（公共管理专业论文）电子政务系统信息安全策略研究.pdf

国防科学技术大学研究生院学位论文 摘要 信息安全遵循“木桶原理”，即一个木桶的容积决定于组成它的最短的一块木板， 一个系统的安全强度等于它最薄弱环节的安全强度。因此，电子政务这种大型分布式信 息系统必须建立在一个完整的多层次的安全体系之上，避免遗漏的薄弱环节导致整个安 全体系的崩溃。在本论文中，我们首先回顾了国内外的信息安全研究动态，总结了信息 安全研究具有如下发展趋势：从单一的保密性研究转向保密性、完整性、可用性的全面 研究，从单一技术体系的研究转向组织体系、管理体系和技术体系全方位的研究，从对 策的研究转向安全模型和体系结构的研究。接下来，我们通过分析得出电子政务系统的 安全特点是：预定的工作流程、确定的角色、明确的边界。并提出电子政务系统面临观 念、法律、管理、技术等4 个方面的风险，结出电子政务系统面临的主要安全威胁：病 毒危害、黑客攻击、数据泄密、账号公用、口令设置不当、身份冒用、不当使用、不安 全远程访问、隔离破坏、一机两用等。为了解决这些问题，我们设计了一个划分为组织 体系、法律体系、管理体系和技术体系的4 层结构的整体安全架构。提出了设立首席信 息官领导下的信息安全机构的安全组织策略，以及完善我国信息安全法律保障体系的建 议：确立科学的信息安全法律保护理念，构建完备的信息安全法律体系，强化超前的信 息安全法律效率，主动融入国际信息安全的法律体系。为了更好的适应电子政务信息安 全等级保护的需要，我们研究完善了一个5 层5 级的安全管理模型。接下来，我们根据 电子政务系统的安全特点，结合开放系统互联安全体系结构的5 种服务和工作流模型建 立一个分层安全技术体系，使我们可以从总体上建立安全技术方案。最后，根据前面研 究的多层安全架构设计了某市公安局电子政务系统的全面安全方案。 关键宇：信息安全电子政务安全架构 第1 页 国防科学技术大学研究生院学位论文 第一章绪论 1 1 信息安全在电子政务系统中的重要性 当前我国信息化建设己进入全面推进和加快发展的重要时期，信息系统已经成为能 源、交通、金融等国家关键基础设施的神经中枢，系统的安全直接影响到关键基础设施 的正常运转。国家关键基础设施和重要信息系统越来越依赖于网络，各级政府的行政管 理和公共服务越来越多地通过网络实现。随着政府信息化的积极推进和深入发展，国家 积极推动、政府稳步建设、厂商广泛参与等诸多因素使得我国电子政务建设取得了快速 发展和显著成就。按照2 0 0 3 年“中国的电子政务年”的统计数据，电子政务应用整体 市场规模为3 3 2 1 亿元，其中政府对硬件产品采购额为2 2 2 6 亿元，软件产品采购额为 5 4 2 亿元，信息服务投资额为5 5 3 亿元，与2 0 0 2 年相比，分别增长了约3 3 9 亿元、 8 5 和1 0 1 亿元。从2 0 0 3 年以来，无论从整体规模、实际成效还是对i t 产业的拉动等 方面都有了较大进展。目前，包括人口、法人单位、宏观经济、地理信息在内的四大数 据库和以包括金财、金税、金盾、金审在内的十二金工程为代表的行业电子政务建设步 骤加快，投资力度加大，也取得了很好的社会效益。电子政务在政府实际工作中已经发 挥了越来越重要的作用。可以毫不夸张地说，现在如果缺少了电子信息技术这个手段， 或者说如果因为安全问题导致电子政务系统无法正常运行，大量的政府部门将完全无法 进行正常的丑作，将直接给地方的经济发展带来巨大的负面影响。 但是，国内外的实践表明，信息化程度愈高，信息安全问题就愈突出，信息安全保 障工作就愈加重要。然而，当前信息系统安全形势并不乐观，根据c e r t 的统计，近几年 来信息系统入侵事件几乎每年翻一番，2 0 0 0 年为2 1 7 5 6 起，2 0 0 1 年为5 2 6 5 8 起，2 0 0 2 年为8 2 0 9 4 起，2 0 0 3 年为1 3 7 5 2 9 起，其中某些事件涉及成百上千个系统。值得注意 的是，还有相当多的入侵事件未报告，甚至未被发现。据有关方面估计，目前我国5 5 以上的计算机受到病毒的感染，8 0 的中文网站缺乏完善的安全保护系统。1 对于电子政务这个日益增长大型分布式计算机网络而言，信息安全是一个需要格外 关注的问题。电子政务建设和使用过程中必然涉及到国家机密以及政务工作信息的安全 保护问题。在享受网络带给我们的便利的同时，严格控制对信息的访问权限、保证信息 的完整性对于政府来说是迫切需要解决的问题。网络的开放性必然带来信息失窃的隐患， 解决好信息共享与保密性、完整性的关系，开放性与保护隐私的关系，互联性与局部隔 离的关系，是实现安全的电子政务的前提。国家信息化领导小组在我国电子政务建设指 导意见“1 中将“统一标准，保障安全”作为电子政务建设的一项指导原则，指出应加快 制定统一的电子政务标准规范，大力推进统一标准的贯彻落实。要正确处理发展与安全 的关系，综合平衡成本和效益，一手抓电子政务建设，一手抓网络与信息安全，制定并 完善电子政务网络与信息安全保障体系。另外，我国各大电子政务系统建设项目对安全 问题也非常重视，项目方案中安全体系设计的内容也常常被作为项目招投标中考察和评 判的重点。