本站小编为你精心准备了国内电子政务中的安全问题及战略参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
摘要:从电子政务安全范畴的界定入手,从物理安全、系统安全、信息安全、管理安全4个方面阐述中国电子政务中的安全问题及对策。
关键词:电子政务物理安全系统安全信息安全管理安全
近年来,在党中央、国务院的大力推动下,我国电子政务开始进入全面实施阶段,电子政务建设成为一项覆盖各级政府部门的、大型复杂的系统工程。与此同时,安全问题给电子政务工程的规划、设计、组织和实施带来了巨大的挑战。国家互联网应急中心CNCERT/CC权威的数据显示,2008上半年与2007年同期相比,网络安全事件数量有显著增加,其中政府网页信息被篡改的事件呈现大幅度上涨趋势,与2007年同期相比增加41%。因此,电子政务信息系统的安全管理成为一个必须引起各部门高度重视的问题。
一、电子政务安全范畴
谈到电子政务安全,人们立即就会联想到病毒、黑客等熟悉的名词,也很容易把它与网络安全、电子商务安全混为一谈。网络安全通常是指计算机网络系统的硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露。它更多地侧重于技术层面上网络系统安全问题的分析和对策。而电子政务安全则是一个非常复杂的系统工程,它遍布在政府信息化的各个环节之中,其范畴已经超越网络安全所指的技术层面。可以说,网络安全是电子政务安全中一个重要的组成部分。
电子政务安全和电子商务安全都是非常复杂的系统工程,但是由于电子政务本身的开放性、虚拟性、网络化的特点以及我国政府部门制定统一的电子政务建设标准和规范、全国上下可互联互通的统一平台和网络,有关国家政治经济的敏感信息和数据都对电子政务系统的安全性提出了更为严格的要求。从信息社会角度讲,电子政务安全和电子商务安全也存在着本质共性的联系,电子政务安全是实现电子商务安全的基础和保障。
电子政务安全的特殊需求实际上就是要合理地解决网络开放性与安全性之间的矛盾,在电子政务系统信息畅通的基础上,有效阻止非法访问和攻击对系统的破坏。本文将电子政务安全的范畴界定为物理安全、系统安全、信息安全、管理安全4个部分。
二、电子政务中的安全问题及对策
1.物理安全
保证计算机信息系统各种设备的物理安全是整个电子政务系统安全的前提。物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。电子政务系统采用的计算机硬件虽然在功能上有了很大的提高,但它毕竟属于高度精密的仪器,任何开发时的疏忽以及实际运行时的震荡、静电、潮湿、过热等情形都可能使其受到严重的损伤。具体来说,电子政务中的物理安全主要包括以下几个方面。一是系统运行中的安全隐患,主要包括电源问题、水患与火灾、电磁干扰与泄露以及其他的环境威胁。二是物理访问风险与控制。物理安全威胁不单来自于环境,还来自于人为操作失误及各种计算机犯罪行为。三是电子政务信息系统的场地与设施安全管理。是指中华人民共和【亘国家标准GB50173—93《电子计算机机房设计规范》、GB2887—89《计算站场地技术条件》、GB9361—88(计算站场地安全要求》对应用信息系统的场地与设施进行的安全管理。
2.系统安全
(1)硬件系统安全的问题及对策。电子政务系统的主要特征就是大量采用信息系统支持政务活动,而信息系统首先表现为各种各样的物理设备,比如计算机、磁盘、网络设备等。如果这些物理设备遭到损毁,整个系统就不可避免地会受到严重的影响。因此,首先考察硬件系统的安全问题。
并非只有软件才有漏洞,硬件系统同样可能存在各种各样的缺陷。这些缺陷一旦逃过出厂测试,就可能在实际运行中造成系统崩溃。一般而言,硬件系统的漏洞主要包括设计疏忽、元件质量低劣、人为留下的“后门”等。对于这些问题,解决办法就是做好电子政务系统硬件采购时的分析工作。在制订采购计划时要多搜集相关信息,到相关厂商处了解不同品牌、型号硬件的特点和使用,并在具体采购时仔细检查,试运行一段时间后再投入实际应用。特别需要注意的是,对于关键的系统,在采购硬件时应尽量避免使用刚刚面世的新产品,而尽可能采用比较成熟、稳定的型号,以规避人们常说的“技术风险”。电子政务系统安全类产品采购时应注意的事项包括以下几点。①产品必须具有公安部《计算机信息系统安全专用产品销售许可证》和检测报告。
②如果该产品涉及数据加密,根据《商用密码管理条例》的规定,该产品的加密算法应具有国密办的批准文号。③在选择安全产品时,应尽量选择具有我国自主知识产权的产品。这类产品具有自主知识产权的源代码,安全性较高,而且有利于厂家对产品的升级与维护。④应尽量选择具有更先进技术的安全产品。在安全领域同一种安全产品往往具有几代技术,在选购之前应适当了解该产品的技术演变,选择较先进的安全产品。⑤安全产品的系统处理速度值得考虑。安全类产品由于具有复杂的分析过滤功能,往往成为系统的瓶颈,其处理速度直接影响应用的效果。⑥注意察看安全产品在权威机构的检测报告,其各项安全功能是否达到要求。
(2)软件系统的安全问题及对策。软件系统是电子政务系统的灵魂,因此保证软件系统的安全运行、降低因软件问题导致的系统风险对电子政务系统来说至关重要。首先是计算机病毒的防范措施。对于计算机病毒的防范,一般要采取以下措施。一是定期进行数据备份,一旦遭到病毒破坏可以及时恢复主要数据。二是合理使用杀毒软件。没有任何一种反病毒软件能够防治现有的和未来产生的所有病毒,因此,必须合理使用和部署防病毒软件才能充分发挥其作用。
