几年,从“网页访问热力图”、“网站用户画像”到所谓“千人千网”这些政府网站新应用层出不穷,其实这些应用的核心技术就是“网站用户行为分析”。网站用户行为分析按照获取数据的方式看,可分为两大技术路线,第一种是传统的“网站日志统计分析”模式;另一种是最近十年流行的“页面嵌入代码”模式。
“日志分析模式”顾名思义就是通过WebServer的日志来获取访客行为数据;而“嵌入代码”模式则通过在网站页面上嵌入代码,将访客信息转发到服务商处,统计访客行为。两种模式简单对比如下:
从商业角度,由于后者可以记录更多的访客行为,目前在商业市场明显已经占了上风。比如目前国内流行的免费网站统计工具“CNZZ”、“51.la”、“百度统计”等,站长之家上类似的免费服务也有一大堆。可是很奇怪的是,“嵌入代码”模式的访问行为分析在政府网站领域一直没有流行起来。虽然很多企业雄心勃勃前仆后继地开拓这个市场,政府网站负责人对此却一直无动于衷,有些网站用了这个服务没几年又主动撤下嵌入的代码,又重新走回“日志分析”老路。究其原因,编者认为“嵌入代码模式”与生俱来的安全硬伤是政府网站负责人一直心存纠结所在。有读者会问“嵌入脚本代码”有什么问题?答案是“有问题!而且问题超级大!”,嵌入代码的目的是为了“获取Cookie”,而Cookie上可以记录着每个上网者全部操作轨迹。最著名的当属2013年中央台315晚会上曝光的“大数据公司”买卖访问者Cookie事件。
当天首先被315节目曝光的是北京品友互动。央视记者在北京市朝阳区一幢写字楼找到品友互动,该公司大客户总监透露,品友互动就像一个蜘蛛网一样,不管用户在哪里,都可以抓到用户。据张杰介绍,品友互动目前可以捕捉到互联网上5.7亿的Cookie。
接下来被曝光的易传媒则号称拥有3亿多互联网用户Cookie数据;悠易互通、艾维邑动号称拥有5亿网民Cookie数据;传漾公司和亿玛在线均号称拥有9亿Cookie;与品友互动一样,这些公司获取用户Cookie,基本都是通过在别的网站加代码来实现。
精硕世纪科技有限公司销售人员告诉央视315暗访人员,“只要拿到Cookie,包括用户的手机号码,用户是谁,电话多少都可以知道。”
央视315曝光的事件把“嵌入代码”模式网站访问分析的硬伤放到舆论的风口浪尖,这两年“泄露用户个人隐私”已经成为刑事罪。面对两种网站访问统计分析技术,政府网站管理者们的纠结可想而知,一方面希望得到诸如“用户点击热力图精准营销”这样酷炫的效果,另一方面又担心不知哪天自己网站的客户数据被“大数据服务商”们拿去兜售。如果因为被公安局通知去配合调查取证,那可真百口莫辩。 更要命的是泄露个人隐私其实还是小事,如果嵌入的代码具有安全隐患,导致自己网站有安全漏洞那才更衰。因为“嵌入的代码”是指向第三方访问统计企业的服务器地址,政府网站的安全防护一般都非常强,但是那个提供“嵌入代码”的企业服务器安全性就说不好啦,一旦“嵌入的代码”有问题,黑客顺着这个绳子爬进政府网站内部,大肆篡改页面是可能的。举个引火烧身的例子:政府网站A的首页嵌入了某企业提供的一条做统计分析的脚本代码,链向服务器B,现在黑客攻击了服务器B,将B改成了赌博色情网站。网民看到的结果很简单:政府网站A链接了一个赌博色情网站。
随着近年国办普查的深入,很多政府网站开始清理“嵌入代码”和“外部链接”、“外部非可控地址”。相当一部分政府网站负责人放弃“嵌入代码”模式访问统计分析的原因也是基于此。那么“嵌入代码”模式的访问分析系统还能不能用呢?编者的态度是
“安全有隐患、嵌入请谨慎”
政府网站特殊性决定了“安全可信”始终是政府网站使用一切产品服务的前提,在嵌入代码模式不能自证安全、自证其数据无泄露隐患之前不应在政府领域大规模应用,政府网站也没必要追求那些绚丽夺目的精准营销功能,老老实实完成国办指引的要求,把基本的用户统计分析做好,就算完成目的。
“日志分析”模式虽然技术上稍显落后,但是政府网站的基本统计分析要求都可以实现,一些厂商甚至“基于日志分析的网页热力图”功能也可以提供,更重要的是“日志分析”软件是安装在政府内网的,没有任何安全隐患。
以上是编者关于对政府网站网访问统计分析应用的一些思考,不足之处还请同行指正。
