黨的十八大報(bào)告中首次將網(wǎng)絡(luò)空間安全作為三個(gè)國家安全之一提出來,網(wǎng)絡(luò)空間是信息時(shí)代的基本標(biāo)志,網(wǎng)絡(luò)空間安全正在成為影響國家安全,成為滲透、影響甚至決定其他領(lǐng)域發(fā)展和成敗的重要因素之一。加強(qiáng)政府網(wǎng)站安全建設(shè)刻不容緩,要著力構(gòu)建一個(gè)技術(shù)先進(jìn)、管理高效、安全可靠的政府網(wǎng)站安全保障體系。
當(dāng)前政府網(wǎng)站信息安全形勢日益嚴(yán)峻
國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2012我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》,報(bào)告顯示,2012年,我國境內(nèi)被暗中植入后門程序的網(wǎng)站有52324個(gè),其中,政府網(wǎng)站有3016個(gè),較2011年月均分別大幅增長213.7%和93.1%。2012年我國境內(nèi)被篡改網(wǎng)站數(shù)量為16388個(gè),較2011年的15443個(gè)略增6.1%。其中,境內(nèi)政府網(wǎng)站被篡改數(shù)量為1802個(gè),較2011年的1484個(gè)增長21.4%,占境內(nèi)全部被篡改網(wǎng)站數(shù)量的11.0%,從此項(xiàng)數(shù)據(jù)來看,我國政府網(wǎng)站面臨的安全形勢非常嚴(yán)峻,其面臨的主要風(fēng)險(xiǎn)從原來頁面被篡改、線業(yè)務(wù)被攻擊、數(shù)據(jù)被竊取、內(nèi)網(wǎng)被侵入的基礎(chǔ)上,近幾年來網(wǎng)站被攻擊主要呈現(xiàn)的新特點(diǎn):
一是攻擊者攻擊手段日益隱蔽。網(wǎng)絡(luò)罪犯將會(huì)選取一些知名、響應(yīng)不夠及時(shí)的網(wǎng)站,作為第一攻擊目標(biāo),而后利用從第一攻擊目標(biāo)上獲得的信息再去訪問最終的攻擊目標(biāo)。
二是攻擊者逐漸從網(wǎng)絡(luò)層攻擊轉(zhuǎn)向應(yīng)用層滲透和攻擊,這對Web應(yīng)用防護(hù)必將提出更為嚴(yán)峻的挑戰(zhàn)?,F(xiàn)階段的網(wǎng)站安全解決方案無一例外的把重點(diǎn)放在網(wǎng)絡(luò)安全層面,致使面臨應(yīng)用層攻擊發(fā)生時(shí),傳統(tǒng)的網(wǎng)絡(luò)防火墻、IDS/IPS等安全產(chǎn)品對此類攻擊的防御幾乎不起作用。
三是攻擊者的動(dòng)機(jī)從個(gè)人愛好或是揚(yáng)名到追求經(jīng)濟(jì)獲利的重大轉(zhuǎn)變。黑色產(chǎn)業(yè)鏈的形成與逐漸壯大已經(jīng)成為網(wǎng)絡(luò)安全必須面對的問題,部分不法分子為實(shí)現(xiàn)非法目的,不惜高價(jià)雇傭黑客修改、添加、刪除私人信息,使得此類政府網(wǎng)站易于成為黑客攻擊的對象。
哈爾濱市政府網(wǎng)站信息安全現(xiàn)存的問題
2012年,市專業(yè)安全檢測機(jī)構(gòu)對哈爾濱市政府部門網(wǎng)站進(jìn)行web應(yīng)用安全檢測,檢測評估報(bào)告表明,哈爾濱市政府各部門網(wǎng)站存在Web安全洞 1156 個(gè),其中緊急安全漏洞686個(gè),中危漏洞103個(gè),低危漏洞277個(gè),信息類漏洞90個(gè)。同年,市政府網(wǎng)站組織全市各區(qū)縣(市)政府和市政府各部門共69家網(wǎng)站測評,在網(wǎng)站安全檢測過程中發(fā)現(xiàn),5家網(wǎng)站關(guān)閉,21家網(wǎng)站掃描被攔截,43家網(wǎng)站存在安全漏洞,其中4家網(wǎng)站存在中危漏洞,39家網(wǎng)站存在高危漏洞,市政府部門網(wǎng)站漏洞占70%,區(qū)政府網(wǎng)站占14%,縣政府網(wǎng)站占16%。存在的漏洞多數(shù)為web安全漏洞,如sql盲注、跨站點(diǎn)腳本編制、鏈接注入、利用框架釣魚等,情況較為嚴(yán)重。
