行业信息化:电子政务信息如何保安全?
来源:计算机世界
对电子政务系统而言,信息安全是一个需要格外关注的问题。我国电子政务信息安全风险主要存在于观念、技术、管理和法律方面。如何构建网络时代电子政务信息安全体系? 网络和信息技术的普及,使得电子政务成为时代发展的必然。对于电子政务系统而言,信息安全是一个需要格外关注的问题。在享受网络带给我们便利的同时,严格控制对信息的访问权限、保证信息的完整性,对于政府来说是迫切需要解决的问题。如何构建网络时代电子政务信息的安全体系? 电子政务信息安全是指政务数据信息在接收、产生、处理、分发、存档等覆盖文件生命周期全过程中的安全,它覆盖了信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等多个方面的安全需要,包括信息不受威胁或危险、信息系统的安全、信息数据的安全和信息内容的安全等。我国电子政务信息安全风险主要存在于观念、技术、管理和法律四方面。
电子政务安全缺陷
电子政务依赖计算机和网络技术,这样一来资源共享和信息安全就成为其矛盾的主题,电子政务不可避免地存在开放所带来的信息安全隐患。电子政务中的网络与信息安全不仅关系到电子政务本身的健康发展,而且关系到国家的政治安全、经济安全、 国防安全、社会稳定和政府工作的正常运转。同时,政务信息又不同于商务信息,它更敏感,更多地涉及国家、社会问题,与整个国家的利益息息相关。
当前我国电子政务安全主要存在三方面缺陷:
1.网络安全规划不到位,造成网络结构的不合理性。由于信息技术发展的历史原因和建设资金问题,我国电子政务网络的建设在规划上经常缺少前瞻性的安全规划, 网络流量存在多个瓶颈:路由表庞大复杂、IP地址缺乏统一规划、广播流量可控性差、子网故障隔离性差。随着安全问题的不断出现,只能在运行过程中不停地修补,而这种修补只能解决暂时的问题,治标不治本。
2.网络安全管理的混乱和规范化的管理制度相对滞后,造成很多管理安全漏洞。由于电子政务的网络是连接多个政务部门的城域网,需要跨部门协调一致地共同维护整个网络平台的安全, 但是由于不同政府部门的信息技术人才和信息化水平的差异性以及不同政府部门存在一些相关的利益和冲突,因此很难做到安全管理的统一协调性。
3.使用安全产品缺乏统一考虑,具有重硬件而轻软件的不合理倾向性。由于国内外网络安全产品门类众多,技术水平也有很大差别,政府部门在选用安全产品的时候经常会难辨优劣。而且在部署安全产品的时候,也缺乏全局性和产品互补性的考虑,某些产品重复设置,而另一些产品却没有考虑。因此,也很难让安全产品充分发挥其应有的功效。
电子政务信息安全挑战
电子政务中的信息安全包括了信息的以下几个特性:
1、保密性。保密性是指网络信息不被泄露给未授权的人,即信息只为授权用户使用。
2、真实性。真实性是指用户的身份是真实的。在电子政务系统中,如何防范冒充、伪造用户身份的不法行为,是真实性需要解决的问题。
3、完整性。完整性是指信息在存储或传输过程中保持不被偶然或者蓄意地添加、删除、修改、乱序、重放等破坏和丢失的特性。完整性要求信息保持原样,确保信息的正确生成、正确存储、正确传输。影响信息完整性的主要因素有设备故障、误码、人为攻击、计算机病毒等。
4、可靠性。可靠性是指系统能在规定的条件和规定的时间内完成规定的功能的特性。
5、可用性。可用性是指网络信息可被授权用户访问并按需求使用的特性,它是网络信息系统面向用户的安全性能。
随着电子政务信息化的不断发展,电子政务对于信息系统的依赖性越来越强,新涌现出来的信息安全问题成为政府信息主管部门关注的焦点。而政务系统作为关系国计民生的重要部分,在信息安全方面也面临着严峻的挑战。 首先,由于电子政务信息系统不断走向开放,从原先的专有系统演变成为今天依赖的通用操作系统。 其次,随着国际网络大环境的改变,威胁表现出了多样化、多源化的特点。威胁并不单纯地来自外部,很多情况下也来自内部,所以针对电子政务信息系统应该构建一个立体的、纵深的、全方位的解决方案;
第三,系统的日趋复杂,为可控性提出了挑战。
我国电子政务面临的信息安全问题主要表现在:
