论文部分内容阅读
摘要:目前,大中城市的政府网站由于在人才、资金和重视程度较高,运行良好。但在经济不发达的县市(区)以及乡镇的政府网站制约因素较多,仍然存在着不安全隐患。就如何加强政府网站的安全性,分析认为应当从网站的认识、面临的问题和解决办法上下功夫。(At present, large and medium-sized city government website in talent, capital and attached to a higher degree, running well. But in economic underdeveloped counties ( area) and the villages and towns government website restrict an element more, there is still potential safety hazard. How to strengthen the government web site security, the analysis thinks should from the website understanding, problems and solutions of Kung fu.)
关键字:政府网站 安全 隐患 策略(Government website security strategy)
中图分类号: S782.15 文献标识码:A 文章编号:
一、政府网站的作用和意义
政府网站是我國各级政府机关履行职能、面向社会提供服务的官方网站,是政府机关实现政务信息公开、服务企业和社会公众、互动交流的重要渠道。 政府网站建立起跨部门的、综合的业务应用系统,使公民、企业与政府工作人员都能快速便捷地接入所有相关政府部门的政务信息与业务应用,并获得个性化的服务,使合适的人能够在恰当的时间获得恰当的服务。其主要的功能是直接面向本地社会公众处理与人们密切相关的那些事务,为提高政府行政效率、改善地方经济社会发展环境搭建虚拟平台。
二、安全隐患
(一)、现实情况:
市县级政府网站存在着部分主管领导安全认识差;软硬件配置低或不达标;管理不严格;资金投入不多;专业型人才短缺;政府网站归属不科学等。基于以上客观条件,政府网站为是黑客挂马提供了宽阔的可乘之机。
(二)攻击目的和手段:
攻击目的
其一,搜索引擎给政府类网站的权威值评重高、网页级别高。黑这类网站易于获得更高的搜索排名、更高的点击率;其二,部分政府网站尤其是基层政府网站安全漏洞多、安全技术防范薄弱,易于被破解。其三,部分政府网站提供成绩查询、资格证书编号验证等便民服务,部分不法分子为实现非法目的,不惜高价雇佣黑客修改、添加、删除私人信息,使得此类政府网站易于成为黑客攻击的对象。
攻击的手段
一般分四个步骤:一是熟悉网站、收集信息。先大致浏览入侵网站的相关网页,查看入侵网站网页的内容、设计布局等信息,借助网络输入网站的域名,查询域名注册的详细信息。二是寻找漏洞、破解密码。技术较高的黑客通常利用自己编写的黑客工具查找网站的安全漏洞,利用漏洞破解网站后台管理员的用户名和密码。三是查找入口、侵入网站。在破解密码的基础上,查找管理员登录入口。四是植入后门、控制网站。在登录网站管理后台之后,黑客都会植入木马后门程序,如同管理员一样,修改网页、下载、上传、删除文件等。
黑客登录网站服务器后台管理系统攻击方式
一般采取以下三种方式实施:一是种木马病毒、卖流量。黑客将木马病毒植入政府网站,网民点击该网站的时候,就可能使网民的计算机终端中木马病毒,感染木马病毒的计算机内的银行账号、游戏账号密码、QQ号码、视频照片等信息就会被木马程序的远程控制者偷走,并可导致被访问的网站瘫痪。二是植入黑链接、提高点击率。制作目标网站的超链接,利用政府网站在搜索引擎中排名靠前,从而可以提高目标网站的搜索排名,提高点击率。三是修改、添加、删除政府网站信息。通过修改政府网站的内容,为特定需求者提供服务,实现非法获利。
防范策略
(一)、制定严密的安全管理组织
首先是政府主管人员应对网站安全具有较高的觉悟和意识,并把网站安全放在网站稳定运行的首要地位,未雨绸缪,防微杜渐,树立安全无小事,点滴是大事的防范危机感。此次,要建立安全组织。把懂安全、懂技术的人员放在组织中的重要位置,发挥其对网站安全的敏锐洞悉能力。再次是要做到大事有人管,小事有人抓,一级抓一级,层层落实责任的分工明确组织体系。
(二)、管理制度的完善和落实
对于政府网站在管理上一定要严格于其他网站。制定好安全预警预案,记好日常维护日志、软硬件检查日志,制定和完善安全日报制、管理人员登记制、日常维护制, 问题处理制,数据备份制等相关制度,用制度管人管事。
