淺談我國電子政務(wù)運行的安全問題及對策
來源:超達(dá)科技
發(fā)布時間:2017-12-05瀏覽:3246次
淺談我國電子政務(wù)運行的安全問題及對策 一��、電子政務(wù)安全運行簡介 隨著信息技術(shù)和網(wǎng)絡(luò)的發(fā)展與普及,網(wǎng)絡(luò)信息安全越來越引起人們的高度重視。因為人們在實踐中看到�����,以計算機網(wǎng)絡(luò)為基礎(chǔ)的電子政務(wù)運行是一個開放型的系統(tǒng)����,其內(nèi)部信息具有共享性�����、廣泛的分布性和流動性,盡管有著很強的優(yōu)越性和不可替代性����,但同時其系統(tǒng)自身安全性和保密性下降,給非法使用和破壞提供了可能���。威脅電子政務(wù)安全運行的主要形式有�;非法使用網(wǎng)絡(luò)信息資源�����;惡意破壞網(wǎng)絡(luò)系統(tǒng)或數(shù)據(jù)文件�����,造成系統(tǒng)癱瘓���,文件無效或消失���,使電子政務(wù)中斷對用戶提供服務(wù);盜竊金...
淺談我國電子政務(wù)運行的安全問題及對策
一���、電子政務(wù)安全運行簡介
隨著信息技術(shù)和網(wǎng)絡(luò)的發(fā)展與普及����,網(wǎng)絡(luò)信息安全越來越引起人們的高度重視。因為人們在實踐中看到����,以計算機網(wǎng)絡(luò)為基礎(chǔ)的電子政務(wù)運行是一個開放型的系統(tǒng),其內(nèi)部信息具有共享性���、廣泛的分布性和流動性���,盡管有著很強的優(yōu)越性和不可替代性,但同時其系統(tǒng)自身安全性和保密性下降��,給非法使用和破壞提供了可能��。威脅電子政務(wù)安全運行的主要形式有�;非法使用網(wǎng)絡(luò)信息資源��;惡意破壞網(wǎng)絡(luò)系統(tǒng)或數(shù)據(jù)文件��,造成系統(tǒng)癱瘓��,文件無效或消失�����,使電子政務(wù)中斷對用戶提供服務(wù);盜竊金融數(shù)據(jù)����、機密文件以及其他敏感的數(shù)據(jù)信息等。所以���,隨著"政府上網(wǎng)熱潮"的興起�����,電子政務(wù)的安全運行就成為亟待解決的問題����。
二����、我國電子政務(wù)運行中存在的安全性問題
(一)技術(shù)問題
引起電子政務(wù)安全問題的技術(shù)原因包括以下幾個方面
其一,我國網(wǎng)絡(luò)安全技術(shù)落后
從總體上講�,在網(wǎng)絡(luò)安全技術(shù)方面,我國與技術(shù)發(fā)達(dá)國家差距很大��,具體表現(xiàn)在����;一是我國的信息安全研究經(jīng)歷了通信保密�、計算機數(shù)據(jù)保護兩個發(fā)展階段�,
目前才進入網(wǎng)絡(luò)信息安全的研究階段。二是國內(nèi)一些部門在學(xué)習(xí)借鑒國外技術(shù)的基礎(chǔ)上��,也開發(fā)研制了一些防火墻��、安全路由器�、安全網(wǎng)關(guān)、黑客入侵檢測��、系統(tǒng)脆弱性掃描軟件等���。但是�����,這些產(chǎn)品安全技術(shù)的完善性、規(guī)范化����、實用性還存在許多不足,特別是在多平臺的兼容性��、多協(xié)議的適應(yīng)性、多接口的滿足性方面存在很大差距�。三是在系統(tǒng)安全工作和安全協(xié)議的研究方面差距更大。四是研究與建立創(chuàng)新性安全理論和系列算法���,對我國而言仍是一項艱巨的任務(wù)���。
其二,網(wǎng)絡(luò)技術(shù)本身存在缺陷
網(wǎng)絡(luò)技術(shù)本身的缺陷主要表現(xiàn)在�����;一是軟件本身缺乏安全性�����。操作系統(tǒng)的設(shè)計一般著重于提高信息處理的能力和效率����,對于安全只是作為一項附帶的條件加以考慮。因此�,操作系統(tǒng)中的安全缺陷相當(dāng)多,使入侵者有不少空子可鉆��。二是通信與網(wǎng)絡(luò)的弱點。通信線路一般是電話線��、專線���、微波���、光纜或無線系統(tǒng),這些線路易遭物理破壞�����,易被搭線竊聽����,無線通信易遭截獲、監(jiān)聽等等�����。網(wǎng)絡(luò)規(guī)模越大���,通信線路越長����,這種弱點也隨之增加��。三是安全技術(shù)標(biāo)準(zhǔn)不統(tǒng)一�。目前世界上還缺乏統(tǒng)一的操作系統(tǒng)、計算機網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)�,