哈爾濱市政府網(wǎng)站存在的安全問題仍然不容樂觀,產(chǎn)生這些問題的主要原因有以下三點(diǎn)。
1.網(wǎng)站管理機(jī)制不健全
管理機(jī)制主要包括制度、機(jī)構(gòu)和人員三個(gè)方面,人員技術(shù)水平是否達(dá)到工作要求,是否把安全作為網(wǎng)站工作的重中之重來抓,制度是否落實(shí)到位,是否認(rèn)真執(zhí)行,都要靠健全的安全管理機(jī)制保障執(zhí)行。
目前,哈爾濱市政府各部門網(wǎng)站處于分散管理,僅有十幾家政府網(wǎng)站托管在市政府網(wǎng)站平臺(tái)統(tǒng)一管理,其余網(wǎng)站均自行維護(hù),由于部分網(wǎng)站缺乏專業(yè)網(wǎng)絡(luò)技術(shù)維護(hù)人員,網(wǎng)絡(luò)技術(shù)水平不一,管理不到位,加之沒有形成一套行之有效的監(jiān)管機(jī)制,導(dǎo)致網(wǎng)站出現(xiàn)安全問題不能及時(shí)處理和解決。
2.網(wǎng)站人員技術(shù)水平有限
信息技術(shù)飛速發(fā)展,黑客攻擊手段越來越高,網(wǎng)站工作人員技術(shù)水平與現(xiàn)時(shí)期工作要求還有一些差距,具體表現(xiàn)為:一是網(wǎng)絡(luò)維護(hù)人員在網(wǎng)絡(luò)通訊設(shè)備和網(wǎng)絡(luò)服務(wù)器配置上使用方法不當(dāng),導(dǎo)致網(wǎng)絡(luò)硬件被黑客攻擊;二是網(wǎng)站技術(shù)開發(fā)人員程序編寫不夠嚴(yán)密,導(dǎo)致應(yīng)用系統(tǒng)被侵襲利用;三是網(wǎng)站技術(shù)人員安全防范技術(shù)能力不夠,需要及時(shí)更新網(wǎng)絡(luò)安全知識和業(yè)務(wù)技能;四是網(wǎng)站資金投入較少,網(wǎng)絡(luò)硬件陳舊,軟件應(yīng)用新技術(shù)更新緩慢,不能適應(yīng)當(dāng)前網(wǎng)絡(luò)安全新形勢。
3.網(wǎng)站運(yùn)維人員安全意識薄弱
目前,哈爾濱市各部門政府網(wǎng)站還處于網(wǎng)站功能建設(shè)階段,很多部門重建設(shè)、輕維護(hù),重應(yīng)用、輕管理的現(xiàn)象比較嚴(yán)重,對網(wǎng)站功能建設(shè)要求較多,主要精力投入功能實(shí)現(xiàn)上,從而忽略了代碼質(zhì)量,垃圾代碼過多導(dǎo)致安全隱患問題。同時(shí),網(wǎng)絡(luò)維護(hù)人員、信息工作人員密碼安全意識薄弱,防控病毒意識不強(qiáng)等原因也給網(wǎng)站安全帶來極大風(fēng)險(xiǎn)。
構(gòu)建網(wǎng)站安全防護(hù)體系,保障政府網(wǎng)站安全運(yùn)行
針對上述政府網(wǎng)站面臨的嚴(yán)峻形勢和目前存在的主要安全問題,需要從涉及信息安全的人、管理、技術(shù)三個(gè)方面入手,要建立一個(gè)完善細(xì)致的安全防護(hù)體系,來保障政府網(wǎng)站平臺(tái)安全穩(wěn)定運(yùn)行。
1.加強(qiáng)政府網(wǎng)站安全工作組織領(lǐng)導(dǎo),提高責(zé)任意識
