政府门户网站信息安全解决方案研究
目 录
摘 要 ................................................................................................................................................ 1
关键字 .............................................................................................................................................. 1
Abstract . ............................................................................................................................................ 1
Key words ......................................................................................................................................... 1
1. 绪论 ............................................................................................................................................... 2
1.1 研究意义 . ........................................................................................................................... 2
1.2 论文背景 . ........................................................................................................................... 2
1.3 论文结构 . ........................................................................................................................... 3
2. 我国政府信息化及政府门户网站建设现状 . ............................................................................... 4
2.1我国政府信息化建设的发展和现状 . ................................................................................ 4
2.1.1. 我国政府信息化发展的历程 . ................................................................................. 4
2.1.2. 我国政府信息化发展现状 . ................................................................................... 4
2.2我国政府门户网站建设与安全现状 . ................................................................................ 5
2.2.1 我国政府门户网站建设现状 . ................................................................................ 5
2.2.2 我国政府门户网站安全现状 . ................................................................................ 5
3. 湖北省政府门户网站信息安全方面存在的问题及原因分析 . ................................................... 7
3.1湖北省政府门户网站安全建设存在的主要问题 ............................................................. 7
3.1.1 网站建设安全问题存在的漏洞 . ............................................................................ 7
3.1.2 管理制度问题漏洞 . .............................................................................................. 10
3.2湖北省政府门户网站建设中存在安全问题的原因分析 ............................................... 10
3.2.1 网站建设安全方面原因分析 . .............................................................................. 10
3.2.2 管理制度方面原因分析 . ...................................................................................... 12
4. 促进湖北省政府门户网站信息安全的对策 . ............................................................................. 13
4.1黑客入侵防范 . .................................................................................................................. 13
4.1.1入网访问控制技术 . ............................................................................................... 13
4.1.2防火墙技术 . ........................................................................................................... 13
4.1.3入侵检测技术 . ....................................................................................................... 14
4.1.4安全扫描 . ............................................................................................................... 14
4.2 黑客web 攻击防范 ......................................................................................................... 15
4.2.1 SQL注入攻击防范 ............................................................................................... 15
4.2.2 XSS攻击防范 ....................................................................................................... 15
4.2.3 CSRF攻击防范 ..................................................................................................... 16
4.3将政府门户网站安全与公务人员工作绩效挂钩 ........................................................... 17
4.4加强网络安全执法力度与立法进度 . .............................................................................. 17
小结 ................................................................................................................................................ 18
致谢 ................................................................................................................................................ 19
参考文献 ........................................................................................................................................ 20
政府门户网站信息安全解决方案研究
摘 要:在大力宏扬建设有中国特色社会主义的政治文明、精神文明和社会文明的历史进步时期,建设具有“中国特色、时代特征、地方特点的政府网站”就成为我国各级政府电子政务的主要工作原则。作为政务公开和为民服务的窗口, 政府门户网站在电子政务规划中已经占有非常重要的地位,湖北省人民政府门户网站在近几年的发展中,也已经通过不断完善初具规模,但其安全形势却不容乐观。随着电子政务建设的逐步推进,政府门户网站所承载业务的数量在逐步增加, 网站被入侵或篡改所带来的危害将不仅仅造成“政府形象”的损害, 甚至会引起巨大的经济损失, 导致一系列严重的社会问题。 本文通过对湖北省人民政府门户网站建设情况进行分析,首先阐述了政府门户网站在政府部门所起到的作用及其发挥的效果,同时对政府门户网站存在的安全进行了深入思考,表明网络安全不仅是一个技术上的问题,也要从法规、管理等方面来统筹保障政府门户网站信息安全。
关键字:政府门户网站;电子政务;信息安全
The government portal website information security
solutions
Abstract :In energetically grand raise construction has the Chinese characteristic socialism political civilization, intellectual civilization and social civilization history progress period, the construction of "Chinese characteristic, the features of The Times, the characteristics of the local government website" has become China's government at all levels of the electronic government affairs mainly work principles. Hubei provincial people's government website in recent years development, has also through the perfect took shape, as the open government and for the people of service window, the government portal website in the electronic government affairs planning has occupied a very important position, but the security situation is not optimistic. With the construction of e-government advance gradually gradually, the government portal website carries the number of business gradually to increase, the website was invaded or distort the damage caused by will not only cause "the government image" damage, even can cause huge economic losses, leading to a series of serious social problem. Through to the hubei provincial people's government portal website construction situation analysis, first expounded the government portal website in the government department that play the role and play effect, but the government portal website for the safety of the existing deeply thinking, indicates that network security is not only a technical problems, to regulations, management and technology from three aspects of the plan as a whole to ensure the government portal website information security.
