政府門戶網站安全保障體系建設分析

摘要：由于政府門戶網站涉及許多關鍵數據，且影響范圍廣泛，利用（數據）價值較高，導致其信息安全存在一定的風險性，需要相關人員積極梳理問題，做好防范。本文主要分析了政府門戶網站的風險產生的影響因素，并就對應安全保障體系的建立提出建議，以供參考。

關鍵詞：政府門戶網站;安全保障體系;管理機制

前言：政府門戶網站的主要功能在于更新最新政策、公開有關信息、征集群眾建議、促進招商引資，其不僅構建了綜合性的百姓服務平臺，突顯了地方政府的職能，還發布、吸收、中轉了許多有價值的信息數據，對其自身工作的優化、升級管理的展開都具有關鍵性的意義[1]。也正因政府門戶網站的強大功能性和較高的信息價值，相關人員才更應該對其安全防護工作加以重視，從當前的網絡安全問題著手分析，為政府門戶網站建立周密的安全保障體系。

一、政府門戶網站風險因素分析

1.網站安全現狀及問題

隨著網絡技術的發展，網絡安全問題也逐漸成為人們最為關注的話題之一，常見的網絡風險有病毒攻擊、黑客入侵，不僅對網絡用戶的網頁瀏覽造成困擾，還有可能對一些官方網站的安全帶來威脅。政府門戶網站主要以公共信息發布，群眾意見搜集和各項數據分析為指向來運行，其中不乏有機密信息、重要數據，一旦流出將會為政府工作的展開帶來較大的阻礙，但仍有不法分子為了獲取利益采取先進手段對其展開攻擊，且隨著網絡技術的不斷優化，這些攻擊手段也得到了進一步的升級。當前政府門戶網站的安全問題主要具有以下特點：攻擊手段隱秘;攻擊面擴大（從網絡層發展至應用層）;攻擊動機清晰（原來的網絡攻擊，黑客的目的各異，或為證明自己、或為揚名、或為個人喜好，當下的網絡攻擊基本為獲取利益）;讓相關管理人員不得不提高警惕。

2.主要風險因素分析

導致政府門戶網站存在安全問題的因素主要可以分為兩方面：一是管理人員（部門）管理意識不足，一是管理手段、技術對不斷更新的風險內容缺乏適用性。首先，政府門戶網站的管理人員在網站風險監測與控制方面的專業度不強，有的雖然具備一定的理論識別能力，但實踐經驗方面要較專業人士低，常導致漏洞發現不及時或漏洞修復延期[2];加之對應的網站管理機制不夠完善，相應的制度缺乏專業、合理的分工，應急預案的建設應對范圍狹窄，甚至有些管理人員對應急預案的建設缺乏周密的考慮;此外，相關培訓機制創設的不足也側面反映了管理人員對門戶網站風險抵御認識不足的問題。其次，網站安全保護相關技術與配套服務意識的欠缺也導致了一系列安全性問題。隨著網絡技術的不斷發展，網絡釣魚、SQL注入與跨站腳本攻擊等網絡入侵方式也不斷升級，而一些地區的政府門戶網站管理人員在技術上仍存在欠缺，對于安全問題的抵御只限定于幾個方面（基本停留在網絡攻擊抵御上，對應用端的風險防御較少涉及），對新的入侵手段則拿不出較具針對性的措施，為不法分子留下了可乘之機。

