電子政務(wù)系統(tǒng)安全性研究

摘要:電子政務(wù)作為推動(dòng)政府工作信息化的重點(diǎn)工程，已成為各省市政府工作的重要組成部分，也成為推動(dòng)國(guó)家經(jīng)濟(jì)建設(shè)，提高政府效率的重要力量。在我國(guó)的電子政務(wù)系統(tǒng)中，政府機(jī)關(guān)的公文往來(lái)、資料存儲(chǔ)、服務(wù)提供都是以電子化形式來(lái)實(shí)現(xiàn)的。電子政務(wù)系統(tǒng)的實(shí)行，一方面提高了政府的辦公效率、擴(kuò)大了政府服務(wù)職能，另一方面也為居心不良者提供了破壞的途徑。如何維護(hù)好電子政務(wù)系統(tǒng)的安全，讓其更好地為社會(huì)服好務(wù)，這就是擺在網(wǎng)絡(luò)安全工作者面前必須解決好的任務(wù)。筆者提出從系統(tǒng)安全、連接安全、傳輸安全、操作安全、數(shù)據(jù)庫(kù)安全、無(wú)線網(wǎng)絡(luò)安全等方面考慮，提出了一些建議。

關(guān)鍵詞:電子政務(wù);網(wǎng)絡(luò)安全;系統(tǒng)安全;行為控制;無(wú)線網(wǎng)絡(luò)安全

電子政務(wù)作為推動(dòng)政府工作信息化的重點(diǎn)工程，已成為各省市政府工作的重要組成部分，也成為推動(dòng)國(guó)家經(jīng)濟(jì)建設(shè)，提高政府效率的重要力量。在我國(guó)的電子政務(wù)系統(tǒng)中，政府機(jī)關(guān)的公文往來(lái)、資料存儲(chǔ)、服務(wù)提供都是以電子化形式來(lái)實(shí)現(xiàn)的。隨著中央倡導(dǎo)構(gòu)建節(jié)約型社會(huì)及無(wú)紙化辦公的實(shí)現(xiàn)，計(jì)算機(jī)及其網(wǎng)絡(luò)在政府辦公中發(fā)揮越來(lái)越大的作用。目前，我國(guó)的電子政務(wù)系統(tǒng)一般使用的是基于C/S或B/S模式下電子政務(wù)系統(tǒng)軟件。

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心統(tǒng)計(jì)顯示，我國(guó)各級(jí)政府網(wǎng)站被黑客入侵均以萬(wàn)計(jì)的遞增，此外，還不包括數(shù)據(jù)信息泄漏、服務(wù)器數(shù)據(jù)庫(kù)的更改及其它非針對(duì)網(wǎng)站攻擊等。如何維護(hù)好電子政務(wù)系統(tǒng)的安全，讓政府網(wǎng)站更好地為人民服務(wù)，這是擺在電子政務(wù)網(wǎng)絡(luò)安全工作者面前的必須要解決好的難題。本文作者結(jié)合自己的網(wǎng)絡(luò)安全管理方面的經(jīng)驗(yàn)，對(duì)電子政務(wù)網(wǎng)絡(luò)的了解，特提應(yīng)從系統(tǒng)安全、連接的安全、傳輸?shù)陌踩⒉僮鞯陌踩?、?shù)據(jù)庫(kù)安全、無(wú)線安全等方面考慮，并提出一些參考建議，以供大家參考。

1 電子政務(wù)系統(tǒng)安全性要求

1.1 系統(tǒng)安全

系統(tǒng)的安全是指運(yùn)行電子政務(wù)系統(tǒng)服務(wù)器、工作機(jī)、軟件及網(wǎng)絡(luò)設(shè)備等工作的安全。

1.2 連接安全

連接的安全是指電子政務(wù)網(wǎng)站客戶端(工作機(jī))與服務(wù)器連接中的安全。工作人員通過(guò)互聯(lián)網(wǎng)連接服務(wù)器，進(jìn)行相關(guān)操作。建立連接時(shí)我們要首先確保為其建立的是一個(gè)安全的信息通道，此外還要保證其身份的真實(shí)性、惟一性。此外，對(duì)于WEB發(fā)布網(wǎng)頁(yè)，我們要確保其訪問(wèn)的是合法的政府網(wǎng)站，防止發(fā)生“網(wǎng)絡(luò)釣魚(yú)”現(xiàn)象。目前，電子政務(wù)系統(tǒng)軟件廠商已經(jīng)開(kāi)始加強(qiáng)了安全的認(rèn)證工作。

