据统计,2007全年,政府网站累计被篡改数高达数千个,面对互联网这一“险恶江湖”,政府采购中门户网站的安全项目招标比例逐年增加,招标前还应从需求出发设计强有力的安全防护架构。
■ 江苏省信息中心 谷和启
在“5·12”汶川大地震期间,多个地方地震局网站遭受攻击,有的甚至多次被黑,并发布虚假消息,给社会带来了恶劣的影响。根据中国互联网络信息中心(CNNIC)2008年1月第21次《中国互联网络发展状况统计报告》,我国网站的安全问题十分严峻,大量网站被黑客入侵和篡改,甚至被植入木马攻击程序,成为黑客的得力工具。在这些安全事件中,涉及国内政府机构和重要信息系统部门的网页篡改类事件的数量最多。某些地方政府网站被篡改后长期无人过问,有些网站虽然在接到报告后能够恢复,但并没有根除安全隐患,从而遭到多次篡改。
目前,政府网站系统在安全策略的配置、补丁的及时更新、网络安全产品的部署、防病毒软件的升级方面还存在一些问题,加上政府网站数据备份意识薄弱,必然给网站运行带来很大的安全隐患。基于互联网架构的政府网站,安全防护体系的建立引起国家安全部门和有关安全专家格外关注,解决政府网站的安全运营已经刻不容缓。但是,政府网站在纷纷寻找保护自己的“软卫甲”时,容易操之过急,还没有做系统的设计规划就匆忙动手,结果必然达不到理想效果。政府采购中门户网站的安全项目招标比例逐年增加,在招标前一定要从现状出发,制定出一套好的策略规划。
政府网站 6大安全隐患
目前我国政府网站的拥有率已经达到较高的水平,其中国家部委单位政府网站的拥有率为96.1%,省级、地市级、县级三级政府网站拥有率分别为90.3%、94.9%和77.7%。由于某些部门对政府网站安全缺乏足够认识,许多地方政府网站的安全防护体系建设都十分脆弱,其应急响应能力也很薄弱。面对漏洞信息的分析和处理缺乏必要的认识和判别,这无异于将重要信息暴露于外。正如很多业内专家所指出的那样: 网页频遭篡改暴露出了政府网站重形式、轻安全的问题。
我国90%以上的政府网站存在各种各样的安全漏洞,很多网站都曾受到过黑客的攻击和计算机病毒的侵害,给国家造成了较大的损失。政府网站安全主要存在以下几方面问题:
1. 政府网站的网络与信息安全防护能力仍处于“初级阶段”,尚未形成科学、完整、高效、统一的网站安全保障体系。目前,许多网站的政务信息应用系统处于“不设防”状态。
2. 目前政府网站的安全防护要么完全没有部署安全产品,要么仅靠几个安全设备来“维持”安全,没有形成多个安全产品兼容、联动、动态的防护体系。
3. 目前政府网站的安全是只重视“局部”,轻视“全局”防护,没有从网站的物理安全、网络安全、系统安全、应用安全、病毒防治、冗余备份等安全防护体系来整体规划部署。
4. 大多数政府网站缺少安全管理体系,安全意识薄弱,职责不到位,没有安全应急流程和预案,导致发现安全问题时不能及时、有效地解决。
5. 大多数政府网站没有通过实施“电子政务信息安全等级保护”来综合考虑网站的安全防护体系,缺乏网站的安全风险与评估体系。
6. 目前大多数政府网站缺乏自主创新的国产核心安全产品和安全防护体系解决方案。
防止“病从口入”
政务信息防护体系包含安全性防护、保密性防护、完整性防护、可信性防护和健康性防护等方面。
政府网站是各级人民政府在国际互联网上发布政府信息和提供在线服务的综合平台,不仅体现了各级人民政府为人民服务的宗旨,更代表着政府的形象。政府网站的安全防护体系与其他信息安全防护相比,有其自身的特点。
1. 网站的信息加载和发布安全防护。
网站信息需要不时更新,由于信息加载人员是基于互联网上网,因此采用VPN接入、CA证书以及权限限制等安全技术,保证信息加载过程中信息的完整性。信息加载人员还应严格按照网站信息采集、编校、审核和报送工作流程,执行国家有关计算机网络运行安全、保密规定,严禁涉密信息、有害信息上网,按照“先审查,后发布; 谁发布,谁负责”的原则,确保发布信息的真实性和合法性。
2. 网站的Web服务器安全防护。
网站的前台发布服务器需要通过安全技术手段实现同后台数据库的逻辑隔离; 发布服务器可以采用多台硬件服务器,实现负载均衡和相互备份的功能。发布服务器的操作系统安全等级高低依次为Unix、Linux和Windows,采用安全的Web服务器(Apache、Tomcat、IIS等)进行网站信息发布,还应在服务器上安装网页防篡改系统等安全产品,确保网站正常、安全、稳定地运行。
