论文部分内容阅读
摘要:由于政府门户网站涉及许多关键数据,且影响范围广泛,利用(数据)价值较高,导致其信息安全存在一定的风险性,需要相关人员积极梳理问题,做好防范。本文主要分析了政府门户网站的风险产生的影响因素,并就对应安全保障体系的建立提出建议,以供参考。
关键词:政府门户网站;安全保障体系;管理机制
前言:政府门户网站的主要功能在于更新最新政策、公开有关信息、征集群众建议、促进招商引资,其不仅构建了综合性的百姓服务平台,突显了地方政府的职能,还发布、吸收、中转了许多有价值的信息数据,对其自身工作的优化、升级管理的展开都具有关键性的意义[1]。也正因政府门户网站的强大功能性和较高的信息价值,相关人员才更应该对其安全防护工作加以重视,从当前的网络安全问题着手分析,为政府门户网站建立周密的安全保障体系。
一、政府门户网站风险因素分析
1.网站安全现状及问题
随着网络技术的发展,网络安全问题也逐渐成为人们最为关注的话题之一,常见的网络风险有病毒攻击、黑客入侵,不仅对网络用户的网页浏览造成困扰,还有可能对一些官方网站的安全带来威胁。政府门户网站主要以公共信息发布,群众意见搜集和各项数据分析为指向来运行,其中不乏有机密信息、重要数据,一旦流出将会为政府工作的展开带来较大的阻碍,但仍有不法分子为了获取利益采取先进手段对其展开攻击,且随着网络技术的不断优化,这些攻击手段也得到了进一步的升级。当前政府门户网站的安全问题主要具有以下特点:攻击手段隐秘;攻击面扩大(从网络层发展至应用层);攻击动机清晰(原来的网络攻击,黑客的目的各异,或为证明自己、或为扬名、或为个人喜好,当下的网络攻击基本为获取利益);让相关管理人员不得不提高警惕。
2.主要风险因素分析
导致政府门户网站存在安全问题的因素主要可以分为两方面:一是管理人员(部门)管理意识不足,一是管理手段、技术对不断更新的风险内容缺乏适用性。首先,政府门户网站的管理人员在网站风险监测与控制方面的专业度不强,有的虽然具备一定的理论识别能力,但实践经验方面要较专业人士低,常导致漏洞发现不及时或漏洞修复延期[2];加之对应的网站管理机制不够完善,相应的制度缺乏专业、合理的分工,应急预案的建设应对范围狭窄,甚至有些管理人员对应急预案的建设缺乏周密的考虑;此外,相关培训机制创设的不足也侧面反映了管理人员对门户网站风险抵御认识不足的问题。其次,网站安全保护相关技术与配套服务意识的欠缺也导致了一系列安全性问题。随着网络技术的不断发展,网络钓鱼、SQL注入与跨站脚本攻击等网络入侵方式也不断升级,而一些地区的政府门户网站管理人员在技术上仍存在欠缺,对于安全问题的抵御只限定于几个方面(基本停留在网络攻击抵御上,对应用端的风险防御较少涉及),对新的入侵手段则拿不出较具针对性的措施,为不法分子留下了可乘之机。
二、政府门户网站安全体系建立
1.完善管理机制
基于以上对政府门户网站风险因素的分析,可知对应安全保障体系的建立必须从管理人员的意识、工作开展模式和自身能力水平的提升着手,通过对管理机制的完善,为政府门户网站地长效安全运行奠定基础。第一步是制度的确立。相关管理人员应对各级政府门户网站的工作流程进行调研分析,汲取经验,并结合自身网站业务实际,完善日常安全管理的有关规范,如接口设计、网站运维等的细则设定,保证职责明确、分工合理且具有较高的可操作性[3]。第二步是应急预案的构设。所谓应急预案必须结合防护措施与恢复机制,从内外两方面将风险影响降至最低水平,以保证网站使用的连续性。而为减小对网站正常应用的影响,其应急预应可在浏览人数较少的工作日展开,并将演练结果作为应急措施的改进依据。第三步是管理人员培训。基于一些管理人员安全意识不高和风险防控水平不足的问题,有关部门还应定期对管理人员进行培训,使其思想、能力的提升与网络技术的发展保持一致。
2.強化技术保障
