電子政務(wù)安全現(xiàn)狀與解決方法

電子政務(wù)安全現(xiàn)狀與解決方法 摘要：信息化浪潮推動了我國電子政務(wù)洶涌澎湃的發(fā)展，一站式電子化的政務(wù)服務(wù)、政務(wù)公開、政務(wù)門戶、網(wǎng)上辦事等信息化手段，既提高政府效率，又方便了群眾。然而電子政務(wù)在帶來各種便利的同時，也帶來很多新的安全問題。黑客攻擊、病毒爆發(fā)、非法用戶入侵、機密信息泄露、重要數(shù)據(jù)丟失等安全事件帶來可破壞性后果也成為電子政務(wù)良性發(fā)展不可回避的 。 關(guān)鍵字：電子政務(wù)，安全，發(fā)展1999年是中國的政府上網(wǎng)年，國家大部分黨政機關(guān)都有了自己的局域網(wǎng)絡(luò)，都可以順利的接入Internet，大部分也擁有了自己的政府網(wǎng)站，這樣的話，就為電子政務(wù)系統(tǒng)奠定了基礎(chǔ)。所謂電子政務(wù)是借助電子信息技術(shù)而進行的政務(wù)活動。由于電子政務(wù)是電子信息技術(shù)與政務(wù)活動的組合，所以它的內(nèi)涵和外延在很大程度上取決于我們對于電子信息技術(shù)和政務(wù)活動所下的定義。政務(wù)有廣義和狹義之分。其中，廣義的政務(wù)泛指各類行政管理活動，而狹義的政務(wù)則專指政府部門的管理和服務(wù)活動。目前我們在探討電子政務(wù)建設(shè)的時候，更多地是指政府部門的信息化建設(shè)，但實際上黨委、人大、政協(xié)、軍隊系統(tǒng)和企事業(yè)單位等同樣有一定的行政管理活動，而且這些活動同樣可以借助電子信息技術(shù)來進行。所以，電子信息技術(shù)在公共管理中的應(yīng)用，實際上要遠遠超出政府系統(tǒng)的范圍。為了避免同狹義的電子政務(wù)概念產(chǎn)生沖突，我們應(yīng)當(dāng)把這些新的交集分別命名為電子黨務(wù)、電子政協(xié)、電子人大等。利用先進的信息技術(shù)來提高辦公效率，并不是政府部門的專利。因此，我們在密切注視政府系統(tǒng)信息化建設(shè)的時候，還應(yīng)當(dāng)關(guān)注信息技術(shù)在其他管理領(lǐng)域更為廣泛的應(yīng)用。廣義電子政務(wù)與狹義電子政務(wù)之間的關(guān)系，我們可以通過概念來分析，我們將采用狹義的政務(wù)概念，即政務(wù)專門指政府部門的管理和服務(wù)活動。與“政務(wù)”一樣，并非所有的電子信息技術(shù)與政務(wù)活動相結(jié)合，都能被稱為電子政務(wù)。例如，政府部門通過傳真來傳遞信息，就不能算是電子政務(wù)，因為電話在這里充其量只是一個傳遞信息的途徑和手段，而不能對政務(wù)活動的內(nèi)容和開展方式產(chǎn)生根本性的影響。電子政務(wù)真正作為一個獨立的概念出現(xiàn)，是在計算機網(wǎng)絡(luò)技術(shù)相對成熟和普及之后。只有在網(wǎng)絡(luò)技術(shù)出現(xiàn)之后，大量政務(wù)信息的實時共享和雙向交流在技術(shù)上才成為可能，從而使傳統(tǒng)的政務(wù)開展方式發(fā)生根本性的改變。從這個意義上說，電子政務(wù)的物質(zhì)基礎(chǔ)是計算機網(wǎng)既然電子政務(wù)是依拖于計算機網(wǎng)絡(luò)來開展工作，那么網(wǎng)絡(luò)上蔓延的病毒，木馬，黑客等不良因素在侵犯計算機的同時也將威脅到電子政務(wù)的安全機密，在經(jīng)濟和信息全球化加速發(fā)展的前景下，電子政務(wù)逐漸成為我國政府發(fā)展經(jīng)濟、增強國際競爭力的“好幫手”。然而政務(wù)信息的社會化、公開化，同時也為不法之徒開啟了“入侵之門”黑客、間諜、好事之徒都對政府的資料虎視眈眈。電子政務(wù)的安全問題倍受人們關(guān)注，安全性問題是電子政務(wù)的首要問題，各國政府都在開展這方面的研究。在電子政務(wù)系統(tǒng)的技術(shù)選擇過程中，應(yīng)該首先考慮政務(wù)信息的安全問題。電子政務(wù)系統(tǒng)是供政府和公民使用的信息交流平臺，在這之上流動的有可公知公用的信息，還有的是需要保密的非公開信息。即使說一個電子政務(wù)網(wǎng)絡(luò)可以提供強大的功能，可以解決大部分電子政府信息交互的問題，但其本身使用不是本國的軟件、硬件，而這些軟件、硬件使用的技術(shù)不是本國所掌握的或者說這些軟硬件并不能保證電子政府免受病毒侵害、黑客攻擊，那么，何談電子政務(wù)的安全性，穩(wěn)定性。