如何加強網站維護和網站安全建設

導語：如何加強網站維護和網站安全建設一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1前言

根據國家權威數據顯示，近些年來網站遭受黑客攻擊的次數呈現逐年上漲的趨勢，其中政府門戶網站遇到的黑客攻擊占到總體受攻擊次數的30%左右，由此可見，政府門戶網站正面臨著嚴重的安全隱患。由于政府門戶網站涉及諸多的重要信息，主要包括政府的政治、經濟、軍事等重要信息，這些信息關系到政府工作的安全，必須要嚴加保護，如果出現泄密事件將會對政府工作造成嚴重的傷害。基于這一目的，政府門戶網站亟需加強網站維護和網站的安全建設，只有這樣，才能保證政府門戶網站的安全穩定運行。由于互聯網具有開放式的特點，政府門戶網站在日常運營中既要履行開放式功能和基本的服務職責，又要考慮到網站安全性的需要，由此也決定了政府門戶網站維護和網站安全建設的復雜性。所以，政府門戶網站的維護和安全建設必須立足網站本身的功能，從其實際的使用特點出發。

2加強政府門戶網站維護和安全建設的必要性

從目前掌握的信息來看，每年政府門戶網站都會遭受大量的網絡惡意攻擊，如果我們不加強政府門戶網站的維護和安全建設，不但無法規避網絡惡意攻擊帶來的傷害，還會使政府門戶網站喪失原有的功能。所以，加強政府門戶網站維護和安全建設是十分必要的。其必要性主要表現在以下幾個方面：

2.1加強政府門戶網站維護和安全建設是提高

網站安全性的必要手段為了保證政府門戶網站安全性，我們必須加強網站日常的維護和安全建設，提高維護管理水平和網站安全級別，從根本上對政府門戶網站的安全性引起足夠的重視，從手段上予以保障和加強。從目前政府門戶網站的維護和安全建設情況來看，通過這兩項建設，政府門戶網站的安全性得以明顯提高。所以，加強政府門戶網站維護和安全建設是提高網站安全性的必要手段。

2.2加強政府門戶網站維護和安全建設是促進

網站整體水平提升的必要途徑對于我國的政府門戶網站來講，由于發展時間段短，在網站維護和安全建設水平上還處于較低的水平，要想實現網站安全性提高，就必須積極加強網站日常的維護和安全建設工作，將網站維護和安全建設工作當作網站運行的主要事情來做，努力提升網站維護和建設水平。從目前政府門戶網站的實際運行來看，加強政府門戶網站維護和安全建設是促進網站整體水平提升的必要途徑。

2.3加強政府門戶網站維護和安全建設是網站

健康發展的必要階段從目前網站的發展歷程來看，都會面臨嚴峻的惡意攻擊，在這種形勢下，只有不斷加強網站的日常維護和持續的安全建設，才能有效應對網絡攻擊。普通商業網站都是經歷過這一發展階段的，對于組建時間較短的政府門戶網站來講更是如此。所以，政府門戶網站要想實現健康發展的目標，就必須經歷加強網站維護和安全建設的階段。

3政府門戶網站維護和安全建設的管理體系構建

從目前政府門戶網站的維護和安全建設情況來看，要想有效加強政府門戶網站維護和安全建設，首先就要從管理體系的建設入手，具體可以采用以下方法：

3.1在政府門戶網站中建立標準的網站技術管理規范

面對網絡安全的脆弱性，除在網絡設計上增加安全服務功能，完善系統的安全保密措施外，還必須花大力氣加強網絡的安全管理。(1)非涉密、涉密網機器不允許混用，在政府網絡系統內做好內外網絡物理隔離。(2)非涉密網機器不允許運行涉密信息，涉密網機器不允許上非涉密網。(3)必須嚴格按照安全等級劃分，制定相應的安全保密制度。(4)不同安全域、安全等級之間的信息必須通過安全交換系統方可交流。

3.2在政府門戶網站中建立完善的人員和組織結構

在政府門戶網站中，我們要建立一支完善的網絡維護隊伍，保證網絡能夠得到有效維護和正常使用。另外，我們還要建立健全的組織機構，要將專業的網絡維護隊伍分級分層，達到每個安全層級都有專業的網絡管理員負責，起到良好的網絡安全監管作用，保證網站的安全能夠滿足運行需要。從目前政府門戶網站的實際運行來看，建立完善的人員和組織結構是加強網站維護和安全建設的重要手段。

3.3在政府門戶網站的日常運行中建立應急事件響應機制

從政府門戶網站的日常運行來看，惡意網絡攻擊只是個別事件，但是一旦事件發生，往往會對網站造成不可彌補的損失。因此，我們要在保證網站正常運行的同時，建立應急事件響應機制，并建立網站惡意攻擊應急預案，保證在網站遇到惡意網絡攻擊的時候能夠迅速響應、有效應對，及時消除網站安全隱患，解決網站受攻擊問題，減少網站損失。

3.4在政府門戶網站中建立健全的安全培訓體系

要想加強政府門戶網站的維護和安全建設工作，僅僅依靠網絡管理團隊是遠遠不夠的，在組建網絡管理團隊之外，我們還要對政府機關的每一個使用者進行網絡安全知識培訓，并建立健全的安全培訓體系，保證安全知識培訓的長效性。我們要通過對每一個政府門戶網站的使用者的培訓，來提升政府門戶網站的安全性，促進政府門戶網站安全建設取得積極成果。

4加強政府門戶網站維護和安全建設的具體技術措施

考慮到加強政府門戶網站維護和安全建設的必要性，我們除了要從制度上保證政府門戶網站維護和安全建設之外，還要從具體的技術手段入手，從技術層面切實加強政府門戶網站維護和安全建設。主要可以從以下幾個方面入手：

