我国电子政务中的安全问题及对策 毛冬羽 (武汉大学信息管理学院摘要湖北・武汉430072) 时代财富科技公司对中国电子政务研究报告表明.中国目前的电子政务度为22.6%(这个是2001年的数据)。 这个报告说明。在我国电子政务的建设中.我国还是处在初级阶段,将要面临很多的问题。特别是电子政务中信息的安 全问题.将直接关系到我国的电子政务建设的成败。本文从电子政务安全范畴的界定八手。从物理安全、系统安全、信 息安全、管理安全4个方面阐述中国电子政务中的安全问题及对策。 关键词电子政务安全问题中图分类号:TP393 对策 文献标识码:A 近年来,在党、的大力推动下,我国电子政务开 计算机机房设计规范》、GB2887_89《计算站场地技术条件》、 始进入全面实施阶段,电子政务建设成为一项覆盖各级部 GB9361—88(计算站场地安全要求》对应用信息系统的场地与 门的、大型复杂的系统工程。与此同时,安全问题给电子政务 设施进行的安全管理。 工程的规划、设计、组织和实施带来了巨大的挑战 国家互联 2.2系统安全 网应急中心CNCERT/CC权威发布的数据显示,2008上半 2.2.1硬件系统安全的问题及对策 年与2Oo7年同期相比,网络安全事件数量有显著增加,其中政 电子政务系统的主要特征就是大量采用信息系统支持政 府网页信息被篡改的事件呈现大幅度上涨趋势,与2007年同 务活动,而信息系统首先表现为各种各样的物理设备,比如计 期相比增加4l%。因此,电子政务信息系统的安全管理成为 算机、磁盘、网络设备等。如果这些物理设备遭到损毁,整个系 一个必须引起各部门高度重视的问题。 l电子政务安全范畴 谈到电子政务安全,人们立即就会联想到病毒、黑客等熟 统就不可避免地会受到严重的影响。因此,首先考察硬件系统 的安全问题。 2.2.2软件系统的安全问题及对策 悉的名词,也很容易把它与网络安全、电子商务安全混为一谈。 网络安全通常是指计算机网络系统的硬件、软件和数据受到保 护,不因偶然和恶意的原因而遭到破坏、更改和泄露。它更多 地侧重于技术层面上网络系统安全问题的分析和对策。而电 子政务安全则是一个非常复杂的系统工程,它遍布在信息 化的各个环节之中,其范畴已经超越网络安全所指的技术层 面。可以说,网络安全是电子政务安全中一个重要的组成部分。 建立起电子政务网络信息系统安全防御体系。首先,是对 电子政务安全防御体系解决方案的建立,通过电子政务的应用 规划、主要技术路线和系统架构进行了比较完整分析,进而明 确构建目标。其次,根据体系的内部和外部的威胁是 电子政务信息所面临的两个主要安全威胁因素的介绍,为我国 电子的信息系统安全防御建立进行了清楚的划分。再次, 通过主要对美国长期在公共部门信息安全防范管理方面 电子政务安全的特殊需求实际上就是要合理地解决网络 的工作进行借鉴,对他们的教训和丰富的经验进行总结并分析, 开放性与安全性之间的矛盾,在电子政务系统信息畅通的基础 深入思考信息保障问题,以对比分析来确保,能够建设一支可 上,有效阻止非法访问和攻击对系统的破坏。本文将电子政务 实施性强的具体的国家信息安全保障国家战略体系。通过结 安全的范畴界定为物理安全、系统安全、信息安全、管理安全4 合我国具体情况,设计了具有中国特色的电子政务信息安全防 个部分 御系统。并对中国电子政务信息安全系统防御体系核心部分 2电子政务中的安全问题及对策 的程序进行设计,主要包括登陆代码、数据加密和解密的实现; 2.1物理安全 保证计算机信息系统各种设备的物理安全是整个电子政 通过信息安全防御体系的应用及其实现标准和电子政务网络 安全防御体系的具体应用。以此进一步确保电子政务系统信息 务系统安全的前提。