電子政務網站安全問題及防護探究

前言：本站為你精心整理了電子政務網站安全問題及防護探究范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

0引言

電子政務網站是服務人民的重要窗口，也是政府走近群眾、群眾近進政府的重要平臺，確保電子政務網站的運行安全，是網站實現服務功能的重要保障。當前，電子政務網站受到網絡攻擊的新聞時有發生，其主要的安全問題主要有DDoS攻擊、SQL注入攻擊和XSS攻擊，這些攻擊的發生，對網站的安全穩定形成了較大威脅。在Google和Baidu中使用“政府網站被黑”詞條搜索，分別有717，000和394，000條查詢結果。在汶川地震發生后的短時間內，陜西和廣西地震局的信息門戶網站連續被黑，極大影響了普通民眾獲取重要信息的便捷性。因此，在開放的互聯網環境之下，電子政務網站的安全構建，應逐步建立起完善的安全體系架構，并依托加固技術、安全檢測技術等，全方位營造良好的內外環境，確保電子政務網站安全穩定運行。

1電子政務網站安全問題

1.1分布式拒絕服務攻擊（DDoS）

當前，黑客攻擊日益頻繁，攻擊手段防不勝防，而DDoS攻擊就是難以防范的黑客攻擊手段。DDoS的攻擊方式多樣，但最為常見，也是最基本的DDoS攻擊，就是通過“合理”的服務請求，實現對服務資源的過多占用，如服務器連接資源、數據庫連接資源文件系統容量、網絡寬帶等資源的過多占用，直接導致服務處于“超載”狀態，對于其他的服務請求不能及時響應，甚至是無法響應。因此，影響服務資源，導致資源匱乏是DDoS攻擊的顯著特點。一旦造成DDoS攻擊，即使網速足夠快、內存容量足夠大、處理速度足夠快，都會產生“超載”、“無法響應”等問題。

1.2SQL注入攻擊

注入攻擊包括SQL、命令、LDAP、XPath、XSLT等類型。當用戶提供的數據被當作命令或者查詢的一部分提供給解析器執行時，即可能發生注入攻擊。攻擊者提供特定加工的數據欺騙解析器執行非預期的命令。在注入攻擊中，SQL注入攻擊最常見。SQL注入是指，將SQL命令插入至Web表單的輸入域的查詢字符串，進而欺騙服務器執行惡意的SQL命令。SQL注入攻擊可以使得攻擊者使用應用程序實現登錄，進而在數據庫中執行“命令”，造成網絡信息安全問題。特別是對于應用程序為“特權很高”的賬戶，其所造成的安全問題更加嚴重。

1.3跨站點腳本攻擊（XSS）

XSS是指攻擊者利用電子政務網站漏洞，從登錄用戶端惡意盜取相關的信息，進而造成網絡信息安全問題。用戶在網站的瀏覽、電子郵件的閱覽等操作中，都會對XSS的相關鏈接進行點擊，而相關鏈接中存在惡意代碼，可對用戶的相關信息進行盜取。攻擊者為了“掩人耳目”，往往會采用十六進制編碼鏈接。電子政務網站在接收到包含惡意代碼的頁面請求之后，由于頁面與合法頁面一樣，進而成功對網站形成攻擊。當前，諸多的論壇程序對包含javascript、HTML的帖子未進行攔截，這也就使得一些用戶瀏覽包含惡意腳本的帖子之后，就有可能出現session信息被盜取。

2電子政務網站的安全構建策略

2.1網站安全架構

電子政務網站的安全體系構建，關鍵在于建立完備的安全體系架構，實現全方位多層次的深度應用安全防御。因此，對于DDoS攻擊、SQL注入攻擊和XSS攻擊，應構建網站安全架構。在安全體系架構中，安全技術支撐平臺是網站安全的重要基礎，特別是應用層，是網站安全的前提，強調電子政務網站建立時，需要建立完善的安全管理體系、應急恢復機制，為全方位的安全保駕護航，也為了避免因應用層受損而導致網站安全問題的發生。此外，逐步建立健全網絡安全監督管理機制，并通過激勵制度的建立，提高網站安全管理人員的安全應急能力，明確管理人員與相關工作人員的職責。在應急恢復機制的建立中，強調“防范為主、及時根除”的原則，全方位加固網站的運行安全環境。

2.2網站加固技術

網站加固技術是當前網站安全構建的重要手段，也是有效防止黑客等攻擊的有效措施，對提高電子政務網站的安全運行，營造了良好的內外環境。

2.2.1高性能網絡設備的應用

在網絡安全構建中，網絡設備的購置是必要的，特別是在選購WEB應用防火墻、交換機和路由器等網絡設備時，應選擇信譽好、質量好、專業的企業產品。與網絡設備供應商建立良好的合作關系，面對諸如DDoS的一些攻擊，可以請求供應商在網絡接點處進行相應的限流處理，實現對若干DDoS攻擊的有效防御。

2.2.2增強操作系統的防護性能

當前，WindowsServer2008、2012服務操作系統，其本身對攻擊具備一定的防御能力。但是，服務操作系統處于“默認”狀態時，這一功能處于“關閉”狀態。那么，需要人工進行開啟，這樣話，可以實現對SYN攻擊包的有效抵擋。因此，在實際的安全構建中，應注重操作系統防御性能的增加，提高應對外界惡意攻擊的性能。

3網站安全監測技術

電子政務網站的安全構建，離不開網絡監測技術的保駕護航。安全監測技術的應用，可以對網站攻擊及時發現，并及時采取應對措施。從實際來看，當前的網站安全監測技術主要有網站遠程監測、應用環境與操作系統預警等，在很大程度上為電子政務網站的安全運行，營造了良好的運行環境。那么，具體而言，主要在于：

3.1網站遠程檢測

網站遠程檢測技術，是在傳統監測技術的基礎上發展而來，其在網站安全構建中，主要表現出以下顯著特點：（1）遠程網站監測技術，其在標準化建設上，更加注重高標準；（2）能夠對Web漏洞實現快速且全方面的監測，并且其多種安全工具的采用，數據分析、人工審核的建立，都進一步提高了其安全檢測的有效性、準確性。

3.2應用環境與操作系統預警

在網站安全體系中，應用環境與操作系統的安全與否，直接對WEB運行的安全性產生影響。特別是操作系統作為服務器運行的基礎，一旦發生安全問題，將會對網站形成嚴重的影響。因此，在日常防護中，應強化對應用環境的安全檢測、核查操作系統等，檢測其是否存在隱藏的克隆管理員賬號的安全問題；檢測中間件的環境是否存在安全隱患等。這些安全隱患的定期檢測，是維護網站運行環境安全的有力保障，也是及時發現問題的有效舉措。

4結束語

綜上所述，電子政務網站所面臨的安全問題呈現出多樣化特點，無論是DDoS攻擊，還是SQL注入攻擊，都會對網站的安全構成直接的安全威脅。因此，在推進電子政務發展的過程中，應立足于當前的安全現狀，有針對性、有建設性的提出應對策略，強化網站安全體系的構建。在本文的論述中，建立完善的網站安全體系架構；強化網絡加固技術的應用；采用網絡安全檢測技術，都是電子政務網站安全構建的有效策略，對于推進電子政務網站的發展起到重要作用。特別是在網絡信息技術快速發展的當前，電子政務網站的安全構建，應強化先進網絡安全技術的應用，并做好相應的安全管理工作，做到“預防為主、及時清除”的原則，確保電子政務網站處于安全穩定的運行環境之中。

作者：程勝年 單位：上海天泰網絡技術有限公司