“互聯網+”背景下甘肅省縣區級政府網站安全防護分析*

潘俊芳，侯振興

（蘭州財經大學信息工程學院，甘肅 蘭州 730020）

隨著互聯網技術的發展，政府網站是信息化發展下政府履行職責的重要平臺[1]。一些政府網站安全防護較為薄弱，給網絡犯罪分子提供了可乘之機。根據國家互聯網應急中心（CNCERT）發布的數據顯示，僅在2022 年上半年，我國就有166 起政府網站被篡改事件和90 起網站被植入后門事件發生，安全事件頻發。一旦造成信息被竊取或篡改，將影響社會穩定，甚至危及國家安全，政府網站安全面臨前所未有的挑戰，因此需要加強對政府網站的安全防護。

隨著電子政務的不斷發展，政府網站的安全防護也越來越受到學術界的關注。目前針對政府網站安全防護的相關研究一般在政府網站安全防護現狀、風險等方面。有學者認為政府網站安全面臨著核心技術不強、政府網站被攻擊和人們的安全意識不高等問題[2]，同時注入漏洞、“跨站腳本”漏洞和網站防護能力弱等對政府網站安全防護也存在一定威脅[3]；網站管理機制及制度不健全、防范措施及防護設備不完善[4]、自身監管力度不足[5]、攻擊行為難發現等因素也影響政府網站的安全。關于政府網站的安全防護措施部分，一方面，有學者提出可使用一種從操作系統加固、網絡流量防護、網站內容防護和安全態勢感知等方面設計的主機系統——“網防G01”，對政府網站服務器進行防護[6]，或者從網站基礎設施角度，通過配置Web 應用防火墻和網頁防篡改系統，形成全方位的安全防護[7]；另一方面，有學者從管理視角認為加強網站監管、提高政府工作人員的安全意識和不斷更新安全風險防范措施等，可以提高政府網站的防護水平[8]。

通過整理政府網站安全防護的相關文獻，發現缺乏具體的區域性案例的研究。縣區級政府是包含縣級市政府、縣級政府和區級政府的基層行政單位，是連接省市級政府和基層群眾的紐帶[9]，是改善民生的根本，是更好地服務群眾的基礎。縣區級政府網站是縣區政府向所屬縣區民眾提供直接的在線辦事信息及服務的重要途徑。如果基層政府網站的安全做不好，就無法保障人民信息財產安全。只有保障了基層政府網站的防護，才能更好地實現國家治理體系現代化，因此，做好縣區級政府網站安全防護至關重要。基于此，本文以甘肅省縣區級政府網站為研究對象，深入分析其建設現狀和面臨的安全問題，并提出對應的策略，旨在為甘肅省縣區級政府網站安全防護提供實質性參考。

1 甘肅省縣區級政府網站建設現狀

建設和運營政府網站是為了更好地整合和利用各種信息資源，向大眾提供更便捷的服務，建立優質網絡環境。現階段我國的政府部門大多都擁有自己的門戶網站，可以在網站上發布政府工作動態、政務服務、政民互動、要聞等內容；主要面向社會各界，信息更加公開透明，一定程度上還能吸引開發商投資[10]。

甘肅省有86 個縣區級區劃。根據省政府辦公廳發布的通報顯示，2022 年3 月甘肅省正在運行的政府網站有524家，其中縣區級政府網站172家，占全省數量的32.8%；而到了2022 年6月，甘肅省正在運行的政府網站382家，其中縣區級政府網站86家，占全省的22.5%。這3 個月期間，由于某些原因有141 家政府網站下線，有1 家移除監管范圍，運行中的網站數量減少了約27%，縣區級政府網站數量減少了50%。縣區級政府網站的數量大幅度減少，其在全省政府網站中的占比也在降低。

