电子政务信息安全及防范对策

杨碧霞

(滁州市高新技术创业服务中心,安徽滁州239001)

电子政务信息安全及防范对策

杨碧霞

(滁州市高新技术创业服务中心,安徽滁州239001)

加强电子政务建设是建设服务型政府的重要组成部分。在电子政务建设与体系发展整体驶入快车道,以服务为导向的电子政务建设工作不断推进的同时,信息安全意识、网络漏洞、信息安全法律体系等方面都凸现了现阶段我国电子政务信息安全存在风险。要着重从人才培养、安全技术和产品的选择使用、法律保障体系建设等环节加以防范,切实保障电子政务信息安全。

电子政务信息安全;网络安全;安全技术;防范对策

随着信息网络技术的飞速发展和广泛应用,政府信息化进程也在加快推进。我国于1999年开始全面实施以信息网络为平台的日常公共行政管理、事务处理的电子政务,它降低了政府运作成本,提高了行政效率,实现了政务信息跨地域快速而自由的流动。与此同时,由于网络的共享性、开放性,致使网络安全问题也日益突出。笔者作为一名科技系统网络维护管理员,从电子政务信息安全的视角,浅析信息安全存在风险问题,提出一些防范对策和建议。

一、电子政务信息安全目标

电子政务信息安全是指政务数据信息在接受、产生、处理、分发和存档等覆盖文件生命周期过程中受到窃取、篡改等,它涵盖了信息环境、信息网络和通信基础设施、媒体、数据、信息内容和信息应用等多个方面的安全需要,包括信息不受威胁、信息系统、信息数据的安全和信息内容的安全等。

电子政务的安全目标就是保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使电子政务的信息基础设施、信息应用服务和信息内容抵御上述威胁,具有保密性、完整性、真实性、可用性、不可抵赖性和可靠性的能力。[1]

二、电子政务信息安全存在的风险

1.信息安全意识淡薄。一是工作人员安全意识不强。目前,在电子政务系统建设过程中还普遍存在“重技术、轻管理,重业务、轻安全”的思想,很多工作人员认为安装了杀毒软件和防火墙就可以抵御所有的外来侵袭。二是安全制度和安全流程的执行力不强。电子政务系统自启动运用以来,开放程度还不是太高,重要的、机密的文件还没有通过网络来处理,使得公务员和普通大众对信息安全问题关注不够,信息安全意识淡薄,而一些安全制度和安全流程也只是流于形式。三是领导重视程度有待进一步提高。部门领导重视工作流程的畅通性,忽略了信息安全的防范措施,在加强信息安全的重要环节上思想意识有待加强。

2.IT产品及通信网络漏洞导致的风险。一方面是IT产品单一性带来安全隐患。由于政府统一采购 IT产品,造成信息系统中软硬件产品单一性,如同一版本的操作系统、数据库软件等,这样攻击者可以通过软件编程,实现攻击过程的自动化,从而导致大规模网络安全事件的发生。另一方面是通信网络存在多方面的威胁。电子政务网络绝大多数是基于 TCP/IP、NetBEUI,IPX/SPX等网络协议的通信网络,并非专为安全通讯而设计,本身就可能存在多方面的威胁,因而会造成物理通道被干扰、数据信息被拦截和窃听、数据库服务器和电子邮件服务器等很容易受到病毒和黑客的攻击,以及信息被泄露、篡改、抵赖、假冒等问题。

3.信息安全法律体系不健全。要发展电子政务,安全技术是基础平台,法律保障和创新管理则是必备的后台支撑。虽然我国的电子政务从2000年开始正逐步走向法制化,但相比电子政务本身的发展要求,法律法规明显滞后于技术发展。如:电子政务的法律地位不明确、现有的相关法律规范立法层次不高、立法理念和技术相对滞后、很多需要法律去规范的事项没有相应的法律出台、已出台的法律法规很多不适合电子政务发展要求等。

三、电子政务信息安全防范对策及建议思考

通过对电子政务安全风险的分析,结合电子政务现状与特点,应该采取多层次、多方面的安全管理方法来保障电子政务系统安全。

(一)增强信息安全意识,加快信息安全人才的培养

在诸多的安全环节中,人是最重要的因素,全面提高工作人员的信息安全意识是网络信息安全与保密的最重要保证。应该进一步加强信息安全的培训工作,举办不同类型的培训班,对政府领导、一般工作人员、网络管理人员等,进行分层次有针对性的培训,从而提高管理人员的信息安全素质。

(二)安全技术和产品的选择使用

电子政务安全技术和产品的种类繁多,本文就密码技术,PKI、PMI、VPN设施,数据保护方面进行简述。[2]

