前言：本站為你精心整理了電子政務(wù)網(wǎng)站安全問(wèn)題及防護(hù)探究范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

0引言

電子政務(wù)網(wǎng)站是服務(wù)人民的重要窗口，也是政府走近群眾、群眾近進(jìn)政府的重要平臺(tái)，確保電子政務(wù)網(wǎng)站的運(yùn)行安全，是網(wǎng)站實(shí)現(xiàn)服務(wù)功能的重要保障。當(dāng)前，電子政務(wù)網(wǎng)站受到網(wǎng)絡(luò)攻擊的新聞時(shí)有發(fā)生，其主要的安全問(wèn)題主要有DDoS攻擊、SQL注入攻擊和XSS攻擊，這些攻擊的發(fā)生，對(duì)網(wǎng)站的安全穩(wěn)定形成了較大威脅。在Google和Baidu中使用“政府網(wǎng)站被黑”詞條搜索，分別有717，000和394，000條查詢結(jié)果。在汶川地震發(fā)生后的短時(shí)間內(nèi)，陜西和廣西地震局的信息門戶網(wǎng)站連續(xù)被黑，極大影響了普通民眾獲取重要信息的便捷性。因此，在開(kāi)放的互聯(lián)網(wǎng)環(huán)境之下，電子政務(wù)網(wǎng)站的安全構(gòu)建，應(yīng)逐步建立起完善的安全體系架構(gòu)，并依托加固技術(shù)、安全檢測(cè)技術(shù)等，全方位營(yíng)造良好的內(nèi)外環(huán)境，確保電子政務(wù)網(wǎng)站安全穩(wěn)定運(yùn)行。

1電子政務(wù)網(wǎng)站安全問(wèn)題

1.1分布式拒絕服務(wù)攻擊（DDoS）

當(dāng)前，黑客攻擊日益頻繁，攻擊手段防不勝防，而DDoS攻擊就是難以防范的黑客攻擊手段。DDoS的攻擊方式多樣，但最為常見(jiàn)，也是最基本的DDoS攻擊，就是通過(guò)“合理”的服務(wù)請(qǐng)求，實(shí)現(xiàn)對(duì)服務(wù)資源的過(guò)多占用，如服務(wù)器連接資源、數(shù)據(jù)庫(kù)連接資源文件系統(tǒng)容量、網(wǎng)絡(luò)寬帶等資源的過(guò)多占用，直接導(dǎo)致服務(wù)處于“超載”狀態(tài)，對(duì)于其他的服務(wù)請(qǐng)求不能及時(shí)響應(yīng)，甚至是無(wú)法響應(yīng)。因此，影響服務(wù)資源，導(dǎo)致資源匱乏是DDoS攻擊的顯著特點(diǎn)。一旦造成DDoS攻擊，即使網(wǎng)速足夠快、內(nèi)存容量足夠大、處理速度足夠快，都會(huì)產(chǎn)生“超載”、“無(wú)法響應(yīng)”等問(wèn)題。

1.2SQL注入攻擊

注入攻擊包括SQL、命令、LDAP、XPath、XSLT等類型。當(dāng)用戶提供的數(shù)據(jù)被當(dāng)作命令或者查詢的一部分提供給解析器執(zhí)行時(shí)，即可能發(fā)生注入攻擊。攻擊者提供特定加工的數(shù)據(jù)欺騙解析器執(zhí)行非預(yù)期的命令。在注入攻擊中，SQL注入攻擊最常見(jiàn)。SQL注入是指，將SQL命令插入至Web表單的輸入域的查詢字符串，進(jìn)而欺騙服務(wù)器執(zhí)行惡意的SQL命令。SQL注入攻擊可以使得攻擊者使用應(yīng)用程序?qū)崿F(xiàn)登錄，進(jìn)而在數(shù)據(jù)庫(kù)中執(zhí)行“命令”，造成網(wǎng)絡(luò)信息安全問(wèn)題。特別是對(duì)于應(yīng)用程序?yàn)椤疤貦?quán)很高”的賬戶，其所造成的安全問(wèn)題更加嚴(yán)重。