物理安全是指保护计算机网络设备、设施 安全防御体系的应用实现。 以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作 2.3信息安全 失误或错误及各种计算机犯罪行为导致的破坏过程。电子政 数据是电子政务的核心资源之一,因此其安全问题也格外 务系统采用的计算机硬件虽然在功能上有了很大的提高,但它 毕竟属于高度精密的仪器,任何开发时的疏忽以及实际运行时 的震荡、静电、潮湿、过热等情形都可能使其受到严重的损伤。 具体来说,电子政务中的物理安全主要包括以下几个方面:一 是系统运行中的安全隐患,主要包括电源问题、水患与火灾、电 重要。软件、硬件的损毁虽然可以使的正常业务中断,但 一般在重新购置系统后仍能恢复,而核心数据的损毁却是 不可恢复的致命灾难。解决数据安全问题的主要办法就是建 立完善的管理措施。 2_3.1数据保护制度 磁干扰与泄露以及其他的环境威胁 二是物理访问风险与控 重要数据面临的首要风险就是被他人窃取。为防止 制。物理安全威胁不单来自于环境,还来自于人为操作失误及 这类损失,首先就要健全数据保护制度。一是做好物理访问控 各种计算机犯罪行为。三是电子政务信息系统的场地与设施 制,防止外部人员接触到存有重要数据的主机、存储设备和打 安全管理。是指中华人民共和国国家标准GB50173--93 ̄(电子 印机等输出设备。二是做好数据的逻辑访问控制。三是做好 七舳进・2014年2(上)I 55 l 》 实施的。一般说来,针对内部员工的安全管理措施包括以下几 数据备份和灾难恢复计划。 2.3.2标准可信时间源的获取 个方面。①合理的岗位划分和健全的牵制制度。②定期休假 时间在电子政务安全应用上具有其特定的重要意义。政 制度。给重要岗位的人员提供定期的休假,一方面可以让员工 务文件上的时间标记是重要的执行依据和凭证。 得到休息,另一方面在其离岗期间内,临时管理员可以发现系 2.3.3信息传递过程中的加密 加密就是为了安全目的对信息进行编码和解码。电子政 统的不合理状态并及时报告、调查。③员工离任处理。一般被 辞退的员工往往会产生严重的不满情绪和报复念头,同时他们 务应用涵盖内部办公和面对公众的信息服务两大方面。 又非常熟悉企业的系统结构和安全漏洞,因此很可能在离任后 就内部办公而言,电子政务系统涉及部门与部门之间、上 恶意破坏电子政务系统。为防止这种情况的发生,在员工离任 下级之间、地区与地区间的公文流转。这些公文的信息往往涉 及机密等级的问题,必须采取适当的加密方法对信息予以保密。 2.4管理安全 时必须执行严格的处理办法。 3结语 电子政务系统是安全高度敏感的系统,任何时候都要切实 保证电子政务系统的安全,要制定严格的管理制度,对于各种 对于电子政务系统来说,要想做到合理分工,一个核心的 系统安全风险,必须分门别类,对症下药,确保数据完整性、信 原则就是在实际建设和应用电子政务系统时把系统的设计者、 息保密性、信息真实性、数据可用性等。应该站在系统的高度, 管理者、操作者、利害关系者等角色分开,尽量避免一个人同时 具备多个角色。除合理分工外,牵制也是必须考虑的问题。比 如在信息录入环节增设人员监督录入,既可以减少录人错误, 也可以防止舞弊。此外,对于重要业务,可以在系统的工作流 程中增加审核环节,并为具体操作人员设定操作规模的上限, 从而提高非法操作的难度,降低风险损失。 2.4.2人力资源管理 2.4.1组织管理措旌 综合各方面要素,在投资许可的前提下,采用多种安全技术手 段确保电子政务系统的安全。 参考文献 【11 余瑁.电子政务公共服务研究【]D】.