前言
伴隨著Internet的廣泛應(yīng)用���,其中電子政務(wù)信息安全保密問題顯得尤為突出。分析建設(shè)行業(yè)電子政務(wù)系統(tǒng)面臨的威脅,制定切實(shí)可行的安全防御策略確保信息網(wǎng)絡(luò)安全,已成為建設(shè)行業(yè)電子政務(wù)建設(shè)中迫切需要研究解決的問題��。政務(wù)內(nèi)網(wǎng)���、政務(wù)外網(wǎng)、公共服務(wù)網(wǎng)的網(wǎng)絡(luò)環(huán)境����,都是采用TCP/IP協(xié)議而建立的,該協(xié)議以開放和自由為基礎(chǔ)�����,從協(xié)議規(guī)劃�����、服務(wù)模式����、網(wǎng)絡(luò)管理等方面均缺乏周密的安全性設(shè)計(jì),所以電子政務(wù)信息系統(tǒng)本身就存在著先天的安全隱患[1].對電子政務(wù)的安全威脅�����,包括網(wǎng)上黑客入侵和犯罪���、網(wǎng)上病毒泛濫和蔓延��、信息間諜的潛入和竊密��、網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞����、內(nèi)部人員使用盜版光盤���,看電影�����,聽音樂�����,玩游戲等違法違規(guī)操作等�����,這些問題都會(huì)引起網(wǎng)絡(luò)擁堵��,計(jì)算機(jī)工作站無法使用���、網(wǎng)絡(luò)交換機(jī)不工作��、與互聯(lián)網(wǎng)相連的路由器阻塞�����、網(wǎng)絡(luò)系統(tǒng)癱瘓��、信息產(chǎn)品失控等嚴(yán)重后果�����。
數(shù)據(jù)作為系統(tǒng)最終的元素是信息安全保障的根本���,對電子政務(wù)而言更為重要,它涉及國家機(jī)密�����、部門工作秘密��、內(nèi)部敏感信息和開放服務(wù)信息���。其主要安全隱患是竊取����、篡改�����、假冒�����、抵賴���、銷毀����。政務(wù)公開與網(wǎng)絡(luò)安全本身就是一對矛盾����,“政務(wù)公開”要求通暢信息網(wǎng)絡(luò)交流,而“網(wǎng)絡(luò)安全”則要求嚴(yán)格控制信息訪問權(quán)限����,這是由于各種信息交流可能直接引起網(wǎng)絡(luò)的連通��,連通則會(huì)引起信息安全問題��。同時(shí)��,電子政務(wù)系統(tǒng)一般都是涉密系統(tǒng)���,黑客很可能因?yàn)槟撤N目的滲透到政府部門,很容易通過網(wǎng)絡(luò)安全防護(hù)不嚴(yán)密的環(huán)節(jié)直接攻擊系統(tǒng)漏洞����,利用漏洞竊取涉密信息,或篡改����、假冒用戶身份,阻塞正常的網(wǎng)絡(luò)信息服務(wù)等���。
此外�����,操作系統(tǒng)也存在來自Internet的黑客攻擊�����;內(nèi)部工作人員不分網(wǎng)絡(luò)性質(zhì)��,隨意利用辦公網(wǎng)絡(luò)終端與Internet聯(lián)接���,加上惡意病毒無規(guī)律性的連續(xù)侵襲等,這些都形成了目前電子政務(wù)安全的主要隱患����。
1、建設(shè)行業(yè)電子政務(wù)信息安全問題現(xiàn)狀分析
建設(shè)事業(yè)主要包括城市建設(shè)��、村鎮(zhèn)建設(shè)和工程建設(shè)三大領(lǐng)域�����;建筑業(yè)��、房地產(chǎn)業(yè)��、市政公用事業(yè)和勘察設(shè)計(jì)咨詢業(yè)四大行業(yè)���。