在电子政务安全培训会上的讲话

1/10在电子政务安全培训会上的讲话在电子政务安全培训会上的讲话文章作者大客文章加入时间XX年10月27日154电子政务的“安全观”在电子政务安全培训会上的讲话电子政务网络自去年9月建立运行，到现在整整一年，根据国家保密法、县保密委关于对计算机网络涉密安全的要求和县信息中心的相关要求，为确保计算机信息系统、网络的安全防范和规范管理工作，现结合一年来我镇电子政务网络运行中存在的一些问题，就电子政务网络安全方面与大家作一个简单的交流。说起安全，近年来，尤其已成为许多部门要经常面对的一个重要问题，当我们提到安全的时候，脑海里往往总会想到矿山煤窑、交通运输、食品卫生等直观、突出的一些表象，但是有严重安全是虚拟的不知大家有没有注意到，拿就是保密，你不要说保密是领导的事，我有什么秘密可保，偏偏秘密就在你身边，也许你没有意识到，不知不觉间泄了密，稀里糊涂地丢了饭碗，甚者还要面对铁窗。说道这里大家也许会觉得奇怪，你也许会说我连接触机密的机会都没有，到那里去泄密其实很简单，秘密就在你办公桌上，就在计算机里。电子政务作为当代信息化最重要的领域之一，是全面提升政府机构管理与服务水平的重要技术手段。当我们在畅游互联网的时候，在享受信息化，办公自动化给我们带来无穷便利的同时，不要忘了2/10有一种危险时刻伴随着我们，那就是网络安全隐患。一个计算机高手可以很容易通过存在网络安全隐患的计算机进入电子政务平台，或者可以运用这台计算机作为服务器，对政府门户进行攻击、散步谣言，发布恶意信息等。可以说，网络就是一条高速公路，而上网就像在开车，如果不按安全规程操作，就会造成严重的后果，你说不清什么时候通过网络丢失了单位的机密或者国家秘密，那就不是你受罪领导受累的事了。下面我就计算机网络安全具体与大家探讨几点我个人的看法，如有不对的方面，请大家提出批评，不啬指正。一、计算机使用情况镇机关、各站所现有台式计算机25台、手提电脑1台，除个别部门外，每个办公室都有1台联入互联网。部分计算机的开机密码由专人掌握，设有防火墙，并装有杀毒软件。防火、防盗、防雷、布线、配电等基本达到要求。主要存在的问题有大部分计算机存在“一机两用”现象，在接入外网状态下处理文件和内部办公信息；有的单位对计算机管理和信息安全意识不强，认识不到位，对存储涉密信息的移动硬盘或软盘未标密，和普通软盘混合使用；个别接入外网的计算机存在处理涉密信息现象；有的对与互联网相连的计算机硬盘中存储的涉密信息进行了删除，但删除措施不可靠；未按规定经审批携带存储介质外出等隐患依然存在。二、电子政务的“安全观”电子政务的安全问题倍受3/10人们关注，安全性问题是电子政务的首要问题。电子政务系统是供政府和公民使用的信息交流平台，在这之上流动的有可公知公用的信息，还有的是需要保密的非公开信息。即使说一个电子政务网络可以提供强大的功能，可以解决大部分电子政府信息交互的问题，但其本身使用不是本国的软件、硬件，而这些软件、硬件使用的技术不是本国所掌握的或者说这些软硬件并不能保证电子政府免受病毒侵害、黑客攻击，那么，何谈电子政务的安全性，稳定性。这样一来，我们的很多政务信息就不只是“公之于众”了，而且将会是“大白于天下”了1电子政务安全的威胁在电子政务建设中，安全问题的产生固然有许多因素多个方面，但归纳起来，无外乎表现为7种形式即网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等。001年，武汉一名黑客通过境外代理服务器，使用隐藏真实IP地址等手段，利用一种经他改造过的黑客软件，在网上大肆对国内一些地方政府网站进行攻击，先后入侵武昌区政府网站、大冶市政府网站、黄石热线网站、数字重庆网站等，肆意修改主页内容、粘贴秽图片和对政府人员进行和人身攻击，造成了极其恶略的社会影响。