有關(guān)電子政務(wù)系統(tǒng)應(yīng)用安全技術(shù)探究

于海

摘要：近年來國家一直在重點(diǎn)進(jìn)行安全建設(shè)，在不停投入高新技術(shù)的同時，也在使用多重的制度保障來推動信息安全的建設(shè)。本文根據(jù)電子政務(wù)系統(tǒng)的各種職能和自身特點(diǎn)，對電子政務(wù)系統(tǒng)的信息安全建設(shè)作簡要分析和討論，并闡述了電子政務(wù)系統(tǒng)在發(fā)展過程中必須要注意的安全要素。

關(guān)鍵詞：電子政務(wù)系統(tǒng)；安全建設(shè)；安全技術(shù)；安全防護(hù)

隨著我國政府對職能改革的不斷推進(jìn)和對電子系統(tǒng)的引入，電子政務(wù)系統(tǒng)如今已經(jīng)頻繁應(yīng)用于各個黨政機(jī)關(guān)，執(zhí)行著各種各樣的社會管理、公共決策等命令，已經(jīng)成為政府部門實(shí)施管理和提供服務(wù)的重要手段。新世紀(jì)的趨勢是政務(wù)公開，越來越多的政府相關(guān)信息已經(jīng)從網(wǎng)上與民眾見面，擔(dān)任著與民眾進(jìn)行政民互動、協(xié)同辦公、在線服務(wù)等功能的正是電子政務(wù)系統(tǒng)，但是正因?yàn)槿绱?，這給了一些不法分子一些可乘之機(jī)，很多國內(nèi)外的黑客將之定為重點(diǎn)的攻擊目標(biāo)，政府的網(wǎng)站收到攻擊的幾率非常高，這給電子政務(wù)系統(tǒng)的安全性提出了嚴(yán)峻的考驗(yàn)。

一、電子政務(wù)系統(tǒng)安全問題

電子政務(wù)系統(tǒng)中的軟件大都是規(guī)模很大的應(yīng)用軟件，這類軟件有著用戶多、結(jié)構(gòu)復(fù)雜、流程繁瑣等等特點(diǎn)，而且電子政務(wù)系統(tǒng)是以Web為主要的應(yīng)用實(shí)現(xiàn)方式，所以系統(tǒng)中的軟件容易出現(xiàn)SQL注入漏洞、表單繞過漏洞、上傳繞過漏洞.權(quán)限繞過漏洞、數(shù)據(jù)庫下載漏洞等。另外，電子政務(wù)系統(tǒng)的管理賬戶中有時也會出現(xiàn)口令的安全性問題，出現(xiàn)空口令或者弱口令，更嚴(yán)重的甚至?xí)霈F(xiàn)系統(tǒng)不用登陸、沒有操作日志等等知名的安全性問題。

二、電子政務(wù)系統(tǒng)安全技術(shù)分析

（一）身份認(rèn)證和訪問限制

身份認(rèn)證是提高系統(tǒng)信息安全的第一道防線，沒有認(rèn)證意味著系統(tǒng)就像剝開了的蓮子一樣毫無防備。電子政務(wù)系統(tǒng)的使用者在訪問到系統(tǒng)的數(shù)據(jù)或者資源之前，必須要通過各種各樣的方式進(jìn)行實(shí)名認(rèn)證，認(rèn)證方式可以使用口令，也可使用標(biāo)記，總值必須要防止系統(tǒng)的使用者在未經(jīng)許可的情況下就進(jìn)入系統(tǒng)。從另一個層面，一個系統(tǒng)理應(yīng)從技術(shù)上采取相關(guān)的防護(hù)措施，保障所有合法的用戶通過預(yù)先設(shè)定的賬戶進(jìn)行登錄，軟件管理員通過設(shè)置一些控制口令的方式提高軟件安全性，口令要足夠復(fù)雜和長?？诹钤诮?jīng)過一定次數(shù)的錯誤輸入后要鎖定，或者強(qiáng)制使口令更新，用來確保口令的絕密性。軟件中對用戶登錄過程應(yīng)該有詳細(xì)的記錄和把控，出現(xiàn)異常信息時也要有安全警示系統(tǒng)進(jìn)行警告。另外，為了防止使用者的失誤導(dǎo)致賬戶長時間在線，系統(tǒng)應(yīng)該存在對登錄時間的限制，在經(jīng)過一定的事件后系統(tǒng)自動提醒使用者重新登錄賬戶，以防被冒用，如果登錄失敗則自動退出。系統(tǒng)中可能記錄使用者賬戶信息的cookies也要定時清除。

