电子政务中信息安全技术的应用研究

电子政务中信息安全技术的应用研究摘要电子政务是信息技术飞速发展下的产物。我国电子政务已经得到了广泛的应用和普及，电子政务给政府工作带来了便捷的同时，也面临着各种网络安全的困扰。每一项计算机技术的应用都需要进行安全的维护和管理，才能保证信息的安全性，电子政务的应用也一样。随着其系统的不断完善，其安全问题也越来越备受人们关注，如何建立一套完整的安全系统，以保证电子政务的正常运转，成为相关研究的热门话题之一。本文主要针对电子政务安全技术的运用进行分析和阐述，首先介绍了本文的研究背景和意义，对有关电子政务安全问题的研究现状做一定的分析和阐释，其次对电子政务的网络安全问题进行概述，主要分析进行电子政务安全维控的重要性和严峻性。第三细致分析了当前电子政务面临的安全因素，主要分成物理安全、链路安全、网络安全、系统安全、应用安全和管理安全六个方面来阐述。最后对电子政务安全技术的应用做重要的研究分析。本文的研究基于专业领域与实践应用上，对电子政务的安全技术实际应用有一定的指导意义。关键词电子政务信息安全技术应用目录TOC\o"1-3"\h\u1绪论 绪论1.1研究背景自20世纪末以来，伴随着以互联网技术为代表的信息技术的迅猛发展和广泛应用，世界范围内的电子政务建设浪潮从西方向东方席卷而来，从政府管理以及服务职能的电子化、自动化和智能化出发，电子政务在全球范围内蓬勃发展。目前，所有实现或正在实现工业化的国家都将电子政务建设列入了正在进行或今后几年必须开展的议事日程中去，西方各国政府投入大量资源，在电子政务领域开展全方位立体化的研究与应用。在这股全球浪潮席卷而来的背景下，从2002年起，我国中央和地方各级党政机关依照有关文件精神的指导，围绕“一站、两网、四库、十二金”的发展重点，大力推行电子政务配套设施建设，并在2005年，基本完成了关于电子政务发展的基础性配套设施建设。电子政务的内核在于政府和其他公共服务机构能够为广大人民群众提供更多更优质的公共服务，从内容上不断丰富政府职能的实现形式，使政府职能由从摇篮到坟墓的有效管理逐步转向从远方到身边的全方位服务[1]。2016年国家行政管理学院电子政务研究中心指出，电子政务、发展管理致力于通过创新和技术来促进形成高效率、高效益、透明、负责任和以公民为中心的公共行政和公共服务。十八大报告中指出:要加强电子政务建设，努力构建新的政府组织形态以求适应新时代经济社会发展和人民群众的需要，提高政府效能。根据中央精神和国务院有关决策部署，各级党政机关应进一步加强行政审批制度的改革力度，持续有力开展简政放权等一系列改革行动。电子政务信息安全作为国家安全问题中的重要部分，如何对其进行控制和维护是各个国家最为关注也是投入最大的对象。网络安全是伴随着信息技术发展而产生的安全问题，可以说，信息技术有多发达，网络安全的风险就有多大[2]。从我国当前的电子政务应用现状来讲，目前政府是电子信息技术的最大使用者也是信息资源的最大掌握者和拥有者。政府信息涉及到国家机密，即使是公开的信息也需要保证其完整性和可控制性，如何保证这些信息的安全势必是必要投入最大精力来研究的课题。我国当前电子政务面临的安全风险和问题主要有：一是高信息发展技术下整体的安全防范水平跟不上；二是对相关的网络技术和设备设施缺乏系统的有效的安全管理；三是目前我国基础信息产业严重依赖国外；四是针对网络安全技术的研发问题缺乏资金投入；五是在网络安全技术创新方面发展懈怠；其六是基于网络侵害，信息犯罪问题立法滞后，且相应的打击力度不够；其七是我国网络安全技术应用严重缺乏市场的需求；其八表现在信息安全管理机构权责不分明，层次不够清晰[3]。基于我国电子政务网络安全存在的这些问题，历来国内的专家学者通过引入国外先进技术及经验，并以结合国内建设发展的需要，得出大量的研究成果，其被用于各级政府网络系统的建立、运行和维护中。电子政务的网络安全问题是一个非常复杂的技术总合的构造，针对网络安全问题的解决，不但要引入先进的应用技术，不断推陈出新，更需要不断加强管理，使之得以在良好的管理环境下稳定有序地实施。本文基于当前我国电子政务建设与运行存在的问题进行分析和阐述，并基于电子政务的安全风险提出安全技术的应用[4]。