三是制定严格的病毒防治规章。
其次是软件漏洞与后门。现在电子政务平台使用的所有软件都不可避免地存在各种各样的安全漏洞,影响系统的稳定性和安全性。为了解决电子政务平台软件系统中的安全问题,本文针对操作系统、应用程序、数据库等方面,总结了一套软件系统安全防护措施。
①电子政务系统在操作系统安全方面的考虑。一是在电子政务系统的实际开发、构建过程中,应根据具体运行环境、安全级别,分别采用不同类别的操作系统。二是尽可能采用具有自主知识产权且源代码对我国政府公开的产品。目前国产软件在安全软件、操作系统等方面,已经具备与国外软件产品竞争的实力。因此,采用国产软件来构建电子政务系统成为一项切实可行的措施。三是尽量避免在电子政务关键部门、要害环节使用外国的产品,以免受制于外国。对于核心应用系统和关键政务环节,必须确保实施方案的技术自主性。
②在应用程序安全方面的考虑。作为软件系统的使用者应该做到:使用稳定版本的软件;经常检查操作系统和应用程序提供商的站点,一旦发现其提供的补丁程序,马上下载并应用在系统上。
③在数据库安全方面的考虑。防止SQL指令植人式攻击的第一步是采用各种安全手段监控用户输入,以确保SQL指令的可靠性。第二步是清除客户端错误信息文本中的所有技术资料。第三步是严格限制web应用程序所用数据库访问账号权限。
(3)网络系统安全。网络系统虽然也是由硬
件系统和软件系统组成的,但是由于网络安全在电子政务安全中的重要性,本文着重介绍其特有的几个安全问题及防范措施。
①口令安全。随着电子政务系统的应用,口令成为政务工作中的一部分。系统口令一般由用户自行设置,如果安全意识不强,则会存在较高的风险。
②网络监听。因为网络嗅探器可以检测到网络的流量、通信协议、信息来源、报文长短、通信周期,进而截获通信数据,所以对网络中的账户、口令等有较大的危害。
③拒绝服务(DoS)攻击。oDS的目的就是拒绝用户的正常访问,破坏系统的正常运行,甚至使电子政务网络系统失效。最基本的oDS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。
④电子欺骗攻击。电子欺骗指在网络上通过伪造可信任地址的数据包,得到不该信任的信任关系。网络通信中通信双方通过认证和信任两个前提进行。常见的电子欺骗有IP欺骗、DNS欺骗、ARP欺骗、WEB欺骗等。针对网络系统安全问题的技术防范措施很多,如入侵检测、漏洞扫描、安全审计、防火墙技术、VPN技术等,可以很好地解决上述网络系统安全问题。
3.信息安全
数据是电子政务的核心资源之一,因此其安全问题也格外重要。软件、硬件的损毁虽然可以使政府的正常业务中断,但一般在重新购置系统后仍能恢复,而政府核心数据的损毁却是不可恢复的致命灾难。解决数据安全问题的主要办法就是建立完善的管理措施。
(1)数据保护制度。政府重要数据面临的首要风险就是被他人窃取。为防止这类损失,首先就要健全数据保护制度。一是做好物理访问控制,防止外部人员接触到存有重要数据的主机、存储设备和打印机等输出设备。二是做好数据的逻辑访问控制。三是做好数据备份和灾难恢复计划。
(2)标准可信时间源的获取。时间在电子政务安全应用上具有其特定的重要意义。政务文件上的时间标记是重要的政策执行依据和凭证。
(3)信息传递过程中的加密。加密就是为了安全目的对信息进行编码和解码。电子政务应用涵盖政府内部办公和面对公众的信息服务两大方面。就政府内部办公而言,电子政务系统涉及部门与部门之间、上下级之间、地区与地区间的公文流转。这些公文的信息往往涉及机密等级的问题,必须采取适当的加密方法对信息予以保密。
4.管理安全
(1)组织管理措施。对于电子政务系统来说,要想做到合理分工,一个核心的原则就是在实际建设和应用电子政务系统时把系统的设计者、管理者、操作者、利害关系者等角色分开,尽量避免一个人同时具备多个角色。除合理分工外,牵制也是必须考虑的问题。比如在信息录入环节增设人员监督录入,既可以减少录人错误,也可以防止舞弊。此外,对于重要业务,可以在系统的工作流程中增加审核环节,并为具体操作人员设定操作规模的上限,从而提高非法操作的难度,降低风险损失。
(2)人力资源管理。政府的人力资源管理情况也会在很大程度上影响电子政务的安全。一是对人员的安全教育和保护。从安全角度看,企业的员工不仅仅是潜在的威胁,也是安全制度的执行者和保护对象。二是对内部成员的安全防范。多项针对系统安全事件调查的结果表明,绝大多数安全事件是由受害组织的内部员工实施的。一般说来,针对内部员工的安全管理措施包括以下几个方面。①合理的岗位划分和健全的牵制制度。②定期休假制度。给重要岗位的人员提供定期的休假,一方面可以让员工得到休息,另一方面在其离岗期间内,临时管理员可以发现系统的不合理状态并及时报告、调查。
③员工离任处理。一般被辞退的员工往往会产生严重的不满情绪和报复念头,同时他们又非常熟悉企业的系统结构和安全漏洞,因此很可能在离任后恶意破坏电子政务系统。为防止这种情况的发生,在员工离任时必须执行严格的处理办法。
三、结语
电子政务系统是安全高度敏感的系统,任何时候都要切实保证电子政务系统的安全,要制定严格的管理制度,对于各种系统安全风险,必须分门别类,对症下药,确保数据完整性、信息保密性、信息真实性、数据可用性等。应该站在系统的高度,综合各方面要素,在投资许可的前提下,采用多种安全技术手段确保电子政务系统的安全。