政府網站安全監管機制研究

◎戴東情 毛圣兵 張瑞

1.南京海關工業產品檢測中心 2.中國網絡安全審查技術與認證中心

一、引言

近年來，我國對政府網站安全的建設格外重視，并取得了不錯的成績，但在網站構建和實施的過程當中，還存在著很多問題。諸如在網站信息安全方面，各地政府網站還存在著很大的漏洞和其他很多問題。在冊的信息度還不夠高，信息化管理手段還比較薄弱，法律制度不健全，公民信息安全意識還是比較薄弱。同時，政府網站面臨著諸多網絡安全攻擊問題，諸如特洛伊木馬、后門和其他攻擊手段等，許多危害始終威脅著政府網站的發展[1]。

隨著通信網絡快速發展，中國寬帶接入數量達3.96 億戶，躍居世界第一，占用戶總數的91%。但是，隨著信息技術的高速發展，公民的網絡安全意識、政府的法律法規、網絡安全基礎設施等方面有諸多亟需解決的問題。如為解決僵尸網站、睡眠網站等問題，國務院辦公廳對全國政府網站按季度進行了普查，普查結果如圖1 所示，2019 年全國政府網站總數如圖2 所示。通過普查，了解了國家政府網站的基本情況，并解決了問題匯報不及時、信息不準確、政府不響應、措施不切實際等問題[2]。從圖1 可以看出，2019 年每季度的政府網站的合格率是逐步上升的。而據圖2 所示，2019 年每季度的全國政府網站總數有所減少。

圖1 2019年政府網站普查合格率

為落實全國網絡安全和信息化工作會議要求，國務院辦公廳政務信息政務公開辦公室對全國政府網站的漏洞進行了評估，評估結果如圖3 所示。評估數據顯示，在231 個政府網站中，有90%以上都存在漏洞，現在政府網站信息安全的形勢十分嚴峻，從2014 年到2019 年，網站所存在漏洞數不斷增加。

二、政府網站信息安全管理中的問題

圖2 2019年全國政府網站總數

圖3 2014-2019年新漏洞數量

如今，政府網站存在嚴峻的信息安全問題的原因有很多，本節重點從重應用輕安全、缺乏信息安全專業人員、關鍵技術嚴重依賴國外、缺乏制度化的安全管理四個方面逐一分析和闡述。

（一）重應用輕安全

目前，政府網站建設最主要的問題就是“重應用輕安全”。此現象有兩個主要原因。首先，政府網站的建設單位通常更加關注功能要求和性能要求，卻忽視了安全性問題。在招標文件中，很少看到安全要求。造成這種現象的另一個重要原因是：政府網站面臨的信息安全問題并不是評估政府網站的重要指標之一。從測試中心所提出的網站性能評估指標來看，都是從信息公開和業務應用的角度制定的，而網站安全所占比例為2%[3]。缺乏安全基準和安全計劃似乎是問題的根本原因。

（二）缺乏信息安全專業人員

實際上，政府網站的管理員主要是軟件開發人員或運維人員，而網絡信息安全是一個高度專業化的課題，現有的管理員無法適應當前網絡安全需求[4]。目前，盡管一些高校已經有意識地去開設信息網絡安全相關課程，但由于培養機制不完善，我國現在仍處于優秀的信息安全理論和技術人才缺乏的狀態。一方面，由于起步晚，培訓周期長，因此畢業的學生很少。另一方面，相對于實踐，學校更注重理論教育，畢業生無法適應實際工作要求。

