宋名威

摘 要：文章根據(jù)電子政務(wù)系統(tǒng)的各種職能和自身特點(diǎn)，對(duì)電子政務(wù)系統(tǒng)的信息安全建設(shè)作簡(jiǎn)要分析和討論，并闡述了電子政務(wù)系統(tǒng)在發(fā)展過(guò)程中必須要注意的安全要素。

關(guān)鍵詞：電子政務(wù)系統(tǒng)；安全建設(shè)；安全技術(shù)；安全防護(hù)

1 前言

政府很早就開(kāi)始重視電子政務(wù)系統(tǒng)的信息安全建設(shè)了，也已經(jīng)取得了不菲的成效，在系統(tǒng)的物理環(huán)境安全、網(wǎng)絡(luò)安全、病毒防護(hù)、防火墻、防黑客等方面都有不小的提升。但是過(guò)度關(guān)注上述問(wèn)題的結(jié)果就是系統(tǒng)軟件出現(xiàn)了很多安全漏洞，軟件的安全性比較低，使得系統(tǒng)中的軟件成了整個(gè)系統(tǒng)的薄弱點(diǎn)，想要提高電子政務(wù)系統(tǒng)的安全性，當(dāng)務(wù)之急就是關(guān)注系統(tǒng)中軟件的安全。

2 電子政務(wù)系統(tǒng)安全問(wèn)題

電子政務(wù)系統(tǒng)中的軟件大都是規(guī)模很大的應(yīng)用軟件，這類軟件有著用戶多、結(jié)構(gòu)復(fù)雜、流程繁瑣等等特點(diǎn)，而且電子政務(wù)系統(tǒng)是以Web為主要的應(yīng)用實(shí)現(xiàn)方式，所以系統(tǒng)中的軟件容易出現(xiàn)SQL注入漏洞、表單繞過(guò)漏洞、上傳繞過(guò)漏洞.權(quán)限繞過(guò)漏洞、數(shù)據(jù)庫(kù)下載漏洞等。另外，電子政務(wù)系統(tǒng)的管理賬戶中有時(shí)也會(huì)出現(xiàn)口令的安全性問(wèn)題，出現(xiàn)空口令或者弱口令，更嚴(yán)重的甚至?xí)霈F(xiàn)系統(tǒng)不用登陸、沒(méi)有操作日志等等知名的安全性問(wèn)題。

3 政務(wù)系統(tǒng)安全建設(shè)之技術(shù)

3.1 身份認(rèn)證和訪問(wèn)限制

身份認(rèn)證是提高系統(tǒng)信息安全的第一道防線，沒(méi)有認(rèn)證意味著系統(tǒng)就像剝開(kāi)了的蓮子一樣毫無(wú)防備。電子政務(wù)系統(tǒng)的使用者在訪問(wèn)到系統(tǒng)的數(shù)據(jù)或者資源之前，必須要通過(guò)各種各樣的方式進(jìn)行實(shí)名認(rèn)證，認(rèn)證方式可以使用口令，也可使用標(biāo)記，總值必須要防止系統(tǒng)的使用者在未經(jīng)許可的情況下就進(jìn)入系統(tǒng)。從另一個(gè)層面，一個(gè)系統(tǒng)理應(yīng)從技術(shù)上采取相關(guān)的防護(hù)措施，保障所有合法的用戶通過(guò)預(yù)先設(shè)定的賬戶進(jìn)行登錄，軟件管理員通過(guò)設(shè)置一些控制口令的方式提高軟件安全性，口令要足夠復(fù)雜和長(zhǎng)。口令在經(jīng)過(guò)一定次數(shù)的錯(cuò)誤輸入后要鎖定，或者強(qiáng)制使口令更新，用來(lái)確保口令的絕密性。軟件中對(duì)用戶登錄過(guò)程應(yīng)該有詳細(xì)的記錄和把控，出現(xiàn)異常信息時(shí)也要有安全警示系統(tǒng)進(jìn)行警告。另外，為了防止使用者的失誤導(dǎo)致賬戶長(zhǎng)時(shí)間在線，系統(tǒng)應(yīng)該存在對(duì)登錄時(shí)間的限制，在經(jīng)過(guò)一定的事件后系統(tǒng)自動(dòng)提醒使用者重新登錄賬戶，以防被冒用，如果登錄失敗則自動(dòng)退出。系統(tǒng)中可能記錄使用者賬戶信息的cookies也要定時(shí)清除。

