一、电子政务系统软件应用安全风险

电子政务系统的应用软件一般规模比较大，软件在应用过程中面向的用户较多，系统结构和业务流程相对复杂，以Web应用为主要实现方式。因而，系统安全常见的风险主要有Web应用的SQL注入漏洞、表单绕过漏洞、上传绕过漏洞、权限绕过漏洞、数据库下载漏洞等。同时也常常存在应用系统管理员账户空口令或弱口令、未设置应用账户口令复杂度限制、无应用系统登录和操作日志等风险。在软件应用安全层面，安全方面的保证没有统一的方法和手段。在保证整个系统安全运行过程中针对信息安全的部分，如对数据库访问安全，访问控制，加密与鉴别等应用层面的安全防护，主要从客户端避免和减少人为非法利用应用程序，从应用软件设计、实现到使用维护，以及应用软件对系统资源、信息的访问等方面保证安全。

二、软件应用安全要求与技术防护

2.1身份鉴别与访问控制

用户身份认证是保护信息系统安全的一道重要防线，认证的失败可能导致整个系统安全防护的失败。电子政务系统的用户对系统资源访问之前，应通过口令、标记等方式完成身份认证，阻止非法用户访问系统资源。从技术防护的角度来说，软件应保障对所有合法用户建立账号，并在每次用户登录系统时进行鉴别。软件应用管理员应设置一系列口令控制规则，如口令长度、口令多次失败后的账户锁定，强制口令更新等，以确保口令安全。软件应用中对用户登录全过程应具有显示、记录及安全警示功能。用户正常登录后，为防止长时间登录而被冒用等情况，系统应有自动退出等登录失效处理功能。此外，应用系统需要及时清除存储空间中关于用户身份的鉴别信息，如客户端的cookie等。系统软件应用中的文件、数据库等客体资源不是所有用户都允许访问的，访问时应符合系统的安全策略。系统中许多应用软件在设计和使用过程中经常会有权限控制不精确，功能划分过于笼统等现象，影响了系统的安全使用。目前，从应用软件的研发和技术实现来看，授权访问控制机制多采用数据库用户和应用客户端用户分离的方式，访问控制的粒度达到主体为用户级，客体为文件、数据库表级。在分配用户权限时，用户所具有的权限应该与其需使用的功能相匹配，不分配大于其使用功能的权限，即分配所谓“最小授权”原则。对于系统的一些特殊用户或角色（如管理和审计）如分配的权限过大，则系统安全风险将过于集中，因此，应将特别权限分配给不同的用户，并在他们之间形成相互制约的关系。

2.2通信安全

电子政务系统应用软件的设计、研发以及应用过程中，需要重点关注通信安全，特别是对通信完整性的保护。除应用加密通信外，通信双方还应根据约定的方法判断对方信息的有效性。在信息通信过程中，为使通信双方之间能正确地传输信息，需要建立一整套关于信息传输顺序、信息格式和信息内容等的约定，因为仅仅使用网络通信协议仍然无法对应用层面的通信完整性提供安全保障，还需在软件层面设计并实现可自定义的供双方互为验证的工作机制。而且，为防止合法通信的抵赖，系统应具有在请求的情况下为数据原发者或接收者提供数据原发或数据接收证据的功能。为保障信息系统通信的保密性，应用软件需具备在通信双方建立连接之前，首先利用密码技术进行会话初始化验证，以确保通信双方的合法性的能力。其次，在通信过程中，能保证选用符合国家有关部门要求的密码算法对整个报文或会话过程进行加密。通信双方约定加密算法，对信息进行编码和解码。此外，应用软件中需设置通话超时和自动退出机制，即当通信双方中有一方在一段时间内未做任何响应，这表明可能存在通信异常情况，另一方能够自动结束会话，以免造成信息在通信过程中的泄露。

2.3安全审计

安全审计通过采集各种类型的日志数据，提供对日志的统一管理和查询，使用特定规则，对系统软件应用状态实时监视，生成安全分析报告。安全审计的应用，能够规范系统用户的软件应用行为，起到预防、追踪和震慑作用。安全审计应用要覆盖所有用户，记录应用系统重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统功能的执行等。记录包括事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息，并有能力依据安全策略及时报警和中断危险操作。此外，审计记录应受到妥善保护，避免受到未预期的删除、修改或覆盖等操作，可追溯到的记录应不少于一年。在日常审计的基础上，应通过分析审计记录，及时发现并封堵系统漏洞，提升系统安全强度，定位网络安全隐患的来源，举证系统使用过程中违法犯罪的法律、刑事责任。电子政务系统软件应用安全审计可结合网络审计、数据库审计、应用和运维日志审计进行，几乎全部需要定制开发。

