尚蕾

摘要：電子政務(wù)系統(tǒng)的廣泛應(yīng)用，給政府管理帶來極大方便的同時(shí)，也帶來了許多安全方面的問題。通過分析當(dāng)前我國(guó)電子政務(wù)信息面臨的安全威脅，從技術(shù)防護(hù)、組織管理、法規(guī)標(biāo)準(zhǔn)、應(yīng)急處理4個(gè)方面給出了構(gòu)建電子政務(wù)系統(tǒng)安全的技術(shù)框架。

關(guān)鍵詞：電子政務(wù)；信息安全；政務(wù)信息資源

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)22-5503-02

Research on Security Assurance of the E-government System

SHANG Lei

(Shandong University of Political Science and Law, Jinan 250013, China)

Abstract: With the development of computer technology and network technology, E-government was widely used. It also caused many security problems. This paper described the point of current information security system based on the analysis of some security threat，and proposed a frame of security in e-government construction.

Key words: E-government; information security; E-government information resources

信息安全問題已經(jīng)成為當(dāng)前信息產(chǎn)業(yè)發(fā)展的焦點(diǎn)所在，網(wǎng)絡(luò)環(huán)境下的資源共享使得信息的安全問題受到越來越多的人們的關(guān)注，在電子政務(wù)的實(shí)施中涉及眾多重要的政府信息，甚至國(guó)家安全信息，這些信息承載著各級(jí)政府管理部門的信息傳遞與流程管理，比任何商務(wù)信息或個(gè)人信息更為敏感，因此信息安全問題成為電子政務(wù)建設(shè)中至關(guān)重要的核心議題。

現(xiàn)階段，我國(guó)電子政務(wù)信息安全系數(shù)比較低，形勢(shì)非常嚴(yán)峻。從有關(guān)主管部門公布的調(diào)查結(jié)果顯示，我國(guó)信息網(wǎng)絡(luò)安全事件發(fā)生比例逐年呈現(xiàn)上升趨勢(shì)，2010年5月，我國(guó)大陸地區(qū)約有2.4萬(wàn)個(gè)IP地址對(duì)應(yīng)的主機(jī)被木馬程序控制，2.8萬(wàn)個(gè)IP地址對(duì)應(yīng)的主機(jī)被僵尸程序控制，9.7萬(wàn)個(gè)主機(jī)感染惡意代碼。其中涉及電子政務(wù)的安全問題尤其不容忽視，被篡改政府網(wǎng)站數(shù)量占到被篡改網(wǎng)站總數(shù)的17.39%，有近80 %的政務(wù)網(wǎng)絡(luò)曾經(jīng)或者正在被“木馬”入侵。[1]

1政務(wù)信息資源面臨的安全威脅

總體上來說，政務(wù)信息所面臨的安全威脅分為兩種：一是對(duì)網(wǎng)絡(luò)中信息的威脅；二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。而對(duì)網(wǎng)絡(luò)中信息的安全威脅則是我們防范的重點(diǎn)。歸結(jié)起來，針對(duì)網(wǎng)絡(luò)信息安全的威脅主要來自幾個(gè)方面：

1）電磁泄露、地震、洪水、雷擊、火災(zāi)等環(huán)境事故造成的威脅；

2）操作人員的無(wú)意過失；

3）人為的惡意攻擊；

政務(wù)網(wǎng)絡(luò)的開放性要求，給黑客攻擊帶來了便利，這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，黑客的攻擊和計(jì)算機(jī)犯罪就屬于這一類，可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。主要分為兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。

4）網(wǎng)絡(luò)本身的軟件的漏洞、“陷門”或硬件故障。

政務(wù)系統(tǒng)本身存在一些漏洞或缺陷，軟件安全性不高，為攻擊者利用，如操作系統(tǒng)漏洞、數(shù)據(jù)庫(kù)管理系統(tǒng)漏洞、通信協(xié)議本身的安全漏洞等。任何的軟件都無(wú)法保證絕對(duì)的無(wú)缺陷和無(wú)漏洞，而這恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。據(jù)卡耐基梅隆大學(xué)的估計(jì)，每1000行代碼中一般有5到15個(gè)BUG[2]，這種漏洞顯然會(huì)影響政務(wù)信息的安全和保密。此外，硬件系統(tǒng)的安全缺陷（例如計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和網(wǎng)絡(luò)鏈路的故障等）也是網(wǎng)絡(luò)信息系統(tǒng)面臨的重大威脅之一。

