電子政務網(wǎng)站安全建設(shè)

劉伯忠

【摘要】隨著我國信息化建設(shè)的不斷深入，企業(yè)和政府在信息化建設(shè)領(lǐng)域均取得了一定成就。對于政府職能部門來說，電子政務建設(shè)是其響應國家號召的具體體現(xiàn)。但是，就近幾年的網(wǎng)絡(luò)安全事件來看，政府門戶網(wǎng)站開始受到不法分子的惡意攻擊。導致大量的公民個人信息流失。所以，加強電子政務網(wǎng)站安全建設(shè)是必需的。本文從電子政務網(wǎng)站當前存在的問題入手，通過探索和研究，提出相應的解決策略。

【關(guān)鍵詞】信息化建設(shè) 電子政務 解決策略

【中圖分類號】TP393.092 【文獻標識碼】A 【文章編號】2095-3089（2017）35-0220-02

1.緒論

目前從國家到企業(yè)都掀起了信息化的高潮，信息化以其特有的特點，成為目前各項、各級別管理工作的研究的重點。電子政務的發(fā)展和應用歸納為三個階段，即：第一階段：信息發(fā)布階段。主要是內(nèi)部、外部網(wǎng)站的建設(shè)，以發(fā)布靜態(tài)信息為主；第二階段：網(wǎng)上辦公階段。主要應用系統(tǒng)為辦公自動化系統(tǒng)（OA）和企業(yè)信息資源規(guī)劃系統(tǒng)（ERP），將傳統(tǒng)的手工業(yè)務過程電子化，并移植到網(wǎng)上，以提高工作質(zhì)量和效率、規(guī)范工作流程。電子政務是政府職能部門通過計算機信息技術(shù)對其業(yè)務流程，管理結(jié)構(gòu)，服務方式的改進和優(yōu)化，是政府信息化建設(shè)的產(chǎn)物。但是，在電子政務迅猛發(fā)展的背后，其建設(shè)安全性也受到民眾的質(zhì)疑。尤其是在當前復雜的社會環(huán)境下，電子政務建設(shè)需要更高的標準和安全防護措施。

2.電子政務現(xiàn)狀和問題

（一）安全現(xiàn)狀

近些年來，針對政府門戶網(wǎng)站和社會公共單位網(wǎng)站的惡意攻擊越來越多。通常來說，這些網(wǎng)站服務器中記錄了大量公民個人信息。所以，電子政務快速發(fā)展的同時，公民信息流失的風險逐漸增加。例如：2012年，四川省雅安市疾病防控中心門戶網(wǎng)站遭到黑客攻擊，約260萬條個人信息丟失。總的來說，政府電子政務網(wǎng)站正在遭受極大安全威脅。主要體現(xiàn)在以下三個方面：

（1）網(wǎng)頁強制跳轉(zhuǎn)：不法分子對政府門戶網(wǎng)站頁面進行修改，使公民在登錄政府門戶網(wǎng)站時頁面自動跳轉(zhuǎn)至不法分子指定頁面。據(jù)相關(guān)網(wǎng)絡(luò)安全部門統(tǒng)計，我國政府門戶網(wǎng)站被惡意修改的事件每個月就高達數(shù)萬起。不法分子通常會將頁面跳轉(zhuǎn)至淫穢色情網(wǎng)站。極大的損害了政府形象，造成惡劣的社會影響。

（2）網(wǎng)頁非法腳本：黑客利用政府門戶網(wǎng)站存在的漏洞，將惡意腳本代碼植入其中。黑客不僅能夠得到每一位登錄用戶的信息，還能夠侵入門戶網(wǎng)站的主機。由于政府領(lǐng)導人員對門戶網(wǎng)站維護不夠重視，網(wǎng)站被植入腳本代碼的幾率逐漸增加。

（3）頁面欺詐：黑客篡改網(wǎng)站登錄頁面，使登錄頁面跳轉(zhuǎn)至黑客仿制的登錄頁面。用戶登錄信息會被頁面客戶端記錄下來。頁面欺詐主要出現(xiàn)在電子商務領(lǐng)域。一旦用戶信息被獲取，將會造成無法挽回的損失。我國每年電子商務詐騙案件就有數(shù)萬起，涉案金額到達數(shù)十億。而且，大部分涉案資金難以追回。