Key words: the government portal website; The electronic government affairs; Information security
1 绪论
1.1 研究意义
21世纪是知识经济时代,网络化、信息化已成为现代社会的一个重要特征。在这
个新时代里,网路信息与我们息息相关。网络的快速普及与发展、客户端软件多媒体化、协同计算、资源共享与开放、远程管理化、电子商务、金融电子化等已成为网络时代必不可少的产物。
虽然计算机网络给人们带来了巨大的便利,但互联网是一个面向大众的开放系统,对信息的保密和系统的安全考虑得并不完备,存在着安全隐患,网络的安全形势日趋严峻。确保网络信息安全至关重要,没有网络信息的安全就谈不上网络信息的应用。
一般来说,网络安全由四个部分组成:
一是运行系统的安全,即保证信息处理和传输系统的安全,它侧重于保证系统正常
运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏产生信息泄露;
二是系统信息的安全,包括用户口令鉴别,用户存取权限控制,数据存取权限、方
式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密;
三是信息传播的安全,指可对信息的传播后果进行控制,包括信息过滤等,对非法、有害的信息传播后造成的后果,能进行防止和控制,避免公用网络上大量自由传输的信息失控;
四是信息内容的安全,它侧重于保护信息的保密性、真实性和完整性,避免攻击者
利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。
加强网络安全建设,是关系到政府整体形象和利益的大问题。目前在各政府的网络
中都存储着大量的信息资料,许多方面的工作也越来越依赖网络,一旦网络安全方面出现问题,造成信息的丢失或不能及时流通,或者被篡改、增删、破坏或窃用,都将带来难以弥补的巨大损失。所以对于政府等许多单位来讲,加强网络安全建设的意义关系到国家的安全、利益和发展。
1.2 论文背景
当今,计算机互联网络的迅速发展和广泛应用,打破了传统时间和空间的局限性,极大的改变了人们的工作方式和生活习惯,促进了经济和社会的发展,提高了人们的工作水平和生活质量,政府网络办公也如此。随着信息产业的高速发展,大部分政府部门也都已经利用互联网建立了属于自己的政府门户网站系统,架起了政府与大众沟通的桥梁。例如湖北省,湖北省人民政府网站就是由湖北省人民政府办公厅主办,湖北日报传媒集团承办的政府网站。网站坚持了政府门户网站应有的政府信息发布、在线办事服务、公众交流互动三大功能。内容包括首页信息、政府领导、湖北概况、政务公开、网上办事、互动交流和魅力湖北七大模块。特别是湖北省人民政府网站全新改版后,完善了网站信息发布流程,提高了网站内容的更新速度及效率,加强沟通机制的建设,确定了省政府门户网站作为省政府在互联网上唯一电子媒介的权威性、公信力和影响力。
但网站都是由程序人员编写的,并不可能有100%完美不被黑客攻击入侵的网站,
所以在推行政府部门网络办公的同时保障网站建设与运行的安全也是弥足珍贵的。此次论文便是从“技术”和“管理”两方面来研究讨论政府门户网站信息安全建设的。
1.3 论文结构
论文首先以我国政府门户网站为大背景,在绪论中分别阐明网络信息安全研究的意
义和网络信息安全的背景;在第二部分则对我国政府信息化现状和我国政府门户网站建设现状进行了比较和分析,表明网络信息安全研究是一个刻不容缓的课题;第三部分以湖北省政府门户网站为研究对象,讨论了在政府门户网站安全上所存在的一些问题以及产生这些问题的原因,第四部分则提出要在技术方面对黑客入侵和黑客web 攻击进行防范,另外管理方面从加强网络信息安全的管理制度,强化网站建设人员和维护人员的计算机技术以及国家对网络犯罪加大打击力度等方面对解决政府门户网站安全建设的一些见解。
2 我国政府信息化及政府门户网站建设现状
2.1我国政府信息化建设的发展和现状
2.1.1. 我国政府信息化发展的历程
在20世纪60年代,当美国将“信息高速公路”建设作为政府的施政纲领,英国兴建各类中心,明确工作重点,加强组织领导,开展专项计划之时,全球政府信息化已然成为一种潮流,在这股信息化建设的冲击下,我国政府也在不断加快信息化建设的步伐。
我国政府信息化工作,准备于上世纪80年代,起步于20世纪90年代,发展于21世纪,是沿着“机关内部办公自动化——管理部门的电子化工程——全面的政府上网工程”这条线展开的。2003年,国务院信息化工作办公室宣布,根据WTO 要求及国内发展需要,我国已把建设电子政务作为转变政府职能、改善政府服务和提高工作透明度的重要手段,按照“十五”期间全国电子政务建设指导意见,今后将进一步加快建设政务平台,整合信息资源,统一平台,统一标准,电子政务建设工作将主要围绕“两网一站四库十二金”重点展开。 “两网”,是指政务内网和政务外网;“一站”,是政府门户网站;“四库”,即建立人口、法人单位、空间地理和自然资源、宏观经济等四个基础数据库;“十二金”,则是要重点推进办公业务资源系统等十二个业务系统。
这12个重点业务系统又可以分为三类,一类是对加强监管、提高效率和推进公共服务起到核心作用的办公业务资源系统、宏观经济管理系统建设;第二类是增强政府收入能力、保证公共支出合理性的金税、金关、金财、金融监管(含金卡)、金审等5个业务系统建设;第三类是保障社会秩序、为国民经济和社会发展打下坚实基础的金盾、社会保障、金农、金水、金质等5个业务系统建设。
“两网一站四库十二金”覆盖了我国电子政务急需建设的各个方面,涉及信息资源开发、信息基础设施建设与整合、信息技术应用等领域,特点各异,又相互渗透和交融,初步构成了我国电子政务建设的基本框架。
2.1.2. 我国政府信息化发展现状
政府信息化是社会信息化的基础和核心部分,政府采用信息技术调整行政管理的形
态和方式,为公众提供便捷有效和高质量的服务是世界性的趋势。我国政府信息化经过近20年的发展,已经取得了阶段性的成果:各类政府机构是社会IT 应用基础设施建设相对完备,网络建设在“政府上网工程”的推动下已获得较大的进展,大部分政府职能部门都已经建成了覆盖全系统的专网。办公自动化、管理信息化的水平也不断提高,适应政府机关办公业务和辅助领导科学决策需求的电子信息资源建设初具规模。早期启动的“金”工程已经发挥作用,其他“金”字工程也陆续启动。
地方政府建设数字城市的步伐也明显加快,上海、深圳等沿海开放城市纷纷提出建
设数字化城市或者数码港的概念,其中电子政务的建设是数字城市建设的核心内容之