1.3跨站點(diǎn)腳本攻擊（XSS）

XSS是指攻擊者利用電子政務(wù)網(wǎng)站漏洞，從登錄用戶端惡意盜取相關(guān)的信息，進(jìn)而造成網(wǎng)絡(luò)信息安全問(wèn)題。用戶在網(wǎng)站的瀏覽、電子郵件的閱覽等操作中，都會(huì)對(duì)XSS的相關(guān)鏈接進(jìn)行點(diǎn)擊，而相關(guān)鏈接中存在惡意代碼，可對(duì)用戶的相關(guān)信息進(jìn)行盜取。攻擊者為了“掩人耳目”，往往會(huì)采用十六進(jìn)制編碼鏈接。電子政務(wù)網(wǎng)站在接收到包含惡意代碼的頁(yè)面請(qǐng)求之后，由于頁(yè)面與合法頁(yè)面一樣，進(jìn)而成功對(duì)網(wǎng)站形成攻擊。當(dāng)前，諸多的論壇程序?qū)Π琷avascript、HTML的帖子未進(jìn)行攔截，這也就使得一些用戶瀏覽包含惡意腳本的帖子之后，就有可能出現(xiàn)session信息被盜取。

2電子政務(wù)網(wǎng)站的安全構(gòu)建策略

2.1網(wǎng)站安全架構(gòu)

電子政務(wù)網(wǎng)站的安全體系構(gòu)建，關(guān)鍵在于建立完備的安全體系架構(gòu)，實(shí)現(xiàn)全方位多層次的深度應(yīng)用安全防御。因此，對(duì)于DDoS攻擊、SQL注入攻擊和XSS攻擊，應(yīng)構(gòu)建網(wǎng)站安全架構(gòu)。在安全體系架構(gòu)中，安全技術(shù)支撐平臺(tái)是網(wǎng)站安全的重要基礎(chǔ)，特別是應(yīng)用層，是網(wǎng)站安全的前提，強(qiáng)調(diào)電子政務(wù)網(wǎng)站建立時(shí)，需要建立完善的安全管理體系、應(yīng)急恢復(fù)機(jī)制，為全方位的安全保駕護(hù)航，也為了避免因應(yīng)用層受損而導(dǎo)致網(wǎng)站安全問(wèn)題的發(fā)生。此外，逐步建立健全網(wǎng)絡(luò)安全監(jiān)督管理機(jī)制，并通過(guò)激勵(lì)制度的建立，提高網(wǎng)站安全管理人員的安全應(yīng)急能力，明確管理人員與相關(guān)工作人員的職責(zé)。在應(yīng)急恢復(fù)機(jī)制的建立中，強(qiáng)調(diào)“防范為主、及時(shí)根除”的原則，全方位加固網(wǎng)站的運(yùn)行安全環(huán)境。

2.2網(wǎng)站加固技術(shù)

網(wǎng)站加固技術(shù)是當(dāng)前網(wǎng)站安全構(gòu)建的重要手段，也是有效防止黑客等攻擊的有效措施，對(duì)提高電子政務(wù)網(wǎng)站的安全運(yùn)行，營(yíng)造了良好的內(nèi)外環(huán)境。

2.2.1高性能網(wǎng)絡(luò)設(shè)備的應(yīng)用

在網(wǎng)絡(luò)安全構(gòu)建中，網(wǎng)絡(luò)設(shè)備的購(gòu)置是必要的，特別是在選購(gòu)WEB應(yīng)用防火墻、交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備時(shí)，應(yīng)選擇信譽(yù)好、質(zhì)量好、專業(yè)的企業(yè)產(chǎn)品。與網(wǎng)絡(luò)設(shè)備供應(yīng)商建立良好的合作關(guān)系，面對(duì)諸如DDoS的一些攻擊，可以請(qǐng)求供應(yīng)商在網(wǎng)絡(luò)接點(diǎn)處進(jìn)行相應(yīng)的限流處理，實(shí)現(xiàn)對(duì)若干DDoS攻擊的有效防御。

2.2.2增強(qiáng)操作系統(tǒng)的防護(hù)性能

當(dāng)前，WindowsServer2008、2012服務(wù)操作系統(tǒng)，其本身對(duì)攻擊具備一定的防御能力。但是，服務(wù)操作系統(tǒng)處于“默認(rèn)”狀態(tài)時(shí)，這一功能處于“關(guān)閉”狀態(tài)。那么，需要人工進(jìn)行開(kāi)啟，這樣話，可以實(shí)現(xiàn)對(duì)SYN攻擊包的有效抵擋。因此，在實(shí)際的安全構(gòu)建中，應(yīng)注重操作系統(tǒng)防御性能的增加，提高應(yīng)對(duì)外界惡意攻擊的性能。

3網(wǎng)站安全監(jiān)測(cè)技術(shù)

