州和地方政府网站和基础设施安全的战略方法

快速阅读: 《政府技术》消息，文章指出政府网站作为数字前门需强化安全，传统防护已不够，应采用云安全平台和AI技术，将安全融入架构早期设计，同时注重基础网络安全工作，以保护数据和提升用户体验，确保长期安全性与服务可靠性。

在当今数字优先的时代，州政府和地方政府比以往任何时候都提供更多在线服务。机构的网站不再只是静态页面——它们成为面向公众的服务平台，支持交易、管理个人数据并连接到复杂的后端系统。随着这些系统的复杂性增加，风险也随之增加。网络威胁已经超越简单的分布式拒绝服务（DDoS）攻击，现在使用先进的工具和策略针对整个应用程序生态系统，其中许多由人工智能驱动。保护公共部门网站需要的不仅仅是防火墙和补丁。它需要一种全面且以云为中心的方法，在不妥协的情况下平衡性能、可访问性和安全性。一个新的战略需求正在浮现：将网络安全构建到公共服务网站本身的架构中。

“你们机构的网站就是你们的数字前门，”数字政府中心的高级研究员黛博拉·斯奈德（德博拉·斯奈德）说，她曾是纽约州的首席信息安全官。“但安全不能止步于前门。”

### 复杂的威胁环境

政府机构管理着不断扩展的数字足迹。随着这种扩展，面临的威胁也越来越多。攻击者利用各种手段——网络钓鱼、凭据窃取、DDoS攻击，以及最近的人工智能驱动侦察和内容抓取。

“网络钓鱼仍然是最有效的攻击方式，”云安全公司 Cloudflare 美洲区首席技术官丹·肯特（丹·肯特）表示，“即使有工具在手，培训和警惕仍然至关重要，因为这些攻击变得越来越复杂。”

公众访问的网站成为入侵的入口点。通过被忽视的攻击面，如应用程序编程接口（API），威胁延伸至后端系统。“大多数机构不知道他们实际有多少个API端点，”肯特指出，“我们常常发现比他们认为的多出30%。这显著扩大了它们的攻击面。”

这些盲点，加上遗留系统和有限的可见性，造成了结构性漏洞。“你无法保护你看不到的事物。可见性是任何有效网站安全策略的起点，”史蒂夫·凯米（史蒂夫·凯米），Cloudflare 美国公共部门网络安全专家说道。

### 云计算时代的规模化网站安全

云采用和多云环境已成为政府的常态。然而，许多机构仍依赖孤立的遗留工具，这些工具无法满足当前的需求。“传统的边界已经消失。如今，80% 的流量流经机构围墙之外，”肯特说。“这意味着需要一种在边缘和云端运行的安全模式。”

现代安全态势必须将防护措施更靠近用户和威胁目标。云原生安全平台使机构能够实时检测并阻止攻击——在它们到达关键基础设施之前。

“这不仅是将防护措施部署在应用附近，”肯特说，“而是将其部署在威胁源头。如果攻击来自海外，就在那里阻止它——不要让它通过互联网到达你的服务器。”

这种方法不仅提升了网站安全性，还增强了弹性、可扩展性和用户体验。以下是一些额外的最佳实践需要牢记：

– **将安全与用户体验相结合**
历史上，机构一直将安全和可用性视为竞争优先事项。这种情况已不再适用。“现代工具已经进化到在减少摩擦的同时提升安全性，”凯米解释道，“像密码、智能多因素身份验证和机器人检测等技术让用户更容易访问服务而不削弱防御。”

肯特强调了在网站开发早期集成安全的重要性：“向左移动意味着将安全嵌入应用生命周期——而不是事后添加，”他说，“从第一天起就要以安全为核心进行构建。”

这种主动姿态对于更多政府采用集中式数字服务平台至关重要。标准化网站安全不仅可以保护选民数据，还能增强公众信任和服务交付。

– **借力人工智能**
人工智能带来了双重网络安全挑战。攻击者利用人工智能扩大攻击规模、制作逼真的网络钓鱼信息并更快地利用漏洞。但防御者也可以利用人工智能更早地检测威胁并更高效地响应。

“多年来，我们一直在使用机器学习来检测异常并识别威胁，”肯特说，“现在，生成式人工智能让我们能够自动化更多任务——从总结事件到配置策略并加速响应。”

人工智能还提升了面向公众的网站。“我们开始看到一些由人工智能驱动的助手，帮助选民找到服务或完成申请，”凯米指出，“这极大提升了服务的可及性和公平性。”

战略性采用人工智能意味着确保网站数据输入的安全性、监控使用情况并培训员工了解适当的应用场景。“每个机构都需要一个与人工智能使用同步的数据治理策略，”肯特说。

– **不要忽视基础工作**
在现代化网站的过程中，机构必须不忽视基础网络安全卫生。资产清单、补丁管理、防护DNS 和漏洞扫描仍然是关键。

“在自动化或实施人工智能之前，确保基础防御措施坚实可靠，”肯特强调，“就像DDoS一样——我们每天看到成千上万次攻击，但很少成功，因为我们建立了强大的基础保护。”

凯米同意：“零信任成熟度模型等框架提供了指引蓝图。从身份识别、数据和设备可见性着手，然后逐步加入自动化和分析。”

### 迈向战略领导

网站和基础设施安全不再是后台IT的关注点。它是支撑信任、弹性和服务交付的关键任务功能。

“这是重新评估架构的时候了，”肯特说，“如果你今天要从头开始构建，它是否能支持未来15年所需的灵活性、可扩展性和保护？”

对于政府领导者来说，答案在于积极投资、协作战略和对安全、以选民为中心的数字体验的承诺。

威胁在演变，但应对威胁的工具也在进步。凭借正确的架构、合作伙伴关系和思维方式，机构能够在快速变化的数字环境中自信地保障其网站安全、保护基础设施并提供服务。

*注：数字政府中心隶属于 e.Republic，这是《政府技术》的母公司。这篇文章由《政府技术》内容工作室撰写和制作，内容基于 Cloudflare 提供的信息和建议。部分内容使用人工智能进行了准备。*

(以上内容均由Ai生成)