一。半数左右的政府网站开始逐步整合相关部门的在线资源,从以信息发布为主向以在线办事为主过渡,能够面向社会公众和企业提供若干在线服务。普遍政府网站能够按照阳光透明、便民高效的原则,建立完善的查询、咨询功能,使申请人可以随时了解申办事项的办理进度、审查状态和审批结果等最新消息。以国土资源部网站为例,通过 “国土资源办事大厅”基本上实现了行政审批业务的在线办理,构成了统一的政务服务平台和效能监督平台。该系统向社会公开国土资源规划与计划事项;公开土地、矿产违法案
件的行政处罚依据、处罚程序、处罚时限及重要典型案件处理结果;公开土地、矿产行政审批事项、审批程序、审批要件及审批结果。国土资源相关部门及社会大众可在办事大厅提交业务申请及相关材料,跟踪受理进度,并可以按省市查询办理结果。总体上看,政府门户网站“以用户为中心”的服务理念基本确立。
2.2我国政府门户网站建设与安全现状
2.2.1 我国政府门户网站建设现状
2005年,以中央政府门户网站的开通为重要标志,我国政府网站建设取得突破性进展,经过几年的探索和实践, 政府网站已经成为执政能力的重要体现,我国政府网站正在逐步成为人们了解政府工作动态、查阅政府信息、反映社情民意、实现网上办理事项的重要渠道,成为全面展现电子政务建设成果的主要窗口。
2005年10月1日,中国政府网(www.gov.cn )试运行,在经过3个月的试运行后,2006年1月1日正式开通,设有中文简体版、中文繁体版和英文版。尽管正式开通首日为法定节日,政府网的主要浏览者政府工作人员不上班,但中国政府网站的访问量仍然很大,当日点击率为4048万,页点浏览量为519万,访问人次34万,访问人数26万。据新华网消息,中国政府网正式开通当日,在世界综合网站排名的位次从1720名跃升至第744名,一跃成为全球人气指数第二的国家级政府网站(仅次于加拿大联邦政府网)。海内外舆论对中国政府网的开通反响强烈,普遍认为这是中国政府管理方式的一个创新,是中国提高政务透明度、建设服务型政府的一个重要举措。
2.2.2 我国政府门户网站安全现状
随着信息化进程的不断深入,政府门户网站信息安全已经引起人们的重视。根据国家计算机网络应急技术处理协调中心(简称CNCERT) 的2011年的网络工作报告显示,先中国大陆被篡改的政府网站的数量近年来增长迅猛。近年来中国大陆被篡改的政府网站情况年度统计如下图2-1所示。
图2-1 中国大陆被篡改的政府门户网站数量年份统计表
2011年,CNCERT 抽样监测发现,境外有近4.7万个IP 地址作为木马或僵尸网络控制服务器参与我国境内主机,虽然其数量较2010年的22.1万大幅降低,但其控制的境内主机数量却由2010年的近500万增加至890万,呈现大规模化趋势,其中各国所占比例如图2-2所示。
图2-2 各国控制服务器IP 数量统计图
在网站安全方面,境外黑客对境内1116个网站实施了网页篡改;境外11851个IP 通过植入后门对境内10593个网站实施远程控制,其中美国有3328个IP (占28.1%)控制着境内3437个网站,位居第一。所以政府门户网站主要的攻击来源为境外组织以及个别网络黑客恶作剧、病毒感染等。
例如,黑龙江政府某部门网关人员虽然在网络上设置了防火墙和防病毒程序,服务器系统打全了所有的补丁,修改了系统中原有的登录口令,并且把密码设置到了十位数以上,可就是这样的网站仍未逃脱黑客的多次骚扰,那么网站被“黑”到底是什么原因呢?
通过分析得知,黑客是采用流行的SQL 注入的方式进行入侵,SQL 注入是从正常的WWW 端口访问,而且表面看起来和一般的web 页面访问没什么区别,所以防火墙都不会对SQL 注入发出警报。从局部看全局,许多的政府网站被入侵都和SQL 入侵有关。由上面案例可以看出,网站的安全仅靠高性能网络设备和先进的技术是不能解决的,网站信息安全问题迫在眉睫。
3 湖北省政府门户网站信息安全方面存在的问题及原因分析
总体来看,湖北省政府门户网站建设正在如火如荼地发展,不论是网站内容还是所提供的功能和服务,完善度都有所提高。网站提供的在线服务正逐渐多元化,实际化,由过去多为政府信息公开、新闻发布等信息内容的提供逐渐转变为以网上办事、政务公开、互动交流等以服务功能为主的政府在线服务,同时也更注重了网站设计、功能导航,加入了天气预报等为市民提供了更便利的服务。随着政府网站信息公开、网上办事功能的不断完善,我国公民对于电子政务的认知度、利用率和满意度都在逐年提高。但这些政府门户网站大多数依然处于发展的初级阶段,网站被频繁入侵,除了入侵者为挑战其权威性和公信度外,抑或炫耀其技术水平外,更有甚者是对政府机密数据感兴趣,这些都暴露出政府相关部门的管理问题。
3.1湖北省政府门户网站安全建设存在的主要问题
3.1.1 网站建设安全问题存在的漏洞
政府门户网站的安全中最常见的问题便是黑客入侵,黑客是指对计算机系统进行非授权访问的人员。
黑客入侵网络的第一步是确定入侵的目标。大多数情况下,网络入侵者都会首先对被攻击的目标进行确定和探测。
第二步是信息收集与分析。在获取目标机所在的网络类型后,还需要进一步获取有关信息,如目标机的IP 地址、系统管理人员的地址、操作系统类型与版本等,根据这些信息进行分析,可得到有关被攻击方系统中可能存在的漏洞。如利用WHOIS 查询,可了解技术管理人员的名字信息。若是运行一个Host 命令,可获取目标网络中有关机器的IP 地址信息,还可识别出目标机器的操作系统类型。再运行一些Usernet 和Web 查询可以知道有关技术人员是否经常上Usernet 。
收集有关技术人员的信息是很重要的,其收集的方式也是非常广泛的,可以通过常见的网络搜索引擎。如一个系统管理员经常在安全邮件列表或者论坛中讨论各种安全技术和问题,就说明他们有丰富的经验和知识,对网络安全有丰富的了解,并做好了抵御攻击的准备。反之,如果一个系统管理人员提出的问题是初级的,甚至没有理解某些网络安全的概念,则说明此人经验不足。此外,每个操作系统都有自己的漏洞,有些是已知的,有些要经过仔细研究才能发现,而管理员不可能不停地阅读每个平台的安全报告,因此,极有可能对某个安全特性掌握得不够。通过上述信息的分析,就可能得到对方计算机网络可能存在的漏洞。
第三步是对端口与漏洞挖掘。黑客要手机或编写适当的工具,并在对操作系统的分析基础上,对工具进行评估,判断有哪些漏洞和区域没有覆盖到。然后,在尽可能短的时间内对目标进行端口与漏洞扫描。完成扫描后,可对所获数据进行分析,发现安全漏洞。