003年，黑龙江省公安厅网络监察处在农垦公安局网监部门的配合下，4/10侦破一起利用黑客攻击政府网站的案件，行为人潘某被抓获。今年6月初，潘某用弱口令扫描软件进行扫描，发现辽宁一政府网站使用的是弱口令，就进入该网站，并在该网站的服务器上建立了自己的FTP服务，把自己的论坛主页上传到该网站服务器上，并做了链接。计算机硕士“黑客”攻击政府网站嫁祸他人被判；“黑客”今年17岁为显示自己攻击政府网站；大学生在家攻击政府网站神勇公安一举拿获。如此种种，政府网站遭受攻击的案例屡见不鲜，我国电子政务的安全堪忧。电子政务安全是一个复杂的系统工程。仅从安全威胁的来源来看，可以分为内、外两部分。所谓“内”，是指政府机关内部；而“外”，则是指社会环境。来自于外部的威胁有病毒传染、黑客攻击、信息间谍、信息恐怖活动、信息战争、自然灾害等，而来自内部的威胁则包括内部人员恶意破坏、管理人员滥用职权、执行人员操作不当、内部管理疏漏、软硬件缺陷等。一般说来电子政务安全中普遍存在着以下几种安全隐患窃取信息由于未采用加密措施，调制解调器之间的信息以明文形式传送，入侵者使用相同的调制解调器就可以截获传送的信息。同时，政府机关内部人员更是可以十分轻松的将一些机要信息泄漏出去，此谓“监守自盗”。篡改信息当入侵者掌握了信息的格式和规律之后，通过各种方式，在原网络的调制解调器之5/10间增加两个相同类型的调制解调器，将通过的数据在中间修改，然后发向另一端。这便严重的破坏了原信息的完整性与有效性。冒名顶替由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户及送假冒的信息或者主动获取信息，而远端用户通常很难分辨。同时，由于内部权限分配不明或者滥用他人名义实施违法活动，极有可能造成“栽赃嫁祸”。恶意破坏由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入两边的网络内部，其后果是非常严重的。如果政府内部人员与外部不法分子勾结或由于发泄私愤，从而破坏重要信息的数据库或其他软硬件，后果更是不堪设想。失误操作由于缺乏明确的操作规程和必要的备份措施，加之部分工作人员的安全意识不强和安全技术有限，一旦出现失误操作，重要的信息将无法恢复。电子政务安全的意义发展电子政务的一项主要任务就是让政府在互联网上树立良好的形象。但是，如果政务系统经常遭到攻击和破坏，基本的安全都得不到保障，又何从谈起形象问题。而且，由于电子政务的特殊性，一旦发生安全事故，轻则干扰人们的日常生活，重则造成巨大的经济损失，甚至威胁到国家的安全。因此，安全的意义不言而喻。失去了安全的基石，再方便、先进的政务方式也只能是“空中楼阁”6/10如何保障电子政务安全安全措施方面。一是采取备份和镜像技术以防档案信息的丢失；二是对重要信息进行加密，拒绝非授权用户访问，采取身份验证、防火墙等措施杜绝信息被非法利用和蓄意破坏；三是采取多种方式防治病毒，一方面加强预防，要求各类存储介质要求使用正规产品，存储内容不能为网络下载材料。另一方面，利用杀毒软件进行时时监控，一旦发现并确认机器或磁盘染毒后，将其彻底清除；四是计算机使用过程中，除了日常的维护、备份外，更重要的工作是检查漏洞，及时发现并堵住漏洞，要充分认识网络信息安全面临的危险四是处理涉密信息的业务应用软件，使用台式机管理，连接专用打印机，指定专人使用，专人管理，专人负责。五是严格执行“涉密不上网，上网不涉密”的计算机保密制度。各单位业务上用于处理涉密信息的计算机禁止接入公用网络。六是根据工作需要明确每台计算机的使用范围和人员；携带便携式计算机外出要由主要领导审批并登记备案。涉密存储介质备案登记制度。各单位要将存储涉密文件的移动硬盘、U盘、软盘等介质统一登记，标注密级，集中管理；3安全技术方面在实施网络安全防范措施时首先要加强主机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞；要求做到开机有密码、入网有口令，尤其是入网口令，我们不少单位存在开机不用口令即可登录的形象，这7/10样做是十分危险的，必须要进行设置，不要怕麻烦。