电子政务信息安全风险分析与防范策略
2003-11-1715:05
摘要
我国电子政务信息安全风险主要存在于观念、技术、管理和法律方面。要强化电子政务环境下公务员的信息安全意识,建立电子政务信息安全管理机构,完善信息安全基础设施和扶持国有信息安全产业的发展。
1电子政务信息安全的内涵
电子政务是政府管理方式的革命,它是运用信息以及通信技术打破行政机关的组织界限,构建一个电子化的虚拟机关,使公众摆脱传统的层层关卡以及书面审核的作业方式,并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等,高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。电子政务的建立将使政府成为一个更符合环保精神的政府,一个更开放透明的政府,一个更有效率的政府,一个更廉洁勤政的政府。然而,电子政务的职能与优势得以实现的一个根本前提是信息安全的有效保障。因为电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。如果电子政务信息安全得不到保障,电子政务的便利与效率便无从保证,对国家利益将带来严重威胁。电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题。
电子政务的信息安全可以理解为:
(1)从信息的层次看,包括信息的完整性(保证信息的来源、去向、内容真实无误)、保密性(保证信息不会被非法泄露扩散)、不可否认性(保证信息的发送和接收者无法否认自己所做过的操作行为)等。
(2)从网络层次看,包括可靠性(保证网络和信息系统随时可用,运行过程中不出现故障,遇意外事故能够尽量减少损失并尽早恢复正常)、可控性(保证营运者对网络和信息系统有足够的控制和管理能力)、互操作性(保证协议和系统能够互相联接)、可计算性(保证准确跟踪实体运行达到审计和识别的目的)等。
(3)从设备层次看,包括质量保证、设备备份、物理安全等。
(4)从管理层次看,包括人员可靠、规章制度完整等。
2电子政务信息安全风险分析
现阶段,我国电子政务信息安全系数比较低。公安部1998年8月在江苏、上海、广东等省(市)对169信息网进行检测,发现其设防能力十分脆弱,难以抵御任何方式的电子攻击。电子政务信息安全风险主要存在4个方面。
2.
1观念方面
著名信息安全专家、中国工程院院士沈昌祥从国家安全利益出发,提出应把信息系统安全建设提高到研制“两弹一星”的高度去认识。1999年政府上网工程启动以来,政府部门越来越重视网络系统建设,看重网络带来的便利与高效,但是有些地方对信息安全工作未引起足够重视。据估计,我国在网络工程中网络安全的投入费用不到2%,同国外的10%相比有较大差距。现阶段,电子政务网络的开放程度不高,一些机密信息目前还没有上网,再加之公众对计算机犯罪的态度较为“宽容”,认为并没有造成直接的人员财产损失,这都使得公务员和普通大众对信息安全问题关注不够,信息安全意识淡薄。
2.
