楊碧霞

(滁州市高新技術創(chuàng)業(yè)服務中心,安徽滁州239001)

電子政務信息安全及防范對策

楊碧霞

(滁州市高新技術創(chuàng)業(yè)服務中心,安徽滁州239001)

加強電子政務建設是建設服務型政府的重要組成部分。在電子政務建設與體系發(fā)展整體駛入快車道,以服務為導向的電子政務建設工作不斷推進的同時,信息安全意識、網(wǎng)絡漏洞、信息安全法律體系等方面都凸現(xiàn)了現(xiàn)階段我國電子政務信息安全存在風險。要著重從人才培養(yǎng)、安全技術和產(chǎn)品的選擇使用、法律保障體系建設等環(huán)節(jié)加以防范,切實保障電子政務信息安全。

電子政務信息安全;網(wǎng)絡安全;安全技術;防范對策

隨著信息網(wǎng)絡技術的飛速發(fā)展和廣泛應用,政府信息化進程也在加快推進。我國于1999年開始全面實施以信息網(wǎng)絡為平臺的日常公共行政管理、事務處理的電子政務,它降低了政府運作成本,提高了行政效率,實現(xiàn)了政務信息跨地域快速而自由的流動。與此同時,由于網(wǎng)絡的共享性、開放性,致使網(wǎng)絡安全問題也日益突出。筆者作為一名科技系統(tǒng)網(wǎng)絡維護管理員,從電子政務信息安全的視角,淺析信息安全存在風險問題,提出一些防范對策和建議。

一、電子政務信息安全目標

電子政務信息安全是指政務數(shù)據(jù)信息在接受、產(chǎn)生、處理、分發(fā)和存檔等覆蓋文件生命周期過程中受到竊取、篡改等,它涵蓋了信息環(huán)境、信息網(wǎng)絡和通信基礎設施、媒體、數(shù)據(jù)、信息內(nèi)容和信息應用等多個方面的安全需要,包括信息不受威脅、信息系統(tǒng)、信息數(shù)據(jù)的安全和信息內(nèi)容的安全等。

電子政務的安全目標就是保護政務信息資源價值不受侵犯,保證信息資產(chǎn)的擁有者面臨最小的風險和獲取最大的安全利益,使電子政務的信息基礎設施、信息應用服務和信息內(nèi)容抵御上述威脅,具有保密性、完整性、真實性、可用性、不可抵賴性和可靠性的能力。[1]

二、電子政務信息安全存在的風險

1.信息安全意識淡薄。一是工作人員安全意識不強。目前,在電子政務系統(tǒng)建設過程中還普遍存在“重技術、輕管理,重業(yè)務、輕安全”的思想,很多工作人員認為安裝了殺毒軟件和防火墻就可以抵御所有的外來侵襲。二是安全制度和安全流程的執(zhí)行力不強。電子政務系統(tǒng)自啟動運用以來,開放程度還不是太高,重要的、機密的文件還沒有通過網(wǎng)絡來處理,使得公務員和普通大眾對信息安全問題關注不夠,信息安全意識淡薄,而一些安全制度和安全流程也只是流于形式。三是領導重視程度有待進一步提高。部門領導重視工作流程的暢通性,忽略了信息安全的防范措施,在加強信息安全的重要環(huán)節(jié)上思想意識有待加強。

2.IT產(chǎn)品及通信網(wǎng)絡漏洞導致的風險。一方面是IT產(chǎn)品單一性帶來安全隱患。由于政府統(tǒng)一采購 IT產(chǎn)品,造成信息系統(tǒng)中軟硬件產(chǎn)品單一性,如同一版本的操作系統(tǒng)、數(shù)據(jù)庫軟件等,這樣攻擊者可以通過軟件編程,實現(xiàn)攻擊過程的自動化,從而導致大規(guī)模網(wǎng)絡安全事件的發(fā)生。另一方面是通信網(wǎng)絡存在多方面的威脅。電子政務網(wǎng)絡絕大多數(shù)是基于 TCP/IP、NetBEUI,IPX/SPX等網(wǎng)絡協(xié)議的通信網(wǎng)絡,并非專為安全通訊而設計,本身就可能存在多方面的威脅,因而會造成物理通道被干擾、數(shù)據(jù)信息被攔截和竊聽、數(shù)據(jù)庫服務器和電子郵件服務器等很容易受到病毒和黑客的攻擊,以及信息被泄露、篡改、抵賴、假冒等問題。

