政府网站是我国电子政务的重要组成部分。政府网站作为企业和社会公众获取政府信息和服务的主要接入渠道,是电子政务建设的重要抓手,能够充分体现出电子政务的后台应用系统、信息资源、网络基础设施、安全系统及制度保障等各个要素发展水平。
无疑,在2006年,政府电子政务安全体系建设受到各级政府的高度重视。在各类电子政务系统建设中,安全无不被提高到战略高度对待。政府部门或从技术手段出发,采用各类信息安全技术来保障电子政务安全,或是辅之以信息安全的制度保障,从技术加管理的角度来落实安全措施。
政府网站的安全形势
但在电子政务系统实际运行中,我们却看到了另一番景象,首先是“重内轻外”,即在政府网站系统建设过程中,对内部办公网和专用网的安全高度重视,甚至为保证绝对安全,不惜采用物理隔绝的方式来处理;但针对公众直接服务的门户网站的信息安全却未得到特别重视,许多部门甚至连基本的外网安全保障措施都未部署,形成了两个“极端”。此外,在电子政务安全体系建设过程中,“唯技术论”观念十分突出,即认为系统安全的管理和维护需要各个层次的系统安全技术,要求技术专家全程参与来确保实施效果;但是,对保障电子政务安全的“软措施”却未做细做实,如从管理体制上落实安全责任制,建立完备的信息安全管理和认证机制等,这些事项都未落到实处。
更让人担心的是,由于对政府网站安全缺乏足够认识,许多政府网站的安全体系建设都十分脆弱,其应急响应能力也很薄弱。面对漏洞信息的分析、处理缺乏必要的认识和判别,无异于将重要信息暴露于外。这正如很多业内专家所指出的那样:网页频遭篡改暴露出了政府网站重形式、轻安全的问题。
据粗略统计,2006年,我国各级政府网站被篡改网页3661次,比2005年多出1634次,而且这还未包括隐蔽的篡改行为。国家计算机网络应急技术处理协调中心副总工程师杜跃进博士在3月30日召开的2006中国计算机网络安全应急年会上说,根据中心统计,去年网页篡改在大陆发生13000多次,其中六分之一攻击对象为政府网站。
从数据统计来看,政府网站安全攻击次数和我国目前大约12000多个政府网站的数量相比,确实还未到破坏严重的程度,但其后果却不容忽视。
相比2005年,2006年主要的网络攻击手段从系统漏洞入侵转变为针对网页程序漏洞的攻击,黑客攻击的手段也相比以前变的越来越简单。
从典型案例看政府网站安全问题
究竟是什么原因导致黑客攻击政府网站变的如此简单?让我们分析一个近期发生而有特别典型的案例:
11月6日,国家公务员报考确认期间,河南省人事厅网站(www.hnrs.gov.cn)的网上确认程序突然中断,省人事厅考试中心发出紧急通知:由于网络出现异常,网上确认改为现场确认。
无独有偶,仅几日之后,郑州市司法局网站(www.zzsfj.gov.cn)被“黑”。时间再退到两个多月前,省卫生厅网站(www.hnwsyl.com)也遭遇“黑”手。
在短短两个多月的时间里,河南省3家政府部门网站不能够提供服务,政府网站缘何如此“不堪一击”呢?难道是政府网站硬件不够吗?