1.3 數(shù)據(jù)傳輸?shù)陌踩?/p>

數(shù)據(jù)傳輸?shù)陌踩侵缚蛻舳?工作機(jī))與服務(wù)器之間數(shù)據(jù)傳輸安全。一方面要求數(shù)據(jù)傳輸?shù)耐暾裕硪环矫孢€要保證數(shù)據(jù)的隱私性，即黑客嗅探到也很難解密。

1.4 操作的安全

操作的安全是指工作人員其對(duì)信息處理中，其操作是合乎正常的，對(duì)事件處理是在其授權(quán)內(nèi)的正常工作。這就是說(shuō)工作人員的操作是經(jīng)過(guò)授權(quán)、認(rèn)證的，其經(jīng)過(guò)他人(系統(tǒng))審核，在他人監(jiān)控下操作。對(duì)于誤操作，審核人員可以對(duì)此進(jìn)行恢復(fù)。防止操作人員懷有一定的目的進(jìn)行數(shù)據(jù)的非授權(quán)修改。

1.5 數(shù)據(jù)庫(kù)的安全

系統(tǒng)數(shù)據(jù)庫(kù)的安全是指系統(tǒng)中的數(shù)據(jù)庫(kù)運(yùn)行穩(wěn)定，防止非人為因素造成數(shù)據(jù)的丟失，此外還有防止黑客對(duì)數(shù)據(jù)庫(kù)的攻擊和數(shù)據(jù)庫(kù)數(shù)據(jù)的完整性。其主要數(shù)據(jù)庫(kù)的備份及恢復(fù)，數(shù)據(jù)庫(kù)的安全及數(shù)據(jù)庫(kù)系統(tǒng)的設(shè)備的冗余。

2 電子政務(wù)系統(tǒng)安全性解決的辦法

2.1 電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全

系統(tǒng)安全是包括設(shè)備安全、運(yùn)行安全和網(wǎng)絡(luò)安全。設(shè)備安全是指運(yùn)行電子政務(wù)系統(tǒng)中的計(jì)算機(jī)、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、通信設(shè)備、安全設(shè)備等物理保證安全，防止人為和自然的損壞;運(yùn)行安全是指服務(wù)器操作系統(tǒng)及電子政務(wù)軟件運(yùn)行安全性，防止系統(tǒng)運(yùn)行軟件故障，減少因軟件故障導(dǎo)致的系統(tǒng)運(yùn)行不穩(wěn)定;網(wǎng)絡(luò)安全是指運(yùn)行電子政務(wù)網(wǎng)絡(luò)的聯(lián)通性，保證網(wǎng)絡(luò)聯(lián)通，刪除非正常通信中。也就是說(shuō)提供電子政務(wù)服務(wù)的軟、硬件的可用性。在構(gòu)建電子政務(wù)網(wǎng)絡(luò)時(shí)，就要考慮到一定的設(shè)備冗余，電子政務(wù)網(wǎng)站的運(yùn)行具有不間斷性。電子政務(wù)網(wǎng)站一般情況下，要24小時(shí)提供服務(wù)。這就考驗(yàn)我們所選擇的服務(wù)器和操作系統(tǒng)及電子政務(wù)軟件了。我們一方面要保障計(jì)算機(jī)的正常運(yùn)行，還要防止一些惡意的攻擊，故此，在服務(wù)器上安裝殺毒軟件和試用防火墻對(duì)服務(wù)器進(jìn)行保護(hù)。服務(wù)器的操作系統(tǒng)要進(jìn)行專業(yè)的配置，網(wǎng)管人員要對(duì)服務(wù)器進(jìn)行24小時(shí)不間斷的監(jiān)控。一要防止因設(shè)備、系統(tǒng)、軟件故障導(dǎo)致的停機(jī);二要防止黑客的攻擊或病毒的破壞(傳播);三要對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)操作人員的操作進(jìn)行審核，并修復(fù)誤操作。