（三）關鍵技術嚴重依賴國外

近幾年，我國在網絡核心技術發展和產業支撐能力上有了很大的提升，但相較于西方發達國家，差距仍然較大。要加強政府網絡安全技術攻關，加大技術投入。我國政府網站的操作系統、數據庫等信息基礎設施國外產品占比較高。如網絡運行在美國思科公司的網絡設備上，計算機通用處理芯片是Intel 公司的，操作系統是Microsoft 的，數據庫是美國IBM、Oracle 等供應商的。顯然，我國政府網站核心技術都是基于國外廠商的，這對我國政府網站的信息安全構成了嚴重的威脅。以操作系統為例，由于微軟處于壟斷地位，可以迫使用戶升級，升級到Windows 8 后，將無法卸載，這對Microsoft 來說是可信的，但對我們而言不是。盡管使用這些設備通常不會造成問題，但在關鍵時刻，我們不能排除對手國家通過遠程無線控制系統啟動信息盜竊、數據刪除和系統攻擊的可能性，這可能使我們的重要信息系統癱瘓。

（四）缺乏制度化的安全管理

根據調查走訪，目前各省市的政府網站由于缺乏數據支撐暫時還沒有建立完善的安全管理制度。在網站運營管理中，都缺乏有效的安全檢查和響應保護體系[5]。同時，不完善的管理機制使網絡管理員或內部人員可以輕松匿名地進行犯罪活動。根據調查，由于缺乏高質量的安全管理，許多網絡犯罪行為都來自內部聯網計算機。

三、關于加強政府網站信息安全管理的建議

針對當前我國政府網站存在的信息安全問題，本節重點從成立信息安全管理部門、使用自有品牌的操作系統、建立完善的信息安全管理體系三方面提出建議。

（一）成立信息安全管理部門

在各級政府網站的建設和管理過程中，建立專門的網絡信息安全管理部門，這是保障我國政府網站安全的重中之重。聘請網絡空間安全專業人才，對政府網站的規劃設計、信息安全等級保護的實施、信息安全管理、升級改造、漏洞檢測等，進行有計劃、有措施、有步驟的建設和運維。

（二）使用自有品牌的操作系統

經過多年的發展，我國的自主品牌操作系統有了一定的基礎，應鼓勵政府網站建設使用自主品牌的操作系統。目前，國有自主品牌操作系統主要是基于Linux 的二次開發系統，代表性產品包括GDLC，Deepin，isoft，WiOS，StartOS 等。另外，我國政府在采購環節中應為自主品牌操作系統提供更多支持。

（三）建立完善的信息安全管理體系

建立一個完善的信息安全管理體系，對于當今政府網站發展有著重要意義。如圖4 所示，一個完整的網站信息安全管理體系應該包含四部分：系統的總體方法、安全管理的組織系統、網絡部署統一的安全策略和所對應的安全操作規范[6]。其中，總體方法是參照國內外信息系統安全管理標準來制定的，并且要求符合國家信息系統安全保護規定和信息系統安全水平保護的基本要求[7]。安全管理的組織系統目的在于提高信息系統安全管理責任，使每一個部門都明確自己的安全管理任務，并對整個組織在系統信息安全管理工作的分配起促進作用。網絡部署統一安全策略，要求從機房安全、網絡安全、系統安全、應用程序安全、數據安全、應急管理、安全審計、安全測試等多個方面進行。并基于身份、規則和角色詳細闡述了行動策略[8]。所對應的網站安全運行規范，其內容包括網站安全管理方法、計算機網絡安全管理規定、互聯網信息發布保密系統、機房安全管理系統等方面。建立該系統的目的是集成網站安全設計、網站安全基礎架構、網站安全運營和維護服務。

圖4 信息安全管理系統架構

四、結論

綜上所述，加強政府網站信息安全是促進當前網絡發展、提高政府與群眾緊密程度的重要一環。這需要政府在建立和完善安全管理組織制度體系的情況下，同時要提升其相應的工作運行機制、管理體系、應急機制、技術保護體系、監督機制和培訓機制。針對當前政府網站的發展情況來看，我們對信息安全與政府網站發展之間的關系還需要有一個正確的態度，明白安全是前提，發展是最終目標。我們必須在確保安全的條件下推進政府網站的快速發展。