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。它形成的原因非常复杂,或者是由于系统设计者的疏忽或其他目的在程序代码的隐蔽处保留的某些端口或后门,或者是由于要实现某些功能。许多漏洞是系统自身的缺陷造成的,比如windows 系统中的输入法漏洞,这个漏洞曾经使许多入侵者轻而易举地控制了使用windows 系统的计算机。
第四步是实施攻击。根据已知的“漏洞”或“弱口令”,实施入侵。通过猜测程序
可对截获的用户账号和口令进行破译。利用破译的口令可对截获的系统密码文件进行破译;利用网路和系统的薄弱环节和安全漏洞可实施电子引诱,如安防特洛伊木马等,其基本流程如下图3-1-1所示。
图3-1-1 黑客入侵流程图
所谓“弱口令”就是简单的密码,口令就是人们常说的密码。许多网络计算机往往就是因为设置的密码过于简单而被黑客入侵,所以应该设置相对复杂的密码,让黑客即使登录到计算机上也因为无法破解密码而达不到远程控制计算机或者窃取数据的目的。
现在黑客入侵网络的手段十分丰富,令人防不胜防,主要可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。下面4种为黑客常用的攻击手段
(1)后门程序
由于程序员设计一些功能复杂的程序时,一般采用模块化的程序设计思想,将整个项目分割为多个功能模块,分别进行设计、调试,这时的后门就是一个模块的秘密入口。在程序开发阶段,后门便于测试、更改和增强模块功能。正常情况下,完成设计之后需要去掉各个模块的后门,不过有时由于疏忽或者其他原因(如将其留在程序中,便于日后访问、测试或维护)后门没有去掉,一些别有用心的人会利用穷举搜索法发现并利用这些后门,然后进入系统并发动攻击。
(2)信息炸弹
信息炸弹是指使用一些特殊工具软件,短时间内向目标服务器发送大量超出系统负荷的信息,造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。比如向某人的电子邮件发送大量的垃圾邮件将此邮箱“撑爆”等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。
(3)拒绝服务
拒绝服务又叫分布式D.O.S 攻击,它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源,最后致使网络服务瘫痪的一种攻击手段。作为攻击者,首先需要通过常规的黑客手段侵入并控制某个网站,然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程,攻击者把攻击对象的IP 地址作为指令下达给进程的时候,这些进程就开始对目标主机发起攻击。这种方式可以集中大量的网络服务器带宽,对某个特定目标实施攻击,因而威力巨大,顷刻之间就可以使被攻击目标带宽资源耗尽,导致服务器瘫痪。
(4)网络监听
网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具,它可以将网络接口设置在监听模式,并且可以截获网上传输的信息,也就是说,当黑客登录网络主机并取得超级用户权限后,若要登录其他主机,使用网络监听可以有效地截获网上的数据,这是黑客使用最多的方法,但是,网络监听只能应用于物理上连接于同一网段的主机,通常被用做获取用户口令。
黑客入侵中Web 攻击也是十分常见并且具有危险性的,其中最常用的方式就是SQL 注入攻击,其次XSS 跨站脚本攻击,CSRF 攻击等方式也时有发生。
SQL 注入攻击是黑客对数据库进行攻击的常用手段之一, SQL 注入是从正常的WWW 端口访问,而且表面看起来跟一般的Web 页面访问没什么区别,它需要的唯一条件就是网络端口80处于开放状态,即使有设置妥当的防火墙,这一端口也是少数的几个允许流量的通道之一,所以目前市面的防火墙都不会对SQL 注入发出警报,如果管理员没查看IIS 日志的习惯,可能被入侵很长时间都不会发觉。
例如:
我们针对下面的SQL 语句分析,发现如果用下面的测试数据就能够进行SQL 注入了
SELECT * FROM Users WHERE Username='$username' AND
Password='$password'
$username = 1'or'1'='1
$password=1'or'1'='1
整个SQL 查询语句变成:
SELECT * FROM Users WHERE Username='1' OR '1'='1' AND Password='1'OR '1'='1' 假设参数值是通过GET 方法传递到服务器的,且域名为www.example.com 那么我们的访问请求就是:
http://www.example.com/index.php?username=1'%20or%20'1'%20=%20'1&password=1'%20or%20'1'%20=%20'1
对上面的SQL 语句作简单分析后我们就知道由于该语句永远为真,所以肯定会返回一些数据,在这种情况下实际上并未验证用户名和密码,并且在某些系统中,用户表的第一行记录是管理员,那这样造成的后果则更为严重。
SQL 注入的手法相当灵活,在注入的时候会碰到很多意外的情况,只有巧妙的防范SQL 语句的注入,才不会被黑客入侵,丢失重要的数据。
XSS 又叫 CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html 代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。XSS 属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。
XSS 攻击可以分为两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的 showerror.asp 存在的跨站漏洞。另一类则是来来自外
部的攻击,主要指的自己构造XSS 跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。
由于XSS 的隐蔽性及其攻击面的广泛性,使得利用XSS 漏洞的各种攻击方式层出
不穷,给互联网用户带来了很大的危害。
CSRF 攻击是一种对网站的恶意利用,攻击通过在授权用户访问的页面中包含链接
或者脚本的方式工作。风险在于那些通过基于受信任的输入form 和对特定行为无需授权的已认证的用户来执行某些行为的web 应用。已经通过被保存在用户浏览器中的cookie 进行认证的用户将在完全无知的情况下发送HTTP 请求到那个信任他的站点,进而进行用户不愿做的行为。
