【IT168 专稿】——18岁少年黑客一年内攻击境内外2200多家网站,可在几秒内“黑掉”湖北某市政府信息网……
——湖南某市保密局网站被黑客侵入达半年之久……
——一名自称是“周润发”的网民,输入一组密码后进入西安市某区政府信息网后台……
这些都是近日来各媒体披露出来的有关政府网站安全方面的新闻,虽然暂时受到诸如“山西童工”、“九江断桥”之类的热点新闻的冲击,但对于搞电子政务的人来说,所受到的震撼度丝毫不亚于这些热点新闻。面对这些如此脆弱的政府网站,我们不仅要问:拿什么拯救你,我们的政府网站?
政府网站缘何如此“树大招风”
自从互联网诞生以来,黑客就始终如影随行。而政府网站因其特殊的影响力,更是一直成为黑客攻击的重要目标之一。据国家计算机网络应急技术处理协调中心的一项统计数据,2006年发生在国内的篡改网站事件达24000多次,其中六分之一攻击的对象是政府网站。在今年4月召开的“2007中国计算机网络安全应急年会”上,国家计算机网络应急技术处理协调中心副总工程师杜跃进博士表示,频频发生的黑客攻击政府网站,已对电子政务构成严重威胁。
那么,为什么政府网站如此“树大招风呢?笔者认为,这里面固然与当今日趋紧张的信息安全形势有关,但更多地是暴露出我们政府网站自身建设中的诸多本质性“软肋”。
“软肋”之一:低质量的政府网站过多过滥。
随着1999年我国政府迈开“政府上网工程”的步子,各级政府相继开展了轰轰隆隆的“网上政府”建设工作,各种政府网站如同雨后春笋般出现在互联网上。据新华社报道,截至2006年6月,使用“.gov.cn”域名的中国政府网站总数发展到近1.2万个,96%的中国国务院部门建成了政府网站,九成以上的省级政府、地市级政府都拥有政府网站。
数量如此之多的政府网站的质量如何呢?让我们看看一个小插曲:
“某县政府网站右上角导航上‘政民互动’打开后空无一文,打开右边‘县长热线受理情况选登’空无一文,‘政务大厅’的三个版块‘共谋发展’、‘阳光政务’、‘在线咨询’空无一帖……”
这是这几天在国内某论坛上正在进行的“政府网站揪错” 热潮中一位网友的发言。正如其所言,我国众多政府网站中,的确存在一大批这样的政府网站,栏目设置齐全,内容却是一片空白,甚至还有些1999年的“新闻”还挂在网站首页上。 正如网友调侃所说的一样:“一张老脸,三年不洗。内容陈旧,文件过时。看过后悔,信则误事。现代工具,纯当摆设。”
之所以出现这样的问题,其根源之一就在于某些政府的“畸形政绩观”,省政府建网站了,各市政府、各厅局也要建,县、乡自然更不示弱。林林总总的若干政府网站让领导汇报起来既出事例,又出数字。至于网站的质量嘛,目前没有人考核,只要数量够多就是一种“软政绩”,就是官员们夸耀和升迁的资本。结果,网上这种低质量政府网站越来越多,自然就很容易被黑客所觊觎。
“软肋”之二:政府网站不设防现象严重
随便点开某个政府网站,我们通常都会看到庄严的国徽,红彤彤的公告。政府网站页面设计一般都很严肃、大气,让网民访问时都不由得肃然起敬。但是,在这威严的外表背后,网站安全防护手段却往往“弱智”得超出想象,有的连审计记录都没有。在许多地市、特别是县乡一级的网站,往往都是请几个懂点电脑的人制作个网页,就算实现了“政府上网工程”,根本不考虑安全防护工作。有些政府网站甚至采用的是免费整站程序,连管理员密码都是初始密码。这样的政府网站犹如纸糊的窗户一样,不用说专业黑客,就连稍懂些源代码的网友,都可以轻松进入政府网站后台,随意篡改政府网站信息。
