《电子政务及其信息安全 毕业论文.doc》由会员分享,可在线阅读,更多相关《电子政务及其信息安全 毕业论文.doc(37页珍藏版)》请在三一文库上搜索。
1、电子政务及其信息安全摘 要:电子政务是全面提升政府机构管理与服务水平的重要技术手段,电子政务的信息安全问题已成为各国政府普遍关注和研究的重要问题。电子政务作为信息网络的一个特殊应用领域,运行着大量需要保护的数据和信息,相对于企业信息化和电子商务,具有自身特殊性:一是信息内容的高保密性、高敏感度;二是电子政务发挥行政监督力度;三是利用网络环境为社会提供公共服务。如果系统的安全性被破坏,造成敏感信息暴露、丢失或网络被攻击等安全事件,产生的后果将波及地区甚至整个国家,电子政务信息系统也必然会成为信息间谍、敌对势力、恐怖集团、国家之间信息战攻击的目标。因此,电子政务信息安全事关国家政治、经济、国防安全
2、和民族信息产业发展全局,缺乏安全保障的电子政务信息系统,不可能实现真正意义上的电子政务。关键词:电子政务 信息安全 应对措施。Abstract:The electronic government affairs were the comprehensive promotion government apparatus management and the service level important technical method, the electronic government affairs information security question have become the
3、 various countries government universal attention and the research important question. The electronic government affairs took the information network a special application domain, is moving the data and the information which massive needs to protect, is opposite in the enterprise informationization
4、and electronic commerce, has own particularity: One is the information content high secrecy, the Gao Min sensitivity; Two is the electronic government affairs displays the administrative oversight dynamics; Three, provides the public service using the network environment for the society. If the syst
5、em security is destroyed, creates the sensitive information exposition, the loss or the network is attacked and so on the security events, produces the consequence will affect the local even entire country, the electronic government affairs information system also inevitably can become between the i
6、nformation spy, the hostile influence, the terrorist group, the country the weapon of information attack goal. Therefore, electronic government affairs information security critical time country politics, the economy, the national defense security and the nationality information industries develop t
