摘要:电子政务为政府部门工作带来方便、快捷与高效的同时,网上犯罪也蜂拥而起。由于电子政务的网络信息安全威胁来源广泛,而保护措施相对薄弱,政府网站不断遭到攻击。针对此现状,政府部门及相关管理机构应从技术、管理、法律等方面不断加强和完善防护系统,在得到最大利益的同时,使电子政务信息安全的风险降到最低。
关键词:电子政务、政府、网络、信息安全
电子政务(E-government)是指借助电子信息技术而进行的政务活动,就是政府机构应用现代信息和通信技术,将管理和服务两项职能通过网络技术进行集成,在互联网上实现政府组织结构和工作流程的优化重组,超越时间和空间的分隔限制,向社会提供优质和全方位的、规范而透明的、符合国际水准的管理和服务。电子政务是政府管理方式的革命,它打破了行政机关的界限,使公众摆脱了传统的通过层层关卡书面审核的作业方式,为人们提供更广泛、便捷的信息及服务,并具有提高工作效率,推进政务公开和廉洁建设等优点。
一、电子政务信息安全存在的问题
电子政务信息系统的安全取决于特定的安全环境。安全环境包含社会环境,技术环境和物理自然环境。社会环境指各种社会组织机构和人员。技术环境指信息系统的技术因素。物理自然环境是指来自物理基础支持能力和自然环境的变化。电子政务信息的安全风险,来源于社会环境的威胁、技术环境的脆弱和物理环境的恶化。
(一)社会环境的威胁
1.网络内部的攻击
在内部网络中,往往要面对黑客和内部工作人员对系统发起的攻击。如,有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限、越权访问信息。根据国外权威部门的评测报告,对于系统的威胁有80%是来自于系统内部。它主要有以下几种形式:假冒身份攻击,非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
2.信息泄漏或丢失
信息泄漏或丢失是指敏感数据在有意或无意中被泄漏出去或丢失。它通常包括:信息在传输中丢失或泄漏,如利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,探测有用信息,如用户口令,账号等重要信息;信息在存储介质中丢失或泄漏,通过建立隐藏隧道等方式窃取敏感信息。
3.破坏数据完整性
以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,干扰用户的正常使用。
(二)技术环境的脆弱性
1.网络缺乏安全性
电子政务网络是一个多应用的平台,其中包括业务系统、财务管理系统,办公自动化系统、认识管理系统、邮件系统等。由于网络用户众多,系统更新速度快,这些因素都会导致网络结构发生变化,网络管理者如不能及时发现,将其纳入网络安全的总规划和管理,很可能发生网络配置不当,从而造成网络性能的下降,更严重的是会造成网络安全的严重隐患,导致直接损失。
2.计算机系统本身的脆弱性
计算机本身的脆弱性使它无法抵御自然灾害的破坏,也难以避免偶然无意造成的危害。如:洪水,水灾、地震的破坏、系统所处环境的影响(温湿度、磁场、碰撞、污染等)、硬件设备故障、突然断电或电压不稳定及各种错误操作等,这些危害会损害操作系统设备,有时会丢失或破坏数据,甚至会毁掉整个系统。
3.具有自主知识产权的信息设备,技术产品较少
计算机芯片,骨干路由器和微机主板等基本上从国外进口,且对引进技术和设备缺乏必要的改造,尤其在系统安全和安全协议的应用方面。例如,美国出口我国得计算机的安全系统只有C2级,是美国国防部规定的8个安全级别之中的倒数第三。
二、电子政务信息安全的防范策略
政务活动关系到党政部门、各大系统乃至整个国家的利益,因此,信息安全是政府上网实施过程中面临的一个不可回避且十分紧迫的问题。根据国家有关规定,政府部门的网络建设必须是内外两套,而且内外网必须在物理上隔开,但如果严格按照规定执行,则必将大大增加政府上网过程的负担,甚至政府网站由变成空站、死站的可能。如何在保护国家机密的情况下最大限度的向社会提供信息服务,这是摆在我国政府面前的一个尚未解决的问题。为此各系统部门纷纷提出各种防范策略。