需要說(shuō)明的三點(diǎn)是:(1) 在電子政務(wù)網(wǎng)絡(luò)構(gòu)架中，防火墻的位置和設(shè)置至關(guān)重要。最佳設(shè)置是在服務(wù)器邊緣設(shè)置，置不當(dāng)就會(huì)造成安全漏洞或?qū)W(wǎng)絡(luò)訪問(wèn)功能產(chǎn)生限制，影響電子政務(wù)運(yùn)行效率，此外關(guān)鍵服務(wù)器的訪問(wèn)要受到防火墻的監(jiān)控。(2) 病毒服務(wù)器要單獨(dú)獨(dú)立，安裝網(wǎng)絡(luò)版的殺毒軟件，對(duì)系統(tǒng)中的各個(gè)工作站(終端)及服務(wù)器安裝客戶端，實(shí)施全網(wǎng)監(jiān)控，全網(wǎng)查殺，杜絕網(wǎng)絡(luò)病毒的發(fā)生。(3) 設(shè)有專人對(duì)防火墻及網(wǎng)絡(luò)病毒服務(wù)器負(fù)責(zé)，對(duì)安全日志(訪問(wèn)日志)要有專門的審核，發(fā)現(xiàn)問(wèn)題要及時(shí)上報(bào)并處理。

2.2 選擇合適的電子政務(wù)系統(tǒng)

目前，我國(guó)有多家軟件公司在做電子政務(wù)系統(tǒng)。每個(gè)公司的系統(tǒng)都有其自身的特點(diǎn)和優(yōu)點(diǎn)，也有其不足。我們的政府機(jī)關(guān)，不必要非得選擇功能強(qiáng)大的巨型電子政務(wù)軟件，各級(jí)政府要有步驟、有目的的統(tǒng)一選購(gòu)適合本級(jí)政府的電子政務(wù)系統(tǒng)。軟件系統(tǒng)要和本部門的硬件設(shè)備及管理人員及操作人員相匹配。某些大型、巨型的電子政務(wù)系統(tǒng)需要有較高的專業(yè)水平的網(wǎng)絡(luò)管理人員來(lái)管理，對(duì)操作員(工作人員)的要求也較高。此外，軟件所需要的網(wǎng)絡(luò)設(shè)備的負(fù)載及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也是非常重要的，各公司的軟件對(duì)此要求也不一。這樣，只有根據(jù)實(shí)際情況出發(fā)，才能選擇到適合本級(jí)政府的電子政務(wù)軟件，才能使國(guó)家的資金發(fā)揮應(yīng)有的作用，才能更好地運(yùn)行和管理電子政務(wù)系統(tǒng)。筆者曾于2007年對(duì)某地級(jí)市的電子政務(wù)系統(tǒng)進(jìn)行檢測(cè)，發(fā)現(xiàn)其購(gòu)買的系統(tǒng)使用率不足5%，沒(méi)有一個(gè)網(wǎng)絡(luò)管理人員熟悉其使用的Oracle數(shù)據(jù)庫(kù)及Unix操作系統(tǒng)，系統(tǒng)出了問(wèn)題就只有等軟件廠商來(lái)解決。其實(shí)，其在選擇時(shí)大可選用基于微軟Servers平臺(tái)上的電子政務(wù)系統(tǒng)， 這樣懂的人就多了，經(jīng)過(guò)較短時(shí)間的培訓(xùn)，既可以輕松上手，這樣的管理、維護(hù)要好的多。

2.3 使用恰當(dāng)?shù)募用芗罢J(rèn)證手段，保證連接的安全性

在電子政務(wù)系統(tǒng)中，客戶端(工作機(jī))與服務(wù)器的連接是必須的。目前，隨著計(jì)算機(jī)技術(shù)的發(fā)展及網(wǎng)絡(luò)的普及，單機(jī)版的電子政務(wù)軟件已經(jīng)越來(lái)越少了，網(wǎng)絡(luò)版中，客戶端(工作機(jī))必須與服務(wù)器連接，讀寫服務(wù)器中數(shù)據(jù)庫(kù)中的數(shù)據(jù)。