各級建設(shè)行政主管部門大力推進(jìn)信息技術(shù)為核心的科技興省工作要求����,按照建設(shè)部提出的《建設(shè)事業(yè)“十五”發(fā)展規(guī)劃》和《建設(shè)事業(yè)信息化“十五”計(jì)劃》,堅(jiān)持“統(tǒng)籌規(guī)劃�����,資源共享���,應(yīng)用主導(dǎo)��,面向市場�����,安全可靠��,務(wù)求實(shí)效”的建設(shè)行業(yè)信息化發(fā)展方針���,積極組建局域網(wǎng)絡(luò),基本實(shí)現(xiàn)了與Internet的連接��,如江蘇省建設(shè)行政主管部門1996年就完成了百兆局域網(wǎng)絡(luò)���、10兆帶寬信息交換到桌面的建設(shè)任務(wù)���。先后構(gòu)建了“蘇建設(shè)信息網(wǎng)”����、“蘇工程建設(shè)網(wǎng)”�����、“蘇建筑業(yè)網(wǎng)”等電子政務(wù)信息平臺(tái)����,開發(fā)完成了“蘇省建筑企業(yè)資質(zhì)網(wǎng)上申報(bào)系統(tǒng)”���、“蘇省建設(shè)工程監(jiān)理企業(yè)資質(zhì)管理系統(tǒng)”和“蘇省建設(shè)工程承發(fā)包管理信息系統(tǒng)”等����。同時(shí)�����,根據(jù)網(wǎng)絡(luò)信息安全保密的要求����,制定了計(jì)算機(jī)信息安全和保密規(guī)定,并將網(wǎng)絡(luò)區(qū)分為內(nèi)外兩個(gè)獨(dú)立的體系,即內(nèi)網(wǎng)和外網(wǎng)��,其中���,內(nèi)網(wǎng)運(yùn)行的是機(jī)關(guān)內(nèi)部辦公自動(dòng)化(OA)系統(tǒng)和視頻點(diǎn)播系統(tǒng)�����。機(jī)要部門的涉密信息與省委��、省政府政務(wù)內(nèi)網(wǎng)相連���,并嚴(yán)格實(shí)施內(nèi)、外網(wǎng)物理隔離��,以確保涉密信息安全可靠地進(jìn)行交換���。
通過上述分析可以看出���,目前建設(shè)行業(yè)網(wǎng)絡(luò)信息安全的防護(hù)能力仍處于初級階段,許多應(yīng)用系統(tǒng)處于低級別的設(shè)防狀態(tài)���。僅網(wǎng)站和郵件系統(tǒng)就曾多次遭到黑客的攻擊或侵入���、或被篡改頁面�����、或數(shù)據(jù)庫數(shù)據(jù)被破壞��、或遭受尼姆達(dá)(Nimda)等一波接一波的病毒攻擊����,這些都造成了大量重要數(shù)據(jù)資料的損壞�����,部分業(yè)務(wù)系統(tǒng)的癱瘓�����。網(wǎng)絡(luò)中心有時(shí)只得被迫關(guān)閉服務(wù)器進(jìn)行系統(tǒng)恢復(fù)���、殺毒和治理,導(dǎo)致網(wǎng)站系統(tǒng)服務(wù)中斷�����,給用戶造成了很大不便和不良影響。當(dāng)前建設(shè)行業(yè)的信息網(wǎng)絡(luò)安全工作研究����,還處在忙于封堵現(xiàn)有信息系統(tǒng)的安全漏洞階段。要徹底解決這些迫在眉睫的問題�����,歸根結(jié)底取決于信息安全策略的制定和技術(shù)保障體系的建設(shè)����。目前,迫切需要從建設(shè)行業(yè)信息安全體系整體規(guī)劃著手���,在建立全方位的防護(hù)體系的同時(shí)��,建立一整套完善的網(wǎng)絡(luò)信息安全管理制度���,只有這樣,才能保證建設(shè)行業(yè)電子政務(wù)健康發(fā)展���,確保涉密信息的安全存儲(chǔ)和交換����。建設(shè)行業(yè)網(wǎng)絡(luò)信息安全主要存在4個(gè)方面的隱患:
(1)數(shù)據(jù)庫服務(wù)器和Web服務(wù)器在同一臺(tái)服務(wù)器上����,網(wǎng)站一旦遭受黑客攻擊,作為電子政務(wù)的核心-數(shù)據(jù)庫將遭受滅頂之災(zāi)����。