（二）通信安全

電子政務(wù)系統(tǒng)應(yīng)用軟件在編寫的過程中要重點(diǎn)關(guān)注軟件的通信安全，特別是對于通信的高完整性要求。通信除了部分必須加密，通信的雙方還應(yīng)該確定來自對方的信息是否具有效力。信息通信的雙方如果要確定信息傳輸無差錯，建立有關(guān)信息傳輸次序、格式、內(nèi)容的協(xié)議時有必要的，因?yàn)榫W(wǎng)絡(luò)層面上的協(xié)議很難保證通信安全，軟件層面的相互驗(yàn)證通信機(jī)制十分重要。另外，出于某些特殊考慮，系統(tǒng)還應(yīng)該具有部分功能，能在通信雙方進(jìn)行安全通信的時候留下消息發(fā)出或者被接受的證據(jù)。首先，在雙方建立連接之前應(yīng)該有系統(tǒng)向雙方進(jìn)行初始化驗(yàn)證，確保通信雙方都是合法的而且信息安全。然后，在通信開始之后，應(yīng)該運(yùn)行相關(guān)的國家加密算法對通話過程進(jìn)行加密，算法具體如何應(yīng)該有通信雙方提前設(shè)置，在通信過程中保證信息的傳遞都有編碼和解碼的過程。而且，通信也和賬戶登陸一樣，具有超時的自動再次確認(rèn)或者退出的機(jī)制，當(dāng)通信單方或者雙方一定時間為有新的動作時為防止異常情況的出現(xiàn)，通信必須關(guān)閉。

（三）安全審計(jì)

安全審計(jì)是針對各種各樣的日志的數(shù)據(jù)進(jìn)行統(tǒng)一的查詢和管理的功能，在運(yùn)行時將具有特殊的規(guī)則，能夠?qū)浖臓顟B(tài)進(jìn)行實(shí)時監(jiān)控，并產(chǎn)生相應(yīng)的安全監(jiān)護(hù)報(bào)告。安全審計(jì)能夠?qū)ο到y(tǒng)的用戶在發(fā)生行為時起到規(guī)范、預(yù)防、追蹤、警示的作用。安全審計(jì)的范圍必須是全部用戶，對系統(tǒng)中重要的事件發(fā)生時能夠全程記錄，監(jiān)護(hù)重要使用用戶，監(jiān)督系統(tǒng)的異常情況和重要系統(tǒng)功能的執(zhí)行情況。在進(jìn)行記錄時，事件的事件、用戶、事件類型、事件是否生效等等信息都必須記錄在案，安全審計(jì)有權(quán)利也有能力及時的中斷一切可能威脅到系統(tǒng)安全的操作并給以警示。審計(jì)的記錄的安全性和保密性也非常重要，一年內(nèi)的記錄在遭到非正常刪除、修改和覆蓋的時候都應(yīng)該有能力還原，而且在對系統(tǒng)進(jìn)行安全審計(jì)擺正系統(tǒng)安全的時候，也要根據(jù)日志的記錄情況，查找并封堵系統(tǒng)或應(yīng)用中一切可能被利用的漏洞，提高系統(tǒng)的安全性。系統(tǒng)也要在一定程度上能夠確定使用者的網(wǎng)絡(luò)位置，定位網(wǎng)絡(luò)隱患，保證系統(tǒng)使用過程中的違法行為都會得到追究和審查。

三、電子政務(wù)系統(tǒng)安全建設(shè)的對策

政務(wù)系統(tǒng)的安全還和相關(guān)的管理職能相關(guān)，要從管理層面上加強(qiáng)電子政務(wù)系統(tǒng)的安全性，要從以下幾個方面入手：首先，完善我國信息安全基礎(chǔ)設(shè)施。國家應(yīng)大力扶持國有信息安全產(chǎn)業(yè)建設(shè)的發(fā)展。自主的信息產(chǎn)業(yè)或信息產(chǎn)品國產(chǎn)化是保證電子政務(wù)信息安全的根本， 國家應(yīng)對其發(fā)展予以充分的政策和財(cái)政支持。對于當(dāng)前迫切需要建立的國家信息安全基礎(chǔ)設(shè)施進(jìn)行建設(shè)。其次，建立政府部門內(nèi)部安全管理制度。應(yīng)該建立一定的安全責(zé)任制度。部門內(nèi)只有具備相對完善的安全管理制度，加上嚴(yán)格的執(zhí)行，工作人員才能各司其職，減少差錯，防止由于人為因素導(dǎo)致的安全問題。第三，進(jìn)行電子政務(wù)信息安全方面的教育。我國各級政府部門要利用多種途徑對公務(wù)員進(jìn)行電子政務(wù)信息安全方面的教育，增強(qiáng)工作人員的責(zé)任感，提高工作人員的業(yè)務(wù)技能，豐富安全知識。強(qiáng)化電子政務(wù)環(huán)境下公務(wù)員的信息安全意識，樹立正確的安全觀念強(qiáng)化公務(wù)員的信息安全意識，是保障國家信息安全甚至國家安全的重要前提。最后，健全法律，嚴(yán)格執(zhí)法。法律是保障電子政務(wù)信息安全的最有力手段，我國立法部門應(yīng)加快立法進(jìn)程， 吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗(yàn)，盡快制定和頒布多臺相關(guān)法律，確保電子政務(wù)系統(tǒng)的信息安全經(jīng)過法律渠道的保障。

參考材料：

[1]文華.分析計(jì)算機(jī)網(wǎng)絡(luò)存在的危險因素及防范措施[J].黑龍江科技信息，2017.

[2]賈雅娟.計(jì)算機(jī)安全技術(shù)在電子商務(wù)中的應(yīng)用探討[J].長春理工大學(xué)學(xué)報(bào)，2016.