電子政務(wù)網(wǎng)站安全建設(shè)

劉伯忠

【摘要】隨著我國(guó)信息化建設(shè)的不斷深入，企業(yè)和政府在信息化建設(shè)領(lǐng)域均取得了一定成就。對(duì)于政府職能部門來(lái)說(shuō)，電子政務(wù)建設(shè)是其響應(yīng)國(guó)家號(hào)召的具體體現(xiàn)。但是，就近幾年的網(wǎng)絡(luò)安全事件來(lái)看，政府門戶網(wǎng)站開(kāi)始受到不法分子的惡意攻擊。導(dǎo)致大量的公民個(gè)人信息流失。所以，加強(qiáng)電子政務(wù)網(wǎng)站安全建設(shè)是必需的。本文從電子政務(wù)網(wǎng)站當(dāng)前存在的問(wèn)題入手，通過(guò)探索和研究，提出相應(yīng)的解決策略。

【關(guān)鍵詞】信息化建設(shè) 電子政務(wù) 解決策略

【中圖分類號(hào)】TP393.092 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】2095-3089（2017）35-0220-02

1.緒論

目前從國(guó)家到企業(yè)都掀起了信息化的高潮，信息化以其特有的特點(diǎn)，成為目前各項(xiàng)、各級(jí)別管理工作的研究的重點(diǎn)。電子政務(wù)的發(fā)展和應(yīng)用歸納為三個(gè)階段，即：第一階段：信息發(fā)布階段。主要是內(nèi)部、外部網(wǎng)站的建設(shè)，以發(fā)布靜態(tài)信息為主；第二階段：網(wǎng)上辦公階段。主要應(yīng)用系統(tǒng)為辦公自動(dòng)化系統(tǒng)（OA）和企業(yè)信息資源規(guī)劃系統(tǒng)（ERP），將傳統(tǒng)的手工業(yè)務(wù)過(guò)程電子化，并移植到網(wǎng)上，以提高工作質(zhì)量和效率、規(guī)范工作流程。電子政務(wù)是政府職能部門通過(guò)計(jì)算機(jī)信息技術(shù)對(duì)其業(yè)務(wù)流程，管理結(jié)構(gòu)，服務(wù)方式的改進(jìn)和優(yōu)化，是政府信息化建設(shè)的產(chǎn)物。但是，在電子政務(wù)迅猛發(fā)展的背后，其建設(shè)安全性也受到民眾的質(zhì)疑。尤其是在當(dāng)前復(fù)雜的社會(huì)環(huán)境下，電子政務(wù)建設(shè)需要更高的標(biāo)準(zhǔn)和安全防護(hù)措施。

2.電子政務(wù)現(xiàn)狀和問(wèn)題

（一）安全現(xiàn)狀

近些年來(lái)，針對(duì)政府門戶網(wǎng)站和社會(huì)公共單位網(wǎng)站的惡意攻擊越來(lái)越多。通常來(lái)說(shuō)，這些網(wǎng)站服務(wù)器中記錄了大量公民個(gè)人信息。所以，電子政務(wù)快速發(fā)展的同時(shí)，公民信息流失的風(fēng)險(xiǎn)逐漸增加。例如：2012年，四川省雅安市疾病防控中心門戶網(wǎng)站遭到黑客攻擊，約260萬(wàn)條個(gè)人信息丟失。總的來(lái)說(shuō)，政府電子政務(wù)網(wǎng)站正在遭受極大安全威脅。主要體現(xiàn)在以下三個(gè)方面：

（1）網(wǎng)頁(yè)強(qiáng)制跳轉(zhuǎn)：不法分子對(duì)政府門戶網(wǎng)站頁(yè)面進(jìn)行修改，使公民在登錄政府門戶網(wǎng)站時(shí)頁(yè)面自動(dòng)跳轉(zhuǎn)至不法分子指定頁(yè)面。據(jù)相關(guān)網(wǎng)絡(luò)安全部門統(tǒng)計(jì)，我國(guó)政府門戶網(wǎng)站被惡意修改的事件每個(gè)月就高達(dá)數(shù)萬(wàn)起。不法分子通常會(huì)將頁(yè)面跳轉(zhuǎn)至淫穢色情網(wǎng)站。極大的損害了政府形象，造成惡劣的社會(huì)影響。

