所謂電子政務(wù)就是在網(wǎng)上建立起政府與公眾之間相互交流的橋梁，為公眾與政府部門打交道提供方便，并從網(wǎng)上行使對(duì)政府的民主監(jiān)督權(quán)利。同時(shí)，公眾也可從網(wǎng)上完成如交稅、項(xiàng)目審批等與政府有關(guān)的各項(xiàng)工作。電子政務(wù)促進(jìn)了我國(guó)政府部門辦公模式和思維方式的變革。

正是由于電子政務(wù)本身的重要性，所提供的信息內(nèi)容必須完整、及時(shí)、準(zhǔn)確，所以使得支撐電子政務(wù)服務(wù)的網(wǎng)站的安全性也就顯得異常重要了。要保障網(wǎng)站的安全性，應(yīng)該從以下幾個(gè)方面入手。

一、網(wǎng)絡(luò)安全

所有網(wǎng)站都是依托于網(wǎng)絡(luò)環(huán)境中運(yùn)行的，所以整體網(wǎng)絡(luò)的安全性對(duì)網(wǎng)站來(lái)說(shuō)影響很大。隨著網(wǎng)絡(luò)建設(shè)的發(fā)展，網(wǎng)絡(luò)安全的方式和手段已經(jīng)日趨完善。眾所周知的網(wǎng)絡(luò)安全設(shè)備有防火墻、IPS、IDS等。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品。它處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸。

1．封閉端口

對(duì)于一個(gè)傳統(tǒng)意義上的防火墻來(lái)說(shuō)，其最基本、也是最重要的功能就是包過濾功能。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息，結(jié)合自身的安全訪問規(guī)則來(lái)判斷這些“包”是否合法。包過濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用，實(shí)現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。

政府部門的網(wǎng)站主要功能就是提供政務(wù)信息的瀏覽、查詢等服務(wù)，那么在防火墻上面應(yīng)該將對(duì)網(wǎng)站主機(jī)所有端口的訪問全部阻止，除了HTTP協(xié)議端口。HTTP協(xié)議默認(rèn)端口為80。當(dāng)然，如果網(wǎng)站還有其他服務(wù)，應(yīng)該適當(dāng)開啟相應(yīng)服務(wù)端口。

2．地址轉(zhuǎn)換

防火墻提供“內(nèi)部網(wǎng)到外部網(wǎng)”，“外部網(wǎng)到內(nèi)部網(wǎng)”的NAT功能，而且提供任意接口的源地址和目的地址的轉(zhuǎn)換。NAT技術(shù)支持一對(duì)一的地址映射，即外部地址和內(nèi)部地址一對(duì)一的映射，使內(nèi)部地址的主機(jī)既可以訪問外部網(wǎng)絡(luò)，也可以對(duì)外部網(wǎng)絡(luò)提供服務(wù)。

針對(duì)防火墻的以上特性，我們可以把網(wǎng)站放置在防火墻后面的內(nèi)部網(wǎng)絡(luò)中，網(wǎng)站地址設(shè)為內(nèi)部網(wǎng)絡(luò)地址，對(duì)外提供服務(wù)的地址則設(shè)為防火墻地址。在提供網(wǎng)站服務(wù)時(shí)，防火墻負(fù)責(zé)把外部網(wǎng)絡(luò)的服務(wù)請(qǐng)求轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)中的真實(shí)網(wǎng)站上面，再把網(wǎng)站數(shù)據(jù)轉(zhuǎn)發(fā)給外部請(qǐng)求者。

這樣設(shè)置的好處在于，可以更有效的利用外部網(wǎng)絡(luò)的地址資源，隱藏內(nèi)部網(wǎng)絡(luò)的真實(shí)地址，從而使外來(lái)的黑客無(wú)法探知內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，提高了網(wǎng)絡(luò)整體的安全性。