2電子政務(wù)系統(tǒng)信息安全實(shí)施策略

要想擁有一個(gè)完善的電子政務(wù)信息安全管理系統(tǒng)，必須自始至終貫徹一套嚴(yán)格的管理規(guī)范。由于網(wǎng)絡(luò)信息安全的防護(hù)涉及技術(shù)、管理、配套法規(guī)以及應(yīng)急處理四個(gè)方面，因此，電子政務(wù)信息安全管理系統(tǒng)從總體上可分為四大模塊，即技術(shù)防護(hù)、組織管理、法規(guī)標(biāo)準(zhǔn)和應(yīng)急處理，它們以信息網(wǎng)絡(luò)的總體安全策略為核心，共同保護(hù)電子政務(wù)信息安全運(yùn)行。

2.1電子政務(wù)信息安全的技術(shù)防護(hù)

電子政務(wù)信息安全的防護(hù)技術(shù)可以分為物理安全機(jī)制和邏輯安全機(jī)制兩個(gè)方面，前者指為了保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊，確保電子政務(wù)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境等而設(shè)置的安全策略，包括了環(huán)境安全、設(shè)備安全和介質(zhì)安全三個(gè)方面。后者指網(wǎng)絡(luò)信息安全的技術(shù)保障，如我們熟悉的訪問控制技術(shù)、安全檢測(cè)技術(shù)、防火墻技術(shù)、防病毒技術(shù)等。下面介紹一種近年來應(yīng)用于電子政務(wù)系統(tǒng)主動(dòng)安全技術(shù)入侵檢測(cè)。

入侵檢測(cè)作為防火墻之后的第二道閘口正日益成為保障電子政務(wù)網(wǎng)絡(luò)系統(tǒng)安全的一種重要手段。人侵偵測(cè)系統(tǒng)( Intrusion Detection System ,IDS )[3]對(duì)計(jì)算機(jī)網(wǎng)絡(luò)及基于網(wǎng)絡(luò)的系統(tǒng)進(jìn)行監(jiān)視，依據(jù)監(jiān)視結(jié)果針對(duì)不同的入侵行為采用不同的安全策略，以期最大程度地降低入侵帶來的危害，是一種主動(dòng)檢測(cè)系統(tǒng)是否受到攻擊的網(wǎng)絡(luò)安全技術(shù)。入侵檢測(cè)系統(tǒng)的主要功能包括：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；識(shí)別、反映已知進(jìn)攻的活動(dòng)模式；統(tǒng)計(jì)分析異常行為模式；審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶違反安全策略的行為等。目前針對(duì)電子政務(wù)系統(tǒng)安全應(yīng)用的入侵檢測(cè)系統(tǒng)方案有基于政務(wù)信息資源數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)、基于電子系統(tǒng)協(xié)同工作的多主體（multi-agent）入侵檢測(cè)技術(shù)。

2.2電子政務(wù)信息安全的組織管理機(jī)制

隨著電子政務(wù)信息系統(tǒng)的應(yīng)用日益廣泛，各單位組織對(duì)信息系統(tǒng)的依賴性不斷增強(qiáng)，日常行政辦公等各類業(yè)務(wù)信息開始全面依賴信息系統(tǒng)進(jìn)行處理，這些對(duì)信息安全提出了更高的要求，迫切需要系統(tǒng)化地構(gòu)建涉密信息系統(tǒng)安全管理制度。

電子政務(wù)的信息安全保障不僅在于硬件設(shè)備，更需要工作人員安全意識(shí)的提高和機(jī)構(gòu)安

全機(jī)制完善，這是整個(gè)系統(tǒng)安全的關(guān)鍵。[4]僅僅通過技術(shù)手段實(shí)現(xiàn)的安全能力是有限的，有效的安全組織管理體系才能確保安全技術(shù)和產(chǎn)品發(fā)揮作用。目前我國(guó)電子政務(wù)信息資源安全組織管理體系已經(jīng)基本形成，包括了國(guó)家安全部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)、信息產(chǎn)業(yè)部等，分別執(zhí)行各自安全管理職能；各地區(qū)和部委也建立了相應(yīng)安全管理機(jī)構(gòu)。在具體的工作中還需要注意以下問題：1）從思想上提高員工尤其是組織領(lǐng)導(dǎo)者的安全意識(shí)，加強(qiáng)安全工作培訓(xùn)。2）建立嚴(yán)格制度的文檔歷史檔案。3）加強(qiáng)網(wǎng)絡(luò)監(jiān)控、檢測(cè)手段和口令管理。4）建立完善的網(wǎng)絡(luò)系統(tǒng)備份和恢復(fù)功能。

