牛朋飛

喜科（上海）軟件系統(tǒng)有限公司，成都 郵編 200000

電子政務(wù)信息安全體系研究

牛朋飛

喜科（上海）軟件系統(tǒng)有限公司，成都 郵編 200000

近年來，電子政務(wù)所處的網(wǎng)絡(luò)環(huán)境日益復(fù)雜，來自黑客、病毒的攻擊行為也日益頻繁，給國家的信息安全帶來嚴重的威脅。本文分析電子政務(wù)網(wǎng)絡(luò)面臨的安全威脅和要求，從基礎(chǔ)設(shè)施、技術(shù)保障、管理體系等三個方面構(gòu)建信息安全保障體系。

電子政務(wù)，信息安全，安全威脅，保障體系

電子政務(wù)信息平臺是我國“十五”規(guī)劃建設(shè)的重要內(nèi)容，各級人民政府都建立了專業(yè)化的政務(wù)管理信息化系統(tǒng)，電子政務(wù)發(fā)展具有了一定的規(guī)模，提高了政府辦公的工作效率。電子政務(wù)平臺中的信息涉及到國家秘密，這些信息的安全與否直接關(guān)系到國家的主權(quán)、社會的穩(wěn)定和廣大人民的利益以及國家的安全。因此，在推進政務(wù)信息化進程的過程中，首要的任務(wù)是保障電子政務(wù)信息的安全。目前，我國還沒有一套完整的電子政務(wù)信息框架，地方政府只是根據(jù)自身職能的需要實施了一些信息安全的保護措施，但是在實際的信息管理、監(jiān)督能力方面都有待于進一步提高。

1 電子政務(wù)安全面臨的主要威脅

從電子政務(wù)系統(tǒng)所處的網(wǎng)絡(luò)環(huán)境來分析，Internet外網(wǎng)可看作是外部環(huán)境，電子政務(wù)系統(tǒng)及所屬的政府機關(guān)可看作是內(nèi)部環(huán)境，無論從內(nèi)部還是外部，電子政務(wù)系統(tǒng)所面臨的安全威脅都存在。外部威脅：一是無組織的黑客攻擊，二是有組織的網(wǎng)絡(luò)攻擊。據(jù)不完全統(tǒng)計，電子政務(wù)系統(tǒng)來自網(wǎng)絡(luò)的攻擊占整個安全攻擊的70%以上，黑客利用高超的計算機技術(shù)和通信技術(shù)侵入到計算機網(wǎng)絡(luò)信息系統(tǒng)中。外部攻擊有兩種目的：一是以刺探、破壞信息為目的，另一是獲取信息內(nèi)的秘密文件，進而以篡改文件為目的，即獲取情報為目的。前者主要表現(xiàn)為各種計算機病毒，后者則是秘密地竊取情報，和前者相比，更不容易被發(fā)現(xiàn)，所造成的危害也就更深遠一些。

內(nèi)部的威脅主要表現(xiàn)為操作人員的違規(guī)操作和惡意報復(fù)。其中違規(guī)操作是造成內(nèi)部威脅得逞的主要原因。如內(nèi)部人員擅自通過實名計算機直接進入因特網(wǎng)，造成計算機內(nèi)存儲的秘密文件被竊；又如不經(jīng)病毒過濾擅自從互聯(lián)網(wǎng)上下載多媒體影音數(shù)據(jù)，造成計算機的感染。另外，內(nèi)部人員的惡意報復(fù)在電子政務(wù)系統(tǒng)中也時有發(fā)生，如果工作人員有不滿情緒，它們可能會利用工作之便惡意破壞數(shù)據(jù)庫軟件，造成數(shù)據(jù)丟失和系統(tǒng)故障，對系統(tǒng)造成重大損失。

2 電子政務(wù)信息安全的要求

《中華人民共和國計算機信息系統(tǒng)安全保護條例》把信息安全界定為“保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(網(wǎng)絡(luò))的安全，運行環(huán)境的安全，保障信息安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全”。從這個規(guī)定可以看出，在電子政務(wù)環(huán)境下，信息安全主要包括系統(tǒng)實體安全、人員安全、應(yīng)用軟件安全、運行安全和數(shù)據(jù)安全。