二、主機(jī)安全

網(wǎng)站架設(shè)在主機(jī)上，那么主機(jī)安全直接關(guān)系到此網(wǎng)站的安全。不幸的是主機(jī)安全往往會(huì)被忽視，大家普遍對(duì)網(wǎng)絡(luò)安全比較重視，特別依賴網(wǎng)絡(luò)防火墻的防攻擊能力。其實(shí)，一臺(tái)沒有任何防攻擊能力、漏洞百出的主機(jī)，即使有網(wǎng)絡(luò)防火墻的保護(hù)，也是不堪一擊的。入侵者可以利用合法端口進(jìn)入網(wǎng)絡(luò)，利用WEB服務(wù)器的弱點(diǎn)對(duì)主機(jī)實(shí)施攻擊；也可以利用網(wǎng)站代碼漏洞，輕易地控制主機(jī)。這樣就會(huì)帶來(lái)網(wǎng)站被篡改、數(shù)據(jù)被竊取等比較嚴(yán)重的危害。那么加強(qiáng)主機(jī)的安全性可以著重注意一下幾個(gè)方面。

1．不要安裝多余的組件或程序

某些第三方商業(yè)軟件往往對(duì)安全方面考慮不足，所以極容易被網(wǎng)絡(luò)黑客所利用。這些軟件在操作系統(tǒng)里面自動(dòng)開啟某些進(jìn)程和網(wǎng)絡(luò)端口，偵聽和接受來(lái)自網(wǎng)絡(luò)上的數(shù)據(jù)，入侵者可以利用這些網(wǎng)絡(luò)端口進(jìn)行攻擊，獲得系統(tǒng)相關(guān)信息，控制計(jì)算機(jī)或傳播病毒等。而且這些進(jìn)程頻繁的與外界進(jìn)行數(shù)據(jù)交互對(duì)系統(tǒng)性能也會(huì)有一定的影響。

2．設(shè)置系統(tǒng)賬戶密碼策略

未配置系統(tǒng)賬戶密碼策略會(huì)導(dǎo)致非正常用戶對(duì)系統(tǒng)進(jìn)行攻擊，使用暴力破解等工具實(shí)施賬號(hào)破解導(dǎo)致計(jì)算機(jī)信息丟失。系統(tǒng)賬號(hào)密碼的設(shè)置應(yīng)該保證一定的復(fù)雜度，并且要定期更換密碼。如果怕這樣會(huì)忘記正確的密碼，可以采用設(shè)置有一定規(guī)律的密碼變更，如：根據(jù)月份、星期等有規(guī)律地變更密碼。

3．設(shè)置系統(tǒng)賬戶安全策略

系統(tǒng)賬戶安全策略包括“賬戶鎖定時(shí)間”和“賬戶鎖定閥值”。如果在指定時(shí)間內(nèi)，輸入不正確的密碼達(dá)到了指定的次數(shù)，賬戶安全策略將暫時(shí)鎖定該賬戶。設(shè)置這些策略有助于防止攻擊者猜測(cè)用戶密碼，并由此減少襲擊成功率。

4．設(shè)置系統(tǒng)審計(jì)策略

操作系統(tǒng)自身都有比較強(qiáng)的審計(jì)功能，能對(duì)內(nèi)部的各項(xiàng)活動(dòng)進(jìn)行審計(jì)。出現(xiàn)問題后，可以對(duì)系統(tǒng)中所發(fā)生的各種事件進(jìn)行查閱，從而找到問題所在。審計(jì)策略包括：“登錄事件審核”、“訪問事件審核”等。

5．關(guān)閉驅(qū)動(dòng)器自動(dòng)運(yùn)行程序

禁止任何驅(qū)動(dòng)器自動(dòng)運(yùn)行任何程序可以防止某些惡意代碼和木馬的運(yùn)行。

6．關(guān)閉系統(tǒng)默認(rèn)共享

Windows操作系統(tǒng)存在一些默認(rèn)共享，攻擊者容易利用默認(rèn)共享，使用賬戶名和密碼連接獲取主機(jī)共享文件夾內(nèi)容或者上傳惡意文件。