對(duì)于基于C/S的結(jié)構(gòu)來(lái)說(shuō)，目前，我國(guó)電子政務(wù)系統(tǒng)中主要使用的網(wǎng)絡(luò)連接有非加密連接(ODBC直接連接)、VPN遠(yuǎn)程接入兩種。使用非加密直連黑客可以通過(guò)嗅探器輕松的獲取數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)名稱及數(shù)據(jù)庫(kù)用戶名、密碼，其可以構(gòu)建一個(gè)虛擬環(huán)境來(lái)對(duì)服務(wù)器數(shù)據(jù)庫(kù)進(jìn)行讀寫，造成極大的安全漏洞，據(jù)筆者所知，這樣的連接還大量的存在。此外，使用VPN遠(yuǎn)程接入的，由于選擇VPN設(shè)備的不同，也存在密碼強(qiáng)度問(wèn)題及數(shù)據(jù)被解密的情況。有些VPN設(shè)備本身存在缺陷，也為電子政務(wù)系統(tǒng)安全造成隱患。

對(duì)于基于B/S的模式下，目前有非加密、IPSec加密、SSL加密、使用VPN連接及數(shù)字認(rèn)證(卡證)等。相對(duì)于C/S模式，加密的選擇種類較多，算法多種多樣，支持第三方認(rèn)證，加密強(qiáng)度也較高，許多加密手段集成到操作系統(tǒng)中，在目前的電子政務(wù)系統(tǒng)中使用較多。當(dāng)前，基于非加密連接的電子政務(wù)系統(tǒng)已經(jīng)微乎其微了，大部分使用的是VPN連接和IPSec加密，SSL加密目前大部分用于電子商務(wù)網(wǎng)站，在新的電子政務(wù)系統(tǒng)中也有應(yīng)用?；赩PN連接，客戶端(工作機(jī))連接到VPN設(shè)備(VPN服務(wù)器)，獲得一加密通道，啟用安全連接，進(jìn)行數(shù)據(jù)傳輸，黑客無(wú)法進(jìn)行正常的嗅探。基于IPSec加密，是服務(wù)器和客戶端全部啟用IPSec協(xié)議，傳輸數(shù)據(jù)實(shí)施制定的加密強(qiáng)度的加密，即便黑客嗅探到數(shù)據(jù)，其解密難度及其大?；赟SL協(xié)議加密，客戶端與服務(wù)器連接認(rèn)證時(shí)，使用SSL進(jìn)行加密通訊，選擇適當(dāng)?shù)募用軓?qiáng)度，即便遭到黑客嗅探，所得的抓的包解密也需要極其漫長(zhǎng)的時(shí)間，相對(duì)來(lái)說(shuō)能夠很好地保護(hù)戶登錄信息;在傳輸敏感信息時(shí)，啟用SSL，這樣保護(hù)數(shù)據(jù)安全。不過(guò)，目前我國(guó)電子政務(wù)系統(tǒng)中，此技術(shù)使用較少。有些電子政務(wù)系統(tǒng)使用數(shù)字證書(卡證)等進(jìn)行身份認(rèn)證，在連接時(shí)，將數(shù)字證書(卡證)附著在登錄中，進(jìn)行加密等，不過(guò)，目前有些高技術(shù)的黑客可以通過(guò)分析嗅探得到的數(shù)據(jù)包分離出數(shù)字證書或卡證，冒用身份認(rèn)證。有些基于域的用戶可以使用域信任，一般情況，此信任在內(nèi)部相對(duì)安全，也方便的多。認(rèn)證使用高版本的Kerberos(KB認(rèn)證)，網(wǎng)絡(luò)管理員和軟件廠商通過(guò)合理的加密強(qiáng)度及認(rèn)證方法來(lái)保障客戶端(工作機(jī))與服務(wù)器的安全鏈接。

2.4 適時(shí)對(duì)人員進(jìn)行必要的培訓(xùn)

目前，電子政務(wù)系統(tǒng)軟件開(kāi)發(fā)廠商對(duì)部分使用人員進(jìn)行短期培訓(xùn)，其主要針對(duì)的是操作使用，也有必要增加制度及職業(yè)道德修養(yǎng)等方面。很多基于開(kāi)發(fā)等方面的內(nèi)容，由于涉及到各廠商的商業(yè)秘密，不予介紹，說(shuō)明書上也不做進(jìn)一步解釋。這就要求，電子政務(wù)系統(tǒng)網(wǎng)絡(luò)管理員要有必要的技術(shù)能力來(lái)從電子政務(wù)系統(tǒng)分析可能發(fā)現(xiàn)的問(wèn)題及安全隱患，如有可能到軟件廠商系統(tǒng)熟悉軟件開(kāi)發(fā)，做到了解軟件，及更好的使用軟件、管理電子政務(wù)系統(tǒng)。使用單位要對(duì)操作人員進(jìn)行系統(tǒng)的培訓(xùn)，使其掌握所涉及到的操作，一方面可以提高工作效率，另一方面也可以避免過(guò)多的誤操作來(lái)影響系統(tǒng)的執(zhí)行效果，此外還可以增強(qiáng)職業(yè)修養(yǎng)和道德修養(yǎng)。

