孫 雷

一、電子政務(wù)順利實(shí)施的核心問題

電子政務(wù)是一種全新的政府管理方式,是一個(gè)基于網(wǎng)絡(luò)技術(shù)的綜合性業(yè)務(wù)模式。建立電子政務(wù)系統(tǒng)參公眾服務(wù),必然要求這一系統(tǒng)必須是安全、可靠、抗災(zāi)難、可恢復(fù)的。計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的共享、交互和快速為這種系統(tǒng)的建立提供了前提條件,互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展和廣泛應(yīng)用,又為電子政務(wù)系統(tǒng)不斷走向開放互聯(lián)提供了巨大推動(dòng)力。隨著電子政務(wù)信息化的不斷發(fā)展,電子政務(wù)對(duì)于網(wǎng)絡(luò)系統(tǒng)的依賴性越來越強(qiáng),政務(wù)系統(tǒng)作為關(guān)系國計(jì)民生的重要部分,在安全方面尤為重要,而由于互聯(lián)網(wǎng)的開放性和公共性帶來的不安全因素,使信息安全問題成為保障電子政務(wù)順利實(shí)施的核心問題。

二、電子政務(wù)信息安全面臨的問題

電子政務(wù)網(wǎng)分為政務(wù)內(nèi)網(wǎng)(涉密網(wǎng))和政務(wù)外網(wǎng)(非涉密網(wǎng)),兩網(wǎng)之間物理隔離,政務(wù)外網(wǎng)采取邏輯隔離與互聯(lián)網(wǎng)聯(lián)通。政府各部門大力推行的辦公自動(dòng)化、網(wǎng)絡(luò)化、電子化、信息共享都以這些網(wǎng)絡(luò)為支撐,以TCP/IPV4為傳輸協(xié)議,該協(xié)議為開放協(xié)議,從協(xié)議規(guī)劃、服務(wù)模式、網(wǎng)絡(luò)管理等方面均缺乏安全性設(shè)計(jì),所以電子政務(wù)信息系統(tǒng)就存在著諸多的安全隱患。

1.網(wǎng)絡(luò)安全規(guī)劃的不到位,造成網(wǎng)絡(luò)結(jié)構(gòu)的不合理性。由于信息技術(shù)發(fā)展的歷史原因和建設(shè)資金問題,我國電子政務(wù)網(wǎng)絡(luò)的建設(shè)在規(guī)劃上經(jīng)常缺少前瞻性的安全規(guī)劃,網(wǎng)絡(luò)流量存在多個(gè)瓶頸, IP地址缺乏統(tǒng)一規(guī)劃,廣播流量可控性差,子網(wǎng)故障隔離性差,重要流量缺乏帶寬管理和服務(wù)質(zhì)量?jī)?yōu)先保證等一大堆問題。隨著安全問題的不斷出現(xiàn),只能在運(yùn)行過程中不停地修修補(bǔ)補(bǔ)。但是,這種修補(bǔ)只能解決暫時(shí)的問題,解決一個(gè)問題后,往往又有新問題出現(xiàn)。

2.關(guān)鍵核心技術(shù)還掌握,增加了我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全的隱患。我國對(duì)發(fā)達(dá)國家信息設(shè)備和信息技術(shù)存在很強(qiáng)的依賴性,信息化核心設(shè)備嚴(yán)重依賴國外,對(duì)引進(jìn)技術(shù)和設(shè)備缺乏必要的信息管理和技術(shù)改造。尤其是在系統(tǒng)安全和安全協(xié)議的研究和應(yīng)用方面與發(fā)達(dá)國家的差距很大。目前組成我國電子政務(wù)網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所用硬件、軟件、操作系統(tǒng)、網(wǎng)管軟件、各類應(yīng)用系統(tǒng)、數(shù)據(jù)庫、防火墻、網(wǎng)絡(luò)接入設(shè)備、路由器、服務(wù)器基本上都是國外公司的產(chǎn)品,微機(jī)芯片都是INTEL系列,軟件基本上是微軟公司的產(chǎn)品,完全自主知識(shí)產(chǎn)權(quán)的產(chǎn)品基本沒有。這些因素使我國的電子政務(wù)網(wǎng)絡(luò)安全性能大大降低,我國的經(jīng)濟(jì)和社會(huì)發(fā)展面臨著新的風(fēng)險(xiǎn)。

3.網(wǎng)絡(luò)安全管理的混亂和規(guī)范化的管理制度相對(duì)滯后,造成很多管理安全漏洞。由于電子政務(wù)的網(wǎng)絡(luò)是連接多個(gè)政務(wù)部門的廣域網(wǎng)或城域網(wǎng),需要各部門協(xié)調(diào)一致,共同維護(hù)整個(gè)網(wǎng)絡(luò)平臺(tái)的安全。但是,由于不同政府部門的信息技術(shù)人才和信息化水平的差異性,以及不同政府部門存在一些相關(guān)的利益和沖突,因此,很難做到安全管理的統(tǒng)一協(xié)調(diào)性,一旦發(fā)生安全事件,故障定位不準(zhǔn),追查事故源困難,責(zé)任問題牽扯不清,從而造成事件的破壞性后果更為嚴(yán)重。