7．安裝軟件防火墻

軟件防火墻是安裝在主機(jī)操作系統(tǒng)上面，通過純軟件的的方式實(shí)現(xiàn)阻止非法用戶對(duì)本機(jī)的入侵。主要功能是防范病毒對(duì)軟件的侵染和對(duì)操作系統(tǒng)的攻擊，以及黑客的遠(yuǎn)程操控。它可以針對(duì)主機(jī)服務(wù)的特點(diǎn)靈活定制相應(yīng)策略，設(shè)置具體的訪問條例，在細(xì)節(jié)上對(duì)主機(jī)進(jìn)行入侵防御，是對(duì)硬件防火墻的一個(gè)必要補(bǔ)充。

8．及時(shí)更新

操作系統(tǒng)廠商根據(jù)被發(fā)現(xiàn)的系統(tǒng)漏洞，會(huì)不定期地發(fā)布操作系統(tǒng)補(bǔ)丁。管理人員應(yīng)該及時(shí)下載并安裝操作系統(tǒng)補(bǔ)丁，以確保系統(tǒng)安全。另外，還要注意定期下載并安裝第三方軟件的補(bǔ)丁或者升級(jí)包。

三、WEB服務(wù)器安全

WEB服務(wù)器是為電子政務(wù)系統(tǒng)提供信息服務(wù)的最流行、也是最重要的工具之一。目前最常用的WEB服務(wù)器有IIS、Tomcat、WEBLogic、Apache等，其中IIS的使用最為廣泛。IIS不僅免費(fèi)，而且與Windows操作系統(tǒng)緊密結(jié)合，配置簡(jiǎn)便，性能一流。但是其本身也存在一些安全性方面的弱點(diǎn)，我們應(yīng)該揚(yáng)長(zhǎng)避短，把這些弱點(diǎn)所帶來(lái)的危害降到最低，發(fā)揮IIS的優(yōu)勢(shì)。

1．優(yōu)化應(yīng)用程序映射

IIS中安裝了許多的應(yīng)用程序射映，但在實(shí)際應(yīng)用中，很多不需要使用，而且部分不需要使用的應(yīng)用程序支持可能被黑客利用，對(duì)WEB應(yīng)用進(jìn)行攻擊，所以應(yīng)該關(guān)閉不必要的應(yīng)用程序映射。

2．網(wǎng)站不要建立在IIS默認(rèn)路徑下

IIS的默認(rèn)網(wǎng)站路徑為%WinDir%\\ Inetpub\\wwwroot，此路徑眾所周知，方便黑客攻擊，最好放在其他目錄下，減少風(fēng)險(xiǎn)。

3．修改IIS 日志默認(rèn)存儲(chǔ)路徑

日志文件實(shí)際是為了方便管理員對(duì)網(wǎng)站進(jìn)行審計(jì)和維護(hù)的工具，里面包含許多網(wǎng)站配置信息，但是這也給黑客提供了便利。黑客可以根據(jù)日志里面的信息掌握網(wǎng)站一些情況和弱點(diǎn)，從而發(fā)動(dòng)攻擊。在默認(rèn)狀態(tài)下，IIS 把它的日志文件放在%WinDir%\\System32\\Logfiles 文件夾中，應(yīng)該更改一下它的存放位置，不給黑客利用的機(jī)會(huì)。

四、代碼安全

目前流行的制作網(wǎng)站的編程語(yǔ)言有asp、asp.net、PHP、java等等。這些編程語(yǔ)言各具特色，在安全性方面并沒有優(yōu)劣之分，關(guān)鍵在于編程者要有足夠的安全意識(shí)和良好的編程習(xí)慣。