根據調研，甘肅省政府網站建設存在的問題主要表現在以下兩方面：一是政府網站覆蓋率高，但建設水平參差不齊。有約27%的政府網站下線，而縣級政府網站減少了約16%，占減少總量的約60%，這說明政府的監管變得更嚴格，多數縣區級政府網站建設不達標，網站建設整體處于初級階段。二是目前國家大力推進基礎設施IPv6 改造，使用IPv6 可以加密網絡層數據并檢驗訪問IP 報文，使政府網站具有更高的安全性。部分縣區級政府網站還未完成IPv6 改造，已完成IPv6 改造的部分政府網站，其二、三級頁面還不能支持IPv6 的訪問，上下級頁面之間的連通也不夠流暢，經常出現卡頓情況。通過分析甘肅省縣區級政府網站建設現狀，可以發現其政府網站建設目前還處于初級階段，存在較大的問題。

2 甘肅省縣區級政府網站面臨的問題及成因分析

甘肅省縣區級政府網站在基礎建設方面存在的缺陷也暴露了很多其在防護方面存在的問題。

1）網站外部頻繁遭受攻擊，網站防護能力弱。隨著互聯網技術的發展和網絡的普及，攻擊網站的技術也變得平民化，攻擊工具普遍且易使用，攻擊方法也變得更加復雜，政府網站的安全防護也變得越來越困難。政府網站目前面臨的威脅有：計算機病毒、網頁篡改、DDoS 和網站后門等。網站后門是指黑客在入侵服務器成功后留下了后門程序，黑客可以對服務器進行遠程操作，修改數據。網頁篡改是指惡意修改和破壞網頁內容，使網站不能正常工作。如果黑客要進行網頁篡改，一般需要提前知道網站的漏洞，提前在網站中植入后門，最終獲得網站控制權。根據CNCERT 發布的數據，2016年—2021 年我國被篡改政府網站數量統計（見圖1）顯示我國每年都會遭遇大量的網頁篡改安全事件；根據2021 年7 月—2022 年6 月的統計數據可知（見圖2），我國政府網站在一年間共遭遇354 起網頁篡改和132 起網站后門引起的安全事件。安全事件的頻繁發生說明政府網站漏洞過多，網站安全體系的基礎建設薄弱，防護能力較差。

圖1 2016—2021 年我國境內被篡改政府網站數量

圖2 2021 年7 月—2022 年6 月我國政府網站遭遇網頁篡改和網站后門事件數量

2）缺乏核心技術，網站維護能力差。政府網站的安全問題必須依托技術解決。政府通信技術水平和國家信息基礎設施水平密切相關，而缺乏自主技術支撐是政府網站防護過程中面臨的巨大威脅之一。我國通信行業起步較晚，缺乏對核心技術的掌控，如芯片、服務器和操作系統等安全產品需要從國外購買，“受制于人”的情況較為嚴重。近幾年，我國通信行業在網絡硬件方面發展迅速，在一些網絡產品方面擁有自主知識產權，但服務器、計算機存儲介質和通信設備等硬件設施還是要依賴進口。另外，我國在前幾年發生的Intel 公司奔騰Ⅲ序列號事件和微軟公司操作系統NSA 密鑰事件中得到警醒，這些年我國在處理器和系統軟件方面存在技術依賴，如果發生此類安全事件，政府網站將處于被動狀態。一方面，由于縣區政府部門缺乏靈活的招聘機制和就業福利，未能吸引和容納高素質的安全管理人員，政府網站運行管理技術短缺，許多政府將網站的建設與管理交給設備供應商負責，沒有配備相關技術人員，不能保證政府網站的日常運行和維護；另一方面，由于甘肅省地理位置和經濟狀況的限制，甘肅省縣區從事網站安全管理的人員相對較少，相關管理人員技術水平參差不齊，可能無法及時應對一些安全問題。

3）政府部門監管不到位，安全風險意識不高。由于甘肅省縣區級政府結構不健全，許多縣區級政府部門公開招標網站安全防護服務項目，但卻沒有安全防護管理機構，導致網站的責任體制不夠健全，對治理的監察也不到位，使得政府網站處于不設防狀態。加上一些縣區政府部門沒有落實網站監測措施，不能做到對網站的實時檢查、監測，所以當網站出現故障時，管理人員不能及時發現并處理，網站有隨時被攻擊的風險。此外，政府部門缺乏對網站安全預防的重視。很多網站遭受攻擊主要是因為網站的安全性較差，而網站安全性可以通過網站安全評估來提高。由于一些縣區級政府缺乏能夠統一調配的機構，也沒有形成成套的安全規范，缺乏對安全評估的重視，網站中存在的問題不斷增多，政府網站的安全性變得越來越差，攻擊網站就會變得易如反掌。甘肅省縣區級政府網站大都擁有安全監測預警機制，但沒有嚴格規定評估次數。近幾年的報告顯示，甘谷縣政府網站每年安全評估次數多達25次，少至6次，沒有固定的標準。有些政府網站的評估次數更少，甚至為0。部分縣區級政府網站沒有進行過應急演練，這些都表明政府部門對其網站安全防護不重視，導致網站的安全性降低，網站變得越來越“脆弱”。