2.5 加強(qiáng)對(duì)電子政務(wù)網(wǎng)的運(yùn)行監(jiān)管

在電子政務(wù)網(wǎng)中，網(wǎng)絡(luò)管理員和政府相關(guān)部門要加強(qiáng)對(duì)電子政務(wù)網(wǎng)絡(luò)的管理。網(wǎng)絡(luò)管理員要實(shí)時(shí)對(duì)電子政務(wù)網(wǎng)絡(luò)進(jìn)行監(jiān)控，使其安全運(yùn)行。管理員及工作人員發(fā)現(xiàn)異常情況要及時(shí)分析原因，并在第一時(shí)間上報(bào)，并與有關(guān)部門協(xié)調(diào)解決。如果發(fā)現(xiàn)黑客入侵或網(wǎng)絡(luò)攻擊，就要同網(wǎng)安部門一起查找罪犯。筆者對(duì)河北某市的電子政務(wù)系統(tǒng)了解中，發(fā)現(xiàn)網(wǎng)絡(luò)管理員在廠商配置完成后近兩年沒(méi)有對(duì)網(wǎng)絡(luò)進(jìn)行任何維護(hù)，許多的新的漏洞沒(méi)有修補(bǔ)，黑客極易對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。此外，網(wǎng)絡(luò)日志沒(méi)有備份，網(wǎng)絡(luò)管理員及系統(tǒng)管理員監(jiān)管不到位，勢(shì)必造成黑客攻擊后很長(zhǎng)時(shí)間不能發(fā)現(xiàn)，也不能及時(shí)地抓住罪犯。

2.6 合理進(jìn)行數(shù)據(jù)備份

電子政務(wù)系統(tǒng)中，無(wú)論是基于C/S還是B/S模式，最后都是數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)中。因此加強(qiáng)數(shù)據(jù)庫(kù)服務(wù)器管理至關(guān)重要。在構(gòu)建電子政務(wù)系統(tǒng)中，就要確保這些數(shù)據(jù)庫(kù)服務(wù)器的安全。在確保正常運(yùn)行的前提下，盡可能地阻止非授權(quán)用戶對(duì)數(shù)據(jù)庫(kù)中敏感數(shù)據(jù)的方位。管理員要做到每天都對(duì)系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行備份，并對(duì)數(shù)據(jù)進(jìn)行必要的完整性檢測(cè)，發(fā)現(xiàn)問(wèn)題要及早的進(jìn)行處理，避免系統(tǒng)運(yùn)行隱患。對(duì)數(shù)據(jù)庫(kù)進(jìn)行異地安全備份，有條件的話讓W(xué)EB網(wǎng)站與數(shù)據(jù)庫(kù)分開(kāi)，并對(duì)數(shù)據(jù)庫(kù)服務(wù)器磁盤進(jìn)行加密和合理設(shè)置權(quán)限。有的網(wǎng)管員過(guò)分依賴系統(tǒng)自有的備份功能，很少進(jìn)行數(shù)據(jù)完整性檢測(cè)，最后的結(jié)果是造成系統(tǒng)運(yùn)轉(zhuǎn)不穩(wěn)定和運(yùn)行數(shù)據(jù)差異。筆者通過(guò)經(jīng)驗(yàn)，建議使用第三方軟件對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行全面和增量備份。比如使用Symantec BackUp EXEC 2010、東石公司的Driver Clone Server 7、Acronis True Image Echo Enterprise Server9.7、CA等服務(wù)器系統(tǒng)及數(shù)據(jù)連續(xù)備份軟件。

