《电子政务安全现状与解决方法》由会员分享,可在线阅读,更多相关《电子政务安全现状与解决方法(8页珍藏版)》请在金锄头文库上搜索。
1、电子政务安全现状与解决方法摘要:信息化浪潮推动了我国电子政务汹涌澎湃的发展,一站式电子化的政 务服务、政务公开、政务门户、网上办事等信息化手段,既提高政府效率,又方 便了群众。 然而电子政务在带来各种便利的同时,也带来很多新的安全问题。 黑 客攻击、病毒爆发、非法用户入侵、机密信息泄露、重要数据丢失等安全事件带 来可破坏性后果也成为电子政务良性发展不可回避的。关键字: 电子政务,安全,发展1999 年是中国的政府上网年,国家大部分党政机关都有了自己的局域网络,都可以顺利的接入Internet,大部分也拥有了自己的政府网站,这样的话,就为电子政务系统奠定了基础。所谓电子政务是借助电子信息技术而进
2、行的政务活动。由于电子政务是电 子信息技术与政务活动的组合, 所以它的内涵和外延在很大程度上取决于我们对 于电子信息技术和政务活动所下的定义。政务有广义和狭义之分。 其中,广义的 政务泛指各类行政管理活动,而狭义的政务则专指政府部门的管理和服务活动。 目前我们在探讨电子政务建设的时候,更多地是指政府部门的信息化建设,但实 际上党委、人大、政协、军队系统和企事业单位等同样有一定的行政管理活动, 而且这些活动同样可以借助电子信息技术来进行。所以,电子信息技术在公共管 理中的应用, 实际上要远远超出政府系统的范围。为了避免同狭义的电子政务概 念产生冲突, 我们应当把这些新的交集分别命名为电子党务、电
3、子政协、 电子人 大等。利用先进的信息技术来提高办公效率,并不是政府部门的专利。因此,我 们在密切注视政府系统信息化建设的时候,还应当关注信息技术在其他管理领域 更为广泛的应用。 广义电子政务与狭义电子政务之间的关系,我们可以通过概念 来分析, 我们将采用狭义的政务概念, 即政务专门指政府部门的管理和服务活动。 与“政务”一样,并非所有的电子信息技术与政务活动相结合,都能被称为电子 政务。例如,政府部门通过传真来传递信息,就不能算是电子政务,因为电话在 这里充其量只是一个传递信息的途径和手段,而不能对政务活动的内容和开展方 式产生根本性的影响。 电子政务真正作为一个独立的概念出现,是在计算机网
4、络 技术相对成熟和普及之后。 只有在网络技术出现之后, 大量政务信息的实时共享 和双向交流在技术上才成为可能,从而使传统的政务开展方式发生根本性的改 变。从这个意义上说,电子政务的物质基础是计算机网 既然电子政务是依拖于计算机网络来开展工作,那么网络上蔓延的病毒, 木 马,黑客等不良因素在侵犯计算机的同时也将威胁到电子政务的安全机密,在经济和信息全球化加速发展的前景下,电子政务逐渐成为我国政府发展经 济、增强国际竞争力的“好帮手” 。然而政务信息的社会化、公开化,同时也为 不法之徒开启了“入侵之门”黑客、间谍、好事之徒都对政府的资料虎视 眈眈。电子政务的安全问题倍受人们关注,安全性问题是电子政
5、务的首要问题,各 国政府都在开展这方面的研究。 在电子政务系统的技术选择过程中,应该首先考 虑政务信息的安全问题。 电子政务系统是供政府和公民使用的信息交流平台,在 这之上流动的有可公知公用的信息,还有的是需要保密的非公开信息。即使说一 个电子政务网络可以提供强大的功能,可以解决大部分电子政府信息交互的问 题,但其本身使用不是本国的软件、硬件,而这些软件、硬件使用的技术不是本 国所掌握的或者说这些软硬件并不能保证电子政府免受病毒侵害、黑客攻击,那 么,何谈电子政务的安全性,稳定性。这样一来,我们的很多政务信息就不只是 “公之于众”了,而且将会是“大白于天下”了!2001年, 武汉一名黑客通过境