4.1政府門戶網站應該選擇安全性高的結構設計

從目前政府網站的運行維護模式來看，主要采用了采集式、報送式和子同站三種主要模式，其中子網站模式最能代表政府網站發展的潮流與趨勢。所以，我們要在結構上選擇安全性較高的設計方案。以下方案為政府門戶網站的主要形式：

4.2政府門戶網站應該積極采用網頁防篡改技術

從目前政府門戶網站所遭受的惡意攻擊來看，百分之八十的攻擊行為都表現為網頁篡改上，黑客通過對政府門戶網站網頁的篡改，誤導網絡用戶，從而對政府門戶網站的正常運行造成極大的影響。為了減少政府門戶網站遭受的惡意攻擊，我們應該積極采用以下網頁防篡改技術，保護政府門戶網站的安全。外掛掃描技術是采用從外部逐個掃描網頁文件的方式來判斷對網頁的非法修改，來用這種技術一般會有一定的時間間隔，而且網站的文件越多，時間間隔越長，不能保證被黑客修改的網頁不被訪問者看到。由此可見，雖然外掛掃描技術對防止網頁文件的攻擊有一定的效果，但是這種技術也存在一定的技術局限，就是每次進行全面掃描的時間較長，被掃描的文件越多消耗的時間就越長，由此也導致了對待某些攻擊性文件不能馬上做出反應，導致反應相對遲緩。所以，我們在應用該方法的時候，要盡量縮短掃描時間。采用核心內嵌技術的防篡改系統，其篡改檢測模塊運行于Web服務器軟件內部，與Web服務器無縫結合。每次Web服務器對外發送網頁時，系統都進行網頁防篡改檢測，從而能夠實時地確保每個網頁的真實性。從目前政府門戶網站的運行來看，核心內嵌技術無疑成為對付惡意網絡攻擊的重要手段。在應用核心內嵌技術的同時，我們要將外掛掃描技術和內嵌技術進行綜合運用，發揮二者在網站不同環節的優勢，有效應對網頁篡改的發生，從大到提升網站安全性的目的。事件觸發技術是把系統的篡改檢測模塊嵌入到操作系統內核，致使所有的文件非法變更事件都會被事件觸發器無延遲地獲取。該機制完全區別于掃描技術和核心內嵌技術．不需要與備份進行對比分析的繁瑣過程，可以實現監控的實時性和系統資源低占用率，是當前比較先進的一種防篡改檢測技術。事件觸發技術有效解決了網站受到惡意攻擊后的反饋問題，提高了信息反饋速度，提升了整個信息反饋的質量。所以，在政府門戶網站的運行中，我們要積極利用事件觸發技術來應對網站的網頁篡改攻擊。

4.3政府門戶網站應該定期對安全技術進行檢驗和評價

從以上的分析可知，外掛掃描技術、核心內嵌技術和事件觸發技術是應對政府網站網頁篡改的主要手段，在政府門戶網站的維護和安全建設中起到了積極作用。因此，我們要積極推動這三項技術的應用。但是隨著網絡技術的飛速發展，我們要想保證這三項技術能夠持續發揮作用，就要定期對這三項安全技術的效果進行檢驗和評價，保證其能發揮正常作用。雖然外掛掃描技術取得了積極的效果，在政府門戶網站的安全建設中發揮了重要作用，但是受到技術自身的局限，即使應用了外掛掃描技術，也無法阻止公眾訪問到被篡改網頁，它只能在被篡改后一段時間發現和進行恢復，因此公眾有很大可能訪問到被篡改網頁。基于這種狀況，我們要定期對外掛掃面技術進行檢驗和評價，以驗證該技術是否仍然有效。檢驗過程主要依靠模擬惡意攻擊的方式來實現，通過用已知的網絡攻擊手段來模擬網絡惡意攻擊，以此來驗證該技術的實際效果。相對于外掛掃描技術而言，核心內嵌技術的優點更加突出，并且實效性更強，在政府門戶網站的安全建設中起到了突出的作用，不但提升了整個網站的安全級別，同時也提高了網站的技術實力，從現有的使用效果來看，核心內嵌技術的優點主要在于守住Web網頁流出的最后一道關口，因此能夠完全杜絕被篡改的網頁被公眾訪問到，真正做到萬無一失。所以，我們在對核心內嵌技術進行檢驗和評價的時候，要針對其控制能力進行檢驗和評價，驗證其控制能力是否依然有效。由于只在正常網頁時進行安全檢查，因此對網頁訪問的影響幾乎為零，額外占用的服務器負載也基本上為零。事件觸發技術：并不能確保捕獲對文件的所有方式的修改(例如直接寫磁盤、直接寫內核驅動程序、利用操作系統漏洞等)，非常容易被專業黑客很容易繞過；而且一旦成功，它沒有任何手段來察覺和恢復。它的技術特點決定了它類似于防病毒工具(以黑防黑)而不是專門針對網站保護的系統。

5結論

通過本文的分析可知，在目前政府門戶網站的運行過程中，出于維護網站正常運行和保證網站安全性的目的，我們必須加強政府門戶網站的維護和網站的安全建設，從根本上保證政府門戶網站能夠安全、穩定、可靠的運行，提高政府門戶網站的安全級別和攻擊預防能力。由此可見，我們應積極構建政府門戶網站維護和安全建設的管理體系，選擇安全性高的結構設計，并積極采用網頁防篡改技術，維護政府門戶網站的安全，消除政府門戶網站的安全隱患，解決政府門戶網站受到惡意網絡攻擊的問題。

本文作者：王瑜工作單位：天津市信息中心