1．驗(yàn)證應(yīng)用程序的輸入

惡意用戶可以利用輸入來(lái)攻擊一個(gè)網(wǎng)站，可以通過此手段來(lái)暴露應(yīng)用的一些實(shí)現(xiàn)細(xì)節(jié)或者使得應(yīng)用生成一些惡意數(shù)據(jù)。另外，攻擊者還可以在網(wǎng)站應(yīng)用中執(zhí)行惡意腳本和訪問受限資源。對(duì)用戶輸入的驗(yàn)證有兩種：客戶端驗(yàn)證和服務(wù)器端驗(yàn)證?？蛻舳蓑?yàn)證是在數(shù)據(jù)發(fā)往服務(wù)器之前，在本地先進(jìn)行數(shù)據(jù)合法性驗(yàn)證，如果數(shù)據(jù)非法則不把數(shù)據(jù)發(fā)往服務(wù)器。其優(yōu)點(diǎn)在于驗(yàn)證速度快，對(duì)網(wǎng)站資源占用少。服務(wù)器端驗(yàn)證則是數(shù)據(jù)到達(dá)服務(wù)器端，在進(jìn)行其他操作之前，先進(jìn)行數(shù)據(jù)驗(yàn)證，如非法則返回客戶端。其優(yōu)點(diǎn)在于可以進(jìn)行更加細(xì)致的數(shù)據(jù)校驗(yàn)，代碼編寫容易。那么現(xiàn)在的流行趨勢(shì)是盡量把數(shù)據(jù)驗(yàn)證放到客戶端進(jìn)行，更加細(xì)節(jié)的業(yè)務(wù)邏輯上面的數(shù)據(jù)校驗(yàn)則放到服務(wù)器端進(jìn)行。

2．慎重調(diào)用外部組件

網(wǎng)站代碼中有時(shí)需要整合一些預(yù)構(gòu)建的組件，比如ActiveX控件，自定義控件，COM組件，.Net的程序集。這些預(yù)構(gòu)建的組件可能引入重大的安全威脅和風(fēng)險(xiǎn)。這些組件有的是從互聯(lián)網(wǎng)上下載的，含有惡意的安全漏洞，如后門、病毒和木馬。使用時(shí)要慎重選擇，盡量選擇大公司的知名產(chǎn)品，對(duì)不明來(lái)源的組件不要輕易使用。

3．自定義錯(cuò)誤異常頁(yè)面

網(wǎng)站代碼在運(yùn)行中，由于各種原因會(huì)導(dǎo)致一些程序異常。程序員在調(diào)試代碼時(shí)常常讓產(chǎn)生異常的具體原因顯示在頁(yè)面上，以方便調(diào)試程序。這些頁(yè)面會(huì)提示出現(xiàn)異常的代碼位置，甚至還會(huì)顯示一部分代碼片段。如果這些信息被試圖非法入侵者看到，后果是不堪設(shè)想的。所以網(wǎng)站發(fā)布時(shí)，應(yīng)該設(shè)置一個(gè)默認(rèn)的程序異常顯示頁(yè)面，上面只有簡(jiǎn)單的出錯(cuò)信息，這樣可以防止代碼細(xì)節(jié)暴露在別人眼前。

五、數(shù)據(jù)安全

網(wǎng)站安全的核心其實(shí)就是數(shù)據(jù)安全。如何保證數(shù)據(jù)不被竊取，不被篡改，一旦丟失可以及時(shí)恢復(fù)，這是數(shù)據(jù)安全的主要問題。