（二）電子政務存在的問題

政府網(wǎng)站被頻繁入侵，主要是政府自身管理缺陷所致。作者認為其主要體現(xiàn)在以下幾個方面：

（1）網(wǎng)站日常維護管理缺失：政府網(wǎng)站管理人員一般是政府內(nèi)部職工所擔任，其缺乏網(wǎng)站管理經(jīng)驗，沒有意識到網(wǎng)站日常維護的重要性。所以，網(wǎng)站相關(guān)軟件和硬件無法得到及時更新，導致網(wǎng)站安全性能下降，給了不法分子可乘之機。

（2）應急機制缺失：很多政府網(wǎng)站在建設(shè)完成之后，沒有進行網(wǎng)站應急制度的建設(shè)。使得政府網(wǎng)站在遭到惡意攻擊后，其應變能力嚴重不足。無法及時控制事件影響，對政府影響造成極大損害。對社會造成負面影響。

（3）相關(guān)法律缺失：雖然我國在計算機和網(wǎng)絡(luò)安全已經(jīng)設(shè)立了法律規(guī)定，但是這些法律法規(guī)卻沒有針對網(wǎng)絡(luò)犯罪的評判和量刑標準。使得不法分子有機可乘，法律法規(guī)不能起到應有的震懾效果。

（4）網(wǎng)站管理人員專業(yè)水平較低：政府門戶網(wǎng)站管理人員一般是從部門內(nèi)部選拔而來。這些人員經(jīng)過簡單的培訓之后，便開始從事網(wǎng)站管理工作。面對復雜的社會形勢和快速發(fā)展的科學技術(shù)，通過簡單培訓是不能勝任政府管理工作的。政府領(lǐng)導往往沒有考慮到這個方面，使得網(wǎng)站面臨極大安全隱患。

3.電子政務安全建設(shè)策略

對于政府網(wǎng)站存在的問題以及當前復雜的社會形勢，政府相關(guān)部門有必要在網(wǎng)站安全方面對政府門戶網(wǎng)站進行升級和改善。電子政務的建設(shè)必須遵照企業(yè)安全規(guī)范，加以嚴格的控制和管理，以確保系統(tǒng)本身及用戶數(shù)據(jù)的安全。同時，系統(tǒng)還建有與人事、財務等核心系統(tǒng)的接口，所以系統(tǒng)安全是眾多考慮因素中的重要問題，要從以下三個方面來考慮系統(tǒng)的安全建設(shè)方案。通過探索和研究，作者認為從以下幾個方面進行政府門戶網(wǎng)站安全建設(shè)。

（1）統(tǒng)一網(wǎng)站安全建設(shè)標準，加強信息安全監(jiān)管

鑒于政府門戶網(wǎng)站特殊屬性，安全建設(shè)成為門戶網(wǎng)站建設(shè)的重中之重。在當前政府網(wǎng)站建設(shè)中，各地各部門間的安全建設(shè)標準不一致，使得網(wǎng)站建設(shè)參差不齊。所以，當前第一步就是國家相關(guān)立法機構(gòu)要統(tǒng)一政府門戶網(wǎng)站建設(shè)標準，以法律法規(guī)的形式規(guī)范網(wǎng)站安全建設(shè)。另外，政府各部門之間要加強交流合作，尤其是公安機關(guān)中的網(wǎng)絡(luò)安全部門，要加大對政府門戶網(wǎng)站的監(jiān)管力度。確保政府門戶網(wǎng)站安全，維護政府在社會中的形象。系統(tǒng)設(shè)置出口防火墻，外部網(wǎng)絡(luò)和內(nèi)部服務器群隔離開。需要對用戶的接入權(quán)限進行控制。戶具有進行相應操作的權(quán)限必須是通過認證后的用戶，用戶權(quán)限通過認證服務器進行認證。而且，對于不同用戶也有與之相對應的不同權(quán)限的安全等級的設(shè)置，系統(tǒng)管理員是最高等級，可以對數(shù)據(jù)庫數(shù)據(jù)進行讀取和維護，普通用戶和特約商戶等注冊的用戶僅擁有對應的數(shù)據(jù)存取操作權(quán)限，電子政務網(wǎng)站具體的網(wǎng)絡(luò)結(jié)構(gòu)如下所示：