2.7 做好電子政務(wù)系統(tǒng)的日常維護(hù)工作

電子政務(wù)系統(tǒng)安裝調(diào)試完成后，日常維護(hù)工作及其重要。這就要求管理員還有經(jīng)常與廠商保持聯(lián)系，軟件更新要做到及時(shí)。軟件廠商推出的各種補(bǔ)丁是針對(duì)電子上午系統(tǒng)軟件運(yùn)行的各種BUG的修補(bǔ)，有些是加強(qiáng)安全性、有些是穩(wěn)定性，有些是功能拓展等。一般新版本除了在功能上有所拓展外，安全性及穩(wěn)定性也要比舊版本好些。此外，還要不定期的對(duì)系統(tǒng)及網(wǎng)絡(luò)進(jìn)行安全測(cè)試，使用安全掃描軟件對(duì)系統(tǒng)進(jìn)行必要的安全掃描。每年要對(duì)系統(tǒng)硬件設(shè)備進(jìn)行一次詳細(xì)的檢測(cè)，發(fā)現(xiàn)問(wèn)題設(shè)備要及時(shí)的更換。

系統(tǒng)管理員還要對(duì)系統(tǒng)運(yùn)行的日志要經(jīng)常備份、審查，發(fā)現(xiàn)日志異常，要學(xué)會(huì)分析原因，并做詳細(xì)的記錄。發(fā)現(xiàn)黑客攻擊要及時(shí)一方面向有關(guān)部門求助，另一方面有將系統(tǒng)入侵日志及黑客修改系統(tǒng)痕跡保留(必要時(shí)對(duì)系統(tǒng)進(jìn)行全面?zhèn)浞?，以作為破案線索，共同打擊黑客入侵。

特別說(shuō)明的是，管理員對(duì)電子政務(wù)網(wǎng)絡(luò)運(yùn)行監(jiān)管要具有連續(xù)性，數(shù)據(jù)備份及數(shù)據(jù)完整性檢測(cè)要在保證原始數(shù)據(jù)不能丟失(修改)，備份系統(tǒng)及數(shù)據(jù)恢復(fù)要有授權(quán)及他人監(jiān)督下進(jìn)行，系統(tǒng)更新(包括打補(bǔ)丁、升級(jí)版本及數(shù)據(jù)庫(kù)等)要先進(jìn)行單獨(dú)測(cè)試后推廣，數(shù)據(jù)備份及日志備份要放到一個(gè)安全、保險(xiǎn)的地方，防止造成介質(zhì)丟失或者數(shù)據(jù)損毀。

2.8 建立、健全相關(guān)的規(guī)章制度

目前，各級(jí)政府相繼開(kāi)通了電子政務(wù)系統(tǒng)，大大提高了政府的辦公效率。但是，許多的政府部門沒(méi)有相應(yīng)的規(guī)章制度，造成極大的安全隱患。有的政府部門缺乏對(duì)網(wǎng)絡(luò)管理員的監(jiān)控、管理，造成其在網(wǎng)絡(luò)中的為所欲為。湖北某地曾出現(xiàn)管理員任意修改系統(tǒng)數(shù)據(jù)的事情。因此，各級(jí)政府要有適合自己的一套規(guī)章制度來(lái)監(jiān)督、約束工作人員，使違規(guī)人員受到相應(yīng)的懲罰。

2.9 加強(qiáng)內(nèi)部人員的管理

目前，電子政務(wù)系統(tǒng)中有相當(dāng)大部分的成功攻擊是來(lái)自于政府系統(tǒng)內(nèi)部人員。他們比較了解系統(tǒng)的構(gòu)建，熟悉系統(tǒng)的操作，其攻擊大部分都具有相當(dāng)?shù)哪康男?。有些是想夸耀自己的?jì)算機(jī)技術(shù)，有些是對(duì)工作、社會(huì)的不滿，還有些是想修改信息獲利。有些是離職人員對(duì)系統(tǒng)的破壞。這些人的行為嚴(yán)重地影響了系統(tǒng)的運(yùn)行，也影響了政府的形象。

政府有關(guān)部門加強(qiáng)對(duì)工作人員的管理，使其意識(shí)到破壞系統(tǒng)要受到法律的嚴(yán)懲。此外，還要對(duì)從業(yè)人員進(jìn)行必要的教育，提高其道德水平。要有嚴(yán)格的工作人員審核制度，并結(jié)合規(guī)章制度來(lái)約束內(nèi)部人員。最大限度的保護(hù)系統(tǒng)的穩(wěn)定和網(wǎng)絡(luò)的安全。

