近年来,慈溪市针对信息技术及其应用高速发展形势下政府网站安全问题愈加严峻的实际,在严格落实信息安全各项制度和技术措施的同时,积极推进实施政府网站建设从分散型、集中型模式向集约型模式转变,实现了政府网站网络级、硬件级和软件级的集约型安全防范,有效地提升了政府网站的安全防范能力。目前,该市已全面摒弃了政府网站发展初期其建设和安全防范均由各单位自行委托IT公司实施,以及前些年政府网站统一由该市信息中心托管而软件级安全防范仍委托IT公司承担的做法,通过推进政府网站群项目建设,全市105个机关单位网站均按集约型模式依托网站群软硬件统一平台建设,其网络级、硬件级和软件级安全防范均由该市信息中心统一部署、管理,全面增强了政府网站的安全防范能力。
　　
　　一、集约网络级、硬件级建设,增强政府网站技术上的安全防范。即针对原分散型建设模式下各党政机关网站均由各单位自行委托IT公司建设,其网站无论从网络级、硬件级和软件级均存在较大安全隐患的情况,从2004年开始,推行集中型模式,由该市信息中心为各党政机关网站提供托管服务,竭力避免有些单位将其网站整体托管给私人或者较小规模IT公司而产生的网络级和硬件级安全问题。至2007年底,有55个机关单位将网站托管至部署在电子政务外网公众服务区的该市信息中心4台服务器。经过2007年底开始的政府网站群项目建设,至目前,该市105个机关单位网站为公众提供信息浏览和信息提交的服务均部署在电子政务外网公众服务区的2台服务器上,其他2台数据库服务器、1台应用服务器和1台备份服务器则部署于安全等级更高的资源共享区。该市信息中心逐年投入资金150余万元,配备了千兆防火墙系统、千兆入侵检测系统、上网行为日志审计系统、网络负载均衡系统、防病毒系统、补丁升级系统等,集约用于政府网站的网络级和硬件级安全防范。今年,又针对政府网站访问不畅的实际,投入资金30余万元,购置了网络流量控制设备,成倍加大了政府网站访问带宽,增强了政府网站的网络级和硬件级安全防范能力,提高了政府网站的使用效率。
　　
　　二、集约软件级建设,进一步增强政府网站技术上的安全防范。即针对前几年集中型建设模式下网络级和硬件级安全防范已得到增强,但由于网站软件仍由各IT公司编制,其软件级尤其是应用软件级安全仍然存在较大隐患的情况,2007年底开始的政府网站群项目建设,要求全市政府网站不仅要依托统一的网络和硬件平台,还必须依托统一的软件平台。经过近二年的努力,已有105个机关单位网站依托了网站群软件统一平台建设,软件级的安全防范由该市信息中心统一实施。该市信息中心投入200余万元资金,配备了网站内容发布应用软件、网站信息交互应用软件、主页防篡改软件、数据备份软件和网站运行动态监控软件等,特别是配备网站运行动态监控软件后,网站各级管理员借助该系统,即能第一时间收到网站检测一旦异常而自动发给的短信,并迅速采取相应措施。
　　
　　三、集约技术服务,全面增强政府网站技术上的安全防范。即针对目前政府网站集约型建设模式下已进一步增强了网络级、硬件级和软件级的安全防范,但由于信息技术发展日新月异,今天已经是很安全的防范在明天也许不太安全甚至很不安全的情况,该市信息中心委托专业的网络安全服务公司,对政府网站开展每季度一次的全面安全检测加固工作,以便能更有针对性做好日常的安全防范,全面增强政府网站的安全防范能力。例如在2009年一季度的检测加固中,该市信息中心发现了省公安厅通报的网站XSS漏洞,找到了漏洞产生的原因和解决办法,采取了对该漏洞进行日常监控的处置方案。2009年9月,该市信息中心协调网络安全服务公司,对政府网站进行了国庆前的专项安全检测加固工作,发现并改正了二个存在的漏洞隐患,制订了进一步强化针对XSS漏洞的日常监控工作措施。
　　(作者单位:浙江省慈溪市府办,慈溪市信息中心)