于海

摘要：近年来国家一直在重点进行安全建设，在不停投入高新技术的同时，也在使用多重的制度保障来推动信息安全的建设。本文根据电子政务系统的各种职能和自身特点，对电子政务系统的信息安全建设作简要分析和讨论，并阐述了电子政务系统在发展过程中必须要注意的安全要素。

关键词：电子政务系统；安全建设；安全技术；安全防护

随着我国政府对职能改革的不断推进和对电子系统的引入，电子政务系统如今已经频繁应用于各个党政机关，执行着各种各样的社会管理、公共决策等命令，已经成为政府部门实施管理和提供服务的重要手段。新世纪的趋势是政务公开，越来越多的政府相关信息已经从网上与民众见面，担任着与民众进行政民互动、协同办公、在线服务等功能的正是电子政务系统，但是正因为如此，这给了一些不法分子一些可乘之机，很多国内外的黑客将之定为重点的攻击目标，政府的网站收到攻击的几率非常高，这给电子政务系统的安全性提出了严峻的考验。

一、电子政务系统安全问题

电子政务系统中的软件大都是规模很大的应用软件，这类软件有着用户多、结构复杂、流程繁琐等等特点，而且电子政务系统是以Web为主要的应用实现方式，所以系统中的软件容易出现SQL注入漏洞、表单绕过漏洞、上传绕过漏洞.权限绕过漏洞、数据库下载漏洞等。另外，电子政务系统的管理账户中有时也会出现口令的安全性问题，出现空口令或者弱口令，更严重的甚至会出现系统不用登陆、没有操作日志等等知名的安全性问题。

二、电子政务系统安全技术分析

（一）身份认证和访问限制

身份认证是提高系统信息安全的第一道防线，没有认证意味着系统就像剥开了的莲子一样毫无防备。电子政务系统的使用者在访问到系统的数据或者资源之前，必须要通过各种各样的方式进行实名认证，认证方式可以使用口令，也可使用标记，总值必须要防止系统的使用者在未经许可的情况下就进入系统。从另一个层面，一个系统理应从技术上采取相关的防护措施，保障所有合法的用户通过预先设定的账户进行登录，软件管理员通过设置一些控制口令的方式提高软件安全性，口令要足够复杂和长。口令在经过一定次数的错误输入后要锁定，或者强制使口令更新，用来确保口令的绝密性。软件中对用户登录过程应该有详细的记录和把控，出现异常信息时也要有安全警示系统进行警告。另外，为了防止使用者的失误导致账户长时间在线，系统应该存在对登录时间的限制，在经过一定的事件后系统自动提醒使用者重新登录账户，以防被冒用，如果登录失败则自动退出。系统中可能记录使用者账户信息的cookies也要定时清除。

（二）通信安全

电子政务系统应用软件在编写的过程中要重点关注软件的通信安全，特别是对于通信的高完整性要求。通信除了部分必须加密，通信的双方还应该确定来自对方的信息是否具有效力。信息通信的双方如果要确定信息传输无差错，建立有关信息传输次序、格式、内容的协议时有必要的，因为网络层面上的协议很难保证通信安全，软件层面的相互验证通信机制十分重要。另外，出于某些特殊考虑，系统还应该具有部分功能，能在通信双方进行安全通信的时候留下消息发出或者被接受的证据。首先，在双方建立连接之前应该有系统向双方进行初始化验证，确保通信双方都是合法的而且信息安全。然后，在通信开始之后，应该运行相关的国家加密算法对通话过程进行加密，算法具体如何应该有通信双方提前设置，在通信过程中保证信息的传递都有编码和解码的过程。而且，通信也和账户登陆一样，具有超时的自动再次确认或者退出的机制，当通信单方或者双方一定时间为有新的动作时为防止异常情况的出现，通信必须关闭。

（三）安全审计

安全审计是针对各种各样的日志的数据进行统一的查询和管理的功能，在运行时将具有特殊的规则，能够对软件的状态进行实时监控，并产生相应的安全监护报告。安全审计能够对系统的用户在发生行为时起到规范、预防、追踪、警示的作用。安全审计的范围必须是全部用户，对系统中重要的事件发生时能够全程记录，监护重要使用用户，监督系统的异常情况和重要系统功能的执行情况。在进行记录时，事件的事件、用户、事件类型、事件是否生效等等信息都必须记录在案，安全审计有权利也有能力及时的中断一切可能威胁到系统安全的操作并给以警示。审计的记录的安全性和保密性也非常重要，一年内的记录在遭到非正常删除、修改和覆盖的时候都应该有能力还原，而且在对系统进行安全审计摆正系统安全的时候，也要根据日志的记录情况，查找并封堵系统或应用中一切可能被利用的漏洞，提高系统的安全性。系统也要在一定程度上能够确定使用者的网络位置，定位网络隐患，保证系统使用过程中的违法行为都会得到追究和审查。

三、电子政务系统安全建设的对策

政务系统的安全还和相关的管理职能相关，要从管理层面上加强电子政务系统的安全性，要从以下几个方面入手：首先，完善我国信息安全基础设施。国家应大力扶持国有信息安全产业建设的发展。自主的信息产业或信息产品国产化是保证电子政务信息安全的根本， 国家应对其发展予以充分的政策和财政支持。对于当前迫切需要建立的国家信息安全基础设施进行建设。其次，建立政府部门内部安全管理制度。应该建立一定的安全责任制度。部门内只有具备相对完善的安全管理制度，加上严格的执行，工作人员才能各司其职，减少差错，防止由于人为因素导致的安全问题。第三，进行电子政务信息安全方面的教育。我国各级政府部门要利用多种途径对公务员进行电子政務信息安全方面的教育，增强工作人员的责任感，提高工作人员的业务技能，丰富安全知识。强化电子政务环境下公务员的信息安全意识，树立正确的安全观念强化公务员的信息安全意识，是保障国家信息安全甚至国家安全的重要前提。最后，健全法律，严格执法。法律是保障电子政务信息安全的最有力手段，我国立法部门应加快立法进程， 吸取和借鉴国外网络信息安全立法的先进经验，尽快制定和颁布多台相关法律，确保电子政务系统的信息安全经过法律渠道的保障。

参考材料：

[1]文华.分析计算机网络存在的危险因素及防范措施[J].黑龙江科技信息，2017.

[2]贾雅娟.计算机安全技术在电子商务中的应用探讨[J].长春理工大学学报，2016.