政务网站面临的问题和解决方案

　　政府网站易被篡改的主要原因是网站整体安全性差，缺乏必要的经常性维护，某些政府网站被篡改后长期无人过问，还有些网站虽然在接到报告后能够恢复，但并没有根除安全隐患，从而遭到多次篡改。

　　对政务网站（运营商、政府）的维护，重点有两个方面：一是对页面的篡改，二是Web服务的提供，也就是保证网站的完整性和可用性。

　　1. 完整性安全防护

　　作为政务工程的窗口，政务网站的防篡改是第一位重要的，而目前对网站的攻击方式也层出不穷。据2007年发布的十大web安全漏洞称，基于注入技术的隐码攻击（主要指SQL注入等类型攻击行为）排名第二，是直接攻击网站的最主要手段（业内知名的XSS主要是被动式攻击，往网页中加入恶意代码，让访问者遭受攻击）。

　　那么，什么是SQL注入呢？SQL注入就是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，这是SQL注入的标准释义。

　　随着B/S模式被广泛的应用，用这种模式编写应用程序的程序员也越来越多，但由于开发人员的水平和经验参差不齐，相当一部分的开发人员在编写代码的时候，没有对用户的输入数据或者是页面中所携带的信息（如Cookie）进行必要的合法性判断，导致了攻击者可以提交一段数据库查询代码，根据程序返回的结果，获得一些想得到的数据。

　　SQL注入利用的是正常的HTTP服务端口，表面上看来和正常的Web访问没有区别，隐蔽性极强，不易被发现。

　　SQL注入攻击有以下显著特点：

　　（1） 攻击初始权限低

　　只要拥有internet访问权限的人都可以发动SQL注入攻击，甚至还可以通过web端口进行攻击。

　　（2） 危害、后果严重

　　SQL注入成功后，攻击者将拥有Web的最高权限，可以修改页面，可以修改数据，可以在网页中添加恶意代码实现XSS……

　　（3） 攻击特征不唯一

　　任意更改攻击提交参数都可以实现对Web的攻击，无法通过定义特征来实现对SQL注入的全检测。

　　2. 可用性安全防护

　　可用性方面，政务网站是对外提供服务的接口，在保障信息完整性的情况下，尽量不影响应用的正常运营，是政务网站安全解决方案的另外一个重点。而确保网站可用性又包括两个方面的因素，一种是正常情况下的访问，一种是异常情况下的访问。

　　3. 实用性考虑

　　除了网站的完整性和可用性需求外，采用在线式设备还需要考虑产品的实用性。