缺乏統(tǒng)一的信息安全標(biāo)準(zhǔn)、密碼算法和協(xié)議�����,在安全性與網(wǎng)絡(luò)性能和效率之間難以兩全��。而且����,從根本上說,信息加密等安全技術(shù)跟不上信息應(yīng)用技術(shù)的發(fā)展�����,信息系統(tǒng)的絕對安全是不可能的����。
(二)認(rèn)識問題
其一,對網(wǎng)絡(luò)安全的戰(zhàn)略認(rèn)識不足����。
一方面����,我國還沒有從國家戰(zhàn)略的高度將網(wǎng)絡(luò)安全問題納入整個國家信息發(fā)展戰(zhàn)略的重要行列���,還沒有制定符合我國國情的信息安全政策����。我國著名信息安全專家����、中國工程院院士沈昌祥從國家安全考慮,提出應(yīng)把信息系統(tǒng)安全建設(shè)提高到"兩彈一星"的高度去認(rèn)識��,實不為過����。但實際上,我們的認(rèn)識與之相比��,
還有相當(dāng)大的差距��。另一方面���,我國的許多部門在實際工作中重視網(wǎng)絡(luò)系統(tǒng)建設(shè)��,
但輕視網(wǎng)絡(luò)安全工作��,只看重信息的應(yīng)用帶來的巨大財富�,沒有意識到信息安全的漏洞�。所以,在網(wǎng)絡(luò)系統(tǒng)建設(shè)過程中��,缺乏安全防范意識���,忽視系統(tǒng)的安全技術(shù)規(guī)范���。例如,我國在網(wǎng)絡(luò)工程中網(wǎng)絡(luò)安全的投入費用����,據(jù)估計不到2%
,同國外10% 的比率相比有較大的差距�。
其二,民眾的網(wǎng)絡(luò)安全意識比較淡漠�����。
一方面,由于國內(nèi)"黑客"事件不多��,我國的信息化程度還不高�����,一些重要部門的系統(tǒng)基本上還不具開放性��,因此���,人們似乎覺得信息安全問題離我們還比較遙遠(yuǎn)����,沒有引起足夠的重視��。其實����,上海的"黑客"事件說明"黑客"已經(jīng)在我們身邊,我們不可再麻痹大意了����。另一方面,對普通大眾來說�����,他們對計算機犯罪的態(tài)度較為"寬容",主要理由是沒有直接的人員傷害���;所造成的損失大多由政府或單位承擔(dān)�。因此��,他們對信息安全問題不太關(guān)心�����,安全意識淡漠�����。
(三)管理問題
總體上說��,我國網(wǎng)絡(luò)安全管理與保衛(wèi)工作是滯后的�。不少單位還停滯在傳統(tǒng)上的"看家護院"的工作模式���,沒有從管理制度��、人員和技術(shù)上建立相應(yīng)的電子化業(yè)務(wù)安全防范機制�,缺乏行之有效的安全檢查保護措施。管理上的漏洞���,使網(wǎng)絡(luò)罪犯有機可乘����。許多網(wǎng)絡(luò)犯罪行為尤其是非法操作都是利用聯(lián)網(wǎng)的電腦管理制度上的漏洞而得逞的����。另外,網(wǎng)絡(luò)管理者自身的違法行為����,網(wǎng)絡(luò)管理者利用管理用戶地址目錄之便,
很容易就以某一用戶的身份登錄���、查看和復(fù)制用戶的信息�,
甚至以用戶的名義發(fā)送報文����。根據(jù)公安部門的報告,作案人員往往是利用管理上的漏洞���,而且內(nèi)部人員居多����。
(四)法制問題
網(wǎng)絡(luò)犯罪活動與網(wǎng)絡(luò)信息法制不完善和對罪犯的懲治不力密不可分。一方面�,
盡管我國已經(jīng)出臺了一些與網(wǎng)絡(luò)安全有關(guān)的法律法規(guī),但現(xiàn)行政策法規(guī)仍難以適應(yīng)網(wǎng)絡(luò)發(fā)展的需要��,信息立法還存在相當(dāng)多的空白����。個人隱私保護法���、數(shù)據(jù)庫保護法����、數(shù)字媒體法�����、數(shù)字簽名認(rèn)證法��、計算機犯罪法以及計算機安全監(jiān)管法等數(shù)字經(jīng)濟正常運作所需的配套法規(guī)急需制定���。由于法規(guī)不健全�����,信息市場交秩序的維護����、信息犯罪的懲處等無法可依,使信息犯罪者有空子可鉆���。另一方面����,由于網(wǎng)絡(luò)作案手段新�、時間短、不留痕跡等特點�,給網(wǎng)上犯罪案件的偵破和審理帶來了極大的困難。雖然我國針對電腦病毒��、信息侵權(quán)和網(wǎng)絡(luò)犯罪等非法信息行為制定了一些政策法規(guī)����,但由于執(zhí)行不力,效果不明顯�。