3. 网站的应用系统安全防护。
网站的应用包括邮件、视频、信息报送、在线访谈、信息公开、网上申报审批等,应用系统的安全防护也是比较重要的。应用软件的安全性要保证运行稳定可靠,有较好的容错性,应用软件应该经过充分测试,不会由于误操作而出现系统崩溃的现象。还要注意加强应用系统产品化的采购和使用,这样可以确保网站应用的安全可靠。
4. 网站的运行维护管理安全防护。
当网站的安全技术手段和措施到位后,网站的管理就显得特别重要。要保障网站的日常运维,充分发挥安全技术人员的主观能动性,定期检查安全技术和措施有没有发挥作用,存在哪些安全漏洞和隐患,以及如何解决等一系列问题。政府部门应定期进行网站安全的风险评估,加强应急预案的演练,防患于未然。
P2DR 动态防护模型
政府网站系统应在最危险的地方设防,并时刻采取相应的检测机制,及时修补和加固安全漏洞。这种安全防护思想就是“动态安全防护体系”,由此提出了P2DR模型: Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应)。
P2DR模型由防护、检测和响应组成一个完整、动态的安全循环,在安全策略的指导下保证网站信息系统的安全,P2DR安全模型的特点就是动态性和基于时间的特性。
Policy: “安全策略”是P2DR安全模型的核心,所有的防护、检测、响应都是依据安全策略实施的,企业安全策略为安全管理提供管理方向和支持手段。策略体系的建立包括安全策略的制订、评估、执行,制定可行的安全策略取决于对网络信息系统的了解程度。
Protection: 防护通常是通过采用一些传统的静态安全技术及方法来实现的,主要有防火墙、加密、认证等方法。
Detection: 在P2DR模型中,“检测”是非常重要的一个环节,“检测”是动态响应和加强防护的依据,它也是强制落实安全策略的有力工具,通过不断地检测和监控网络和网站系统,来发现新的威胁和弱点,并通过循环反馈来及时做出有效的响应。网站的安全风险是实时存在的,所以我们检测的对象应该主要针对构成安全风险的两个部分: 系统自身的脆弱性及外部威胁。
Response: “紧急响应”在网站安全系统中占有最重要的地位,是解决潜在安全问题最有效的办法。从某种意义上讲,安全问题就是要解决紧急响应和异常处理问题。要解决好紧急响应问题,就要制定好紧急响应的方案,做好紧急响应方案中的一切准备工作。
安全防护体系 策略规划
根据网站群系统安全防护需要,应从物理安全、系统平台、系统安全、应用安全和内容安全等方面进行相关安全策略的规划。
● 物理安全防护
这里主要是指放置政府网站各种设备和线路的机房环境要求,它是建立网站安全防护体系的基础。机房的空调、UPS、监控系统、通信线路、布线系统等基础设施都必须符合国家有关标准和安全要求,政府网站的安全防护体系才会有很好的“安全根基”。选购网络设备、安全设备以及服务器和各类终端时,建议要尽量选用国产化技术和国内公司的产品,特别是具有自主知识产权的安全产品。
● 系统平台安全防护
政府网站群平台系统采用三层结构技术体系设计,三层结构技术将整体应用划分成表现层、业务逻辑层、数据层。每一层相对独立,能够有效地实现安全性、可移植性、扩展性。通过采用三层结构有效地保证各个应用层面的可伸缩性。政府网站系统平台要求较高的安全性设计,要从数据传输层安全、数据存储安全、联机事务处理安全、网络结构安全等方面进行通盘考虑。使用传输层加密协议、CA认证管理、联机事务处理布局、多层防火墙结构联合部署的方式来最大程度地保证“政府网站群平台系统”的安全性防护。
● 系统安全防护
系统的安全性防护包括操作系统安全性、数据库系统的安全性、服务器的安全性、应用软件的安全性等,应采用主流、安全、标准、可靠的网络操作系统,从而全面、稳妥管理和保护操作系统安全。充分利用大型数据库的安全管理保护机制,实现数据库系统安全; 还应定期升级操作系统和数据库系统的安全补丁。
● 应用安全防护