（2）網(wǎng)頁(yè)非法腳本：黑客利用政府門戶網(wǎng)站存在的漏洞，將惡意腳本代碼植入其中。黑客不僅能夠得到每一位登錄用戶的信息，還能夠侵入門戶網(wǎng)站的主機(jī)。由于政府領(lǐng)導(dǎo)人員對(duì)門戶網(wǎng)站維護(hù)不夠重視，網(wǎng)站被植入腳本代碼的幾率逐漸增加。

（3）頁(yè)面欺詐：黑客篡改網(wǎng)站登錄頁(yè)面，使登錄頁(yè)面跳轉(zhuǎn)至黑客仿制的登錄頁(yè)面。用戶登錄信息會(huì)被頁(yè)面客戶端記錄下來(lái)。頁(yè)面欺詐主要出現(xiàn)在電子商務(wù)領(lǐng)域。一旦用戶信息被獲取，將會(huì)造成無(wú)法挽回的損失。我國(guó)每年電子商務(wù)詐騙案件就有數(shù)萬(wàn)起，涉案金額到達(dá)數(shù)十億。而且，大部分涉案資金難以追回。

（二）電子政務(wù)存在的問(wèn)題

政府網(wǎng)站被頻繁入侵，主要是政府自身管理缺陷所致。作者認(rèn)為其主要體現(xiàn)在以下幾個(gè)方面：

（1）網(wǎng)站日常維護(hù)管理缺失：政府網(wǎng)站管理人員一般是政府內(nèi)部職工所擔(dān)任，其缺乏網(wǎng)站管理經(jīng)驗(yàn)，沒(méi)有意識(shí)到網(wǎng)站日常維護(hù)的重要性。所以，網(wǎng)站相關(guān)軟件和硬件無(wú)法得到及時(shí)更新，導(dǎo)致網(wǎng)站安全性能下降，給了不法分子可乘之機(jī)。

（2）應(yīng)急機(jī)制缺失：很多政府網(wǎng)站在建設(shè)完成之后，沒(méi)有進(jìn)行網(wǎng)站應(yīng)急制度的建設(shè)。使得政府網(wǎng)站在遭到惡意攻擊后，其應(yīng)變能力嚴(yán)重不足。無(wú)法及時(shí)控制事件影響，對(duì)政府影響造成極大損害。對(duì)社會(huì)造成負(fù)面影響。

（3）相關(guān)法律缺失：雖然我國(guó)在計(jì)算機(jī)和網(wǎng)絡(luò)安全已經(jīng)設(shè)立了法律規(guī)定，但是這些法律法規(guī)卻沒(méi)有針對(duì)網(wǎng)絡(luò)犯罪的評(píng)判和量刑標(biāo)準(zhǔn)。使得不法分子有機(jī)可乘，法律法規(guī)不能起到應(yīng)有的震懾效果。

（4）網(wǎng)站管理人員專業(yè)水平較低：政府門戶網(wǎng)站管理人員一般是從部門內(nèi)部選拔而來(lái)。這些人員經(jīng)過(guò)簡(jiǎn)單的培訓(xùn)之后，便開(kāi)始從事網(wǎng)站管理工作。面對(duì)復(fù)雜的社會(huì)形勢(shì)和快速發(fā)展的科學(xué)技術(shù)，通過(guò)簡(jiǎn)單培訓(xùn)是不能勝任政府管理工作的。政府領(lǐng)導(dǎo)往往沒(méi)有考慮到這個(gè)方面，使得網(wǎng)站面臨極大安全隱患。

