作者:杨冰之 郑爱军
一些政府网站建设受技术力量、资金投入等诸多因素的影响,往往存在信息安全管理滞后于网站建设的情况。为确保政府网站内容的安全性和完整性,可以从管理、制度、技术各层面建立了网站安全体系,确保网站安全。
一是确保“上网不涉密,涉密不上网”。上网信息的采集、发布和更新,严格执行保密规定,妥善处理公开与保密的关系。
二是完善规章制度,制定信息发布审核登记制度、网站备份制度、账号使用登记和操作权限管理制度等多项制度,以加强人员管理,堵塞内部漏洞,达到消除安全隐患的目的。
三是从技术层面防范病毒侵扰和黑客攻击。主要从物理层、数据链路层、网络层、应用层、系统层等五方面进行了安全设计。对中心机房进行了标准化改造,安装了硬件防火墙、网络杀毒软件、网络入侵检测,并针对信息发布平台的远程管理,在全疆政府系统首次采用了动态口令系统,通过与发布系统的结合,很好地解决了远程管理用户登录的安全性问题。
一、 网站安全的主要领域
1.物理安全
a)政府网站机房应参照《电子计算机场地通用规范》(gb/t2887-2000)和《计算机场地安全要求》(gb/t9361-1988)的技术要求进行建设;
b)政府网站应配备专用电源或电源保护设备,保证其正常运行;
c)政府网站可采用vlan、vpn以及链路冗余等技术手段,提高网站访问链路的安全性和可靠性。
2.网络安全
d)政府网站应采用防火墙技术,通过ip包过滤、应用代理、地址转换、访问控制等手段,提高网站安全水平;
e)政府网站应采用入侵检测技术,通过实时检测、入侵阻断、审计取证等手段,提高网站防御能力。
3.系统安全
a)政府网站应制定完善的系统安全策略,对不使用的服务应及时关闭,对不同级别的用户应设置相应的安全访问权限;
b)政府网站应采用防病毒技术,通过实时扫描、及时查杀、阻止扩散等手段,提高网站操作系统的病毒防护能力;
c)政府网站应采用身份认证、访问控制、应用审计等技术手段,提高网站应用系统的安全;
d)政府网站应采用漏洞扫描技术,通过漏洞侦测、安全评估、系统加固等手段,提高网站操作系统和应用系统的安全水平;
e)政府网站应对操作系统、数据库系统、应用系统的运行情况进行记录(log),并定期保存以备核查。
4.数据安全
a)政府网站应采用数据加密、内容防篡改等技术,防止网站敏感数据被非法访问、修改和破坏;
b)政府网站应采用数据备份技术,提高网站灾难恢复能力和水平;
c)政府网站对数据维护时,应对采取的措施、维护的内容、数据前后变更的情况等进行详细记录。
5.口令安全
a)政府网站必须使用口令对用户的身份进行验证和确认;
b)政府网站使用的口令应符合复杂性要求;
c)政府网站使用的口令应定期更换,口令的最长使用时间不能超过半年;
d)政府网站在储存和传输口令时应进行加密,以防止口令被非法修改或泄露。
二、 安全风险的评估
电子政务的实施使得政府事务变得公开、高效、透明、廉洁,并实现全方位的信息共享。与此同时,政务信息系统的安全问题也变得非常重要。政务信息系统的安全一旦发生问题,就会影响其功能的发挥,甚至对政府部门和社会产生危害。
目前,电子政务系统的安全风险问题越来越受到重视,因此,有必要对电子政务系统的风险进行评估。对电子政务系统的风险评估:就是对信息系统的脆弱性、信息系统面临的威胁及其发生的可能性,以及脆弱性被威胁源利用后所产生的负面影响的评估。基于大量的安全行业经验,借助漏洞扫描等先进的技术,从内部和外部两个角度,对电子政务系统存在的安全威胁和脆弱性进行分析,并通过制定相应措施消除、减少、监控脆弱性以求降低风险性,从而保障信息系统的机密性、完整性和可用性。
对政府网站来说,其信息安全检查指标可以从以下几方面考虑:
a) 组织保障:包括网站安全机构的设立、人员组成及其工作制度,以及网站安全工作相关的活动情况;
b) 运行机制:主要考察是否有相关安全制度,机房与网络设备管理情况、应用软件及相关软件的使用和信息安全防护情况、数据库和后台数据信息管理和数据备份情况等;
c) 技术防范:主要考察链接性能、系统漏洞、木马、sql注入等情况,以检测网站防有害程序、防篡改、防攻击和防瘫痪能力;
d) 应急管理:政务网络建设与管理情况的检查;包括局域网管理情况的检查;运行维护方面及应急通信方面的检查;应急预案完备程度及突发问题应对能力等情况检查;
e) 日常维护:信息安全管理与保障情况,包括信息安全等级保护情况、网络信任体系建设情况、信息系统灾难恢复工作等情况;另外,还有人员的稳定性和可靠性检查等。
在政府管理创新的进程中,政府网站可以全方位地展现电子政务建设的成果,但这种展现是以政府网站自身建设完善为基础的,也就是说,在国家推进行政管理体制改革的进程中,政府网站是一个载体和平台,要让这个载体和平台发挥效能,提高网上公共服务的质量起着至关重要的作用。