1.2研究意义本文的研究目的旨在针对当前电子政务存在的风险进行系统的研究和分析，并基于当前信息安全技术的应用现状下提出技术应用方法。本文的研究首先具有一定的应用前景。电子政务的安全问题、安全技术的应用的分析能促进政府部门的网络建设、维护以及日常管理。具有一定的实际意义。其次本文的研究具有一定的理论价值。电子政务的安全风险因素的分析，将能系统地指出电子政务建设和运行中可能存在的因技术不足或是管理不善等方面的问题；电子政务安全技术的应用分析将对当前政府电子政务存在的安全问题进行彻底性的解决。相关的研究理论将能指导与启示电子政务的安全运行，以保证信息的安全性。第三，本文的研究具有一定的科学意义。通过电子政务网络结构、网络安全风险分析，对威胁政府网络安全的因素进行研究，运用系统的方法提供解决方法。2电子政务信息安全概述2.1电子政务信息安全信息安全的定义虽已成为全世界都需要进行维护和控制的问题之一，但针对其的称谓却未达成一致。在对其的进行的相关理论研究中，国外的专家如此对其进行定义：在一定的密级条件之下，信息系统进行抵抗相关影响其运行的意外事件和恶意侵害的能力的总和。针对信息安全因素，即是对网络系统和信息系统、设备等有无论是主观性和客观性的侵害问题。基于电子政务信息安全，从信息安全的定义上而言，广义的角度来说，是国家电子政务系统涉及的网络、通讯设备及一应设施受到相关保护而抵抗信息泄露、设备非自然损害，系统运行遭受人为迫害等反应的能力。从信息传输的先天条件，即是当前网络流行的TCP／IP协议来看，其开发初衷并不是出于网络安全角度的考虑，也就是说信息传输存在着“先天性”的不足之处。虽然随着信息技术的发展，网络安全方面的技术也得到了不断的完善和改进，但还是具有颇多风险[5]。黑客是网络安全的衍生“行当”，其拥有着相当高超的网络信息窃取技术，是网络安全最大的隐患，另某些具备黑客技术入门的不法分子，其攻击倾向也是造成电子政务系统安全问题的隐患之一[6]。在系统的管理中，因管理的不善，管理人员的技术不足，导致系统在运行中受到阻碍从而崩塌也是造成电子政务网络信息安全的隐患之一。总的来说，电子政务信息安全包括技术方面与管理方面。电子政务信息安全的传递既需要技术的支持，也需要管理上的支撑，两者不可缺少。2.2电子政务信息安全的重要性与严峻性电子政务系统的工作实质是国家利用计算机技术与信息技术进行一应政务工作的手段。其具体涉及到整个国家的政治、经济、文化、军事、民生等社会系统的方方面面。因此，电子政务的信息安全问题将是国家安全的重要基础[7]。维护电子政务系统的安全即是维护国家安全，将是保证国家政治、经济、文化、军事、民生等一应方面正常运行不受任何侵害的基本保证。电子政务为政府的办公提供了便捷，能高效地处理一应政府工作，但在运用电子政务的时候，就应把其安全提高到一定的高度。因此，电子政务网络安全非常的重要。目前我国电子政务的应用已经得到了普及，但电子政务网络安全的防护能力却处于亟待发展的初级阶段。特别是针对地区的电子政务的安全，现状是不设任何防护，产生的安全问题毋容置疑。电子政务网络安全无论针对于各级政府、部门，其都将是一个系统性的问题，只要某一处出现错误，或是风险不受控制，那么整个系统将受到影响[8]。无论从宏观上来看，还是微观上来看，电子政务网络安全都将是非常严峻的问题，如何利用先进的安全技术进行安全风险的防控，如何优化安全管理使得技术与安全并行，并形成一整套完整的理论和实践体系，将能推动我国电子政务网络健康快速地发展。2.3电子政务信息安全现状二十一世纪是信息高度发展与使用的世纪。信息高速发展之下面临的是严峻的信息安全问题。信息安全最为显著的体现一是计算机病毒的破坏力和摧毁力，二是黑客无所不在的攻击行为。目前针对信息安全问题，全世界都尤为迫切。我国电子政务系统得到不断地完善和使用，但伴随而来的安全问题却跟不上系统使用的脚步，也就是说信息安全，无论是在技术方面还是管理方面，都呈现出脚步跟不上的状态，以此造成了诸多信息安全问题的发生。根据《网络空间安全蓝皮书：中国网络空间安全发展报告(2016)》2015年，我国政府网站被入侵21674次，较2014年增长36.7%；我国地方政府网站成为受攻击的“重灾区”，植入后门和网站被篡改的情况依然严重，特别是境外的“黑客”“匿名者”及“阿尔及利亚黑客”等黑客组织，频繁针对电子政务网站持续发起攻击。