從哈爾濱市每年開展的政府網(wǎng)站績效考核工作可以看出,有相當(dāng)數(shù)量部門領(lǐng)導(dǎo)沒有把政府網(wǎng)站建設(shè)和安全管理工作作為一項(xiàng)重要工作來抓,存在重建設(shè)輕管理的問題。借鑒全國其他?。ㄊ校┑南冗M(jìn)經(jīng)驗(yàn),一是建議市政府將政府網(wǎng)站納入地方政府和部門績效考核體系,作為領(lǐng)導(dǎo)班子綜合考核評價(jià)的內(nèi)容之一,作為領(lǐng)導(dǎo)干部選拔任用的依據(jù)。二是要按照誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)的原則,強(qiáng)化管理和明確責(zé)任,確保政府網(wǎng)站安全管理工作落實(shí)到人,一層抓一層,做到網(wǎng)站管理不缺位,信息安全有保障。
2.建立健全政府網(wǎng)站安全管理制度,認(rèn)真貫徹執(zhí)行。
一是建立政府網(wǎng)站的安全管理制度體系,指導(dǎo)和制約網(wǎng)站安全建設(shè)和管理工作。網(wǎng)站出現(xiàn)相關(guān)問題時(shí),工作人員要快速向網(wǎng)站相關(guān)負(fù)責(zé)人反映,以便及時(shí)得到處理;二是建立網(wǎng)站日常巡檢制度,指定人員每日檢查網(wǎng)站運(yùn)行情況,及時(shí)發(fā)現(xiàn)并妥善解決存在的問題;三是建立具體負(fù)責(zé)人制度,對網(wǎng)站的網(wǎng)絡(luò)管理、數(shù)據(jù)庫服務(wù)維護(hù)、信息處理等實(shí)行誰主管誰負(fù)責(zé);四是建立節(jié)假日值班制度,做到信息及時(shí)更新,保證網(wǎng)站不間斷運(yùn)行;建立日志記錄備案制度,對網(wǎng)站日常工作要如實(shí)記錄,并作為技術(shù)管理檔案保存。
3.加強(qiáng)人才隊(duì)伍的培養(yǎng),統(tǒng)籌建立哈爾濱市應(yīng)急處理體系
一是加強(qiáng)政府網(wǎng)站安全管理培訓(xùn)。通過參加信息安全、信息技術(shù)、信息管理等方面的培訓(xùn),進(jìn)一步提高網(wǎng)站工作人員整體建設(shè)網(wǎng)站、管理網(wǎng)站的能力。二是強(qiáng)化技術(shù)支撐保障工作。成立哈爾濱市信息安全測評中心,為哈爾濱市黨政機(jī)關(guān)、企事業(yè)單位網(wǎng)站提供技術(shù)保障和技術(shù)支撐服務(wù)。三是建立政府網(wǎng)站專項(xiàng)應(yīng)急預(yù)案,以保證政府網(wǎng)站在事故發(fā)生時(shí)得到快速、及時(shí)處理。四是建立信息安全檢查監(jiān)督機(jī)制。依據(jù)已確立的技術(shù)法規(guī)、標(biāo)準(zhǔn)與制度,定期開展信息安全檢查工作,對檢查中發(fā)現(xiàn)的違規(guī)行為,按規(guī)定處罰相關(guān)責(zé)任人,對檢查中發(fā)現(xiàn)的安全問題和隱患,明確責(zé)任部門和責(zé)任人,限期整改。
4.統(tǒng)籌規(guī)劃政府網(wǎng)站群建設(shè),實(shí)施集約化管理。
積極推進(jìn)云模式下政府網(wǎng)站群的集約化建設(shè)。一是按照哈爾濱市電子政務(wù)建設(shè)的總體要求,進(jìn)行統(tǒng)籌規(guī)劃,統(tǒng)一網(wǎng)站運(yùn)行載體,避免分散、重復(fù)建設(shè),即:利用哈爾濱市信息中心平臺(tái)的基礎(chǔ)環(huán)境作為哈爾濱市政府網(wǎng)站運(yùn)行載體;由哈爾濱市信息中心平臺(tái)的技術(shù)隊(duì)伍,承擔(dān)哈爾濱市政府網(wǎng)站的建設(shè)及日常運(yùn)行的技術(shù)維護(hù)工作;對于缺乏建設(shè)、維護(hù)網(wǎng)站能力的單位或部門,不再建設(shè)獨(dú)立網(wǎng)站,由哈爾濱市信息中心平臺(tái)代為承載其應(yīng)向社會(huì)公眾提供的政府信息公開等政務(wù)公共服務(wù)功能。