(2)整個(gè)局域網(wǎng)都在一個(gè)子網(wǎng)內(nèi)���,沒有實(shí)現(xiàn)網(wǎng)段劃分����,局域網(wǎng)內(nèi)部任何一臺(tái)電腦感染了采用黑客攻擊方式發(fā)出的病毒����,就會(huì)威脅到所有局域網(wǎng)內(nèi)部的所有的工作站。
�����。3)盡管網(wǎng)絡(luò)中心通過防火墻實(shí)現(xiàn)了內(nèi)部局域網(wǎng)與internet連接安全區(qū)分隔�����,但由于局域網(wǎng)internet訪問與外部連接共享同一網(wǎng)絡(luò)通道�����,一旦防火墻被攻破�����,缺乏有效網(wǎng)絡(luò)安全手段的內(nèi)部局域網(wǎng)及重要資源將暴露在黑客面前��,后果不堪設(shè)想����。
(4)局域網(wǎng)內(nèi)互聯(lián)網(wǎng)與局域網(wǎng)之間沒有裝備網(wǎng)絡(luò)入侵偵測系統(tǒng)��。對于網(wǎng)絡(luò)內(nèi)部和外部用戶的誤操作���,資源濫用和惡意行為都不能有效阻止和報(bào)警�����,即使裝有防火墻和殺毒軟件���,也不能解決根本問題���。只有安裝網(wǎng)絡(luò)入侵偵測系統(tǒng)和防火墻,才能對信息網(wǎng)絡(luò)破壞行為進(jìn)行阻止和報(bào)警��。
因此�����,各級建設(shè)行政部門要建立高效的電子政務(wù)系統(tǒng)��,首先需要確保信息網(wǎng)絡(luò)的安全���,沒有安全的網(wǎng)絡(luò)做保障����,要建立一個(gè)能為社會(huì)公眾提供“高效��、便捷���、優(yōu)質(zhì)”服務(wù)的電子政務(wù)信息平臺(tái)就無從談起����。
2���、建設(shè)行業(yè)電子政務(wù)建設(shè)中的信息安全策略
根據(jù)國家信息化領(lǐng)導(dǎo)小組提出的“堅(jiān)持積極防御��、綜合防范”的方針��,借鑒浙江等兄弟省市的網(wǎng)絡(luò)信息安全管理經(jīng)驗(yàn)����,提出建設(shè)行業(yè)電子政務(wù)網(wǎng)絡(luò)信息安全工作應(yīng)當(dāng)遵循“管理為上�����、策略聯(lián)動(dòng)����、層層設(shè)防、立體防護(hù)”的原則��。
�����。1)管理為上原則���。“三分技術(shù)���,七分管理”�����,在電子政務(wù)的安全建設(shè)中管理的作用至關(guān)重要��。網(wǎng)絡(luò)提供多種便捷的應(yīng)用�����,幫助人們提高工作的效率�����,而同時(shí)因?yàn)樵S多管理上的原因���,使信息網(wǎng)絡(luò)不安全、不穩(wěn)定���。特別是在電子政務(wù)建設(shè)過程中網(wǎng)絡(luò)的安全問題�����,由于政府工作人員對信息網(wǎng)絡(luò)安全方面警惕性
不高����,這樣就導(dǎo)致了運(yùn)行效率的低下�����,浪費(fèi)了投資���,嚴(yán)重時(shí)會(huì)引起泄密事件��。
��。2)策略聯(lián)動(dòng)原則��。管理及技術(shù)解決方案的策略聯(lián)動(dòng)是一個(gè)最好的途徑���。首先,要在一個(gè)總體安全及管理的方針下對各部門的安全管理策略進(jìn)行協(xié)調(diào)���,使這個(gè)系統(tǒng)在保證其安全性的時(shí)候����,又能夠最大限度的保證其運(yùn)行效率。其次���,在產(chǎn)品和技術(shù)的層面上又能夠使一種技術(shù)與另一種技術(shù)相互聯(lián)系�����,取長補(bǔ)短���,達(dá)到真正的有機(jī)結(jié)合,實(shí)現(xiàn)全面防護(hù)和管理���。
