新时期我国电子政务安全问题的研究.docVIP

新时期我国电子政务安全问题的研究 　　【摘要】互联网技术的发展和普及，给我国信息技术应用观念带来了质的飞跃，利用信息技术对现有政府形态和结构进行信息化的改造逐渐锻造了我国电子政务的雏形。电子政务给政府工作带来极大的便利同时，也为公众进一步了解政府工作提供了一个平台。但是电子政务安全问题变得日益严重，逐渐引起了各方广泛关注。文章就电子政务的网站和信息安全做了简要介绍和并提出了解决措施。 　　【关键词】电子政务；网站安全：信息安全 　　中图分类号：TP39 文献标识码：A 文章编号：1006-0278（2013）04-138-02 　　一、引言 　　电子政务是政府在其管理和服务职能中运用现代信息和通信技术，实现政府组织结构和工作流程的优化重组，超越时间、空间和部门分隔的制约，全方位地向社会提供优质、规范、透明的服务，是政府管理手段的变革和政府管理方式的创新。 　　二、我国电子政务存在的安全问题 　　（一）电子政务网站面临的安全问题 　　要对电子政务网站进行安全防护，首先需要彻底了解现在黑客在攻击时所采用的主要攻击手段。现有的电子政务网站一般采用防火墙作为边界防护，但是因为防火墙基于包检测过滤方法的先天性不足，并不能检测出黑客们嵌入到普通网络流量中的攻击代码。防火墙另一致命弱点就是不能防范发生在应用层的攻击，利用这一弱点，黑客往往用如下手段对电子政务网站进行攻击： 　　1.SQL注入攻击 　　所谓SQL注入式攻击，也就是SQLInjection，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。来自官方的说法是：“当应用程序使用输入内容来构造动态SQL语句以访问数据库时，会发生SQL注入攻击。如果代码使用存储过程，而这些存储过程作为包含未筛选的用户输入的字符串来传递，也会发生SQL注入攻击。SQL注入可能导致攻击者能够使用应用程序登录在数据库中执行命令。如果应用程序使用特权过高的帐户连接到数据库，这种问题会变得很严重。” 　　2.DDoS攻击 　　分布式拒绝服务攻击（DDoS）是目前黑客经常采用而难以防范的攻击手段。DoS的攻击方式有很多种。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，致使服务超载，无法响应其他的请求。这些服务资源包括网络带宽、文件系统空间容量、开放的进程或者向内的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多么快，内存容量多么大，互连网的速度多么快都无法避免这种攻击带来的后果。 　　3.跨站点脚本攻击 　　跨站脚本攻击（也称为CSS或者XSS）指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息。攻击者通常会用十六进制（或其他编码方式）将链接编码，以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascripl的帖子。假设用户甲发表了一篇包含恶意脚本的帖子，那么用户乙在浏览这篇帖子时，恶意脚本就会执行，盗取用户乙的session信息。 　　（二）电子政务信息安全问题 　　1.重技术轻管理。当电子政务系统运用到政府工作中后，相关部门为了保证电子政务的安全使用，往往会花重金购进一些先进的安全设备和相关软件，并简单的认为只要有了技术支持就能够保证电子政务的安全性。这些技术保障主要包括了：病毒防护、操作系统安全、数据库系统安全、网络安全、访问安全、入侵检测等等。不可否认，技术支持是不可缺少的，但是很多电子政务管理人员却重技术的同时忽视了电子政务安全管理，从而容易导致管理上的一些漏洞，使一些技术防护措施无法发挥作用，最终对电子政务的安全使用造成威胁。并且相关安全教育的缺乏也是严重问题。 　　2.软件本身缺乏安全性。首先，由于操作系统在设计时主要致力于信息处理能力的提高，从而对信息安全方面重视程度减弱了，并未十分注重安全设计。所以，安全隐患在操作系统中相当多。其次，通信与网络设备本身也有安全隐患。这主要包括了：网络传送数据易被盗取；越权或非法使用，信息被拦截或监听；操作系统存在的网络安全漏洞；直接面向用户的应用系统存在的信息泄露、信息篡改、信息抵赖、信息假冒等。再次，各部门在建设电子政务系统时，未能统一操作系统、数据库管理系统以及计算机网络系统标准，并在信息安全标准、密码算法和协议方面也未能达成一致，导致安全确认无法正常进行。 　　3.法律法规不健全。相对日益增长的电子政务发展速度，相关的法律法规却未能及时地建立完善起来，进而未能对电子政务安全管理作出相