6、外代理服务器,使用隐藏真实 IP 地址等手段, 利用一种经他改造过的黑客软件,在网上大肆对国内一些地方政府网站进行攻 击,先后入侵武昌区政府网站、大冶市政府网站、黄石热线网站、数字重庆网站 等,肆意修改主页内容、 对政府人员进行政治和人身攻击,造成了极其恶略的社 会影响。2003年,黑龙江省公安厅网络监察处在农垦公安局网监部门的配合下,侦 破一起利用黑客攻击政府网站的案件,行为人潘某被抓获。 今年 6 月初,潘某用 弱口令扫描软件进行扫描, 发现辽宁一政府网站使用的是弱口令, 就进入该网站, 并在该网站的服务器上建立了自己的FTP服务, 把自己的论坛主页上传到该网站 服务器上,并做了链接。计算
7、机硕士“黑客”攻击政府网站嫁祸他人被判; “黑客”今年 17岁 为 显示自己攻击政府网站 ; 大学生在家攻击政府网站神勇公安一举拿获 , 如此种种,政府网站遭受攻击的案例屡见不鲜,我国电子政务的安全堪忧。电子政务安全是一个复杂的系统工程。仅从安全威胁的来源来看,可以分为 内、外两部分。所谓“内”,是指政府机关内部;而“外” ,则是指社会环境。来 自于外部的威胁有病毒传染、黑客攻击、信息间谍、信息恐怖活动、信息战争、 自然灾害等,而来自内部的威胁则包括内部人员恶意破坏、管理人员滥用职权、 执行人员操作不当、内部管理疏漏、软硬件缺陷等。一电子政务安全中普遍存在着以下几种安全隐患:(一).窃取信息由
8、于未采用加密措施, 调制解调器之间的信息以明文形式传送,入侵者使用相 同的调制解调器就可以截获传送的信息。同时,政府机关内部人员更是可以十分 轻松的将一些机要信息泄漏出去,此谓“监守自盗”。(二).篡改信息当入侵者掌握了信息的格式和规律之后,通过各种方式, 在原网络的调制解调 器之间增加两个相同类型的调制解调器,将通过的数据在中间修改, 然后发向另 一端。这便严重的破坏了原信息的完整性与有效性。(三)冒名顶替由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户 及送假冒的信息或者主动获取信息,而远端用户通常很难分辨。 同时,由于内部 权限分配不明或者滥用他人名义实施违法活动,极有
9、可能造成“栽赃嫁祸”。二彻底杜绝电子政务网络隐患,应该做到以下几个方面:(一) 首先要加强主机本身的安全,做好安全配置,及时安装系统安全补丁 程序,减少漏洞;(二) 其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出 隐患,及时修补;(三) 建立完善的访问控制措施,安装防火墙,加强网络授权管理和认证;(四) 安装防病毒软件,防火墙,加强内部网的整体防病毒措施;(五) 对敏感的设备和数据要建立必要的物理或逻辑隔离措施;(六) 利用数据存储技术加强数据备份和恢复措施;(七) 建立详细的安全审计日志,以便检测并跟踪入侵攻击在这个方面,我们还可以借鉴电子商务在安全防范方面的成功经验。(八)
10、加密技术加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。(九) 数字签名是只有信息发送者使用公开密钥算法的主要技术产生的别人无法伪造的一段数字串。发送者用自己的私有密钥加密数据传给接收者,接收者用发送者的公钥解开数据后,就可确定消息来自于谁,同时也是对发送者发送的信息的真实性的一个证明发送者对所发信息不能抵赖。(十) 认
11、证机构 (CA) 认证机构 CA 是 PKI 的核心执行机构,是 PKI 的主要组成部分,一般简称为CA,在业界通常把它称为认证中心。它是一种权威性、可信任性和公正性的第三方机构。认证机构CA 的建设要根据国家市场准入政策由国家主管部门批准,具有权威性;CA 机构本身的建设应具备条件、采用的密码算法及技术保障是高度安全的,具有可信任性;CA 是不参与交易双方利益的第三方机构,具有公正性。CA 认证机构在电子签名法中被称作“ 电子认证服务提供者 ” 。三通过借鉴电子商务在安全防范上使用到的安全保护方法,可以使我们的 电子政务拥有一个相对安全的外部环境,而内部环境, 则要靠政府领导者, 内部 人员