1.密码技术

密码技术是电子政务信息安全的核心和关键。其主要包括密码编码、密码分析、认证、鉴别、数字签名、密钥管理和密钥托管等技术。数字签名是目前电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方式。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中的有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。

数字签名技术是公开密钥加密算法的典型应用。它的应用过程是,数据源发送方使用自己的私钥对数据校验或其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的数字签名,并将解读结果用于对数据完整性的检验,以确认签名的合法性。

2.PKI、PMI和VPN 设施

(1)公钥基础设施 PKI(public key infrastructure)。PKI是由公开密钥密码技术、数字证书、证书认证中心和关于公开密钥的安全策略等基本成分共同组成,管理密钥和证书的系统或平台。电子政务 PKI系统由证书中心CA、注册中心 RA、管理工具 Admin和目录服务系统LDAP构成,是电子政务的安全核心,它借鉴 PKI的公钥管理概念,为上层应用提供了完善的密钥和证书管理机制,具有用户管理、密钥管理、证书管理等功能,可保证各种基于公开密钥密码体制的安全机制在系统中的实现。

(2)授权管理基础设施 PMI(privilege management infrastructure)。PMI依赖于公共密钥基础设施 PKI的支持,任务旨在提供访问控制和特权管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统和管理无关的访问控制机制,并能极大地简化应用中访问控制和权限管理系统的开发与维护。基于PKI的PMI系统为电子政务系统构建了一个严密的安全体系,充分保证敏感资源访问的可控性与可审计性,并具有授权管理的灵活性,授权操作与业务操作相分离,多授权模型的灵活支持等优点。

(3)虚拟专用网VPN(virtual private network)。VPN是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。根据电子政务建设上下贯通、横纵互联、高速稳定、安全可靠等方面的要求,既要保证各种应用业务系统逻辑网络的相对独立性,满足不同业务系统对安全性、可靠性、服务质量和管理等方面的要求,又要能实现不同业务系统之间的互联互通和提供相互访问、信息交换和共享的途径,同时确保安全性。为满足这两方面要求,在电子政务中主要采用了MPLS VPN技术。MPLS VPN是一种基于多协议标签交换技术的VPN,是在网络路由器和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标签交换实现的IP虚拟专用网络。

VPN与PKI、PMI技术是电子政务中三项关键性技术,三者的结合使用是电子政务信息安全的基石。

3.数据保护

电子政务系统中保存着大量的涉密信息,必须建立一套恢复与备份机制确保出现自然灾害、系统崩溃、网络攻击或硬件故障情况时重要数据能得以恢复。根据电子政务系统的特点,系统数据安全应具备的几个条件:支持大容量存储;支持异地备份与恢复;跨平台的备份能力;支持多种存储介质和备份模式;支持自动恢复机制。

目前最先进的数据备份技术是基于网络的备份系统,双机热备是电子政务系统稳定、可靠、有效、持续运行的重要保证。它是通过系统冗余的方法解决系统的可靠性问题,并具有安装维护简单、稳定可靠、监测直观等优点。

(三)进一步完善我国网络信息安全的法律保障体系

目前我国已经出台了一系列网络信息安全方面的法律法规,尽管这些法律法规的实施对于我国网络信息安全起到了积极作用,但仍有相当大的局限性。针对目前我国网络信息安全法律体系现状,提出以下建议:

1.构建完备的信息安全法律体系。制定专门的政府信息公开法,明确规定公民享有的知情权;尽快制定网络信息安全基本法,该法既要包括网络与安全管理的基本原则,也要确定保障通信和言论的自由、发展电子商务的相应规范。并在此基础上,结合我国单行立法模式完善电子政务法律体系,尤其要注重建设电子信息知识产权及个人信息保护法等。[3]

2.出台维护网络信息安全的配套措施,创新管理办法。针对网络技术发展快的特点,在制订网络信息安全的基本法的基础上,应当逐步建立安全制度、安全标准、安全策略、安全机制等一系列配套措施,进行全面系统的立法。

3.完善我国现有法律法规。对现有的《电子政务法》、《电子政务技术法》和《电子政务信息安全法》进一步修正和完善,从而加大对各种侵害网络信息安全的违法犯罪的处罚力度。

[1]王 谦,陈 放.加强电子政务信息安全保障体系建设[J].安防科技,2006(03).

[2]孟祥宏.电子政务信息安全互动策略研究[M].上海:上海世界图书出版公司,2010.

[3]彭著娟,任 硕.浅谈电子政务安全体系[J].天府新论,2008(2).

C931

:A

:1673-1794(2010)04-0065-02

杨碧霞(1980-),女,助理工程师,研究兴趣:网络技术与管理。

2010-04-24