政府网站常见安全问题及防护对策

0 引言

政府网站关乎政府的形象，承担着政策法规宣讲、政务信息公开、在线便民服务等政府职能。政府网站不断发展壮大的同时，也面临着日益严峻的网络安全问题。根据国家计算机网络应急技术处理协调中心监测报告显示，2021年上半年，我国境内遭篡改的网站有近 3.4 万个，其中被篡改的政府网站有 177 个。 [1]。如何加强政府网站安全防护、保障政府网站正常运转，已成为网站建设者所需要考虑的问题[2]。

1 政府网站常见应用层安全问题

笔者单位在对众多单位网站进行安全测评中发现，许多政府网站在设计、技术防护上存在安全隐患，存在struts2远程命令执行漏洞、SQL注入、跨站脚本、弱口令、文件上传、权限绕过、明文传输、敏感信息泄露、敏感文件直接下载、目录遍历等漏洞。

采用不安全架构和建站程序导致网站存在远程命令执行等漏洞，例如建站程序风讯、PHP168、Empire CMS等安全隐患较大，利用建站程序漏洞可上传一句话木马，进而控制整个服务器。

文件上传漏洞。未对上传的文件进行验证和过滤，也未限制上传目录的执行权限，用户可直接上传webshell等任意文件并执行。

SQL注入漏洞。未对用户输入检查过滤，通过构造特殊的输入参数执行恶意的数据库操作。

权限绕过漏洞。未对用户的身份和权限进行验证，低权限用户直接在浏览器中输入URL可以访问权限外的功能页面，获取敏感数据或执行敏感操作。

弱口令漏洞。部分系统采用账号“guest”、密码“123456”等弱口令。此外系统登录时缺少验证码校验机制，缺少登录失败一定次数后锁定用户的安全机制。

跨站脚本攻击漏洞。跨站脚本攻击属于输入验证漏洞中的一种，其危害最典型的就是获取用户cookie中的敏感信息，它还常常是其他攻击手段的辅助，起到桥梁的作用[3]。

敏感文件直接下载。系统访问控制策略不完善，可直接通过浏览器下载系统配置文件、系统源代码压缩备份文件及敏感文件等，进而获取系统控制权限。

后台地址、配置信息等敏感信息泄露。后台地址一旦泄露，攻击者通过SQL注入或暴力猜解、社会工程学获得登陆账号、密码，就可登陆网站后台。

文件目录遍历漏洞。存在文件目录遍历漏洞的系统，输入链接便可遍历系统目录，可辅助入侵攻击。

2网站安全防护手段建设

当前政府网站安全措施仅限于传统的物理防火墙，而现有的物理防火墙无法对来自应用层的入侵攻击威胁进行防护。如何整合利用现有软硬件安全设备，适当补充，形成立体化的网站安全防护体系，是政府网站安全防护手段建设的重点所在[4][5]。

网站安全防护方面，部署WAF（Web Application Firewall）并不能解决所有网站应用层安全问题，部署了WAF的网站依然被篡改、被攻击的案例屡见不鲜，原因是WAF的工作机制问题，WAF有三个先天的缺憾：1）WAF基于特征库的拦截方式，未知特征库的攻击无法拦截，导致大量的木马和篡改行为无法通过特征库匹配，无法完全保障网站安全；2）WAF基于缓存对比技术，无法对动态网页进行篡改防护；3）WAF采用被动防护模式，无法掌握全面的网站脆弱性并提前应对。

网站安全防护的正确姿势应该是一个“铁三角”，从事前检查预警、事中监督防护、事后现场恢复三个维度构建完整防护体系[6] 。

事前以风险控制为先，多角度检查风险情况，降低系统遭受攻击的可能性。通过网站监控预警系统对网站进行事前的风险检测，及时发现网站的系统漏洞、Web漏洞、中间件及数据库漏洞。通过实时监测及时发现木马、暗链、弱口令、关键字等问题，并进行篡改监控，确保发生篡改攻击后能够第一时间发现并告警。