目前基于电子政务依赖的技术手段不断拓展，电子政务建设的技术环境得到了改善。同时，信息安全威胁的风险也在不断增大。信息安全问题依然非常窘迫！3电子政务信息安全风险分析电子政务安全是一个非常复杂的系统工程。其安全风险因素从来源简单区别，可分为内因和外因。所谓内因，即是指关于政府机关内部的一应因素，包括人员的因素和软硬件的因素，细致说来有人员管理不善、操作不当、安全意识较差，或者人员故意破坏、为个人私利与外部勾结、滥用职权以达到非法目的等[9]。所谓外因，则是有关于系统外部的一应因素的总合，如病毒浸入、黑客攻击、计算机间谍的信息窃取、国际恐怖活动、国际社会的信息战争等。本文从物理、链路、网络、系统、应用、管理六个方面进行安全风险的阐述和分析[10]。3.1物理安全风险分析电子政务网络安全的物理方面的安全风险：是对其造成影响的自然灾害或人为物理侵害，如不可预控的旱涝洪灾、地震及意外事故如火灾等。这些物理侵害对电子政务网络安全的影响颇为巨大，可直接造成整个系统的毁灭。另外基于电力方面的物理因素也可对其造成风险，如电源故障未能及时排除，突然的断电、短路等造成信息未能及时保存的缺失等；除此，关于设备毁坏、相关因素造成的点刺辐射，系统的设计不良等情况都是电子政务网络安全的风险。3.2链路安全风险分析链路上的安全风险是基于数据在链路上的传输而言。人为地攻击网络系统，不仅可直接入侵到网上进行故意攻击、信息窃取和其他故意破坏行为，还能直接对链路“下手”。通过在传输线路上安装窃听设备，可实现当数据进行传输时直接截取、复制。或是通过串入有害信息导致信息失真等。一般而言。不法分子通过链路来进行信息窃取、网络攻击行为以非常常见。故而如何避免链路上的安全风险，也是研究中最要的安全风险避免问题之一。针对链路上的风险因素，在传输重要数据的时候可以加密的方式进行，或是通过相关认证技术、数字签名手段等来保证网上信息传输的安全。3.3网络安全风险分析电子政务网络属于内网，与外部开放、自由、国际性的外网加以区分。一般而言，电子政务系统都是一个独立的网络整体，但不可避免有很多情况会与外网相连。针对电子政务内网与外网之间，国家明确规定电子政务内网严禁与外网相连，或是如有连接的需要，必须在一定的保障措施之下实现间接连接，不可直接连接。虽规定如此，但内网与外网之间的连接与否是相关人员进行操作，如管理上的疏忽或是相关人员安全意识不强的情况下，不可避免内网与外网之间实现短暂的“沟通”。电子政务内网与外网的连接时由于外网的开放、自由性质使得安全风险激增，一般而言，黑客通过攻击，都是在外网上不断通过信息碰撞来寻找Internet节点，如果使用网络没有安全意识，或是不保持警惕，那么其将成为黑客肆意占领的领地，为黑客所为所欲为，信息将不具任何安全性[11]。网络的安全风险与黑客的攻击、不法分子的入侵者的信息窃取与攻击有关，如入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞，或利用网络IP地址、应用操作系统的类型、开放哪些TOP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息。入侵者通过发送大量PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以致拒绝服务甚至系统瘫痪等都是网络安全风险因素[12]。3.4系统安全风险分析系统的安全是网络安全中较容易受到影响的安全环境。所谓系统的安全指的是网络操作系统和应用系统。无论是操作系统还是应用系统，都是由系统开发商制造，用户使用。系统开发商制造的时候因某些情况，会对相关产品设置一些“后门”，也就是开发商自身保留的一种权利，其虽合理合法，但也造成了一些安全风险。另外。系统在进行工作的时候，如果操作不当，势必会有一些病毒链接影响其安全。系统本身存在着安全漏洞，所以系统在运行的时候需要一些安全防护方面的应用来进行安全的监控和维护，有必要在系统被入侵或是受到相关影响时提出警报。但基于安全应用产品参差不齐，根本无法保证哪种产品才有较高的监管性能，因此，基于系统运行，无论是本身的，还是外界的，都是存在的。