3.1.2 管理制度问题漏洞
1. 管理人员技术水平有待进一步提高
虽然政府门户网站建设技术趋于成熟,但依然存在黑客入侵,网站信息被泄露,被
篡改。例如前几日,知名信息安全厂商卡巴斯基发现国内多个政府网站被黑客攻陷,并且在其中植入了恶意脚本。如果互联网用户不慎访问,很可能会造成计算机感染。为此,卡巴斯基发布紧急安全警告,提醒广大网民近期在访问一些政府网站时,一定要加强安全警惕,以免感染恶意程序造成损失。网络泄露表现在网络上的信息被窃听,而网络信息被篡改则是纯粹的信息破坏。所以如果网站管理员不合理设定资源访问控制,就会造成一些资源有可能被偶然或故意破坏。
2. 管理员安全意识薄弱,管理制度不规范
如中国互联网报告所指出的,某些政府网站被篡改后长期无人过问,还有些网站虽然在接到报告后能够恢复,但没有根除隐患,从而遭到多次篡改。网络信息保护中采用的技术和最终对安全系统的操作都是由人来完成的,因此,在网络信息安全系统的设计、实施和验证中也不能离开人,人在网络信息安全管理中占据着举足轻重的位置。
3. 缺乏相应的法律法规的支持
网络安全问题的解决不仅需要必要的技术手段,强制性的法律法规才是真正保护网络安全的“金刚罩”,因为网络犯罪不同于一般的违法犯罪,网络入侵者一般都具有比较高的网络安全技术方面的知识和能力,这给公安机关的侦查破案带来了相当大的难度,也不能对网络犯罪形成有效的威慑,更助长了利用网络进行违法犯罪的活动。
3.2湖北省政府门户网站建设中存在安全问题的原因分析
3.2.1 网站建设安全方面原因分析
为什么会存在黑客?黑客入侵的理由和目标又是什么呢?其实很多时候,大多数黑客进行攻击的理由都是很简单的,有些人是想要在别人勉强炫耀一下自己的技术,有些人则是因为恶作剧,好玩,有时候是为了练功,进行网络探险,还有些人是为了窃取数据,偷取硬盘中的文件或各种上网密码,然后从事各种商业活动,更有甚者是为了抗议与宣示。例如菲律宾大学的网站日前遭到中国黑客入侵,网页遭窜改,贴上南沙群岛地图,并植入黄岩岛是我们的等宣示主权的文字。
对于黑客入侵中的web 攻击,SQL 注入是目前比较常见的针对数据库的一种攻击方式,在这种攻击方式中,攻击者会将一些恶意代码插入到字符串中,然后会通过各种手段将该字符串传递到SQL Server数据库的实例中进行分析和执行。只要这个恶意代码符合SQL 语句
的规则,则在代码编译与执行的时候,就不会被系统所发现。同时随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。
XSS 属于被动式的攻击,攻击者先构造一个跨站页面,利用script 、、等各种方式使得用户浏览这个页面时,触发对被攻击站点的http 请求。此时,如果被攻击者已经在被攻击站点登录,就会持有该站点cookie 。这样该站点会认为被攻击者发起了一个http 请求。而实际上这个请求是在被攻击者不知强的情况下发起的,由此攻击者在一定程度上达到了冒充被攻击者的目的。精心的构造这个攻击请求,可以达到冒充发文,夺取权限等等多个目的, 其原理如下图3-2-1所示。
图3-2-1 XSS攻击原理图
对于XSS 跨站脚本攻击,首先应该避免直接在cookie 中泄露用户隐私,例如email 、密码等等,其次通过使用cookie 和系统ip 绑定来降低cookie 泄露后的危险。这样攻击者得到的cookie 就没有实际价值。
很多时候内部管理网站往往疏于关注安全问题,只是简单的限制访问来源,这样的网站对于XSS 攻击毫无抵抗能力,需要多加注意。
尽管听起来像跨站脚本(XSS ),但CSRF 与XSS 非常不同,并且攻击方式几乎相左, 其原理图如下3-2-2所示。
图3-2-2 CSRF攻击原理图
XSS 利用站点内的信任用户,而CSRF 则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS 攻击相比,CSRF 攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS 更具危险性。
3.2.2 管理制度方面原因分析
1. 管理制度未理顺
在安全问题上缺乏统一协调的领导机构,也没有形成一套统一的安全管理规范,把安全管理完全依赖于防火墙、防病毒、密码保护等基本技术措施,并没有从管理的角度全方面考虑安全防卫问题,没有比较规范的制度保证。
2. 技术与实际安全需求存在差距
技术是确保信息安全的重要因素,虽然政府在门户网站的建设上投入了巨资,但是没有建立起与之相配套的维护网络安全的专业力量,也加上由于技术本身的局限性和推广应用程度不够和计算机技术日新月异,使技术与安全需求之间存在差距,相关领导也忽视了对管理人员技术的再培训。
3. 法律法规还不完善
法律法规是政府网站安全治理的重要砝码,虽然我国也制定了很多关于计算机或网络信息安全的规章、条例和办法,如《关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际互联网安全保护管理办法》和《中华人民共和国政府信息公开条例》等等,但是没有制定一部正式的法律,对政府网站安全的相关规定多分散于这些法律、法规条文中,整体层次不高,现行的针对整体网络的法律法规也大多数是国务院制定的,法律效力低,存在局限性。
4 促进湖北省政府门户网站信息安全的对策
4.1黑客入侵防范
政府网站安全并不是一劳永逸的,是一个需要长期关注的过程,对于黑客入侵网络,管理人员应认真分析各种可能的入侵和攻击形式,制定符合实际需要的网络安全策略,防止可能从网络和系统内部或外部发起的攻击行为,重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。
防止入侵和攻击的主要技术措施包括入网访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。
4.1.1入网访问控制技术
访问控制是网络安全保护和防范的核心策略之一,主要目的是确保网络资源不被非法访问和非法利用。
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。 用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。 对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。
为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。