三、保證電子政務(wù)安全運行的對策
(一)加強電子政務(wù)安全運行的相關(guān)法律法規(guī)建設(shè),提高執(zhí)法水平
我國的網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)�����、法律�,正逐步形成結(jié)構(gòu)嚴(yán)謹(jǐn)、內(nèi)在和諧的統(tǒng)一體系�����,
填補了傳統(tǒng)法律和標(biāo)準(zhǔn)體系的空白與不足�����。當(dāng)然�,我國網(wǎng)絡(luò)安全法規(guī)的建設(shè)并不是盡善盡美的��,仍然存在著不少缺陷和不足�。例如,我國還缺少有關(guān)電子政務(wù)安全保障的專門法規(guī)�、政策以及地方性法規(guī)和政策,難免導(dǎo)致法規(guī)執(zhí)行的針對性不強�����。今后,我國應(yīng)該在這方面下功夫����。有了相關(guān)法律的保障,沒有相應(yīng)的政策����,
也無法使信息安全的保障具備可操作性。美國聯(lián)邦政府1996 年發(fā)布了A - 130
通告����,在附錄"聯(lián)邦政府自動化信息資源安全"政策大綱中,具體闡述了計算機系統(tǒng)的安全對策�����,可操作性很強���,其做法值得我們借鑒����。所以��,電子政務(wù)安全保護問題���,不但要從政治和法律上著眼�����,還要從政策上著手�����。
(二)強化計算機網(wǎng)絡(luò)安全管理���,增加網(wǎng)絡(luò)安全意識
在網(wǎng)絡(luò)安全制度的建設(shè)與管理中�����,需要抓好的主要工作是建立和落實安全責(zé)任制度����。計算機網(wǎng)絡(luò)系統(tǒng)運行管理部門必須設(shè)有安全組織或安全負(fù)責(zé)人���。每個工作站和每個終端都要建立健全網(wǎng)絡(luò)操作的各項制度,加強對內(nèi)部操作人員的安全教育和監(jiān)督��,嚴(yán)格網(wǎng)絡(luò)工作人員的操作職責(zé)���,加強密碼��、口令和授權(quán)的管理��,及時更換有關(guān)密碼���、口令�����,重視軟件和數(shù)據(jù)庫的管理和維護工作�����,加強對磁盤文件和軟盤的發(fā)放和保管�����,禁止在網(wǎng)上使用非法軟件����、軟盤���。有了組織機構(gòu)和相應(yīng)的制度����,還需要領(lǐng)導(dǎo)的高度重視和群防群治。這需要進行網(wǎng)絡(luò)信息安全意識的教育和培訓(xùn)����,提高全社會網(wǎng)絡(luò)安全意識和法律觀念,以及對信息安全問題的高度重視���,
尤其是對主管計算機應(yīng)用工作的領(lǐng)導(dǎo)和計算機系統(tǒng)管理員��、操作員要通過多種渠道進行計算機及網(wǎng)絡(luò)安全法律法規(guī)和安全技術(shù)知識培訓(xùn)與教育����,使主管領(lǐng)導(dǎo)增強計算機安全意識��,使計算機應(yīng)用人員掌握計算機安全知識�����,知法�、懂法、守法��。
(三)構(gòu)建電子政務(wù)的安全保障體系
第一����,物理安全。
保證計算機信息系統(tǒng)各種設(shè)備的物理安全是保障整個政府網(wǎng)絡(luò)系統(tǒng)安全的前提����。它主要包括三個方面;一是環(huán)境安全�����。對系統(tǒng)所在環(huán)境的安全保護�����,如區(qū)域保護和災(zāi)難保護�;二是設(shè)備安全。設(shè)備安全主要包括設(shè)備的防盜�����、防毀����、防電磁信息輻射泄漏、防止線路截獲����、抗電磁干擾及電源保護等�����;三是媒體安全����。包括媒體數(shù)據(jù)的安全及媒體本身的安全��。顯然�,為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全,
除在網(wǎng)絡(luò)規(guī)劃和場地�����、環(huán)境等要求之外����,還要防止系統(tǒng)信息在空間的擴散。為了防止系統(tǒng)中的信息在空間上的擴散�����,通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號�。
第二,系統(tǒng)安全��。