4.安全意識(shí)淡薄。目前,在電子政務(wù)信息的安全問題上還存在不少認(rèn)知盲區(qū)和制約因素。網(wǎng)絡(luò)是新生事物,許多人一接觸就忙著用于學(xué)習(xí)、工作和娛樂等,對(duì)網(wǎng)絡(luò)信息的安全性無暇顧及,安全意識(shí)相當(dāng)?shù)?對(duì)網(wǎng)絡(luò)信息不安全的事實(shí)認(rèn)識(shí)不足。與此同時(shí),機(jī)關(guān)、事業(yè)單位注重的是網(wǎng)絡(luò)效應(yīng),對(duì)安全領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)不能滿足安全防范的要求。總體上看,網(wǎng)絡(luò)信息安全處于被動(dòng)的封堵漏洞狀態(tài),從上到下普遍存在僥幸心理,沒有形成主動(dòng)防范、積極應(yīng)對(duì)的全民意識(shí),更無法從根本上提高網(wǎng)絡(luò)監(jiān)測(cè)、防護(hù)、響應(yīng)、恢復(fù)和抗擊能力。

三、電子政務(wù)信息安全措施

1.設(shè)備的物理安全。物理層的安全設(shè)計(jì)應(yīng)從三個(gè)方面考慮:環(huán)境安全、設(shè)備安全、線路安全。采取的措施包括:機(jī)房屏蔽,電源接地,布線隱蔽,防雷。根據(jù)中央保密委有關(guān)文件規(guī)定,凡是計(jì)算機(jī)同時(shí)具有內(nèi)網(wǎng)和外網(wǎng)的應(yīng)用需求,必須采取網(wǎng)絡(luò)安全隔離技術(shù),在計(jì)算機(jī)終端安裝隔離卡或安裝安全網(wǎng)閘,使內(nèi)網(wǎng)與外網(wǎng)之間從根本上實(shí)現(xiàn)物理隔離,防止涉密信息通過外網(wǎng)泄漏。

2.信息的加密。電子政務(wù)應(yīng)用涵蓋政府內(nèi)部辦公和面對(duì)公眾的信息服務(wù)兩大方面。就政府內(nèi)部辦公而言,電子政務(wù)系統(tǒng)涉及到部門與部門之間、上下級(jí)之間、地區(qū)與地區(qū)間的公文流轉(zhuǎn),這些公文的信息往往涉及不宜公開的和有密級(jí)的內(nèi)容。因此,在信息傳遞過程中,必須采取適當(dāng)?shù)募用芊椒▽?duì)信息進(jìn)行加密?？刹捎枚喾N加密方式:a.基于IPsec的加密方式正被廣泛采用,其優(yōu)點(diǎn)顯而易見:IPsec對(duì)應(yīng)用系統(tǒng)透明且具有極強(qiáng)的安全性,這一點(diǎn)對(duì)于要開發(fā)龐大應(yīng)用的電子政務(wù)來說,就顯得極有好處了,應(yīng)用系統(tǒng)開發(fā)商不必為數(shù)據(jù)傳輸過程中的加密做過多的考慮,易于部署和維護(hù)。b.采用VPN技術(shù)在公共數(shù)據(jù)網(wǎng)上進(jìn)行內(nèi)部信息的安全傳輸。其優(yōu)點(diǎn)是只增加端設(shè)備避免了重復(fù)建設(shè)。c.采用公鑰基礎(chǔ)設(shè)施技術(shù)(PKI)為基礎(chǔ),以數(shù)據(jù)機(jī)密性、完整性、身份認(rèn)證和行為的不可否認(rèn)為安全目的為電子政務(wù)提供安全支持。

3.操作系統(tǒng)的安全性。網(wǎng)絡(luò)安全的重要基礎(chǔ)之一是安全的操作系統(tǒng),因?yàn)樗械恼?wù)應(yīng)用和安全措施都依賴操作系統(tǒng)提供底層支持。操作系統(tǒng)的漏洞或配置不當(dāng)將有可能導(dǎo)致整個(gè)安全體系的崩潰。更危險(xiǎn)的是,我們無法保證國外廠家的操作系統(tǒng)產(chǎn)品不存在后門。在操作系統(tǒng)安全方面,有兩點(diǎn)是值得考慮的:一是采用具有自主知識(shí)產(chǎn)權(quán)且源代碼對(duì)政府公開的產(chǎn)品;二是利用漏洞掃描工具定期檢查系統(tǒng)漏洞和配置更改情況,及時(shí)發(fā)現(xiàn)問題。

4.數(shù)據(jù)備份與容災(zāi)。任何的安全措施都無法保證數(shù)據(jù)萬無一失,硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份,并且最好是異地備份。

5.管理制度的完善。電子政務(wù)網(wǎng)絡(luò)內(nèi)部安全和外部安全一樣重要,內(nèi)部安全除了需要體系化的安全防御策略,還需要嚴(yán)格的、可操作性強(qiáng)的安全管理制度。制度的制訂首先要規(guī)范,其次要強(qiáng)調(diào)制度的強(qiáng)制性、法規(guī)約束力和可操作性,同時(shí)進(jìn)行安全宣傳教育,增強(qiáng)安全意識(shí)的培養(yǎng)和信息安全知識(shí)的普及這樣才能保證制度的真正貫徹和執(zhí)行加強(qiáng)。

6.建立網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案。網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案是安全管理制度的一個(gè)重要部分,這里單獨(dú)來討論,主要是考慮到其重要性。事前有預(yù)案,一旦發(fā)生安全事件,就可以觸發(fā)相應(yīng)的預(yù)案處理程序,在最短的時(shí)間內(nèi)恢復(fù)正常的網(wǎng)絡(luò)服務(wù)和信息服務(wù),力求把安全事件的破壞力降到最低?！?編輯/李舶)