网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。 用户名和口令验证有效之后,再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。
当用户对交费网络的访问“资费”用尽时,网络还应能对用户的账号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
4.1.2防火墙技术
今天的防火墙被用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。这些防火墙尤如一道护栏隔在被保护的内部网与不安全的非信任网络之间,我们目前广泛使用的互联网络便是世界上最大的不安全网,防火墙可以是非常简单的过滤器,也可能是精心配置的网关,但它们的原理是一样的,都是目前确保网络安全的一种重要技术,是位于内部网络与外部网络之间或者两个信任程度不同的网络之间的软件与硬件设备组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,限制外界用户对内部网络的访问及管理内部用户访问外部网络的权限的系统,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。。防火墙保护着内部网络敏感的数据不被偷窃和破坏,并记录内外通讯的有关状态信息日志,如通讯发生的时间和进行的操作等等。
防火墙通常是运行在一台单独计算机之上的一个特别的服务软件,它可以识别并屏蔽非法的请求,将入侵者拒之门外的网络安全技术。
4.1.3入侵检测技术
入侵检测技术是网络安全技术和信息技术结合的产物。使用入侵检测技术可以实时监视网络系统的某些区域,当这些区域受到攻击时,能够及时检测和立即响应。入侵检测有动态和静态之分,动态检测用于预防和审计,静态检测用于恢复和评估。从目前的网络安全系统来看,在设计防护系统时,一般只可能考虑已知的安全威胁和十分有限的未知威胁,只是做到防护的功能而不能阻止各种攻击行为。防火墙便是只起到防护功能,难以做到主动检测,它需要与入侵检测相结合。
入侵检测系统就是对入侵行为的发觉,它通过对计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的对象。
入侵检测的软件与硬件的组合便形成入侵检测系统(IDS ),与其他安全产品不同的是IDS 需要更多的职能,它必须可以将得到的数据进行分析,并得出有用的结果,一个合格的入侵检测系统能大大简化管理员的工作,保证网络安全地运行。
基于网络的入侵检测系统通过在共享网段上对通信数据进行侦听,采集数据,分析可以现象,系统根据网络流量、协议分析、简单网络管理协议信息等检测入侵。网络入侵检测系统应该放置在网络基础设施的关键区域,监控流向其他主机的流量。基于网络入侵检测系统的数据来源于网络的信息流,被动地在网络上监听整个网络上的信息流,分析所解的网络数据包,检测其是否发生网络入侵。
4.1.4安全扫描
安全扫描技术是指手工的或使用指定的软件工具----安全扫描器,对系统脆弱点进行评估,寻找对系统扫成损害的安全漏洞。
扫描可以分为系统扫描和网络扫描两个方面,系统扫描侧重主机系统的平台安全性以及基于此平台的系统安全性,而网络扫描则侧重于系统提供的网络应用和服务以及相关的协议分析。
扫描的主要目的是通过一定的手段和方法发现系统或网络存在的隐患,以利于己方及时修补或发动对敌方系统的攻击。同时,自动化的安全扫描器要对目标系统进行漏洞检测和分析,提供详细的漏洞描述,并针对安全漏洞提出修复建议和安全策略,生成完整的安全性分析报告,为网路管理完善系统提供重要依据。
安全扫描是对计算机系统或其他网络设备进行相关安全检测,以查找安全隐患和可能被攻击者利用的漏洞。从安全扫描的作用来看,它既是保证计算机系统和网络安全必不可少的技术方法,也是攻击者攻击系统的技术手段之一,系统管理员运用安全扫描技术可以排除隐患,防止攻击者入侵,而攻击者则利用安全扫描来寻找入侵系统和网络的机会。
安全扫描分主动式和被动式两种。主动式安全扫描是基于网络的,主要通过模拟攻击行为记录系统反应来发现网络中存在的漏洞,这种扫描称为网络安全扫描; 而被动式安全扫描是基于主机的,主要通过检查系统中不合适的设置、脆弱性口令,以及其他同安全规则相抵触的对象来发现系统中存在的安全隐患。
安全扫描器通过提前警告存在的漏洞,从而预防入侵和误用和检查系统中由于受到入侵或操作失误而造成的新漏洞两种途径可以提高系统安全性。
4.2 黑客web 攻击防范
4.2.1 SQL注入攻击防范
对于SQL 注入攻击, 它是非常令人讨厌的安全漏洞,是所有的web 开发人员,不管是什么平台,技术,还是数据层,需要确信他们理解和防止的东西。不幸的是,开发人员往往不集中花点时间在这上面,以至他们的应用,更糟糕的是,他们的客户极其容易受到攻击。
所以在在构造动态SQL 语句时,一定要使用类安全(type-safe)的参数加码机制。大多数的数据API ,包括ADO 和ADO. NET ,有这样的支持,允许你指定所提供的参数的确切类型(譬如,字符串,整数,日期等) ,可以保证这些参数被恰当地escaped/encoded了,来避免黑客利用它们,在网站建设中一定要从始到终地使用这些特性。
例如,在ADO. NET 里对动态SQL ,你可以象下面这样重写上述的语句,使之安全:
Dim SSN as String = Request.QueryString("SSN")
Dim cmd As new SqlCommand("SELECT au_lname, au_fname FROM authors WHERE au_id = @au_id")
Dim param = new SqlParameter("au_id", SqlDbType.VarChar)
param.Value = SSN
cmd.Parameters.Add(param)
这将防止有人试图偷偷注入另外的SQL 表达式(因为ADO. NET知道对au_id的字符串值进行加码) ,以及避免其他数据问题(譬如不正确地转换数值类型等) 。注意,VS 2005内置的TableAdapter/DataSet设计器自动使用这个机制,ASP. NET 2.0数据源控件也是如此。
一个常见的错误知觉(misperception)是,假如你使用了存储过程或ORM ,你就完全不受SQL 注入攻击之害了。这是不正确的,你还是需要确定在给存储过程传递数据时你很谨慎,或在用ORM 来定制一个查询时,你的做法是安全的。
