、監管部門、網站主體單位提供智庫支撐、技術支持和安全服務。

3.3 注重管理對象的層次性

區分不同管理對象，從性質、規模、網站類型、建站方式維度構建管理對象的結構模型，如圖1所示。其中，性質維度分為：政府類（包括黨政機關、事業單位和國有企業）、社會類（包括公司企業、社會團體、個人）；規模維度分為：巨型、大型、中型、小型、微型，依據Alexa[5]排名中日均uv億、千萬、百萬、十萬節點劃分；網站類型維度分為：基礎應用類，商務交易類、網絡金融類、網絡娛樂類、公共服務類[6]；建站方式分為：托管、租用（虛擬主機租用、云服務器租用、物理服務器租用）、自建機房。

在總體規范要求下，根據網站的不同規模、不同服務類型、不同建站方式的結構性特點，從技術安全、管理安全、內容安全三個層面分類制定切實可行的個性化管理方案，實現像管理人員戶籍一樣管理社會網站。

4 結束語

通過多措并舉、多方參與、多樣分類，各責任主體積極履責，社會網站安全管理能有的放矢地進行，從根本上形成有法可依、監管有力、主動防御的良好局面，有效確保信息在一個網站環境里的存在安全和使用安全。

參考文獻（References）：

[1] 國家互聯網應急中心.中國互聯網站發展狀況及其安全報告[R].中國互聯網協會，2017.

[2] 國家統計局數據[EB/OL].[2017-12-20] http：//data.stats.gov.cn/easyquery.htm？cn=C01&zb=A010402&sj=2015.

[3] 劉云志.淺析計算機網絡安全技術及其存在的問題[J].信息系統工程，2012.2：73-74

[4] 人民網新聞[EB/OL].[2017-09-20] http：//bbs1.people.com.cn/post/129/1/2/164533077.html.

[5] Alexa[EB/OL].[2017-12-20]http：//www.alexa.cn/.

[6] CNNIC.第40次中國互聯網絡發展狀況統計報告[R].CNNIC，2017.endprint