1. 政府信息网络安全存在隐患。网络非常脆弱,各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文件,并可进入系统修改、删除重要数据文件。
2.互联网上和针对计算机信息系统的违法犯罪活动日益增多。近年来,金融机构内部利用计算机犯罪的案件大幅度上升;在互联网上泄露国家秘密的案件屡有发生。另外,境内外黑客攻击破坏网络的问题十分严重。
3. 管理体制不完善。管理问题主要体现在组织管理不完善、管理规范未建立、制度不完善、技术管理不到位、日常管理存在很多漏洞等。
4. 境内外敌对势力、敌对分子和非法组织利用互联网进行煽动、渗透、组织、联络等非法活动日趋突出。
为了保证电子政务的安全性,政府必须从不同方面做好防范措施:
首先,在电子政务投入使用之前,必须设立电子认证机构,由认证机构通过密码技术来确认本人的身份以及电子邮件是否来自本人或政府机关;
第二,必须大力开发计算机防病毒技术和计算机安全技术,防止不法分子篡改数据等犯罪行为;
第三,必须在法律上逐步建立和完善相关的法案,给予电子签名与手写签名、盖章相同的法律保障,制定出规范电子政务安全性的法规,例如“禁止非法入侵网络法”、“电子银行法”、“网络信息保护法”等等; 对电子政务系统而言,信息安全是一个需要格外关注的问题。我国电子政务信息安全风险主要存在于观念、技术、管理和法律方面。如何构建网络时代电子政务信息安全体系?
第四,必须在政府各部门建立安全管理体系,包括安全检测、运行安全、信息安全、计算机安全、人员管理、计算机网络管理以及网络公共秩序安全等;
第五,必须不断完善密码技术,充分利用与电子政务相适应的电子安全技术(包括用户身份的验证、网络的安全、主机的安全、内容的安全、系统的安全、通信线路的安全等),以便对系统的安全运行提供保障。
电子政务信息安全四大风险
现阶段,我国电子政务信息安全系数比较低,电子政务信息安全风险主要存在四个方面:
1.观念方面。 1999年政府上网工程启动以来,政府部门越来越重视网络系统建设,看重网络带来的便利与高效,但是有些地方对信息安全工作未引起足够重视。据估计,我国在网络工程中网络安全的投入费用比例不到2%,同国外的10%相比有较大差距。现阶段,电子政务网络的开放程度不高,一些机密信息目前还没有上网,再加之公众对计算机犯罪的态度较为“宽容”,认为并没有造成直接的人员财产损失,这都使得公务员和普通大众对信息安全问题关注不够,信息安全意识淡薄。
2.技术方面。 计算机系统本身的脆弱性,使得它无法抵御自然灾害的破坏,也难以避免偶然、无意造成的危害,如:洪水、火灾、地震的破坏,系统所处环境的影响(温湿度、磁场、碰撞、污染等),硬件设备故障,突然断电或电压不稳定及各种误操作等。这些会损害操作系统和设备,有时会丢失或破坏数据,甚至毁掉整个系统。网络本身存在缺陷。首先,软件本身缺乏安全性,操作系统的设计一般着重于提高信息处理的能力和效率,对于安全只是作为一项附带的条件加以考虑,因此,操作系统中的安全缺陷相当多;其次,通信与网络设备本身有弱点。我国具有自主知识产权的信息设备、技术、产品较少,如计算机芯片、骨干路由器和计算机主板等基本上从国外进口,且对引进技术和设备缺乏必要的技术改造,尤其是在系统安全和安全协议的研究和应用方面。而欧美等发达国家对我国限制和封锁信息安全高密度产品,出口到我国的信息产品中留有安全隐患。例如:美国出口我国的计算机系统的安全系统只有C2级,是美国国防部规定的8个安全级别之中的倒数第三。
3.管理方面。 电子政务信息安全不是单纯的技术问题。如果没有从管理制度、人员和技术上建立相应的电子化业务安全防范机制,缺乏行之有效的安全检查保护措施,再好的技术和设备都无法确保其信息安全。
4.法律方面。