2技术方面
(1)计算机系统本身的脆弱性,使得它无法抵御自然灾害的破坏,也难以避免偶然无意造成的危害。如:洪水、火灾、地震的破坏,系统所处环境的影响(温湿度、磁场、碰撞、污染等),硬件设备故障,突然断电或电压不稳定及各种误操作等。这些危害会损害操作系统设备,有时会丢失或破坏数据,甚至毁掉整个系统。
(2)网络本身存在缺陷。首先,软件本身缺乏安全性。操作系统的设计一般着重于提高信息处理的能力和效率,对于安全只是作为一项附带的条件加以考虑。因此,操作系统中的安全缺陷相当多。其次,通信与网络设备本身有弱点。绝大多数电子政务信息网络运行的是tcp/ip,netbeui,ipx/spx等网络协议,而这些网络协议并非专为安全通讯而设计。利用这些网络进行服务,本身就可能存在多方面的威胁,加之使用者信息安全意识淡薄,管理者管理措施不力等原因,会造成一些常见的安全问题:对物理通路的干扰;网络链路传送的数据被窃听;非授权用户非法使用,信息被拦截或监听;操作系统存在的网络安全漏洞;应用平台的安全,如数据库服务器、电子邮件服务器等均存在大量的安全隐患,很容易受到病毒、黑客攻击;直接面向用户的应用系统存在的信息泄露、信息篡改、信息抵赖、信息假冒等。再次,目前世界上还缺乏统一的操作系统、计算机网络系统和数据库管理系统,缺乏统一的信息安全标准、密码算法和协议,因而无法进行严格的安全确认。
(3)我国具有自主知识产权的信息设备、技术、产品较少,如计算机芯片、骨干路由器和微机主板等基本上从国外进口,且对引进技术和设备缺乏必要的技术改造,尤其是在系统安全和安全协议的研究和应用方面。而美欧等发达国家对我国限制和封锁信息安全高密度产品,出口到我国的信息产品中留有安全隐患。例如,美国出口我国的计算机系统的安全系统只有c2级,是美国国防部规定的8个安全级别之中的倒数第三;在操作系统、数据库管理系统或应用程序中预先安置从事情报收集、受控激发破坏的“特洛伊木马”程序,一旦发生重大情况,那些隐藏在软件中的“特洛伊木马”就能够在某种秘密指令下激活,造成我国电子政务关键软件系统的瘫痪。
2.
3管理方面
对现有的网络攻击和入侵事件的一项统计报告显示。国外政府入侵的安全风险指数为21%,黑客入侵的安全风险指数为48%,竞争对手入侵的安全风险指数为72%,组织内部不满雇员入侵的安全风险指数为89%。这说明,电子政务信息安全不是单纯的技术问题。如果没有从管理制度、人员和技术上建立相应的电子化业务安全防范机制,缺乏行之有效的安全检查保护措施,再好的技术和设备都无法确保其信息安全。管理上的漏洞,例如,机房重地随意进出,微机或工作站管理人员在开机状态下擅离岗位,敏感信息临时存放在本地的磁盘上,这些信息处于未保护状态,都会为外部入侵,更为内部破坏埋下隐患。其中,来自内部的安全威胁可能会更大,因为内部人员了解内部的网络、主机和应用系统的结构;能够知道内部网络和系统管理员的工作规律,甚至自己就是管理员;拥有系统的一定的访问权限,可以轻易地绕过许多访问控制机制;在内部系统进行网络刺探、尝试登录、破解密码等都相对容易。如果内部人员为了报复或销毁某些记录而突然发难,在系统中植入病毒或改变某些程序设置,就有可能造成损失。内部人员的破坏活动也并不局限于破坏计算机系统,还包括越权处理公务、窃取国家机密数据等。
2.
4法律方面
黑客攻击、病毒入侵等网络犯罪的日益增多与网络信息安全法制不健全和对网络犯罪的惩治不力密不可分。一方面,我国已经出台了一系列与网络信息安全有关的法律法规,例如:《计算机软件保护条例》(1992年)、《中华人民共和国计算机信息系统安全保护条例》(1994年)、《警察法》(1995年)、《公安部关于对国际联网的计算机信息系统进行备案工作的通知》(1996年)、《中华人民共和国信息网络国际联网管理暂行规定》(1997年)、《计算机信息网络国际联网安全保护管理办法》(1997年),《商用密码管理条例》(1999年)、《计算机信息系统国际联网保密管理规定》(2002年)等。此外,1997年3月颁布的新《刑法》第285条、第286条、第287条,对非法侵入计算机信息系统罪、破坏计算机信息系统罪,以及利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家机密等犯罪行为,作出了规定。尽管这些法律法规的出台和实施对于我国网络信息的安全起到相当积极的作用,但仍难以适应网络发展的需要,信息安全立法还存在相当多的盲区。
另一方面,已颁布实施的法律法规不仅规定了出入口制度和市场准入制度,确定了网络信息安全管理机构,阐明了安全责任,而且明确了法律责任,对于危害网络信息安全的个人和单位,规定了经济处罚、行政处罚和刑事处罚等三大类型。但是由于网络犯罪的隐蔽性和高科技性,给侦破和审理带来了极大困难,再加上其他原因,导致执法部门的打击力度有限,在法律的执行上还有不到位之处,一些违法情况及当事人还未得到及时处理和制裁。
3电子政务信息安全的防范策略
3.