3.5应用安全风险分析应用的安全风险成为电子政务主要的安全问题来源。应用系统的安全性随着应用的动态化而不确定，不能实质像链路问题那样直接预防。应用的安全风险应需结合具体的设施设备，人员应用等进行全面整体地预防与维护。应用安全风险来源各个方面，如在进行办公的时候，办公网络应用通常都是共享网络资源，如相关设备的共享，文件的互动传输、打印机共用等情况。职员有意或无意地把相关信息进行共享，长期暴露在网路邻居上，可能造成泄密等情况。另电子邮件的传输也是应用安全问题之一，内部网络之间进行邮件发送和接受，若存在黑客利用一些特制病毒加载在一些不明邮件中，职员的安全意识不高或无意间打开邮件造成的安全问题。病毒进入电子政务内网的方式一般通过网上下载、电子邮件、相关链接的打开或人为系统设置等方式。因互联网的使用，病毒的传播无所不在，且传播之迅速，只要有一台电脑受侵害，那么就会影响到整个系统，甚至波及到外围单位，造成重大信息安全事故。3.6管理安全风险分析管理方面的问题是电子政务网络安全问题之一。上文我们说过，电子政务网络安全问题包括技术上的问题与管理方面的问题，两者都非常的重要，技术起到硬件作用，而管理起到软件作用。在管理上存在以下几个方面的风险：一是管理人员的安全意识不高，随意链接外网，利用上班时间浏览一些安全性不高的网站等等；二是操作人员的专业性不高，在利用内网进行办公的时候，无意对相关信息进行删除或是未能及时保存重要信息导致信息的缺失；三是内部管理人员的监守自盗，因熟悉内网服务器及小程序等运行弱点，从而利用这些漏洞进行信息的刻录并散播出去；三是操作人员擅自把内网网络结构、相关用户名或密码等传播给外人；四是在基层单位，由于办公人员的不够，由部分临时人员充当，而管理人员未能意识到信息的重要性，直接让相关人员进入内网操作等等[13]。在管理中，权责不明，管理混乱常是导致安全风险的因素，安全管理制度的不健全或是安全意识的严重缺失往往能造成重要信息的泄露，导致重大安全事故。4电子政务信息安全技术应用电子政务信息安全技术的运用是对维护电子政务整个系统正常运行，保证信息的严密的基本保障。信息安全技术的运用已成为当前政务系统迫切解决和追踪的问题。本章节将依照上一章节的风险分析，以此提出物理、数据、网络层级、系统方面、应用及管理六个方面的安全技术运用，并做浅要运用分析。4.1物理层安全技术运用针对物理层级网络安全技术的运用，通过物理层级的安全风险的分析，其作为最基本的安全保障的前提，应需得到高度的重视。基于物理层级的风险，对于可控的物理风险而言，如能导致整个系统毁灭的火灾因素，则需要一应的设施设备，加强防火管理。对于不可预控的因素，为避免信息的缺失，则需要对相关信息及时保存。针对电源设备导致的物理风险，则需要不定期检查与更新单位设施设备，确保整个网络系统的正常运行。另在其他方面，如电磁辐射的影响等，无论是非人为还是人为因素，所设密级都要有专属和备用两个，实现具体设施设备秘密保护，专人专用，专项负责，避免非法用户在未授权的情况下进行信息的窃取或篡改。物理层级的安全技术运用，是针对设施设备的日常维护，管理及系统、应用密级的管理而言，电子政务网络安全的重要性要求内网与外网清晰区分，用户在使用内网操作的时候应避免外网介入因素，可设置相应的阻隔程序进行切割控制。4.2数据链路层安全技术应用基于数据链路层级的安全风险，安全技术的重要应用基点在于政府进行重要信息传输的网络，必须加密传输，并通过数字签名及实名认证技术来保障信息传输的真实、完整、机密和可靠。目前政府网络应用环境中，既有内部的应用，例如内部oA系统、文件共享、Email等应用服务，又有众多面向下属单位、合作伙伴等对外的应用。为有效解决远程用户安全访问网络内部资源，可以通过虚拟专用网技术在公共网络中建立专用网络，确保数据通过安全的加密通道在公共网络中传播。政府在保证信息传输安全性和认证与加密技术达到一定层级的前提条件下，可通过实际的公有平台来建立自己的内网。从目前的VPN网关的功能应用看来，其是IPSec数据包的加密、解密处理和身份认证。其主要体现出独立的部署以及独立的防火墙模式，防火墙无法对VPN的数据流量进行任何访问控制，这样的状况势必会造成一些安全隐患。