电子政务系统软件应用安全技术.docVIP

电子政务系统软件应用安全技术 　　摘 要：文章根据电子政务系统的各种职能和自身特点，对电子政务系统的信息安全建设作简要分析和讨论，并阐述了电子政务系统在发展过程中必须要注意的安全要素。 　　关键词：电子政务系统；安全建设；安全技术；安全防护 　　1 前言 　　政府很早就开始重视电子政务系统的信息安全建设了，也已经取得了不菲的成效，在系统的物理环境安全、网络安全、病毒防护、防火墙、防黑客等方面都有不小的提升。但是过度关注上述问题的结果就是系统软件出现了很多安全漏洞，软件的安全性比较低，使得系统中的软件成了整个系统的薄弱点，想要提高电子政务系统的安全性，当务之急就是关注系统中软件的安全。 　　2 电子政务系统安全问题 　　电子政务系统中的软件大都是规模很大的应用软件，这类软件有着用户多、结构复杂、流程繁琐等等特点，而且电子政务系统是以Web为主要的应用实现方式，所以系统中的软件容易出现SQL注入漏洞、表单绕过漏洞、上传绕过漏洞.权限绕过漏洞、数据库下载漏洞等。另外，电子政务系统的管理账户中有时也会出现口令的安全性问题，出现空口令或者弱口令，更严重的甚至会出现系统不用登陆、没有操作日志等等知名的安全性问题。 　　3 政务系统安全建设之技术 　　3.1 身份认证和访问限制 　　身份认证是提高系统信息安全的第一道防线，没有认证意味着系统就像剥开了的莲子一样毫无防备。电子政务系统的使用者在访问到系统的数据或者资源之前，必须要通过各种各样的方式进行实名认证，认证方式可以使用口令，也可使用标记，总值必须要防止系统的使用者在未经许可的情况下就进入系统。从另一个层面，一个系统理应从技术上采取相关的防护措施，保障所有合法的用户通过预先设定的账户进行登录，软件管理员通过设置一些控制口令的方式提高软件安全性，口令要足够复杂和长。口令在经过一定次数的错误输入后要锁定，或者强制使口令更新，用来确保口令的绝密性。软件中对用户登录过程应该有详细的记录和把控，出现异常信息时也要有安全警示系统进行警告。另外，为了防止使用者的失误导致账户长时间在线，系统应该存在对登录时间的限制，在经过一定的事件后系统自动提醒使用者重新登录账户，以防被冒用，如果登录失败则自动退出。系统中可能记录使用者账户信息的cookies也要定时清除。 　　另外，因为政务系统自身的特性，每个账户有不同的访问权限。如系统的文件和数据库必须经过允许才能访问。在系统的设定中，事实上很容易出现权限设置不清晰或者不合理的失误，这种失败的设定会非常影响系统的安全性。按照当前的软件研发情况和发展情况，授权访问机制多是使用数据库与客户端用户分离的方式保证安全性。用户的访问权限在分配的时候，用户的权限应该对应系统中相关的功能，切记不可超出系统功能权限。另一方面，系统的管理和审计用户比较特殊，但是也不能分配过大的权限，最佳的处理办法是将不同的权限分给多个重要的用户，在部分信息得到泄露的时候也能保证大部分权限都是安全的。 　　3.2 通信安全 　　电子政务系统应用软件在编写的过程中要重点关注软件的通信安全，特别是对于通信的高完整性要求。通信除了部分必须加密，通信的双方还应该确定来自对方的信息是否具有效力。信息通信的双方如果要确定信息传输无差错，建立有关信息传输次序、格式、内容的协议时有必要的，因为网络层面上的协议很难保证通信安全，软件层面的相互验证通信机制十分重要。另外，出于某些特殊考虑，系统还应该具有部分功能，能在通信双方进行安全通信的时候留下消息发出或者被接受的证据。 　　安全通信应该具有一定的流程。首先，在双方建立连接之前应该有系统向双方进行初始化验证，确保通信双方都是合法的而且信息安全。然后，在通信开始之后，应该运行相关的国家加密算法对通话过程进行加密，算法具体如何应该有通信双方提前设置，在通信过程中保证信息的传递都有编码和解码的过程。而且，通信也和账户登陆一样，具有超时的自动再次确认或者退出的机制，当通信单方或者双方一定时间为有新的动作时为防止异常情况的出现，通信必须关闭。 　　3.3 安全审计 　　安全审计是针对各种各样的日志的数据进行统一的查询和管理的功能，在运行时将具有特殊的规则，能够对软件的状态进行实时监控，并产生相应的安全监护报告。安全审计能够对系统的用户在发生行为时起到规范、预防、追踪、警示的作用。安全审计的范围必须是全部用户，对系统中重要的事件发生时能够全程记录，监护重要使用用户，监督系统的异常情况和重要系统功能的执行情况。在进行记录时，事件的事件、用户、事件类型、事件是否生效等等信息都必须记录在案，安全审计有权利也有能力及时的中断一切可能威胁到系统安全的操作并给以警示。 　　审计的记录的安全性和保密性也非常重要，一年内的记录在遭到非正常删除、修改和覆盖的