(一)访问控制
访问控制是指防止对计算机及计算机系统非授权访问和存取所采取的措施。对计算机及计算机系统访问进行控制主要采用两种方式实现:一种是限制访问系统的人员;一种是限制进入系统得用户的权限。
1.用户标示与验证
用户标示与验证是访问的基础,是对用户身份的合法性验证。方法有两种:一是基于人的物理特征的识别,包括:签名识别法、指纹识别法和语音识别法;二是基于用户所拥有特殊安全物品的识别,包括智能IC卡识别法和磁条卡识别法。
2.存取控制
存取控制是对用户的所有直接存取活动通过授权进行控制以保证计算机系统的安全保密机制,是对处理状态下的信息进行保护。一般有两种方法:
一是隔离技术法:即在电子数据处理成分的周围建立屏障,以便在该环境中实施存取规则,它的主要实现方式包括:物理隔离方式、时间隔离方式、逻辑隔离方式、密码技术隔离方式等。
二是限制权限法:就是限制特权以便有效的限制进入系统得用户所进行的操作。具体来说,就是对用户进行分类管理,安全密级授权不同的用户分在不同类别:对目录,文件的访问控制进行严格的权限控制,防止越权操作。
(二)系统安全监控
系统必须建立一套安全监控系统,全面监控系统的活动,并随时检查系统的使用情况,一旦有非法入侵者进入系统,能及时发现并采取相应的措施,确定和堵塞安全及保密的漏洞。
管理员还应经常做到这几点:监控当前正在进行的进程,正在登陆的用户情况;检查文件的所有者,授权、修改日期情况和文件的特定访问控制属性;检查系统命令安全配置文件、口令文件、核心启动运行文件、任何可执行文件的修改情况;检查用户登录的历史记录。如发现异常,及时处理。
(三)数据加密
光有访问控制和系统安全监控还是不够的,还要对数据进行加密,防止非法窃取和调用。数据加密主要包括以下三方面的技术:
文件信息的加密:包括文件加密,文件名加密。
数据库数据的安全与加密:包括用户身份的识别和确认,访问操作的鉴别和控制;审计和跟踪;数据库外加密等。
磁介质加密:包括固化部分程序、激光穿孔加密、掩膜加密和芯片加密,修改磁介质参数表等。
(四)计算机网络安全
计算机网络安全主要是指计算机网络抵御来自外界侵袭等应采取的安全措施。必须采用国产的设备来实现网络的安全。目前主要通过采用安全防火墙系统,安全代理服务器、安全加密网关等来实现。
1.网络边界的安全
网络边界是指本单位的网络与外界网络或Internet网互连的出口边界。政府部门的计算机网络应采用统一的国际互联网出口,以便加强管理。计算机网络与Internet网或外界其它网络接入口处必须设置安全防火墙系统,该防火墙要具有加密功能和安全加密网关。
2.网络内部的安全控制和防范
网络内部安全是指应采取防范措施以控制外界运程用户对网络内部数据存取。
常用的技术手段包括:网络安全监测报警系统、数据加/解密卡、电子印章系统等。具体采用以下措施:(1)在网络中应采取对信息进行相应级别的数据源加密。(2)密钥定期更换。(3)加装网络安全监测报警系统,定期扫描网络的安全漏洞。(4)对计算机网络用户读取信息进行身份认证。(5)计算机网络服务器必须加装病毒自动检测系统,以保护网络系统的安全,防范计算机病毒的侵袭,并且定期更新网络病毒检测系统。
(五)扶持国有信息安全产业的发展
自主的信息产业或信息产品的国产化是保证电子政务安全的根本。信息安全技术、产品受制于他国是对国家安全利益的极大威胁。国家应对国有信息安全产业的发展予以充分的政策和财政支持。
综上所述,电子政务应采用“国家推动、社会参与、全局治理、积极防御、等级保护、保障发展”的策略。鉴于电子政务的信息安全面临的是一场高技术的对抗,是一场综合性斗争,涉及法律、管理、标准、技术、产品和基础设施诸多领域,所以电子政务还要从全局来构建安全保障的体系框架,以保证电子政务的健康发展。