7、he overall situation, lacks the safety control the electronic government affairs information system, not impossible to realize in the true sense electronic government affairs.Key Words:The electronic government affairs the information security should to the measure.前 言 随着全球政治经济一体化的日益明显,以电子政务为代表的政府管理
8、服务职能的电子化、自动化、无纸化,目前正在一些国家尤其是发达国家中快速发展。在世界各国积极倡导的“信息高速公路”的五个应用领域中,“电子政务”被列为第一位,因此可以说政府信息化是社会信息化的先导,电子政务是信息化社会发展的必然。1 电子政务中信息安全的几个基本问题1.1 电子政务电子政务是政府在国民经济和社会信息化的背景下,以提高政府办公效率,改善决策和投资环境为目标,将政府的信息发布、管理、服务、沟通功能向互联网上迁移的系统解决方案。同时也提供了结合政府管理流程再造,构建和优化政府内部管理系统、决策支持系统、办公自动化系统,为政府信息管理、服务水平的提高提供强大的技术和咨询支持。1.2 信息
9、安全信息安全是指保证信息系统中的数据在存取、处理、传输和服务过程中的保密性、完整性和可用性,以及信息系统本身能连续、可靠、正常地运行,并且在遭到破坏后还能迅速恢复正常使用的安全。1.3 电子政务中的信息安全电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。从这一法律规定看,计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中,人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能
10、等;实体安全是指保护计算机设备、设施(含网络)以及其他媒体免遭自然和人为破坏的措施、过程。实体安全包括环境安全、设备安全和媒体安全三个方面;计算机信息系统的运行安全包括:系统风险管理、审计跟踪、备份与恢复、应急四个方面的内容。所谓计算机信息系统的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性。针对计算机信息系统中信息存在形式和运行特点,信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。1.4 信息安全在国家安全中的地位电子政务中政府信息安全实质是由于计算机信息系统作为国家
11、政务的载体和工具,而引发的信息安全。信息安全成为当前政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。电子政务中的政府信息安全是国家安全的重要内容,是保障国家信息安全所不可忽缺的组成部分。信息安全涉及到政治、经济、军事、文化等方方面面,由于互联网发展在地域上极不平衡,信息强国对于信息弱国已经形成了战略上的“信息位势差”,居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁,互联网成为超级大国谋求跨世纪战略优势的工具。“信息疆域”不是以传统的地缘、领土、领空、领海来划分,而是以带有政治影响力的信息辐射空间来划分。“信息疆域”的大小、“信息
12、边界”的安全,关系到一个民族、一个国家在信息时代的兴衰存亡。在知识经济时代,一个国家的信息获取能力以及在社会生产生活领域中的“信息制控权”,将成为这个国家在新世纪的生存与发展竞争中能否占据主动的关键。2 电子政务信息安全的现状及表现2.1 电子政务信息安全的现状电子政务中政府信息安全实质是由于计算机信息系统作为国家政务的载体和工具,而引发的信息安全。信息安全成为当前政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。电子政务中的政府信息安全是国家安全的重要内容,是保障国家信息安全所不可忽缺的组成部分。信息安全涉及到政治、经济、军事、文化等方方面面,由于互联网发展在地域上极不平衡,信息强