1强化电子政务环境下公务员的信息安全意识
所谓的信息安全意识,是指公务员对电子政务中信息安全问题主要表现与危害以及保证政府信息安全的意义的正确认识,发现电子政务中影响信息安全的现象和行为的敏锐性,维护电子政务信息安全的主动性。强化公务员的信息安全意识就是要让公务员认识到电子政务信息安全是电子政务正常而高效运转的基础,是保障国家信息安全甚至国家安全的重要前提,从而牢固树立信息安全第一的思想。我国各级政府部门要利用多种途径对公务员进行电子政务信息安全方面的教育。一是通过大众传播媒介,增强公务员信息安全意识,普及信息安全知识。二是积极组织各种专题讲座和培训班,培养信息安全人才,并确保防范手段和技术措施的先进性和主动性。三是要积极开展安全策略研究,明确安全责任,增强公务员的责任心。
3.
2建立电子政务信息安全管理机构
首先,政府部门要严格按照《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络安全保护管理办法》的规定,在国家安全部,国家保密局,国务院有关部门及各省、市、自治区公安厅(局),地(市)、县(市)公安局负责计算机网络信息系统安全保护的行政管理下,建立本单位、本部门、本系统的组织领导管理机构,明确领导及工作人员责任,制定管理岗位责任制及有关措施,严格内部安全管理机制,并对破坏电子政务信息安全的事件进行调查和处理,确保网络信息的安全。
其次,要完善“网上警察”队伍建设,加大监视和打击网络犯罪活动的力度。我国于1983年成立了公安部计算机管理和监察局,1985年全国人大通过了《警察法》,其目的就是“监督计算机信息系统安全保护工作”。1998年又成立了公安部公共信息网络安全监察局,并逐步形成了一支“网上警察”。当前,公安部门的首要任务是吸纳高级信息安全人才充实到网上警察队伍,提高网上警察的快速反应能力、侦察与追踪水平等。
3.
3完善我国信息安全基础设施
当前迫切需要建立的国家信息安全基础设施包括。国际出入口监控中心、安全产品评测认证中心、病毒检测和防治中心、关键网络系统灾难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、网络安全紧急处置中心、电子交易证书授权中心、密钥恢复监管中心、公钥基础设施与监管中心、信息战防御研究中心等。
3.
4倾力扶持国有信息安全产业的发展
自主的信息产业或信息产品国产化是保证电子政务信息安全的根本。信息安全技术、产品受制于他国是对国家安全利益的极大威胁。国家应对国有信息安全产业的发展予以充分的政策和财政支持。当前,应在以下3种技术上求得突破:一是能逐步改善信息安全状况、带有普遍性的关键技术,如密码技术、鉴别技术、病毒防御技术、入侵检测技术等;二是创新性强、可发挥杠杆作用的突破性技术,如网络侦察技术、信息监测技术、风险管理技术、测试评估技术和tempest技术等;三是能形成“撒手锏”的战略性技术,如操作系统、密码专用芯片和安全处理器等。还要狠抓技术及系统的综合集成,以确保电子政务信息系统的安全可靠。令人可喜的是,2002年8月19日由我国自主开发的高性能通用芯片“龙芯1”运行成功,这是我国信息安全产业发展史上具有里程碑意义的事件。
3.