答案是否定的,河南省人事考试中心的工作人员称:“这次报名,为了节省考生的时间和花费,提高办事效率,我们今年上半年专门进了两台先进的服务器,绝不是因为硬件问题。”曾对郑州市各政府网站担任第三方评估的某IT公司负责人也表示,目前,整个郑州市和省直机关的政府网站硬件设施应该是全国一流的。
那么,网站被“黑”原因可能是多方面的。让我们对这三个网站的入侵做一个简单的分析。打开网页,可以清楚地看到三个网站都采用了ASP的语言+SQLSERVER数据库进行编写,并且都采用微软的Windows2000操作系统为平台架设。很明显的,这几个网站是信息化安全重点保护的,所以按时更新漏洞补丁的工作是必不可少,所以想通过系统漏洞进入并篡改网页的可能性几乎是零。再做进一步分析,黑客是采用近期最流行的SQL注入的方式进行入侵的,SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。黑客针对SQL注入的手法相当灵活,构造巧妙的SQL语句,从而成功获取想要的数据,又进一步上传了网页木马,从而获得了整个服务器的控制权并且修改了网页。
从局部看全局,2006年绝大多数的政府网站被入侵都和SQL入侵有关。存在的安全隐患也不仅仅是靠高质量的服务器和网络安全设备所能解决的。几乎所有的黑客攻击,篡改网页都是从系统的应用层入手的,所以,加强应用层防护体系的建设应该成为2007年度政府网站需要关注的安全问题之一。
从政府网站的安全建设引申到整个电子政务网络安全的建设,2006年,我国电子政务网络安全方面暴露问题比较突出的有五个方面:计算机病毒泛滥;木马程序带来安全保密方面的隐患;易受黑客攻击特别是洪流攻击;垃圾邮件阻塞网络;网络安全的威胁开始蔓延到应用的环节,其中Windows占70%,UNIX占30%。
这五大安全问题主要暴露在个人的安全意识淡薄,以至于影响了整个电子政务网络的安全性。例如,内部工作人员在进行INTERNET访问的时候,被某些病毒程序或者木马程序植入了这台电脑,又通过这台电脑进行了进一步的繁殖,直至可以控制整个电子政务网络。众所周知,坚不可摧的网络是没有的,在加强网络安全整体建设的同时,提高个人安全上网意识也是一个急需解决的问题。
电子政务安全防护体系建设的建议
一、增强内部工作人员防范意识是安全管理工作应首先着重解决的问题。调查结果表明,当前安全管理工作存在的主要问题是用户安全意识薄弱,对信息网络安全重视不够,安全措施不落实。因此,组织开展多层次、多方位的信息网络安全宣传和培训,增强内部工作人员安全防范意识和防范能力是避免信息网络安全事件发生的有效途径。
虽然目前的信息安全事件还主要局限于篡改网页和直接攻击,但也不排除更大更严重的安全威胁,如利用网站漏洞侵入后台窃取信息;散播病毒进入系统,使系统瘫痪;干扰政府网站正常为公众服务等。另外,某些黑客会通过网页隐蔽地传播僵尸程序、间谍软件或控制僵尸网络活动。这类攻击行为与传统的病毒、蠕虫攻击相比,更像一个威力强大的“看不见的敌人”,可以暗中控制攻击系统进行很多破坏活动,而且这种攻击将越来越专业化。
因此说,电子政务安全建设一刻都不能放松,尤其是外网安全建设,要把它和网站的信息安全问题都纳入电子政务安全体系建设范畴,做到“两手抓,两手都要硬。”各级政府部门可以在国家电子政务安全体系建设的基础上,统一规划、设计各自的安全体系,包括建立统一的信息安全保障中心,对涉及信息安全的电子政务系统中的硬件设备、网络、系统软件、数据库、应用系统等内容进行全程安全管理。同时,在利用技术管理,如网络运行前的开发、试用、验收和推广各阶段的安全管理;要实施必要的安全行政管理措施,如建立完备的安全管理制度、配备专职的信息安全人员、并建立完善的责任和监督机制等。
二、建立良好的信息安全管理机制,做到技术和管理的良好配合。电子政务信息安全管理不是一成不变的,它是一个动态的过程,但又是一个必须“长抓不懈”的系统过程。随着安全攻击和防范技术的发展,电子政务的安全策略也要因时因势分阶段调整。
建立良好的信息安全管理机制,做到技术和管理的良好配合,仍是实现政府部门电子政务信息系统风险防范长期有效的途径。应当加快推进信息安全等级保护工作,建立起完善的安全防范体系。大部分的单位虽然使用了防火墙和计算机病毒防治产品,安装了基本的技防范设备,但是技术防范措施比较薄弱。如何建立完整的信息网络安全保护策略、规范的管理制度和成体系的技术防范措施,信息化主管部门也应加强这方面的指导。建议加快推进信息安全等级保护工作的实施,使信息网络安全管理工作逐步走向规范化、制度化,建立起比较完善的技术防范体系。
最后,应该要大力支持信息网络安全服务行业的发展。我国的信息网络还处于发展阶段,安全管理水平低,安全管理人员缺乏培训,安全管理组织不健全的问题比较突出。促进安全服务行业的发展,走专业化、社会化的道路是提高我国信息安全管理水平的一个有效途径。为此,建议出台支持信息安全服务行业发展的相关政策,加强对信息安全服务行业的监管,积极引导信息网络使用单位借助信息安全服务单位提高其安全管理水平和能力。