电子政务网站作为电子政务的重要组成部分,是政府部门对外的窗口和实施电子政务的重要平台,其地位很重要,但其安全形势却不容乐观。据CNCERT最新监测多个方面数据显示,2014年1月我国境内被篡改政府网站数量为542个;被植入后门的政府网站有208个。电子政务门户网站基于Web应用服务方式,给用户更好的提供了方便,然而针对Web业务的攻击亦在迅猛增长,类似网页被篡改或者网站被入侵等安全事件频繁发生,不但极度影响了政府的对外形象,有时甚至会造成巨大的经济损失,或者严重的社会问题,严重危及国家安全和人民利益。
从CNCERT的监测数据和有关报道不难发现,目前,电子政务网站主要存在3方面的安全漏洞。
(1)服务器操作系统漏洞。政务网站是基于计算机网络的,而计算机的运行又少不了操作系统的支撑,如果操作系统存在漏洞,比如常见的缓冲区溢出漏洞、IIS或第三方Web软件漏洞等都可能让系统瘫痪,将直接影响到网站的安全。
(2)网站设计的缺陷。网站设计者往往只考虑业务功能和一般的情况下的稳定,考虑怎么使用户得到满足应用,怎么来实现业务需求,很少有网站设计人员考虑开发过程中存在的漏洞。大部分网站设计者、开发者、网站维护人员对网站功放技术不甚了解,即便存在安全漏洞,使用者在正常使用的过程中也不会觉察。
现有的电子政务网站基本上采用防火墙作为边界防护但是基于网络层包监测过滤技术的防火墙无法发现应用层中的攻击行为,也不能完全检测或拦截嵌入到普通流量中的恶意攻击代码。黑客往往利用防火墙的这些弱点对电子政务网络站点进行攻击。
SQL注入是指利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,SQL注入利用的是正常的HTTP服务端口,表面上看来和正常的Web访问没有区别,隐蔽性极强,不易被发现。一旦攻击者将恶意SQL代码注入到数据库,攻击者即可以或查看数据库内容,或删除数据库内容,无论哪一种情况,对用户来说都是一场灾难。
跨站脚本攻击(CSS或XSS),即恶意攻击者向Web页面里插入恶意代码,当用户浏览该页时,嵌入其中的恶意代码就会被执行,进而达到攻击的目的。XSS跨站脚本攻击一直都被认为是客户端Web安全中最主流的攻击方式,因为Web环境的复杂性以及XSS跨站脚本攻击的多变性,使得该类型攻击很难彻底解决、
DDos攻击即分布式拒绝服务攻击,是指攻击者借助于客户/服务器技术,将多台计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力、最基本的DoS攻击方式是攻击者通过大量合法的请求来占用过多的服务资源,导致服务器过载、网络瘫痪,从而使合法用户没办法得到服务的响应。
目前,电子政务网站的防护绝大多数都是依靠防火墙、入侵检测和漏洞扫描等安全设备,而这些设备都需要依赖特定的规则库来识别威胁。由于规则的形成或升级必然落后于攻击手段的变更,大多数网站攻击行为都是利用这个时间差进行的,因此,基于特征的安全防护设备无法确保网站内容安全、另外,防火墙、入侵检测和漏洞扫描等安全设备主要是针对数据链路层、网络层信息进行威胁识别,不能对来自应用层的威胁进行相对有效识别,因此基于防火墙、入侵检测、漏洞扫描的安全防火措施不能有效地保障网站安全。
为保障电子政务网站的安全,必须建立一套完整的网站安全体系,并在此体系的基础上融合其他一些安全技术,协同保障电子政务网站的安全。电子政务网站的安全体系最重要的包含下面几方面:
(1)物理层面的安全,即硬件设备的安全,硬件设备是电子政务网站的基础,在网站运营之初须建立严格的安全操作规范并针对有几率发生的问题制定应急对策。
(2)网络层面的安全,主要关注安全区域的划分,各区域之间更具国家对政府对行政级别要求的不同,采用不一样的防护设备,包括实现逻辑隔离的防火墙和实现物理隔离的网闻。