2.10 無(wú)線網(wǎng)絡(luò)安全

由于無(wú)線網(wǎng)絡(luò)的方便性，在政府特定區(qū)域布設(shè)無(wú)線網(wǎng)絡(luò)接入電子政務(wù)系統(tǒng)中。這就要求做好無(wú)線網(wǎng)絡(luò)安全管理。

無(wú)線網(wǎng)絡(luò)系統(tǒng)選擇合適的加密，管理人員要對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行適當(dāng)?shù)脑O(shè)置是必要的。建議如下:

(1) 構(gòu)建一個(gè)RADIUS服務(wù)器，在選擇加密方法時(shí)使用WPA/WPA2的企業(yè)版，將真實(shí)的密鑰隱藏起來(lái)。

(2) 確保所有無(wú)線網(wǎng)絡(luò)設(shè)備(如路由器、接入點(diǎn)等)隱藏性和安全性。在網(wǎng)絡(luò)上使用MAC地址過(guò)濾技術(shù)等來(lái)防范未授權(quán)的訪問(wèn)。

(3) 使用額外的加密措施，保證數(shù)據(jù)接入、傳輸及認(rèn)證安全。比如使用VPN或者使用IPSec、KB認(rèn)證等，此外還使用數(shù)據(jù)加密軟件對(duì)無(wú)線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。加大被嗅探后數(shù)據(jù)破解難度。

(4) 設(shè)置防火墻和布設(shè)防病毒系統(tǒng)來(lái)保證訪問(wèn)安全。利用防火墻系統(tǒng)來(lái)隔離、過(guò)濾無(wú)線網(wǎng)絡(luò)有電子政務(wù)系統(tǒng)互連，使用防病毒軟件來(lái)監(jiān)控清理無(wú)線網(wǎng)絡(luò)中的病毒。保證無(wú)線網(wǎng)絡(luò)運(yùn)行安全。

(5) 保護(hù)SSID，控制WI-Fi信號(hào)強(qiáng)度。管理員設(shè)置無(wú)線網(wǎng)絡(luò)時(shí)要做好隱藏SSID，并且做好Wi-Fi信號(hào)強(qiáng)度，防止無(wú)線網(wǎng)絡(luò)泄露，進(jìn)而杜絕黑客通過(guò)泄露無(wú)線網(wǎng)絡(luò)來(lái)入侵電子政務(wù)系統(tǒng)。

3 基于行為控制網(wǎng)絡(luò)安全的實(shí)現(xiàn)

基于行為控制網(wǎng)絡(luò)安全是美國(guó)2005年低提出的可信任計(jì)算機(jī)系統(tǒng)中提出的，2006年我國(guó)網(wǎng)絡(luò)安全廠商逐步接受其理念，2007年天融信和深信服等廠家推出其概念產(chǎn)品。2010年初才有相對(duì)成熟得產(chǎn)品面世。其主要是說(shuō)網(wǎng)絡(luò)安全事件的觸發(fā)是依靠系統(tǒng)網(wǎng)絡(luò)行為，網(wǎng)絡(luò)行為的判定是依靠網(wǎng)絡(luò)監(jiān)控產(chǎn)品(系統(tǒng))，比如，單機(jī)接入網(wǎng)絡(luò)中，網(wǎng)絡(luò)系統(tǒng)就要對(duì)其進(jìn)行身份認(rèn)證，并監(jiān)控其網(wǎng)絡(luò)操作，當(dāng)其網(wǎng)絡(luò)行為超越其獲得權(quán)限，即為“違法”，其行為被記錄，并終止其操作。

