宋名威

摘 要：文章根據(jù)電子政務(wù)系統(tǒng)的各種職能和自身特點，對電子政務(wù)系統(tǒng)的信息安全建設(shè)作簡要分析和討論，并闡述了電子政務(wù)系統(tǒng)在發(fā)展過程中必須要注意的安全要素。

關(guān)鍵詞：電子政務(wù)系統(tǒng)；安全建設(shè)；安全技術(shù)；安全防護(hù)

1 前言

政府很早就開始重視電子政務(wù)系統(tǒng)的信息安全建設(shè)了，也已經(jīng)取得了不菲的成效，在系統(tǒng)的物理環(huán)境安全、網(wǎng)絡(luò)安全、病毒防護(hù)、防火墻、防黑客等方面都有不小的提升。但是過度關(guān)注上述問題的結(jié)果就是系統(tǒng)軟件出現(xiàn)了很多安全漏洞，軟件的安全性比較低，使得系統(tǒng)中的軟件成了整個系統(tǒng)的薄弱點，想要提高電子政務(wù)系統(tǒng)的安全性，當(dāng)務(wù)之急就是關(guān)注系統(tǒng)中軟件的安全。

2 電子政務(wù)系統(tǒng)安全問題

電子政務(wù)系統(tǒng)中的軟件大都是規(guī)模很大的應(yīng)用軟件，這類軟件有著用戶多、結(jié)構(gòu)復(fù)雜、流程繁瑣等等特點，而且電子政務(wù)系統(tǒng)是以Web為主要的應(yīng)用實現(xiàn)方式，所以系統(tǒng)中的軟件容易出現(xiàn)SQL注入漏洞、表單繞過漏洞、上傳繞過漏洞.權(quán)限繞過漏洞、數(shù)據(jù)庫下載漏洞等。另外，電子政務(wù)系統(tǒng)的管理賬戶中有時也會出現(xiàn)口令的安全性問題，出現(xiàn)空口令或者弱口令，更嚴(yán)重的甚至?xí)霈F(xiàn)系統(tǒng)不用登陸、沒有操作日志等等知名的安全性問題。

3 政務(wù)系統(tǒng)安全建設(shè)之技術(shù)

3.1 身份認(rèn)證和訪問限制

身份認(rèn)證是提高系統(tǒng)信息安全的第一道防線，沒有認(rèn)證意味著系統(tǒng)就像剝開了的蓮子一樣毫無防備。電子政務(wù)系統(tǒng)的使用者在訪問到系統(tǒng)的數(shù)據(jù)或者資源之前，必須要通過各種各樣的方式進(jìn)行實名認(rèn)證，認(rèn)證方式可以使用口令，也可使用標(biāo)記，總值必須要防止系統(tǒng)的使用者在未經(jīng)許可的情況下就進(jìn)入系統(tǒng)。從另一個層面，一個系統(tǒng)理應(yīng)從技術(shù)上采取相關(guān)的防護(hù)措施，保障所有合法的用戶通過預(yù)先設(shè)定的賬戶進(jìn)行登錄，軟件管理員通過設(shè)置一些控制口令的方式提高軟件安全性，口令要足夠復(fù)雜和長。口令在經(jīng)過一定次數(shù)的錯誤輸入后要鎖定，或者強制使口令更新，用來確保口令的絕密性。軟件中對用戶登錄過程應(yīng)該有詳細(xì)的記錄和把控，出現(xiàn)異常信息時也要有安全警示系統(tǒng)進(jìn)行警告。另外，為了防止使用者的失誤導(dǎo)致賬戶長時間在線，系統(tǒng)應(yīng)該存在對登錄時間的限制，在經(jīng)過一定的事件后系統(tǒng)自動提醒使用者重新登錄賬戶，以防被冒用，如果登錄失敗則自動退出。系統(tǒng)中可能記錄使用者賬戶信息的cookies也要定時清除。

