系統(tǒng)層安全風(fēng)險(xiǎn)分析

　　系統(tǒng)級的安全風(fēng)險(xiǎn)分析主要針對電子政務(wù)專用網(wǎng)絡(luò)采用的操作系統(tǒng)、數(shù)據(jù)庫、及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅進(jìn)行分析。電子政務(wù)專用網(wǎng)絡(luò)通常采用的操作系統(tǒng)本身在安全方面考慮較少，服務(wù)器、數(shù)據(jù)庫的安全級別較低，存在一些安全隱患。同時(shí)病毒也是系統(tǒng)安全的主要威脅，所有這些都造成了系統(tǒng)安全的脆弱性。

　　應(yīng)用層安全風(fēng)險(xiǎn)分析

　　電子政務(wù)專用網(wǎng)絡(luò)應(yīng)用系統(tǒng)中主要存在以下安全風(fēng)險(xiǎn)：對政務(wù)系統(tǒng)的非法訪問；用戶提交的業(yè)務(wù)信息被監(jiān)聽或修改；用戶對成功提交的業(yè)務(wù)進(jìn)行事后抵賴；服務(wù)系統(tǒng)偽裝，騙取用戶口令。 由于電子政務(wù)專用網(wǎng)絡(luò)對外提供WWW服務(wù)、E-MAIL服務(wù)、DNS服務(wù)等，因此存在外網(wǎng)非法用戶對服務(wù)器攻擊。

　　Ø身份認(rèn)證漏洞

　　服務(wù)系統(tǒng)登錄和主機(jī)登錄使用的是靜態(tài)口令，口令在一定時(shí)間內(nèi)是不變的，且在數(shù)據(jù)庫中有存儲記錄，可重復(fù)使用。這樣非法用戶通過網(wǎng)絡(luò)竊聽，非法數(shù)據(jù)庫訪問，窮舉攻擊，重放攻擊等手段很容易得到這種靜態(tài)口令，然后，利用口令，可對資源非法訪問和越權(quán)操作。

　　Øwww服務(wù)漏洞

　　Web Server是政府對外宣傳、開展業(yè)務(wù)的重要基地，也是國家政府上網(wǎng)工程的重要組成部分。由于其重要性，理所當(dāng)然的成為Hacker攻擊的首選目標(biāo)之一。Web Server經(jīng)常成為Internet用戶訪問政府內(nèi)部資源的通道之一，如Web server通過中間件訪問主機(jī)系統(tǒng)，通過數(shù)據(jù)庫連接部件訪問數(shù)據(jù)庫，利用CGI訪問本地文件系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中其??漏洞越來越多。

　　Ø電子郵件系統(tǒng)漏洞

　　電子郵件為網(wǎng)系統(tǒng)用戶提供電子郵件應(yīng)用。內(nèi)部網(wǎng)用戶可夠通過拔號或其它方式進(jìn)行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些惡意程序（如，特洛伊木馬、蠕蟲等）、病毒程序等，由于許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者提供機(jī)會，給系統(tǒng)帶來不安全因至素。

　　管理層安全風(fēng)險(xiǎn)分析

　　再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好的安全策略最終要靠人來實(shí)現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對于一個比較龐大和復(fù)雜的網(wǎng)絡(luò)，更是如此。因此我們有必要認(rèn)真的分析管理所帶來的安全風(fēng)險(xiǎn)，并采取相應(yīng)的安全措施。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。責(zé)權(quán)不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進(jìn)入機(jī)房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應(yīng)制度來約束。 當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實(shí)時(shí)的檢測、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對站點(diǎn)的訪問活動進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。

　　電子政務(wù)安全保障體系

　　電子政務(wù)的安全目標(biāo)是：保護(hù)政務(wù)信息資源價(jià)值不受侵犯，保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險(xiǎn)和獲取最大的安全利益，使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容為抵御上述威脅而具有保密性、完整性、真實(shí)性、可用性和可控性的能力。

　　鑒于電子政務(wù)的信息安全面臨的是一場高技術(shù)的對抗，涉及法律、規(guī)章、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)品服務(wù)和基礎(chǔ)設(shè)施諸多領(lǐng)域。根據(jù)近年的工作實(shí)踐，結(jié)合目前電子政務(wù)網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)，建議采用如下電子政務(wù)網(wǎng)絡(luò)安全解決方案：