這樣一來，我們的很多政務(wù)信息就不只是“公之于眾”了，而且將會是“大白于天下”了！2001年，武漢一名黑客通過境外代理服務(wù)器，使用隱藏真實IP地址等手段，利用一種經(jīng)他改造過的黑客軟件，在網(wǎng)上大肆對國內(nèi)一些地方政府網(wǎng)站進行攻擊，先后入侵武昌區(qū)政府網(wǎng)站、大冶市政府網(wǎng)站、黃石熱線網(wǎng)站、數(shù)字重慶網(wǎng)站等，肆意修改主頁內(nèi)容、對政府人員進行政治和人身攻擊，造成了極其惡略的社會影響。 2003年，黑龍江省公安廳網(wǎng)絡(luò)監(jiān)察處在農(nóng)墾公安局網(wǎng)監(jiān)部門的配合下，偵破一起利用黑客攻擊政府網(wǎng)站的案件，行為人潘某被抓獲。今年6月初，潘某用弱口令掃描軟件進行掃描，發(fā)現(xiàn)遼寧一政府網(wǎng)站使用的是弱口令，就進入該網(wǎng)站，并在該網(wǎng)站的服務(wù)器上建立了自己的FTP服務(wù)，把自己的論壇主頁上傳到該網(wǎng)站服務(wù)器上，并做了鏈接。 計算機碩士“黑客”攻擊政府網(wǎng)站嫁禍他人被判；“黑客”今年17歲 為顯示自己攻擊政府網(wǎng)站；大學(xué)生在家攻擊政府網(wǎng)站 神勇公安一舉拿獲如此種種，政府網(wǎng)站遭受攻擊的案例屢見不鮮，我國電子政務(wù)的安全堪憂。 電子政務(wù)安全是一個復(fù)雜的系統(tǒng)工程。僅從安全威脅的來源來看，可以分為內(nèi)、外兩部分。所謂“內(nèi)”，是指政府機關(guān)內(nèi)部；而“外”，則是指社會環(huán)境。來自于外部的威脅有病毒傳染、黑客攻擊、信息間諜、信息恐怖活動、信息戰(zhàn)爭、自然災(zāi)害等，而來自內(nèi)部的威脅則包括內(nèi)部人員惡意破壞、管理人員濫用職權(quán)、執(zhí)行人員操作不當(dāng)、內(nèi)部管理疏漏、軟硬件缺陷等。一 電子政務(wù)安全中普遍存在著以下幾種安全隱患：(一).竊取信息由于未采用加密措施，調(diào)制解調(diào)器之間的信息以明文形式傳送，入侵者使用相同的調(diào)制解調(diào)器就可以截獲傳送的信息。同時，政府機關(guān)內(nèi)部人員更是可以十分輕松的將一些機要信息泄漏出去，此謂“監(jiān)守自盜”。(二).篡改信息當(dāng)入侵者掌握了信息的格式和規(guī)律之后，通過各種方式，在原網(wǎng)絡(luò)的調(diào)制解調(diào)器之間增加兩個相同類型的調(diào)制解調(diào)器，將通過的數(shù)據(jù)在中間修改，然后發(fā)向另一端。這便嚴重的破壞了原信息的完整性與有效性。（三）冒名頂替 由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶及送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。同時，由于內(nèi)部權(quán)限分配不明或者濫用他人名義實施違法活動，極有可能造成“栽贓嫁禍”。二 徹底杜絕電子政務(wù)網(wǎng)絡(luò)隱患，應(yīng)該做到以下幾個方面：（一）首先要加強主機本身的安全，做好安全配置，及時安裝系統(tǒng)安全補丁程序，減少漏洞；（二）其次要用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡(luò)系統(tǒng)進行掃描分析，找出隱患，及時修補；（三）建立完善的訪問控制措施，安裝防火墻，加強網(wǎng)絡(luò)授權(quán)管理和認證；（四）安裝防病毒軟件，防火墻，加強內(nèi)部網(wǎng)的整體防病毒措施；（五）對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施；（六）利用數(shù)據(jù)存儲技術(shù)加強數(shù)據(jù)備份和恢復(fù)措施；（七）建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊在這個方面，我們還 可以借鑒電子商務(wù)在安全防范方面的成功經(jīng)驗。（八）加密技術(shù)加密技術(shù)是電子商務(wù)采取的主要安全保密措施，是最常用的安全保密手段,利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密）。加密技術(shù)包括兩個元素：算法和密鑰。