电子政务安全现状与解决方法文档格式.docx
《电子政务安全现状与解决方法文档格式.docx》由会员分享,可在线阅读,更多相关《电子政务安全现状与解决方法文档格式.docx(9页珍藏版)》请在冰豆网上搜索。
电子政务真正作为一个独立的概念出现,是在计算机网络技术相对成熟和普及之后.只有在网络技术出现之后,大量政务信息的实时共享和双向交流在技术上才成为可能,从而使传统的政务开展方式发生根本性的改变。
从这个意义上说,电子政务的物质基础是计算机网
既然电子政务是依拖于计算机网络来开展工作,那么网络上蔓延的病毒,木马,黑客等不良因素在侵犯计算机的同时也将威胁到电子政务的安全机密,
在经济和信息全球化加速发展的前景下,电子政务逐渐成为我国政府发展经济、增强国际竞争力的“好帮手”。
然而政务信息的社会化、公开化,同时也为不法之徒开启了“入侵之门”——-黑客、间谍、好事之徒都对政府的资料虎视眈眈.
电子政务的安全问题倍受人们关注,安全性问题是电子政务的首要问题,各国政府都在开展这方面的研究。
在电子政务系统的技术选择过程中,应该首先考虑政务信息的安全问题。
电子政务系统是供政府和公民使用的信息交流平台,在这之上流动的有可公知公用的信息,还有的是需要保密的非公开信息。
即使说一个电子政务网络可以提供强大的功能,可以解决大部分电子政府信息交互的问题,但其本身使用不是本国的软件、硬件,而这些软件、硬件使用的技术不是本国所掌握的或者说这些软硬件并不能保证电子政府免受病毒侵害、黑客攻击,那么,何谈电子政务的安全性,稳定性.这样一来,我们的很多政务信息就不只是“公之于众”了,而且将会是“大白于天下”了!
2001年,武汉一名黑客通过境外代理服务器,使用隐藏真实IP地址等手段,利用一种经他改造过的黑客软件,在网上大肆对国内一些地方政府网站进行攻击,先后入侵武昌区政府网站、大冶市政府网站、黄石热线网站、数字重庆网站等,肆意修改主页内容、对政府人员进行政治和人身攻击,造成了极其恶略的社会影响。
2003年,黑龙江省公安厅网络监察处在农垦公安局网监部门的配合下,侦破一起利用黑客攻击政府网站的案件,行为人潘某被抓获。
今年6月初,潘某用弱口令扫描软件进行扫描,发现辽宁一政府网站使用的是弱口令,就进入该网站,并在该网站的服务器上建立了自己的FTP服务,把自己的论坛主页上传到该网站服务器上,并做了链接.
《计算机硕士“黑客”攻击政府网站嫁祸他人被判》;
《“黑客"
今年17岁为显示自己攻击政府网站》;
《大学生在家攻击政府网站神勇公安一举拿获》……如此种种,政府网站遭受攻击的案例屡见不鲜,我国电子政务的安全堪忧.
电子政务安全是一个复杂的系统工程.仅从安全威胁的来源来看,可以分为内、外两部分。
所谓“内”,是指政府机关内部;
而“外”,则是指社会环境。
来自于外部的威胁有病毒传染、黑客攻击、信息间谍、信息恐怖活动、信息战争、自然灾害等,而来自内部的威胁则包括内部人员恶意破坏、管理人员滥用职权、执行人员操作不当、内部管理疏漏、软硬件缺陷等.
一.电子政务安全中普遍存在着以下几种安全隐患:
(一).窃取信息
由于未采用加密措施,调制解调器之间的信息以明文形式传送,入侵者使用相同的调制解调器就可以截获传送的信息.同时,政府机关内部人员更是可以十分轻松的将一些机要信息泄漏出去,此谓“监守自盗”。
(二).篡改信息
当入侵者掌握了信息的格式和规律之后,通过各种方式,在原网络的调制解调器之间增加两个相同类型的调制解调器,将通过的数据在中间修改,然后发向另一端.这便严重的破坏了原信息的完整性与有效性。
(三)冒名顶替
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户及送假冒的信息或者主动获取信息,而远端用户通常很难分辨.同时,由于内部权限分配不明或者滥用他人名义实施违法活动,极有可能造成“栽赃嫁祸”.
