电子政务与网络信息安全.pdf

电子政务与网络信息安全 贺盛瑜 成都信息工程学院电子商务系 四川 成都610041 摘要 论文首先论述了电子政务的概念 意义及电子政务面临的挑战 分析了电子政务在网络信息安全上 存在的问题 并提出了解决这些问题的应采取的措施 关健词 电子政务 信息安全 电子化 中图分类号 D63 TP393108 文献标识码 A 文章编号 1004 3926 2003 08 0239 04 收稿日期 2003203218 作者简介 贺盛瑜 成都信息工程学院电子商务系副主任 副教授 西南交大在读博士生 一 引言 电子政务是政府机构 运用现代计算机和网络 技术 将其管理和服务职能转移到网络上去完成 同时实现政府组织结构和工作流程的重组优化 超 越时间 空间和部门分隔的制约 向全社会提供高 效优质规范透明和全方位的服务 在信息时代 电子政务已经成为治国不可或缺 的工具 在经济和信息全球化加快发展的情况下 一个信息化的政务已经成为提高一个国家或地区全 球竞争力的要素 电子政务的发展对我国的经济和 社会发展 特别是信息产业的发展有着十分重要的 影响 目前 国际社会正在大力推进政府部门办公 自动化 网络化 电子化和信息共享 以利用In2 ternet技术增强政府效率和提高政府威信 而电子 政务是一个基于网络的符合Internet技术标准的面 向政府机关内部 其他政府机构 企业以及社会公 众的信息服务和信息处理系统 在信息时代只有建 设电子政务 实施电子政务才能有效地保证稳定社 会和经济秩序 可以说 电子政务是信息化社会的 基础和基石 二 电子政务面临安全挑战 电子政务是2002年伊始业界强烈感受到的市 场热点 由于电子政务系统本身的重要性和特殊 性 安全性问题便成了人们解析电子政务时的首要 话题 电子政务提供科学决策 监管控制 大众服 务的功能 信息安全是其成功的保证 解决好信息 共享与保密性 完整性的关系 开放性与保护隐私 的关系 互联性与局部隔离的关系 是实现 安全 的 电子政务的前提 电子政务的发展正面临一些 亟待解决的问题 如电子政务一体化问题 数字鸿 沟问题 安全认证问题 由于电子政务涉及国家敏 感信息 因此 许多安全问题迫切需要考虑 电子政务行使政府职能的特点导致来自外部或 内部的各种攻击 包括黑客组织 犯罪集团或信息 战时期信息对抗等国家的攻击 攻击包括基于侦 听 截获 窃取 破译 业务流量分析 电磁信息 提取等技术的被动攻击和基于修改 伪造 破坏 冒充 病毒扩散等技术的主动攻击 网络威胁包括 来自内部与外部的威胁 主动攻击与被动攻击带来 的威胁 网络威胁的隐蔽性 体制性 边界模糊 性 突发性 易被忽视的特点要求引起高度重视 据统计 11 的安全问题导致网络数据破坏 14 的安全问题导致数据失密 从恶意攻击的特点来 看 FBI统计的结果是65 的攻击来自网络系统 内部 如来自内部的非法窃取或非授权访问 同时 网络办公自动化也导致依赖性的增强 依赖性必然产生脆弱性 包括技术的脆弱性 社会 的脆弱性 人的脆性 网络的可腐败性是电子政务 必须考虑的另一问题 信息系统要求有相应的安全 环境 目前 大部分电子政务选用的系统本身存在 着安全弱点或隐患 网络硬件设备弱点如服务器 网络设备等安全问题将危害网络的可靠性和可用 性 操作平台的弱点和漏洞 如操作系统 数据库 系统 通用软件系统等 可能构成系统隐患 应用 软件系统的脆弱性 网络的脆弱性 网络协议的开 放性 系统的相互依赖性导致网络存在安全风险 安全设计本身的不完备性可能构成网络新的安全风 险 新的风险点 新的漏洞被发现 新的攻击技术 总24卷 第8期 2003年8月 西南民族大学学报 人文社科版 Journal of Southwest University for Nationalities Humanities 2 管理规范未 建立 制度不完善 3 技术管理不到位 大多数 只考虑防火墙 防病毒等基本技术安全措施 并没 240 西南民族大学学报 人文社科版第24卷 1994 2008 China Academic Journal Electronic Publishing House All rights reserved 有提高到管理程度 4 日常管理存在很多漏洞 计算机的日常使用 信息保存 流转 归档都存在 不同程度的漏洞 四 电子政务网络信息安全措施 11 网络安全分层 构建一个电子政务系统 保护国家机密是首要 的 但又要为社会提供网上办公和服务 因此 认 真进行信息安全域的设计和控制就显得特别重要 清华大学胡道元教授提出了网络安全分层理 论 根据ISO七层分层网络协议 在不同层次 安全的着重点不同的情况下 采取的安全设施如下 表如示 表1 网络安全分层及安全设施 信息 安全域 政府业务需求 网络环境安全设施 一 核心决策层 核密信息存 贮与处理 二 办公业务层 办公事务与 业务处理 内网 intranet SDB SL Tunnel RBAC 强认证 强审计 物理隔离 内网段 物理隔离 SNF 或 逻辑隔离 FW SNG ACL RBAC PMI CA PKI SA VLAN IDS SCAN Avirus 三 信息交换层 友邻 上下 级 专网 Extranet 物理隔离 SNF 或 逻辑隔离 FW Proxy IP VPN VPDN 链路加密 CA PKI 多重认证 ACL RBAC PMI 四 公众服务层 网络办公以与 信息服务 内网 internet 镜像代顺 可用性服务 完整性服务 隐私权保护 公证服务 