電子政務(wù)系統(tǒng)中的實體是指系統(tǒng)運行所需要的計算機設(shè)備、網(wǎng)絡(luò)設(shè)備設(shè)施等，實體安全就是保證這些設(shè)施不受自然因素和人為因素破壞和影響，保證設(shè)備的正常運行，通常分為人員安全、運行安全和數(shù)據(jù)安全三部分。人員安全是指使用電子政務(wù)系統(tǒng)的政府工作人員、系統(tǒng)管理員的安全技能、安全意識和法律意識等；電子政務(wù)系統(tǒng)中開發(fā)了大量的應(yīng)用軟件，要確保操作系統(tǒng)不存在安全漏洞和缺陷，能夠抵制外來的破壞；運行安全是指電子政務(wù)系統(tǒng)在運行過程中的安全，包括系統(tǒng)不受病毒和網(wǎng)絡(luò)黑客的攻擊等；數(shù)據(jù)安全是指電子政務(wù)系統(tǒng)中的數(shù)據(jù)和信息不被非法訪問、更改和破壞，包括數(shù)據(jù)加密解密、數(shù)據(jù)備份與恢復(fù)、審計跟蹤、訪問控制、網(wǎng)絡(luò)安全和數(shù)據(jù)庫安全等。

3 電子政務(wù)信息安全保障體系

圖1 電子政務(wù)信息安全體系框架

從電子政務(wù)系統(tǒng)安全的總需求來看，其中的網(wǎng)絡(luò)安全、信息內(nèi)容安全等可以通過開放系統(tǒng)互連安全體系提供的安全服務(wù)、安全機制及其管理獲得，但所獲得的這些安全性只解決了與通信和互連有關(guān)的安全問題，而涉及與信息系統(tǒng)構(gòu)成組件，運行環(huán)境安全有關(guān)的其他問題(如物理安全、系統(tǒng)安全等)等，還需要從技術(shù)措施和管理措施兩個方面來考慮解決方案。一個完整的電子政務(wù)信息安全體系包括基礎(chǔ)設(shè)施體系、技術(shù)保障體系和管理體系三部分組成，如圖1所示:

3.1 基礎(chǔ)設(shè)施體系

電子政務(wù)系統(tǒng)的基礎(chǔ)設(shè)施包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)、電子政務(wù)信息專用網(wǎng)三部分。政務(wù)內(nèi)網(wǎng)用于運行內(nèi)部辦公系統(tǒng)、基礎(chǔ)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)存儲管理，通過路由器接入電子政務(wù)信息專網(wǎng)；電子政務(wù)信息專網(wǎng)，實現(xiàn)國家、省、市、縣四級政府部門的信息共享與交換；政務(wù)外網(wǎng)通過防火墻接入國際互聯(lián)網(wǎng)，為社會提供電子政務(wù)信息服務(wù)。

電子政務(wù)系統(tǒng)的內(nèi)網(wǎng)是整個政務(wù)信息化的基礎(chǔ)，負擔了大部分的政務(wù)信息和政務(wù)信息系統(tǒng)。電子政務(wù)內(nèi)網(wǎng)與外部網(wǎng)絡(luò)通過網(wǎng)絡(luò)物理隔離，存在的安全威脅主要來自內(nèi)部區(qū)域的不安全因素，內(nèi)網(wǎng)安全集中表現(xiàn)在應(yīng)用系統(tǒng)的安全和數(shù)據(jù)信息的安全上。

安全域是由一系列相互信任，具有相同的信息安全需求的終端或系統(tǒng)等組成的邏輯網(wǎng)絡(luò)區(qū)域，為達到安全目的，安全域基于信息安全標準，從系統(tǒng)信息安全的角度劃分，可將電子政務(wù)網(wǎng)絡(luò)劃分為多個安全域。即使用交換機或者網(wǎng)絡(luò)結(jié)構(gòu)劃分為不同的子網(wǎng)或VLAN，并對不同的子網(wǎng)或VLAN進行安全策略設(shè)置，防止不同安全域之間的非授權(quán)互訪。電子政務(wù)網(wǎng)絡(luò)安全域劃分后，同一安全域的終端或系統(tǒng)相互信任，并具有相同信息安全訪問控制策略和邊界控制策略。

3.2 技術(shù)保障體系

信息安全體系的建設(shè)是一個復(fù)雜的系統(tǒng)工程，需要從多角度、多層次進行分析和控制，根據(jù)電子政務(wù)網(wǎng)絡(luò)的不同層次，采取有針對性的技術(shù)措施，主要包括物理層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全和應(yīng)用層安全等。

