电子政务安全现状与解决方法Word文件下载.docx
《电子政务安全现状与解决方法Word文件下载.docx》由会员分享,可在线阅读,更多相关《电子政务安全现状与解决方法Word文件下载.docx(6页珍藏版)》请在冰豆网上搜索。
政务有广义和狭义之分。
其中,广义的政务泛指各类行政管理活动,而狭义的政务则专指政府部门的管理和服务活动。
目前我们在探讨电子政务建设的时候,更多地是指政府部门的信息化建设,但实际上党委、人大、政协、军队系统和企事业单位等同样有一定的行政管理活动,而且这些活动同样可以借助电子信息技术来进行。
所以,电子信息技术在公共管理中的应用,实际上要远远超出政府系统的范围。
为了避免同狭义的电子政务概念产生冲突,我们应当把这些新的交集分别命名为电子党务、电子政协、电子人大等。
利用先进的信息技术来提高办公效率,并不是政府部门的专利。
因此,我们在密切注视政府系统信息化建设的时候,还应当关注信息技术在其他管理领域更为广泛的应用。
广义电子政务与狭义电子政务之间的关系,我们可以通过概念来分析,我们将采用狭义的政务概念,即政务专门指政府部门的管理和服务活动。
与“政务”一样,并非所有的电子信息技术与政务活动相结合,都能被称为电子政务。
例如,政府部门通过传真来传递信息,就不能算是电子政务,因为电话在这里充其量只是一个传递信息的途径和手段,而不能对政务活动的内容和开展方式产生根本性的影响。
电子政务真正作为一个独立的概念出现,是在计算机网络技术相对成熟和普及之后。
只有在网络技术出现之后,大量政务信息的实时共享和双向交流在技术上才成为可能,从而使传统的政务开展方式发生根本性的改变。
从这个意义上说,电子政务的物质基础是计算机网
既然电子政务是依拖于计算机网络来开展工作,那么网络上蔓延的病毒,木马,黑客等不良因素在侵犯计算机的同时也将威胁到电子政务的安全机密,
在经济和信息全球化加速发展的前景下,电子政务逐渐成为我国政府发展经济、增强国际竞争力的“好帮手”。
然而政务信息的社会化、公开化,同时也为不法之徒开启了“入侵之门”———黑客、间谍、好事之徒都对政府的资料虎视眈眈。
电子政务的安全问题倍受人们关注,安全性问题是电子政务的首要问题,各国政府都在开展这方面的研究。
在电子政务系统的技术选择过程中,应该首先考虑政务信息的安全问题。
电子政务系统是供政府和公民使用的信息交流平台,在这之上流动的有可公知公用的信息,还有的是需要保密的非公开信息。
即使说一个电子政务网络可以提供强大的功能,可以解决大部分电子政府信息交互的问题,但其本身使用不是本国的软件、硬件,而这些软件、硬件使用的技术不是本国所掌握的或者说这些软硬件并不能保证电子政府免受病毒侵害、黑客攻击,那么,何谈电子政务的安全性,稳定性。
这样一来,我们的很多政务信息就不只是“公之于众”了,而且将会是“大白于天下”了!
