吉林省人民政府門戶網站作為全省政府系統的中心網站和省政府對外服務的重要窗口,經過兩年多的建設,現已初步構建起了省政府公眾信息網服務網絡體系,不僅能為省政府34個工作部門提供部門網站建設資源和技術支持,還能為接入省政府統一構建的高速網絡平臺的36個省政府工作部門提供互聯網接入服務。這樣省政府門戶網站的安全保密工作至關重要,一方面要確保網站系統穩定運行,保障網站信息安全,另一方面還要對上網發布的信息、上網的用戶進行監控和管理。圍繞這兩個特點,省政府門戶網站逐步采取了一些的技術措施,也逐步建立了一些制度和規范,為門戶網站的平穩運行提供了保障。
一、采用多種安全保密技術措施,提高網站防范能力
省政府門戶網站建設之初就著手網站的安全建設,逐步采用了多種安全保密技術措施:
一是實現了門戶網站的網絡系統與省政府辦公廳內部辦公網絡完全的物理隔離,獨立成網。
二是制訂系統安全技術措施,使用漏洞掃描軟件掃描系統漏洞,及時發現系統安全隱患,采取積極的修補措施。
三是采用網絡安全控制技術,安裝了采用防火墻、入侵檢測系統等設備,加固服務器區網絡安全防護,有效地阻止多種攻擊和入侵企圖。
四是采用關鍵字過濾技術,通過殺毒網關及時過濾郵件有害信息,防止病毒和不良信息的傳播。
五是采用網頁防篡改系統,自動恢復被篡改的網頁,保證網站主頁、重要頁面的安全。
六是采用CA數字認證系統,加強發布信息的安全管理,分層管理網站工作人員的信息維護權限。
二、建章建制,規范安全保密制度和保障措施
網站安全保密管理,除了采用必要的技術措施以外,還需要建立健全安全保密管理制度,落實信息安全管理責任。網站中心已經建立的安全管理制度主要有:《吉林省互聯網政府網站管理辦法》、《省政府門戶網站信息發布管理辦法》、《省政府辦公廳政務活動信息網上發布制度》、《省政府門戶網站安全管理制度》、《省政府門戶網站安全管理人員崗位工作職責》、《吉林省政府門戶網站交互式欄目登記制度》等,通過這些制度進一步明確了網站建設和信息管理的安全保密要求。
三、不斷改進日常管理工作,完善安全管理體系
在技術措施和制度建設的同時,網站中心還加強了節假日值班工作,制定了省政府門戶網站應急預案。根據國內外安全動態,及時調整和完善相關的安全策略,采用入侵檢測和防火墻系統聯動、雙層異種防火墻聯防、信息網關過濾等有效策略,初步構筑了省政府門戶網站安全體系,有效地阻斷了數十萬次的攻擊企圖,過濾了3千多個帶有病毒或是有非法內容的郵件,平穩渡過了近年來出現的“蠕蟲病毒風暴”和“沖擊波”等病毒大爆發時期。
盡管如此,隨著省政府網站快速的發展和網絡犯罪技術手段的升級,省政府門戶網站還存在一些安全問題和隱患,主要是缺少互聯網接入日志審計、反跟蹤軟件、災難預警等安全技術措施,沒有建設起網絡備份系統,還缺少一些配套的安全制度規范的建設。
按照《中央辦公廳、國務院辦公廳轉發國家信息化領導小組關于加強信息安全保障工作的意見的通知》(中辦發[2003]27號)要求,結合省政府門戶網站現狀,需要進一步采取技術措施,加強網站互聯網用戶的管理,全面構筑網絡信息安全保障體系。我們應該采取以下策略:
一、 重新審核網站信息,進一步規范信息發布工作
采用“互聯網涉密信息檢查系統”等技術手段,對網站信息實施動態監控,定制的策略實時掃描網站發布的信息是否有涉密、有害信息,通過人工審核進一步做好網站的信息安全保密工作。
二、建立健全、監督執行網站安全規章制度,進一步規范網站管理
需要再建立一些網絡和信息安全管理制度,并督促各網站管理員很好地貫徹執行,確保落到實處。
(一)建立《省政府門戶網站互聯網用戶管理辦法》,確保各建站和入網單位落實“誰上網誰負責”的屬地負責制。進一步明確信息安全責任,以促使入網各部門盡快采取安全措施管理好本部門的互聯網用戶。
(二)建立《省政府及辦公廳政務信息上傳省政府網站工作制度》、《省政府門戶網站信息發布責任制度》等相關制度,進一步落實信息采集、審核、發布、管理責任,豐富網站內容,提高網站信息質量,確保信息安全。
三、強化技術措施,建設完善的信息內容安全監控體系
需要在現有基礎上,逐步建立和完善信息安全監控系統,提高對網絡攻擊入侵、有害信息傳播的防范能力。計劃采用互聯網接入安全審計系統、郵件監視軟件、反跟蹤軟件、災難預警等安全措施;建設網站容災備份系統,逐步達到地方門戶網站安全要求。
應該說政府門戶網站安全保障體系建設還是一個處于探索階段,需要按照中辦發[2003]27號要求的“以安全保發展在發展中求安全”原則,全面提高信息安全防護能力,同步規劃、同步建設信息安全工作,建設和完善信息安全監控體系,依法為加強信息內容安全管理、查處違法犯罪和防范網絡攻擊、病毒入侵、網絡失竊密等工作提供技術支持。吉林省政府門戶網站的安全保障體系也將不斷地發展不斷地完善,確保省政府門戶網站安全穩定運行、健康發展。