物理層安全是指電子政務(wù)系統(tǒng)運行的物理環(huán)境的安全。通過對電力供應(yīng)設(shè)備以及信息系統(tǒng)組成的抗電磁干擾和電磁泄露性能的選擇性措施；通過物理機械強度標準的控制使信息系統(tǒng)的建筑物、機房條件及硬件設(shè)備條件滿足信息系統(tǒng)的機械防護安全。

網(wǎng)絡(luò)層安全就是確保該層的交換機，路由器、防火墻等設(shè)備的安全性。通常采取的技術(shù)措施包括：網(wǎng)絡(luò)訪問控制、遠程接入控制、內(nèi)容安全等相關(guān)控制措施。網(wǎng)絡(luò)訪問控制是在網(wǎng)絡(luò)層實現(xiàn)訪問控制措施，以限制主體對客體資源的訪問，適當?shù)脑L問控制能夠阻止未經(jīng)許可的用戶有意或無意地獲取敏感信息。遠程接入建議選擇較為安全的VPN接入方式，如果采用撥號接入，則建議在撥號后結(jié)合采用VPN進行遠程連接，然后通過對安全策略的統(tǒng)一管理和設(shè)置，確保所提供的安全功能得到有效地實施。內(nèi)容安全包括對惡意代碼及垃圾郵件等通過正常協(xié)議傳輸?shù)膼阂庑畔⒌倪^濾、攔截，可采用統(tǒng)一威脅管理、入侵防護系統(tǒng)、防火墻等安全措施措施。

系統(tǒng)層安全是指電子政務(wù)平臺下操作系統(tǒng)的安全。它通過對信息系統(tǒng)與安全相關(guān)組件的操作系統(tǒng)的安全性選擇措施或自主控制，使信息系統(tǒng)安全組件的軟件工作平臺達到相應(yīng)的安全等級。一方面阻止任何形式的非授權(quán)行為對信息系統(tǒng)安全組件的入侵或接管系統(tǒng)管理權(quán)；另一方面避免操作平臺自身的脆弱性和漏洞引發(fā)的風(fēng)險。

應(yīng)用層安全主要是指電子政務(wù)平臺的安全和運行在此平臺上的各應(yīng)用系統(tǒng)的安全。它主要采取身份認證、訪問控制等安全措施，保證應(yīng)用系統(tǒng)自身的安全性，以及與其他系統(tǒng)進行數(shù)據(jù)交互時所傳輸數(shù)據(jù)的安全性；采取審計措施在安全事件發(fā)生前發(fā)現(xiàn)入侵企圖或在安全事件發(fā)生后進行審計追蹤。

3.3 管理體系

電子政務(wù)信息安全管理體系的關(guān)鍵在于建立一個有效的安全管理組織機構(gòu)和管理制度。管理機構(gòu)以單位主管信息工作的負責人為首，有行使國家安全、公共安全、機要和保密職能的部門負責人和信息系統(tǒng)主要負責人參與組成。主要負責是規(guī)劃并協(xié)調(diào)各方面力量實施信息系統(tǒng)的安全方案，制定、修改安全策略，處理安全事故等。

安全管理制度包括安全責任制度、系統(tǒng)運行維護管理制度、計算機處理控制管理制度、文檔資料管理制度、管理和操作人員管理制度、機房安全管理制度、定期安檢與安監(jiān)管理制度、網(wǎng)絡(luò)通信安全管理制度、病毒防治管理制度、信息保護制度等。

4 結(jié)語

無論采用什么樣的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用體系，對于電子政務(wù)來說，安全總是第一位的。因此，信息安全是電子政務(wù)的頭等大事，加強對電子政務(wù)信息安全體系的研究，對于推動我國電子政務(wù)建設(shè)具有重大的現(xiàn)實意義。

[1]楊泉.我國電子政務(wù)信息安全對策分析[J].企業(yè)技術(shù)開發(fā). 2014年36期.

[2]劉傳蔚.電子政務(wù)系統(tǒng)信息安全策略研究[J].計算機光盤軟件與應(yīng)用.2014年第23期.

[3]楊萌.電子政務(wù)信息系統(tǒng)的安全性分析[J]．課程教育研究. 2014年06期