12、的共同合作,来营造一个的利于发展的环境。( 一). 做好规划。贯彻 “以应用促安全、以安全保应用”的思想,在做好电 子政务系统规划的同时必须同步做好安全系统规划;信息安全系统建设应超前思 考,长期规划,不留基础隐患;安全系统建设与网络建设必须同步进行。(二). 健全法规。在信息安全技术相对落后的情况下,要充分发挥管理和制 度等非技术手段的作用。 各级党政机关应在信息化领导小组统一领导下,成立由 信息化办、科技、公安、安全、保密、机要等部门组成的安全小组,负责对电子 政务安全进行管理, 明确职责,加强协作。建立机关网络信息安全前置审批制度。 信息系统的使用部门要在相关部门的指导下严格管理广大操作
13、人员,将信息安全 渗透到网络的各个环节, 渗透到使用的每时每刻。 应充分认识依法保障和促进信 息网络健康发展的重要性, 加强和完善信息网络安全有关法规及制度建设,以法 制化保障信息化。(三). 加强科研。信息安全的有效解决从根本上要落实到技术手段,电子政 务安全的关键是要有自主的知识产权和关键技术,从根本上摆脱对外国技术的依 赖。通过关键技术的解决, 构筑信息网络系统的安全保障信任体系。力争尽快自 主建设具有可靠技术、 设备与软件的安全网络信息系统。同时,要建立一种如同 人体健康免疫机制的安全保障体系,保证信息系统在安全威胁环境中,能够预防 风险, 在遭到攻击时,能尽早发觉;受到攻击后,能尽快
14、恢复。( 四). 协调共进。鉴于我国目前的信息产业还比较落后,建立一个专有的、 完全安全的信息系统有相当难度。 所以我们在建设电子政务系统时必须在应用性 能、安全性能、 发展空间以及价格需求之间综合平衡,以实事求是和发展的眼光 正确处理应用与安全的关系, “两手抓, 两手都要硬 ”,促进信息系统应用与安 全协调发展。( 五). 应急预案。如果电子政务信息系统缺乏有效的安全管理体系和数据备 份,一旦信息网络出现意外事故, 一方面将对长期积累的网络信息造成灾难性损 失,另一方面也没有相应的应急处理能力。所以应尽快建立网络安全管理中心和 数据备份中心, 健全灾难恢复与紧急响应机制,加强管理, 确保信
15、息网络的数据 安全和运行安全。( 六). 队伍建设。电子政务系统的应用开发、系统运行、日常维护、重要设 备维修等都涉及信息安全和保密,所以必须尽快组建一支政治可靠、技术精湛、 作风优良的内部技术人员队伍, 为确保网络信息安全提供人才保证。按国际上所 有政府机构的通常做法,这支队伍应由政府公务员组成。四在电子政务系统中,政府机关的公文往来、资料存储、服务提供都以电 子化的形式来实现, 但在提高办公效率、 扩大政府服务内容的同时, 也为某些居 心不良者提供了通过技术手段窃取重要信息的可能。此外,电子政务系统是基于 互联网平台的,从技术角度来说,互联网是存在许多不安全因素的全球性网络, 打击跨国网络
16、犯罪难度很大。因此,电子政务建设中的网络安全问题急待解决, 而建立包括网络安全政策法规、网络安全组织管理体系、 网络安全标准规范、 网 络安全服务产业、网络安全产品体系和网络安全基础设施6 个部分的电子政务网 络安全体系成为可行之路。(一).法律做保障、管理增效率在电子政务网络安全体系中,首先要健全网络安全的法律法规,强化电子政 务信息安全的法制管理。 我国虽然颁发了一些与网络安全有关的法律法规,如 计 算机信息系统安全保护条例 等,但显得很零散, 还缺乏关于电子政务网络安全 的专门法规。此外,在完善法律法规的同时,还应该加大执法力度,严格执法。 第二个步骤是建立健全网络安全组织管理制度,主管部门、技术支持部门等等。发达国家一般都建立有网络安全管理机构,在我国,安全职能涉及多个部门, 虽 然能各司其责, 责权明确, 但在许多的具体实施过程中缺乏统一性。因此需要建 立政府上网信息保密审查制度,坚持“谁上网谁负责”;涉密信息网络必须与公 共信息网实行物理隔离; 规定在与公共信息网相连的信息设备上不得存储、处理 和传递国家秘密信息。(