另外，因?yàn)檎?wù)系統(tǒng)自身的特性，每個(gè)賬戶有不同的訪問(wèn)權(quán)限。如系統(tǒng)的文件和數(shù)據(jù)庫(kù)必須經(jīng)過(guò)允許才能訪問(wèn)。在系統(tǒng)的設(shè)定中，事實(shí)上很容易出現(xiàn)權(quán)限設(shè)置不清晰或者不合理的失誤，這種失敗的設(shè)定會(huì)非常影響系統(tǒng)的安全性。按照當(dāng)前的軟件研發(fā)情況和發(fā)展情況，授權(quán)訪問(wèn)機(jī)制多是使用數(shù)據(jù)庫(kù)與客戶端用戶分離的方式保證安全性。用戶的訪問(wèn)權(quán)限在分配的時(shí)候，用戶的權(quán)限應(yīng)該對(duì)應(yīng)系統(tǒng)中相關(guān)的功能，切記不可超出系統(tǒng)功能權(quán)限。另一方面，系統(tǒng)的管理和審計(jì)用戶比較特殊，但是也不能分配過(guò)大的權(quán)限，最佳的處理辦法是將不同的權(quán)限分給多個(gè)重要的用戶，在部分信息得到泄露的時(shí)候也能保證大部分權(quán)限都是安全的。

3.2 通信安全

電子政務(wù)系統(tǒng)應(yīng)用軟件在編寫(xiě)的過(guò)程中要重點(diǎn)關(guān)注軟件的通信安全，特別是對(duì)于通信的高完整性要求。通信除了部分必須加密，通信的雙方還應(yīng)該確定來(lái)自對(duì)方的信息是否具有效力。信息通信的雙方如果要確定信息傳輸無(wú)差錯(cuò)，建立有關(guān)信息傳輸次序、格式、內(nèi)容的協(xié)議時(shí)有必要的，因?yàn)榫W(wǎng)絡(luò)層面上的協(xié)議很難保證通信安全，軟件層面的相互驗(yàn)證通信機(jī)制十分重要。另外，出于某些特殊考慮，系統(tǒng)還應(yīng)該具有部分功能，能在通信雙方進(jìn)行安全通信的時(shí)候留下消息發(fā)出或者被接受的證據(jù)。

安全通信應(yīng)該具有一定的流程。首先，在雙方建立連接之前應(yīng)該有系統(tǒng)向雙方進(jìn)行初始化驗(yàn)證，確保通信雙方都是合法的而且信息安全。然后，在通信開(kāi)始之后，應(yīng)該運(yùn)行相關(guān)的國(guó)家加密算法對(duì)通話過(guò)程進(jìn)行加密，算法具體如何應(yīng)該有通信雙方提前設(shè)置，在通信過(guò)程中保證信息的傳遞都有編碼和解碼的過(guò)程。而且，通信也和賬戶登陸一樣，具有超時(shí)的自動(dòng)再次確認(rèn)或者退出的機(jī)制，當(dāng)通信單方或者雙方一定時(shí)間為有新的動(dòng)作時(shí)為防止異常情況的出現(xiàn)，通信必須關(guān)閉。

3.3 安全審計(jì)

安全審計(jì)是針對(duì)各種各樣的日志的數(shù)據(jù)進(jìn)行統(tǒng)一的查詢和管理的功能，在運(yùn)行時(shí)將具有特殊的規(guī)則，能夠?qū)浖臓顟B(tài)進(jìn)行實(shí)時(shí)監(jiān)控，并產(chǎn)生相應(yīng)的安全監(jiān)護(hù)報(bào)告。安全審計(jì)能夠?qū)ο到y(tǒng)的用戶在發(fā)生行為時(shí)起到規(guī)范、預(yù)防、追蹤、警示的作用。安全審計(jì)的范圍必須是全部用戶，對(duì)系統(tǒng)中重要的事件發(fā)生時(shí)能夠全程記錄，監(jiān)護(hù)重要使用用戶，監(jiān)督系統(tǒng)的異常情況和重要系統(tǒng)功能的執(zhí)行情況。在進(jìn)行記錄時(shí)，事件的事件、用戶、事件類型、事件是否生效等等信息都必須記錄在案，安全審計(jì)有權(quán)利也有能力及時(shí)的中斷一切可能威脅到系統(tǒng)安全的操作并給以警示。

審計(jì)的記錄的安全性和保密性也非常重要，一年內(nèi)的記錄在遭到非正常刪除、修改和覆蓋的時(shí)候都應(yīng)該有能力還原，而且在對(duì)系統(tǒng)進(jìn)行安全審計(jì)擺正系統(tǒng)安全的時(shí)候，也要根據(jù)日志的記錄情況，查找并封堵系統(tǒng)或應(yīng)用中一切可能被利用的漏洞，提高系統(tǒng)的安全性。系統(tǒng)也要在一定程度上能夠確定使用者的網(wǎng)絡(luò)位置，定位網(wǎng)絡(luò)隱患，保證系統(tǒng)使用過(guò)程中的違法行為都會(huì)得到追究和審查。