政府网站群是在统一的应用平台进行信息发布,对于应用服务器,应采用集群(Cluster)、高可用(HA)系统和负载均衡等措施,提高整体性能和可靠性,在Web层、应用层、数据层消除单点故障。可通过应用层系统管理员的用户管理、权限分配、口令管理、临时赋权实现各类各级用户安全访问体系。管理员通过应用系统日志管理实现安全调查、追踪和安全评估,以此增强网站应用安全性,确保安全的信息访问和提升网站效率,保障Web服务应用、邮件、视频、信息报送、在线访谈等政府网站应用系统的安全运行。
● 内容安全防护
信息内容安全性防护通常包括访问控制、身份认证系统、数据备份、网页防篡改等。合理授权是政府网站群管理的核心,政府机关需要对不同的权属人员采取不同的授权。 政府网站需建立统一规范的信息采集、审核和发布程序,未经审核的信息不得上网发布,加强对网上互动栏目的安全监管和维护,确保政府网站安全稳定地运行。
常用技术选择
在政府网站的安全防护技术手段中,通常会采用网络防火墙、入侵检测(IDS)、防病毒系统和杀毒网关、漏洞扫描、防垃圾邮件、网页防篡改系统、CA认证等系统。
双机热备的防火墙系统 采用IP包过滤、应用代理、地址转换、访问控制等手段提高防御网络黑客攻击的能力,防火墙系统应当具备完善的日志记录和分析功能。
网络入侵检测系统 主动监视和审计网络异常情况,并对网络入侵检测系统的入侵模式规则库进行及时更新或者升级,网络入侵检测系统和防火墙系统要能产生联动效应。
计算机病毒防治系统和杀毒网关 通过控制信息的出入口,防止病毒入侵并对已经入侵的病毒及时进行检测和清除,病毒防治系统应当具备定期扫描功能和实时检测功能。
网络设备及主机漏洞扫描系统 通过定期扫描主要网络设备和主机增强安全管理能力,并对扫描系统的漏洞及弱点规则库进行及时更新或者升级。
邮件过滤系统 对不同性质的非法邮件和可疑邮件做相应的处理,封堵垃圾邮件和邮件炸弹,防止恶意使用者利用服务器大量转发不良邮件。
网站安全发布系统 防止网络黑客对页面的非法篡改,并使网站具备应急恢复的能力。
CA数字认证系统 加强发布信息的安全治理,分层规定网站工作人员的信息维护权限等。
链接一 多层面的政府网站安全防护体系政府网站应当从管理、制度、技术等多层面建立严密可靠的网站安全防护体系。
(1) 建立信息发布安全管理责任制,即上网信息的采集、发布和更新,严格执行保密规定,妥善处理公开与保密的关系,做到“上网不涉密,涉密不上网”。
(2) 完善各种规章制度,制定病毒检查网络、安全漏洞监测制度、信息发布审核登记制度、信息监视、账号使用登记和操作权限管理制度等各项制度,达到消除安全隐患的目的。
(3)定期对网站进行风险评估,制定科学的事故应急预案、从而尽可能地缩短紧急事故的恢复时间,减少损失和影响; 同时需建立和完善网站安全运维的应急响应机制。
(4)在政府网站安全建设资金有保障的情况下,要尽可能采用先进的技术、产品和安全策略以及“立体”的网站安全解决方案。
(5)从技术层面防范病毒侵扰和黑客攻击,增强服务器安全管理员和网站安全员的责任意识和技术能力,坚持7 (天)×24(小时)专职值班,对网站定期检查,及时发现安全隐患、及时上报和处理,保证网站的安全运行。建立网站数据备份系统,定期备份网站重要数据,从而进一步保障政府网站的信息安全。
链接二 政府网站安全防护体系建设原则
● 连续性防护原则
安全防护应考虑安全的动态特性,应提供定期的连续性安全服务,以保障网站应用系统的长期安全。
● 规范性防护原则
安全防护的实施必须由专业的安全服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告,提供安全应急预案。
● 保密性防护原则
对安全防护过程中获知的网站政务系统信息均属秘密信息,不得泄露给第三方单位或个人,不得利用这些信息进行任何侵害政府网站的行为。
● 完整性防护原则
完整性防护主要是政府网站信息被篡改、丢失等风险,要保证网站重要数据库系统的安全,实现数据的保密性、完整性和有效性; 确保政府网站数据安全的完整性备份。
● 可信性防护原则
可信性防护是针对政府网站使用不同的终端类型和平台形式制定出一系列完整规范,例如个人电脑(包括台式和移动)、服务器、网站的网络与应用软件等,使政府网站运行在“可信网络架构”中。
● 最小影响原则
网站安全防护应尽可能小地影响系统和网络的正常运行,不能对现有网站的运行和业务系统产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等)。