近年来，电子政务相关法律、法规的制定和颁布更是将安全作为重点要求和 第1 页 国防科学技术大学研究生院学位论文 统互联安全的体系结构“1 ，提出设计安全的信息系统的基础架构中应该包含：五类安全 服务( 安全功能) 、能够对这五类安全服务提供支持的八类安全机制和普遍安全机制、需 要进行的三种o s i 安全管理方式。除此之外，i s 0 7 4 9 8 2 另一个贡献是把这些内容映射 到了o s i 的七层模型中。这个体系结构是国际上一个非常重要的安全技术架构基础。在 这种网络安全体系结构的指导下，近年来国内外许多网络安全研究机构和生产厂商，针 对t c p i p 协议集各层次上的安全隐患，不断推出新的安全协议、安全服务和产品。实际 上我们通过各种产品实现的保护措施，大都可以在这张表上找到相应的映射。 图1 1i s o7 4 9 8 2 安全架构三维图 1 9 8 9 年i s o 制定了i s 07 4 9 8 2 1 9 8 9 信息处理系统开放系统互连基本参考模型， 1 9 9 5 年我国将其采用为国家标准g b t9 3 8 7 2 一1 9 9 5 ，i s o7 4 9 8 2 中描述了开放系 统互联安全的体系结构( 如图1 1 ) ，提出设计安全的信息系统的基础架构中应该包含： 五类安全服务( 安全功能) ：鉴别，访问控制，数据完整性，数据保密性，抗抵赖。 能够对这五类安全服务提供支持的八类安全机制：加密，数字签名机制，访问控制 机制，数据完整性机制，鉴别交换机制，通信业务填充机制，路由选择控制机制，公证 机制和普遍安全机制：可信功能度，安全标记，事件检测，安全审计跟踪，安全恢复。 需要进行的三种0 s i 安全管理方式：即对系统安全，安全服务和安全机制的管理。 除此之外，i s 0 7 4 9 8 2 把这些内容映射到了0 s i 的七层模型中。这个体系结构是国 际上一个非常重要的安全技术架构基础。 1 3 2 国内安全技术体系方面的研究 文献“1 从安全角度为计算机网络建立了一个实体结构模型，该模型从实体组成的角 度而不是协议分层结构来看一个网络的安全体系结构，强调安全管理以安全政策为中心， 第3 页 国防科学技术_ 人学研究生院学位论文 罪的隐蔽性和高科技性，给侦破和审理带来了极大困难，再加上其他原因，导致执法部 门的打击力度有限，在法律的执行上还有不到位之处，一些违法情况及当事人还未得到 及时处理和制裁。 2 3电子政务系统常见的安全威胁分析 目前电子政务系统常见的安全威胁主要是以下几个方面：病毒危害、黑客攻击、数 据泄密、账号公用、口令设置不当、身份冒用、不当使用、不安全远程访问、隔离破坏、 一机两用等。 2 - 3 1 病毒危害 因为政务内网、政务外网、公共服务网的网络环境，都是采用t c p i p 协议而建立 的，因此在因特网上传播的病毒在电子政务网中都能够传播。由于政务内网有以下特点， 蠕虫病毒的传播比互联网更快：1 、相互之间信任，较少采取安全措施，实旌分区管理。 2 、采用全网可互通的i p 地址，较少采用网络地址转换( n a t ) 。3 、服务器分布比较分散， 缺少保护措施。4 、终端网络连接速率较高。在实证研究环境中，因入口防火墙故障停止 工作1 小时，即导致网内2 0 多台计算机感染蠕虫病毒。目前平均每天接到1 起病毒引起 计算机无法操作的报告。病毒感染一般是由于软件缺陷、配置不当和操作不当导致的。 危害结果主要是可用性受到影响，如计算机响应慢、软硬件系统损坏、网络带宽被占用 等。蠕虫对网络的影响更大，在我们的研究环境中发现，只要局域网内有一台机器感染 s q l 蠕虫王，就会引起路由器c p u 应用率达到1 0 0 ，导致整个网络不可用。其次是保密 性被破坏，部分病毒会在系统中留下后门，导致保密信息泄漏，部分邮件病毒甚至随机 选取文档发送到特定的地址或地址本中的随机地址，专门设计用于窃取信息的木马病毒 就更不用说了。完整性也受到损害，病毒感染文件本身就破坏了系统的完整性，病毒干 扰正常软件操作可能引起数据损坏。 2 3 2 黑客攻击 政务外网直接连接互联网，由于保存有比较多的信息，比较容易引起黑客攻击。同 时由于政务外网代表政府形象，国内黑客经常试图侵入政府网站以在圈内炫耀，而国外 的黑客则以攻击我国政府网站来破坏政府形象，如在2 0 0 1 年的中美黑客大战中，我国的 很多政府网站受到猛烈的攻击。然而，政务外网并没有太多敏感信息，被攻击后主要是 可用性受到影响，对保密性和完整性影响并不大。而政务内网则不同，按照政府的规定， 政务内网与互联网物理隔离，上网用户都是政府工作人员，i p 地址基本固定，发生攻击 后容易查到来源，因此无目的黑客的攻击发生的概率较小。然而，政务内网中保存有很 多保密信息，吸引间谍和有预谋的黑客的攻击，攻击者经常会混入政府工作人员队伍， 或以外来工作人员的身份来获得接入内网的机会，这种攻击一般强度很大，目的明确， 十分难以防范，也难以发现。攻击动机以获取机密信息为主，部分会有目的地对数据进 行修改，般不会破坏系统，影响系统正常运行。因此，内网黑客攻击的危害主要是保 密性被破坏，完整性在部分情况下受到损害，可用性一般不会受到损害。但是，在物理 第9 页 国防科学技术大学研究生院学位论文 隔离被破坏后，内网就会受到来自互联网的攻击，这种情况下保密性、完整性、可用性 都将受到严重损害。 