口令的设置一般要求在12个字符串以上，要求含有大小写字母和数字及符号。有的虽然进行了设置，但为了便于记忆，设置口令简单，字符数过少，如生日号、电话号码，而且大小写不分，这种就是业内常说的弱口令，对于弱口令也是不具安全性能的，因为，通过专用的破解软件可以轻而易举地将其破解，从而进入你的系统。因此，要求对所有上网计算机进行加密，统一设置口令，口令的设置尽量不低于12个字符，为了便于记忆，在这里，我教大家一个方法，你可以设置你好记住的数字加入几个英文字母，如你单位的缩写、名字的缩写等，然后同时按SHIFT键即上挡键输入，输入后的口令变为一连串的符号，严密的安全防线，极大地增加了恶意攻击的难度，进行破解编码时，软件难以识别，但在你的记忆中，其实口令还是原来的那些号码。另外，在上网时，要不定期对系统进行升级更新，注意打补丁，查找漏洞，及时填补。其次要用各种系统漏洞检测软件如优化大师、兔子魔法优化、上网助手等定期对网络系统进行维护，通过扫描分析，找出隐患，及时修补；建立完善的访问控制措施，安装防火墙，加强授权管理和认证，一般情况下将安全级别设为中级，对于经常来访的骚扰消息、陌生网站、各类、网站可以通过站点限制将其锁定。最近在不少机子上经常出现一些8/10网站，一开机就出现，删除后，依然会来，干扰了正常的工作和网页浏览。如何解决呢你只要通过浏览器的工具中的INTNTER选项，对其中的安全进行设置，将这些站点进行限制就可以了。安装防病毒软件，加强内部网的整体防病毒措施；按照县政府办的要求，对所有接入电子政务网络的计算机统一安装瑞星杀毒网络版软件，为此，还特别在电子政务平台，公务员园地栏里提供了软件下载，其中就有正版的网络版瑞星杀毒软件，目前尚未安装的用户你可以到那里去下载安装。对敏感的设备和数据要建立必要的物理或逻辑隔离措施；利用数据存储技术加强数据备份和恢复措施；鉴于政务信息的重要性和特殊性，建立必要的备份制度和有效的系统和数据恢复机制是保障电子政务安全的基本需求。建议各单位要养成定期数据备份的习惯，重要数据还要进行刻录归档，计算机就像一个小孩子，说不干就不干了，关键时候，你拿他还真的是只能干着急。所有，养成定期数据备份的习惯是避免系统瘫痪时引起不必要损失的有效途经。建立详细的安全审计日志，以便检测并跟踪入侵攻击等需要特别要强调的是利用废旧磁媒体获取信息的问题。旧的计算机、旧的磁盘、磁带、光盘等，往往存储过涉密信息，有的国家可以从消过磁的介质中恢复曾经存储过的信息，情报机关就利用收集废旧物品的机会专门搜集废旧磁媒体，从中获取情9/10报。因此对废旧磁媒体要特别加强管理。三、安全法律方面1现有部分计算机网络管制法A中华人民共和国保守国家秘密法第三章B计算机病毒控制规定C计算机软件保护条例D中华人民共和国计算机信息系统安全保护条例E中华人民共和国计算机网络国际联网管理暂行规定F中华人民共和国计算机信息网络国际联网管理暂行规定实施细则2现有部分主要行政法A中华人民共和国行政许可法B中华人民共和国行政诉讼法C中华人民共和国行政复议法D中华人民共和国行政处罚法E中华人民共和国行政监察法3有关部委制定的规章制度，比如国土资源管理系统行政为民措施和国土资源管理系统工作人员都是比较有效的保障网上政务安全运行的成功典范。四、政务公开与信息安全“度”的把握在加强信息公开的同时，不能忽视信息安全。信息安全是中央反复强调的非常重要的问题。电子政务建设涉及政务管理的核心业务，涉及国计民生和国家安全。因此，我们要增强安全意识，严格执行国家和部颁布的安全和保密规定，建立严格的信息公开审查制度。按照“谁主管、谁审批，谁发布、谁负责”的原则传递文件和发布信息，因工作需要留存的必