从某种意义上来说,用这种手段入侵政府网站并不是真正意义上的黑客,充其量只是“网络恶作剧”罢了。真正有能力的黑客,可以通过网站漏洞入侵网站,建立自己的后门再提升权限,得到网站服务器的最高权限,这才叫黑客入侵。从防范技术上来讲,杜绝这类“网络恶作剧”也是非常容易的,但政府网站在这一点上都很难做到,其不设防现象实在令人担忧。
“软肋”之三:日常管理松懈。
政府网站代表政府的形象,按理说里面的信息应该是权威的、动态的。然而,许多政府网站的内部管理却是非常松懈的,其不仅表现在信息更新缓慢、不及时,而且在日常巡视检查方面也存在很大漏洞。这些政府网站内容长时间一成不变,管理人员也对此不闻不问,这必然给黑客以可乘之机。让我们感到又气又笑的是,许多政府网站被攻击、网页被篡改后,发现情况的往往不是网站管理者,而是我们的普通网友。当这些网友们在“忍无可忍”的情况下,在网上发贴评论此事,引起媒体关注并报道后,这些政府网站才如梦初醒,匆忙修正被篡改的信息。
此外,政府网站还存在互动机制差、域名不规范等“软肋”,本文暂不赘述。正是由于这些“软肋”的存在,政府网站自然就很容易成为黑客们“练手”的靶子,发展“肉鸡”(黑客远程控制电脑)的对象,政府网站“树大招风”也就不难理解了。
管理、人员、经费,三道掣肘政府网站建设的“魔咒”
政府网站既然有如此多“软肋”,那么,我们是不是将其逐一强化后,就可以避免如今这种频频被黑客侵入的尴尬了吗?回答是否定的,只有从根源上查找问题,才能找出政府网站的“病因”,从而“对症下药”。
从这些“软肋”的成因来看,管理、人员、经费这三方面是掣肘政府网站规范化建设的重要因素。建设质量、防护手段等缺陷归根到底都是管理不到位所致,就政府管理体制而言,就是体现在领导重视程度上。
每当提到行政工作,我们常常首先要强调“领导重视”。此语虽然有些俗套,却也是非常关键。现在许多工作都被命名为“一把手”工程,如安全生产、质量等,就是要强化领导的责任意识和对工作的推动作用。但是,每当提到电子政务,特别是政府网站建设时,“一把手”工程一词就提得次数少多了。在许多政府部门,建站时“一把手”过问一下,正常运行后就不理不睬的。中国有句成语,叫做上行下效。在目前的行政体制下,许多事情是领导重视则势如破竹,领导不重视则寸步难行,政府网站建设也不能免于这条“潜规则”。
那些“一把手”们之所以持这样的态度,其原因之一,就是政府网站建设缺乏考核评价机制。只要一个行政单位设立了网站,这就算是完成了“政府上网工程”。而随后的网站质量、运行效果根本没有人考核,因此“一把手”们自然就提不起兴趣了。另外一方面,电子政务意识淡薄,缺乏足够的专业知识,也是造成那些“一把手”们对政府网站建设“热度”不够的原因。
领导不重视,政府网站的管理效果肯定大打折扣。各种管理制度缺乏,或建立后也无人执行。相应的激励机制也无法建立,使政府网站管理人员“干好干坏一个样”,时间一长,自然也就没有人肯再做这些费力不讨好的事情了。最终,政府网站只能沦为一个个“睡眠网站”,面对黑客们“全面开放”。
人员问题也是掣肘政府网站的一个重要因素。政府网站的设计可以外委给专业的设计机构,但日常维护和管理还得依靠行政管理人员。然而,政府网站管理绝不是简简单单地在后台发发信息,而是要涉及到访问监控、数据分析等多个方面的工作。这些都需要管理人员具备一定的专业素质,应掌握相应的专业技能。但是,在现实中拥有这些技能的人员往往不能满足于政府部门微薄的工资,而政府现有行政体制又不可能为网站管理人员提供足够的增资与升迁机会,结果使政府网站管理工作成了一种“好汉不愿做,赖汉做不了”的岗位。