2 3 3 数据泄密 数据泄密一般都发生在内网，一方面工作人员的安全知识参差不齐，部分人员缺乏 基本安全常识，另一方面，内网较少发生安全事故( 有的发生了黑客攻击也未发现) ，工 作时安全感较高，容易忽略保护，因此数据泄密的风险很大。数据泄密的风险之一是 ，i n d o w s 文件共享，很多计算机开设了共享，其中多数不设密码。在实证研究环境中， 对网络进行扫描发现了数十台计算机开设了无密码的共享，通知使用人员后仍有一些计 算机没有改正，部分是因为不重视，部分是因为不知道要怎样处理，其中一个单位在管 理员告诉他们在其计算机上发现了敏感的财务数据后才急忙取消了共享。w i n d o w s2 0 0 0 缺省情况下开设了所有硬盘的管理共享，在系统没有设密码时，通过这些共享可以读取 计算机上所有的文件。w i n d o w s9 5 、w i n d o w s9 8 、w 抽d o w sm e 情况稍好一点，不会自 动开设共享，然而，糟糕的是，系统有一个缺陷，通过这个缺陷可以直接获取共享目录 的密码，因此共享密码完全没有保护作用。在w i n d o w sx p 系统中，情况有了变化，系 统自带了防火墙，缺省情况下屏蔽了对文件共享的访问，但在安装s p 2 补丁包前防火墙 要用户手动启用，在安装s p 2 后防火墙自动启用，提供更高的安全性。w i n d o w sx p 有 一个目录共享向导，指导用户正确设置共享，可以配置防火墙允许指定i p 、本地子网或 所有计算机访问共享。数据泄密风险之二是移动存储。前几年，文件经常通过软盘传输， 最大的问题是存有涉密信息的软盘随意放置，保管不善，损坏后不经过处理就丢弃，导 致泄密。或由于软驱管理不严，外来人员可能通过软盘复制计算机内保密信息。现在， 这个问题更加严重，几乎所有的计算机都有u s b 接口，插入u s b 移动存储即可使用， 而且u s b 移动存储容量很大，几乎可以一次性复制走计算机内的全部文档。而w i n d o w s 的移动媒体自动播放功能更是起了助纣为孽的作用，通过编写一个复制文档的程序并放 到u s b 移动存储的主目录下，在该u s b 移动存储插入计算机u s b 接口时，w i n d o w s 自动执行该程序，完全无需人的干预，就可以将计算机内的全部文档复制到u s b 移动存 储中，所需的时间很短。据美国i t 顾问公司s h a r p i d e a s 创始人a b e u s h e r 称，他已写出 一套程序，只要苹果i p o d 与计算机相连，该程序就自动把计算机中的所有文档都拷贝到 i p o d 播放器中，平均时间只需6 5 秒钟。关于u s b 移动存储的另一个安全问题是，由于 u s b 移动存储比较贵，一般不会人手一个，有时为了复制文件，会借用他人的u s b 移 动存储，而用完后，经常忘记删除，导致保密文件随着u s b 移动存储到处“旅游”，而 由于w i n d o w s 的回收站策略，一般的删除也不过将文件移动到回收站，随时可以恢复。 数据泄密风险之三是嗅探风险，对网络上流过的数据进行窃听称为数据包嗅探，。内网的 通信一般不加密，在一个没有经过良好设计的网络中，几乎可以嗅探到所有的网络通信。 嗅探操作很容易，且极难发现。一般来说，进行嗅探的人都是有窃取机密数据的目的。 数据泄密当然是损害了保密性，对完整性和可用性影响不大。 2 3 4 账号公用 对多数电子政务网来说，总有一部分服务只提供给部分人员使用，限制其它人使用 最简便易行的方法就是传统的用户名密码组合。然而，这些电子政务网规模很大，特定 第1 0 页 国防科学技术大学研究生院学位论文 服务虽然只是部分人使用，人员数量仍然很多，不能做到每人一个账号。往往采取的措 施就是这部分人共用一个密码，或每个单位共用一个密码。有很多人知道的秘密就难以 保密，这些账号就流传出去，导致保密信息泄漏。如果通过账号登录后可以对信息进行 修改，一旦发生恶意修改，就很难确定由谁承担责任。账号公用损害了数据的保密性和 抗抵赖。 2 3 5口令设置不当 口令是安全工程目前面临的最大的应用问题之一。它是很多信息安全建立的基础 ( 通常都不太可靠) 。如果频繁使用( 这样口令就很牢靠地保留在记忆中) 并有连续的上 下文( 这样不同的口令不会在你的记忆里互相干扰) ，记住口令是可能的事情。但是在电 子政务系统中，某些人要访问很多的系统，对不常访问的系统选择口令时，上面两个条 件都不能满足。于是当他们在越来越多的电子系统中建立帐号时，就一次又一次地使用 相同的口令。不仅局外人可能猜测到，而且其它系统里的成员也可能采取攻击。信息保 密性面临的一个最严重的实际威胁就是，攻击者通过讲述一些似是而非的假话，可以从 有权访问的人那里直接得到口令。这种攻击名为社会工程。假的托辞电话经常能够得到 口令。有人以局长秘书的身份给系统管理员打电话，前一两次询问一些小事情；一旦管 理员相信了她的话，她就会找借口说急需高级口令。除非单位具有严密的策略，否则这 种攻击非常容易得逞。例如澳大利亚进行过一次系统的实验调查，向悉尼大学3 3 6 名计 算机科学专业的学生发出电子邮件，声称发现了一次可疑的闯入而需要”验证”口令数据 库，要求他们填写自己的口令。