就这样的状况的解决，具体技术的应用措施可直接在防火墙安全网关上集成VPN，此方案作为当前安全产品的发展趋势，在高度技术运用的内网安全技术管理中，已被善于利用，相比较独立的防火墙与独立的VPN部署方式，其安全层级得到大幅度地提高，并具有灵活、高效等特点[14]。4.3网络层安全技术应用基于电子政务内网系统的安全重要性的考虑，外网外的任一网络节点都是不可信任的对象，其存在必然会造成一系列的风险。内网与外网任一节点的链接，其风险都不可避免，首先是内网本身的风险，内网本身就存在一定的安全漏洞，这些漏洞善于被入侵者利用，只要入侵者通过嗅探，扫描等方式进入内网，势必就能造成不可逆的安全事故。其次外网的风险也能对内网造成巨大的影响，不可避免的，内网与外网之间需要建立一定的联系以保证内网的高度信息化和自动化，但有必要进行相应的隔离。隔离技术旨在针对对外网没有目的的请求，或是攻击性的侵入进行目的过滤，保证安全信息的介入，避免不良信息的侵扰[15]。可设置防火墙对各网络出口初进行网络的隔离，并划分各自的安全区域，实现控制功能。防火墙的良好利用可实现网络层级安全风险的预控，防火墙的使用并不能只针对某一网络关口，需要对每一个内网的节点以及外网的节点之间进行隔离，其作用并不是完全划分区域，起相当于一层防护膜，过滤掉不良因素，保证正常的链接和沟通，在安全技术运用领域有一定的启示性。4.4系统层安全技术应用系统层级的安全指的是操作系统及应用系统的安全。具体指代开发商供应的一应可操作系统，数据库及相关基于办公条件的商用产品系统。无论是常用的Windows操作系统还是UNIX操作系统，或是应用系统，因其本身的开发与利用就存在自身的隐患因素。因此基于操作系统而言一是采用具有自主知识产权且源代码对政府公开的产品；二是利用漏洞扫描工具定期检查系统漏洞和配置更改情况，及时发现问题。基于应用而言，最能保证安全的技术应用即是再安装相应的安全配置及监管设备，实时实现应用运行时由于自身问题导致的安全隐患问题得到及时排解与预防[16]。4.5应用层的安全技术应用基于应用层级的安全技术的应用，主要是专业防火设备的应用解决措施。随着信息技术的发展，信息之间的传递效率越来越高速，且远程控制的效果也越来越便捷，但随着网络的发展，作为信息技术的产物之一的病毒也就具有了更为严重的摧毁效果。信息传播有多快，病毒的入侵就有多无孔不入。目前针对病毒的入侵，可实现的安全技术的应用只有利用更为专业的防火墙进行阻隔。计算机病毒的传播方式是伴随着应用的应用而导致，再具体的电子政务系统的运行中，应用的下载，信息的传递，程序的安装等，都有着病毒伴随的情况，因此需要加转高级防火墙对其加以过滤和控制。可采用ASPF(ApplicationSpecificPacketFilter)等应用状态检测技术，可对连接状态过程和异常命令进行检测；能够提供多种智能分析和管理手段，支持邮件告警，支持多种日志提供网络管理监控，协助网络管理员完成网络的安全管理。4.6管理层安全技术的应用只是基于电子政务的硬件设施而言，具体的还需要管理方面的软件实施效果来提升效果。如何对电子政务进行有效管理，首先制定一定的管理规范尤为重要；其次制定操作规则与使用规则也是最为重要的，可实现专人专用，责任落实的具体管理方法；三是针对相关人员的管理，管理人员应实施信息备案工作，或是随时对操作设备进行人员转移操控，也就是同一计算机的使用，可实现人流更新配比的方法。针对一些重要性的文件，则需要提升一定的密级效果。四是需要建立安全应急措施，当发生安全事故时能有效进行信息的及时阻隔，避免大范围的传播，另可实现安全预防，及时针对安全隐患不定期地进行排查。五是实地检查应用程序，对不明来源的程序进行摸查排除，六是需要引入高级防火墙或一些安全防护软件，及时更新内网系统老旧的设施等。七是密级升级，对未能及时设置密级及身份验证的设施设备进行安全升级。5结论电子政务实现了一个超出时间与空间限制，构建出高效精简、公正公平、批示廉洁的政府运作模式。电子政务是政府部门系统利用计算机网络与通讯技术等构建的一整套政务管理与服务体系，为使得电子政务能更好地发挥其作用，保证其所涉及的信息的绝对安全和完整，必须建立一定的安全体系，来支持系统的正常运行。电子政务网络安全不仅仅包