有相对固定的专人维护管理政府网站,这种“待遇”一般只有省市政府才能够享受。在占有政府网站数量较大份额的县乡政府以及省、市政府内各厅、局、委、办的政府网站,则多是依靠机关行政干部兼职管理,或者由下面的事业单位或直属单位代为管理。这些人本来就有自己的一摊业务,往往是出于对网络技术的爱好才兼任网站管理之职。由于不是专职人员,名不正言自然不顺,工作时间难以得到保障,信息更新和安全防护等工作也就完全是凭靠这些人员朴素的责任心了,我们根本无法苛求其工作水平如何,毕竟他们没有一分钱额外的报酬,能够将政务网站运行起来已经实属不易了。
钱不是功能较多的,但没有钱是万万不能的。政府网站建设需要资金,日常管理也需要一定的维护费用。然而,我们许多政府网站在建设时还能够得到一定的资金保障,有些机构拉得架子还很大,标准化机房内先进设备应有尽有,豪华得让人直羡慕。但是,这些建设资金往往是在一个建设报告中申请下来的,属于典型的“一锤子”买卖。一次性资金花完后,再申请就没有渠道了,若想指望挤占本单位的日常行政经费,那更是根本不可能的。大家都知道,当今社会的信息安全技术发展非常迅速,政府网站管理的软、硬件投入也是一项“消耗战”。而政府网站虽然运行起来了,但由于缺乏后续资金,安全补钉无法更新,管理人员的技能得不到及时提高,最终这些问题都会积累起来,直接体现在政府网站的安全性、效率及质量的直线下降,从而饱受公众诟病。
规范、考核、整合,三招铸就政府网站“不坏金身”
通过对政府网站住多“软肋”及其成因的分析,大家也能够更加清醒地认识到我国的政府网站建设任重而道远的总体形势。但是,我们也应同时看到,政府网站建设是电子政务建设的重要组成部分,是促进政府职能转变的重要手段,是提高执政能力的重要体现。政府网站建设决不能因为当前遇到的一些阶段性困难和问题而裹足不前,而应积极出击,主动寻求发展新路。笔者认为,应从加强规范指导、强化技效考核、尝试行业整合三个方面入手,进一步全面提升政府网站的整体质量和水平,铸就政府网站的“不坏金身”。
1、加强规范指导
为了促进电子政务的健康发展,国务院秘书局于2005年底就已经出台了《政府网站内容格式规》,2006年5月20日,中办和国办又联合转发了《国家信息化领导小组关于推进国家电子政务网络建设的意见》,重申了对政府网站建设的规范性要求。这些都为政府网站的有序发展指明了方向,也取得了一定的成效,但从整体情况来看,还有许多不如意的地方。
政府网站建设是一项系统工程,也是一项标准化工程。因此,不能简单地由各部门自行敷衍了事,也不能自说自话。从目前来看,政府网站应设置的栏目还没有强制性标准,大都是一些约定俗成的要求。而对于事关政府网站安全与否的安全防护及保障机制建设方面,也多是停留在商业化操作的层面。
因此,笔者建议,有关部门应从现有的各种技术规范的基础上,结合已出台的各种电子政务方面的政策和文件,在认真调研、充分论证的基础上,制定出一套政府网站建设及管理标准,并加以积极推广应用。标准的制定应充分考虑不同层级政府的具体情况分类制定,可以采用分级制,既能保障功能发挥,又能够减轻县、乡政府的管理负担;标准应该是全方位的,即包括功能设计、信息采集、栏目设置等软件部分,也包括机房建设、安全防护等硬件部分;标准应该是动态的,与政府职能转变、社会公众需求及信息安全技术的发展同步改变、与时俱进;标准也应具有一定的包容性,给各政府网站个性化发展预留一定的空间,避免“千站一面”的呆板。
2、强化技效考核
政府网站采用标准化管理,既能够起到规范、统一的效果,同时也为信息共享奠定良好的基础。对已建成的政府网站,可以规定时限要求其对照标准积极整改,否则将给予整合。而对于新建的政府网站,则要严格执行标准。
政府网站采用标准化管理是一种技术基础,而建立科学高效的考核、评价与激励机制,则是确保政府网站规范运行、促进网站质量不断提高的重要管理手段。
