消除電子政務系統安全隱患的幾點建議

在我國的電子政務系統中，政府機關的公文往來、資料存儲、服務提供都以電子化的形式來實現，但在提高辦公效率、擴大政府服務內容的同時，也為某些居心不良者提供了通過技術手段竊取重要信息的可能。目前，我國的電子政務系統存在著很大的安全隱患，電子政務建設中的網絡安全問題亟待解決。國家計算機網絡應急技術處理協調中心統計顯示， 我國各級政府網站僅在2005年就被篡改2027次，比上年多一倍，這還不包括隱蔽的篡改行為。此外，數據信息泄漏、 服務器數據庫被更改及其他非針對網站攻擊等現象更是數不勝數。為此，本文就如何保障電子政務系統安全提出幾點建議。

1. 確保網絡系統的安全。系統安全包括設備安全、運行安全和網絡安全。 設備安全是指電子政務系統中的計算機、存儲設備、網絡設備、通信設備、安全設備等物理保證安全，防止人為和自然的損壞；運行安全是指服務器操作系統及電子政務軟件運行安全性，防止系統運行軟件故障，減少因軟件故障導致的系統運行不穩定；網絡安全是指運行電子政務網絡的聯通性，保證網絡聯通，監控和剔除非正常通信。在構建電子政務網絡時，要考慮到一定的設備冗余，使電子政務網站的運行具有不間斷性。電子政務網站一般情況下需要24小時提供服務，所選擇的服務器和操作系統及電子政務軟件至關重要。一方面要保障計算機的正常運行，還要防止一些惡意的攻擊，故此，必須在服務器上安裝殺毒軟件和使用防火墻對服務器進行必要的保護。服務器的操作系統要由專業技術人員進行配置，并由第三方網絡安全公司進行完整的安全檢測。 網管人員要對服務器進行24小時不間斷的監控。一要防止因設備、系統、軟件故障導致的停機，二要防止黑客的攻擊或病毒的破壞（傳播），三要對數據進行實時監控，對操作人員的操作進行審核，并修復誤操作。

2. 選擇合適的電子政務系統。目前，我國有多家軟件公司在做電子政務系統。每個公司的系統都有其自身的優點和不足。各級政府必須有目的地選購適合本級政府的電子政務系統，軟件系統要和本部門的硬件設備及管理、操作人員相匹配。另外，軟件所需要的網絡設備的負載及網絡拓撲結構也是非常重要的，各公司的軟件對此要求也各不相同。只有根據實際情況出發， 才能選擇針對性強的電子政務軟件，才能使國家的資金正常發揮作用，才能使電子政務系統正常合理的使用。 筆者曾對某地級市的電子政務系統進行檢測，發現其使用率不足5%， 所使用的Oracle數據庫及Unix操作系統沒有一個網絡管理人員熟悉，一旦系統出了問題就只有等軟件廠商來解決，安全問題更得不到保障。這就是選擇不當的結果，如果選用Windows Server 2003和SQL Server 2005及Lout 7或Exchange Server平臺上的電子政務系統，管理、維護就方便得多。

3． 使用恰當的加密及認證手段確保連接的安全性。在電子政務系統中，客戶端（工作機）與服務器的連接是必須的。目前，隨著計算機技術的發展及網絡的普及，單機版的電子政務軟件已經越來越少了，網絡版中，客戶端（工作機）必須與服務器連接，讀寫服務器數據庫中的數據。目前，我國的電子政務系統一般使用的是C/S或B/S模式。基于C/S模式的電子政務系統中主要使用的網絡連接有非加密連接（ODBC直接連接）、VPN遠程接入兩種。使用非加密直連，黑客可以通過嗅探器輕松獲取數據庫名稱及用戶名、 密碼， 可以構建一個虛擬環境來對服務器數據庫進行讀寫， 形成極大的安全漏洞，據筆者所知，這樣的連接還大量存在。此外，使用VPN遠程接入，由于選擇VPN設備的不同，也存在密碼強度問題及數據被解密的情況。 有些VPN設備本身存在缺陷， 也為電子政務系統安全帶來隱患?；贐/S模式的電子政務系統，目前有非加密、IPSec加密、SSL加密、使用VPN連接及數字認證（卡證）等。相對于C/S模式，加密的選擇種類較多，算法多種多樣，支持第三方認證，加密強度也較高，許多加密手段集成到操作系統中， 在目前的電子政務系統中使用較多。 現在的電子政務系統大部分使用的是VPN連接和IPSec加密，SSL加密目前大部分用于電子商務網站。 基于VPN連接，客戶端(工作機）連接到VPN設備（VPN服務器），獲得加密通道，啟用安全連接，進行數據傳輸，黑客無法進行正常的嗅探。基于IPSec加密，是服務器和客戶端全部啟用IPSec協議，傳輸數據實施制定的加密強度的加密， 即便黑客嗅探到數據，其解密難度也極其大?；赟SL協議加密，客戶端與服務器連接認證時，使用SSL進行加密通訊，即便遭到黑客嗅探，解密也需要極其長的時間，相對來說能夠很好地保護用戶登錄信息，在傳輸敏感信息時，也啟用SSL，保護數據安全。不過，目前我國電子政務系統中，此技術使用較少。有些電子政務系統使用數字證書（卡證）等進行身份認證，在連接時，將數字證書（卡證）附著在登錄中，進行加密，但有些高技術的黑客仍可以通過分析嗅探得到數據包， 分離出數字證書或卡證，冒用身份認證。有些基于域的用戶可以使用域信任，一般情況，此信任在內部相對安全，也方便得多。此認證使用Kerberos（KB認證），目前使用的是V4或V5兩個版本，網絡管理員和軟件廠商通過合理的加密強度及認證方法來保障客戶端（工作機）與服務器的安全鏈接。

4． 加強對電子政務網的運行監管。 在電子政務網中，網絡管理員和政府相關部門都要加強管理。網絡管理員要實時監控網絡的安全運行，發現異常情況或網絡攻擊要及時分析原因， 并在第一時間上報， 并與有關部門（如公安部門）協調解決。筆者在對河北某市的電子政務系統了解中，發現網絡管理員在廠商配置完成后近兩年沒有對網絡進行任何維護，大量新出現的漏洞沒有修補， 黑客極易對網絡進行攻擊，安全問題無法保證。這就要求管理員必須做到每天都對系統數據庫進行備份，并對數據進行必要的完整性檢測，發現問題要及早處理，及時消除安全隱患。此外，系統管理員還要與廠商保持經常性的聯系，及時更新軟件，不定期地對系統及網絡進行安全測試，使用安全掃描軟件對系統進行必要的安全掃描。

5． 建立健全相關的法律及各項規章制度，加強內部人員的管理。在電子政務網絡安全體系中，必須要健全網絡安全的法律法規，強化電子政務信息安全的法制管理，并且加強對網絡管理員的監控、管理，形成有力的約束。政府有關部門必須對從業人員進行必要的教育，提高其道德水平。要有嚴格的工作人員審核制度， 并結合規章制度來約束內部人員，對違法違章行為嚴加懲處，最大限度保護系統的穩定和網絡的安全。

（收稿日期：2007-09-19）