1．設(shè)置訪問權(quán)限

在大型數(shù)據(jù)庫(kù)系統(tǒng)中，有非常強(qiáng)大的訪問權(quán)限控制功能，可以細(xì)致到對(duì)插入、更新、刪除、瀏覽等種種操作以及對(duì)于表、視圖、函數(shù)、存儲(chǔ)過程等各種數(shù)據(jù)庫(kù)對(duì)象分別進(jìn)行權(quán)限控制。我們可以根據(jù)訪問需要定義不同的數(shù)據(jù)庫(kù)用戶，不同的用戶分配給不用的訪問權(quán)限。比如：為只需要瀏覽數(shù)據(jù)的應(yīng)用創(chuàng)建一個(gè)用戶，以此用戶連接的應(yīng)用只能查看權(quán)限規(guī)定內(nèi)的某些數(shù)據(jù)表；為維護(hù)網(wǎng)站數(shù)據(jù)的應(yīng)用創(chuàng)建一個(gè)用戶，以此用戶連接的應(yīng)用就可以對(duì)數(shù)據(jù)進(jìn)行添加、更新或者刪除等操作。這樣不僅對(duì)網(wǎng)站本身業(yè)務(wù)邏輯的實(shí)現(xiàn)有好處，也能夠盡量避免網(wǎng)絡(luò)上非法用戶的攻擊，如SQL注入式攻擊等。

2．定期備份

數(shù)據(jù)的定期備份是任何一個(gè)系統(tǒng)都不能忽視的一項(xiàng)工作。我們應(yīng)該為每個(gè)系統(tǒng)制定一份數(shù)據(jù)備份計(jì)劃，計(jì)劃內(nèi)容應(yīng)包括數(shù)據(jù)備份方式、存放地點(diǎn)以及保留的時(shí)間等。一個(gè)良好的數(shù)據(jù)備份計(jì)劃可以使你比較從容地面對(duì)數(shù)據(jù)災(zāi)難。數(shù)據(jù)備份可以使用數(shù)據(jù)庫(kù)系統(tǒng)自帶的備份工具也可以使用專業(yè)的數(shù)據(jù)備份軟件來(lái)實(shí)現(xiàn)。特別需要注意的是備份數(shù)據(jù)要盡量放在其他主機(jī)或是相對(duì)獨(dú)立的存儲(chǔ)介質(zhì)上面，對(duì)于特別重要的數(shù)據(jù)還要考慮做異地備份。

六、專用的網(wǎng)站防護(hù)產(chǎn)品

針對(duì)電子政務(wù)的蓬勃發(fā)展，最近市場(chǎng)上出現(xiàn)了幾款專門用于網(wǎng)站防護(hù)的產(chǎn)品。大致分為兩種類型。

1．軟件

它安裝在網(wǎng)站所在主機(jī)上，有兩種主要功能。一是鎖定網(wǎng)站代碼文件。黑客入侵到網(wǎng)站后，往往在網(wǎng)站代碼里面嵌入一些隱藏的代碼，這些代碼可以在用戶訪問網(wǎng)站時(shí)啟動(dòng)并執(zhí)行，從而威脅到用戶信息安全。如果網(wǎng)站代碼一旦被鎖定，不可被修改，則黑客的這種破壞方式就不再起作用了。二是過濾地址欄輸入和網(wǎng)頁(yè)輸入。由于某些代碼漏洞，黑客在訪問網(wǎng)站時(shí)很容易發(fā)起SQL注入式攻擊。注入式攻擊成功后，黑客可以從容地以合法身份登錄到網(wǎng)站系統(tǒng)中破壞網(wǎng)站數(shù)據(jù)。通過輸入過濾就可以有效地阻止SQL注入式攻擊，保證數(shù)據(jù)安全。

2．硬件

它部署在網(wǎng)絡(luò)防火墻后面，內(nèi)部網(wǎng)絡(luò)的前面，由它代理網(wǎng)站的訪問服務(wù)。所有訪問網(wǎng)站的數(shù)據(jù)先要通過它的過濾和審核。它根據(jù)自身所定義的規(guī)則來(lái)判斷訪問的合法性，如果合法再把該訪問包發(fā)送給真正的網(wǎng)站主機(jī)。這種產(chǎn)品功能比較強(qiáng)大，可以強(qiáng)效過濾非法訪問，根據(jù)網(wǎng)站提供服務(wù)的特點(diǎn)詳細(xì)定制訪問策略，可以有效地阻止注入式z攻擊、跨站腳本攻擊等入侵方式，是一種比較高效、便捷的網(wǎng)站防護(hù)產(chǎn)品。