黑客攻击、病毒入侵等网络犯罪的日益增多与网络信息安全法制不健全和对网络犯罪的惩治不力密不可分。一方面,我国已经出台了一系列与网络信息安全有关的法律法规,例如:《计算机软件保护条例》(1992年)、《中华人民共和国计算机信息系统安全保护条例》(1994年)、《警察法》(1995年)、《公安部关于对国际联网的计算机信息系统进行备案工作的通知》(1996年)、《中华人民共和国信息网络国际联网管理暂行规定》(1997年)、《计算机信息网络国际联网安全保护管理办法》(1997年),《商用密码管理条例》(1999年)、《计算机信息系统国际联网保密管理规定》(2002年)等;此外,1997年3月颁布的新《刑法》第285条、第286条、第287条,对非法侵入计算机信息系统罪、破坏计算机信息系统罪,以及利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家机密等犯罪行为,作出了规定。这些法律法规的出台和实施对于我国网络信息的安全起到相当积极的作用,但仍难以适应网络发展的需要,信息安全立法还存在相当多的盲区。 对电子政务系统而言,信息安全是一个需要格外关注的问题。我国电子政务信息安全风险主要存在于观念、技术、管理和法律方面。如何构建网络时代电子政务信息安全体系? 另一方面,已颁布实施的法律法规不仅规定了出入口制度和市场准入制度,确定了网络信息安全管理机构,阐明了安全责任,而且明确了法律责任,对于危害网络信息安全的个人和单位,规定了经济处罚、行政处罚和刑事处罚等三大类型。但是由于网络犯罪的隐蔽性和高科技性,给侦破和审理带来了极大困难,再加上其他原因,导致执法部门的打击力度有限,在法律的执行上还有不到位之处,一些违法情况及当事人还未得到及时处理和制裁。
信息安全的保护对策
构建网络时代电子政务信息安全体系,需要从以下几方面着手:
1.健全组织,强化信息安全领导。各部门要高度重视电子政务信息安全工作,加强领导,建立电子政务工作领导组织,落实分管电子政务信息安全工作分管领导,明确职责,坚持一手抓信息化发展,一手抓信息安全工作,以应用促安全,以安全保应用,全面提高信息安全防护能力。
2.尽快完善国家信息安全基础设施建设。目前我国信息安全基础设施的建设还处于初级阶段,需要逐步完善。迫切需建立的国家信息安全基础设施,包括国际出入口监控中心、安全产品评测认证中心、病毒检测和防治中心、关键网络系统灾难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、网络安全紧急处置中心、电子交易证书授权中心、密钥基础设施与监管中心、信息战防御研究中心等。国家信息安全基础设施建设是信息安全的技术保证。
3.加强监督,严格把关信息安全。要加强信息安全知识普及教育与网络文明建设,宣传信息安全基础知识,进行安全法律法规教育,增强全体人员的信息安全意识,自觉规范网络行为。同时,要根据各自的工作特点,结合电子政务安全工作制度,制订网络信息安全操作规范,强化对信息的采集、生产、转换、存储、分发、应用等环节的管理,特别是对上网信息严格把关。对发生的问题做到及时发现、及时上报、及时查处、及时解决。各单位信息中心要组织电子政务信息安全知识和技术培训,积极主动地进行信息安全系统定期检查,帮助排查安全隐患,及时对需要建设的各种电子政务建设方案进行评审,组织专家对现有电子政务信息系统进行安全风险评估,提出整改意见。
4.进一步完善我国信息安全保障的法律体系。虽然我国已颁布相当数量的信息安全方面的法律规范,但是,其立法层次不高:现行的有关信息安全的法律规范大多只是国务院制定的行政法规或国务院相关部委制定的行政规章;法律规定之间不统一;立法理念和立法技术相对滞后。由于信息化是建筑在例如互联网的国际互联基础之上,人类信息社会是全球范围内的各国一体的信息化。因此,信息的政策和法律就必然具有国际化的属性,具体表现为有关的“国际游戏规则”。我们在制订政策和法律的时候,要特别注意和现有的国际规则的兼容,包括在立法思想、方式方法上和具体法律规定等各方面的相互兼容,要积极主动地参与国际规则的创设,以维护我国的实际利益。在主动参与和合作、促进、创设的过程中,真正地主动融人国际大环境。
由于国家信息化建设的需要,电子政务工程正在社会中迅速地推进,为促进电子政务的健康发展,保障电子政务系统的安全运行,在电子政务工程实施的同时,必须逐步开展电子政务安全保障体系的配套研制和实施,这是电子政务工程推进的重要原则之一。
建设电子政务安全系统是一个复杂的系统工程,它是整个电子政务应用得以实现的前提保证。仅靠安全技术不能解决安全问题,只有在建立和执行完善的管理制度的前提下安全技术才能发挥其应有的作用。
|