周 萍

近年來，政府電子政務(wù)安全體系建設(shè)受到各級(jí)政府的高度重視。在各類電子政務(wù)系統(tǒng)建設(shè)中，安全無不被提高到戰(zhàn)略高度對(duì)待。政府部門或從技術(shù)手段出發(fā)，采用各類信息安全技術(shù)來保障電子政務(wù)安全，或是輔之以信息安全的制度保障，從技術(shù)加管理的角度來落實(shí)安全措施。

一、電子政務(wù)安全需求

電子政務(wù)是由政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng)三級(jí)網(wǎng)絡(luò)構(gòu)成的，政務(wù)內(nèi)網(wǎng)為政府部門內(nèi)部的關(guān)鍵業(yè)務(wù)管理系統(tǒng)和核心數(shù)據(jù)應(yīng)用系統(tǒng)，政務(wù)外網(wǎng)為政府部門內(nèi)部以及部門之間的各類非公開應(yīng)用系統(tǒng)，所涉及的信息應(yīng)在政務(wù)外網(wǎng)上傳輸，與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)。電子政務(wù)所涵蓋的信息系統(tǒng)是政府機(jī)構(gòu)用于執(zhí)行政府職能的信息系統(tǒng)。政府機(jī)構(gòu)從事的行業(yè)性質(zhì)跟國(guó)家緊密聯(lián)系，所涉及的眾多信息都帶有保密性，所以信息安全問題尤其重要。

電子政務(wù)安全主要表現(xiàn)在技術(shù)層面的安全機(jī)制和社會(huì)人文環(huán)境、道德倫理方面的保障體系。在電子政務(wù)實(shí)踐中人們的安全需求主要有三點(diǎn)：一是掃除信息網(wǎng)絡(luò)安全隱患；二是打擊違法犯罪活動(dòng)；三是保障國(guó)家信息領(lǐng)域。

二、加強(qiáng)電子政務(wù)信息安全管理對(duì)策

電子政務(wù)網(wǎng)絡(luò)安全是指信息安全和系統(tǒng)安全兩部分。信息安全包括“保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(網(wǎng)絡(luò))的安全，運(yùn)行環(huán)境的安全，保障信息安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全”。系統(tǒng)安全包括物理安全與傳輸安全、操作系統(tǒng)安全、網(wǎng)絡(luò)結(jié)構(gòu)安全、信息傳遞過程安全、身份鑒別與訪問控制、標(biāo)準(zhǔn)時(shí)間源、病毒保護(hù)、數(shù)據(jù)備份與容災(zāi)等幾個(gè)方面，其中操作系統(tǒng)安全、網(wǎng)絡(luò)結(jié)構(gòu)安全和信息傳遞過程安全成為重點(diǎn)。加強(qiáng)電子政務(wù)信息安全管理對(duì)策如下：

1使用網(wǎng)頁防篡改系統(tǒng)構(gòu)建安全網(wǎng)站。

針對(duì)政府機(jī)關(guān)Web安全性的要求，可選用網(wǎng)頁防篡改系統(tǒng)來構(gòu)建安全網(wǎng)站。網(wǎng)頁防篡改系統(tǒng)實(shí)時(shí)監(jiān)控Web站點(diǎn)，當(dāng)Web站點(diǎn)上的文件受到破壞時(shí)，能迅速恢復(fù)被破壞的文件，并及時(shí)提交報(bào)告給系統(tǒng)管理員，從而保護(hù)政務(wù)網(wǎng)每個(gè)Web站點(diǎn)的數(shù)據(jù)安全。做好服務(wù)器的安全策略配置，及時(shí)升級(jí)補(bǔ)丁程序；正確配置防火墻、入侵檢測(cè)設(shè)備策略，通過以防火墻為政府網(wǎng)站的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上，對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。既注重外部防范。又要加強(qiáng)內(nèi)部管理，在政務(wù)內(nèi)網(wǎng)與外網(wǎng)之間采用物理方式隔離，政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間采用邏輯方式隔離。

2使用漏洞掃描系統(tǒng)彌補(bǔ)缺陷。

目前，我國(guó)的信息安全形勢(shì)嚴(yán)峻，被列入防護(hù)能力最低的國(guó)家之一。所有的政務(wù)應(yīng)用和安全措施都依賴操作系統(tǒng)提供支持，操作系統(tǒng)的漏洞或配置不當(dāng)將有可能導(dǎo)致整個(gè)安全體系的崩潰。在電子政務(wù)設(shè)計(jì)建設(shè)中，使用具有自主知識(shí)產(chǎn)權(quán)且代碼對(duì)政府公開的產(chǎn)品是信息安全的根本，但由于我國(guó)沒有掌握CPU等核心技術(shù)，未能建立獨(dú)立自主的信息安全產(chǎn)業(yè)，在操作系統(tǒng)安全設(shè)計(jì)方面必須布置漏洞掃描系統(tǒng)以彌補(bǔ)操作系統(tǒng)無自主產(chǎn)權(quán)的缺陷。利用漏洞掃描工具采取時(shí)間策略定時(shí)掃描整個(gè)網(wǎng)絡(luò)地址網(wǎng)段，對(duì)多種來自通訊、服務(wù)、設(shè)備、系統(tǒng)等的漏洞進(jìn)行掃描。采用模擬攻擊的手段去檢測(cè)網(wǎng)絡(luò)上隱藏的漏洞。且對(duì)網(wǎng)絡(luò)不做任何修改或造成任何危害，并提供漏洞檢測(cè)報(bào)告和解決方案，從而有效檢查網(wǎng)絡(luò)系統(tǒng)的可靠性和安全性。

