陈力帅
摘 要: 当前政府门户网站安全问题日益突出,但机构缺乏对地市级层面的网站安全现状的分析和研究。选取某地级市的105个重点门户网站作为对象,通过技术检测和漏洞统计,提出当前地市级重点门户网站面临的主要风险和薄弱环节,并给出解决方案。结合实际情况,对地市级网络安全主管部门的下一步工作及保障对策提出了建议。
关键词: 地市级; 门户网站; 网络安全; 保障对策
中图分类号:TP393 文献标志码:A 文章编号:1006-8228(2017)02-31-03
0 引言
在政府部门信息化建设的初期,由于建设经验不足,存在重建设、轻安全的问题,致使部分党政机关重点门户网站缺乏必要的安全防护措施,同时,网络安全制度不健全、落实不到位、网络安全意识薄弱等问题层出不穷。
1 研究背景与目的
据国内某网络信息安全龙头企业统计:2015年全年,该公司网站安全检测平台共扫描各类网站231.2万个,其中,存在安全漏洞的网站为101.5万个,占扫描网站总数的43.9%。其中存在高危安全漏洞的网站共有30.8万个,占扫描网站总数的13.0%,与2014年的对比如图1所示。
又据国内某网络安全防护领先企业统计,2015年,共检测发现我国境内网站被黑事件33,929,213次,相比2014年的28,898.261次,增长456.44%。
由上述数据可见我国网络安全现状不容乐观。目前国内各信息安全机构对国家和省级层面的网站安全检查研究较多,但地市级的重点门户网站安全报告较为稀少,通过本次研究旨在实现以下三个目的。
⑴ 通过扫描,检测当前地市级重点门户网站的健康概况,查找问题网站清单,发现面临的主要网络漏洞风险。
⑵ 根据紧急、高危、中危等风险等级,对重点网站进行风险评估,摸清当前地市级重点门户网站现状。
⑶ 总结研究数据,分析主要问题,提出符合地市级网络信息安全管理水平,较为普适的保障对策。
2 研究的对象及方法
2.1 研究对象
本次研究对象为浙江省某地级市105家重点门户网站。其中市政府及区县政府门户网站13家,市经信委及县(市、区)经信局门户网站6家,gov.cn结尾的市直党政机关网站56家,直属机构事业单位门户网站30家,基本覆盖改地级市网站类关键信息基础设施。
2.2 研究实施过程
⑴ 2016年6月至9月上旬对该地级市市直部门、下辖区县等单位共105个网站系统进行安全性检测,检测内容覆盖网站挂马、SQL注入、跨站脚本、表单绕过等高风险漏洞情况。
⑵ 2016年9月中下旬,对检测的情况进行整理、汇总、归纳、分析,多维度评估事件及漏洞风险等级,综合评定网站的安全现状。
⑶ 2016年10月,对网站出现的问题进行研究,给出解决对策。
⑷ 2016年11月,对本次研究的过程和结果进行终结,认真分析问题,识别主要隐患,评价整改效果,提出下一步工作建议及保障对策。
3 研究结果
3.1 总体概况
检测结果显示,12家网站存在紧急及以下风险,5家网站存在高危及以下风险,11家网站存在中危及以下风险,77家网站处于低风险或较为安全的状态,具体分布如图2所示。
3.2 紧急风险漏洞情况
紧急风险漏洞为可以直接被利用的漏洞,且利用难度较低。被攻击之后可能对网站或服务器的正常运行造成严重影响,或对用户财产及个人信息造成重大损失,是网站安全防护的重中之重,此次检测研究发现,主要存在紧急风险漏洞有以下。
⑴ SQL注入:SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。
⑵ 跨站脚本:跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。
检测结果中紧急风险漏洞的分布如图3所示。
从网站类型上看,紧急风险漏洞的分布情况如图4所示。
区县政府门户网站中,有4家存在紧急风险,占31%。市直党政机关门户网站中,有4家存在緊急风险,占7%。直属机构及事业单位门户网站中,有3家存在紧急风险,占10%。经信系统门户网站中,有1家存在紧急风险,占16%。
由此可知,区县政府门户网站面临较大风险,其次是直属机构及事业单位的门户网站。
3.3 问题解决对策
⑴ 加强网站对SQL注入和跨站脚本等主要风险的防范;
⑵ 加强对网站安全风险的监控和持续防护;
⑶ 加强对存在紧急风险漏洞网站的检查力度。
4 研究建议
根据此次研究结果并结合地级市普遍存在的实际情况,对下一步网络信息安全保障工作提出以下几点建议,以供参考:
⑴ 加强网络信息安全相关人员专业技术培训。当前安全相关岗位人员专业技术水平还比较欠缺,网络安全工作基本上处于完全依赖开发单位和安全服务单位的状态。应组织专门的网络信息安全基本技能培训,进一步提高网络安全工作人员的专业水平和责任担当意识。
⑵ 进一步加强重点门户网站的应急管理体系建设。研究建立全市重点门户网站的的应急响应标准,须要求各单位落实责任制,明确应急响应的各个环节,根据事件的分级要求,保证网络安全事件发生时的应急和处置能力。
⑶ 依托云计算、云防护等先进技术,加快政府网站集群建设。依托云技术、云防护技术的网站群模式能有效强化资源整合,规范建设运维标准,明显提高安全短板,巩固提升整体的安全防护能力。
⑷ 加快相关管理制度和规范的制定。目前保障网站安全的应对措施主要是靠技术手段,需要从政府层面对网站进行统一监管并制定一系列规范的数据管理条例,加强个人隐私保护、知识产权保护等方面的规范制度建设,明确处罚措施。
⑸ 集全市之智,组建专业可靠的专家智库。尝试在地市范围内征集信息安全专家,不拘一格,通过考核选拔,成立网络信息安全工作组或者专家智库,负责对重点门户网站安全状况进行风险评估,指导监督网络安全审查工作,对安全态势进行感知和预判,为主管单位提供智力支撑。
⑹ 强化重点信息化项目系统生命周期的管理。对于涉及关键领域的大型信息化建设项目,可从立项设计、建设实施,到部署运维、升级变更等各个阶段引入并实施相应级别的安全管理和技术检测,落实等级保护,加强关键信息基础设施的网络信息安全。
5 结束语
安全是相对的,不是绝对的,随着电子政务的快速发展,政府门户网站的网络信息安全任重道远。文本中的案例和建议仅提供参考,下一步,信息系统审计、态势感知平台等新技术的应用将给主管部门带来更广阔的治理思路。
参考文献(References):
[1] 工业和信息化部电子科学技术研究所浙江省信息安全行业
协会.政府部门如何做好网络信息安全检查工作[J].中国信息化,2014.23:107-112
[2] 知道创宇有限公司.2015年中国互联网网站安全报告.http:
//www.isc.org.cn/zxzx/xhdt/listinfo-31793,2016.4.3.
[3] 奇虎360科技有限公司.2015年中国网站安全报告http://
zt.360.cn/1101061855.php?dtid=1101062368&did=1101536490,2016.6.1.
[4] Ross Anderso著.齐宁韩志文刘国萍译.信息安全工程(第2
版).清华大学出版社,2012.
[5] 沈笑慧,鲍克,刘晓莉.浙江省电子信息产品检验所.政务云信
息安全浅析[J].计算机时代,2016.7:24-27