5健全法律,严格执法
法律是保障电子政务信息安全的最有力手段,发达国家已经在政府信息安全立法方面积累了成功经验,如美国的《情报自由法》和《阳光下的政府法》、英国的《官方信息保护法》、俄罗斯的《联邦信息、信息化和信息保护法》等。我国立法部门应加快立法进程,吸取和借鉴国外网络信息安全立法的先进经验,尽快制定和颁布个人隐私保护法、数据库振兴法、信息网络安全性法规、预防和打击计算机犯罪法规、数字签名认证法、电子凭证(票据)法、网上知识产权法等,以完善我国的网络信息安全法律体系,使电子政务信息安全管理走上法制化轨道。另外,执法部门还要进一步严格执法,提高执法水平,确保各项法律法规落到实处。对于各种违法犯罪情况要严加追究,绝不姑息,对于各种隐患要及时加以预防和制止。
参考文献
1
黄志澄.电子政务的内涵及发展.中国信息导报,2002(4)
2
杨义先,林晓东,邢育森.信息安全综论.电信科学,1997(12)
3,5,7,
冯杰,李会欣.我国电子政府安全运行分析.新视野,2002(5)
4,8
崔丽,沈昌祥.国家安全概念:对信息系统的安全应从“两弹一星”的高度去认识.中国青年报,1999-06-18
6
尹秀莲,于跃武.电子政务与网络信息安全.内蒙古科技与经济,2002(2)
9,10
汤志伟.电子政府的信息网络安全及防范对策.电子科技大学学报(社科版),2002(1)
11
娄策群.保障电子政府信息安全的政策选择.情报科学,2002(5)
12
杨海平.网络信息安全研究.情报科学,2000(10)
13
蒋坡.国际信息政策法律比较.北京:法律出版社,2001
作者:武汉大学信息管理学院2001级硕士研究生
王欢喜
第二篇:政府电子政务信息安全问题与应对策略政府电子政务信息安全问题与应对策略
[摘要]在信息技术高速发展的今天,互联网用户对于信息安全方面越来越重视。为方便群众的生产生活,我国绝大多数地方政府都开放了政府电子政务平台,由于电子政务逐渐凸显出在政府实务工作中的优势特性,所以面对安全问题我们更需要保障和提高政府办公电子政务的相关信息不被窃取泄露。文章对政府电子政务信息安全中出现的问题进行探讨并提出一些应对策略。
[关键词]政府;电子政务;信息安全;策略
[doi]10.13939/j.cnki.zgsc.2017.15.313
由于我国近几年电子商业产业发展势头十分迅猛,政府办公政务处理工作也越来越依赖于电子政务处理,由于电子政务具备行政透明性、办事效率更高、节约政府行政成本等优势,因此现如今各地市政府都致力于建立完善的电子政务机制,尤其需要注意电子政务的安全性问题,我们要致力于利用构建安全性比较强的电子政务处理系统提升政府处理公务能力。接下来,笔者将谈一谈在进行电子政务建设的过程中出现的一些问题,并且针对出现的问题提出相应改进策略。
1政府电子政务信息安全问题
1.1电子政务网站漏洞,造成信息安全问题
在进行政府电子政务网站架构的过程中,由于互联网技术起步比较晚,在很多技术层面还存在着问题,相比较于外国先进国家的电子政务网站还具备相当的差距,在电子政务办公网站有一些容易被攻击的漏洞存在,尽管一些政府办公的网站采用内外网隔离的方式以及专用网和因特网互相隔离等安全防范措施,在一定程度上消除了网站被攻击的漏洞,但是依然是有迹可循的。