二是確立統(tǒng)一標(biāo)準(zhǔn),完善政府信息公開和政務(wù)信息資源共享機(jī)制,規(guī)劃“中國哈爾濱”門戶網(wǎng)站群及內(nèi)容管理系統(tǒng)建設(shè),進(jìn)一步整合各部門政府網(wǎng)站,按照統(tǒng)一規(guī)劃、分步實(shí)施的原則,建立統(tǒng)一的站群管理平臺(tái),將哈爾濱市各政府機(jī)構(gòu)網(wǎng)站整合到站群平臺(tái)上運(yùn)行,形成以市政府門戶網(wǎng)站為核心,以政府機(jī)構(gòu)網(wǎng)站為群體的,資源共享、協(xié)調(diào)聯(lián)動(dòng)的網(wǎng)站群體系,全面提高政府網(wǎng)站公共服務(wù)水平。三是加強(qiáng)網(wǎng)站群建設(shè)管理,強(qiáng)化安全保障,建立應(yīng)急響應(yīng)機(jī)制,依托由哈爾濱市信息中心平臺(tái)現(xiàn)有技術(shù)、人才優(yōu)勢,為哈爾濱市政府網(wǎng)站建設(shè)單位提供安全技術(shù)支持、信息技術(shù)培訓(xùn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估等服務(wù)。
5.加大安全技術(shù)體系建設(shè)
技術(shù)防護(hù)是確保網(wǎng)站信息安全的有力措施,在技術(shù)防護(hù)上,主要做好以下幾方面工作。
一是要加強(qiáng)網(wǎng)絡(luò)環(huán)境安全。首先要安裝網(wǎng)站防火墻(WAF)、網(wǎng)站防篡改系統(tǒng)、網(wǎng)絡(luò)防火墻和入侵檢測系統(tǒng)等,在傳統(tǒng)的網(wǎng)絡(luò)防火墻基礎(chǔ)上,網(wǎng)站防火墻(WAF)從網(wǎng)絡(luò)的應(yīng)用層面提高網(wǎng)站安全防護(hù)能力,利用入侵檢測系統(tǒng)識別黑客非法入侵、惡意攻擊以及異常數(shù)據(jù)流量, 通過對網(wǎng)站防火墻(WAF)和網(wǎng)絡(luò)防火墻進(jìn)一步優(yōu)化配置來阻斷黑客非法入侵、惡意攻擊。網(wǎng)站防篡改系統(tǒng)是網(wǎng)站最后一道防護(hù)屏障,一旦防護(hù)失效時(shí),網(wǎng)站首頁或內(nèi)容被篡改,防篡改系統(tǒng)可立即恢復(fù)網(wǎng)站被篡改的內(nèi)容,不至于造成政治事件和影響,同時(shí)給網(wǎng)站管理人員短暫喘息時(shí)間,及時(shí)修改和完善網(wǎng)站安全配置文件,確保網(wǎng)站安全穩(wěn)定運(yùn)行。
二是加強(qiáng)網(wǎng)站平臺(tái)安全管理。在現(xiàn)有中心平臺(tái)的基礎(chǔ)上,進(jìn)一步優(yōu)化完善網(wǎng)絡(luò)結(jié)構(gòu)、合理配置網(wǎng)絡(luò)資源,配置下一代防火墻、病毒防護(hù)體系、網(wǎng)絡(luò)安全檢測掃描設(shè)備和網(wǎng)絡(luò)安全集中審計(jì)系統(tǒng)等設(shè)備,從邊界防護(hù)、訪問控制、入侵檢測、行為審計(jì)、防毒防護(hù)、安全保護(hù)等方面不斷完善哈爾濱市信息化中心平臺(tái)的安全體系建設(shè),確保在哈爾濱市信息中心平臺(tái)基礎(chǔ)環(huán)境下,大數(shù)據(jù)平臺(tái)、大工業(yè)體系信息化輔助決策平臺(tái)和云模式下政府網(wǎng)站群平臺(tái)安全穩(wěn)定建設(shè)運(yùn)行。