��。3)層層設(shè)防原則����。在安全管理時(shí)要考慮到多層次的問題�����,包括管理層面和技術(shù)層面����。管理層面涉及到管理策略和管理方法2個(gè)方面����,一是要制定出一個(gè)符合實(shí)際需要的策略���,并用高效���、經(jīng)濟(jì)的方法來實(shí)現(xiàn)��。二是在黑客破壞或入侵某個(gè)系統(tǒng)時(shí)采取多種方法�����,包括搭線竊聽���、IP偽裝�����、利用網(wǎng)絡(luò)協(xié)議和應(yīng)用漏洞等���。這些地方都需要得到良好地保護(hù),而一個(gè)安全方法和安全技術(shù)是無法實(shí)現(xiàn)全部防護(hù)的���,所以��,需要全面規(guī)劃��,層層設(shè)防�����。
�����。4)立體防護(hù)原則�����。在策劃和實(shí)施一個(gè)網(wǎng)絡(luò)安全及管理系統(tǒng)的時(shí)候����,需要站在全局和長遠(yuǎn)的角度去設(shè)計(jì)。要使這個(gè)網(wǎng)絡(luò)安全及管理系統(tǒng)跟隨目前安全與管理發(fā)展的潮流�����,解決目前和將來可能會(huì)出現(xiàn)的安全與管理問題���,這樣就需要在網(wǎng)絡(luò)安全及管理系統(tǒng)設(shè)計(jì)之初就使這個(gè)系統(tǒng)是多維的���、可擴(kuò)展的系統(tǒng)���,以適應(yīng)目前的需求和將來的發(fā)展。其次����,還要對系統(tǒng)進(jìn)行分割,決定哪些是迫切需要的��,需馬上實(shí)施����;哪些是長遠(yuǎn)考慮的�����,需有步驟有計(jì)劃地實(shí)施��。
3���、建設(shè)行業(yè)電子政務(wù)信息安全技術(shù)保障體系
電子政務(wù)的安全目標(biāo)是:保護(hù)政務(wù)信息資源價(jià)值不受侵犯����,保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險(xiǎn)和獲取最大的安全利益,使電子政務(wù)的信息基礎(chǔ)設(shè)施��、信息應(yīng)用服務(wù)和信息內(nèi)容為抵御上述威脅而具有保密性����、完整性、真實(shí)性��、可用性和可控性的能力[3].鑒于電子政務(wù)的信息安全面臨的是一場高技術(shù)的對抗�����,涉及法律��、規(guī)章����、標(biāo)準(zhǔn)、技術(shù)�����、產(chǎn)品服務(wù)和基礎(chǔ)設(shè)施等諸多領(lǐng)域[4].結(jié)合目前建設(shè)行業(yè)電子政務(wù)網(wǎng)絡(luò)建設(shè)結(jié)構(gòu)特點(diǎn)��,提出以下電子政務(wù)網(wǎng)絡(luò)安全技術(shù)保障體系。
從物理環(huán)境角度講����,地震、水災(zāi)�����、火災(zāi)��、雷擊等環(huán)境事故���,電源故障����,人為操作失誤或錯(cuò)誤�����,電磁干擾���,線路截獲等,都對信息系統(tǒng)的安全構(gòu)成威脅��,保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理層的安全設(shè)計(jì)應(yīng)從環(huán)境安全��、設(shè)備安全���、線路安全3個(gè)方面考慮����。采取的措施包括:機(jī)房屏蔽����、電源接地、布線隱蔽��、數(shù)據(jù)傳輸加密和數(shù)據(jù)安全存儲(chǔ)等��。另外�����,根據(jù)中央保密委有關(guān)文件規(guī)定����,凡是計(jì)算機(jī)同時(shí)具有內(nèi)網(wǎng)和外網(wǎng)的應(yīng)用需求,必須采取網(wǎng)絡(luò)安全隔離技術(shù),在計(jì)算機(jī)終端安裝隔離卡���,使內(nèi)網(wǎng)與外網(wǎng)之間從根本上實(shí)現(xiàn)物理隔離�����,防止涉密信息通過外網(wǎng)泄漏���。