对应当前网络入侵技术的升级,政府门户网站安全管理工作也要在技术层面加强改进,多方面考虑问题,扩大防御领域,优化防御角度,全方位拦截、打击非法入侵问题。本着合规性、威胁性原则,政府门户网站系统的安全防护体系应在以下内容上进行设置:(1)划分安全区域;根据网站各系统服务器功能设置不同安全区域,设定访问控制列表(ACL),以对不同区域进行隔离及控制。(2)保证操作系统安全;秉承控制不必要服务软件、插件的应用以及及时更新系统补丁原则,对操作系统开启、运行、连接、数据存储等操作进行规范,加强系统巩固,有效提升对蠕虫、未知病毒等的抵御。(3)增设防篡改系统;于网站应用服务器上部署防篡改系统,开展对页面文件的监控,以随时保证网站的可靠性。(4)提高入侵防范;布置入侵防范系统(IPS),实现对外部入侵的审查,对可判定的攻击行为进行屏蔽。(5)访问身份鉴别;对网站系统平台、操作终端、管理平台分别建立身份识别机制,各项系统操作默认成管理员账户、密码,完善操作员、审计员和管理员的职位、职能设定,对有不良操作记录的账户进行定期清理。(6)访问限制;通过引进系统管理员、安全管理员与安全审计员的管理角色,实行访问权限分离,以避免账号误用的情况发生,且三个管理员相互制约,可共同促进服务系统的安全性。
3.提升运维服务
政府门户网站也属于开放服务平台,需要运维人员对用户进行服务,因此网站安全性的提升还要从服务角度展开设计。首先要充分考虑运维服务的成熟开放性、安全可行性以及后期可维护性;其次,运维服务要对监控目标进行确立,以令其服务开展更具针对性,基于对网站安全问题的防御条件分析,其安全监控的目标应符合完整性、可用性及保密性原则,使其监控效果更加显著;最后,运维服务中对风险问题的监控应对文字、页面框架、图片、链接内容进行监控,主要审核敏感字、疑似篡改、网站DNS劫持,从性能角度而言,则是对页面下载实践、网站访问时间进行监控,并配备预警机制,如预警链接、报警电话、邮箱等。
结语:政府门户网站的功能性、价值性毋庸置疑,相关人员应当在丰富网站功能、提升网站服务之前保障网站的安全性。根据当前网络安全现状可知,一些改进了的网站入侵手段隐蔽性有所提升。因而相关安全防护体系的建立要从多角度考虑,不断完善更新,在管理、技术和服务上都做出升级,以令政府门户网站为人民生活的便利提供更好的促进。
参考文献:
[1]崔颖.政府门户网站的网络安全分析[J].电脑知识与技术,2019,15(21):38-39.
[2]宋瑞凤.基层政府门户网站安全防护的对策探讨[J].中国新通信,2019,21(23):136-137.
[3]倪雄,宗志锋,徐文君.政府门户网站安全保障体系设计研究[J].网络安全技术与应用,2018(03):85-86.
作者简介:杨丹,1982.11,男;民族:汉族;籍贯:浙江省湖州市;职称:中级;学历:本科;研究方向:职业技能鉴定信息化建设。
关键词:政府门户网站;安全保障体系;管理机制
前言:政府门户网站的主要功能在于更新最新政策、公开有关信息、征集群众建议、促进招商引资,其不仅构建了综合性的百姓服务平台,突显了地方政府的职能,还发布、吸收、中转了许多有价值的信息数据,对其自身工作的优化、升级管理的展开都具有关键性的意义[1]。也正因政府门户网站的强大功能性和较高的信息价值,相关人员才更应该对其安全防护工作加以重视,从当前的网络安全问题着手分析,为政府门户网站建立周密的安全保障体系。
一、政府门户网站风险因素分析
1.网站安全现状及问题
随着网络技术的发展,网络安全问题也逐渐成为人们最为关注的话题之一,常见的网络风险有病毒攻击、黑客入侵,不仅对网络用户的网页浏览造成困扰,还有可能对一些官方网站的安全带来威胁。政府门户网站主要以公共信息发布,群众意见搜集和各项数据分析为指向来运行,其中不乏有机密信息、重要数据,一旦流出将会为政府工作的展开带来较大的阻碍,但仍有不法分子为了获取利益采取先进手段对其展开攻击,且随着网络技术的不断优化,这些攻击手段也得到了进一步的升级。当前政府门户网站的安全问题主要具有以下特点:攻击手段隐秘;攻击面扩大(从网络层发展至应用层);攻击动机清晰(原来的网络攻击,黑客的目的各异,或为证明自己、或为扬名、或为个人喜好,当下的网络攻击基本为获取利益);让相关管理人员不得不提高警惕。
2.主要风险因素分析
导致政府门户网站存在安全问题的因素主要可以分为两方面:一是管理人员(部门)管理意识不足,一是管理手段、技术对不断更新的风险内容缺乏适用性。首先,政府门户网站的管理人员在网站风险监测与控制方面的专业度不强,有的虽然具备一定的理论识别能力,但实践经验方面要较专业人士低,常导致漏洞发现不及时或漏洞修复延期[2];加之对应的网站管理机制不够完善,相应的制度缺乏专业、合理的分工,应急预案的建设应对范围狭窄,甚至有些管理人员对应急预案的建设缺乏周密的考虑;此外,相关培训机制创设的不足也侧面反映了管理人员对门户网站风险抵御认识不足的问题。其次,网站安全保护相关技术与配套服务意识的欠缺也导致了一系列安全性问题。随着网络技术的不断发展,网络钓鱼、SQL注入与跨站脚本攻击等网络入侵方式也不断升级,而一些地区的政府门户网站管理人员在技术上仍存在欠缺,对于安全问题的抵御只限定于几个方面(基本停留在网络攻击抵御上,对应用端的风险防御较少涉及),对新的入侵手段则拿不出较具针对性的措施,为不法分子留下了可乘之机。