其中1 3 8 名学生填写了有效的口令。一些人有点怀疑： 3 0 人返回了看似正确而实际无效的口令，而2 0 0 多人在没有正式提醒的情况下更改了口 令。但是他们当中几乎没人向管理机构报告这份邮件。另一个口令的常见错误就是，没 有重设某些系统服务的默认口令。例如，很多计算机在安装后保持了缺省的空密码，在 我们的研究环境中，一名基层网络管理员管理的服务器在1 个月内3 次感染病毒而系统 崩溃，重装了3 次系统，最后我们分析问题时发现是s q ls e r v e r 未设置密码。这种事早 有先例，在2 0 世纪8 0 年代，一个非常畅销的拨号软件默认用户为9 9 9 9 9 9 和口令9 9 9 9 ， 还默认管理员名字为7 7 7 7 7 7 ，口令为7 7 7 7 。大部分使用该软件的站点都没有换口令，结 果很多网站都被黑掉了。未能换掉设备的默认口令已经影响到各种计算机、某些加密设 备。口令不当破坏了访问控制，对保密性、完整性和可用性都有影响。 2 3 6 身份冒用 在电子政务系统中，目前普遍缺乏好的数字签名措施，很多系统简单的设计为录入 姓名就表示签字，有些系统采用手写方式，还有一些系统则采用邮件的发送者来认证。 这些方案都是完全缺乏安全意识的设计者设计的，导致身份冒用极易发生。冒用者可以 简单的录入被冒用者的姓名，可以简单的将其它文件中的手写签名复制到想要伪造的文 件中，伪造邮件发送者也不是困难的事，除了可以通过嗅探和破解方式获得特定邮件账 号的访问权外，也可直接伪造邮件。身份冒用严重破坏了抗抵赖，阻碍了业务处理信息 化的进程。 第1 1 页 国防科学技术大学研究生院学位论文 2 3 7 不当使用 随着专网的使用人员增加，各种个人需求都冒出来，有的希望在网上看电影，有的 希望在网上听歌，还有的希望在网上玩网络游戏。于是就有人私自建立视频下载、m p 3 下载站点和游戏服务器，还有的甚至开展p 2 p 服务。由于政务网主干带宽低，终端带宽 高的特点，这些服务引起的流量经常会引起网络堵塞，影响正常业务的开展。如在某市 公安局政务内网中，局域网基本上是1 0 0 m 到桌面，而原来主干带宽只有4 m ，一次同 时接到几个业务部门报告网络丢包严重，业务无法进行，通过网络监控发现主干带宽使 用率持续达到1 0 0 ，开始以为是蠕虫病毒的影响，后来经过数据包分析发现是一台计 算机在进行与局域网以外的节点的b t 传输，经过对网络的检查，发现有2 0 多台计算机 上安装了b t 等p 2 p 软件。这些不当使用行为严重的破坏了系统的可用性。 2 3 8 不安全的远程接入 很多机关为了让缺乏租用电路的远程分支机构接入政务内网，建立了拨号接入网络， 很多时候由于需要访问网络的单位很多，往往使用公共账号。也有某些用户为了自己能 在下班后访问自己的计算机而安装了m o d e m 和远程控制软件，这部分人一般都是考虑 方便性，常常不设密码。这样就相当于在网络的保护层上戳了一个洞，给攻击者准备了 一个方便进出的后门，主干上采用多么严密的防护措施都没有用。很多人认为供击者不 会知道拨号接入的电话号码，这是因为他们不知道战争拨号机( w a rd i a l e r s ) 这个软件。 w a rd i a l e r s 的原理很简单，首先它用升序或随机的方式拨接一系列的电话号码，一旦发 现隐藏的m o d c m 就能拨号进入系统，并能破解容易猜的密码。战争拨号机对于没有设 定密码又使用远程控制软件的个人电脑，可说是百发百中。同时，在电子政务系统中使 用的拨号接入往往没有采取加密措旌，容易被窃听，包括访问密码和保密信息都存在很 大的风险。不安全的拨号访问对电子政务内网的保密性和完整性有很大的影响。 2 3 9隔离破坏 从目前电子政务网的情况来看，应该说对物理隔离的破坏是危害最大的安全损害。 按照电子政务的安全规定，政务内网与政务外网物理隔离，政务外网与因特网逻辑隔离， 很多的安全保护都基于这一假设，一旦物理隔离被破坏，电子政务网的安全将大打折扣。 由于电子政务网规模都很大，入网单位和使用的人员很多，部分单位为了使用上的方便 无视规定，将政务内网与因特网直接相连，有的甚至连基本的逻辑隔离措施都没有，还 有的使用人员在连接内网的同时接入因特网( 采取m o d e m 拨号、a d s l 拨号、双网卡等方 式) 。这些行为都严重破坏了物理隔离，一个点连接因特网等于把全国所有的电子政务内 网接入了因特网( 各个电子政务内网都有互联的需要，按照规定，不同的电子政务内网 之间逻辑隔离) ，相当于把保密信息送到攻击者的面前，同时也导致内部信息发送到外部。 破坏物理隔离对电子政务内网的保密性影响极大，对可用性和完整性也有很大的影响。 2 3 1 0 一机两用 一机两用指电子政务内网的计算机设备未采取安全措施的情况下断开电子政务内 网连结单独接入互联网的操作。一机两用与隔离破坏的差别主要是一个是分时连接政务 内网和因特网，另一个是同时连接政务内网和因特网，有的安全人员将两种情况统称为 第1 2 页 国防科学技术大学研究生院学位论文 一机两用，我认为产生的危害大不相同，应该要区分开来。一机两用主要是给因特网上 的病毒、蠕虫和木马进入政务内网提供了通道。