事中即在攻击过程中，采用纵深防御理念进行安全防护，依次部署抗DDoS攻击系统、防火墙、入侵防御系统（IDS）、Web应用防护系统（WAF），四者联动发挥大于“1+1+1+1”的作用。首先，通过部署抗DDoS攻击系统、防火墙和入侵防御系统，建立一个纵深防御的安全边界，如图1所示，为典型的网站安全防护局部区域结构。通过在互联网出口区域部署一套抗DDoS攻击系统，实现对DOS/DDoS攻击的有效检测，针对不同的流量触发不同的保护机制；同时使用专业的入侵防御系统，防止针对网络自身与应用系统进行的破坏，以及利用网络进行非法活动，滥用网络资源等，实现深层检测和阻断。其次，在网站Web服务器前端配置Web应用防护系统，与主动检测机制形成互动，实现对网站Web服务器的应用防护，防止外网各种WEB类型的攻击，如SQL注入、跨站脚本攻击等。事中持续监测网站可用、篡改、敏感词、钓鱼/仿冒等安全指标，发现问题及时通报处理。

事后即攻击发生后，具备态势感知能力，在攻击发生后第一时间响应并处置，例如对现场进行恢复。通过部署的网页防篡改系统，不仅能实现对静态页面和脚本的实时检测和恢复，更可以保护数据库中的动态内容免受来自于Web的攻击和篡改，彻底解决网页防篡改问题[4]。对已经实施的攻击，通过Web应用漏洞扫描系统实时扫描系统漏洞并监测网站态势，以便用户及时发现系统漏洞。在Web服务器前端部署Web应用防护系统，后端部署网页防篡改系统和Web应用漏洞扫描系统，一前一后对网站形成双重保护。

3网站安全方面的“三个”误区

安全产品不是万能的。很多系统架构和开发设计上的安全漏洞，例如越权漏洞、文件上传漏洞、明文传输漏洞等，安全产品难以防范。

加密不能解决一切问题。密码破解并不难，例如暴力破解、撞库攻击。同时许多攻击例如越权攻击、篡改数据包等可绕过密码保护机制。虽然采用HTTPS加密协议传输数据确实可以让网站的安全性大大提高，但是HTTPS协议所针对的加密范围较为有限，在黑客攻击、拒绝服务攻击、服务器劫持等方面却起不到什么作用。

安全是在动态变化的，因此Web应用漏洞扫描系统并不能发现所有问题。

4政府网站安全防护对策

4.1构建纵深防御体系

信息安全系统建设并不是简单的防护手段建设，传统的“查漏补缺”已经很难适应信息系统的发展现状，必须实现体系化、动态化、纵深化的循环过程，实施统一的设计规划、统一的策略配置、统一的运行维护，综合化、纵深化防御才能对政府网站进行有效的管控。

4.2提高思想认识，强化安全意识和责任制

建立健全的网络信息安全工作机制，强化网络信息安全意识，建立并严格落实安全责任制；厘清信息资产；对信息化和安全保障建设进行统一规划、设计和管理、统一安全策略配置，权责利统一。

4.3规范安全设计，从源头上防范安全风险

遵循业务需求与安全同步设计的原则，将安全作为系统设计开发的重要目标，将安全要求写入开发合同中。

设计时做到：不使用不安全架构或建站程序，避免使用网络上下载的开源网站程序；系统架构上前后台分离；做好权限控制；对上传文件进行校验；在接口调用时进行身份和权限验证；对数据进行完整性校验；对敏感数据进行加密传输和存储；对输入数据进行检查和过滤，防止SQL注入、跨站脚本攻击等[7]。

开发完成的软件应进行软件代码审计；重要系统正式运行前，进行安全测评或风险评估，避免“带病上线”。 

4.4完善技术防护措施

优化网络拓扑结构，对网络进行安全区域划分；部署必要的安全产品，尤其是主动性安全产品，合理配置网络设备及安全设备的安全策略；采取技术手段限制非授权设备私联内网，防止非法外联；对交换机、路由器、防火墙及重要服务器做登录地址限制；及时给系统升级打补丁，注意安全公告，定期查杀病毒[8]。

