浅谈各部门网站检查技术的需求与实践

Posted 2020-08-17

近年来，国家相关部门针对网站尤其是政府网站推出了一系列政策文件，并组织了多次安全检查。国家对于网站安全的重视力度凸显，在短时间内高密度地发布各类通知及文件。通知要求“各地区、各部门要对政府网站管理工作开展经常性的督促检查，并使之制度化、常态化，及时发现并妥善解决存在的问题。”通知提出“加大党政机关网站、电子邮件系统的安全检查力度，中央和国家机关各部门网站和省市两级党政机关门户网站、电子邮件系统等每半年进行一次全面的安全检查和风险评估。”

一，平台与网站越来越多，问题更多

互联网服务平台及门户网站已经成为互联网时代政府机关企事业单位的形象代言，是政企单位展示自身形象的一个重要渠道。从国务院办公厅组织开展的第一次全国政府网站普查情况获悉，截至2015年11月，各地区、各部门共开设政府网站84094个。随着政务工作从信息公开向综合服务不断提升，以“互联网+”为理念，将会打造更多的政务信息数据服务平台和便民服务平台。

与此同时，Web页面被篡改，甚至出现违法信息，被挂暗链，SQL注入，XSS攻击等Web安全问题层出不穷，网站被黑事件屡见不鲜，对网站组织者的声誉和公信力造成巨大负面影响，不乏众多事实案例证明，Web门户页面是黑客入侵和攻击利用的重要突破口。

根据中国互联网站发展状况及其安全报告(2016) ，2015年网页篡改、网站后门等攻击事件层出不穷，党政机关、科研机构、重要行业单位网站依然是黑客组织攻击特别是APT攻击的重点目标。2015年被植入后门的中国网站数量为75028个，较2014年增长86.7%，其中政府网站为3514个，较2014年增长130%。政府网站因公信力高、影响力大，容易成为黑客攻击目标，特别是地方政府网站成为“重灾区”。

二，网站安全检查渐成常态

公安部、国家发改委和财政部联合印发通知，明确要求对国家级重要信息系统/重点网站所在单位每年开展一次网络安全执法检查。要求各级政府网站主管部门要做好安全防范工作，要“加强网站安全监测、测评和检查，查找网站安全隐患并及时整改，落实网站防攻击、防篡改、防挂马等关键技术防范措施，组织开展应急演练，提高网站抵御攻击破坏的能力”。

以上是针对日常安全隐患检查，在攻击发生前对网站安全隐患扫描及整改，通过检查手段尽量减少漏洞的方式，减少攻击发生。