13、国对于信息弱国已经形成了战略上的“信息位势差”,居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁,互联网成为超级大国谋求跨世纪战略优势的工具。“信息疆域”不是以传统的地缘、领土、领空、领海来划分,而是以带有政治影响力的信息辐射空间来划分。“信息疆域”的大小、“信息边界”的安全,关系到一个民族、一个国家在信息时代的兴衰存亡。在知识经济时代,一个国家的信息获取能力以及在社会生产生活领域中的“信息制控权”,将成为这个国家在新世纪的生存与发展竞争中能否占据主动的关键。2.2 电子政务信息安全的目标信息系统信息安全的宗旨是通过在实现信息系统时充分考虑到
14、自身、伙伴和客户的信息风险,确保组织能够完成它的全部使命和目标。进而言之,电子政务系统信息安全的宗旨就是通过在实现信息系统时充分考虑信息风险,从而确保一个政府部门能够有效地完成法律所赋予的政府职能。电子政务信息安全必须实现以下目标:2.2.1 可用性目标 可用性目标是指确保电子政务系统有效率地运转并使授权用户得到所需信息服务。通常,可用性目标是电子政务系统的首要信息安全目标。2.2.2 完整性目标 完整性目标包括两个方面:数据完整性和系统完整性。通常,完整性目标是电子政务系统除了可用性目标之外最重要的信息安全目标。 2.2.3 保密性目标 保密性目标是指不向非授权个人和部门暴露私有或者保密信息
15、。通常,对于大多数电子政务系统而言,保密性目标在信息安全的重要程度排序中仅次于可用性目标和完整性目标。然而,对于某些特定的电子政务系统和数据,保密性目标是最重要的信息安全目标。 2.2.4 可记账性目标 可记账性目标是指电子政务系统能够如实记录一个实体的全部行为。通常,可记账性目标是政府部门的一种策略需求。可记账性目标可以为拒绝否认、威慑违规、隔离故障、检测和防止入侵、事后恢复和法律诉讼提供支持。2.2.5 保障性目标 保障性是电子政务系统信息安全的信任基。保障性目标突出了这样的事实:对于希望做到安全的信息系统而言,不仅需要提供预期的功能,而且需要保证不会发生非预期的行为。具体而言,保障性目标
16、是指:提供并正确实现需要的电子政务功能;在用户或者软件无意中出现差错时,提供充分保护;在遭受恶意的系统穿透或者旁路时,提供充足防护。3 电子政务信息安全所存在的问题3.1 网络技术的问题3.1.1 网络信息安全问题目前对信息安全构成威胁的既有自然因素也有人为因素,主要有火灾等自然灾害、硬件故障、严重误操作、数据泄露、盗用、伪造、假冒、故意对数据或程序破坏、病毒、错误指向、黑客、特洛伊木马、搭线窃听等。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和文件。并可进入系统修改删除重要数据文件。一旦电子政务系统被非法侵入和破坏它将不能正常工作甚至全部瘫痪。如果系统的安全性被破坏。造成敏感信息
17、暴露或丢失,或网络被攻击等安全事件。那么产生的后果必然波及地区和整个国家的安全,这种破坏将会给国家带来重大损失。一旦网络受到攻击,不能正常工作,甚至全部瘫痪时,整个社会将陷入危机。国家机密难保,致使某些部门不敢使用互联网。3.1.2 网络对人的情感问题电子政务的一大特点是虚拟性,这是由互联网的特点所决定的。政府工作人员在进行电子政务的活动中,往往会使人际关系淡化,政府工作人员和公众似乎面对的只是电脑,而常常忘记他们也是和人进行交往。例如时下兴起的在城市公共场所安装的“电子眼”监控系统,虽然在一定程度上改善了城市交通,降低了犯罪率,但这种“倒洗脚水也将孩子一块儿泼出”的做法也对公民的隐私权和其他
18、方面的权利造成了严重侵犯,其对人性化和人本管理的背离也是显而易见的。3.2 政府自身的问题3.2.1 公务员及官员素质有待提高大部分政府官员和公务员对信息技术、网络技术和计算机技术还未接触或接触不多,所以对高新信息技术应用方面的能力也比较欠缺,整体素质与电子政务建设要求也还有很大的距离,对电子政务建设就缺乏应有的积极态度。从公务员的文化水平来看,经过1998年的政府机构改革,国务院近1.7万名公务员中,大学本科毕业以上学历的占65%。但地方政府500万公务员中,大学本科毕业以上学历的仅有10%,约有20%的公务员不会操作计算机。面对电子政务的潮流,许多公务员在心理上必然会恐惧害怕,产生抵触情绪
