建立互联网网站全生命周期安全体系
近日,公安部、中央网信办、中央编办与工信部,联合发布了《关于印发<党政机关、事业单位和国有企业互联网网站安全专项整治行动方案>的通知》。这是继今年3月国务院办公厅印发《关于开展第一次全国政府网站普查的通知》之后,针对此次普查结果做出的具有战略意义与重大实际作用的举措,充分体现了我国政府重视国家网络空间安全,并将之提高到国家安全战略高度的决心和意志。
这一系列措施,是与目前我国严峻的网络安全形势紧密相关的。2013年全年,我国境内被篡改网站数量为24034个,较2012年增长46.7%,另有76160个网站被植入后门;而2014年全年则为36969个,较2013年更是大幅增长了53.8%,被植入后门的网站数量为40186个。截至今年9月,安恒信息风暴中心监测发现我国政企网站存在高危、可被入侵者利用的漏洞数量为62835个,通报安全事件数量为6298起(次)。
虽然得益于政府网站安全意识的逐渐提高、电子政务信息安全等级保护工作的不断推进以及对政府网站重点监测的增强,我国境内政府网站被篡改数量在今年略呈下降趋势,但来自境外反动组织发起的、有计划、有目的攻击行动数量有所增加,尤其是各地方政府委办局、公检法系统、县级政府门户网站安全问题仍不能掉以轻心,安恒信息风暴中心向公安部及CNCERT通知上报的安全事件中,很大部分都归属于上述政府网站分类。
《党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》(以下简称“整治行动方案”)中,明确指出严峻外部形势下我国党政事业单位与国企网站安全的主要问题:
一是安全责任不落实,重应用而轻安全,防护措施缺失,安全漏洞和隐患突出,这主要是信息安全意识淡薄、安全管理机制空白、安全专业人员与专业安全技术欠缺所造成的;
二是基层党政机关、事业单位和国有企业网站众多、网站规模小且分散,安全管理和防护能力差,这是我国具体国情所决定的。对基层党政机关、事业单位或国有企业分支机构来说,所能投入到信息安全建设甚至信息化基础建设的人力物力,在庞大的单位数量面前都极为有限,这是完全可以理解的客观局面,但也亟需得到改进;
三是应急保障措施缺失,网站安全监测能力和应急处置能力不强,这个问题直接导致了在前述两点问题存在的情况下,对网站漏洞存在与安全事件的发生缺少及时发现的能力,或者在得到通报之后缺乏及时修复漏洞与恢复业务的能力。
以上三个问题,说明对互联网网站的“事前预防感知、事中防护发现、事后感知响应”的全生命周期安全体系建设,亟待加强。
在具体措施中,强调需“进一步落实党政机关和事业单位网站开办审核工作”与“进一步开展党政机关和事业单位网站统一标识工作”,这是对第一次政府网站普查结果的后续整改工作,同时也是针对目前大量存在仿冒党政网站的信息安全问题的预防与响应工作。在这个问题上,各级地方政府与行业主管部门,都对自身网站状态普查与仿冒网站发现的能力,有着较为紧迫的需求。
另外,还强调了“督促指导党政机关、事业单位和国有企业开展网站群建设”,这是我国电子政务建设的必然趋势与客观需要。通过网站群的建设,可以将分散的小网站进行归并,实现统一管理、防护与监测,解决各基层党政机关、企事业单位网站缺少信息安全资源的客观困难,同时也提高了电子政务业务运转效率。事实上,近年来各地电子政务建设“数据大集中”与“政务私有云”的思路,都是极为有效的解决方案,但对于数据中心或政务云的安全防护,以及基于政务云本身的安全服务能力形成,也成为了网站群建设所需要重视的关键点。
在网站安全建设的具体工作方面,明确指出了“建设安全防护技术措施,加强网站安全监测、测评和检查,查找网站安全隐患并及时整改,落实网站防攻击、防篡改、防挂马等关键技术防范措施,组织开展应急演练,提高网站抵御攻击破坏的能力”,这在原有信息安全等级保护技术要求的基础上,对网站的具体防护手段做了细化与明确:
1.明确指出网站运维工作中必须有日常安全监测机制内容,包括保密性、完整性与可用性监测;
2.对网站自身(而非接入网络链路)需要有防攻击能力;
3.对网站内容完整性(防篡改、防挂马)应具备技术保障能力;
4.对网站安全事件的应急演练,应具有攻防实验模拟的技术能力,不能仅提留在纸面上。
同时,还明确了要“全面加强党政机关、事业单位和国有企业网站安全监测、应急处置和责任追究”的方案内容,这是对各地方、行业信息安全主管(监管)机关制定的、完整的网站安全监管业务流程;明确了此类网站的信息安全主管(监管)机关为“各级网信部门、公安机关、通信主管部门”,并首次强调了技术支撑单位作为社会资源应参与到网站安全监测、通报预警和应急处置工作中,也同时明确了安全事件(事故)处置流程中各参与机关单位的责任分工与具体工作。这一系列具有明确指示和切实可操作性的方案,对党政机关、事业单位和国有企业网站安全监测、应急处置和责任追究的具体工作,提供了清晰的工作思路与重点,尤其是如何建立起自身的网站安全监测、通报预警和应急处置工作平台,更是成为了这项工作能否顺利完成的重中之重。
最后,整治行动方案还重点强调了要“严厉打击攻击破坏党政机关、事业单位和国有企业网站的违法犯罪行为”。根据安恒信息风暴中心大数据监测统计与安全情报分析与攻击溯源工作结果,近年来对我国党政机关、事业单位和国有企业网站的违法犯罪行为,呈现明显的计划性、规模性、组织性、集团性与持久性态势,来自国内外的反动、网络盗窃、诈骗、色情与赌博团伙全年无休、无所不用其极地对这些网站展开入侵与利用。因此,对打击此类违法犯罪行为,需要充分利用新兴的基于云与大数据的网络安全态势感知与威胁情报技术,解决攻击事件溯源与攻击者行为模式判定等问题,为中止其犯罪行为、加快破案速度提供充分的数据与技术手段保障。
综上所述,本次“党政机关、事业单位和国有企业互联网网站安全专项整治行动”的推进,将是我国此类网站信息安全建设的重大节点,对新形势下网络安全管理机制的宣贯以及对网络安全大数据、云技术的充分利用,必将促进互联网网站生命全周期安全体系的实现。