虽然一机两用不会形成政务内网到因特 网的直接通道，但还是造成潜在的泄密问题。一是发生一机两用行为的计算机上存有机 密信息或机密信息的残存碎片可能被攻击者获取；二是攻击者可以编写一个木马程序， 在计算机连接因特网时植入，返回政务内网后收集保密信息，在计算机再次连接因特网 时发送给攻击者。如果说对物理隔离的破坏是对电子政务系统危害最大的安全损害，一 机两用则出现得最多安全损害。很多人没有意识到一机两用的危害，随意的进行内网与 因特网的切换，笔记本电脑等移动设备更是如此。在一个大型的电子政务内网中，几乎 时刻都有一机两用行为的发生。一机两用主要危害电子政务内网的是保密性和可用性。 2 4 安全体系结构设计 电子政务系统存在观念、技术、管理、法律等4 个方面信息安全风险，病毒危害、 黑客攻击、数据泄密、账号公用、口令设置不当、身份冒用、不当使用、不安全远程访 问、隔离破坏、一机两用等常见安全问题。因此，要保证电子政务这种大型分布式信息 系统的信息安全，必须建立一个完整的多层次的安全体系结构，避免遗漏的薄弱环节导 致整个安全体系的崩溃。 为抵御观念、技术、管理、法律4 个方面信息安全风险，我们认为这个多层次的安 全体系结构应该由组织体系、技术体系、管理体系、法律体系组成。在这四个体系中， 由于任何安全管理或者技术手段都离不开人员的实施和组织，因此组织体系是该多层安 全体系结构的核心。安全管理或者技术手段的实旌和组织必须遵守相关的法律法规，因 此，法律体系是紧靠核心的第二层。而安全管理是组织体系进行技术体系实施和管理的 具体操作，因此管理结构是整个体系中的第三层，它是具有承上启下作用的重要一环。 缺乏良好的安全管理结构体系，即使了构建优秀的技术结构，仍然会面对无法有效管理 使用的窘境，从而造成大量的资源浪费，也达不到既定的安全目标。技术结构是具体的 各种安全功能和需求的技术实现，如防火墙，入侵检测，防病毒等技术和产品都是通过 不同的方式满足o s i 模型中五种技术能力的要求。图2 1 是多层安全体系结构中四种体 系之间的关系。在本文的后续章节中我们将对四种体系分别进行研究。 第1 3 页 国防科学技术大学研究生院学位论文 图2 1 多层安全体系结构 第1 4 页 国防科学技术大学研究生院学位论文 安全决策层 安全管理层 安全执行层 首京信息主管 安全专家小组安全领导小组安全指导小组 ll lj 电子政务安全管理办公室应急响应中心 j 安全工作小组 图3 1 分层信息安全组织机构 安全依赖于人及其专业水平和合作态度。在庞大的政府机构中，有许多l t 技术人员 和业务专家，他们掌握各种高新技术，对i t 系统的建设起着重要作用。怎样协调涉及专 业领域如此广泛的庞大员工队伍，对于首席信息官来说是一种严峻挑战，共享的i t 基础 设施和巨大的应用工作量使这种挑战进一步复杂化了。要想应对这样的局面，首席信息 官必须寻求制定一整套前后连贯的设计原则和标准处理方法，并根据信息管理原则做出 技术选择。 3 2 法律保障策略研究 电子政务的安全保障作为维护网络空间秩序的一部分，要有相关的规范，保障与协 调各网络应用主体利益关系，要以保障现实世界的秩序为目的，尤其是政府的行政办公 行为秩序。制止和预防网络主体滥用网络信息来损害现实社会秩序，如国家安全、社会 稳定等，因此其安全问题业已成为各国政府及社会普遍关注的法律问题。电子政务作为 信息化服务存在于i n t e m e t 中就必然受到传统型与新兴的网络犯罪的威胁，重大的安全 性破坏事故、黑客破坏活动、软件病毒、电子洗钱等也不可避免的来光顾这片崭新的温 床。原有的网络安全方面的法律虽然仍在很大程度上保障着网络系统的实体安全( 网络硬 件的环境安全和设备安全) 和系统的运行安全( 非法侵入，擅自中断网络通信服务等) ，但 对在不断发展的信息技术中飞速成长的电子政务来说，其对信息内容的安全性不断提出 的更多的要求，更高的标准，原有法律的周延性已不能适应，尤其在电子文档、c a 认 证的法制化、规范化、安全化等方面的立法的空白更加凸现出来。而现实中政务电子化 的安全形势是严峻的，据有关材料报道，2 0 0 1 年中美黑客大战期间遭受攻击的我国大陆 第1 7 页 国防科学技术大学研究生院学位论文 网站中，政府网站占4 1 5 ；9 5 的i n t e m e t 相关的网管中心遭受到黑客的攻击；i n t e m e t 加快了泄密速度，扩大了泄密范围，网络泄密案件已占总泄密案件的l 3 ；中央国家部 委的涉及国家秘密的网络有1 2 以上未达到国家规定的安全保密要求。在如此严峻的形 势面前，更应该加大现有相关法律的执法力度加强法律干预的规范、调节作用；尤其要 加强新的形势下针对电子政务特点的立法工作，这既是网络主体维护自己的权利，同网 络犯罪斗争的孺要；也是教育公众守法，自觉维护网络信息安全的需要；更是促进电子 政务健康发展的需要。 3 2 1 我国计算机安全立法 在我国，信息网络化普及比较晚，但发展迅速，网络安全方面的立法发展也很快。 自1 9 9 4 年我国颁布了第一部有关信息安全的行政法规中华人民共和国计算机信息系统 安全保护条例以来。