19、,而不能从心理上积极学习,以适应政府信息化的历史潮流,结果使得很多昂贵的设置成为装点门面的饰物。3.2.2 电子政务的规划和标准缺乏统一性目前,我国电子政务的发展缺乏宏观规划,没有提出明确的发展目标。同时,条块分割的管理体制与电子政务的统一性、开放性、交互性和规模经济等自然特性产生严重冲突,各级地方政府和部门在电子政务的建设中往往各自为政,采用的标准也各不相同,业务内容单调重复,造成新的重复建设。同时,缺乏规范和标准也使得信息流通不畅,资源无法共享和信息孤岛,影响了跨部门、跨区域共性业务的处理和政府的有效监管。4 电子政务信息安全解决方案4.1 网络安全问题的应对方法4.1.1 加强对公务员的
20、安全技术教育,树立网络安全观念。网络的开放性在给人类的生活带来诸多方便的同时,也给社会生活的许多方面带来了很多不稳定的因素,尤其是作为社会管理者的政府,一旦其网络遭到恶意攻击,很可能给社会带来灾难性的损失。因此,加强公务员的网络安全教育和技术培训,使之树立网络安全意识,并掌握一定的网络安全技术和技能,不仅是对公务员自身素质的一大要求,也是应对网络安全的关键。4.1.2 改变信息安全管理依靠传统的管理方法和手段的模式,实现现代的系统管理技术手段。国际标准BS7799和ISOIEC17799是流行的信息安全管理体系标准。其中的管理目标为数据的保密性、完整性和可用性要求。具有自组织、自学习、自适应自
21、修复、自生长的能力和功能。保证持续有效性。通过计划、实施、检查、措施四个阶段周而复始的循环。应用于其整体过程、其他过程及其子过程,例如信息安全风险评估或者商务持续性计划的安排等。为信息安全管理体系与质量管理体系、环境管理体系等的整合运行提供了方便在模式和方法上都兼容,成为统一的内部综合管理体系包括按照可信网络架构方法。编制信息安全解决方案。多层防范多级防护,等级保护,风险评估、重点保护。针对可能发生的事故或灾害。制定信息安全应急预案,建立新机制、规避风险、减少损失。根据相应的政策法规在网络工程数据设计、建设和验收等阶段实行同步审查,建立完善的数据备份、灾难恢复等应用,确保实时、安全、高效、可靠
22、的运行效果。4.1.3 鼓励民族信息技术产业的发展,解决好技术的先进性与自主性的关系。作为一个先进复杂的系统,电子政务系统必须尽量采用先进技术和手段以提高政务运转的效率,并增强整个系统的可靠性。从目前信息技术发展的情况来看,绝大多数的关键技术掌握在以美国为首的少数发达国家手中,在实施电子政务过程中不可避免地要采用这些国家的技术和产品,而从我国的国家和民族利益来看,又要尽量避免在关键要害部门受制于人。鉴于安全问题,在构建电子政务系统过程必须要处理好技术先进性与自主性的关系。首先,对于核心应用系统和关键政务环节,必须确保在各类实施方案中的技术自主性。其次,对于核心层外部,但又与其他外部信息系统存在
23、一定可监控隔绝层的层次,可以尽量采用先进技术以提高系统的效率和可靠性。实际上在整个电子政务系统中,位于此层次的应用系统也是承载信息最多,工作模型和处理流程最复杂的。由于此层应用系统不直接与外部信息系统相接,并能在一定的安全监控体系中运行,因此,不必单纯从技术自主的角度考虑放弃某些先进的技术。最后,对于直接与外部信息系统相联的部分,也要针对不同情况分别加以考虑。对于其中安全监控系统,需要在其中的核心部分(如核心加密算法)确保技术自主,对于其余部分,由于所承载的信息基本都属于非关键信息,可以考虑与其他信息系统接口保持通信协议、数据格式甚至软件体系的一致性。4.1.4 关于网络对人的情感及价值忽略问
24、题的应对方法解决这一问题,一是改进和普及多用途互联网电子邮件系统(MIME),使政府公务员与公众之间通过文字、声音、图象和影视进行交流与沟通,促其将信息沟通与情感交流融为一体;二是采用如专题调研、座谈讨论、听证会、新闻发布会等形式,促使政府公务员与社会公众之间进行面对面的交流与沟通,从而消除相互之间的情感隔阂,建立政府与社会之间的相互信任机制。4.2 政府自身问题的应对方法4.2.1 提高公务员素质推行任何改革,思想解放是关键。应加强对公务员的思想政治教育,使之转变观念,从而在思想上接受这场变革,进而在行动上积极应对这种变革。要加大对公务员的培训工作,使得他们掌握先进的信息技术,以适应全新的信
