政府网站作为市民获取政府信息和服务的主要接入渠道和信息发布平台，自然成为我市电子政务的信息安全防护体系中重要组成部分，受到市、区、县各级政府机构的高度重视。然而在电子政务网站的实际运行过程中，或技术防护手段先进性差，或缺乏与之向辅的信息安全的制度保障，却是总是存在木桶短板，安全形式不容乐观。

　　案例一

　　汉中日报官方网站被黑客篡改

　　表面上看起来毫无问题，但是通过搜索蜘蛛、机器人模拟工具可以发现网页的标题、关键词、描述被篡改成如下非法内容

　　以上网页被篡改的基本手段笔者可以断定是通过服务器文件被注入实现的。基本原理是对搜索引擎蜘蛛和正常访问来源进行判断，若访问者是蜘蛛就输出非法内容，正常用户不受影响。

　　有此可以看出该网站安全方面的脆弱，两周前笔者试图联系该网站的主办方告知其问题，但苦于无法通过正常渠道告知，最后将问题提交至该网站开发方陕西锦华科技，却被该公司客服人员敷衍。

　　案例二

　　南郑县人民政府门户网站被黑客篡改

　　笔者通过google搜索汉中市南郑县政府网站时发现google提示该网站可能遭到了攻击，随即笔者通过搜索蜘蛛、机器人模拟工具检测发现该网站被入侵的手段同汉中日报官方网站如出一辙。

　　由以上两个案例可以看出，目前新形势下的政府网络安全，几个主要的攻击趋势将对Web应用安全产生重要影响。

　　1、攻击者攻击手段的隐蔽性：根据McAfee Avert Labs的最新报告“Top 10 Threat Predictions for 2008”，网络罪犯已经逐渐意识到攻击一些顶级网站的高风险性和高成本。他们将会选取一些知名、响应不够及时的网站，作为第一攻击目标。而后利用从第一 攻击目标上获得的信息再去访问最终的攻击目标，如政府门户网站等。这样攻击将具备更强的隐蔽性，造成防范极大的困难。

　　2、攻击者逐渐从网络层攻击转向应用层渗透和攻击，未来应用层将是攻击防护的主战场，对Web应用防护必将提出更为严峻的挑战。现阶段的网站安全解决方案无一例外的把重点放在网络安全层面，致使面临应用层攻击(如：针对WEB应用的SQL注入攻击、跨站脚本攻击等)发生时，传统的网络防火墙、IDS/IPS等安全产品对此类攻击的防御几乎不起作用。

　　3、攻击者的动机从个人爱好或是扬名到追求经济获利的重大转变。黑色产业链的形成与逐渐壮大已经成为网络安全必须面对的问题，根据Symantec最新互联网安全威胁调研表明，这种趋势在不断升级。如：部分政府网站提供成绩查询、资格证书编号验证等便民服务，部分不法分子为实现非法目的，不惜高价雇佣黑客修改、添加、删除私人信息，使得此类政府网站易于成为黑客攻击的对象。

(责任编辑：)