信息中心

安恒信息電子政務應用系統安全解決方案

　　1 安全背景與現狀

　　從早先的“三金工程”，經過“政府上網工程”，到“電子政務工程”，隨著政府信息化進程的推進，承載網絡上運行的應用系統將越來越多，信息系統變得越來越龐大和復雜。用戶對信息系統的依賴性不斷增加，因此對信息系統的服務質量也提出了更高的要求,隨之而來的就是對安全的迫切需求。

　　門戶網站作為電子政務的重要組成部分，是政府部門對外的窗口和實施電子政務的重要平臺，其地位非常重要，但其安全形勢卻不容樂觀。據中國互聯網應急中心最新統計顯示，2008年我國大陸地區政府網頁遭篡改事件呈大幅增長趨勢，僅2009年3月我國大陸地區被篡改網站的數量就達到2225個。隨著政府越來越多的業務系統采用基于WEB服務方式，在給用戶提供方便快捷的同時，針對WEB業務的攻擊亦在迅猛增長，類似網頁被篡改或者網站被入侵等安全事件頻繁發生，不但嚴重影響了政府的對外形象，有時甚至會造成巨大的經濟損失，或者嚴重的社會問題，嚴重危及國家安全和人民利益。

　　對于政府網站所面臨的主要風險，總結如下：

　　頁面被篡改

　　政府門戶網站作為“政府形象”的標志之一，常常是一些不法分子的重點攻擊對象。政府門戶網站一旦被篡改(加入一些敏感的顯性內容)，常常會引發較大的影響，嚴重時甚至會造成政治事件。

　　另外一種篡改方式是網頁掛馬：網頁內容表面上沒有任何異常，卻可能被偷偷的掛上了木馬程序。網頁掛馬雖然未必會給網站帶來直接損害，但卻會給瀏覽網站的用戶帶來損失。更重要的是，政府網站一旦被掛馬，其權威性和公信力將會受到打擊，最終給電子政務的普及帶來重大影響。

　　在線業務被攻擊

　　對企業、公眾提供在線服務，已經成為政府門戶網站的重要功能。這些服務一旦受到拒絕服務攻擊而癱瘓、終止，對業務的正常運轉必然造成極大的影響，可能會造成經濟損失，嚴重時甚至會影響社會穩定。

　　機密數據外泄

　　在線業務系統中，總是需要保存一些企業、公眾的相關資料，這些資料往往涉及到企業秘密和個人隱私，一旦泄露，會造成企業或個人的利益受損，可能會給單位帶來嚴重的法律糾紛。

　　2 安全需求分析

　　電子政務網絡平臺平臺一般由電子政務內網、電子政務外網組成。

　　電子政務內網是主要用于傳送電子公文以及不適合通過政務外網傳輸的信息，如政務信息、視頻會議等。

　　電子政務外網是相關部門的對外業務專網，主要運行非涉密業務。如政府門戶網站群、政府信息公開網站、行政審批網站等對外服務系統。

　　作為一種基于Web架構的電子政務平臺面臨風險主要包括：

　　1、利用病毒、蠕蟲、木馬和間諜軟件等惡意代碼，破壞WEB系統;

　　2、 XSS攻擊，即跨站腳本攻擊。惡意攻擊者往WEB頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中WEB里面的html代碼會被執行，從而達到惡意用戶的特殊目的;

　　3、利用CC攻擊等方式，造成服務癱瘓;

　　4、利用網站應用程序漏洞，采用SQL注入等方式，獲得系統或數據庫管理員權限，從而任意修改數據庫，達到網頁篡改或破壞網頁的目的。

　　5、政府政務外網雖然和政府的辦公網絡之間有邏輯隔離設備，但仍有可能被手段高明的黑客入侵，從而盜取一些敏感材料，或對電子政務應用系統造成破壞。

　　如此的安全環境下，需要為電子政務系統建立一套完善的安全防護體系，通過建立事前檢測、事中防御和事后追溯的縱深防御系統。

文章作者：國脈電子政務網

集成系統網絡情報信息數據庫

CIO頻道人物視窗
 CIO頻道方案案例庫
 大數據建設方案案例庫
 電子政務建設方案案例庫
 互聯集成系統構建方案案例庫
 商務智能建設方案案例庫
 系統集成類軟件信息研發企業名錄

樂思軟件

信息中心

安恒信息電子政務應用系統安全解決方案

集成系統網絡情報信息數據庫

輿情監測

信息采集

信息中心

技術支持

公司資訊

關于樂思