电子政务信息安全解决方案研究.doc

电子政务信息安全解决方案研究摘要：作为政府信息化工程的重要组成部分，电子政务在我国的发展已初具规模。由于政务信息的敏感性和保密性要求，以及网络平台的安全性影响，电子政务信息系统的安全保障是至关重要的。电子政务信息系统的安全保障涉及到网络技术、系统功能、 人员管理、法制法规等诸多因素，必须形成全面、规范、有执行力的保障机制。关键字：电子政务，信息安全，解决方案1 引言近年来，以互联网技术为承载主体的信息技术的飞速发， 引发了一场深刻的生产和生活方式变，极大地推动着经济和社会的发展。作为信息高速公路五个应用领域中的首要应用，电子政府/电子政务在全球范围内受到广泛的重视，政府上网、政府工作电子化势在必行，政府信息化已成为经济信息化和社会信息化的前提，电子政务将是未来国家核心竞争力的重要因素之一。所谓电子政务是指政府机构运用现代信息技术，在组织机构管理和服务职能实现上突破时间、空间和部门分隔的限制，形成精简高效、廉洁公平的政府运作模式。电子政务模型可简单分为两方面：部门内部的网络办公平台和各部门与社会各界之间的网络信息沟通平台。因此，电子政务实施过程中的首要问题 便是如何保障信息安全。如果信息安全不能得以保障，轻则影响电子政务信息系统正常功能的运转，重则破坏政府的公众形象甚至对社会的团结稳定产生危害。2 电子政务面临的网络安全戚胁电子政务是党委、政府、人大、政协及行政管理机构有效决策、管理、服务的重要手段电子政务信息系统也必然会成为信息间谍、敌对势力、恐怖集团、国家之间信息战攻击的目标。因此构建电子政务信息安全保障体系，事关国家政治、经济、国防安全和民族信息产业发展的全局。电子政务面临的网络安全威胁因素有：1计算机系统的脆弱性计算机系统本身无法抵御自然灾害的破坏，也难以避免偶然无意造成的危害。如水、火、地震的破坏及环境(温度、振动、冲击、污染)的影响以及硬件设备故障，突然断电或电源波动以及各种误操作等危害。这些危害有的会损害系统设备，有的则会丢失或破坏数据。甚至毁掉整个系统和数据。2网络技术的缺陷性(1)先天的安全隐患在物理通路上网络通信线路一般是电话线、专线、微波、光缆或无线系统，这些线路易遭受物理破坏易被搭线窃听，无线通信易遭截获、监听等等。网络规模越大，通信线路越长，这种弱点也随之增加。电子政务内网，政务外网、公共服务网的网络环境，都是采用TCPIP协议而建立的。该协议以开放和自由为基础，从协议规划、服务模式、网络管理等方面均缺乏安全性设计。计算机应用系统自身的缺陷相当多，如windows net和Netware就存在严重的安全漏洞，使入侵者有不少空子可钻。另外数据库服务器、电子邮件服务器、web服务器等应用平台也存在大量的安全隐患。(2)网络的外部威胁系统外部非法用户如信息间谍的潜入窃密，网络黑客的攻击篡改恐怖集团的销毁破坏等使数据遭到窃取、假冒、抵赖或销毁，从而造成政府网络无法工作。具体表现有下面三方面：一是非法使用资源。入侵者滥用和盗用计算机资源、网络连接服务等资源，并查阅数据、访问机密文件等信息资源。二是恶意破坏。非法进入者对系统或数据文件进行破坏，包括修改数据信息破坏硬件传送附带破坏性病毒的文件等，还可以设置”定时炸弹”进行要挟攻击敲诈勒索。这些恶意破坏造成系统瘫痪，文件无效或消失使电子政府中断对用户提供的服务。三是盗窃数据。黑客进入网络，盗走任何有价值的东西，包括金融数据、机密文件以及其他敏感的数据信息等。3信息管理的可腐败性管理规范不到位：例如，微机或工作站管理人员在开机状态下擅离岗位，敏感信息临时存放在本地的磁盘上，而这些信息处于未保护状态这种管理上的不严格极易给他人提供冒充的机会。另外内部用户随意利用办公终端与lnternet联接，使网络罪犯有机可乘。许多网络犯罪行为尤其是非法操作都是利用联网的电脑管理制度上的漏洞而得逞的。组织管理不完善：如部分网络管理者(内部人员)很容易以某一用户的身份登录、查看和复制用户的信息甚至利用管理用户的地址目录之便，以用户的名义发送报文非法窃取、篡改、隐瞒、抵赖、销毁权限之外的信息，造成系统无法正常工作甚至瘫痪。