2001年,武汉一名黑客通过境外代理服务器,使用隐藏真实IP地址等手段,利用一种经他改造过的黑客软件,在网上大肆对国内一些地方政府网站进行攻击,先后入侵武昌区政府网站、大冶市政府网站、黄石热线网站、数字重庆网站等,肆意修改主页内容、对政府人员进行政治和人身攻击,造成了极其恶略的社会影响。
2003年,黑龙江省公安厅网络监察处在农垦公安局网监部门的配合下,侦破一起利用黑客攻击政府网站的案件,行为人潘某被抓获。
今年6月初,潘某用弱口令扫描软件进行扫描,发现辽宁一政府网站使用的是弱口令,就进入该网站,并在该网站的服务器上建立了自己的FTP服务,把自己的论坛主页上传到该网站服务器上,并做了链接。
《计算机硕士“黑客”攻击政府网站嫁祸他人被判》;
《“黑客”今年17岁为显示自己攻击政府网站》;
《大学生在家攻击政府网站神勇公安一举拿获》……如此种种,政府网站遭受攻击的案例屡见不鲜,我国电子政务的安全堪忧。
电子政务安全是一个复杂的系统工程。
仅从安全威胁的来源来看,可以分为内、外两部分。
所谓“内”,是指政府机关内部;
而“外”,则是指社会环境。
来自于外部的威胁有病毒传染、黑客攻击、信息间谍、信息恐怖活动、信息战争、自然灾害等,而来自内部的威胁则包括内部人员恶意破坏、管理人员滥用职权、执行人员操作不当、内部管理疏漏、软硬件缺陷等。
一.电子政务安全中普遍存在着以下几种安全隐患:
(一).窃取信息
由于未采用加密措施,调制解调器之间的信息以明文形式传送,入侵者使用相同的调制解调器就可以截获传送的信息。
同时,政府机关内部人员更是可以十分轻松的将一些机要信息泄漏出去,此谓“监守自盗”。
(二).篡改信息
当入侵者掌握了信息的格式和规律之后,通过各种方式,在原网络的调制解调器之间增加两个相同类型的调制解调器,将通过的数据在中间修改,然后发向另一端。
这便严重的破坏了原信息的完整性与有效性。
(三)冒名顶替
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户及送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
同时,由于内部权限分配不明或者滥用他人名义实施违法活动,极有可能造成“栽赃嫁祸”。
二.彻底杜绝电子政务网络隐患,应该做到以下几个方面:
(一).首先要加强主机本身的安全,做好安全配置,及时安装系统安全补丁程序,减少漏洞;
(二).其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出隐患,及时修补;
(三).建立完善的访问控制措施,安装防火墙,加强网络授权管理和认证;
(四).安装防病毒软件,防火墙,加强内部网的整体防病毒措施;
(五).对敏感的设备和数据要建立必要的物理或逻辑隔离措施;
(六).利用数据存储技术加强数据备份和恢复措施;
(七).建立详细的安全审计日志,以便检测并跟踪入侵攻击
在这个方面,我们还可以借鉴电子商务在安全防范方面的成功经验。
(八).加密技术
加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。
加密技术包括两个元素:
算法和密钥。
算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。
(九).数字签名
是只有信息发送者使用公开密钥算法的主要技术产生的别人无法伪造的一段数字串。
发送者用自己的私有密钥加密数据传给接收者,接收者用发送者的公钥解开数据后,就可确定消息来自于谁,同时也是对发送者发送的信息的真实性的一个证明发送者对所发信息不能抵赖。
(十).认证机构(CA)
认证机构CA是PKI的核心执行机构,是PKI的主要组成部分,一般简称为CA,在业界通常把它称为认证中心。
它是一种权威性、可信任性和公正性的第三方机构。
认证机构CA的建设要根据国家市场准入政策由国家主管部门批准,具有权威性;
CA机构本身的建设应具备条件、采用的密码算法及技术保障是高度安全的,具有可信任性;
CA是不参与交易双方利益的第三方机构,具有公正性。
CA认证机构在《电子签名法》中被称作“电子认证服务提供者”。