3.4 代碼安全

軟件的安全性很大程度上和編寫(xiě)的代碼有關(guān)，軟件在編寫(xiě)時(shí)應(yīng)該有一定的代碼編寫(xiě)規(guī)范，這樣在軟件出現(xiàn)漏洞時(shí)候方便監(jiān)測(cè)和彌補(bǔ)。軟件的代碼在正式投入使用前要經(jīng)過(guò)嚴(yán)格的脆弱性分析，盡量避免軟件出現(xiàn)容易受到攻擊的薄弱點(diǎn)，另一方面程序的規(guī)范性也是投入使用前的檢測(cè)重點(diǎn)，錯(cuò)誤和缺陷很多都是由于代碼編寫(xiě)不規(guī)范的造成的。另外，代碼的審查過(guò)程必須有一定的資料清單，清單上的資料由專業(yè)的代碼測(cè)試人員和開(kāi)發(fā)人員共同進(jìn)行確認(rèn)，然后由專業(yè)人員進(jìn)行運(yùn)行環(huán)境的配置和運(yùn)行前的預(yù)編譯，軟件的能用性經(jīng)過(guò)確認(rèn)之后還要經(jīng)過(guò)工具對(duì)代碼進(jìn)行安全測(cè)試操作，憑借反饋的結(jié)果對(duì)軟件的問(wèn)題進(jìn)行風(fēng)險(xiǎn)估算，然后制成測(cè)試報(bào)告反饋開(kāi)發(fā)人員，在所有程序都準(zhǔn)確無(wú)誤的通過(guò)之后軟件才能投入使用。

4 政務(wù)系統(tǒng)安全建設(shè)之管理

政務(wù)系統(tǒng)的安全還和相關(guān)的管理職能相關(guān)，要從管理層面上加強(qiáng)電子政務(wù)系統(tǒng)的安全性，要從以下幾個(gè)方面入手：

4.1 完善我國(guó)信息安全基礎(chǔ)設(shè)施

國(guó)家應(yīng)大力扶持國(guó)有信息安全產(chǎn)業(yè)建設(shè)的發(fā)展。自主的信息產(chǎn)業(yè)或信息產(chǎn)品國(guó)產(chǎn)化是保證電子政務(wù)信息安全的根本，國(guó)家應(yīng)對(duì)其發(fā)展予以充分的政策和財(cái)政支持。對(duì)于當(dāng)前迫切需要建立的國(guó)家信息安全基礎(chǔ)設(shè)施進(jìn)行建設(shè)。

4.2 建立政府部門(mén)內(nèi)部安全管理制度

應(yīng)該建立一定的安全責(zé)任制度。部門(mén)內(nèi)只有具備相對(duì)完善的安全管理制度，加上嚴(yán)格的執(zhí)行，工作人員才能各司其職，減少差錯(cuò)，防止由于人為因素導(dǎo)致的安全問(wèn)題。

4.3 進(jìn)行電子政務(wù)信息安全方面的教育

我國(guó)各級(jí)政府部門(mén)要利用多種途徑對(duì)公務(wù)員進(jìn)行電子政務(wù)信息安全方面的教育，增強(qiáng)工作人員的責(zé)任感，提高工作人員的業(yè)務(wù)技能，豐富安全知識(shí)。強(qiáng)化電子政務(wù)環(huán)境下公務(wù)員的信息安全意識(shí)，樹(shù)立正確的安全觀念強(qiáng)化公務(wù)員的信息安全意識(shí)，是保障國(guó)家信息安全甚至國(guó)家安全的重要前提。

4.4 健全法律，嚴(yán)格執(zhí)法

法律是保障電子政務(wù)信息安全的最有力手段，我國(guó)立法部門(mén)應(yīng)加快立法進(jìn)程，吸取和借鑒國(guó)外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗(yàn)，盡快制定和頒布多臺(tái)相關(guān)法律，確保電子政務(wù)系統(tǒng)的信息安全經(jīng)過(guò)法律渠道的保障。

[參考文獻(xiàn)]

[1]劉邦凡，梁俊山，王宏禹.論服務(wù)型政府對(duì)電子政務(wù)建設(shè)提出的新要求[J].電子政務(wù)，2012（6）.

[2]任鑠，王諾，徐曼.計(jì)算機(jī)網(wǎng)絡(luò)安全防控策略分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012（6）.

[3]文華.分析計(jì)算機(jī)網(wǎng)絡(luò)存在的危險(xiǎn)因素及防范措施[J].黑龍江科技信息，2013（32）.

[4]賈雅娟.計(jì)算機(jī)安全技術(shù)在電子商務(wù)中的應(yīng)用探討[J].長(zhǎng)春理工大學(xué)學(xué)報(bào)，2014（3）.