另外，因為政務(wù)系統(tǒng)自身的特性，每個賬戶有不同的訪問權(quán)限。如系統(tǒng)的文件和數(shù)據(jù)庫必須經(jīng)過允許才能訪問。在系統(tǒng)的設(shè)定中，事實上很容易出現(xiàn)權(quán)限設(shè)置不清晰或者不合理的失誤，這種失敗的設(shè)定會非常影響系統(tǒng)的安全性。按照當(dāng)前的軟件研發(fā)情況和發(fā)展情況，授權(quán)訪問機制多是使用數(shù)據(jù)庫與客戶端用戶分離的方式保證安全性。用戶的訪問權(quán)限在分配的時候，用戶的權(quán)限應(yīng)該對應(yīng)系統(tǒng)中相關(guān)的功能，切記不可超出系統(tǒng)功能權(quán)限。另一方面，系統(tǒng)的管理和審計用戶比較特殊，但是也不能分配過大的權(quán)限，最佳的處理辦法是將不同的權(quán)限分給多個重要的用戶，在部分信息得到泄露的時候也能保證大部分權(quán)限都是安全的。

3.2 通信安全

電子政務(wù)系統(tǒng)應(yīng)用軟件在編寫的過程中要重點關(guān)注軟件的通信安全，特別是對于通信的高完整性要求。通信除了部分必須加密，通信的雙方還應(yīng)該確定來自對方的信息是否具有效力。信息通信的雙方如果要確定信息傳輸無差錯，建立有關(guān)信息傳輸次序、格式、內(nèi)容的協(xié)議時有必要的，因為網(wǎng)絡(luò)層面上的協(xié)議很難保證通信安全，軟件層面的相互驗證通信機制十分重要。另外，出于某些特殊考慮，系統(tǒng)還應(yīng)該具有部分功能，能在通信雙方進(jìn)行安全通信的時候留下消息發(fā)出或者被接受的證據(jù)。

安全通信應(yīng)該具有一定的流程。首先，在雙方建立連接之前應(yīng)該有系統(tǒng)向雙方進(jìn)行初始化驗證，確保通信雙方都是合法的而且信息安全。然后，在通信開始之后，應(yīng)該運行相關(guān)的國家加密算法對通話過程進(jìn)行加密，算法具體如何應(yīng)該有通信雙方提前設(shè)置，在通信過程中保證信息的傳遞都有編碼和解碼的過程。而且，通信也和賬戶登陸一樣，具有超時的自動再次確認(rèn)或者退出的機制，當(dāng)通信單方或者雙方一定時間為有新的動作時為防止異常情況的出現(xiàn)，通信必須關(guān)閉。

3.3 安全審計

安全審計是針對各種各樣的日志的數(shù)據(jù)進(jìn)行統(tǒng)一的查詢和管理的功能，在運行時將具有特殊的規(guī)則，能夠?qū)浖臓顟B(tài)進(jìn)行實時監(jiān)控，并產(chǎn)生相應(yīng)的安全監(jiān)護(hù)報告。安全審計能夠?qū)ο到y(tǒng)的用戶在發(fā)生行為時起到規(guī)范、預(yù)防、追蹤、警示的作用。安全審計的范圍必須是全部用戶，對系統(tǒng)中重要的事件發(fā)生時能夠全程記錄，監(jiān)護(hù)重要使用用戶，監(jiān)督系統(tǒng)的異常情況和重要系統(tǒng)功能的執(zhí)行情況。在進(jìn)行記錄時，事件的事件、用戶、事件類型、事件是否生效等等信息都必須記錄在案，安全審計有權(quán)利也有能力及時的中斷一切可能威脅到系統(tǒng)安全的操作并給以警示。

審計的記錄的安全性和保密性也非常重要，一年內(nèi)的記錄在遭到非正常刪除、修改和覆蓋的時候都應(yīng)該有能力還原，而且在對系統(tǒng)進(jìn)行安全審計擺正系統(tǒng)安全的時候，也要根據(jù)日志的記錄情況，查找并封堵系統(tǒng)或應(yīng)用中一切可能被利用的漏洞，提高系統(tǒng)的安全性。系統(tǒng)也要在一定程度上能夠確定使用者的網(wǎng)絡(luò)位置，定位網(wǎng)絡(luò)隱患，保證系統(tǒng)使用過程中的違法行為都會得到追究和審查。

