政府网站安全防护的对策思考_卓悦.docxVIP

网络·安全政府网站安全防护的对策思考卓悦李蓓（陕西省环境信息中心陕西710006）【摘要】本文在当前信息技术迅速发展的背景下，依据政府网站安全的现状和挑战，思考和论述了政府网站安全防护工作对策。【关键词】政府网站；安全；防护对策中图分类号：TP393.08文献标识码：A文章编号：1009-6833（2014）12-148-02Countermeasures and Thinking on Government Websites Security ProtectionZhuo Yue，Li BeiAbstract：this paper under the background of the current rapid development of information technology，on the basis of the status quo of government websites security and challenges and thinking and expounds some countermeasures for government websites security protection work.Keywords：government websites；Safety；Protective countermeasures0引言随着信息技术的广泛深入应用，特别是电子政务的不断发 展，党政机关网站作用日益突出，已经成为宣传党的路线方针 政策、公开政务信息的重要窗口，成为各级党政机关履行社会 管理和公共服务职能，为民办事和了解掌握社情民意的重要平 台。同时，以信息技术为核心的新一轮科技革命正在孕育兴起， 互联网日益成为创新驱动发展的先导力量，深刻改变着人们的 生产生活，有力推动着社会发展，也对党政机关网站建设和安全管理提出了新的挑战[1]。2014 年 2 月 27 日，中央网络安全和信息化领导小组成立， 政府网站安全被提升到国家安全层面。党政机关网站安全管理 和防护，既要确保信息内容的准确性、真实性和严肃性，确保 信息内容不涉及国家秘密和内容部敏感信息，又要应对黑客的 恶意攻击以及网络病毒的感染等安全事件这些都严重影响着党 和政府形象以及党政机关网站的权威性。在政府网站安全形势 日益严峻的形势下，如何加强政府网站安全建设，构建一个技 术先进、管理高效、安全可靠的政府网站安全保障体系，做好 网站安全防护工作，正是各级党政机关网站在建设和管理时所 要思考的问题。网站安全防护工作现状我国是网络攻击的主要受害国。侵犯个人隐私、损害公民 合法权益等违法行为时有发生。2013 年上半年，中国境内被篡 改的网站数量增长了 63.6%，而被篡改的政府网站数量增长了 153.1%。每年有几千个政府网站页面被篡改，同样还有相当数 量政府网站被黑客植入“暗链”、广告或者木马病毒[2]。1.1网站安全现状陕西一贯高度重视网络安全工作，省政府 2004 年成立了陕 西省信息化领导小组，2014 年省委又成立了网络安全与信息化领 导小组。省内多个部门常年对省内政府网站日常情况进行监测，并发布监测报告。根据《陕西省公共互联网网络安全情况通报》 显示，陕西省 2014 年各月的公共互联网网络安全状况整体良好，未发生网络安全方面重大事件[3]。但面对互联网和信息化发展形 势和任务下的新要求，网站建设和管理工作人员需从国家安全高 度理解网站安全的重要性和紧迫性，提高安全防范意识。1.2存在的安全问题及其危害2014 年 6 月，陕西政府网站涉及的主要网络安全事件极其 危害：（1）网页篡改（暗链）：对网站访问者造成不良影响；将 会协助恶意网站提高搜索引擎排名，同时影响网站的主办单位的形象。（2）SQL 注入：主要危害是包括但不局限于导致数据库中 存放的信息泄露；影响后台管理权限；通过操作数据对特定网 页进行篡改；修改数据库一些字段的值，嵌入网马链接，进行 挂马攻击；数据库的系统管理员账户被篡改；服务器被远程控 制安装后门，经由数据库服务器提供的操作系统支持，让黑客 得以修改或控制操作系统。（3）源码泄露：未对访问权限进行严格控制， 导致敏感信 息泄露，可获取用户敏感信息并执行未授权操作。（4）权限绕过：网站存在站群管理平台权限绕过漏洞，可导致非授权敏感页面。恶意用户可利用此漏洞进行非授权访问， 获取敏感信息，进行非授权操作，甚至上传 webwell 来进一步控制网站。 （5）弱口令：恶意用户通过利用弱口令漏洞来获取管理权限，进而利用系统相关功能进行恶意操作。 （6）程序设计漏洞：比如任意用户密码重置漏洞。恶意用户通过重置用户密码来获取登陆权限，进而可利用系统功能进 行恶意操作。（7）配置漏洞：网站未做严格的权限控制，恶意攻击者可 直接