二、政府门户网站安全体系建立
1.完善管理机制
基于以上对政府门户网站风险因素的分析,可知对应安全保障体系的建立必须从管理人员的意识、工作开展模式和自身能力水平的提升着手,通过对管理机制的完善,为政府门户网站地长效安全运行奠定基础。第一步是制度的确立。相关管理人员应对各级政府门户网站的工作流程进行调研分析,汲取经验,并结合自身网站业务实际,完善日常安全管理的有关规范,如接口设计、网站运维等的细则设定,保证职责明确、分工合理且具有较高的可操作性[3]。第二步是应急预案的构设。所谓应急预案必须结合防护措施与恢复机制,从内外两方面将风险影响降至最低水平,以保证网站使用的连续性。而为减小对网站正常应用的影响,其应急预应可在浏览人数较少的工作日展开,并将演练结果作为应急措施的改进依据。第三步是管理人员培训。基于一些管理人员安全意识不高和风险防控水平不足的问题,有关部门还应定期对管理人员进行培训,使其思想、能力的提升与网络技术的发展保持一致。
2.強化技术保障
对应当前网络入侵技术的升级,政府门户网站安全管理工作也要在技术层面加强改进,多方面考虑问题,扩大防御领域,优化防御角度,全方位拦截、打击非法入侵问题。本着合规性、威胁性原则,政府门户网站系统的安全防护体系应在以下内容上进行设置:(1)划分安全区域;根据网站各系统服务器功能设置不同安全区域,设定访问控制列表(ACL),以对不同区域进行隔离及控制。(2)保证操作系统安全;秉承控制不必要服务软件、插件的应用以及及时更新系统补丁原则,对操作系统开启、运行、连接、数据存储等操作进行规范,加强系统巩固,有效提升对蠕虫、未知病毒等的抵御。(3)增设防篡改系统;于网站应用服务器上部署防篡改系统,开展对页面文件的监控,以随时保证网站的可靠性。(4)提高入侵防范;布置入侵防范系统(IPS),实现对外部入侵的审查,对可判定的攻击行为进行屏蔽。(5)访问身份鉴别;对网站系统平台、操作终端、管理平台分别建立身份识别机制,各项系统操作默认成管理员账户、密码,完善操作员、审计员和管理员的职位、职能设定,对有不良操作记录的账户进行定期清理。(6)访问限制;通过引进系统管理员、安全管理员与安全审计员的管理角色,实行访问权限分离,以避免账号误用的情况发生,且三个管理员相互制约,可共同促进服务系统的安全性。
3.提升运维服务
政府门户网站也属于开放服务平台,需要运维人员对用户进行服务,因此网站安全性的提升还要从服务角度展开设计。首先要充分考虑运维服务的成熟开放性、安全可行性以及后期可维护性;其次,运维服务要对监控目标进行确立,以令其服务开展更具针对性,基于对网站安全问题的防御条件分析,其安全监控的目标应符合完整性、可用性及保密性原则,使其监控效果更加显著;最后,运维服务中对风险问题的监控应对文字、页面框架、图片、链接内容进行监控,主要审核敏感字、疑似篡改、网站DNS劫持,从性能角度而言,则是对页面下载实践、网站访问时间进行监控,并配备预警机制,如预警链接、报警电话、邮箱等。
结语:政府门户网站的功能性、价值性毋庸置疑,相关人员应当在丰富网站功能、提升网站服务之前保障网站的安全性。根据当前网络安全现状可知,一些改进了的网站入侵手段隐蔽性有所提升。因而相关安全防护体系的建立要从多角度考虑,不断完善更新,在管理、技术和服务上都做出升级,以令政府门户网站为人民生活的便利提供更好的促进。
参考文献:
[1]崔颖.政府门户网站的网络安全分析[J].电脑知识与技术,2019,15(21):38-39.
[2]宋瑞凤.基层政府门户网站安全防护的对策探讨[J].中国新通信,2019,21(23):136-137.
[3]倪雄,宗志锋,徐文君.政府门户网站安全保障体系设计研究[J].网络安全技术与应用,2018(03):85-86.
作者简介:杨丹,1982.11,男;民族:汉族;籍贯:浙江省湖州市;职称:中级;学历:本科;研究方向:职业技能鉴定信息化建设。