《试论电子政务安全管理体系建设》由会员分享,可在线阅读,更多相关《试论电子政务安全管理体系建设(9页珍藏版)》请在金锄头文库上搜索。
1、试论电子政务安全管理体系建设试论电子政务安全管理体系建设引 言电子政务作为一种新型的政务管理技术,正在我国蓬勃发展,可以毫不夸张地说,现在如果缺少了电子信息技术这个手段,或者说如果因为安全问题导致电子政务系统无法正常运行,大量的政府部门将完全无法开展正常的工作,将直接给地方的经济发展带来巨大的负面影响。因此,对电子政务安全问题进行研讨是十分及时和必要的。一、电子政务概念和安全问题现状电子政务是指政府机构在其管理和服务职能中运用现代信息技术,实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,建成一个精简、高效、廉洁、公平的政府运作模式,是一国的各级政府机关或者是有关机构借助电
2、子信息技术而进行的政务活动,是全面提高政府社会管理能力与公共服务水平的重要技术手段。其实质是通过应用现代信息技术,转变政府传统的集中管理,分层结构运行模式,以适应数字化社会的需求。电子政务模型可简单概括为三方面:政府部门内部利用先进的网络信息技术实现办公自动化、管理信息化、决策科学化;政府部门之间通过计算机网络而进行的信息共享和适时通信;政府部门与社会各界利用网络信息平台充分进行信息共享与服务、加强群众监督、提高办事效率及促进政务公开等等。因此“政府上网工程”与“电子政务”可谓互为因果,相辅相成, “政府上网工程”的最终目标正是推动电子政务的实现。通过实地的调查研究,尤其是针对某些政府部门在电
3、子政务应用中发现的问题进行总结,发现当前主要存在五方面的问题,应该引起各有关方面的高度重视。1、网、网络络安全域的划分和控制安全域的划分和控制问题问题很显然,安全与开放是矛盾的,这个在电子政务的应用中也同样存在且显得尤为重要。电子政务中的信息涉及到国家秘密、国家安全,因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向,一是要为社会提供行政监管的渠道,二是要为社会提供公共服务,如社保医保、大量的公众咨询、投诉等等,它同时又需要一定程度的开放。因此如何合理地划分安全域,通俗地讲,能让老百姓看什么,不能让老百姓看什么,在这两者之间寻求一个平衡点就显得非常重要。如一些单位采用 VPN 的形式进
4、行某些业务操作,但是操作中的部分数据又想通过 WEB 方式给公众浏览,这时就存在在网络拓扑中 WEB应该摆在什么位置、业务数据中心库应该摆在什么位置、如何利用防火墙等网络安全设备合理划分这些域等等问题。而同时前一阶段正是由于政府公开的信息中过分强调了“安全”这个问题,弱化了“开放”,导致了很多政府部门在电子政务的实际应用中发挥不了多大的正面作用,甚至有负面作用的存在,如制作了一个网页以后无人定期进行维护导致与实际内容有所偏差,甚至有的是明显的错误等。在全社会广泛关注的情况下,一些部门为了迅速扭转在社会公众面前的形象,盲目地将一些信息公开化,导致了一些泄密事件的发生。 2、内部、内部监监控、控、
5、审审核核问题问题电子政务与电子商务的不同点在很大程度上是体现在对公网的利用率上。就像前面提到的电子政务模型中的政府部门内部利用先进的网络信息技术实现办公自动化、管理信息化、决策科学化这一块,就基本是利用 VPN 等技术实现的专网。抛开公网的庞大黑客群体不谈,内部人员是否对网络进行恶意的操作和是否具有一定程度的网络安全意识,在很大程度上决定该单位网络本身的安全等级系数和防护能力。目前绝大部分单位都没有系统可以实时对内部人员除个人隐私以外的各项具体操作进行监控和记录,更不用谈对一些非法操作进行屏蔽和阻断了。3、 、电电子政子政务务的信任体系的信任体系问题问题电子政务要做到比较完善的安全保障体系,第
