李亞巍

摘 要 現(xiàn)代通信信息科學(xué)技術(shù)的的發(fā)展日新月異，它以網(wǎng)絡(luò)為標(biāo)志，以通信技術(shù)和計(jì)算機(jī)技術(shù)為核心，人類社會(huì)正以前所未有的速度朝著信息時(shí)代大步邁進(jìn)。在擴(kuò)大民主參與、改善政府效能、提高行政效率等方面，電子政務(wù)的作用日益顯著，它是全球信息化的重要組成部分。世界各國發(fā)展社會(huì)經(jīng)濟(jì)，加大信息公開，轉(zhuǎn)變政府職能，推進(jìn)政務(wù)協(xié)同，強(qiáng)化公共服務(wù)的有效手段便是建立快捷高效的電子政府，使信息化技術(shù)得到充分有效地利用。然而，電子政務(wù)系統(tǒng)豐富功能的同時(shí)，也存在一系列的安全隱患。電子政務(wù)系統(tǒng)的建設(shè)，需求較高的保密措施，涉及面廣泛，難度很大，在系統(tǒng)內(nèi)必須配備大量的人員、設(shè)備、信息等資源來加強(qiáng)安全措施的防護(hù)，這是一項(xiàng)復(fù)雜而龐大的工程。

關(guān)鍵詞 電子政務(wù) 安全 防御 分析

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

1電子政務(wù)安全防御體系建設(shè)現(xiàn)狀

在全球信息化形勢下，電子政務(wù)在擴(kuò)大民主參與、提高行政效率、改善政府效能等方面的具有顯著的作用。為了加強(qiáng)公共服務(wù)，促進(jìn)社會(huì)經(jīng)濟(jì)發(fā)展，轉(zhuǎn)變政府職能，進(jìn)而加大各國信息公開力度，所以建立一個(gè)高效快捷的政府，使信息化技術(shù)得到充分利用，進(jìn)而推動(dòng)世界各國政務(wù)協(xié)同合作是當(dāng)前最行之有效的手段。電子政務(wù)的建設(shè)與發(fā)展受到越來越多的國家都的重視，許多國家都將其作為重點(diǎn)建設(shè)項(xiàng)目。

信息化程度最高和最早發(fā)展電子政務(wù)的國家是美國，多達(dá)10 000種申請(qǐng)服務(wù)項(xiàng)目在國家網(wǎng)站上推出；2005年在所有的英國政府服務(wù)領(lǐng)域均能實(shí)現(xiàn)上網(wǎng)，英國政府服務(wù)的所有區(qū)域，均在2005年實(shí)現(xiàn)了24小時(shí)不間斷的網(wǎng)絡(luò)服務(wù)。日本政府也在2000年3月正式啟動(dòng)“電子政務(wù)工程”建設(shè)，這一工程在很大程度是加速了日本政府的電子化、信息化進(jìn)程。目前，許多發(fā)展中國家在電子政務(wù)建設(shè)上屬于后來居上，他們?cè)诤芏喾矫娑家呀?jīng)達(dá)到，甚至超過了發(fā)達(dá)國家的水平。而在這一時(shí)期，西班牙和法國的網(wǎng)絡(luò)覆蓋率為32%，瑞典的網(wǎng)絡(luò)覆蓋率達(dá)到34%。

信息化越來越成為發(fā)達(dá)國家社會(huì)轉(zhuǎn)型的一種趨勢，而對(duì)于發(fā)展中國家來說，這既是一種新的機(jī)遇，也是一種挑戰(zhàn)，利與弊都在一念之間。但在電子政務(wù)網(wǎng)絡(luò)被大力發(fā)展的同時(shí)，各國政府同時(shí)又不得不面臨層出不窮的多種網(wǎng)絡(luò)安全現(xiàn)狀：（1）外網(wǎng)準(zhǔn)入控制系統(tǒng)不夠完善：非法分子通常就是通過管理漏洞對(duì)系統(tǒng)發(fā)起攻擊，而這些攻擊的渠道又多半是外網(wǎng)。所以，要實(shí)時(shí)關(guān)注外網(wǎng)動(dòng)態(tài)，并及時(shí)有效的對(duì)出現(xiàn)的漏洞進(jìn)行更新和維護(hù)。（2）由于內(nèi)網(wǎng)具有較強(qiáng)的機(jī)密性，所以各級(jí)政府都很重視其安全控制，但其準(zhǔn)入行為審計(jì)過程中，準(zhǔn)入標(biāo)準(zhǔn)沒有規(guī)范化，導(dǎo)致系統(tǒng)文件缺失，從而方便了非法分子的不法行為。（3）缺失網(wǎng)絡(luò)操作行為管理：因缺乏有效的信息化管理手段，違規(guī)操作和不安全操作等行為無法按照網(wǎng)絡(luò)內(nèi)部的要求，來對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行正確操作，實(shí)行有效管理。