25、息社会工作环境,并且要把信息技术知识与技能的考核纳入公务员综合考核范围之内。4.2.2 制定发展规划,明确阶段目标,避免重复建设作为政务活动和信息技术的结合点电子政务建设不单单是一个技术问题,而且涉及到政党部门的工作程序、组织结构、人事制度等方面的调整和协调。因此,国家要制定相应的发展规划,建立相应的领导机构,加强对电子政务的研究、规划和组织协调,并根据国情,制定切实可行的阶段性目标.虽然可以在电子政务的其他方面(如硬件平台应用软件的选择上)可以搞市场经济,由各厂商自由开发、公平竞争,但是在技术标准的问题上必须搞“计划经济”,由国家同一制定。技术标准确立的越早,我国的电子政务建设就越能尽早走上
26、快车道,因此也就能尽早避免将来因标准混乱而导致的被动局面。综上所述:信息安全对于电子政务的成败具有举足轻重的作用。电子政务是一个系统工程,信息安全问题贯穿了电子政务系统的整个系统生命周期,我认为:在电子政务信息安全中,信息安全,三分技术、七分管理。因此,技术安全手段应当服从于和服务于管理安全手段。具体而言,技术手段只有和规章制度的有效执行相配合,才能产生信息安全效益。5.电子政务信息安全四大体系电子政务的信息安全建设是在适当的信息安全保障体系和框架指导下进行的一项系统工程。这项工程包括密切关联的四大体系:安全管理体系、预警检测体系、安全防护体系和响应恢复体系,其中,安全管理体系是整个信息安全保
27、障体系中最核心的组成部分,是贯穿其他三个体系的主线。5.1.安全管理体系安全管理体系的建立要遵循以下原则:符合法律、法规、标准;符合组织使命;符合组织利益。建立健全安全管理体系,最重要的是针对电子政务的现有情况制定统一的行政管理制度,在整个网络系统中贯彻执行。当然,根据当地网络的实际情况和具体网络应用的不同,适当作出调整,可以比较好地保证安全策略的统一性、一致性和可管理性。5.2.预警检测体系预警检测体系包括入侵检测、漏洞检测、外联和接入检测、补丁管理等。入侵检测系统是目前最为主要的一个广泛应用的技术和管理手段。利用网络入侵检测系统,可以了解网络的运行状况和发生的安全事件,并根据安全事件来调整
28、安全策略和防护手段,同时改进实时响应和事后恢复的有效性,为定期的安全评估和分析提供依据,从而提高网络安全的整体水平。电子政务信息网络需要部署漏洞检测系统。漏洞检测系统一般包括漏洞扫描引擎、控制中心、报表和显示中心及管理控制台4个功能组件。在电子政务的网络系统内,防火墙等安全手段往往被一些违反安全策略的行为所破坏,包括MODEM拨号、双网卡或无线上网等各种方式接入互联网。这些违反规定的非法外联行为使电子政务网络系统内的个人计算机毫无防范地接入Internet,在用户无意识的情况下,一些机密信息(包括机器和网络的所有配置信息以及数据文件)可能泄漏,由此危害整个电子政务网络的安全。非法外联监控技术就
29、是为了防范上述两类安全问题而设计的,它对内部人员的非法外联行为进行实时监控,对物理隔离措施或安全限制规定进行有效性检查。补丁管理应该纳入组织的安全体系。补丁管理的意义已经超出了传统的安全领域,成为维护企业信息系统正常操作所必须具备的措施。电子政务需要部署补丁管理系统,补丁可以被存储在本地网络以确保它们的更高可读性和加速分发。5.3.安全防护体系安全防护体系包括防火墙、身份鉴别与认证、系统访问控制、网络审计等内容。防火墙就是运行于软件和硬件上的、安装在特定网络边界的、实施网间访问控制的一组组件的集合。它在内部网络与外部网络之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内
30、部信息。身份鉴别与认证是系统的第一道安全屏障,也是实施访问控制的基础,具有十分重要的作用。因此,身份鉴别与认证机制的强度如何,将直接关系到整个系统的安全度,口令与令牌相结合的身份验证方式可以为大多数的场合提供足够的安全性。访问控制包括自主访问控制和强制访问控制两种,其中强制访问控制具有更高的安全性,建议采用。强制访问控制给每个客体和主体分配了不同的安全属性,而且这些安全属性不像ACL那样容易被修改,系统通过比较主体和客体的安全属性才决定主体对客体的操作可行性。强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的安全性。来自网络的安全威胁日益增多,很多威胁并不是以网络入侵的形式进行的,这些威