3 “互聯網+”背景下縣區級政府網站安全防護策略

本文通過對甘肅省縣區級政府網站建設存在的問題進行分析，提出以下幾點措施建議，希望能為甘肅省縣區級政府網站的防護作出貢獻。

1）提升網站核心技術，加強網站安全防護。強化政府網站安全的最基本措施就是通過提升政府網站的核心技術來提高網站防御能力。縣區級政府要積極引入國產安全產品，通過使用國產安全產品來提高網站防御水平，減少使用外國產品帶來的安全隱患。一方面，政府可以聯合當地知名的IT 企業研發網站相應的軟硬件產品，促進網站新技術開發，提高網站裝備水平；另一方面，政府要加強對通信技術行業的扶持力度，幫助從業者盡快研發擁有自主產權的通信技術和安全產品，特別是加強服務器和芯片技術的研發。此外，縣區級政府要完善網站安全防護措施，提高網站的物理防御能力。一方面，除了配備基礎的殺毒軟件、防火墻和入侵防御系統外，還要針對網頁篡改、網站后門、DDoS等威脅，配備DDoS 防御和網頁防篡改系統，實現對網站的全方位預警、防護；另一方面，要了解最新的行業信息，避免網站更替、新型漏洞和病毒、攻擊手段給網站安全帶來威脅。

2）加強人才引進，組建高水平隊伍。政府網站的防護需要專業的技術人員和管理人員負責，而專業人員的匱乏是縣區級政府網站防護的一個重大難題。從事網站安全防護的人員需要有較高的專業素質和技術水平，但目前甘肅省內從事安全防護的專業人員相對較少，專業能力參差不齊。政府可以提供補貼，讓企業組織網站安全防護的相關專業人員進行集中培訓，全面提高從業人員的專業水平。此外，政府還需要制定相關政策，吸引更多專業人員到甘肅省從事網站安全防護行業。一方面，對于如何吸引外省人才，政府可以提高對專業人才的就業和創業補貼，在落戶、教育和醫療保障等方面提供優惠，讓他們沒有后顧之憂，安心創業；另一方面，政府可以通過對研發出創新科技成果的人才提供獎勵、政府補貼等方式，提高該行業從業人員的福利待遇，還可以通過推薦優秀人才擔任“兩代表一委員”的方式，給予人才政治鼓勵，從而吸引更多人才從事這個行業。政府需要從實際需求出發，從網站建設、防護和管理方面考慮，招收更多的優秀專業人才，并通過年度考核獎勵機制激勵從業人員提高自身專業素質和工作能力。

3）增強政府的監管力度，提高政府部門的安全風險意識。做好政府網站的防護不僅要從技術方面提高，還要注重管理。首先，政府部門要完善部門結構，健全責任體系，做到部門各司其職、網站專人專責，做好網站的安全評估和應急演練；其次，要完善網絡監測措施，部署Cloud Insight 等監控系統，做到實時檢查、檢測網站，以便能及時發現并處理網站出現的故障；最后，還需要健全管理制度，制定完備的安全規范，從預防的角度解決網站安全防護難題。對于風險意識培養，一方面，政府部門要加強自身對預防安全風險的重視，通過公開講座向工作人員講述預防的重要性，提高其安全風險意識；另一方面，政府部門應根據不同縣區政府網站的實際情況，制定安全評估標準，要求他們嚴格執行，定期評估和演練。

4 結束語

文章基于甘肅省縣區級政府網站的建設現狀、安全問題及成因，提出提升網站核心技術、加強人才引進和提高政府安全風險意識等措施，以保障政府網站的持續安全運行。