二.彻底杜绝电子政务网络隐患,应该做到以下几个方面:
(一).首先要加强主机本身的安全,做好安全配置,及时安装系统安全补丁程序,减少漏洞;
(二).其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出隐患,及时修补;
(三).建立完善的访问控制措施,安装防火墙,加强网络授权管理和认证;
(四).安装防病毒软件,防火墙,加强内部网的整体防病毒措施;
(五).对敏感的设备和数据要建立必要的物理或逻辑隔离措施;
(六).利用数据存储技术加强数据备份和恢复措施;
(七).建立详细的安全审计日志,以便检测并跟踪入侵攻击
在这个方面,我们还可以借鉴电子商务在安全防范方面的成功经验。
(八).加密技术
加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密).加密技术包括两个元素:
算法和密钥。
算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。
(九).数字签名
是只有信息发送者使用公开密钥算法的主要技术产生的别人无法伪造的一段数字串。
发送者用自己的私有密钥加密数据传给接收者,接收者用发送者的公钥解开数据后,就可确定消息来自于谁,同时也是对发送者发送的信息的真实性的一个证明发送者对所发信息不能抵赖。
(十).认证机构(CA)
认证机构CA是PKI的核心执行机构,是PKI的主要组成部分,一般简称为CA,在业界通常把它称为认证中心.它是一种权威性、可信任性和公正性的第三方机构.认证机构CA的建设要根据国家市场准入政策由国家主管部门批准,具有权威性;
CA机构本身的建设应具备条件、采用的密码算法及技术保障是高度安全的,具有可信任性;
CA是不参与交易双方利益的第三方机构,具有公正性。
CA认证机构在《电子签名法》中被称作“电子认证服务提供者”.
三.通过借鉴电子商务在安全防范上使用到的安全保护方法,可以使我们的电子政务拥有一个相对安全的外部环境,而内部环境,则要靠政府领导者,内部人员的共同合作,来营造一个的利于发展的环境。
(一)。
做好规划。
贯彻“以应用促安全、以安全保应用”的思想,在做好电子政务系统规划的同时必须同步做好安全系统规划;
信息安全系统建设应超前思考,长期规划,不留基础隐患;
安全系统建设与网络建设必须同步进行。
(二).健全法规。
在信息安全技术相对落后的情况下,要充分发挥管理和制度等非技术手段的作用。
各级党政机关应在信息化领导小组统一领导下,成立由信息化办、科技、公安、安全、保密、机要等部门组成的安全小组,负责对电子政务安全进行管理,明确职责,加强协作.建立机关网络信息安全前置审批制度.信息系统的使用部门要在相关部门的指导下严格管理广大操作人员,将信息安全渗透到网络的各个环节,渗透到使用的每时每刻。
应充分认识依法保障和促进信息网络健康发展的重要性,加强和完善信息网络安全有关法规及制度建设,以法制化保障信息化。
(三).加强科研。
信息安全的有效解决从根本上要落实到技术手段,电子政务安全的关键是要有自主的知识产权和关键技术,从根本上摆脱对外国技术的依赖。
通过关键技术的解决,构筑信息网络系统的安全保障信任体系。
力争尽快自主建设具有可靠技术、设备与软件的安全网络信息系统。
同时,要建立一种如同人体健康免疫机制的安全保障体系,保证信息系统在安全威胁环境中,能够预防风险,在遭到攻击时,能尽早发觉;
受到攻击后,能尽快恢复。
(四).协调共进.鉴于我国目前的信息产业还比较落后,建立一个专有的、完全安全的信息系统有相当难度。
所以我们在建设电子政务系统时必须在应用性能、安全性能、发展空间以及价格需求之间综合平衡,以实事求是和发展的眼光正确处理应用与安全的关系,“两手抓,两手都要硬"
,促进信息系统应用与安全协调发展.
(五).应急预案。
如果电子政务信息系统缺乏有效的安全管理体系和数据备份,一旦信息网络出现意外事故,一方面将对长期积累的网络信息造成灾难性损失,另一方面也没有相应的应急处理能力。
所以应尽快建立网络安全管理中心和数据备份中心,健全灾难恢复与紧急响应机制,加强管理,确保信息网络的数据安全和运行安全。
(六)。
队伍建设。
电子政务系统的应用开发、系统运行、日常维护、重要设备维修等都涉及信息安全和保密,所以必须尽快组建一支政治可靠、技术精湛、作风优良的内部技术人员队伍,为确保网络信息安全提供人才保证。
按国际上所有政府机构的通常做法,这支队伍应由政府公务员组成.