一系列法规相继产生，国务院于1 9 9 6 年发布了中华人民共和国 计算机信息网络国际联网管理暂行规定，公安部于1 9 9 7 年发布了计算机信息网络国 际联网安全保护管理办法，在1 9 9 8 年，国务院信息化专业领导小组发布了计算机信 息网络国际联网管理暂行规定实施办法，国家保密局发布了计算机信息系统保密管理 暂行规定，公安部、中国人民银行发布了金融机构计算机信息系统安全保护工作暂行 规定等等【10 1 。 中华人民共和国电子签名法于今年4 月开始正式实施，这是中国信息化领域的 第一部法律。这部法律为电子商务和电子政务的发展创造了良好的法律环境，同时也为 电子认证服务业的发展提供了法律保障，为中国电子商务安全认证体系和网络信任体系 的建立奠定了基础。电子签名法通过确立电子签名的法律效力，规范电子签名行为，维 护有关各方合法权益，在法律制度上保障了电子交易安全，是中国信息化立法的一个突 破。第三方电子认证是保障电子签名符合有效、合法条件的重要手段。信息产业部发布 的电子认证服务管理办法是电子签名法的重要配套规章之一。 此外，修订后的刑法第2 8 5 ，2 8 6 ，2 8 7 条对非法侵人计算机信息系统罪、破坏 计算机信息系统罪以及利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家机 密等犯罪行为，作出了相应的规定。全国人民代表大会常务委员会于2 0 0 1 年1 2 月2 6 通过了关于维护互联网安全的决定，第一次在对网络犯罪进行了较为系统的法律界定， 进一步明确对利用互联网犯罪予以惩处的刑罚适用范围和各执法机关的分工问题。 3 2 2 国外的计算机安全立法及其特征分析 在互联网技术发展较为发达的欧美国家，网络安全立法的起步较早，美国1 9 7 8 年通 过了第一个计算机犯罪法，并于1 9 8 3 年正式发布桔皮书，建立了有关计算机安全的 重要概念，并先后颁布了一系列法律法规，对以计算机为对象进行的犯罪活动规定了十 分严厉的惩罚；1 9 8 4 年美国颁布第一部联邦计算机犯罪成文法伪装进入设施和计算机 欺诈及滥用法，1 9 8 6 年又颁布了计算机欺诈和滥用法，对上一部法律进行了修订， 主要打击未经许可而故意进人国家计算机系统的行为。1 9 8 7 年通过了计算机安全法， 1 9 9 6 年又发布了使用电子媒介作传递用途的声明，明确了电子传递的文件的法律效 力。 英国有关网络安全的法律有1 9 8 4 年的资料保护法及侦察及刑事证据法前者 第1 8 页 国防科学技术大学研究生院学位论文 是有关计算机犯罪的实体法，后者则是规定有关计算机资料取证，打击网络犯罪的程序 法。英国在1 9 9 0 年颁布的计算机滥用法同美国的计算机欺诈和谧用法一样对计 算机运行的安全问题进行了较为全面的规定。 作为大陆法系的德、法等国，对计算机网络安全方面的立法主要体现在对原有法律的修 正上。德国自2 0 世纪8 0 年代以来，加强了对该国刑法的修正，加人有关防治计算机犯 罪，维护计算机运行与信息安全的若干规定，主要有计算机欺诈罪、资料伪造罪、资料 刺探罪、资料变更罪、计算机破坏罪等规定，并对计算机资料与程序纳人法律保护的实 体范畴。 法国维护互联网安全的相关立法主要体现在1 9 9 2 年通过1 9 9 4 年开始施行的法国 刑法典中，该法规定了“侵犯资料自动处理系统罪”，对侵入计算机系统，妨害资料处 理，非法输人、取消、变更资料，破坏网络运行及信息安全的行为，制定了相应的处罚 规定，并对相关的法人犯罪、未遂犯的处罚进行了较为详实的规定。 近几年来，亚太国家和地区的网站，尤其是政府网站不断遭受黑客攻击和非法人侵， 严重影响了网络运行和信息的安全、经济和社会秩序的稳定。面对网络安全的严峻形势， 亚太地区不断出台了相应的技术安全规范，制定了相关配套法律，弥补了原有传统法律 在诉讼和规范制约方面的不足。 日本在其科技厅等几个重要政府网站被黑客人侵并篡改了页面内容后。加快了电 脑不正当入侵禁止法的实施力度。香港特区对破坏网络信息安全的行为客以重刑处罚。 新加坡更是将网络安全写入国防报告，在其国防政策报告2 1 世纪新加坡防卫政策中， 将信息安全提高到战略地位高度。 综观各国信息安全法律政策，其主要特征有： 1 以国家信息安全的组织保障为原则 各国在其信息安全法律政策中，无不明确规定了国家信息安全工作的管理机构以及 各个机构的职责范围。在各个层次上都力求做到分工负责、各司其责。如美国的计算机 安全法明确规定，由商务部所属的国家标准和技术局( n i s t ) 负责有关敏感信息的信息 安全工作，具体负责主持制定和推广计算机安全标准和指导方针，为联邦政府解决各种信 息安全问题，其中包括安全规划、风险管理、应急计划、安全教育培训、网络安全加密技 术、身份认证、智能卡应用、计算机病毒检测与防治等等；由国防部所属的国家安全局 ( n s a ) 负责例如“国家安全系统”，即由政府及其合同单位或代理机构管理的信息系统中 保密信息的信息安全工作，其中包括国家保密信息、美国宪法2 3 1 5 款第1 0 2 项( w a r n 卉修 正案) 规定的信息、涉及谍报( i n t e l l i g e n c e ) 的信息、涉及与国家安全有关的秘密活动 ( c r y p t 1 0 9 i c ) 的信息、涉及军队指挥和控制的信息、涉及属于武器和武器系统设备的信 息以及对于完成军事或情报任务至关重要的设备的信息等等。 