它包括三個方面����;一是網(wǎng)絡(luò)結(jié)構(gòu)安全����。主要指網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否合理;線路是否有冗余��;路由是否冗余��,防止單點失敗等�。二是操作系統(tǒng)安全。對于操作系統(tǒng)的安全防范����,應(yīng)盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進行必要的安全配置、關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用�、對一些保存有用戶信息及其口令的關(guān)鍵文件使用權(quán)限進行嚴(yán)格限制。三是應(yīng)用系統(tǒng)安全�。在應(yīng)用系統(tǒng)安全上,應(yīng)用服務(wù)器盡量不要開放一些沒有經(jīng)常用的協(xié)議及協(xié)議端口��。
第三,網(wǎng)絡(luò)安全����。
網(wǎng)絡(luò)安全是電子政務(wù)整個安全解決方案的關(guān)鍵。在訪問控制方面�����,要制定嚴(yán)格的管理制度����,內(nèi)部辦公自動化網(wǎng)絡(luò)要根據(jù)不同用戶安全級別或者根據(jù)不同部門的安全需求,利用三層交換機來劃分虛擬子網(wǎng)(VLAN
)���,在沒有配置路的情況下���,
不同虛擬子網(wǎng)間不能夠互相訪問。在通信保密方面���,主要是保障數(shù)據(jù)的機密性與完整性�����,保護在網(wǎng)上傳送的涉及政府機密的信息��,經(jīng)過配備加密設(shè)備�����,使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式����,而不是明文����。入侵檢測,這是防火墻的必要補充���。利用入侵檢測系統(tǒng)�,可以根據(jù)已有的����、最新的攻擊手段的信息代碼對進出網(wǎng)段的所有操作行為進行實時監(jiān)控、記錄���,并按制定的策略實行響應(yīng)��,從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為�����;安全掃描系統(tǒng)��,包括網(wǎng)絡(luò)掃描和系統(tǒng)掃描����。網(wǎng)絡(luò)掃描可以對網(wǎng)絡(luò)中所有部件進行攻擊性掃描、分析和評估����,發(fā)現(xiàn)并報告系統(tǒng)存在的弱點和漏洞,評估安全風(fēng)險�����,建議補救措施��。系統(tǒng)掃描可以對網(wǎng)絡(luò)系統(tǒng)中的所有操作系統(tǒng)進行安全性掃描�,檢測操作系統(tǒng)存在的安全漏洞,并產(chǎn)生報表�����,以供分析;還會針對具體安全漏洞提出補救措施����。
第四,應(yīng)用安全��。
一方面��,要嚴(yán)格控制內(nèi)部人員對網(wǎng)絡(luò)共享資源的使用�����。在內(nèi)部子網(wǎng)中一般不要輕易開放共享目錄���,否則,較容易因為疏忽而在與職工間交換信息時泄漏重要信息����。對有經(jīng)常交換信息需求的用戶,在共享時也必須加上必要的口令認(rèn)證機制����,
即只有通過口令的認(rèn)證才允許訪問數(shù)據(jù)。另一方面��,對涉及秘密信息的用戶主機,
使用者在應(yīng)用過程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)�。還要進行信息存儲,對數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)庫必須做安全備份�����。通過網(wǎng)絡(luò)備份系統(tǒng)��,可以對數(shù)據(jù)庫進行遠(yuǎn)程備份存儲���。
參考文獻(xiàn):
[1] 曾華國��,網(wǎng)絡(luò)世界��; 我們怎樣設(shè)防--關(guān)于我國信息安全的報告����,1998
[2] 崔 麗���, 沈昌祥. 國家安全新概念����; 對信息系統(tǒng)安全應(yīng)從"兩彈一星"的高度去認(rèn)識 中國青年報����,1999
[3] 趙 林���, 斬斷伸向計算機的黑手 中國科技信息,1998
[4] 陳朝輝�, Internet 網(wǎng)絡(luò)信息安全問題及其對策,圖書館��,1997
在線咨詢
電話咨詢
二維碼