根据公安部门的报告，作案人员往往是利用管理上的漏洞而且内部人员居多。4技术性缺陷1) 基础网络：首先，无论是有线还是无线网络，其通信线路如电缆、微波等，都易遭物理破坏，或易被搭线窃听，或易遭截获、监听等。其次，网络拓扑结构设计不合理或缺乏可扩展性，很可能一个结点遭破坏导致整个系统瘫痪。2) 操作系统和数据库 ：目前所使用的计算机网络操作系统，多偏重于考虑系统使用的方便性，其结构和代码设计相对在系统的安全机制上考虑还不够精细 或多或少存在些安全漏洞，数据库管理系统基于分级理念对数据库进行管理，同时数据库管理系统的安全必须与操作系统的安全相配套，这样系统的安全又出现一些不稳定因素。3) 应用平台：为便于在应用层面进行定期维护或升级，在开发电子政务信息系统的应用功能时，往往有可能留有所谓的“后门”一旦被非法人员发现，破坏性有可能波及整个系统。5法律法规的滞后性虽然，我国针对电脑病毒、信息侵权和网络犯罪等非法信息行为制定了一些网络安全相关的法律法规，但现行政策法规仍难以适应网络发展的需要，信息立法还存在相当多的空白。诸如个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等数字经济正常运作所需的配套法规急需予以制定。由于法规不健全，信息市场交易秩序的维护、信息犯罪的惩处等无法可依，使信息犯罪有空子可钻。另一方面，由于网络作案手段新、时间短、不留痕迹等特点，给网上犯罪案件的侦破和审理带来了极大的困难。6保障意识的非系统性有的政府系统在系统建设中没有统一规范的安全构想更没有建立完善的安全体系结构：从硬件采购、网络布线、采用的操作系统、应用系统的开发、系统被非法访问等方面都没有把安全问题考虑进去或考虑得很少。因此这些政府系统难以抵御防范上述威胁。3电子政务信息安全解决策略目前我国电子政务安全采取“国家推动、社会参与、全局治理、积极防御、等级保护、保障发展“的策略。鉴于电子政务的信息安全面临的是一场高技术的对抗，是一场综合性斗争，涉及法律、管理、标准、技术、产品、服务和基础设施诸多领域，所以电子政务安全还要从全局来构建其安全保障的体系框架，以保障电子政务的健康发展。1健全法律与政策，加强法律监管电子政务的工作内容和工作流程涉及到国家秘密与核心政务它的安全关系到国家的主权、国家的安全和公众益，所以电子政务的安全实施和保障，必须以国家法规形式将其固化，形成全国共同遵守的规约成为电子政务实施和运行的行为准则，成为电子政务国际交往的重要依据。其目的在于保护守法者和依法者的合法权益为司法和执法者提供法律依据对违法、犯法者形成强大的威慑。因此，制订相应的法规，适度的解密和规范开放的规则，保护政府部门问信息的正常交流，保护社会公众对信息的合法享用，打破对政务信息资源的垄断和封锁，提高政府行政透明度和民主进程，是非常有利的和必要的。再完美的电子政务信息系统也可能出现内部使用的疏忽或遭受外来的恶意攻击,只有将网络技术和网络法律法规结合起来并与国际立法规则相兼容,才能在发生问题后有法可依,建议制定专门的电子政务信息系统安全法。一是用以规范电子政务中的信息安全技术范畴，二是对破坏电子政务信息安全的行为如何处罚要从法律意义上制定专门的规定。2强化组织与管理电子政务安全管理涉及到国家安全部、国家保密局、国家密码管理委员会、信息产业部等许多国家安全职能部门其安全管理职能的协调需要由国家信息化领导机构来进行。各地区和部委建立相应的信息安全管理机构，以完成和强化信息安全的管理，形成自上而下的信息安全管理组织体系，是电子政务安全实施的必要条件。同时，政府相关部门必须制订颁发电子政务安全相关的各项管理条例，以及时指导电子政务建设的各种行为保障电子政务系统建设全程的安全和安全管理工作的程序化和制度化。根据管理需求，可以对电子政务系统信息内容实施安全监控管理以保护政务信息安全，防止由于内部违规或外部入侵可能造成的网络泄密，同时也阻止有害信息内容在政务网上传播。3制订标准与规范信息安全标准有利于安全产品的规范化，有利于保证产品安全可信性、实现产品的互联和互操作性以支持电子政务系统的互联、更新和可扩展性，支持系统安全的测评与评估保障电子政务系统的安全可靠。