中国优秀硕士学位论文全文数据库,2O09 (10). 【2]周瑁}.县级电子政务建设探讨【D】.中国优秀硕士学位论文全文数据库, 2OO9(04). 的人力资源管理情况也会在很大程度上影响电子政 务的安全。一是对人员的安全教育和保护。从安全角度看,企 业的员工不仅仅是潜在的威胁,也是安全制度的执行者和保护 对象。二是对内部成员的安全防范。多项针对系统安全事件 调查的结果表明,绝大多数安全事件是由受害组织的内部员工 【3】赵磊.中国中小城市电子政务发展中存在的问题及对策分析【D】.中国优秀硕 士学位论文全文数据库.2009(09). 【4J宋爽.关于我国县级电予政务的研究fD】.北京邮电大学,2OO8. 【5】蔡盛平.番禺区电予政务建设的问题与对策【D】.中国优秀硕士学位论文全文 数据库,2ol1【叽). I6】韩辉。秦竞芝.-I1国县级电子政务实践:现存问题及应对措施Ⅱ】.特区经 济,Spec.山2009(1 1):219一_22o. (上接第54页)构确定信息安全需求的过程,包括环境特性评 估、资产识别与评价、威胁和弱点评估、控制措施评估、风险认 定等在内的一系列活动(风险评估的流程详见图1)。 2-3.2电子政务系统安全风险评估的实施 信息的最重要手段。系统实践是指深入信息系统内部,亲自参 与系统的运行,并运用观察、操作等方法直接从信息系统中了 解情况,收集资料和数据的活动。第二,问卷调查。问卷调查 表是通过问题表的形式,事先将需要了解的问题列举出来,通 电子政务系统安全的风险评估是一项复杂的工程,除了应 过让信息系统相关人员回答相关问题而获取信息的一种有效 遵循一定的流程外,选择合理的方法也很重要。为了使风险评 方式。现在的信息获取经常利用这种方式,它具有实施方便,估全面、准确、真实地反映系统的安全状态,在实施风险评估过 操作方便,所需费用少,分析简洁、明快等特点,所以得到了广 程中需要采用多种方法。评估流程实施过程如信息网络安全 泛的应用 但是它的灵活性较少,得到的信息有时不太清楚, 技术测评是电子政务系统安全测评的重要手段,许多安全控制 项都必须借助于技术手段来实现,但是单独依靠技术测评还不 能全面系统的分析电子政务系统的安全。实践经验证明,仅有 具有一定的模糊性,信息深度不够等;还需要其他的方式来配 合和补充。第三,辅助工具的使用,在信息系统中,网络安全状 况、主机安全状况等难以用眼睛观察出来,需要借助优秀的网 安全技术防范,而无严格的安全管理体系是难以保障系统的安 络和系统检测工具来监测。辅助工具能够发现系统的某些内 全的。因此在测评中我们必须对被测评方制订的一系列安全 在的弱点,以及在配置上可能存在的威胁系统安全的错误,这 管理制度进行测评。信息安全管理的测评可以单独进行也可 些因素很可能就是破坏目标主机安全性的关键性因素。辅助 以穿插到技术测评当中。随着信息技术的发展,信息安全测评 工具能帮助发现系统中的安全隐患,但并不能完全代替人做所 工程师面临越来越多的挑战,为提高测评能力和效率,应充分 有的工作,而且扫描的结果往往是不全面的。 的发挥主观能动性,利用各种现有的各种安全测试工具,开发 安全测试工具、报告生成工具等。信息安全测评机构以及电子 参考文献 1】闫强.陈钟,段云所,等.信息安全评估标准、技术及其进展【力.计算机工程,2003 政务系统的运行、维护方必须共同努力,为我国的信息化发展 【保驾护航。 【2】王英梅,等.信息安全风险评估[MI.北京:电子工业出版杜,2O07 【33] 陆宝华。T楠.信息系统安全原理与应用.北京:清华大学出版社,2OO7 第一,参与系统实践。系统实践是获得信息系统真实可靠 56 l 2014年2(上)・电^^连