（2）建立網(wǎng)站安全監(jiān)測系統(tǒng)

政府應和公安機關(guān)建立有效合作機制，與公安機關(guān)共同開發(fā)政府門戶網(wǎng)站安全監(jiān)測系統(tǒng)。政府借助公安機關(guān)的技術(shù)和條件，建立網(wǎng)站安全監(jiān)測系統(tǒng)。該系統(tǒng)能夠?qū)W(wǎng)站進行實時監(jiān)測，及時修補網(wǎng)站漏洞。

（3）網(wǎng)站管理人員專業(yè)化。

政府門戶網(wǎng)站管理人員應從社會中應聘，摒棄內(nèi)部人員選拔制度。專業(yè)網(wǎng)站管理人員不僅能夠保證政府門戶網(wǎng)站穩(wěn)定運行，而且能夠降低網(wǎng)站日常維護費用。網(wǎng)站管理工作需要團隊合作才能勝任，所以政府應當加強在這方面的人才儲備工作。

（4）加強相關(guān)人員安全意識。

通過對以往網(wǎng)絡(luò)安全事件的分析，大部分事件發(fā)生的原因為系統(tǒng)管理人員缺乏安全意識，政府門戶網(wǎng)站疏于安全防護。所以，無論是對政府領(lǐng)導人員還是網(wǎng)站管理人員，加強安全防護教育都是必需的。政府相關(guān)部門可以采取座談會，集中教育等方式對相關(guān)人員進行網(wǎng)站安全防護教育。另外，政府不定期要聘請第三方網(wǎng)絡(luò)安全公司對其門戶網(wǎng)站進行安全評估。確保網(wǎng)站安全。

（5）數(shù)據(jù)的安全。

為保證數(shù)據(jù)的安全，需要從管理和使用兩個方面對數(shù)據(jù)進行規(guī)劃和管理，數(shù)據(jù)保護具體的措施如下所示：

需要采取實體安全、恢復和備份等技術(shù)手段來保護數(shù)據(jù)庫的完整性；數(shù)據(jù)庫采取分級、分區(qū)、分表等各種授權(quán)方式，設(shè)計嚴格的存取控制措施，控制相應的操作人員對數(shù)據(jù)庫的存取權(quán)限；數(shù)據(jù)加密存儲機制：通過對系統(tǒng)后臺數(shù)據(jù)整體進行加密設(shè)計實現(xiàn)，應用系統(tǒng)由數(shù)據(jù)庫底層嚴格設(shè)計解決數(shù)據(jù)安全問題，對于關(guān)鍵信息內(nèi)容保存時采用嚴格加密算法，完全避免了由于數(shù)據(jù)服務器控制引起的信息外泄問題。

4.結(jié)語

電子政務是政府為響應國家信息化建設(shè)的產(chǎn)物。同時，電子政務是政府網(wǎng)絡(luò)辦公的發(fā)展趨勢。但是，近些年來的網(wǎng)絡(luò)信息安全事件頻發(fā)，讓電子政務的發(fā)展蒙上了一層陰影。所以，加強電子政務安全建設(shè)迫在眉睫。在建設(shè)政府門戶網(wǎng)站時，網(wǎng)站建設(shè)人員必須要嚴格遵守相關(guān)法律法規(guī)。結(jié)合政府在電子政務方面的實際需求，制定符合實際的安全防護措施。為了深入貫徹國家信息化建設(shè)的方針和思想，政府有必要建立安全性高，操作方便的網(wǎng)站，以便其更好的服務民眾。

參考文獻：

[1]洪茹.電子政務信息安全存在的問題及應對策略[J].通訊世界. 2016（07）

[2]王昕.電子政務信息安全工作探討[J].信息系統(tǒng)工程. 2010（08）endprint