2.4系统资源控制

电子政务系统的资源使用主要体现在CPU、内存、带宽等资源的使用上，在这个过程中，除了系统软件以外，应用软件也需要建立一组能够体现资源使用状况的指标，来判断系统资源是否能满足软件应用的正常运行要求，当系统资源相关性能降低到预先规定的最小值时，应能及时报警。并对资源使用的异常情况进行检测，及时发现资源使用中的安全隐患。系统资源应保证优先提供给重要、紧急的软件应用。因此，在资源控制的安全策略上应设定优先级，并根据优先级分配系统资源，从而确保对关键软件应用的支持。技术实现上设计用户登录系统时，软件为其分配与其权限相对应的连接资源和系统服务，为防止系统资源的重复分配，应禁止同一用户账号在同一时间内并发登录，并且，在用户登录后防止长时间非正常占用系统资源，而降低系统的性能或造成安全隐患，通常设计根据安全策略设置登录终端的操作超时锁定和鉴别失败锁定，并规定解锁或终止方式。同样，系统对发起业务的会话分配所用到的资源，也采用根据安全属性（用户身份、访问地址、时间范围等）允许或拒绝用户建立会话连接，对一个时间段内可能的并发会话连接数和单个用户的多重并发会话数量进行限制。在系统整体资源的使用上，对最大并发会话连接数进行限制。此外，对电子政务系统被删除的文件等的剩余信息，特别是涉及国家秘密、敏感信息的内容，一定要重点关注并加强安全保护。可采用下列技术实现保护：(1)采用先进的磁盘读写技术对磁盘的物理扇区进行多次反复的写操作，直到擦写过后的磁盘扇区内数据无法恢复；(2)根据不同的分区格式进行采用不同的数据销毁处理算法，对文件在磁盘上所有存放位置进行逐个清除，确保文件不会在磁盘上留下任何痕迹；(3)进行目录、剩余磁盘空间或整个磁盘的数据销毁，销毁后的目录、剩余磁盘空间或者整个磁盘不存在任何数据，无法通过软件技术手段恢复。

2.5软件代码安全

在电子政务系统应用软件开发之前，要制定应用程序代码编写安全规范，要求开发人员遵从规范编写代码。应用程序代码自身存在的漏洞被利用后可能会危害系统安全。因此，应对应用软件代码进行安全脆弱性分析，以帮助其不断改进完善，从而有效降低软件应用的安全风险。研发工作结束后，应及时对程序代码的规范性进行审查，以查找其设计缺陷及错误信息。代码审查一般根据需要列出所需资料清单，由应用软件使用方收集并提供相应的材料。代码测试人员与开发人员书面确认测试内容和过程，配置运行环境，对代码进行预编译操作，确认可执行使用。然后使用特定的测试工具进行代码的安全测试操作，对测试结果进行分析。对发现的问题进行风险分析和估算，制作软件缺陷、问题简表，撰写测试报告并交付开发方修改，并对已经整改的部分进行复测。值得注意的是，那些已经通过安全测试的代码，还需要运行在通过安全测试的支撑平台、编译环境中才能实现真正的安全运行。

2.6软件容错

电子政务系统中应用软件的高可用性是保障系统安全、平稳运行的基础。软件容错的原理是通过提供足够的冗余信息和算法程序，使系统在实际运行时能够及时发现错误，并能采取补救措施。对系统软件应用安全来说，应充分考虑到软件自身出现异常的可能性。软件在应用过程中，除设计对软件运行状态的监测外，当故障发生时能实时检测到故障状态并报警，防止软件异常的进一步蔓延，应具有自动保护能力，即当故障发生时能够自动保存当前所有状态。此外，操作人员对应用软件的操作可能会出现失误。因此，系统应对输入的数据、指令进行有效性检查，判断其是否合法、越权，并能及时进行纠正。关键功能应支持按照操作顺序进行功能性撤销，以避免因误操作而导致的严重后果。

三、结语

为了保证电子政务系统软件应用的安全，在软件研发使用过程中，要设计对用户的身份进行核实，使用权限进行设置，监控每个用户的上网行为；在通信过程中，要保证通信双方的安全性，保密性，防止抵赖。而且，对于软件自身来说，编写代码的规范，是否具有较强的容错功能也会影响软件应用者的行为习惯。通过适当的信息安全技术多方面防范风险，才能有效地对系统软件应用安全起到防护作用。

作者：徐绕山单位：南京信息职业技术学院