本站原创摘 要时代财富科技公司对中国电子政务研究报告表明,中国目前的电子政务度为22.6%(这个是2001年的数据).这个报告说明,在我国电子政务的建设中,我国还是处在初级阶段,将要面临很多的问题,特别是电子政务中信息的安全问题,将直接关系到我国的电子政务建设的成败.本文从电子政务安全范畴的界定入手,从物理安全、系统安全、信息安全、管理安全4个方面阐述中国电子政务中的安全问题及对策.
关 键 词电子政务安全问题对策
中图分类号:TP393文献标识码:A
近年来,在党、国务院的大力推动下,我国电子政务开始进入全面实施阶段,电子政务建设成为一项覆盖各级政府部门的、大型复杂的系统工程.与此同时,安全问题给电子政务工程的规划、设计、组织和实施带来了巨大的挑战.国家互联网应急中心CNCERT/CC权威发布的数据显示,2008上半年与2007年同期相比,网络安全事件数量有显著增加,其中政府网页信息被篡改的事件呈现大幅度上涨趋势,与2007年同期相比增加41%.因此,电子政务信息系统的安全管理成为一个必须引起各部门高度重视的问题.
1电子政务安全范畴
谈到电子政务安全,人们立即就会联想到病毒、等熟悉的名词,也很容易把它与网络安全、电子商务安全混为一谈.网络安全通常是指计算机网络系统的硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露.它更多地侧重于技术层面上网络系统安全问题的分析和对策.而电子政务安全则是一个非常复杂的系统工程,它遍布在政府信息化的各个环节之中,其范畴已经超越网络安全所指的技术层面.可以说,网络安全是电子政务安全中一个重要的组成部分.
电子政务安全的特殊需求实际上就是要合理地解决网络开放性与安全性之间的矛盾,在电子政务系统信息畅通的基础上,有效阻止非法访问和攻击对系统的破坏.本文将电子政务安全的范畴界定为物理安全、系统安全、信息安全、管理安全4个部分.
2电子政务中的安全问题及对策
2.1物理安全
保证计算机信息系统各种设备的物理安全是整个电子政务系统安全的前提.物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程.电子政务系统采用的计算机硬件虽然在功能上有了很大的提高,但它毕竟属于高度精密的仪器,任何开发时的疏忽以及实际运行时的震荡、静电、潮湿、过热等情形都可能使其受到严重的损伤.具体来说,电子政务中的物理安全主要包括以下几个方面:一是系统运行中的安全隐患,主要包括电源问题、水患与火灾、电磁干扰与泄露以及其他的环境威胁.二是物理访问风险与控制.物理安全威胁不单来自于环境,还来自于人为操作失误及各种计算机犯罪行为.三是电子政务信息系统的场地与设施安全管理.是指中华人民共和国国家标准GB50173―93《电子计算机机房设计规范》、GB2887―89《计算站场地技术条件》、GB9361―88(计算站场地安全要求》对应用信息系统的场地与设施进行的安全管理.
2.2系统安全
2.2.1硬件系统安全的问题及对策
电子政务系统的主要特征就是大量采用信息系统支持政务活动,而信息系统首先表现为各种各样的物理设备,比如计算机、磁盘、网络设备等.如果这些物理设备遭到损毁,整个系统就不可避免地会受到严重的影响.因此,首先考察硬件系统的安全问题.
2.2.2软件系统的安全问题及对策
建立起电子政务网络信息系统安全防御体系.首先,是对电子政务安全防御体系解决方案的建立,通过电子政务的应用规划、主要技术路线和系统架构进行了比较完整分析,进而明确构建目标.其次,根据政府体系的内部和外部的威胁是政府电子政务信息所面临的两个主要安全威胁因素的介绍,为我国电子政府的信息系统安全防御建立进行了清楚的划分.再次,通过主要对美国政府长期在公共部门信息安全防范管理方面的工作进行借鉴,对他们的教训和丰富的经验进行总结并分析,深入思考信息保障问题,以对比分析来确保,能够建设一支可实施性强的具体的国家信息安全保障国家战略体系.通过结合我国具体情况,设计了具有中国特色的电子政务信息安全防御系统.并对中国电子政务信息安全系统防御体系核心部分的程序进行设计,主要包括登陆代码、数据加密和解密的实现;通过信息安全防御体系的应用及其实现标准和电子政务网络安全防御体系的具体应用,以此进一步确保电子政务系统信息安全防御体系的应用实现.
2.3信息安全
数据是电子政务的核心资源之一,因此其安全问题也格外重要.软件、硬件的损毁虽然可以使政府的正常业务中断,但一般在重新购置系统后仍能恢复,而政府核心数据的损毁却是不可恢复的致命灾难.解决数据安全问题的主要办法就是建立完善的管理措施.
2.3.1数据保护制度
政府重要数据面临的首要风险就是被他人窃取.为防止这类损失,首先就要健全数据保护制度.一是做好物理访问控制,防止外部人员接触到存有重要数据的主机、存储设备和打印机等输出设备.二是做好数据的逻辑访问控制.三是做好数据备份和灾难恢复计划.
2.3.2标准可信时间源的获取
时间在电子政务安全应用上具有其特定的重要意义.政务文件上的时间标记是重要的政策执行依据和凭证.
2.3.3信息传递过程中的加密
加密就是为了安全目的对信息进行编码和解码.电子政务应用涵盖政府内部办公和面对公众的信息怎么写作两大方面.就政府内部办公而言,电子政务系统涉及部门与部门之间、上下级之间、地区与地区间的公文流转.这些公文的信息往往涉及机密等级的问题,必须采取适当的加密方法对信息予以保密.
2.4管理安全
2.4.1组织管理措施对于电子政务系统来说,要想做到合理分工,一个核心的原则就是在实际建设和应用电子政务系统时把系统的设计者、管理者、操作者、利害关系者等角色分开,尽量避免一个人同时具备多个角色.除合理分工外,牵制也是必须考虑的问题.比如在信息录入环节增设人员监督录入,既可以减少录人错误,也可以防止舞弊.此外,对于重要业务,可以在系统的工作流程中增加审核环节,并为具体操作人员设定操作规模的上限,从而提高非法操作的难度,降低风险损失.
2.4.2人力资源管理
政府的人力资源管理情况也会在很大程度上影响电子政务的安全.一是对人员的安全教育和保护.从安全角度看,企业的员工不仅仅是潜在的威胁,也是安全制度的执行者和保护对象.二是对内部成员的安全防范.多项针对系统安全事件调查的结果表明,绝大多数安全事件是由受害组织的内部员工实施的.一般说来,针对内部员工的安全管理措施包括以下几个方面.①合理的岗位划分和健全的牵制制度.②定期休检测制度.给重要岗位的人员提供定期的休检测,一方面可以让员工得到休息,另一方面在其离岗期间内,临时管理员可以发现系统的不合理状态并及时报告、调查.③员工离任处理.一般被辞退的员工往往会产生严重的不满情绪和报复念头,同时他们又非常熟悉企业的系统结构和安全漏洞,因此很可能在离任后恶意破坏电子政务系统.为防止这种情况的发生,在员工离任时必须执行严格的处理办法.
3结语
电子政务系统是安全高度敏感的系统,任何时候都要切实保证电子政务系统的安全,要制定严格的管理制度,对于各种系统安全风险,必须分门别类,对症下药,确保数据完整性、信息保密性、信息真实性、数据可用性等.应该站在系统的高度,综合各方面要素,在投资许可的前提下,采用多种安全技术手段确保电子政务系统的安全.