3使用隔離網(wǎng)閘技術(shù)整合網(wǎng)絡(luò)結(jié)構(gòu)。

電子政務(wù)實(shí)踐中往往產(chǎn)生內(nèi)網(wǎng)與專網(wǎng)、外網(wǎng)間的信息交換需求，然而基于內(nèi)網(wǎng)數(shù)據(jù)保密性的考慮，我們又不希望內(nèi)網(wǎng)暴露在對(duì)外環(huán)境中。解決該問題的有效方式是設(shè)置安全島，通過安全島來實(shí)現(xiàn)信息的過濾和兩個(gè)網(wǎng)絡(luò)間的物理隔離，從而實(shí)現(xiàn)安全的數(shù)據(jù)交換。隔離網(wǎng)閘技術(shù)是實(shí)現(xiàn)安全島的關(guān)鍵技術(shù)，通過添加VPN通信認(rèn)證、加密、入侵檢測(cè)和對(duì)數(shù)據(jù)的病毒掃描，就可構(gòu)成一個(gè)在物理隔離基礎(chǔ)上實(shí)現(xiàn)安全數(shù)據(jù)交換的信息安全島。在此基礎(chǔ)上，隔離網(wǎng)閘作為代理從外網(wǎng)的網(wǎng)絡(luò)訪問包中抽取出數(shù)據(jù)然后通過反射開關(guān)轉(zhuǎn)入內(nèi)網(wǎng)。完成數(shù)據(jù)中轉(zhuǎn)。另一方面，由于隔離網(wǎng)閘僅抽取數(shù)據(jù)交換進(jìn)內(nèi)網(wǎng)，因此，內(nèi)網(wǎng)不會(huì)受到網(wǎng)絡(luò)層的攻擊，這就在物理隔離的同時(shí)實(shí)現(xiàn)了數(shù)據(jù)的安全交換。

4使用PKI技術(shù)進(jìn)行加密認(rèn)證。

PKl是公鑰基礎(chǔ)設(shè)施(Public Key In-frastructure)的簡(jiǎn)稱，是一個(gè)用非對(duì)稱密碼算法原理和技術(shù)來實(shí)現(xiàn)并提供安全服務(wù)的、具有通用性的安全基礎(chǔ)設(shè)施。在電子政務(wù)和電子商務(wù)的建設(shè)中，PKI實(shí)際上是提供了一整套的、遵循標(biāo)準(zhǔn)的密鑰管理基礎(chǔ)平臺(tái)。PKI技術(shù)通過第三方的可信任機(jī)構(gòu)認(rèn)證中心CA把用戶的公鑰和用戶的其他標(biāo)識(shí)信息(如名稱、E-mail、身份證號(hào)等)捆綁在一起，通過數(shù)字身份證、數(shù)據(jù)簽名、用戶名及其訪問口令。進(jìn)行身份鑒別及訪問權(quán)限的控制，防止非法人員對(duì)網(wǎng)絡(luò)的登錄，保證網(wǎng)絡(luò)資源的使用安全性。在加密過程將密鑰分解為公開密鑰和私有密鑰，公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能由生成密鑰的交換方掌握，公開密鑰可廣泛公布。但它只對(duì)應(yīng)于生成密鑰的交換方。認(rèn)證中心CA是PKI的核心執(zhí)行機(jī)構(gòu)，承擔(dān)認(rèn)證服務(wù)、簽發(fā)數(shù)字證書，由受信任的第三方權(quán)威機(jī)構(gòu)擔(dān)當(dāng)，驗(yàn)證并標(biāo)識(shí)證書申請(qǐng)者的身份，對(duì)證書申請(qǐng)者的信用度、申請(qǐng)證書的目的、身份的真實(shí)可靠性等問題進(jìn)行審查，確保證書與身份綁定的正確性，具有唯一性和權(quán)威性。

三、結(jié)束語

電子政務(wù)信息安全系統(tǒng)的宗旨是通過在實(shí)現(xiàn)信息系統(tǒng)時(shí)充分考慮信息風(fēng)險(xiǎn)，從而確保一個(gè)政府部門能夠有效地完成政府職能。本文試圖探討如何應(yīng)用相應(yīng)技術(shù)加強(qiáng)電子政務(wù)信息安全，樹立主動(dòng)防范、積極應(yīng)對(duì)的網(wǎng)絡(luò)信息安全意識(shí)，從根本上提高網(wǎng)絡(luò)監(jiān)測(cè)、防護(hù)、響應(yīng)、恢復(fù)和抗擊的能力。