3.電子政務(wù)安全建設(shè)策略

對(duì)于政府網(wǎng)站存在的問(wèn)題以及當(dāng)前復(fù)雜的社會(huì)形勢(shì)，政府相關(guān)部門有必要在網(wǎng)站安全方面對(duì)政府門戶網(wǎng)站進(jìn)行升級(jí)和改善。電子政務(wù)的建設(shè)必須遵照企業(yè)安全規(guī)范，加以嚴(yán)格的控制和管理，以確保系統(tǒng)本身及用戶數(shù)據(jù)的安全。同時(shí)，系統(tǒng)還建有與人事、財(cái)務(wù)等核心系統(tǒng)的接口，所以系統(tǒng)安全是眾多考慮因素中的重要問(wèn)題，要從以下三個(gè)方面來(lái)考慮系統(tǒng)的安全建設(shè)方案。通過(guò)探索和研究，作者認(rèn)為從以下幾個(gè)方面進(jìn)行政府門戶網(wǎng)站安全建設(shè)。

（1）統(tǒng)一網(wǎng)站安全建設(shè)標(biāo)準(zhǔn)，加強(qiáng)信息安全監(jiān)管

鑒于政府門戶網(wǎng)站特殊屬性，安全建設(shè)成為門戶網(wǎng)站建設(shè)的重中之重。在當(dāng)前政府網(wǎng)站建設(shè)中，各地各部門間的安全建設(shè)標(biāo)準(zhǔn)不一致，使得網(wǎng)站建設(shè)參差不齊。所以，當(dāng)前第一步就是國(guó)家相關(guān)立法機(jī)構(gòu)要統(tǒng)一政府門戶網(wǎng)站建設(shè)標(biāo)準(zhǔn)，以法律法規(guī)的形式規(guī)范網(wǎng)站安全建設(shè)。另外，政府各部門之間要加強(qiáng)交流合作，尤其是公安機(jī)關(guān)中的網(wǎng)絡(luò)安全部門，要加大對(duì)政府門戶網(wǎng)站的監(jiān)管力度。確保政府門戶網(wǎng)站安全，維護(hù)政府在社會(huì)中的形象。系統(tǒng)設(shè)置出口防火墻，外部網(wǎng)絡(luò)和內(nèi)部服務(wù)器群隔離開(kāi)。需要對(duì)用戶的接入權(quán)限進(jìn)行控制。戶具有進(jìn)行相應(yīng)操作的權(quán)限必須是通過(guò)認(rèn)證后的用戶，用戶權(quán)限通過(guò)認(rèn)證服務(wù)器進(jìn)行認(rèn)證。而且，對(duì)于不同用戶也有與之相對(duì)應(yīng)的不同權(quán)限的安全等級(jí)的設(shè)置，系統(tǒng)管理員是最高等級(jí)，可以對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行讀取和維護(hù)，普通用戶和特約商戶等注冊(cè)的用戶僅擁有對(duì)應(yīng)的數(shù)據(jù)存取操作權(quán)限，電子政務(wù)網(wǎng)站具體的網(wǎng)絡(luò)結(jié)構(gòu)如下所示：

（2）建立網(wǎng)站安全監(jiān)測(cè)系統(tǒng)

政府應(yīng)和公安機(jī)關(guān)建立有效合作機(jī)制，與公安機(jī)關(guān)共同開(kāi)發(fā)政府門戶網(wǎng)站安全監(jiān)測(cè)系統(tǒng)。政府借助公安機(jī)關(guān)的技術(shù)和條件，建立網(wǎng)站安全監(jiān)測(cè)系統(tǒng)。該系統(tǒng)能夠?qū)W(wǎng)站進(jìn)行實(shí)時(shí)監(jiān)測(cè)，及時(shí)修補(bǔ)網(wǎng)站漏洞。