目前我国政府网站的考核评价方式主要是第三方测评。国务院从2004年起,开展了中央各部委政府网站及各省、市政府网站的第三方测评工作,并定期向社会发布测评结果。这项工作极大地调动了中央各部委政府网站工作的积极性,以国防科工委网站为例,测评开展后,网站工作就得到了张云川主任的高度重视,技术力量也得到明显增强。该网站就从原来的倒数若干名实现了令人惊叹的跨越式发展,2005年测评时就进入十强阵营,成绩是第九名,2006年测评成绩则又上升到第六名。各省市政府也自行相应开展了类似的测评工作,对行政体系内的政府网站进行了测评。
但是,从目前来看,这种测评仍存在一定的滞后效应,测评标准还有些需要完善和改进的地方,还更多的是停在技术层面。因此,很有必要在此基础上,建立一套科学高效的政府网站考核、评价与激励机制,具体措施可以是这样的:
——缩短测评周期、规范测评标准,使测评工作经常化、制度化。测评内容要考虑各地方、各部门的实际,同时又充分挖掘政府网站的潜力,使评价结果更具有科学性和权威性。可采取类似目标考核的方式,在继续发布测评排名的基础上,结合政府网站管理标准的实施,进行政府网站等级评定,使之在工作上有阶梯性。
——进一步提高评价结果的影响力,将其与政府工作业绩考核挂勾,必要时可制定“一票否决”制。对那些政府网站形同虚设的部门,不予评先进,主要领导不能升迁、调动。只有动了行政长官们的“奶酪”,政府网站中原来的各种积重自然就能够得到足够的重视,若干问题也就很容易迎刃而解。
——结合公务员分类管理的实施,为政府网站管理人员的工资与职务晋升设计合理的空间。这些技术人员长期工作在政府网站管理第一线,其工作成绩应该得到有效的体现和肯定。目前技术类公务员还只限于设立在一些技术性机构,还没有眷顾这些默默无闻的网站建设者们。而这些建设者在各机构现有的职数限制下,工作若干年后往往依旧是“原地不动”。因此,政府网站的考核机制,必须将这些一线人员考虑进去,充分激发他们工作的积极性。
3、尝试行业整合
通过规范、考核,政府网站优胜劣态的结果必然出现,这时就涉及到一个政府网站的整合问题。同时,对于时下许多低质量政府网站大量存在的现实,全部要求及达到标准化状态,也是不实际的。因此,笔者建议,应以行政关系为纽带,适当进行政府网站的整合。
政府网站的整合可以实现强弱联合,以大带小,即能够提高县、乡政府网站的技术水平,同时也能够进一步提高政府网站的质量,同时也能够避免软、硬件的重复建设,降低行政成本,让有限的资金得到最大限度的利用,集多部门之力办规范化的网站。这一优势体现在安全防护上,其效果将十分明显。以往各自为战的防御手段使黑客有机可乘。而网站整合后,无论从网站自查的频率,还是安全手段的提高,都较比以往会有显著提高,让黑客们只能望洋兴叹。
同时,政府网站的整合还能够打破信息割剧,实现信息集中,百姓查找、检索都非常方便,网上访问的效率会更高。政府网站的整合,也有利于减少中间环节,确保网上行政审批的同步性,避免“网上跑腿”或网上审批环节性缺损等现象。从技术层面上来讲,网站的整合可以使数据标准高度统一,真正实现数据部门间转移的“信息不落地”,为全面实现高标准的电子政务奠定了良好的技术基础。政府网站整合后,各部门都在同一个网上家园,信息多寡一目了然,非常有利于政府间的评比,激发工作积极性。
当然,政府网站的整合并不是绝不的统一,而是要充分给予各部门以个性化发展的空间。整合应该以硬件建设、后台管理为主,而前台,甚至域名都可以由各部门自行管理。这样一来,政府网站之间平时相对独立,在遇到黑客攻击时则显示出合力效果。
从目前来看,部分政府网站已经开始走向整合之路,也受到了良好的成效。但从需求来说,地市、县乡政府网站整合的空间还很大,还需要做很多工作。