2 以国家信息安全的全面保障为基础 信息安全是个巨大的系统工程，需要各方面力量的综合协调，更需要涉及信息活动的 人员、信息系统的实体、信息系统的运行和系统中的信息的安全。因此，信息安全保障应 当以全面、严密为基础。如美国政府关于国家信息安全保障的行动策略主要有，制定信息 资源安全管理的全面政策。实施风险评估、安全规划、运行安全和各种验证的方法；出版 了信息系统安全产品和服务目录；对信息系统的各个环节以及各机构信息安全管理工 作的效率加以评估；全力支持对安全措施的投入；协调各个机构的信息安全工作；监督政府 第1 9 页 国防科学技术大学研究生院学位论文 安垒体系有关标准 洲雕排| i | | 雕| | | l l 洲川洲| 图3 2 安全体系的有关标准 3 2 3 完善我国信息安全法律保障体系的建议 虽然我国已颁布相当数量的信息安全方面的法律规范，但立法层次不高，现行的有 关信息安全的法律规范大多只是国务院制定的行政法规或国务院部委制定的行政规章； 法律规定之间不统一；立法理念和立法技术相对滞后等，因此要进一步完善我国信息安 全的法律保障体系应当做到： l 、确立科学的信息安全法律保护理念 为了使国家的政策法律能够适应社会存在的现实和需求，需要确立起法制建设要保 障和促进国家的信息化发展、法制建设为社会信息化发展提供全面服务的指导思想，修 正传统的立法理念，从彻底改革国家传统的经济体制和保障机制入手，改变落后的调整 方法，把信息安全法制保障的重点从单纯的“规范”、“控制”转移到首先为信息化的建 设与发展“扫清障碍”上来，以规范发展达到保障发展，由保障发展实现促进发展，构 筑促进国家信息化发展的社会环境，形成适于信息网络安全实际需要的法治文化。 2 、构建完备的信息安全法律体系 信息化的社会秩序主要由三个基础层面的内容所构成，即信息社会活动的公共需求， 信息社会生活的基本支柱和信息社会所特有的社会关系。信息社会活动的公共需求是往 往以政府意志的形式代为表现的社会公众的共同意愿，其主要包括国家信息化建设的基 本目标、发展纲领、建设规划、行动策略、工作计划等等，是指导国家信息化发展的基 本内容，也是国家信息化建设的公共需求；信息社会生活的基本支柱是由信息化的技术 属性所决定的、国家信息化建设赖以萌芽、生成和发展的信息技术及其应用，包括计算 机技术、网络技术、通信技术、安全技术、电子商务技术等等，它是信息社会生活必不 可少的基本支柱；信息社会所特有的社会关系是指在国家信息化建设的过程中，参与其 第2 1 页 咽饕 国防科学技术大学研究生院学位论文 中的各个主体之间由于其信息化活动而产生的各种社会关系，具体将表现为相应的法律 关系，其中主要包括信息民事法律关系、信息刑事法律关系、信息经济法律关系、信息 行政法律关系、信息科技法律关系以及信息社会所特有的各种法律关系。与之相适应， 国家信息化建设所应有的政策法律环境也就必然是由对应的指导政策、技术标准和法律 规范等三项内容所共同构建的三位一体的且能够发挥促进、激励和规范作用的有机的体 系。 3 、强化超前的信息安全法律效率 信息技术突飞猛进，信息安全政策、法律的促进作用不应仅仅是被动适应和滞后， 在国家信息化建设中，更多地还应表现为对技术的主动规范性和前瞻性。信息安全政策 法律必须促进信息技术的进步，因此要强化超前的信息安全政策法律的效率。在制订政 策和刨设法律时应当借鉴国际社会关于“技术中立”的主流思想，注意政策和法律符合 技术的特殊要求，同时为技术的发展和完善预留空间，排除可能窒息技术发展的可能性， 提高法律自身对信息社会的适应性。在具体做法上，则可以吸取外国的“明示式”和“开 放式”立法模式中有益的成分，参照“准则式”的立法模式解决技术和法律之间的矛盾， 鼓励技术创新，开发自主的知识产权，加强技术标准体系的建立和完善，提高国家信息 法律规范的效率。 4 、主动融入国际信息安全的法律体系 世界经济一体化，使得“法律全球化不仅有条件，有可能，而且有必要，更是一种 发展趋势”。由于信息化是建筑在例如因特网的国际互联基础之上，人类信息社会是全球 范围内的各国一体的信息化。因此，信息的政策和法律就必然具有国际化的属性，具体 表现为有关的“国际游戏规则”。我们在制订政策和法律的时候，要特别注意和现有的国 际规则的兼容包括在立法思想、方式方法上和其体法律规定等各方面的相互兼容；要积 极主动地参与国际规则的创设，以维护我国的实际利益。在主动参与和合作、促进、创 设的过程中，真正地主动融入国际大环境。 第2 2 页 国防科学技术大学研究生院学位论文 表4 4e q l 设备层安全分级表 、 级别 因素 12345 专用服务器与计算机 镜像硬盘 镜像服务器 防火墙 路由器 网关与代理服务器 4 1 4 日常管理层d m l 它以执守时间间隔、维护间隔和数据备份间隔为划分依据分为5 级。它体现了各种 级别下的日常管理方式( 见表4 5 ) 。 表4 5d m l 日常管理层安全分级表 级别 因素 1 23 4 5 2 4 小时不断监守 执守每6 小时 问隔每1 2 小时 每2 4 小时 维护 故障立即处理2 0 分钟内 恢复运行 间隔 故障6 小时内恢复运行 数据 同 备份半月 间隔 月 4 1 5 教育与培训层e d l 它体现了各安全级别对管理人员业务水平的要求( 见表4 6 ) 。