有關電子政務系統應用安全技術探究

于海

摘要：近年來國家一直在重點進行安全建設，在不停投入高新技術的同時，也在使用多重的制度保障來推動信息安全的建設。本文根據電子政務系統的各種職能和自身特點，對電子政務系統的信息安全建設作簡要分析和討論，并闡述了電子政務系統在發展過程中必須要注意的安全要素。

關鍵詞：電子政務系統；安全建設；安全技術；安全防護

隨著我國政府對職能改革的不斷推進和對電子系統的引入，電子政務系統如今已經頻繁應用于各個黨政機關，執行著各種各樣的社會管理、公共決策等命令，已經成為政府部門實施管理和提供服務的重要手段。新世紀的趨勢是政務公開，越來越多的政府相關信息已經從網上與民眾見面，擔任著與民眾進行政民互動、協同辦公、在線服務等功能的正是電子政務系統，但是正因為如此，這給了一些不法分子一些可乘之機，很多國內外的黑客將之定為重點的攻擊目標，政府的網站收到攻擊的幾率非常高，這給電子政務系統的安全性提出了嚴峻的考驗。

一、電子政務系統安全問題

電子政務系統中的軟件大都是規模很大的應用軟件，這類軟件有著用戶多、結構復雜、流程繁瑣等等特點，而且電子政務系統是以Web為主要的應用實現方式，所以系統中的軟件容易出現SQL注入漏洞、表單繞過漏洞、上傳繞過漏洞.權限繞過漏洞、數據庫下載漏洞等。另外，電子政務系統的管理賬戶中有時也會出現口令的安全性問題，出現空口令或者弱口令，更嚴重的甚至會出現系統不用登陸、沒有操作日志等等知名的安全性問題。

二、電子政務系統安全技術分析

（一）身份認證和訪問限制

身份認證是提高系統信息安全的第一道防線，沒有認證意味著系統就像剝開了的蓮子一樣毫無防備。電子政務系統的使用者在訪問到系統的數據或者資源之前，必須要通過各種各樣的方式進行實名認證，認證方式可以使用口令，也可使用標記，總值必須要防止系統的使用者在未經許可的情況下就進入系統。從另一個層面，一個系統理應從技術上采取相關的防護措施，保障所有合法的用戶通過預先設定的賬戶進行登錄，軟件管理員通過設置一些控制口令的方式提高軟件安全性，口令要足夠復雜和長。口令在經過一定次數的錯誤輸入后要鎖定，或者強制使口令更新，用來確保口令的絕密性。軟件中對用戶登錄過程應該有詳細的記錄和把控，出現異常信息時也要有安全警示系統進行警告。另外，為了防止使用者的失誤導致賬戶長時間在線，系統應該存在對登錄時間的限制，在經過一定的事件后系統自動提醒使用者重新登錄賬戶，以防被冒用，如果登錄失敗則自動退出。系統中可能記錄使用者賬戶信息的cookies也要定時清除。

（二）通信安全

電子政務系統應用軟件在編寫的過程中要重點關注軟件的通信安全，特別是對于通信的高完整性要求。通信除了部分必須加密，通信的雙方還應該確定來自對方的信息是否具有效力。信息通信的雙方如果要確定信息傳輸無差錯，建立有關信息傳輸次序、格式、內容的協議時有必要的，因為網絡層面上的協議很難保證通信安全，軟件層面的相互驗證通信機制十分重要。另外，出于某些特殊考慮，系統還應該具有部分功能，能在通信雙方進行安全通信的時候留下消息發出或者被接受的證據。首先，在雙方建立連接之前應該有系統向雙方進行初始化驗證，確保通信雙方都是合法的而且信息安全。然后，在通信開始之后，應該運行相關的國家加密算法對通話過程進行加密，算法具體如何應該有通信雙方提前設置，在通信過程中保證信息的傳遞都有編碼和解碼的過程。而且，通信也和賬戶登陸一樣，具有超時的自動再次確認或者退出的機制，當通信單方或者雙方一定時間為有新的動作時為防止異常情況的出現，通信必須關閉。

（三）安全審計

安全審計是針對各種各樣的日志的數據進行統一的查詢和管理的功能，在運行時將具有特殊的規則，能夠對軟件的狀態進行實時監控，并產生相應的安全監護報告。安全審計能夠對系統的用戶在發生行為時起到規范、預防、追蹤、警示的作用。安全審計的范圍必須是全部用戶，對系統中重要的事件發生時能夠全程記錄，監護重要使用用戶，監督系統的異常情況和重要系統功能的執行情況。在進行記錄時，事件的事件、用戶、事件類型、事件是否生效等等信息都必須記錄在案，安全審計有權利也有能力及時的中斷一切可能威脅到系統安全的操作并給以警示。審計的記錄的安全性和保密性也非常重要，一年內的記錄在遭到非正常刪除、修改和覆蓋的時候都應該有能力還原，而且在對系統進行安全審計擺正系統安全的時候，也要根據日志的記錄情況，查找并封堵系統或應用中一切可能被利用的漏洞，提高系統的安全性。系統也要在一定程度上能夠確定使用者的網絡位置，定位網絡隱患，保證系統使用過程中的違法行為都會得到追究和審查。

三、電子政務系統安全建設的對策

政務系統的安全還和相關的管理職能相關，要從管理層面上加強電子政務系統的安全性，要從以下幾個方面入手：首先，完善我國信息安全基礎設施。國家應大力扶持國有信息安全產業建設的發展。自主的信息產業或信息產品國產化是保證電子政務信息安全的根本， 國家應對其發展予以充分的政策和財政支持。對于當前迫切需要建立的國家信息安全基礎設施進行建設。其次，建立政府部門內部安全管理制度。應該建立一定的安全責任制度。部門內只有具備相對完善的安全管理制度，加上嚴格的執行，工作人員才能各司其職，減少差錯，防止由于人為因素導致的安全問題。第三，進行電子政務信息安全方面的教育。我國各級政府部門要利用多種途徑對公務員進行電子政務信息安全方面的教育，增強工作人員的責任感，提高工作人員的業務技能，豐富安全知識。強化電子政務環境下公務員的信息安全意識，樹立正確的安全觀念強化公務員的信息安全意識，是保障國家信息安全甚至國家安全的重要前提。最后，健全法律，嚴格執法。法律是保障電子政務信息安全的最有力手段，我國立法部門應加快立法進程， 吸取和借鑒國外網絡信息安全立法的先進經驗，盡快制定和頒布多臺相關法律，確保電子政務系統的信息安全經過法律渠道的保障。

參考材料：

[1]文華.分析計算機網絡存在的危險因素及防范措施[J].黑龍江科技信息，2017.

[2]賈雅娟.計算機安全技術在電子商務中的應用探討[J].長春理工大學學報，2016.