6、三方认证是必不可少的。只有通过一定级别的第三方认证,才能说建立了一套完善的信任体系。目前比较流行的或者说使用比较广泛的就是 P KI 信任体系。它包括了密码算法的选择、CPS 的制定、捆绑的安全强度等等,但是不能忽视的一点是,这些都是基于电子商务的基础之上建立起来的。电子商务与电子政务毕竟是有很大的不同,如果我们只是简单地把 P KI 的电子商务应用模式应用到电子政务中来的话,虽然不能说是一团糟,但是它肯定会“水土不服”,出现问题将在所难免。4、数字、数字签签名名(签发签发)问题问题在电子政务中,要真正实行无纸化办公,很重要的一点是实现电子公文的流转,而在这之中,数字签名(签发)问题又是重中之
7、重。原因在于这是使公文有效的必要条件。一旦在这个环节上出了问题,可能就会出现很多假文件、错文件,严重的将直接影响政府部门的正常运作。但是,从目前的情况看,数字签名系统不但在实际操作中存在能不能接受的问题,而且系统本身也都不是很完善。5、 、电电子政子政务务的灾的灾难难响响应应和和应应急急处处理理问题问题在 2000 年来临前夕,各个单位都对 Y2K 问题进行了全面准备,当中很重要的一项就是灾难响应和应急处理措施。五年多过去了,这类的措施已经部分或全部失去了作用,原因之一是政府部门在制定这些灾难响应和应急处理措施时,目标都比较局限于 Y2 K 问题。在计算机技术飞速发展的现在,已经无法应付层出不
8、穷的各类问题了。况且由于资金等因素的存在,建立全社会的响应中心、支援网络和数据灾难备份的基础设施等方面都存在着很大的隐患,一旦出现问题,后果不可想象。很多单位在进行网络规划的时候,根本就没有考虑到作为系统核心部分数据库本身的安全问题,完全依赖于整个网络的防护能力,一旦网络的安全体系被穿破或者直接由内部人员利用内网用户的优势进行破坏, “数据”可以说无任何招架之力。二、电子政务安全系统的设计电子政务安全系统是以策略为指导,以技术为基础,以管理为核心的安全系统框架。电子政务安全系统是在基于各种安全技术为安全基础设施的保障下,以安全策略为指导,通过统一的安全管理平台,提供全面的安全服务内容,形成一个
9、互为协作的统一体。整个安全系统满足从物理通信到网络、从系统平台到数据和应用平台等各个层面的安全需求,从而形成完整的信息安全体系框架。因此,电子政务的安全保障体系应从以下几个方面进行设计,并根据这些要求来选择安全产品。1、行政管理手段、行政管理手段(1)双人同行的门禁管理,防止单人进出中心要地;(2)核心设备的密码由双人管理。核心设备如服务器、存储器、交换机、路由器等;(3)对用户的注册、退网、用网等要有严格的管理规章制度;(4)对数据交换中心核心信息的增加、删除和备份要严格实行登记制度;(5)对系统运行要有监控和应急处理措施,特别是在门户网站的24 小时监控、预警和快速恢复等方面;(6)网络中
10、心机房的屏蔽技术,要经当地保密部门测试并认可;(7)网络中心机房的双路供电和不间断电源条件应满足实际需要。2、基于网、基于网络设络设施的基本安全防御系施的基本安全防御系统统该防御系统包括防火墙、入侵检测、防病毒、脆弱性扫、防 WEB篡改、链路加密、安全审计和入网认证等。(1)防火墙技术防火墙是保护内部网络资源、控制内部用户对网络的访问权限、认证并过滤处来用户访问的请求和信息流的系统。它是一个以隔离为目的的安全网关设备,能够安全地监控网络之间、用户和政务网之间的任何活动,保证了内部网络的安全。(2)入侵检测系统(IDS)入侵检测系统全称为 Intrusion Detection System,它
11、从计算机网络系统中的关键点收集信息并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵油松被认为是防火墙之后的第二道安全闸门。(3)病毒防护技术病毒是一种具有自我复制能力,能够在隐蔽情况下执行编写者意图的非法程序。与其他程序相同,病毒只有运行之后才会发挥其功能。由于用户不会故意运行病毒,因此病毒必须依附于用户要运行的文件当中(包括可执行文件和嵌入了宏的文档文件)。计算机病毒将自己的代码写入宿主程序的代码中(大部分是附加在头、尾),以感染宿主程序。每当用户运行受感染的宿主程序时也将运行计算机病毒;这样病毒就自我复制,执行创造者的意图并交感染其他程序。(4)漏洞扫描技术漏洞扫描