31、胁事件多数来自内部合法用户的误操作或恶意操作,仅靠系统自身的日志功能并不能满足对这些网络安全事件的审计要求。使用网络审计系统,记录网络中发生的违规行为,完整地记录各种信息的起始地址和使用者,将有利于事后追踪,为调查取证提供第一手资料。5.4.响应恢复体系响应恢复体系包括应急响应和业务连续性计划两个方面。电子政务信息系统已经成为电子政务业务的支撑平台。安全策略中必须具备应急响应手段,保证电子政务发生安全事故后,能够及时作出有效响应,采取合适的应急措施处理事故。安全事件预警与应急响应体系主要针对危及电子政务信息系统安全的重大事件进行检测、预警、抑制、根除,并从事件的影响中尽快恢复,以确保电子政务信
32、息系统的业务连续性。业务连续性计划(BCP)是与信息安全相关、但与业务关系非常紧密的一项内容。因此,电子政务的业务连续性计划必须以电子政务的业务为中心,综合考虑。 6.电子政务信息安全的概念框架 电子政务信息安全的必要性电子政务所涵盖的信息系统是政府机构用于执行政府职能的信息系统。政府机构从事的行业性质跟国家紧密联系,所涉及的众多信息都带有保密性,所以信息安全问题尤其重要。例如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等,都将对电子政务系统的正常运行构成威胁。为保证电子政务的信息安全,有必要对其信息和网络系统进行专门的安全设计。 本文尝试从技术角度为实现电子政务的信息安全提供
33、一个概念框架。 电子政务的信息安全目标信息系统信息安全的宗旨是通过在实现信息系统时充分考虑到自身、伙伴和客户的信息风险,确保组织能够完成它的全部使命和目标。进而言之,电子政务系统信息安全的宗旨就是通过在实现信息系统时充分考虑信息风险,从而确保一个政府部门能够有效地完成法律所赋予的政府职能。 为此,电子政务系统必须实现如下的信息安全目标: 1.可用性目标 可用性目标是指确保电子政务系统有效率地运转并使授权用户得到所需信息服务。通常,可用性目标是电子政务系统的首要信息安全目标。 2.完整性目标 完整性目标包括两个方面:数据完整性和系统完整性。通常,完整性目标是电子政务系统除了可用性目标之外最重要的
34、信息安全目标。 3.保密性目标 保密性目标是指不向非授权个人和部门暴露私有或者保密信息。通常,对于大多数电子政务系统而言,保密性目标在信息安全的重要程度排序中仅次于可用性目标和完整性目标。然而,对于某些特定的电子政务系统和数据,保密性目标是最重要的信息安全目标。 4.可记账性目标 可记账性目标是指电子政务系统能够如实记录一个实体的全部行为。通常,可记账性目标是政府部门的一种策略需求。可记账性目标可以为拒绝否认、威慑违规、隔离故障、检测和防止入侵、事后恢复和法律诉讼提供支持。 5.保障性目标 保障性是电子政务系统信息安全的信任基。保障性目标突出了这样的事实:对于希望做到安全的信息系统而言,不仅需
35、要提供预期的功能,而且需要保证不会发生非预期的行为。具体而言,保障性目标是指:提供并正确实现需要的电子政务功能;在用户或者软件无意中出现差错时,提供充分保护;在遭受恶意的系统穿透或者旁路时,提供充足防护。 上述五个信息安全目标是相互依赖的。很少有电子政务系统可以达成某个目标而不考虑其它目标。 电子政务的信息安全机制电子政务的信息安全机制是指实现信息安全目标的支持元素。 1.支撑机制 作为大多数信息安全能力的共同基础,支撑机制是最常用的安全机制。而且,支撑机制总是和其它机制相互关联。支撑机制包括:标识和命名、密钥管理、安全管理、系统保护。2.防护机制 防护机制被用于防止安全事故的发生。防护机制包
36、括:受保护的通讯、身份鉴别、授权、访问控制、拒绝否认、事务隐私。 检测和恢复机制因为不存在完美无缺的信息安全防护机制组合,所以在电子政务系统中有必要检测安全事故的发生并采取措施减少安全事故的负面影响。检测和恢复机制包括:审计、入侵检测和容忍、完整性验证、安全状态重置。 电子政务的信息安全技术分层体系结构? 电子政务系统的全部信息安全服务最终都依赖于操作系统安全服务。 ? 系统保证是电子政务系统实现全部安全能力的一个关键的基础要素。 ? 系统管理是电子政务系统实现有效的安全能力的另一个重要方面。 1. 系统保证 作为电子政务系统的一种基础安全特性,系统保证描述了某个实体完成预定功能的受信程度。为