目前主要有下列電子政務(wù)網(wǎng)絡(luò)安全威脅：（1）非法攻擊并入侵電子政務(wù)網(wǎng)絡(luò)接口：互聯(lián)網(wǎng)仍是電子政務(wù)面向公眾的網(wǎng)絡(luò)基礎(chǔ)，因此仍然會(huì)存在非法分子利用外網(wǎng)、專網(wǎng)的服務(wù)器接口進(jìn)行非法入侵的風(fēng)險(xiǎn)。非法分子經(jīng)常通過業(yè)務(wù)系統(tǒng)拒絕服務(wù)等方式進(jìn)行攻擊，并依靠猜測來獲取其他內(nèi)部主機(jī)的服務(wù)訪問權(quán)限。（2）攻擊電子政務(wù)網(wǎng)絡(luò)先天畸形：電子政務(wù)網(wǎng)絡(luò)的很多子系統(tǒng)如操作系統(tǒng)、應(yīng)用系統(tǒng)、支撐系統(tǒng)等的管理過程和系統(tǒng)配置在不同的時(shí)間和地點(diǎn)都會(huì)出現(xiàn)固有的安全隱患，而這就成了不法分子用來攻擊政務(wù)系統(tǒng)的隱秘暗門、使用網(wǎng)絡(luò)攻擊等手段致溢出緩沖區(qū)信息、利用“特洛伊”木馬程序來非法盜取信息，利用這些漏洞來實(shí)現(xiàn)對(duì)系統(tǒng)的非法訪問和控制，繞過甚至穿透針對(duì)安全設(shè)施制定的防護(hù)策略，并且基于此來繼續(xù)對(duì)其他系統(tǒng)進(jìn)行攻擊。

2存在的主要問題

以前較為傳統(tǒng)的工作過程被現(xiàn)在獨(dú)立、集成、全智能化、全開放的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所代替了。各行各業(yè)都從中受益，人們生活和工作因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)技術(shù)和電子信息技術(shù)的飛速發(fā)展，發(fā)生了翻天覆地的變化，同時(shí)也逐漸改變了世界。但同時(shí)也給人們的日常生活帶來了許多危害?，F(xiàn)在，計(jì)算機(jī)網(wǎng)絡(luò)安全相關(guān)的研究涉及了很多方面，比如教育、政府、科研等等，同時(shí)，也促進(jìn)了計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)能進(jìn)一步發(fā)展。

安全防范中存在的主要問題：（1）信息安全管理由于沒有形成一個(gè)國家性的方案，所以現(xiàn)在可以所是一團(tuán)糟。實(shí)施與監(jiān)管策略不到位，信息安全處理能力較弱。沒有走中國特色政治經(jīng)濟(jì)大路，相反只是一味追求部門特色。管理技術(shù)和法制之間的關(guān)系也沒有得到準(zhǔn)確地區(qū)分，沒有與時(shí)俱進(jìn)而采取先進(jìn)的管理方法，導(dǎo)致制度難以完美實(shí)施。（2）動(dòng)態(tài)的、中國特色的并包括組織文件的工作流程與防范方法還未建立起來，也缺乏針對(duì)信息安全管理體系的相關(guān)要素和資源。（3）信息安全的要點(diǎn)及所要保護(hù)的范圍還沒得到很好的確定，中國特色信息安全評(píng)估準(zhǔn)則還不夠完善，完整、全方位的信息保障系統(tǒng)及風(fēng)險(xiǎn)評(píng)估和評(píng)價(jià)體系也沒建立起來。（4）只重方法、不重管理，只重產(chǎn)物、不重服務(wù)的不好思想一直存在，沒有形成較好的信息安全觀念。（5）信息管理人才不足，重要技術(shù)與相關(guān)理論的研究十分薄弱，沒有投入足夠的專項(xiàng)經(jīng)費(fèi)，對(duì)引進(jìn)國外的信息設(shè)備和技術(shù)嚴(yán)重依賴，缺乏有效技術(shù)改造和信息管理來對(duì)信息安全提供保護(hù)。（6）缺乏較高水平和質(zhì)量的信息安全管理產(chǎn)品，通常會(huì)以集中配置為主、不重視技術(shù)創(chuàng)新，安全管理平臺(tái)的主要任務(wù)是報(bào)告狀態(tài)、管理與策略同時(shí)進(jìn)行，不足的是，產(chǎn)品研發(fā)過于滯后。（7）沒有特定的具有權(quán)威的機(jī)關(guān)機(jī)構(gòu)來對(duì)立法管理組織實(shí)現(xiàn)協(xié)調(diào)與管理，造成了中國現(xiàn)在關(guān)于信息管理安全方面的法律不多，水平不夠，制度多，結(jié)構(gòu)亂，缺乏嚴(yán)密的體系；多方進(jìn)行管理，不明確執(zhí)法主體，各行政部門各行其是，規(guī)則不一致，執(zhí)行難度較大可操作性不強(qiáng)，缺少法律依據(jù)；缺少應(yīng)有的數(shù)量，制定周期太長，內(nèi)容上不全面，不能按時(shí)完工；缺乏監(jiān)督機(jī)構(gòu)，執(zhí)法不嚴(yán)；信息安全法和電了商務(wù)法等專門的信息安全基本法缺乏；互聯(lián)網(wǎng)多項(xiàng)權(quán)力立法不全面；社會(huì)各界的法律意識(shí)不強(qiáng)，政府執(zhí)法力度不夠，法律人才不多。（8）我國沒有專門制定關(guān)于信息管理安全方面的標(biāo)準(zhǔn)，而是效仿國際標(biāo)準(zhǔn)。國家缺乏必要法律保護(hù)和監(jiān)督管理機(jī)制在對(duì)標(biāo)準(zhǔn)的實(shí)施過程中，進(jìn)行監(jiān)督，致使用戶或企業(yè)不執(zhí)行標(biāo)準(zhǔn)，不能及時(shí)、妥善的解決執(zhí)行過程中出現(xiàn)的問題。