3.4 代碼安全

軟件的安全性很大程度上和編寫的代碼有關(guān)，軟件在編寫時應(yīng)該有一定的代碼編寫規(guī)范，這樣在軟件出現(xiàn)漏洞時候方便監(jiān)測和彌補。軟件的代碼在正式投入使用前要經(jīng)過嚴(yán)格的脆弱性分析，盡量避免軟件出現(xiàn)容易受到攻擊的薄弱點，另一方面程序的規(guī)范性也是投入使用前的檢測重點，錯誤和缺陷很多都是由于代碼編寫不規(guī)范的造成的。另外，代碼的審查過程必須有一定的資料清單，清單上的資料由專業(yè)的代碼測試人員和開發(fā)人員共同進(jìn)行確認(rèn)，然后由專業(yè)人員進(jìn)行運行環(huán)境的配置和運行前的預(yù)編譯，軟件的能用性經(jīng)過確認(rèn)之后還要經(jīng)過工具對代碼進(jìn)行安全測試操作，憑借反饋的結(jié)果對軟件的問題進(jìn)行風(fēng)險估算，然后制成測試報告反饋開發(fā)人員，在所有程序都準(zhǔn)確無誤的通過之后軟件才能投入使用。

4 政務(wù)系統(tǒng)安全建設(shè)之管理

政務(wù)系統(tǒng)的安全還和相關(guān)的管理職能相關(guān)，要從管理層面上加強電子政務(wù)系統(tǒng)的安全性，要從以下幾個方面入手：

4.1 完善我國信息安全基礎(chǔ)設(shè)施

國家應(yīng)大力扶持國有信息安全產(chǎn)業(yè)建設(shè)的發(fā)展。自主的信息產(chǎn)業(yè)或信息產(chǎn)品國產(chǎn)化是保證電子政務(wù)信息安全的根本，國家應(yīng)對其發(fā)展予以充分的政策和財政支持。對于當(dāng)前迫切需要建立的國家信息安全基礎(chǔ)設(shè)施進(jìn)行建設(shè)。

4.2 建立政府部門內(nèi)部安全管理制度

應(yīng)該建立一定的安全責(zé)任制度。部門內(nèi)只有具備相對完善的安全管理制度，加上嚴(yán)格的執(zhí)行，工作人員才能各司其職，減少差錯，防止由于人為因素導(dǎo)致的安全問題。

4.3 進(jìn)行電子政務(wù)信息安全方面的教育

我國各級政府部門要利用多種途徑對公務(wù)員進(jìn)行電子政務(wù)信息安全方面的教育，增強工作人員的責(zé)任感，提高工作人員的業(yè)務(wù)技能，豐富安全知識。強化電子政務(wù)環(huán)境下公務(wù)員的信息安全意識，樹立正確的安全觀念強化公務(wù)員的信息安全意識，是保障國家信息安全甚至國家安全的重要前提。

4.4 健全法律，嚴(yán)格執(zhí)法

法律是保障電子政務(wù)信息安全的最有力手段，我國立法部門應(yīng)加快立法進(jìn)程，吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗，盡快制定和頒布多臺相關(guān)法律，確保電子政務(wù)系統(tǒng)的信息安全經(jīng)過法律渠道的保障。

[參考文獻(xiàn)]

[1]劉邦凡，梁俊山，王宏禹.論服務(wù)型政府對電子政務(wù)建設(shè)提出的新要求[J].電子政務(wù)，2012（6）.

[2]任鑠，王諾，徐曼.計算機網(wǎng)絡(luò)安全防控策略分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012（6）.

[3]文華.分析計算機網(wǎng)絡(luò)存在的危險因素及防范措施[J].黑龍江科技信息，2013（32）.

[4]賈雅娟.計算機安全技術(shù)在電子商務(wù)中的應(yīng)用探討[J].長春理工大學(xué)學(xué)報，2014（3）.