2.3電子政務(wù)信息安全應(yīng)急處理機(jī)制

再健全的安全體系也無(wú)法保障系統(tǒng)的絕對(duì)安全，任何一個(gè)系統(tǒng)都不可避免的會(huì)遭受攻擊，為了更好的應(yīng)對(duì)緊急情況，建立科學(xué)有效的應(yīng)急處理機(jī)制是非常必要的，因此需要有專業(yè)的組織機(jī)構(gòu)進(jìn)行專業(yè)的安全防護(hù)，并同時(shí)展開安全保障研究工作。建立積極有效的電子政務(wù)信息安全防護(hù)策略和防護(hù)機(jī)制，包括了建立風(fēng)險(xiǎn)評(píng)估機(jī)制、建立防護(hù)演練機(jī)制以及建立人才培養(yǎng)機(jī)制，同時(shí)還需要建立一套迅速有力的響應(yīng)機(jī)制，保證在任何時(shí)候政務(wù)信息平臺(tái)都能高效正常運(yùn)行。

2.4電子政務(wù)信息安全政策法規(guī)標(biāo)準(zhǔn)體系

法律是保障電子政務(wù)信息安全的最有力手段，發(fā)達(dá)國(guó)家在政府信息安全立法方面積累了成功經(jīng)驗(yàn)，早在1992年，世界經(jīng)濟(jì)合作與發(fā)展組織（OECD）發(fā)表了《信息系統(tǒng)安全指南》,旨在幫助成員和非成員的政府、企業(yè)組織增強(qiáng)信息系統(tǒng)的風(fēng)險(xiǎn)意識(shí)，提供一般性的安全知識(shí)框架。針對(duì)各國(guó)的電子政務(wù)信息安全問題，各國(guó)也有自己的法律體系，如美國(guó)的《陽(yáng)光下的政府法》、和《信息公開法》、英國(guó)的《官方信息保護(hù)法》、俄羅斯的《聯(lián)邦信息、信息化和信息保護(hù)法》等。

我國(guó)的司法部門在吸取和借鑒國(guó)外網(wǎng)絡(luò)信息安全立法經(jīng)驗(yàn)的基礎(chǔ)上，也在應(yīng)加快我國(guó)的立法進(jìn)程，制定和頒布個(gè)人隱私保護(hù)法、個(gè)人數(shù)據(jù)保護(hù)法、信息網(wǎng)絡(luò)安全性法規(guī)、數(shù)字簽名認(rèn)證法、電子憑證(票據(jù))法、網(wǎng)上知識(shí)產(chǎn)權(quán)法等，預(yù)防和打擊計(jì)算機(jī)犯罪法規(guī)以完善我國(guó)的網(wǎng)絡(luò)信息安全法律體系，使電子政務(wù)信息安全管理走上法制化軌道。

3結(jié)束語(yǔ)

目前，我國(guó)在電子政務(wù)系統(tǒng)信息安全建設(shè)的研究主要集中在通過不同視角的網(wǎng)絡(luò)信息安全建設(shè)來確保涉密政務(wù)信息的完整性、保密性、不可否認(rèn)性、可用性、可控性等，一方面我們要加強(qiáng)信息安全核心技術(shù)的研發(fā)，另一方面也要加強(qiáng)信息安全管理制度、法律法規(guī)方面的建立健全，以及包括政府工作人員在內(nèi)的多方努力，來共同確保電子政務(wù)系統(tǒng)的信息安全。

參考文獻(xiàn)：

[1]寧家駿.關(guān)于加強(qiáng)我國(guó)新時(shí)期電子政務(wù)信息安全保障體系建設(shè)的一些芻議[J].電子政務(wù),2010,7.

[2] Schneier B.網(wǎng)絡(luò)信息安全的真相[M].吳世忠,馬芳,譯.北京:機(jī)械工業(yè)出版社,2001.

[3]王悅.基于電子政務(wù)的數(shù)據(jù)挖掘異常入侵檢測(cè)技術(shù)[J].微計(jì)算機(jī)信息,2010,26 (9-1):236-238.

[4]張維華.我國(guó)電子政務(wù)信息資源安全保障體系研究[J].圖書情報(bào)工作,2007,12.