三.通过借鉴电子商务在安全防范上使用到的安全保护方法,可以使我们的电子政务拥有一个相对安全的外部环境,而内部环境,则要靠政府领导者,内部人员的共同合作,来营造一个的利于发展的环境。
(一).做好规划。
贯彻“以应用促安全、以安全保应用”的思想,在做好电子政务系统规划的同时必须同步做好安全系统规划;
信息安全系统建设应超前思考,长期规划,不留基础隐患;
安全系统建设与网络建设必须同步进行。
(二).健全法规。
在信息安全技术相对落后的情况下,要充分发挥管理和制度等非技术手段的作用。
各级党政机关应在信息化领导小组统一领导下,成立由信息化办、科技、公安、安全、保密、机要等部门组成的安全小组,负责对电子政务安全进行管理,明确职责,加强协作。
建立机关网络信息安全前置审批制度。
信息系统的使用部门要在相关部门的指导下严格管理广大操作人员,将信息安全渗透到网络的各个环节,渗透到使用的每时每刻。
应充分认识依法保障和促进信息网络健康发展的重要性,加强和完善信息网络安全有关法规及制度建设,以法制化保障信息化。
(三).加强科研。
信息安全的有效解决从根本上要落实到技术手段,电子政务安全的关键是要有自主的知识产权和关键技术,从根本上摆脱对外国技术的依赖。
通过关键技术的解决,构筑信息网络系统的安全保障信任体系。
力争尽快自主建设具有可靠技术、设备与软件的安全网络信息系统。
同时,要建立一种如同人体健康免疫机制的安全保障体系,保证信息系统在安全威胁环境中,能够预防风险,在遭到攻击时,能尽早发觉;
受到攻击后,能尽快恢复。
(四).协调共进。
鉴于我国目前的信息产业还比较落后,建立一个专有的、完全安全的信息系统有相当难度。
所以我们在建设电子政务系统时必须在应用性能、安全性能、发展空间以及价格需求之间综合平衡,以实事求是和发展的眼光正确处理应用与安全的关系,“两手抓,两手都要硬”,促进信息系统应用与安全协调发展。
(五).应急预案。
如果电子政务信息系统缺乏有效的安全管理体系和数据备份,一旦信息网络出现意外事故,一方面将对长期积累的网络信息造成灾难性损失,另一方面也没有相应的应急处理能力。
所以应尽快建立网络安全管理中心和数据备份中心,健全灾难恢复与紧急响应机制,加强管理,确保信息网络的数据安全和运行安全。
(六).队伍建设。
电子政务系统的应用开发、系统运行、日常维护、重要设备维修等都涉及信息安全和保密,所以必须尽快组建一支政治可靠、技术精湛、作风优良的内部技术人员队伍,为确保网络信息安全提供人才保证。
按国际上所有政府机构的通常做法,这支队伍应由政府公务员组成。
四.在电子政务系统中,政府机关的公文往来、资料存储、服务提供都以电子化的形式来实现,但在提高办公效率、扩大政府服务内容的同时,也为某些居心不良者提供了通过技术手段窃取重要信息的可能。
此外,电子政务系统是基于互联网平台的,从技术角度来说,互联网是存在许多不安全因素的全球性网络,打击跨国网络犯罪难度很大。
因此,电子政务建设中的网络安全问题急待解决,而建立包括网络安全政策法规、网络安全组织管理体系、网络安全标准规范、网络安全服务产业、网络安全产品体系和网络安全基础设施6个部分的电子政务网络安全体系成为可行之路。
(一).法律做保障、管理增效率
在电子政务网络安全体系中,首先要健全网络安全的法律法规,强化电子政务信息安全的法制管理。
我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》等,但显得很零散,还缺乏关于电子政务网络安全的专门法规。
此外,在完善法律法规的同时,还应该加大执法力度,严格执法。
第二个步骤是建立健全网络安全组织管理制度,主管部门、技术支持部门等等。
发达国家一般都建立有网络安全管理机构,在我国,安全职能涉及多个部门,虽然能各司其责,责权明确,但在许多的具体实施过程中缺乏统一性。
因此需要建立政府上网信息保密审查制度,坚持“谁上网谁负责”;
涉密信息网络必须与公共信息网实行物理隔离;
规定在与公共信息网相连的信息设备上不得存储、处理和传递国家秘密信息。
(二)标准为指导、服务产业做支持
电子政务网络安全标准规范包括电子文档密级划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥
升级会员 