37、得到用户的充分信任,安全的系统实现必须正确运用各种安全机制,并能恰当响应有意的入侵或者无意的误操作。 2. 系统管理 系统管理强调在电子政务系统的运行阶段正确配置和使用各种安全服务和工具。系统管理的范围主要包括:性能管理、记账管理、安全管理。 其余的安全服务还包括:操作系统安全服务、跨层安全服务、底层安全服务、中间件安全服务、应用安全服务。 电子政务信息安全域信息安全域包括如下的要素:一组主体,如人员、进程、设备等;一组客体,它们是主体操作的数据对象;一组安全策略,决定了主体访问客体的规则。 对于电子政务系统,信息安全域的确定通常要重点考虑两个因素:物理因素,例如建筑、园区、地区等;业务因素,
38、例如立法、司法、行政等。 结束语信息安全对于电子政务的成败具有举足轻重的作用。本文试图从技术角度为电子政务信息安全提供一个概念框架,包括:电子政务的信息安全目标、信息安全机制、信息安全服务分层体系结构,以及信息安全域的划分建议。 由于电子政务是一个系统工程,信息安全问题贯穿了电子政务系统的整个系统生命周期,所以我们认为本文讨论的概念框架在电子政务系统的各个阶段(设计、开发、实现、运行、维护、报废)都具有一定的参考意义。需要强调指出的是:信息安全,三分技术、七分管理。因此,技术安全手段应当服从于和服务于管理安全手段。具体而言,技术手段只有和规章制度的有效执行相配合,才能产生信息安全效益。 电子政
39、务信息安全初探 电子政务是基于一个服务型政府的基础上的。电子政务的本质,就是公共政府,走向公共政府,就要求政府将自己变成一个服务型政府,把政府从传统官僚体制中解脱出来,改变运作方式,更好地提高服务型政府的效率。而在所有的工作中,电子政务信息的安全维护问题是比较突出的,这必须引起我们的高度重视。电子政务信息安全是指政务数据信息在接受、产生、处理、分发、存档等覆盖文件生命周期全过程中收到窃取、篡改等,它覆盖了信息环境、信息网络和通讯基础设施、媒体、数据、信息内容、信息应用等多个方面的安全需要,包括信息不受威胁或危险、信息系统的安全、信息数据的安全和信息内容的安全等。其特点是利用VPN技术,不同部门
40、、不同业务之间进行隔离安全防御措施防火墙、入侵检测、弱点检测、防病毒统一的目录服务+结合业务系统实现外部用户的安全授权统一的数字认证授权中心结合目录服务,实现外部用户的安全授权,Proxy和NAT技术隔离内外网保证内部用户访问。电子政务中信息安全的具体内容包括:数据的保密性、有效性(信息所涉及的内容是真实有效的,在法律上可界定)、身份的真实性(信息传送双方是真是存在的,可鉴别的)、系统的可靠性(计算机软件及硬件系统的可靠性)和数据的不可否认性(发送者不能抵赖曾经发送过的内容)。1、我国电子政务中信息安全的现状目前我国电子政务中的政府信息安全问题突出表现在:(1)网络非常脆弱,各种安全隐患普遍存
41、在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和文件并可进入系统修改删除重要数据文件。一旦电子政务系统被非法侵入和破坏它将不能正常工作甚至全部瘫痪。如果系统的安全性被破坏造成敏感信息暴露或丢失,或网络被攻击等安全事件那么产生的后果必然波及地区和整个国家的安全,这种破坏将会给国家带来重大损失。由此看来,电子政务信息系统也必然成为信息间谍、敌对势力,恐怖集团、国家之间信息战攻击的目标。(2)病毒破坏黑客入侵、重要信息泄漏等危害越来越大。国家规定涉及国家秘密的计算机信息系统,不得直接或间接与国际互联网或其它公共网络联接。(3)我国大部分政府官员和公务员对信息技术、网络技术和计算机技术还
42、未接触或接触不多,所以对高新信息技术应用方面的能力也比较欠缺,整体素质与电子政务建设要求也还有很大的距离,对电子政务建设就缺乏应有的积极态度。(4)一些信息技术厂商夸张地炫耀信息技术产品的性能和先进性,错误的提供了信息技术、网络技术和计算机技术应用范围的信息,使我国部分政府官员和公务员认为只有专业人士才能很好的使用,人为地扩大了信息技术提供者和应用者之间的“数字鸿沟”,加大了信息安全的隐患。(5)随着电子政务向纵深发展,业务的敏感性和业务系统之间的相互操作越来越多,因业务系统敏感性导致的网上真实的有效确认、业务数据的安全、业务系统之间的相互责任等信息安全问题成为电子政务建设中必需要解决的问题。