四.在电子政务系统中,政府机关的公文往来、资料存储、服务提供都以电子化的形式来实现,但在提高办公效率、扩大政府服务内容的同时,也为某些居心不良者提供了通过技术手段窃取重要信息的可能.此外,电子政务系统是基于互联网平台的,从技术角度来说,互联网是存在许多不安全因素的全球性网络,打击跨国网络犯罪难度很大。
因此,电子政务建设中的网络安全问题急待解决,而建立包括网络安全政策法规、网络安全组织管理体系、网络安全标准规范、网络安全服务产业、网络安全产品体系和网络安全基础设施6个部分的电子政务网络安全体系成为可行之路。
(一)。
法律做保障、管理增效率
在电子政务网络安全体系中,首先要健全网络安全的法律法规,强化电子政务信息安全的法制管理。
我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》等,但显得很零散,还缺乏关于电子政务网络安全的专门法规.此外,在完善法律法规的同时,还应该加大执法力度,严格执法。
第二个步骤是建立健全网络安全组织管理制度,主管部门、技术支持部门等等。
发达国家一般都建立有网络安全管理机构,在我国,安全职能涉及多个部门,虽然能各司其责,责权明确,但在许多的具体实施过程中缺乏统一性。
因此需要建立政府上网信息保密审查制度,坚持“谁上网谁负责"
;
涉密信息网络必须与公共信息网实行物理隔离;
规定在与公共信息网相连的信息设备上不得存储、处理和传递国家秘密信息。
(二)标准为指导、服务产业做支持
电子政务网络安全标准规范包括电子文档密级划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和网络安全产品测评标准等方面的内容。
把安全服务做好,需要各个安全企业联合起来,取长补短,像构筑一个大坝一样尽可能地堵住每一个安全漏洞.网络安全是一个动态的过程,安全最理想化的状态是客户能买到合适的产品,能够合理地部署并进行规范的配制,能够配备有经验的管理人员,并且和现有的IT系统无缝连接起来,这就需要靠各个厂商间彼此互相支持,为政府部门用户量身定制网络安全解决方案。
(三)技术做推动、基础设施是前提
现阶段中国各级政府部门目前所选用的高端软硬件平台,基本上都是国外公司的产品,这也对政务安全带来了许多隐患。
因此,在构建电子政务系统的时候,在可能的情况下,我们应尽量选用国产化技术和国内公司的产品。
网络安全基础设施是一种为信息系统应用主体和网络安全执法主体提供网络安全公共服务和支撑的一种社会基础设施。
众所周知,安全并没有统一的尺度,对于各地区、各部门而言,安全发展也是不平衡的,对安全的要求也随之不同。
所以评估安全风险,要在投资、收益方面做一个权衡.安全技术和产品越做越好,攻击的技术和手段也越来越高,此消彼涨.所以,应以“风险”的概念、“过程"
的角度去考虑安全问题.事实上,经过几年的探索,那种过于强调安全的倾向已经弱化,“边发展边安全”的现实做法逐渐被接受.
在电子政务安全建设中,需要权衡安全、成本、效率三者的关系。
实际上,绝对的安全是没有的,电子政务系统也不是“越安全越好”.不同的电子政务系统,对于信息安全的要求是不同的。
因此,必须根据电子政务系统的实际要求做到恰到好处。
在进行电子政务安全设计的时候,必须根据实际应用情况,协调好安全、成本、效率三者的关系.一个电子政务系统安全保密性能超出安全保密的管理要求不但没有必要,而且还会造成资金上的浪费.
因此,在电子政务建设中,我们应奉行有所为、有所不为的安全观,要体现出执政为民的宗旨。
提高政府各项工作的效率,真正把该管的事情管好,把该做的事情做好。
要重点和优先建设面向社会服务的电子政务系统,对于存有大量机密信息的秘密系统、党政核心部门可以暂时不进行面对社会的电子政务建设,待实际成熟时再建。
2004年电子商务的务实低调和“电子政务年”的延续,必然使2005年的信息化主角仍然是电子政务。
因为信息安全面对的主要应用领域当然是电子政务.经过2002年热浪的洗礼,目前电子政务的边界和外延极度扩张,除了政府,金融、通信和电子等关系国计民生的重大行业信息化也在纳入大电子政务的范围。
《国家信息化领导小组关于我国电子政务建设指导意见》(中办17号文件)明确指出,“电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离”,网络隔离+通信保密成为必不可少的安全需求.17号文件要求“要统一标准,利用统一,促进各个业务系统的互联互通、资源共享。
要用一个左右的时间,基本形成统一的电子政务内外网络平台,在运行中逐步完善。
”电子政务大量敏感信息的适度共享和交换,绝对需要权限管理和访问控制的有力支持.电子政务的重要性和特殊性必然会招致各种势力的关注和攻击,因此其对入侵检测、病毒防范和安全审计提出了更高更广的巨大要求。
这些现实的安全需求将带动网络隔离、通信保密、权限管理、访问控制、入侵检测、病毒防范和安全审计的发展.
虽然有诸多难题摆在面前,我们仍然有理由相信,2006年将是我国信息安全产业的发展年.信息共享与保密本身就是一对矛盾,但电子政务的发展需要与信息共享和安全保障相辅相成。
这种必须解决的矛盾给所有人提出了难题.电子政务的最终目标是公众服务型的电子政府,因此,应用部门和安全产业抓耳挠腮力图从各种途径解决这一不得不面对的难题,于是乎解决方案五花八门,概念炒作不绝于耳,专家意见众说纷纭.从目前的情况来看,仅有一些技术方面有实质进展,较好的解决还期待各方合力脚踏实地地研究、开发和创新应用。
这方面的探索和实践如火如荼,可以预见热闹景象必将持续2006全年。
郑善健
电子政务安全现状与解决方法
2005。
8.15
参考文献
1。
杨卫东。
我国电子政务发展现状,2001。
2.4
2。
江春.《信息化产业》第1版,武汉大学出版社,2001。
11
3。
宋玲.电子政务——21世纪的机遇与挑战[M]。
电子工业出版社
升级会员 