 4.5规范安全运维和管理

（1）建立网络安全领导机制和安全责任制，完善管理制度并严格落实；

（2）加强对主机和终端等的安全管理，不随意下载安全软件（软件安装白名单策略）或打开来历不明的附件，及时升级打补丁，查杀病毒，关闭不必要的端口、服务和共享，消除弱口令，设置屏保锁定[8]；

（3）减少系统管理员数量，及时删除测试、无用或过期账户，废弃的系统及时退运。

（4）保存好日志文件并定期查看，及时发现黑客入侵等异常事件并处置；

（5）加强应急管理，制定应急预案，做好异地灾备。

（6）完善服务外包安全管理，签订安全保密协议，外包人员权限最小化。

（7）定期进行安全检查或风险评估。

 4.6运用大数据进行安全分析、预警等

收集好防火墙、数据库、交换机、服务器、漏洞扫描系统、Web系统等所有设备的数据信息，并将所有收集到的信息以资产、用户、威胁、应用、威胁、应用维度进行安全分析。通过多维的数据分析，统计各项态势指标结果，可视化呈现网站的安全态势，做到了解过去、掌握现在、预测未来安全状况。

5政府网站安全防护迎来云安全时代

传统的网站安全解决方式需通过购买防火墙、IDS、WAF，网页防篡改系统及硬件配置升级来提供防护，成倍地增加了物理及运维成本。因此构建基于云的一体化的方案是当前比较有效的防护方式。从2015年以后，互联网安全已经进入了云安全时代，2017年6月8号国务院办公厅印发《政府网站发展指引》，对政府网站的建设发展作出明确规范，要求政府网站采用集约化平台进行建设，集约化平台要充分利用云计算、大数据等相关技术，满足本地区、本部门、本系统政府网站的建设需求，可依托符合安全要求的第三方云平台开展建设[9]。 网站部署到第三方云平台后，因为云安全已经和云服务厂商融为一体，安全就像“自来水”一样，成为了IT基础设施建设的一部分，按需付费。如果自建网站，那安全问题五花八门，自有安全人员不一定及时响应，建议让专业的人去做专业的事，依托第三方云平台技术，实现专业安全产品和专家团队的云监护安全服务。

5.1政务云主要安全问题及防护对策

笔者单位在对众多政府网站进行安全测评中发现，当前很多政府网站部署在省一级的政务云上，测评发现存在以下问题：租户和云服务商安全责任未明确界定；云租户之间隔离不彻底，存在非授权访问；系统未做安全评估，直接上云，把原有的系统漏洞也带上云平台；未根据安全规范来制定虚拟机模板，安全设备策略比较简单；对云平台的安全监管措施不足。

政务云安全防护对策：理清安全责任边界，上云并不意味着责任转移，租户仍有责任；系统上云前，应制定上云流程和安全规范（做好评估和加固）；构建平台云全局监控能力，总览云安全（云平台自身和租户）；构建安全资源池，为租户提供自服务安全能力；定期对云平台进行安全检查和测评。

5.2探索采用云防御

云防御因无需添加昂贵的硬件设备、无需专业安全人员、无需改变网络拓扑，实现了零部署、零维护、零修改。用户访问网站首先通过域名解析指向到云，用户的访问流量只能先到云端。通过云的防护与流量清洗，将干净合法的用户访问流发送到真正的网站服务器。真实网站服务器会隐藏其IP地址、并且由云端防御各种黑客的恶意攻击、嗅探，拒绝服务攻击等等[10]。

6结束语 

网站安全防护的正确姿势应该是一个“铁三角”，从事前检查预警、事中监督防护、事后现场恢复三个维度构建完整防护体系，解决了传统网络防火墙、IDS/IPS等安全产品对应用层攻击无法防御的问题，有效保证了网站的应用层安全。随着云技术的成熟，网站部署到云平台，采用云防御技术，成为今后集约化建设政府网站的新趋势。