(三)、运行环境的安全
在硬件安全上,应该采用正规厂家的备案产品,相应的安全性和服务较好。特别是在服务器、中心交换机、核心路由、防火墙以及防篡改设备一定要把好安全关。在配置上尽量在破解难度上加强。
系统和应用软件,不能采用盗版和非正规的,一定采用正版的。升级时也尽量采用正规渠道采购的正版软件。目前,较好的正版系统软件如:server2003和server2008;杀毒软件较好的如:360、金山毒霸、瑞星等;编辑软件可采用网页三剑客等。
网络环境上,尽量使用单独交换,不建议采用混联。政务内网与外网分开走不同的硬件设备。数据交换机要赋予不同的ip段。可采用MAC绑定。Vlan的方式对局域网用户进行掌控,防止ARP攻击发包。在路由中将P2P、BT、QQ等进行规避或限制流量。对网络监视器要有专人管理,时刻掌握网络动态。
(四)、技术支持与管理
技术支撑是网站安全运行的关键。要建立一支自己的科研技术队伍。此队伍要详细了解攻击的类型,入侵方式和防御措施。要有独立开发网站代码的能力,要具备网络运行测试评估的专业型人才。此队伍要懂运行、懂管理有强烈的责任心和事业心。目前,诸多政府网站都面临人才短缺的实际困难。这也是政府网站发展的制约瓶颈的现实问题。不能把此问题解决,政府网站永远处于被动局面。因此,政府网要适应时代发展的需要,就要不遗余力的快速建设一支具有高精尖的技术人才队伍。
(五)、人员管理
网站主管人员要对网站的IP、服务器密码和数据库密码一定做好保密措施,在技术上采取较先进的用随机的salt生成密码hash,最好不单用md5,sha1,而且要每周更换一次。
网站工作人员要对自己的工作电脑设置密码,系统管理员要严格按照规定对登陆后台密码进行保护,防止外泄。
局域网络终端要时刻检查计算机的安全,定期查杀病毒和木马;不随意下载不明软件,不登陆不明网站;不允许移动存储设备在各终端进行数据传输;严格禁止用移动存储设备在服务器上操作,服务器数据传输最好采用安全的FTP进行。
(六)、网站不断更新
随着人们对网站需求的增多,功能和安全也要适应发展,对政府网站要不断更新,现在较好的网站代码是php、.net、java格式等,asp较稳定,但功能限制和代码易破解。网站最好采用动态模板静态页管理,建议采用网站群管理模式。
(七)、资金投入
政府网站的建设离不开资金的支持,没有强有力的资金流,政府网站的发展就会举步维艰。政府要加大对政府网站的资金扶持力度,使其不断壮大和发展。同时,政府网站也要向内部挖潜,在业务上不断革新拓宽资金来源渠道,在资源有偿服务和在电子商务等方面寻找突破口。
(八)、职能归属
目前,政府网站的归属各地不一,非职能和业务部门管理阻碍了政府网站的发展。按照其发展的规律,归其他部门所属都是不科学的,不完善的。个人认为政府网站在充分调研后,合理确定其归属。
随着政府网站发挥的作用越来越凸显,国家以及各级政府重视程度的提高和支持力度的加大,政府网站的运行一定会符合社会的进步和发展,更高效、更稳定、更安全。
关键字:政府网站 安全 隐患 策略(Government website security strategy)
中图分类号: S782.15 文献标识码:A 文章编号:
一、政府网站的作用和意义
政府网站是我國各级政府机关履行职能、面向社会提供服务的官方网站,是政府机关实现政务信息公开、服务企业和社会公众、互动交流的重要渠道。 政府网站建立起跨部门的、综合的业务应用系统,使公民、企业与政府工作人员都能快速便捷地接入所有相关政府部门的政务信息与业务应用,并获得个性化的服务,使合适的人能够在恰当的时间获得恰当的服务。其主要的功能是直接面向本地社会公众处理与人们密切相关的那些事务,为提高政府行政效率、改善地方经济社会发展环境搭建虚拟平台。
二、安全隐患
(一)、现实情况:
市县级政府网站存在着部分主管领导安全认识差;软硬件配置低或不达标;管理不严格;资金投入不多;专业型人才短缺;政府网站归属不科学等。基于以上客观条件,政府网站为是黑客挂马提供了宽阔的可乘之机。
(二)攻击目的和手段:
攻击目的
其一,搜索引擎给政府类网站的权威值评重高、网页级别高。黑这类网站易于获得更高的搜索排名、更高的点击率;其二,部分政府网站尤其是基层政府网站安全漏洞多、安全技术防范薄弱,易于被破解。其三,部分政府网站提供成绩查询、资格证书编号验证等便民服务,部分不法分子为实现非法目的,不惜高价雇佣黑客修改、添加、删除私人信息,使得此类政府网站易于成为黑客攻击的对象。
攻击的手段