目前，電子政務(wù)系統(tǒng)中，尚未采用“基于行為控制”網(wǎng)絡(luò)安全方法。如果采用，就需要將網(wǎng)關(guān)產(chǎn)品換為支持網(wǎng)絡(luò)行為控制的相關(guān)產(chǎn)品。當(dāng)單機(jī)接入網(wǎng)絡(luò)中，網(wǎng)關(guān)就會(huì)判斷其硬件、軟件是否達(dá)到網(wǎng)絡(luò)要求(包括CPU、內(nèi)存、硬盤、網(wǎng)絡(luò)控制器等硬件也包括操作系統(tǒng)、應(yīng)用軟件及防病毒產(chǎn)品等軟件)，如果不符合網(wǎng)絡(luò)要求，就中斷其網(wǎng)絡(luò)連接，使其無(wú)法接入網(wǎng)絡(luò);如果符合網(wǎng)絡(luò)要求，就判斷是否符合網(wǎng)絡(luò)身份要求(一般是用戶身份和計(jì)算機(jī)身份，基于SSL認(rèn)證或者是卡(證)等數(shù)字認(rèn)證，MAC與IP認(rèn)證)，不符合身份要求，就終止其網(wǎng)絡(luò)訪問(wèn)，并記錄下來(lái)，發(fā)送警報(bào)給網(wǎng)絡(luò)管理員;符合身份，就獲得相應(yīng)的權(quán)限(如科長(zhǎng)只能查看本科的信息，不能察看處長(zhǎng)所能看的資料等)，當(dāng)需要其它超出其職能請(qǐng)求時(shí)，可以通過(guò)相關(guān)部門授權(quán)，增加權(quán)限范圍，其授權(quán)是由臨時(shí)和永久兩種，如果申請(qǐng)權(quán)限未獲批準(zhǔn)，將不能進(jìn)行網(wǎng)絡(luò)訪問(wèn)，行為記錄信息正常。如果未請(qǐng)求獲權(quán)就強(qiáng)行訪問(wèn)相關(guān)網(wǎng)絡(luò)，網(wǎng)關(guān)就會(huì)終止其網(wǎng)絡(luò)訪問(wèn)，記錄為非正常訪問(wèn)，并將此行為發(fā)送到相應(yīng)的監(jiān)管部門，網(wǎng)管人員對(duì)此進(jìn)行適當(dāng)?shù)奶幚?。在授?quán)范圍內(nèi)，對(duì)網(wǎng)絡(luò)系統(tǒng)(管理軟件)操作、使用，均詳細(xì)記錄下來(lái)，以備日后查閱，網(wǎng)絡(luò)數(shù)據(jù)傳輸也要經(jīng)過(guò)智能網(wǎng)關(guān)的審核后進(jìn)行，對(duì)于敏感信息監(jiān)控，對(duì)保密信息依據(jù)其保密要求進(jìn)行不同強(qiáng)度、不同方法再加密保護(hù)。

“基于行為控制”網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)概念最主要的就是智能網(wǎng)關(guān)系統(tǒng)，此系統(tǒng)包括服務(wù)器、網(wǎng)絡(luò)設(shè)備等，不同公司產(chǎn)品不同，目前一般是將相應(yīng)的“智能”軟件加到交換機(jī)或路由器中，服務(wù)器提供的是功能擴(kuò)張和系統(tǒng)管理。

如果采用“基于行為控制網(wǎng)絡(luò)安全”系統(tǒng)，諸如電子政務(wù)系統(tǒng)中的連接的安全、數(shù)據(jù)傳輸?shù)陌踩?、操作的安全甚至?shù)據(jù)庫(kù)的安全都可以不用網(wǎng)管人員管理(維護(hù))，這將大大減少網(wǎng)絡(luò)安全管理人員的工作量。

參考文獻(xiàn)

[1]陳明.網(wǎng)絡(luò)安全教程[M].北京:清華大學(xué)出版社，2004.

[2]胡道元.計(jì)算機(jī)安全[M].北京:清華大學(xué)出版社，2002.

[3]張四大.電子商務(wù)網(wǎng)站如何更安全[J].網(wǎng)管員世界，2008(22).

[4]張四大.消除電子政務(wù)系統(tǒng)安全隱患的幾點(diǎn)建議[J].金融教學(xué)與研究，2008(1).

[5]楊展，張四大.電子政務(wù)系統(tǒng)安全[A].第四屆中國(guó)計(jì)算機(jī)信息防護(hù)優(yōu)秀論文集[C].呼和浩特:遠(yuǎn)方出版社，2008.

[6]張四大.電子政務(wù)安全管理要點(diǎn)[J].網(wǎng)管員世界，2009(2).

[7]張四大.多層防護(hù)鑄堅(jiān)墻:解析電子商務(wù)企業(yè)的網(wǎng)絡(luò)安全建設(shè)[J].網(wǎng)管員世界，2006(8)。