CA PKI 21 络基础设施与智能化信任服务 网络基础设施主要是为电子政务系统提供电子 政务信息系统及其它运行管理信息的传输和交换 是整个电子政务系统的最终信息承载者 位于整个 电子政务分层体系结构的最底层 网络层的安全主 要包括两个方面 网络防护和网络信任域 网络防 护主要是指防火墙 信道加密 入侵检测和漏洞扫 描等 网络防护技术在抵御来自网络层的攻击方面 起着重要作用 网络信任域的作用主要是构建一个 可证明信任的网络环境 为电子政务系统的网络提 供可信接入 可信通信和可信的管理服务 智能化信任和授权基础设施则是在网络基础设 施所提供信息传输服务的基础上 增加面向电子政 务应用的信任与授权服务 为电子政务应用提供一 个可用的 高性能信任和授权计算平台 即所谓的 智能化信任和授权服务平台 智能化信任和授权基 础设施的引入使电子政务应用系统能够以便捷而灵 活的方式来使用所需的安全服务 如机密性 完整 性 身份认证 防抵赖 有效授权等 提供智能化 信任服务的关键是信任服务平台 主要包括 公钥 基础设施PKL 密钥管理系统和时间戳服务系统 TSS 而电子政务应用层主要是在智能化信任和授权 基础设施的基础上 运行各种电子政务应用的平 台 如网上工商 网上税务 办公信息流处理系统 等 31 内网和外网隔离技术 网关是处于高层的网络互联协议转换器 安全 网关应用服务器SGAS的主要思想是通过在两个网 络之间建立高速 保密的专有通道实现不同网络的 既隔离又互连 隔离是指在常用软件系统下 两个 网络的资源不能相互访问 互联是指在SGAS管理 下两个网络的资源能在严格的控制下相互访问 随着各类机构内部网络业务系统 也称内网 和公众互联网 也称外网 的不断发展 许多业务 系统正在逐步向互联网转移 使得内外网的数据交 换和互联成为必然的趋势 但由于互联网潜在不安 全因素 造成人们对内外网互联的担忧 所以出现 了多种方法来解决内外网的数据交换问题而又不影 响内网的安全性 如内外网的物理隔离方法 手工 数据交换方法 两套网络系统方法等等 但所有这 些方法都无法解决实时或在线数据交换问题 也无 法解决量大和类别多的数据交换问题 不仅降低了 工作效率而且加大了工作量 因此 必须有一种有 效的技术方法来解决内外网的数据交换问题 而不 影响内网的安全性 互联网透明安全网关 Inter2 net Transparent Security Gateway 简称ITSG 提 供了解决此类问题的一种较好的解决方案 内外网互联的主要安全问题是担心外网用户或 黑客透过互联接口进入内网 并窃取或破坏内网的 数据资源 从理论上讲 通过防火墙系统可以防止 此类情况的发生 一旦防火墙系统出现问题 用户 是无法控制的 在ITSG中 这些问题都已经被解 决 41 数据库安全技术 实现安全体系中的存储安全可使用数据库安全 应用服务器DSAS Database Security Application Server 存储安全是指涉密数据或需要保护的数 第8期贺盛瑜 电子政务与网络信息安全241 1994 2008 China Academic Journal Electronic Publishing House All rights reserved 据在物理介质上的存储安全 目前随着数据库技术 的普遍应用 使得数据库和应用系统相互独立 为 应用系统建设带来良好的可管理性 另一方面 也 允许数据库用户可以脱离应用系统直接访问数据库 中的数据资源 使得应用系统的总体安全性下降 DSAS实现了数据的密文存储 并且较好地解决了 数据库的应用安全 DSAS是将数据库访问操作抽象为两类 数据 库读操作DBRead和数据库写操作DBWrite 通过 将独立于数据库管理系统的安全设备SD Security Device 集成到应用系统中 实现数据库的存储安 全 当执行DBRead操作时通过SD解密 当执行 DBWrite时通过SD加密 其结构如图2所示 图2 数据安全访问平台 51 健全法制 规范管理 由于信息的虚拟性 扩散性 渗透性很强 网 络的技术监控又是一项基础性建设 各国政府都把 这项工作规范化和制度化 使网络控制 信息控 制 信息资源管理 网络犯罪的打击 泄密的防止 等都有法可依并得到技术上的支撑 我国目前正在 大力提倡构筑国家信息安全保障体系 实际上是对 网络信息安全实施综合治理的体系 加大立法力度 逐步完善信息安全网络法规 健全信息网络安全标准认证和质量检测机制 由信 息系统建设部门组织制定有关网络安全条例条文 标准法规 并发挥职能部门的监管作用 通过建立 网络安全法规体系 规范和维持网络的正常运行 规范信息社会的正常运行秩序 在网络安全管理中的任何一个薄弱环节都可能 导致防御系统的失败 因此必须强化管理 培养高 素质的管理人才 增强安全管理意识 加强计算机 使用安全教育和管理教育 使人门必须严格遵守计 算机管理的有关条例的法规 必须明确随意侵入他 人的计算机网络系统或破坏他人计算机网络信息 是一种违法或者犯罪的行为 从管理方面入手 建 立好的安全对策和有效并易于管理的网络安全管理 平台 五 结语 电子政务是一项复杂的系统工程 其安全建设 要求统一考虑 长远规划 保证技术的先进性和可 扩展性 在技术上要求适应动态变化 建立自适应 的安全保障体系 同时 要求有相关法律保障 加 强安全管理 其关键是增强人的安全意识 要求从 国家安全 社会稳定的高度认识电子政务的重要 性 这样才能适应于政府信息化的发展 参考文献 1 刘平 电子政务安全 J 1 网