宋名威
摘 要:文章根据电子政务系统的各种职能和自身特点,对电子政务系统的信息安全建设作简要分析和讨论,并阐述了电子政务系统在发展过程中必须要注意的安全要素。
关键词:电子政务系统;安全建设;安全技术;安全防护
1 前言
政府很早就开始重视电子政务系统的信息安全建设了,也已经取得了不菲的成效,在系统的物理环境安全、网络安全、病毒防护、防火墙、防黑客等方面都有不小的提升。但是过度关注上述问题的结果就是系统软件出现了很多安全漏洞,软件的安全性比较低,使得系统中的软件成了整个系统的薄弱点,想要提高电子政务系统的安全性,当务之急就是关注系统中软件的安全。
2 电子政务系统安全问题
电子政务系统中的软件大都是规模很大的应用软件,这类软件有着用户多、结构复杂、流程繁琐等等特点,而且电子政务系统是以Web为主要的应用实现方式,所以系统中的软件容易出现SQL注入漏洞、表单绕过漏洞、上传绕过漏洞.权限绕过漏洞、数据库下载漏洞等。另外,电子政务系统的管理账户中有时也会出现口令的安全性问题,出现空口令或者弱口令,更严重的甚至会出现系统不用登陆、没有操作日志等等知名的安全性问题。
3 政务系统安全建设之技术
3.1 身份认证和访问限制
身份认证是提高系统信息安全的第一道防线,没有认证意味着系统就像剥开了的莲子一样毫无防备。电子政务系统的使用者在访问到系统的数据或者资源之前,必须要通过各种各样的方式进行实名认证,认证方式可以使用口令,也可使用标记,总值必须要防止系统的使用者在未经许可的情况下就进入系统。从另一个层面,一个系统理应从技术上采取相关的防护措施,保障所有合法的用户通过预先设定的账户进行登录,软件管理员通过设置一些控制口令的方式提高软件安全性,口令要足够复杂和长。口令在经过一定次数的错误输入后要锁定,或者强制使口令更新,用来确保口令的绝密性。软件中对用户登录过程应该有详细的记录和把控,出现异常信息时也要有安全警示系统进行警告。另外,为了防止使用者的失误导致账户长时间在线,系统应该存在对登录时间的限制,在经过一定的事件后系统自动提醒使用者重新登录账户,以防被冒用,如果登录失败则自动退出。系统中可能记录使用者账户信息的cookies也要定时清除。
另外,因为政务系统自身的特性,每个账户有不同的访问权限。如系统的文件和数据库必须经过允许才能访问。在系统的设定中,事实上很容易出现权限设置不清晰或者不合理的失误,这种失败的设定会非常影响系统的安全性。按照当前的软件研发情况和发展情况,授权访问机制多是使用数据库与客户端用户分离的方式保证安全性。用户的访问权限在分配的时候,用户的权限应该对应系统中相关的功能,切记不可超出系统功能权限。另一方面,系统的管理和审计用户比较特殊,但是也不能分配过大的权限,最佳的处理办法是将不同的权限分给多个重要的用户,在部分信息得到泄露的时候也能保证大部分权限都是安全的。
3.2 通信安全
电子政务系统应用软件在编写的过程中要重点关注软件的通信安全,特别是对于通信的高完整性要求。通信除了部分必须加密,通信的双方还应该确定来自对方的信息是否具有效力。信息通信的双方如果要确定信息传输无差错,建立有关信息传输次序、格式、内容的协议时有必要的,因为网络层面上的协议很难保证通信安全,软件层面的相互验证通信机制十分重要。另外,出于某些特殊考虑,系统还应该具有部分功能,能在通信双方进行安全通信的时候留下消息发出或者被接受的证据。
安全通信应该具有一定的流程。首先,在双方建立连接之前应该有系统向双方进行初始化验证,确保通信双方都是合法的而且信息安全。然后,在通信开始之后,应该运行相关的国家加密算法对通话过程进行加密,算法具体如何应该有通信双方提前设置,在通信过程中保证信息的传递都有编码和解码的过程。而且,通信也和账户登陆一样,具有超时的自动再次确认或者退出的机制,当通信单方或者双方一定时间为有新的动作时为防止异常情况的出现,通信必须关闭。