因此，制订信息安全标准以及安全产品的规范便显得尤为重要。4纵深保障与服务在电子政务的系统建设中，要构建其技术安全保障架构对大型电子政务系统要建立纵深防御体系：进而设置政务内网的安全与控制策略、政务外网的安全与控制策略，进入互联网的安全服务与控制策略、租用公网干线的安全服务与控制策略、政务计算环境的安全服务与机制。采用纵深防御和多级设防，是电子政务安全保障的重要原则，通过全局性的安全防护、安全检测、快速响应、集成的安全管理与安全设施的联动控制，以达到系统具有防护、检测、反应与恢复能力。5创新技术与产品由于电子政务的国家涉密性，电子政务系统工程的安全保障需要各种有自主知识产权的信息安全技术和产品要不断地加强安全技术和产品的自主研制和创新；它们涉及到安全操作系统、安全硬件平台、安全数据库、PKICA、PMI、VPN、安全网关、防火墙、数据加密机入侵检测(1DS)、漏洞扫描、计算机病毒防治工具、强审计工具、安全Web、安全邮件、安全设施集成管理平台、内容识别和过滤产品、安全备份、电磁泄漏防护、安全隔离客户机、安全网闸等。6.用户应用安全电子政务中，由于管理和使用不当造成的安全问题愈七成，因此加强人员对系统使用的安全意识，尤为重要。首先在系统投入使用前，必须对所有人员进行技术培训。其次，在使用过程中，也应有针对性的就系统变更等问题与工作人员进行双向交流 其它还需特别注意的地方有：1) 管理员职责：管理员账户本身最易受到黑客攻击，定期更换账户及密码，是提高安全性的有效措施。同时，尽量不开放 Guest账户，对其他用户严格划定访问权限和资源使用权限；定期检查用户IP地址范围，用户使用系统的频率和内容，发现异常及时封锁IP或相应用户账号。2) 普通用户：在内部子网中不应开放共享目录。如有经常交换信息需求的用户，在共享时必须加上必要的口令认证机制。现在更为常见的方式是给用户配备 USB 安全密钥或者经第三方CA认证,可用来进行数字签名和验证签名,确保通讯双方的真实身份,兼具真实性和不可抵赖性,保障政务的安全传送和处理。7.系统运行环境安全1) 网络分级隔离：外网与内网和专网进行物理隔离，内网与专网、外网与 Internet 之间则采用逻辑隔离。内外网间必须安装防火墙，根据各种过滤规则来判断网络数据是否能够通过防火墙，用以加强网络之间访问控制、防止外网用户以非法手段进入内网、保护内网中的特殊网络互联设备，既防止外来的入侵，也阻止局域网内部重要信息的泄露。内外网之间的通信则采用异步高位加密机制， 可以保证内外网的通信安全2) 网络设备和软件：选用高带宽网络和高性能服务器。配备加密设备，使得数据以密文形式在网上传送，保证数据的机密性与完整性 。在安装防火墙的基础上，辅以入侵检测系统，用于实时监控和记录具攻击性的信息代码在进出网段的所有操作行为，并按制定的策略实行响应(阻断、报警、发送电子邮件等)，从而防止网络的攻击与犯罪行为。安装正版操作系统或源代码对政府开放的操作系，统坚持日常维护和记录，及时更新、升级病毒库；使用安全扫描工具定期检查系统漏洞和配置更改情况，及时安装系统补丁堵塞系统漏洞。4.结论电子政务信息系统的安全保障不但要从实现技术入手，更要与系统在政府工作中的重要地位相呼应 保证其先进性和可扩展性，要进行深入调研和长远规划 必须能够适应网络的快速发展变化。根本上还需要国家的司法支持和参与人员管理意识的增强保障了电子政务的安全，才能保障政府信息化的顺利推进。5.参考文献1.王绍卜，计算机网络的安全隐患与策略中外科技信息，2003(11)43452谢希仁，计算机网络大连：大连理工大学出版社，2001：1 271 303. 覃正. 中美电子政务发展报告M. 北京: 科学出版社 2008(5).4. 樊博. 电子政务M. 上海交通大学出版社 2006(6)5. 褚俊 苏震.电子政务安全技术保障M. 北京中国人民大学出版社 2004(3).6. 苏玉召 赵妍. 计算机网络信息安全及其防护策略的研究J 计算机与信息技术 2006 (5)7. 王海涛