12、技术是一个全面的针对系统与网络安全性脆弱性进行分析和评估的技术。它主要是利用目前所发现和公布的危害系统和网络方法对待测网络目标扫描分析,检查并报告系统存在的安全脆弱性和漏洞所在,评价安全脆弱性对网络系统的危害程度,并且提出相应的安全防护措施和应实施的安全策略,最终达到增强网络安全性的目的。(5)物理隔离技术物理隔离技术是内外两个网络物理隔离,但逻辑上实现数据交换的一种技术。物理隔离的一个特征,就是内网与外网永不连接,内网和外网在同一时间最多只有一个同隔离设备建立非 TCP/IP 协议的数据连接,其数据传输机制是存储和转发。(6)链路加密和 VPN 技术采用链路加密和网络 VPN 技术使工程组内
13、部网络用户与其他用户之间隔离,以提高信息的安全度。(7)入网认证与审计对电子政务中一些安全保密度要求高的应用系统的用户实行入网认证和审计,将用户名、密码、IP、MAC、VLAN、PORT 等进行捆绑,为用户颁发入网证书。这样,可以保障只有合法用户才能注册网络。此外,应用系统能对用户用网情况实施跟踪,对系统安全状况进行适用审计。(8)安防 PC 技术在具有内网和外网两种信息接口环境下的工作人员,一旦把带有涉密信息的计算机误接到外网上,就有泄密的危险性。安防 PC 技术、防火墙技术、网络安全卫士技术等可能保护计算机文件系统和数据不被网络用户窃取。3、基于、基于 PKI 的的 CA 安全安全认证认证
14、体系体系该安全认证体系主要包括以下三方面:(1)电子身份认证、授权、密码管理、密钥管理、可信任时间戳管理等;(2)建立认证授权中心,对公众网络用户实行安全证书发放、入网认证、授权服务和管理;(3)基于 PKI 的 CA 认证系统可在原有基础上扩展而成。4、数据加密、数据加密数字加密是一门科学,它主要研究利用数学算法将明文转变为不可能理解的密文或将密文转变为明文的方法、手段和理论。利用数字加密可以将敏感信息加密并通过一种并不安全的途径传递,只有指定的收件人才通解读原始信息。要完成数字加密需要一种加密算法和一个密钥。加密算法其实就是一种数学函数,用来完成加密和解密运算;而密钥则由数字,字母组成,用
15、它来实现对密文的加密或对密文的解密。相同的明文用不同的密钥加密得到不同的密文。数字加密的安全性取决于加密算法的强度和密钥的保密性。对基础数据和核心数据实行加密处理,除了入网认证、服务器权限管理、盘目录属性管理和文件读(或写)权限管理之外,并对数据库的记录、记录字读改写权限进行加密处理,无权读(或写)的用户不能看到数据库中任何数据,所以即使数据被窃也无泄密之险。5、容灾、容灾备备份份容灾备份中心是电子政务不可缺少的组成部分,是确保电子政务系统在电子政务信息安全和灾难性故障发生时系统仍然可以提供无间断服务的重要措施。容灾备份中心的主要功能有:定期备份数据交换中心的数据;在灾难性故障发生的时候临时提
16、供服务。容灾备份中心的主要设备包括:服务器、交换机、路由器和大容量光盘存储器。6、 、统统一安全管理一安全管理多数的电子政务系统涉及大量的网络设备、主机设备、安全设备以及其他设施和人员,对安全的要求较高,造成管理的复杂度很高;而某些分散的管理降低了管理的效率和效果。所以,电子政务系统需要建立一个统一的安全管理平台,对整个网络进行统一的管理。结 语安全管理体系是电子政务系统必要的组成部分,它为系统管理员和用户提供对整个安全体系的监管。它在计算机网络应用体系与各类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁,使得各类安全手段能与现有的计算机网络应用体系紧密地结合,实现无缝连接;从而,进一步实现计算机网络安全与计算机网络应用的真正一体化,使得计算机网络应用体系逐步过渡到安全的计算机网络应用体系。