3.信息安全法律體系不健全。要發(fā)展電子政務,安全技術是基礎平臺,法律保障和創(chuàng)新管理則是必備的后臺支撐。雖然我國的電子政務從2000年開始正逐步走向法制化,但相比電子政務本身的發(fā)展要求,法律法規(guī)明顯滯后于技術發(fā)展。如:電子政務的法律地位不明確、現(xiàn)有的相關法律規(guī)范立法層次不高、立法理念和技術相對滯后、很多需要法律去規(guī)范的事項沒有相應的法律出臺、已出臺的法律法規(guī)很多不適合電子政務發(fā)展要求等。

三、電子政務信息安全防范對策及建議思考

通過對電子政務安全風險的分析,結合電子政務現(xiàn)狀與特點,應該采取多層次、多方面的安全管理方法來保障電子政務系統(tǒng)安全。

(一)增強信息安全意識,加快信息安全人才的培養(yǎng)

在諸多的安全環(huán)節(jié)中,人是最重要的因素,全面提高工作人員的信息安全意識是網(wǎng)絡信息安全與保密的最重要保證。應該進一步加強信息安全的培訓工作,舉辦不同類型的培訓班,對政府領導、一般工作人員、網(wǎng)絡管理人員等,進行分層次有針對性的培訓,從而提高管理人員的信息安全素質(zhì)。

(二)安全技術和產(chǎn)品的選擇使用

電子政務安全技術和產(chǎn)品的種類繁多,本文就密碼技術,PKI、PMI、VPN設施,數(shù)據(jù)保護方面進行簡述。[2]

1.密碼技術

密碼技術是電子政務信息安全的核心和關鍵。其主要包括密碼編碼、密碼分析、認證、鑒別、數(shù)字簽名、密鑰管理和密鑰托管等技術。數(shù)字簽名是目前電子政務中應用最普遍、技術最成熟、可操作性最強的一種電子簽名方式。它采用了規(guī)范化的程序和科學化的方法,用于鑒定簽名人的身份以及對一項電子數(shù)據(jù)內(nèi)容的認可。它還能驗證出文件的原文在傳輸過程中的有無變動,確保傳輸電子文件的完整性、真實性和不可抵賴性。

數(shù)字簽名技術是公開密鑰加密算法的典型應用。它的應用過程是,數(shù)據(jù)源發(fā)送方使用自己的私鑰對數(shù)據(jù)校驗或其他與數(shù)據(jù)內(nèi)容有關的變量進行加密處理,完成對數(shù)據(jù)的合法“簽名”,數(shù)據(jù)接收方則利用對方的公鑰來解讀收到的數(shù)字簽名,并將解讀結果用于對數(shù)據(jù)完整性的檢驗,以確認簽名的合法性。

2.PKI、PMI和VPN 設施

(1)公鑰基礎設施 PKI(public key infrastructure)。PKI是由公開密鑰密碼技術、數(shù)字證書、證書認證中心和關于公開密鑰的安全策略等基本成分共同組成,管理密鑰和證書的系統(tǒng)或平臺。電子政務 PKI系統(tǒng)由證書中心CA、注冊中心 RA、管理工具 Admin和目錄服務系統(tǒng)LDAP構成,是電子政務的安全核心,它借鑒 PKI的公鑰管理概念,為上層應用提供了完善的密鑰和證書管理機制,具有用戶管理、密鑰管理、證書管理等功能,可保證各種基于公開密鑰密碼體制的安全機制在系統(tǒng)中的實現(xiàn)。

(2)授權管理基礎設施 PMI(privilege management infrastructure)。PMI依賴于公共密鑰基礎設施 PKI的支持,任務旨在提供訪問控制和特權管理,提供用戶身份到應用授權的映射功能,實現(xiàn)與實際應用處理模式相對應的、與具體應用系統(tǒng)和管理無關的訪問控制機制,并能極大地簡化應用中訪問控制和權限管理系統(tǒng)的開發(fā)與維護?；赑KI的PMI系統(tǒng)為電子政務系統(tǒng)構建了一個嚴密的安全體系,充分保證敏感資源訪問的可控性與可審計性,并具有授權管理的靈活性,授權操作與業(yè)務操作相分離,多授權模型的靈活支持等優(yōu)點。