在部署你的应用前,始终要做安全审评(security review)。建立一个正式的安全过程(formal security process),在每次你做更新时,对所有的编码做审评。后面一点特别重要。很多次我听说开发队伍在正式上线(going live)前会做很详细的安全审评,然后在几周或几个月之后他们做一些很小的更新时,他们会跳过安全审评这关,推说,“就是一个小小的更新,我们以后再做编码审评好了”。请始终坚持做安全审评。
确认你编写了自动化的单元测试,来特别校验你的数据访问层和应用程序不受SQL 注入攻击。这么做是非常重要的,有助于捕捉住(catch)“就是一个小小的更新,所有不会有安全问题”的情形带来的疏忽,来提供额外的安全层以避免偶然地引进坏的安全缺陷到你的应用里去。
锁定你的数据库的安全,只给访问数据库的web 应用功能所需的最低的权限。如果web 应用不需要访问某些表,那么确认它没有访问这些表的权限。如果web 应用只需要只读的权限从你的account payables 表来生成报表,那么确认你禁止它对此表的 insert/update/delete 的权限。
4.2.2 XSS攻击防范
XSS 漏洞和著名的SQL 注入漏洞一样,都是利用了Web 页面的编写不完善,所以
每一个漏洞所利用和针对的弱点都不尽相同。这就给XSS 漏洞防御带来了困难:不可能以单一特征来概括所有XSS 攻击。
传统XSS 防御多采用特征匹配方式,在所有提交的信息中都进行匹配检查。对于这种类型的XSS 攻击,采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索,一旦发现提交信息中包含“javascript”,就认定为XSS 攻击。这种检测方法的缺陷显而易见:骇客可以通过插入字符或完全编码的方式躲避检测:
躲避方法1) 在javascript 中加入多个tab 键,得到
;
躲避方法2) 在javascript 中加入(空格) 字符,得到
;
躲避方法3) 在javascript 中加入(回车) 字符,得到
;
躲避方法4) 在javascript 中的每个字符间加入回车换行符,得到
躲避方法5) 对"javascript:alert('XSS')"采用完全编码,得到
上述方法都可以很容易的躲避基于特征的检测。
SQL 注入防御一样,XSS 攻击也是利用了Web 页面的编写疏忽,所以还有一种方法就是从Web 应用开发的角度来避免:
步骤1、对所有用户提交内容进行可靠的输入验证,包括对URL 、查询关键字、HTTP 头、POST 数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。
步骤2、实现Session 标记(session tokens)、CAPTCHA 系统或者HTTP 引用头检查,以防功能被第三方网站所执行。
步骤3、确认接收的的内容被妥善的规范化,仅包含最小的、安全的Tag(没有javascript) ,去掉任何对远程内容的引用(尤其是样式表和javascript) ,使用HTTP only 的cookie 。
当然,如上操作将会降低Web 业务系统的可用性,用户仅能输入少量的制定字符,人与系统间的交互被降到极致,仅适用于信息发布型站点。并且考虑到很少有Web 编码人员受过正规的安全培训,很难做到完全避免页面中的XSS 漏洞。
4.2.3 CSRF攻击防范
XSS 利用站点内的信任用户,而CSRF 则通过伪装来自受信任用户的请求来利用受信任的网站,攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作,是一种依赖web 浏览器的、被混淆过的代理人攻击。
对于web 站点,将持久化的授权方法(例如cookie 或者HTTP 授权)切换为瞬时的授权方法(在每个form 中提供隐藏field ),这将帮助网站防止这些攻击。一种类似的方式是在form 中包含秘密信息、用户指定的代号作为cookie 之外的验证。
另一个可选的方法是“双提交”cookie。此方法只工作于Ajax 请求,但它能够作为无需改变大量form 的全局修正方法。如果某个授权的cookie 在form post 之前正被JavaScript 代码读取,那么限制跨域规则将被应用。如果服务器需要在Post 请求体或者URL 中包含授权cookie 的请求,那么这个请求必须来自于受信任的域,因为其它域是不能从信任域读取cookie 的。
但这种方法而不是尽善尽美的,与通常的信任想法相反,使用Post 代替Get 方法
并不能提供卓有成效的保护。因为JavaScript 能使用伪造的POST 请求。尽管如此,那些导致对安全产生“副作用”的请求应该总使用Post 方式发送。Post 方式不会在web 服务器和代理服务器日志中留下数据尾巴,然而Get 方式却会留下数据尾巴。
4.3将政府门户网站安全与公务人员工作绩效挂钩
提高部门领导和网络管理员的安全意识,统筹推进门户网站安全与部门网站安全的建设,将其建设维护工作合理分配到部门专职网站安全维护人员,建立相应的工作制度,做到定期或者不定期的对网站进行安全评估,将网站运营的好坏与其工作绩效挂钩,使其成为在职公务员的一项日常工作任务,加入到年末绩效评估当中。
绩效考核方法如下:每季度统计一次网站被黑客入侵的次数,与往年同期时候相比较,如果和同期相比网站被攻击的次数是下降的并且依次呈下降趋势则说明政府门户网站安全的建设是成功的,所对应的工资在基本工资的基础上加上基数乘以网站所减少攻击的百分比,反之如果政府门户网站与往年相比被攻击次数增加且呈上升趋势则对应的在基本工资的基础上还要减去基数乘以网站所增加攻击的百分比并且应该反省在维护当中出现了哪些漏洞导致了网站被攻击的次数增多并做好相应的记录。
如果这样持续下去,我想政府网站的安全建设将不再只是一种口号,一种形式,而是真正实施起来的巨大工程。
4.4加强网络安全执法力度与立法进度
计算机网络犯罪具有极大的隐蔽性,实施犯罪非常容易,发现却很难,要查出罪犯的真实身份,掌握犯罪证据更是难上加难。在美国,专门用来解决网络安全问题的法律法规主要涉及以下几个领域:加强网络基础设施保护,打击网络犯罪,如:《国家信息基础设施保护法》、《计算机欺诈与滥用法》、《公共网络安全法》、《计算机安全法》、《加强计算机安全法》、《加强网络安全法》;规范网络信息收集、利用、发布和隐私权保护,如:《信息自由法》、《隐私权法》、《电子通信隐私法》、《儿童在线隐私权保护法》、《通信净化法》、《数据保密法》、《网络安全信息法》、《网络电子安全法》;确认电子签名及认证,如:《全球及全国商务电子签名法》;其他网络安全问题,如:《国土安全法》、《政府信息安全改革法》、《网络安全研究与开发法》等。而且,自2008年以来,美国国务院逐渐完善了一项名为“风险评分”的项目,美国国务院有关部门每隔一至三天就对国务院办公机构及美国在全世界的驻外机构约9.6万台计算机进行扫描,查找可能存在的安全漏洞,并将结果告知专业人员,及时处理。
