黨政機關網站是政務公開和服務型政府兩大主導思想在落實過程中所必須憑借的重要平臺，地位非常重要，但其總體安全狀況卻不容樂觀。據CNCERT/CC統計，黨政機關網站被篡改情況嚴重，2006年2271個，2007年3407個，2008年3800個，2009年2765個。2010年黨政機關網站頁面篡改進入高發期，最多每周被篡改的黨政機關網站數量高達178個，黨政機關網站成為黑客攻擊的首選對象。隨著電子政務建設的逐步推進，黨政機關網站所承載業務的數量在逐步增加，網站被入侵或篡改所帶來的危害將不僅限于政府形象的損害，甚至會造成巨大的經濟損失，或者嚴重的社會問題。

 

目前，黨政機關網站最常見的安全問題包括被搜索引擎定義為惡意網站、網站掛馬、SQL注入攻擊、跨站點腳本攻擊、登錄密碼破解、網站后臺管理頁面易猜測、目錄列舉、HTML 注釋中存在敏感信息泄露等。

 

 

搜索引擎是用戶廣泛使用的搜索工具，黨政機關網站一旦被搜索引擎定義為惡意網站，必然使網站的聲譽受到影響。主要表現在網站排名權重降低；點擊網站時被警告“訪問該網站可能會損害您的計算機”；更有甚者，用戶打開該網站時，會引起死機、信息被盜等風險。

 

解決惡意網站提示的第一步是清除網站病毒或木馬。清除完病毒后可以向搜索引擎提出申請。如果搜索引擎沒有再發現病毒或木馬的話，一般48小時內就會去除警告標志。

 

 

掛馬是指黑客入侵了一些網站后，將自己編寫的網頁木馬嵌入被黑網站的主頁中，利用被黑網站的流量將自己的網頁木馬傳播開去，以達到自己不可告人的目的。網頁被掛馬，在一定程度上可以說是網頁被篡改，但是比較隱蔽。危害更大。

 

對服務器端來說，一方面是侵占了系統資源，流量帶寬資源受到巨大損失，同時黨政機關網站服務器無形中成為了傳播網頁木馬的“傀儡幫兇”，嚴重影響到黨政機關網站的公眾信譽度。從而使廣大用戶對黨政機關網站的信心受挫。

 

服務器被掛馬，需要經常性的檢查服務器日志，及時發現異常信息，同時在服務器上部署網頁防篡改系統用于監控網頁運行和被篡改情況的發生。確保發生黑客入侵事件時能及時告警，并有相應的應急恢復機制，形成立體安全防御體系，保障網站的安全運行。

 

 

SQL 注入攻擊是黑客對數據庫進行攻擊的常用手段之一。由于從事黨政機關網站開發的程序員水平和經驗參差不齊，相當大一部分程序員在編寫代碼的時候，僅僅關注功能的完成，沒有對用戶輸入數據的有效性進行校驗。惡意攻擊者可以在網站上提交一段數據庫查詢代碼，獲得某些他想得知的數據，甚至整個數據庫表。SQL注入是從正常的WWW端口訪問，而且表面看起來跟一般的Web頁面訪問沒什么區別，所以目前市面的防火墻很難對SQL 注入發出警報，如果管理員沒查看日志的習慣，可能被入侵很長時間都不會發覺。如果被注入，會被竊取數據、修改數據，對于黨政機關網站來說，會發生敏感信息泄露、正常的頁面被篡改等情況。

 

要有效防范SQL注入，需要從應用程序的開發階段入手，封裝客戶端提交的信息，讓外部訪問者無法從用戶端看到或修改客戶端提交的信息；替換或刪除敏感字符/字符串；屏蔽服務器端的出錯信息，防止用戶根據出錯信息分析服務器端的配置；在服務端正式處理之前對提交數據的合法性進行檢查，只允許有效的數據輸入。

 

 

跨站點腳本漏洞是指是惡意攻擊者往Web頁面里插入惡意腳本代碼，當用戶瀏覽網頁時，嵌入頁面中的腳本代碼會被執行，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式。對于存在跨站點腳本漏洞的機關網站，惡意攻擊者往往利用黨政機關網站的公信度，通過及時通訊工具、電子郵件發送通知等手段引導用戶訪問鏈接，從而達到竊取用戶資料的目的。

 

要有效防范跨站點腳本，需要網站開發人員可以向所有用戶的輸入信息進行過濾，移除可能有害的代碼，同時對與腳本相關的字符%=<>’"();&等進行轉義，防止腳本在客戶端自動執行。

 

 

黨政機關網站在用戶登錄密碼方面存在的安全問題主要包括：登錄密碼沒有復雜度要求或者復雜度要求過低；用戶登錄時存在密碼自動完成的漏洞；沒有使用驗證碼；沒有失敗登錄次數限制。用戶登錄模塊是保證用戶個人身份信息和業務信息的窗口，密碼易破解的漏洞會引起個人信息的泄露，破壞黨政機關網站的便民服務形象。

 

要解決黨政機關網站在用戶登錄密碼方面存在的安全問題，可以從這幾個方面考慮：設置登錄密碼的復雜度要求，最好用數字+字母+特殊符號的強密碼；設置密碼更改周期，從技術上規定定期必須更改密碼；關閉密碼框表單的AutoComplete屬性，這樣即使IE設置了自動完成功能，用戶登錄時密碼也無法自動完成；添加驗證碼功能，驗證碼的隨機變化可以防止暴力窮舉破解工具破解用戶名密碼；設置失敗登錄次數限制，防止暴力窮舉破解工具破解用戶名密碼。增強用戶登錄入口的安全性。

 

 

后臺管理頁面是管理網站的重要工具，頁面的地址不宜直接或間接的公開。黨政機關網站中如果存在可以直接被訪問的后臺管理頁面，或管理頁面為容易猜測到的后綴如login/admin/等，將大大降低后臺管理頁面的安全性，給惡意攻擊者可乘之機。

 

要加強后臺頁面的安全性，可以修改默認目錄名為不易被猜測到的名字；限制訪問者的IP地址，如只有內網中的某些IP才有權限訪問；配置較強的登錄口令，最好用數字+字母+特殊符號的強密碼且定期更改密碼；過濾登錄框輸入的內容，防止通過構造SQL語句而繞過登錄密碼的行為。

 

 

目錄列表漏洞是指Web服務器配置時啟動了目錄瀏覽，可以查看和下載特定Web應用程序虛擬目錄的內容，其中可能包含受限文件。黨政機關網站的目錄、文件中可能涉及重要的國家政策或國家秘密，目錄列出或受限文件的下載可能會導致國家秘密的泄露。

 

針對WEB服務器的目錄列表漏洞，建議修改WEB服務器配置，設置禁止目錄列出以拒絕目錄列表，并安裝WEB服務器推出的最新安全補丁，防止舊版本帶來的已知漏洞。

 

 

黨政機關網站的注釋中會存在一些敏感信息，如與Web應用程序相關的文件名、舊的鏈接或非供用戶瀏覽的鏈接、舊的代碼片段等。注釋中的這些信息片段一旦泄露，會給惡意攻擊者提供基礎判斷信息，使其攻擊行為獲得線索。

 

針對HTML注釋中含有敏感信息的漏洞，建議網站上線前進行敏感信息檢查，刪除 HTML 注釋中的敏感信息。

 

 

針對黨政機關網站面臨的主要問題，建議從網站的開發、部署、運維等階段加強安全控制，保障黨政機關網站的安全性。避免網站入侵或篡改帶來的負面效應。保持黨政機關網站的權威性和公信度。