邮箱登录: @sxei.cn  密码:
 

互联网时代下的政府信息安全

2016年11月21日

摘要:

  近年来,互联网蓬勃发展,网络规模不断扩大,在推动经济发展和社会进步的同时也给各行各业带来了越来越多的安全问题。电子政务作为政府信息化建设的重要组成部分,不仅增强了政府的服务功能,也提高了办事效率,但政府网站也同样面临各种各样的安全问题,如:黑客攻击、数据丢失、网上信息泄露等等。因此,如何加强政府网站信息系统安全,提高安全防护能力,建立网站应急响应措施成了互联网时代下保障信息安全的重中之重。

  一、当前政府网站所面临的主要威胁

  目前,政府网站的主要威胁存在三类:涉密信息被盗取、网页被篡改、网络系统遭受攻击。据统计,2015年,山西省共处理网络安全事件1402起,其中,恶意代码347起,恶意程序4起,网页篡改182起,网站后门153起,漏洞353起,网页仿冒1起,拒绝服务攻击1起,域名异常1起。从这些数据来看,政府网站面临的安全形势非常严峻,面临的风险也日益多样化。近年来,网站攻击也呈现出了新的特点:

  1、攻击手段更加多样化。黑客会从政府网站的一些死链接作为第一攻击目标,而后利用第一攻击目标的漏洞获得信息再去访问终极目标——政府网站信息系统。

  2、攻击更具破坏性。攻击者会从网络层攻击转向应用层渗透和攻击,这对Web应用防护提出更严峻的挑战。

  3、严重的APT(高级持续性威胁)攻击。它会绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等),并更长时间地潜伏在系统中,让传统防御体系无法侦测。

  二、政府网站安全存在的问题

  1、网站管理体制不健全

  管理是贯穿信息安全整个过程的生命线,管理对实现信息安全等级保护有十分重要的意义和作用。管理机制需要有信息安全等级保护制度的确立,需要有政策、法律、法规来保证。

  对于政府网站而言,整个网站需要有健全的管理制度,需要有专职的网络安全管理人员,并建立网站安全管理应急办法,对突发事件要有相应的应急措施。在对人员分工上也需要有严格的管理,对系统管理员、安全员、审计员等都要有严格的管理机制;系统的用户要有严格的权限管理,如果随意授权,访问控制就失去了作用。如果没有严格的管理机制,相应的安全技术和机制是不会起到应有的作用,甚至成为攻击的弱点和漏洞。

  2、单位对政府网站的重视不足

  对于政府网站日益庞大的信息系统的安全建设,需要领导的重视和采取强有力的措施,定期对网络安全人员进行培训,提高整个单位的安全意识,这样才能保证政府网站的安全机制发挥应有的作用。

  3、技术方面的缺陷

  首先,计算机系统本身的脆弱性让政府的信息安全存在着诸多威胁,信息系统在开发过程中本身就存在缺陷和漏洞,这就为黑客提供了可乘之机;其次,操作系统本身的漏洞也是一方面的原因,这就要求我们不定期去打补丁以修复系统;第三,政府网络在与互联网的隔离方式以及防火墙的设置上也有脆弱的一面,面对日益先进的技术,需要不断更新以防止黑客攻击。

  三、政府信息安全应对措施

  1、建立健全管理制度

  制定并完善网络安全管理的各项制度,配备专职的安全管理人员,建立网络安全应急预案,定期对安全管理制度和应急预案进行修订,提高应对安全风险的能力,保障网络信息系统安全。

  2、加强技术层的防范措施

  加强防火墙保护屏障,定时对计算机查杀病毒,及时更新病毒库,发现病毒并及时消除。对网站信息系统定期扫描,及时发现漏洞并修复,降低被黑客攻击的风险。有条件的情况下,每年定期对网站信息系统做测评,及时发现网站存在的问题并修复,防止黑客攻击。对网站的数据定期备份,建立应急措施,防止数据丢失和病毒损坏。

  3、技术人员的安全防范

  加强技术人员的安全培训,提高技术人员的安全意识,通过学习培训,掌握最先进的技术,做到安全意识与技术与时俱进。

  总之,一个好的网站保障体系应当具备以下的条件:

  1、卓越的安全设备及服务:能够及时并准确发现漏洞和攻击

  2、专业的安全专家团队:能够监测、处理、响应安全漏洞、安全威胁和安全事件

  3、全天候的安全监控:能够7*24小时快速响应攻击行为

  4、成熟可靠的安全运营流程制度:保障安全事件的闭环解决

  习近平总书记指出:“没有网络安全就没有国家安全,没有信息化就没有现代化。”在这样一个“互联网+”的时代,政府信息安全与国家安全同等重要,这就要求政府网站的每一个工作人员提高自身安全意识,加强防范,让互联网更好地为政府服务! 

    (本文作者:王晶  信息资源部)       (注:本文仅代表个人观点)

Top
来源:山西省经济信息中心信息资源部