3問題解決的方法

對(duì)電子政務(wù)網(wǎng)絡(luò)信息系統(tǒng)安全防御體系建設(shè)進(jìn)行介紹：（1）對(duì)電子政務(wù)安全防御體系解決方案的建立，通過電子政務(wù)的應(yīng)用規(guī)劃、主要技術(shù)路線和系統(tǒng)架構(gòu)進(jìn)行了比較完整分析，進(jìn)而明確構(gòu)建目標(biāo)。（2）根據(jù)政府體系的內(nèi)部和外部的威脅是政府電子政務(wù)信息所面臨的兩個(gè)主要安全威脅因素的介紹，為我國電子政府的信息系統(tǒng)安全防御建進(jìn)行了清楚的劃分。（3）通過主要對(duì)美國政府長期在公共部門信息安全防范管理方面的工作進(jìn)行借鑒，對(duì)他們的教訓(xùn)和豐富的經(jīng)驗(yàn)進(jìn)行總結(jié)并分析，深入思考信息保障問題，以對(duì)比分析來確保，能夠建設(shè)一支可實(shí)施性強(qiáng)的具體的國家信息安全保障國家戰(zhàn)略體系。（4）通過結(jié)合我國具體情況，設(shè)計(jì)了具有中國特色的電子政務(wù)信息安全防御系統(tǒng)。并對(duì)中國電子政務(wù)信息安全系統(tǒng)防御體系核心部分的程序進(jìn)行設(shè)計(jì)，主要包括登陸代碼、數(shù)據(jù)加密和解密的實(shí)現(xiàn)；通過信息安全防御體系的應(yīng)用及其實(shí)現(xiàn)標(biāo)準(zhǔn)和電子政務(wù)網(wǎng)絡(luò)安全防御體系的具體應(yīng)用，以此進(jìn)一步確保電子政務(wù)系統(tǒng)信息安全防御體系的應(yīng)用實(shí)現(xiàn)。

參考文獻(xiàn)

[1] 劉義理.電子政務(wù)——理論、應(yīng)用與管理[M].北京：中國建筑工業(yè)出版社，2010.

[2] 王長勝，許曉平.中國電子政務(wù)發(fā)展報(bào)告（2010）[M].北京：社會(huì)科學(xué)文獻(xiàn)出版社，2010.

[3] Wong C，Lam S.Digital signatures for flows and multicasts.Networking，IEEE/ACM Transactions，2009，7（4）：502-513.

[4] Fang B.Introducing decryption authority into PIG.Computer Security Applications，2010：288-296.

[5] 張建華.電子政務(wù)知識(shí)管理[M].北京：科學(xué)出版社，2010.

[6] 徐曉林，楊蘭蓉.電子政務(wù)[M].北京：科學(xué)出版社，2010.

[7] 杜治洲.電子政務(wù)與政府管理模式的互動(dòng)[M].北京：中國經(jīng)濟(jì)出版社，2006.

[8] 姚國章.中國電子政務(wù)案例[M].北京：北京大學(xué)出版社，2007.

[9] 工業(yè)和信息化部信息化推進(jìn)司.轉(zhuǎn)型與調(diào)整——中國信息化發(fā)展報(bào)告2010[M].北京：電子工業(yè)出版社，2010.

[10] Yu H，Jin C，Che H.A description logic for PK1 trust domain modeling.Information Technology and Applications，2011：524-528.

[11] 張建偉.國外電子政務(wù)發(fā)展戰(zhàn)略對(duì)我國的啟示[J].改革與戰(zhàn)略，2009（05）.

[12] Galley·Michael J.Digital signatures.Information Security Technical Report， 2007，2（4）：12-22.