三是加強(qiáng)網(wǎng)站代碼安全。一個(gè)安全的網(wǎng)站,不但要有良好的網(wǎng)絡(luò)環(huán)境,更要有高質(zhì)量的應(yīng)用系統(tǒng),現(xiàn)時(shí)期由于網(wǎng)站代碼不嚴(yán)密、安全性差引起的網(wǎng)絡(luò)安全事件屢見不鮮,這就要求網(wǎng)站技術(shù)開發(fā)人員在開發(fā)應(yīng)用系統(tǒng)過程中,要養(yǎng)成良好的代碼編寫習(xí)慣,盡量不要使用來歷不明的代碼和插件,編寫程序時(shí)要嚴(yán)格過濾敏感的字符,并且在系統(tǒng)開發(fā)完成后,要有相應(yīng)的代碼檢測機(jī)制和手段,及時(shí)更新漏洞補(bǔ)丁,從源頭上遏制網(wǎng)站掛馬、SQL注入和跨站點(diǎn)腳本攻擊等行為。要部署網(wǎng)頁防篡改系統(tǒng),網(wǎng)頁防篡改系統(tǒng)具備實(shí)時(shí)阻斷非法修改和對非法修改的文件進(jìn)行恢復(fù)的能力,在其他防護(hù)措施失效的情況下,能夠有效地解決網(wǎng)頁被篡改的問題,實(shí)現(xiàn)針對網(wǎng)站信息的保護(hù)。
四是加強(qiáng)數(shù)據(jù)安全。要加強(qiáng)數(shù)據(jù)庫的安全,采用正版數(shù)據(jù)庫系統(tǒng),通過網(wǎng)絡(luò)安全域劃分,數(shù)據(jù)庫被隱藏在安全區(qū)域,同時(shí)通過安全加固服務(wù)對數(shù)據(jù)庫進(jìn)行安全配置,并對數(shù)據(jù)庫的訪問權(quán)限做最為嚴(yán)格的設(shè)定,最大限定保證數(shù)據(jù)庫安全;部署數(shù)據(jù)災(zāi)備系統(tǒng),對網(wǎng)站和關(guān)鍵應(yīng)用系統(tǒng)數(shù)據(jù)進(jìn)行定期備份,利用市政府大樓機(jī)房環(huán)境,將這些數(shù)據(jù)進(jìn)行異地備份,確保關(guān)鍵數(shù)據(jù)安全,防止造成無法挽回的損失。
隨著信息技術(shù)的飛躍發(fā)展,黑客、木馬等攻擊和入侵手段也隨之變化多樣且層出不窮,給政府網(wǎng)站的安全管理帶來極大的威脅,各級政府、各部門要切實(shí)增強(qiáng)政府網(wǎng)站安全責(zé)任意識,加強(qiáng)對政府網(wǎng)站安全工作的領(lǐng)導(dǎo),進(jìn)一步強(qiáng)化監(jiān)督管理,明確責(zé)任分工,加強(qiáng)安全防范措施,以安全為己任,為哈爾濱市政府網(wǎng)站和重要信息系統(tǒng)安全穩(wěn)定運(yùn)行創(chuàng)造一個(gè)良好的環(huán)境。
2024-09-11
2024-08-31
2024-08-29
2024-08-15
2024-07-29
2024-07-17
2024-06-22
2024-06-13
2024-06-05
2024-05-31
1月22日,葫蘆娃集團(tuán)舉辦十周年年會(huì)盛典。會(huì)上,正式公布放心簽品牌新logo,并發(fā)布2021年度放心簽新技術(shù)、新功能升級。作為電子簽約行業(yè)領(lǐng)軍品牌的放心簽,正以全新面貌為廣大客戶帶來更放心、更安全、更專業(yè)的服務(wù)。
近日,工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》(以下簡稱《規(guī)定》)。
五月,我們體會(huì)過勞動(dòng)的喜悅,迸發(fā)過五四青年的激情,感懷過母愛的偉大······五彩斑斕的初夏悄然走來,這個(gè)美好的季節(jié)里,葫蘆娃集團(tuán)也發(fā)生了不少精彩紛呈的故事。小編這就帶大家一起回顧下~
掃一掃 關(guān)注放心簽公眾號
掃一掃 關(guān)注放心簽小程序
在線咨詢
電話咨詢
全國服務(wù)熱線
微信咨詢