(3)虛擬專用網(wǎng)VPN(virtual private network)。VPN是在公共數(shù)據(jù)網(wǎng)絡上,通過采用數(shù)據(jù)加密技術和訪問控制技術,實現(xiàn)兩個或多個可信內(nèi)部網(wǎng)之間的互聯(lián)。根據(jù)電子政務建設上下貫通、橫縱互聯(lián)、高速穩(wěn)定、安全可靠等方面的要求,既要保證各種應用業(yè)務系統(tǒng)邏輯網(wǎng)絡的相對獨立性,滿足不同業(yè)務系統(tǒng)對安全性、可靠性、服務質(zhì)量和管理等方面的要求,又要能實現(xiàn)不同業(yè)務系統(tǒng)之間的互聯(lián)互通和提供相互訪問、信息交換和共享的途徑,同時確保安全性。為滿足這兩方面要求,在電子政務中主要采用了MPLS VPN技術。MPLS VPN是一種基于多協(xié)議標簽交換技術的VPN,是在網(wǎng)絡路由器和交換設備上應用MPLS技術,簡化核心路由器的路由選擇方式,利用結合傳統(tǒng)路由技術的標簽交換實現(xiàn)的IP虛擬專用網(wǎng)絡。

VPN與PKI、PMI技術是電子政務中三項關鍵性技術,三者的結合使用是電子政務信息安全的基石。

3.數(shù)據(jù)保護

電子政務系統(tǒng)中保存著大量的涉密信息,必須建立一套恢復與備份機制確保出現(xiàn)自然災害、系統(tǒng)崩潰、網(wǎng)絡攻擊或硬件故障情況時重要數(shù)據(jù)能得以恢復。根據(jù)電子政務系統(tǒng)的特點,系統(tǒng)數(shù)據(jù)安全應具備的幾個條件:支持大容量存儲;支持異地備份與恢復;跨平臺的備份能力;支持多種存儲介質(zhì)和備份模式;支持自動恢復機制。

目前最先進的數(shù)據(jù)備份技術是基于網(wǎng)絡的備份系統(tǒng),雙機熱備是電子政務系統(tǒng)穩(wěn)定、可靠、有效、持續(xù)運行的重要保證。它是通過系統(tǒng)冗余的方法解決系統(tǒng)的可靠性問題,并具有安裝維護簡單、穩(wěn)定可靠、監(jiān)測直觀等優(yōu)點。

(三)進一步完善我國網(wǎng)絡信息安全的法律保障體系

目前我國已經(jīng)出臺了一系列網(wǎng)絡信息安全方面的法律法規(guī),盡管這些法律法規(guī)的實施對于我國網(wǎng)絡信息安全起到了積極作用,但仍有相當大的局限性。針對目前我國網(wǎng)絡信息安全法律體系現(xiàn)狀,提出以下建議:

1.構建完備的信息安全法律體系。制定專門的政府信息公開法,明確規(guī)定公民享有的知情權;盡快制定網(wǎng)絡信息安全基本法,該法既要包括網(wǎng)絡與安全管理的基本原則,也要確定保障通信和言論的自由、發(fā)展電子商務的相應規(guī)范。并在此基礎上,結合我國單行立法模式完善電子政務法律體系,尤其要注重建設電子信息知識產(chǎn)權及個人信息保護法等。[3]

2.出臺維護網(wǎng)絡信息安全的配套措施,創(chuàng)新管理辦法。針對網(wǎng)絡技術發(fā)展快的特點,在制訂網(wǎng)絡信息安全的基本法的基礎上,應當逐步建立安全制度、安全標準、安全策略、安全機制等一系列配套措施,進行全面系統(tǒng)的立法。

3.完善我國現(xiàn)有法律法規(guī)。對現(xiàn)有的《電子政務法》、《電子政務技術法》和《電子政務信息安全法》進一步修正和完善,從而加大對各種侵害網(wǎng)絡信息安全的違法犯罪的處罰力度。

[1]王 謙,陳 放.加強電子政務信息安全保障體系建設[J].安防科技,2006(03).

[2]孟祥宏.電子政務信息安全互動策略研究[M].上海:上海世界圖書出版公司,2010.

[3]彭著娟,任 碩.淺談電子政務安全體系[J].天府新論,2008(2).

C931

:A

:1673-1794(2010)04-0065-02

楊碧霞(1980-),女,助理工程師,研究興趣:網(wǎng)絡技術與管理。

2010-04-24