3.3 安全审计
安全审计是针对各种各样的日志的数据进行统一的查询和管理的功能,在运行时将具有特殊的规则,能够对软件的状态进行实时监控,并产生相应的安全监护报告。安全审计能够对系统的用户在发生行为时起到规范、预防、追踪、警示的作用。安全审计的范围必须是全部用户,对系统中重要的事件发生时能够全程记录,监护重要使用用户,监督系统的异常情况和重要系统功能的执行情况。在进行记录时,事件的事件、用户、事件类型、事件是否生效等等信息都必须记录在案,安全审计有权利也有能力及时的中断一切可能威胁到系统安全的操作并给以警示。
审计的记录的安全性和保密性也非常重要,一年内的记录在遭到非正常删除、修改和覆盖的时候都应该有能力还原,而且在对系统进行安全审计摆正系统安全的时候,也要根据日志的记录情况,查找并封堵系统或应用中一切可能被利用的漏洞,提高系统的安全性。系统也要在一定程度上能够确定使用者的网络位置,定位网络隐患,保证系统使用过程中的违法行为都会得到追究和审查。
3.4 代码安全
软件的安全性很大程度上和编写的代码有关,软件在编写时应该有一定的代码编写规范,这样在软件出现漏洞时候方便监测和弥补。软件的代码在正式投入使用前要经过严格的脆弱性分析,尽量避免软件出现容易受到攻击的薄弱点,另一方面程序的规范性也是投入使用前的检测重点,错误和缺陷很多都是由于代码编写不规范的造成的。另外,代码的审查过程必须有一定的资料清单,清单上的资料由专业的代码测试人员和开发人员共同进行确认,然后由专业人员进行运行环境的配置和运行前的预编译,软件的能用性经过确认之后还要经过工具对代码进行安全测试操作,凭借反馈的结果对软件的问题进行风险估算,然后制成测试报告反馈开发人员,在所有程序都准确无误的通过之后软件才能投入使用。
4 政务系统安全建设之管理
政务系统的安全还和相关的管理职能相关,要从管理层面上加强电子政务系统的安全性,要从以下几个方面入手:
4.1 完善我国信息安全基础设施
国家应大力扶持国有信息安全产业建设的发展。自主的信息产业或信息产品国产化是保证电子政务信息安全的根本,国家应对其发展予以充分的政策和财政支持。对于当前迫切需要建立的国家信息安全基础设施进行建设。
4.2 建立政府部门内部安全管理制度
应该建立一定的安全责任制度。部门内只有具备相对完善的安全管理制度,加上严格的执行,工作人员才能各司其职,减少差错,防止由于人为因素导致的安全问题。
4.3 进行电子政务信息安全方面的教育
我国各级政府部门要利用多种途径对公务员进行电子政务信息安全方面的教育,增强工作人员的责任感,提高工作人员的业务技能,丰富安全知识。强化电子政务环境下公务员的信息安全意识,树立正确的安全观念强化公务员的信息安全意识,是保障国家信息安全甚至国家安全的重要前提。
4.4 健全法律,严格执法
法律是保障电子政务信息安全的最有力手段,我国立法部门应加快立法进程,吸取和借鉴国外网络信息安全立法的先进经验,尽快制定和颁布多台相关法律,确保电子政务系统的信息安全经过法律渠道的保障。
[参考文献]
[1]刘邦凡,梁俊山,王宏禹.论服务型政府对电子政务建设提出的新要求[J].电子政务,2012(6).
[2]任铄,王诺,徐曼.计算机网络安全防控策略分析[J].网络安全技术与应用,2012(6).
[3]文华.分析计算机网络存在的危险因素及防范措施[J].黑龙江科技信息,2013(32).
[4]贾雅娟.计算机安全技术在电子商务中的应用探讨[J].长春理工大学学报,2014(3).