(3)应用层面的安全,即Web应用程序或系统数据库的安全,通过对网站、数据库访问的全面实时监控,对重要数据的加密处理和定期备份来保障电子政务网站的安全。
(4)建立完善的安全管理制度和应急恢复机制,提高管理人员的操作能力与应急能力,保障电子政务网站信息系统的平稳运行和网站内容信息的安全完整。
网页防篡改技术不同于防火墙技术和入侵检测技术,其主要关注应用层信息的合法性,防护功能不依赖于特征库,所以不受网站攻击手段变化带来的负面影响,弥补了传统防护体系中存在的部分安全漏洞,从应用层面解决网站安全内容的问题。当前,应用较为广泛的网页防篡改方式是通过Web服务器的备份文件过滤驱动技术保护技术和操作系统的结合使用,能够检测所有的网页和文件,执行准确率较高,防止了网页在被篡改之后网民可以浏览到的可能性,且占用的系统资源和负载比较小。
Web应用防火墙是一种针对Web服务器安全保护的硬件设备,集Web防护、网页保护、负载均衡、应用交付于一体把Web应用防火墙设备透明地部署在Web服务器区前面,检测每一个访问者的请求内容,并进行规则匹配。
(1)能主动防御Web攻击,智能分析应用缺陷,屏蔽恶意请求,防范网页篡改;
电子政务网站的安全风险隐患集中在两方面,(1)应用系统方面的网页源代码漏洞,(2)系统平台方面的安全漏洞。因此,为了从根本上解决网站安全问题,必须从这两方面入手对电子政务网络站点进行加固。
(1)应用系统加固。电子政务网站应用系统的加固主要是网页源代码的加固,网页加固代码能够防护基于参数处理漏洞,如SQL注入、XSS等。同时,源代码加固也对网页中存在的恶意代码进行彻底清除,并配合渗透测试,保证网站的安全稳定运行。
(2)系统平台加固,即对操作系统、数据库、网络设备的加固。根据安全状况需要,针对不同目标系统,通过系统补丁、修改安全策略、增加安全机制等增加操作系统、数据库等软件平台的安全性。同时采用高性能网络设备、避免导致系统性能直线下降的技术的应用、部署专业的针对性较强的安全硬件产品来增加防范恶意攻击的能力。
网站安全检测技术能够及时有效地发现攻击,并采取应急措施保障网站的安全。目前常用的网站安全检测技术有如下几种:
(1)网站远程检测。与传统的检测技术相比,远程安全检测有自己鲜明的特点。(1)远程检测的标准化程度更高;(2)远程检测采用多种安全工具进行全方位检查,并经过人工审核和数据分析,其相对于Web漏洞检测更加快速,结果更加准确全面,避免了单一工具检测的片面和误报。
(2)操作系统及应用环境安全检测。操作系统及应用是网站运行的基础,操作系统及应用环境的安全直接影响电子政务网站的安全稳定运行,因此就需要不断地对操作系统及应用环境进行诸如是否有入侵痕迹、是不是真的存在隐藏的克隆系统管理员账号、中间件环境是不是真的存在安全风险隐患等方面的检查。操作系统的安全检测最重要的包含系统补丁更新情况、系统账号密码的安全性策略、系统服务的安全性策略等与系统安全直接相关的各种系统配置的检测。应用环境的安全性检验测试包括提供Web服务程序安全性检验测试、提供代码解释和执行的基础环境的安全性检验测试等。
(3)网站挂马检测。网站挂马检测服务,事先定期对网络站点进行监控和检测,及时有效地发现网站是否被挂马。网站挂马检测不仅即可以检测网页代码中是否嵌入了木马,也可以检测嵌入和存储到数据库中的恶意代码及其相关目的链接,其能有效防范XSS跨站脚本攻击和SQL注入攻击。
电子政务网站的安全管理是一项系统工程,网站的安全策略要随着攻击手段和防范技术的发展而不断调整。为保障政务网站的安全运作,促进电子政务的健康发展,不但需要从技术层而做好漏洞防护而且要从管理角度采取一些有效措施,做到技术与管理有效配合,是电子政务网站安全运行的长期有效的途径。
接受色情、低俗、侵权、虐待等违法和不良信息的投诉,我们将会在48小时内给文章处理!