这里体现了安全级别越 低，所要求的人员素质越高。也就是说，采用高管理、高的人员素质和高的安全设备保 证不安全服务的正常进行( 参照e q l 和d m l ) 。 第2 6 页 国防科学技术大学研究生院学位论文 表4 6e d l 教育与培训层安全分级表 级别 因素 123 4 5 操作系统的使用知识 网络知识 安全知识 工作制度知识 软件安装知识 计算机系统知识 4 2 多层等级安全管理模型应用实例 图4 2 所示为一个某市公安局的公共服务系统。为外部公众服务的w 曲和f t p 服务 器分别工作在1 级和2 级安全下，它们和i n t e m e t 相连，内部数据通过内部公共数据服 务器与它们相连，传递的数据为w 曲服务器需要发布的信息。内部公共数据服务器工作 于3 级安全下，该服务器实际上是一个双穴主机( 代理服务器) 一面通过物理隔离网闸与 内网交换机相连，另一面与外部w 曲服务器相连。内部专用数据服务器和内部专用网络 工作于4 级安全下。 图4 2 某市公安局的公共服务系统 这里以l 级和4 级的情况为例进行说明。 1 级：它提供公众w e b 服务。由于面对的用户范围很大、身份复杂，并且具有不确 定性，所以大部分用户以匿名方式使用该服务。由于用户端的软件系统的多样性，所以 第2 7 页 国防科学技术大学研究生院学位论文 通信协议也必须是多样的。同样，数据加密也不可能全部实施( 因为匿名用户的服务本身 是公开的) ，用户认证和数字签名也无法进行。所以从技术层来看，它只能是最低等的安 全级。由表4 3 、表4 4 和表4 5 可以看出，1 级所对应的e o l 层、d m l 层和e d l 层所 实施的安全管理最复杂的，这就体现了在低技术安全级下，为保证正常运行应当使用高 素质的管理人员、高安全保证的网络设备和严格的日常管理。在1 级安全下，并不十分 强调系统的不易攻破性( 保密性) ，更强调攻破后的快速处理( 完整性和可用性) ，以达 到最大下限度的正常运行。 这就是多层分级安全管理模型强调应用和运行的特点。 4 级：这个安全级上运行的系统是电子政务内网。首先，它所服务的用户不广，用 户相对固定，便于实现较为严格的访问控制，同时，用户的认证可以采取数字签名和加 密手段。在电子政务内网中的用户基本上是公安系统内部用户，可以通过安全教育提高 安全意识，通过提供专用客户端软件来实现加密通信，可以设定户名和密码防止未授权 人员进入保密的应用系统。其次，在服务器上可以实现单协议的通信系统。比方说使用 某种安全性较好的协议并在此基础上开发网络层和数据链路层的加密传输程序等。 综上所述，在这一级别上可以使用各种安全技术手段，因此它的技术安全层的安全 级是很高的。它具有较高的不被攻破性，运行也会十分可靠。相对的对其它层的同级的 要求就降低了。 依照多层分级安全管理模型开展安全管理工作，可使各种应用在不同的安全级别下 运行，一方面，满足了各种不同应用对数据安全的需要；另一方面，更容易确定各种应 用需要采取的安全措施。 第2 8 页 国防科学技术大学研究生院学位论文 第五章电子政务系统安全技术体系结构研究 信息安全遵循“木桶原理”，即一个木桶的容积决定于组成它的最短的一块木板， 一个系统的安全强度等于它最薄弱环节的安全强度。因此，电子政务这种大型分布式信 息系统必须建立在一个完整的多层次的安全技术体系之上，避免遗漏的薄弱环节导致整 个安全体系的崩溃。到目前为止，通过整体分析建立系统级安全模型的研究还非常有限。 大多数的技术、协议和模型只将注意力集中在一个非常特定的范围。 按照文献“”的研究，电子政务系统是工作流程都是预先设计好的，操作使用的角色 是确定的，应用范围和边界都是明确的工作流程相对固定的生产系统。在本章中，我们 通过将工作流实体与o s i 模型的五种安全服务结合起来产生一个清晰定义的分层结构， 从而建立一个多层安全技术模型，从技术方面来解决电子政务的安全问题。 5 1 安全服务 按照通常的定义，安全主要分为三个方面：保密性、完整性和有效性。保密性防 止信息泄漏，完整性防止对信息的未授权修改，可用性避免信息丢失。然而，保密性是 先前对安全技术研究的主要焦点，它是安全三个基本方面的基础“。但是，忽视安全三 个基本方面的任何一个方面都将要导致不充分的安全。换句话说，如果这三个方面都得 到满足，系统就可以达到一个安全的状态。 在保密性、完整性和可用性之外，i s 07 4 9 8 2 又标出一些类型的安全服务和机制。 i s 07 4 9 8 2 标准定义了五种安全服务：鉴别，访问控制，数据完整性，数据保密性，抗 抵赖。标准将抗抵赖和存取控制增加到安全的范围。存取控制已经得到安全人员的充分 研究，在事务处理系统广泛的投入应用后，抗抵赖也越来越多的得到重视。 要确保一个系统的安全，全面构建这五种安全服务所形成的安全基础十分重要，这 五种安全服务应在设计阶段、实现和维护阶段都应该得到保证。 很多现存的安全技术通常提供一至两种服务，研究文献“3 1 指出了关于他们的系统 领域的一些技术的有用效性。这些技术应