二、政府門戶網站安全體系建立

1.完善管理機制

基于以上對政府門戶網站風險因素的分析，可知對應安全保障體系的建立必須從管理人員的意識、工作開展模式和自身能力水平的提升著手，通過對管理機制的完善，為政府門戶網站地長效安全運行奠定基礎。第一步是制度的確立。相關管理人員應對各級政府門戶網站的工作流程進行調研分析，汲取經驗，并結合自身網站業務實際，完善日常安全管理的有關規范，如接口設計、網站運維等的細則設定，保證職責明確、分工合理且具有較高的可操作性[3]。第二步是應急預案的構設。所謂應急預案必須結合防護措施與恢復機制，從內外兩方面將風險影響降至最低水平，以保證網站使用的連續性。而為減小對網站正常應用的影響，其應急預應可在瀏覽人數較少的工作日展開，并將演練結果作為應急措施的改進依據。第三步是管理人員培訓。基于一些管理人員安全意識不高和風險防控水平不足的問題，有關部門還應定期對管理人員進行培訓，使其思想、能力的提升與網絡技術的發展保持一致。

2.強化技術保障

對應當前網絡入侵技術的升級，政府門戶網站安全管理工作也要在技術層面加強改進，多方面考慮問題，擴大防御領域，優化防御角度，全方位攔截、打擊非法入侵問題。本著合規性、威脅性原則，政府門戶網站系統的安全防護體系應在以下內容上進行設置：（1）劃分安全區域;根據網站各系統服務器功能設置不同安全區域，設定訪問控制列表（ACL），以對不同區域進行隔離及控制。（2）保證操作系統安全;秉承控制不必要服務軟件、插件的應用以及及時更新系統補丁原則，對操作系統開啟、運行、連接、數據存儲等操作進行規范，加強系統鞏固，有效提升對蠕蟲、未知病毒等的抵御。（3）增設防篡改系統;于網站應用服務器上部署防篡改系統，開展對頁面文件的監控，以隨時保證網站的可靠性。（4）提高入侵防范;布置入侵防范系統（IPS），實現對外部入侵的審查，對可判定的攻擊行為進行屏蔽。（5）訪問身份鑒別;對網站系統平臺、操作終端、管理平臺分別建立身份識別機制，各項系統操作默認成管理員賬戶、密碼，完善操作員、審計員和管理員的職位、職能設定，對有不良操作記錄的賬戶進行定期清理。（6）訪問限制;通過引進系統管理員、安全管理員與安全審計員的管理角色，實行訪問權限分離，以避免賬號誤用的情況發生，且三個管理員相互制約，可共同促進服務系統的安全性。

3.提升運維服務

政府門戶網站也屬于開放服務平臺，需要運維人員對用戶進行服務，因此網站安全性的提升還要從服務角度展開設計。首先要充分考慮運維服務的成熟開放性、安全可行性以及后期可維護性;其次，運維服務要對監控目標進行確立，以令其服務開展更具針對性，基于對網站安全問題的防御條件分析，其安全監控的目標應符合完整性、可用性及保密性原則，使其監控效果更加顯著;最后，運維服務中對風險問題的監控應對文字、頁面框架、圖片、鏈接內容進行監控，主要審核敏感字、疑似篡改、網站DNS劫持，從性能角度而言，則是對頁面下載實踐、網站訪問時間進行監控，并配備預警機制，如預警鏈接、報警電話、郵箱等。

結語：政府門戶網站的功能性、價值性毋庸置疑，相關人員應當在豐富網站功能、提升網站服務之前保障網站的安全性。根據當前網絡安全現狀可知，一些改進了的網站入侵手段隱蔽性有所提升。因而相關安全防護體系的建立要從多角度考慮，不斷完善更新，在管理、技術和服務上都做出升級，以令政府門戶網站為人民生活的便利提供更好的促進。

參考文獻：

[1]崔穎.政府門戶網站的網絡安全分析[J].電腦知識與技術，2019，15（21）：38-39.

[2]宋瑞鳳.基層政府門戶網站安全防護的對策探討[J].中國新通信，2019，21（23）：136-137.

[3]倪雄，宗志鋒，徐文君.政府門戶網站安全保障體系設計研究[J].網絡安全技術與應用，2018（03）：85-86.

作者簡介：楊丹，1982.11，男;民族：漢族;籍貫：浙江省湖州市;職稱：中級;學歷：本科;研究方向：職業技能鑒定信息化建設。