一般分四个步骤:一是熟悉网站、收集信息。先大致浏览入侵网站的相关网页,查看入侵网站网页的内容、设计布局等信息,借助网络输入网站的域名,查询域名注册的详细信息。二是寻找漏洞、破解密码。技术较高的黑客通常利用自己编写的黑客工具查找网站的安全漏洞,利用漏洞破解网站后台管理员的用户名和密码。三是查找入口、侵入网站。在破解密码的基础上,查找管理员登录入口。四是植入后门、控制网站。在登录网站管理后台之后,黑客都会植入木马后门程序,如同管理员一样,修改网页、下载、上传、删除文件等。
黑客登录网站服务器后台管理系统攻击方式
一般采取以下三种方式实施:一是种木马病毒、卖流量。黑客将木马病毒植入政府网站,网民点击该网站的时候,就可能使网民的计算机终端中木马病毒,感染木马病毒的计算机内的银行账号、游戏账号密码、QQ号码、视频照片等信息就会被木马程序的远程控制者偷走,并可导致被访问的网站瘫痪。二是植入黑链接、提高点击率。制作目标网站的超链接,利用政府网站在搜索引擎中排名靠前,从而可以提高目标网站的搜索排名,提高点击率。三是修改、添加、删除政府网站信息。通过修改政府网站的内容,为特定需求者提供服务,实现非法获利。
防范策略
(一)、制定严密的安全管理组织
首先是政府主管人员应对网站安全具有较高的觉悟和意识,并把网站安全放在网站稳定运行的首要地位,未雨绸缪,防微杜渐,树立安全无小事,点滴是大事的防范危机感。此次,要建立安全组织。把懂安全、懂技术的人员放在组织中的重要位置,发挥其对网站安全的敏锐洞悉能力。再次是要做到大事有人管,小事有人抓,一级抓一级,层层落实责任的分工明确组织体系。
(二)、管理制度的完善和落实
对于政府网站在管理上一定要严格于其他网站。制定好安全预警预案,记好日常维护日志、软硬件检查日志,制定和完善安全日报制、管理人员登记制、日常维护制, 问题处理制,数据备份制等相关制度,用制度管人管事。
(三)、运行环境的安全
在硬件安全上,应该采用正规厂家的备案产品,相应的安全性和服务较好。特别是在服务器、中心交换机、核心路由、防火墙以及防篡改设备一定要把好安全关。在配置上尽量在破解难度上加强。
系统和应用软件,不能采用盗版和非正规的,一定采用正版的。升级时也尽量采用正规渠道采购的正版软件。目前,较好的正版系统软件如:server2003和server2008;杀毒软件较好的如:360、金山毒霸、瑞星等;编辑软件可采用网页三剑客等。
网络环境上,尽量使用单独交换,不建议采用混联。政务内网与外网分开走不同的硬件设备。数据交换机要赋予不同的ip段。可采用MAC绑定。Vlan的方式对局域网用户进行掌控,防止ARP攻击发包。在路由中将P2P、BT、QQ等进行规避或限制流量。对网络监视器要有专人管理,时刻掌握网络动态。
(四)、技术支持与管理
技术支撑是网站安全运行的关键。要建立一支自己的科研技术队伍。此队伍要详细了解攻击的类型,入侵方式和防御措施。要有独立开发网站代码的能力,要具备网络运行测试评估的专业型人才。此队伍要懂运行、懂管理有强烈的责任心和事业心。目前,诸多政府网站都面临人才短缺的实际困难。这也是政府网站发展的制约瓶颈的现实问题。不能把此问题解决,政府网站永远处于被动局面。因此,政府网要适应时代发展的需要,就要不遗余力的快速建设一支具有高精尖的技术人才队伍。
(五)、人员管理
网站主管人员要对网站的IP、服务器密码和数据库密码一定做好保密措施,在技术上采取较先进的用随机的salt生成密码hash,最好不单用md5,sha1,而且要每周更换一次。
网站工作人员要对自己的工作电脑设置密码,系统管理员要严格按照规定对登陆后台密码进行保护,防止外泄。
局域网络终端要时刻检查计算机的安全,定期查杀病毒和木马;不随意下载不明软件,不登陆不明网站;不允许移动存储设备在各终端进行数据传输;严格禁止用移动存储设备在服务器上操作,服务器数据传输最好采用安全的FTP进行。
(六)、网站不断更新
随着人们对网站需求的增多,功能和安全也要适应发展,对政府网站要不断更新,现在较好的网站代码是php、.net、java格式等,asp较稳定,但功能限制和代码易破解。网站最好采用动态模板静态页管理,建议采用网站群管理模式。
(七)、资金投入
政府网站的建设离不开资金的支持,没有强有力的资金流,政府网站的发展就会举步维艰。政府要加大对政府网站的资金扶持力度,使其不断壮大和发展。同时,政府网站也要向内部挖潜,在业务上不断革新拓宽资金来源渠道,在资源有偿服务和在电子商务等方面寻找突破口。
(八)、职能归属
目前,政府网站的归属各地不一,非职能和业务部门管理阻碍了政府网站的发展。按照其发展的规律,归其他部门所属都是不科学的,不完善的。个人认为政府网站在充分调研后,合理确定其归属。
随着政府网站发挥的作用越来越凸显,国家以及各级政府重视程度的提高和支持力度的加大,政府网站的运行一定会符合社会的进步和发展,更高效、更稳定、更安全。