電子政務(wù)網(wǎng)站的安全構(gòu)建，離不開(kāi)網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)的保駕護(hù)航。安全監(jiān)測(cè)技術(shù)的應(yīng)用，可以對(duì)網(wǎng)站攻擊及時(shí)發(fā)現(xiàn)，并及時(shí)采取應(yīng)對(duì)措施。從實(shí)際來(lái)看，當(dāng)前的網(wǎng)站安全監(jiān)測(cè)技術(shù)主要有網(wǎng)站遠(yuǎn)程監(jiān)測(cè)、應(yīng)用環(huán)境與操作系統(tǒng)預(yù)警等，在很大程度上為電子政務(wù)網(wǎng)站的安全運(yùn)行，營(yíng)造了良好的運(yùn)行環(huán)境。那么，具體而言，主要在于：

3.1網(wǎng)站遠(yuǎn)程檢測(cè)

網(wǎng)站遠(yuǎn)程檢測(cè)技術(shù)，是在傳統(tǒng)監(jiān)測(cè)技術(shù)的基礎(chǔ)上發(fā)展而來(lái)，其在網(wǎng)站安全構(gòu)建中，主要表現(xiàn)出以下顯著特點(diǎn)：（1）遠(yuǎn)程網(wǎng)站監(jiān)測(cè)技術(shù)，其在標(biāo)準(zhǔn)化建設(shè)上，更加注重高標(biāo)準(zhǔn)；（2）能夠?qū)eb漏洞實(shí)現(xiàn)快速且全方面的監(jiān)測(cè)，并且其多種安全工具的采用，數(shù)據(jù)分析、人工審核的建立，都進(jìn)一步提高了其安全檢測(cè)的有效性、準(zhǔn)確性。

3.2應(yīng)用環(huán)境與操作系統(tǒng)預(yù)警

在網(wǎng)站安全體系中，應(yīng)用環(huán)境與操作系統(tǒng)的安全與否，直接對(duì)WEB運(yùn)行的安全性產(chǎn)生影響。特別是操作系統(tǒng)作為服務(wù)器運(yùn)行的基礎(chǔ)，一旦發(fā)生安全問(wèn)題，將會(huì)對(duì)網(wǎng)站形成嚴(yán)重的影響。因此，在日常防護(hù)中，應(yīng)強(qiáng)化對(duì)應(yīng)用環(huán)境的安全檢測(cè)、核查操作系統(tǒng)等，檢測(cè)其是否存在隱藏的克隆管理員賬號(hào)的安全問(wèn)題；檢測(cè)中間件的環(huán)境是否存在安全隱患等。這些安全隱患的定期檢測(cè)，是維護(hù)網(wǎng)站運(yùn)行環(huán)境安全的有力保障，也是及時(shí)發(fā)現(xiàn)問(wèn)題的有效舉措。

4結(jié)束語(yǔ)

綜上所述，電子政務(wù)網(wǎng)站所面臨的安全問(wèn)題呈現(xiàn)出多樣化特點(diǎn)，無(wú)論是DDoS攻擊，還是SQL注入攻擊，都會(huì)對(duì)網(wǎng)站的安全構(gòu)成直接的安全威脅。因此，在推進(jìn)電子政務(wù)發(fā)展的過(guò)程中，應(yīng)立足于當(dāng)前的安全現(xiàn)狀，有針對(duì)性、有建設(shè)性的提出應(yīng)對(duì)策略，強(qiáng)化網(wǎng)站安全體系的構(gòu)建。在本文的論述中，建立完善的網(wǎng)站安全體系架構(gòu)；強(qiáng)化網(wǎng)絡(luò)加固技術(shù)的應(yīng)用；采用網(wǎng)絡(luò)安全檢測(cè)技術(shù)，都是電子政務(wù)網(wǎng)站安全構(gòu)建的有效策略，對(duì)于推進(jìn)電子政務(wù)網(wǎng)站的發(fā)展起到重要作用。特別是在網(wǎng)絡(luò)信息技術(shù)快速發(fā)展的當(dāng)前，電子政務(wù)網(wǎng)站的安全構(gòu)建，應(yīng)強(qiáng)化先進(jìn)網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，并做好相應(yīng)的安全管理工作，做到“預(yù)防為主、及時(shí)清除”的原則，確保電子政務(wù)網(wǎng)站處于安全穩(wěn)定的運(yùn)行環(huán)境之中。

作者：程勝年 單位：上海天泰網(wǎng)絡(luò)技術(shù)有限公司