43、2、电子政务信息安全策略电子政务的安全目标是保护政务信息资源价值不受侵犯,保证信息资产的拥有者(政务主体)面临最小的风险和获取最大的利益从而使政务的信息基础设施、信息应用服务和信息内容能抵御上述威胁而具有保密性完整性、真实性、可用性的特征。针对目前电子政务安全中存在的问题,我们提出了如下的解决方案。(1)Internet的安全性统一的网络管理分级、分权的管理体制实现网络的集中管理和安全体制自主知识产权的核心技术自主掌握最基础、最核心的技术特别是底层的产品。这些都是电子政务安全的重要保证。(2)外网间的信息交换需求,然而基于内网数据保密性的考虑,我们又不希望内网暴露在对外环境中。解决该问题的有效
44、方式是设置安全岛,通过安全岛来实现信息的过滤和两个网络间的物理隔离,从而实现安全的数据交换。安全岛是独立于电子政务内,外网的一个特殊的过渡网络它被置于内网专网和外网相交的边界位置,一方面将内网与外网物理隔离,防止外网黑客利用漏洞等攻击手段进入内网另一方面又完成数据的中转在其安全策略的控制下安全地进行内外网问的数据交换。对于政务内网,即政府部门内部的关键业务管理系统和核心数据应用系统需要采用包括身份鉴别、访问控制、特殊协议和通讯技术访问控制数据保密、数据完整数据校验、防止否认、审计管理、可用性和可靠性等安全措施。(3)改变我国的信息安全管理依靠传统的管理方法和手段的模式,实现现代的系统管理技术手
45、段。国际标准BS7799和ISOIEC17799是流行的信息安全管理体系标准。其中的管理目标为数据的保密性、完整性和可用性要求具有自组织、自学习、自适应自修复、自生长的能力和功能保证持续有效性。通过计划、实施、检查、措施四个阶段周而复始的循环应用于其整体过程、其他过程及其子过程,例如信息安全风险评估或者商务持续性计划的安排等为信息安全管理体系与质量管理体系、环境管理体系等的整合运行提供了方便在模式和方法上都兼容,成为统一的内部综合管理体系包括按照可信网络架构方法编制信息安全解决方案多层防范多级防护,等级保护,风险评估、重点保护针对可能发生的事故或灾害制定信息安全应急预案,建立新机制、规避风险、
46、减少损失根据相应的政策法规在网络工程数据设计、建设和验收等阶段实行同步审查,建立完善的数据备份、灾难恢复等应用,确保实时、安全、高效、可靠的运行效果。总之,电子政务的信息安全隐患主要是由于政务系统本身、应用以及公务人员的技术素质三方面的结合不完善,均存在一定的潜在性的安全威胁缺口,信息安全建设的道路任重道远。7.电子政务信息安全解决方案随着计算机技术和通信技术的飞速发展,信息化的浪潮席卷全球,无论是企事业单位还是政府机构越来越多的传统事务向自动化、网络化转变。在处于经济全球化和信息化时代的中国,电子政务是提高政府管理水平和服务水平、提高国家竞争力的有力工具,更是带动全社会信息化的龙头,具有重大
47、的意义。电子政务工程将建立一个集资源和服务于一体的电子政府个体和群体网络,其本质是资源数字化和服务网络化。随着信息技术的发展,互联网的普及,利用网络为政府部门提供更优质的服务成为当今社会的共识,借助电子政务系统的建设,达到提高政府工作效率、政府工作透明化,充分做到执政为民的目的。 由于电子政务的许多应用,如网上的申报审批、政务公文流转、网上信息统计直报、网上报税、各企业资质的网上年检等都是面向企业、政府下属机构 / 部门或政府关联机构 / 部门的应用,如下图所示: 电子政务应用系统涉及到许多保密信息,这些信息都在不同程度上关系到政府的正常运转和在广大民众心中的地位,如果这些信息一旦失真或被内部
48、人员、不怀好意人士、黑客和政治间谍窃取将有可能导致严重的后果。因此,采取强有力的安全措施来保障电子政务的信息安全将变得尤为重要。 8.电子政务信息化建设应用当中的信息安全隐患主要有: 身份认证和访问控制: 登录到系统的人必须是相关业务人员,凡是非相关人员,系统拒绝其访问;如果系统不能识别用户的真正身份,业务是无法开展的。身份认证是实现访问控制的前提条件,通过身份认证结合应用系统的授权机制,才能提供访问控制功能; 信息传输机密性: 在网络上传输的信息不能被窃取; 信息传输完整性: 在网络上传输的信息不能被恶意篡改; 信息传输不可抵赖性: 在网上提交的请求是不允许抵赖的,同时对涉及信息安全的事件,提供事后追踪、审核及统计的手段。 2004 年 8 月 28 日 十届全国人