（3）網(wǎng)站管理人員專業(yè)化。

政府門戶網(wǎng)站管理人員應(yīng)從社會(huì)中應(yīng)聘，摒棄內(nèi)部人員選拔制度。專業(yè)網(wǎng)站管理人員不僅能夠保證政府門戶網(wǎng)站穩(wěn)定運(yùn)行，而且能夠降低網(wǎng)站日常維護(hù)費(fèi)用。網(wǎng)站管理工作需要團(tuán)隊(duì)合作才能勝任，所以政府應(yīng)當(dāng)加強(qiáng)在這方面的人才儲(chǔ)備工作。

（4）加強(qiáng)相關(guān)人員安全意識(shí)。

通過(guò)對(duì)以往網(wǎng)絡(luò)安全事件的分析，大部分事件發(fā)生的原因?yàn)橄到y(tǒng)管理人員缺乏安全意識(shí)，政府門戶網(wǎng)站疏于安全防護(hù)。所以，無(wú)論是對(duì)政府領(lǐng)導(dǎo)人員還是網(wǎng)站管理人員，加強(qiáng)安全防護(hù)教育都是必需的。政府相關(guān)部門可以采取座談會(huì)，集中教育等方式對(duì)相關(guān)人員進(jìn)行網(wǎng)站安全防護(hù)教育。另外，政府不定期要聘請(qǐng)第三方網(wǎng)絡(luò)安全公司對(duì)其門戶網(wǎng)站進(jìn)行安全評(píng)估。確保網(wǎng)站安全。

（5）數(shù)據(jù)的安全。

為保證數(shù)據(jù)的安全，需要從管理和使用兩個(gè)方面對(duì)數(shù)據(jù)進(jìn)行規(guī)劃和管理，數(shù)據(jù)保護(hù)具體的措施如下所示：

需要采取實(shí)體安全、恢復(fù)和備份等技術(shù)手段來(lái)保護(hù)數(shù)據(jù)庫(kù)的完整性；數(shù)據(jù)庫(kù)采取分級(jí)、分區(qū)、分表等各種授權(quán)方式，設(shè)計(jì)嚴(yán)格的存取控制措施，控制相應(yīng)的操作人員對(duì)數(shù)據(jù)庫(kù)的存取權(quán)限；數(shù)據(jù)加密存儲(chǔ)機(jī)制：通過(guò)對(duì)系統(tǒng)后臺(tái)數(shù)據(jù)整體進(jìn)行加密設(shè)計(jì)實(shí)現(xiàn)，應(yīng)用系統(tǒng)由數(shù)據(jù)庫(kù)底層嚴(yán)格設(shè)計(jì)解決數(shù)據(jù)安全問(wèn)題，對(duì)于關(guān)鍵信息內(nèi)容保存時(shí)采用嚴(yán)格加密算法，完全避免了由于數(shù)據(jù)服務(wù)器控制引起的信息外泄問(wèn)題。

4.結(jié)語(yǔ)

電子政務(wù)是政府為響應(yīng)國(guó)家信息化建設(shè)的產(chǎn)物。同時(shí)，電子政務(wù)是政府網(wǎng)絡(luò)辦公的發(fā)展趨勢(shì)。但是，近些年來(lái)的網(wǎng)絡(luò)信息安全事件頻發(fā)，讓電子政務(wù)的發(fā)展蒙上了一層陰影。所以，加強(qiáng)電子政務(wù)安全建設(shè)迫在眉睫。在建設(shè)政府門戶網(wǎng)站時(shí)，網(wǎng)站建設(shè)人員必須要嚴(yán)格遵守相關(guān)法律法規(guī)。結(jié)合政府在電子政務(wù)方面的實(shí)際需求，制定符合實(shí)際的安全防護(hù)措施。為了深入貫徹國(guó)家信息化建設(shè)的方針和思想，政府有必要建立安全性高，操作方便的網(wǎng)站，以便其更好的服務(wù)民眾。

參考文獻(xiàn)：

[1]洪茹.電子政務(wù)信息安全存在的問(wèn)題及應(yīng)對(duì)策略[J].通訊世界. 2016（07）

[2]王昕.電子政務(wù)信息安全工作探討[J].信息系統(tǒng)工程. 2010（08）endprint