目前,我国的网络安全立法活动处在就事论事立法的阶段,没有形成系统的立法体系。他山之石,可以攻玉,我国在完善网络安全立法中,应积极借鉴国外成功立法经验,了解国际网络安全的立法趋势,对攻击、篡改政府网站的组织和个人实施精确、有效的打击,同时立法机构要加紧出台关于网络信息安全的法律,以法律的形势规范网络使用,保障网络安全,威慑网络违法犯罪行为。
政府门户网站作为政府电子政务的一个重要构成部分和组成环节,是直接向公众提供公共服务的窗口和平台。如何建设好,如何利用好,如何发展好,这个问题涉及到政府机关内部的管理制度、利益调整、部门调整、部门协调等因素。建设好一个政府门户网站需要对政府内部流程进行重建或者再造,需要对业务流和信息流重新梳理,需要对政府直接服务对象进行分类,进而提供专业化的一站式服务,同时,也需要再用户向政府提供公共服务需求的基础上,规划和调整政府门户网站的恶栏目和信息内容,在实践中不断的创新和探索,不断吸收和发展公共政策管理模式和创新理论,做到问政于民、执政为民,促进政府“管理”到“服务”的职能转变。
本文只是对政府行政管理,政府公共服务流程中的一个方面,即政府门户网站安全建设中网站可能遇到的一些安全问题和网站管理制度存在的不足这两个方面进行了初步探索和分析,可能在观察问题时所处的角度和考虑的深度不够好或者不够深入,有很多想法和观点可能存在一些不合适或者不成熟的见解,同时在资料的查阅上也比较有限,如果能够静下心来花费更多的时间去研究和比较数据,用真实可靠的例子来证明阐述的观点我相信论文就会更有说服力,也会更加精彩。但毕竟是一点尝试,希望对我国政府门户网站安全建设献上自己的一点绵薄之力。
在写论文的过程中,在阅读了无数的参考文献和广泛查阅网络安全方面的资料后让我深刻体会到自己大学四年所学真的只是冰山一角,我不懂的,我从未了解过的知识是无止境的,我这段时间研究的只是计算机网络安全,只是计算机软件的一个分支,只是计算机专业的一小部分,还有经济学、管理学、甚至哲学等等都是这些都是我今后会遇到的,得去学习的。这也警示了自己大学四年结束并不是意味着我的学习生涯就结束了,这只是个开始,是我步入社会的开始,也是我崭新生活的开始。在以后的生活中我会遇到更多我从未接触的东西,只有不断的学习,不断的充实自己才能赶上时代的步伐,才不至于被社会淘汰。
这篇论文的完成最需要感谢的就是我的论文指导老师李凤麟老师,如果没有她的不厌其烦的,我的论文也无法完成。从交初稿到最终定稿起码被老师打回来4、5次,每一次老师都对我的论文做了详细的批注,告诉我哪个地方需要扩充,哪个地方怎么写会更精彩,说实话有时候我自己都烦了,觉得没必要这么较真,可是老师没有,一遍又一遍的叮嘱我反复修改,心平气和地和我讨论,及时地和我沟通,随时关注我论文的写作进度,让我觉得老师很关注我,老师希望我的论文写好,让我自己也很有动力。真心感谢您,小凤姐!
其次需要感谢的是网络信息安全的授课老师蒋天发教授,最初上课的时候不觉得蒋老师讲授的内容有多么实用,但在我写这篇论文时我才发现其实网对络信息安全真的和我们的生活息息相关。论文中提到的计算机专业知识都是蒋教授当初上课的时候提及的,这次写作的过程也是我再次学习网络信息安全的过程。
最后感谢那些和我在同一个位置上课,在同一个图书馆学习,在同一个寝室嬉戏玩耍的同伴们,因为你们我的大学生活充满精彩。我想毕业了大家也都会奔赴不同的地方,请记住我们共同生活了四年的这片土地,请深深记住彼此。
毕业论文答辩的结束也意味着大学的生活即将画上句号,回想当初入校时的情境,真的历历在目。转眼我已从一个懵懵懂懂的小女孩儿成长为一个懂得担当责任、懂得热爱生活、懂得从容、坦然面对生活的向上青年,进入社会是我角色的一种转变,我希望我今后的路是光明的,希望在若干年回首往事之时我可以无憾于自己当初的每一个选择,同时也希望在5年、10年抑或是20年的同学聚会上我们计科系2008届每一个同学都已经完成了自己最初的梦想, 正在朝着更好的方向发展。
参考文献
[1] 曾宇航. 湖北省政府门户网站评价实证研究[D].华中科技大学.2005.
[2] 杨兴春, 牟剑平. 政府门户网站安全现状、原因及其对策研究[J].网络安全技术与应用,2010.
[3] 傅永锋. 政府门户网站安全体系建设要点[J]. 信息化建设,2009,(12):51-53.
[4] 孟晓民. 浅谈政府门户网站安全保障体系建设[J]. 信息科技,2007,(11):130-132.
[5] 郝静静. 政府门户网站建设的探索与实践[D].同济大学.2007
[6] 王敬芬. 浅谈地方政府门户网站的安全管理[J].科技创新导报,2011,(07):20.
[7] 程颖. 浅谈政府门户网站的网络安全[J].安全视窗.2006,(06).
[8] 史先进. 关于我国政府门户网站建设的思考[D].河南大学.2007
[9] 杨永波. 我国政府门户网站发展的现状、问题及对策研究[D].内蒙古大学.2010
[10] 程璇. 我国政府门户网站评价指标体系研究[D].华中师范大学.2007
[11] 宫雪梅. 省级政府网站面临的挑战及对策[D].河北大学.2006
[12] 阙天豪. 福建省政府门户网站信息安全对策研究[J].电子政务.2008
[13] 罗雪英. 我国政府网站建设现状与发展策略分析[D].湘潭大学.2004
[14] 许泽先. 四川省政府门户网站评价研究[J].西南交通大学.2009
[15] 吴鹏. 面向电子政务的地方政府门户网站研究[D].天津大学.2005
[16] 朱建军, 米悦, 江世峰. 政府门户网站信息安全防护技术浅析[J].技术天下,2011,(01):17-19.
[17] 谢刚. 电子治理视角下的政府网站安全研究[D].中国矿业大学.2009
[18] 张岸. 政府网站安全防护解决方案研究[J].情报探索,2010,(11):84-86.
[19] 刘梁. 政府网站安全防护体系的分析和研究[J].信息安全与技术,2011,(10):75-77.
[20] 胡永涛, 姚静晶, 赵恒立. 国内政府网站安全状况主用调查[J].学术交流,2009,(10):4-6.
20