由于网络通信的形式本身就具备一定的漏洞,很多的网络通信信息都是通过电磁波的形式来传播,如果人们能捕捉到包含通信信息的电磁波,再利用特殊的破解手段,就能盗取到客户的信息。部分黑客们利用sql注入攻击的手段,将sql攻击命令注入web的表格中,再通过欺骗性域名、字符串来达到攻击网站服务器的目的。还有一些黑客会利用跨站点脚本的手段来查找到网站中存在的漏洞,在网站中插入一些自己设定的链接来偷取浏览网站的用户的信息。其中还有一种比较常见的攻击网站方式为ddos攻击方式,这种攻击方式往往比较隐蔽,不容易被信息安全维护员发现,其主要是通过一些合乎网站服务器的命令进行反复占用网络资源,让服务器超载,从而在进行其他网络游客命令要求的时候不能及时进行响应,也就是我们常见的服务器卡顿现象。
1.2电子政务管理漏洞,造成信息安全问题
由于我国互联网产业发展过快,人们对于互联网的认识速度还没有跟上互联网发展的步伐,在进行电子政务相关建设工作的时候,对于从事政府事务处理的人员的管理方面有一定的漏洞,我国现在缺乏一个具备最高管理权威的相关信息安全规划机构去管理相关的信息安全事务,而且在地方上的政府电子政务环境下,内部管理也比较薄弱,对于内部人员的监控力度不到位甚至是没有监控措施,很多操作都没有阻断措施,导致一些黑客有机可乘,利用管理漏洞偷取用户信息,造成信息安全隐患,甚至是一些政府人员也利用职务之便进行用户信息的偷取。
1.3电子政务法律漏洞,造成信息安全问题
由于我国电子政务相关体系仍然在建设之中,不仅仅是电子政务方面的信息管理法律法规,甚至于整个互联网行业的法律法规体系也不够完善,仅仅是近些年出台的网络信息相关法律还是远远不够的,其适用范围仍然不够广泛,不能全面应用于电子政务运作中,就给了黑客们犯罪打“擦边球”的机会,而且往往由于网络管理秩序混乱,不能给黑客及时的惩罚。
2政府电子政务信息安全问题应对策略
2.1加强网络安全防护,提升信息安全
政府在进行电子政务网站构建的时候就需要加大网站完善力度,要重视网站安全级别,对于网站响应的服务器和操作系统,甚至所用的通信网络都进行及时的更新与升级,不断加固网站安全级别,鼓励各个安全部门加大对于网站防护系统的开发,致力于开发出响应国家电子政务推动号召的新型安全系统。这也需要国家加大对于电子政务方面信息安全开发的投入,积极鼓励相应人才研发出适合中国本土的核心技术,多多应用我国自主开发的源代码相关信息安全产品。
在电子政务实施中,要注意提升计算机安全技术相应的平台作为支撑,设置相对应的网访问权限,让参与电子政务的工作人员建立相对封闭的网络访问途径,提升网络安全防护能力。
2.2加强信息保护政策,提升信息安全
面对我国信息安全管理方面的薄弱问题,我们要严格实施人员管理制度,制定相关的比较严格的监督政策,定期进行数据备份,避免由于管理疏忽导致黑客成功入侵破坏数据的情况,并且在各个部门之间都要设置权限和监督,面对涉及的重要机密问题,使用内部网络访问的管理办法限制信息获取人员的数量,进而减少信息泄露的概率。我们还可以通过在信息访问过程中添加网络域访问控制、人员身份识别等加密方式,尽可能地进行信息保护。另外,我们还需要提升政府人员对于信息保密的认识,给员工们进行定期的相关信息安全知识培训,从潜移默化中保证工作人员重视信息安全问题,让从事电子政务的人员能具备比较强的安全意识。给各个部门不同的访问权限,让各个部门人员各司其职,控制数据文件的操作能力,并能在每一次数据操作后都能留下记录。政府也需要从高校中大量招收专业技术过硬的人才,进行信息安全专业人员的补充,从主观层面上提升电子政务安全级别。
此处内容需要权限查看
会员免费查看[1]肖峰.烟草信息安全风险分析及策略控制[j].现代商业,2015(23).
[2]周肖肖.烟草行业电子政务项目建设中的风险管理实践[d].北京:北京邮电大学,2009.
[3]陈永泰.安全域在甘肃烟草安全防护体系中的应用研究[d].兰州:兰州理工大学,2012.