算法是將普通的文本（或者可以理解的信息）與一竄數(shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文的步驟，密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法。（九）數(shù)字簽名是只有信息發(fā)送者使用 公開密鑰算法 的主要技術(shù)產(chǎn)生的別人無法偽造的一段數(shù)字串。發(fā)送者用自己的私有密鑰 加密數(shù)據(jù)傳給接收者，接收者用發(fā)送者的公鑰解開數(shù)據(jù)后，就可確定消息 來自于誰，同時也是對發(fā)送者發(fā)送的信息的真實性的一個證明發(fā)送者對 所發(fā)信息不能抵賴。（十）認證機構(gòu)(CA)認證機構(gòu)CA是PKI的核心執(zhí)行機構(gòu)，是PKI的主要組成部分，一般簡稱為CA，在業(yè)界通常把它稱為認證中心。它是一種權(quán)威性、可信任性和公正性的第三方機構(gòu)。認證機構(gòu)CA的建設(shè)要根據(jù)國家市場準(zhǔn)入政策由國家主管部門批準(zhǔn)，具有權(quán)威性；CA機構(gòu)本身的建設(shè)應(yīng)具備條件、采用的密碼算法及技術(shù)保障是高度安全的，具有可信任性；CA是不參與交易雙方利益的第三方機構(gòu)，具有公正性。CA認證機構(gòu)在電子簽名法中被稱作“電子認證服務(wù)提供者”。三通過借鑒電子商務(wù)在安全防范上使用到的安全保護方法，可以使我們的電子政務(wù)擁有一個相對安全的外部環(huán)境，而內(nèi)部環(huán)境，則要靠政府領(lǐng)導(dǎo)者，內(nèi)部人員的共同合作，來營造一個的利于發(fā)展的環(huán)境。 (一).做好規(guī)劃。貫徹“以應(yīng)用促安全、以安全保應(yīng)用”的思想，在做好電子政務(wù)系統(tǒng)規(guī)劃的同時必須同步做好安全系統(tǒng)規(guī)劃；信息安全系統(tǒng)建設(shè)應(yīng)超前思考，長期規(guī)劃，不留基礎(chǔ)隱患；安全系統(tǒng)建設(shè)與網(wǎng)絡(luò)建設(shè)必須同步進行。 (二).健全法規(guī)。在信息安全技術(shù)相對落后的情況下，要充分發(fā)揮管理和制度等非技術(shù)手段的作用。各級黨政機關(guān)應(yīng)在信息化領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)下，成立由信息化辦、科技、公安、安全、保密、機要等部門組成的安全小組，負責(zé)對電子政務(wù)安全進行管理，明確職責(zé)，加強協(xié)作。建立機關(guān)網(wǎng)絡(luò)信息安全前置審批制度。信息系統(tǒng)的使用部門要在相關(guān)部門的指導(dǎo)下嚴格管理廣大操作人員，將信息安全滲透到網(wǎng)絡(luò)的各個環(huán)節(jié)，滲透到使用的每時每刻。應(yīng)充分認識依法保障和促進信息網(wǎng)絡(luò)健康發(fā)展的重要性，加強和完善信息網(wǎng)絡(luò)安全有關(guān)法規(guī)及制度建設(shè)，以法制化保障信息化。 (三).加強科研。信息安全的有效解決從根本上要落實到技術(shù)手段，電子政務(wù)安全的關(guān)鍵是要有自主的知識產(chǎn)權(quán)和關(guān)鍵技術(shù)，從根本上擺脫對外國技術(shù)的依賴。通過關(guān)鍵技術(shù)的解決，構(gòu)筑信息網(wǎng)絡(luò)系統(tǒng)的安全保障信任體系。力爭盡快自主建設(shè)具有可靠技術(shù)、設(shè)備與軟件的安全網(wǎng)絡(luò)信息系統(tǒng)。同時，要建立一種如同人體健康免疫機制的安全保障體系，保證信息系統(tǒng)在安全威脅環(huán)境中，能夠預(yù)防風(fēng)險,在遭到攻擊時，能盡早發(fā)覺；受到攻擊后，能盡快恢復(fù)。(四).協(xié)調(diào)共進。鑒于我國目前的信息產(chǎn)業(yè)還比較落后，建立一個專有的、完全安全的信息系統(tǒng)有相當(dāng)難度。所以我們在建設(shè)電子政務(wù)系統(tǒng)時必須在應(yīng)用性能、安全性能、發(fā)展空間以及價格需求之間綜合平衡，以實事求是和發(fā)展的眼光正確處理應(yīng)用與安全的關(guān)系，“兩手抓，兩手都要硬”，促進信息系統(tǒng)應(yīng)用與安全協(xié)調(diào)發(fā)展。 (五).應(yīng)急預(yù)案。如果電子政務(wù)信息系統(tǒng)缺乏有效的安全管理體系和數(shù)據(jù)備份，一旦信息網(wǎng)絡(luò)出現(xiàn)意外事故，一方面將對長期積累的網(wǎng)絡(luò)信息造成災(zāi)難性損失，另一方面也沒有相應(yīng)的應(yīng)急處理能力。所以應(yīng)盡快建立網(wǎng)絡(luò)安全管理中心和數(shù)據(jù)備份中心，健全災(zāi)難恢復(fù)與緊急響應(yīng)機制，加強管理，確保信息網(wǎng)絡(luò)的數(shù)據(jù)安全和運行安全。 (六).隊伍建設(shè)。電子政務(wù)系統(tǒng)的應(yīng)用開發(fā)、系統(tǒng)運行、日常維護、重要設(shè)備維修等都涉及信息安全和保密，所以必須盡快組建一支政治可靠、技術(shù)精湛、作風(fēng)優(yōu)良的內(nèi)部技術(shù)人員隊伍，為確保網(wǎng)絡(luò)信息安全提供人才保證。按國際上所有政府機構(gòu)的通常做法，這支隊伍應(yīng)由政府公務(wù)員組成。四在電子政務(wù)系統(tǒng)中，政府機關(guān)的公文往來、資料存儲、服務(wù)提供都以電子化的形式來實現(xiàn)，但在提高辦公效率、擴大政府服務(wù)內(nèi)容的同時，也為某些居心不良者提供了通過技術(shù)手段竊取重要信息的可能。此外，電子政務(wù)系統(tǒng)是基于互聯(lián)網(wǎng)平臺的，從技術(shù)角度來說，互聯(lián)網(wǎng)是存在許多不安全因素的全球性網(wǎng)絡(luò)，打擊跨國網(wǎng)絡(luò)犯罪難度很大。因此，電子政務(wù)建設(shè)中的網(wǎng)絡(luò)安全問題急待解決，而建立包括網(wǎng)絡(luò)安全政策法規(guī)、網(wǎng)絡(luò)安全組織管理體系、網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范、網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)、網(wǎng)絡(luò)安全產(chǎn)品體系和網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施6個部分的電子政務(wù)網(wǎng)絡(luò)安全體系成為可行之路。(一).法律做保障、管理增效率 在電子政務(wù)網(wǎng)絡(luò)安全體系中，首先要健全網(wǎng)絡(luò)安全的法律法規(guī)，強化電子政務(wù)信息安全的法制管理。我國雖然頒發(fā)了一些與網(wǎng)絡(luò)安全有關(guān)的法律法規(guī)，如計算機信息系統(tǒng)安全保護條例等，但顯得很零散，還缺乏關(guān)于電子政務(wù)網(wǎng)絡(luò)安全的專門法規(guī)。此外，在完善法律法規(guī)的同時，還應(yīng)該加大執(zhí)法力度，嚴格執(zhí)法。第二個步驟是建立健全網(wǎng)絡(luò)安全組織管理制度，主管部門、技術(shù)支持部門等等。發(fā)達國家一般都建立有網(wǎng)絡(luò)安全管理機構(gòu)，在我國，安全職能涉及多個部門，雖然能各司其責(zé)，責(zé)權(quán)明確，但在許多的具體實施過程中缺乏統(tǒng)一性。因此需要建立政府上網(wǎng)信息保密審查制度，堅持“誰上網(wǎng)誰負責(zé)”；涉密信息網(wǎng)絡(luò)必須與公共信息網(wǎng)實行物理隔離；規(guī)定在與公共信息網(wǎng)相連的信息設(shè)備上不得存儲、處理和傳遞國家秘密信息。（二）標(biāo)準(zhǔn)為指導(dǎo)、服務(wù)產(chǎn)業(yè)做支持電子政務(wù)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范包括電子文檔密級劃分和標(biāo)記格式、內(nèi)容健康性等級劃分與標(biāo)記、內(nèi)容敏感性等級劃分與標(biāo)記、密碼算法標(biāo)準(zhǔn)、密碼模塊標(biāo)準(zhǔn)、密鑰管理標(biāo)準(zhǔn)、PKI/CA標(biāo)準(zhǔn)、PMI標(biāo)準(zhǔn)、信息系統(tǒng)安全評估和網(wǎng)絡(luò)安全產(chǎn)品測評標(biāo)準(zhǔn)等方面的內(nèi)容。把安全服務(wù)做好，需要各個安全企業(yè)聯(lián)合起來，取長補短，像構(gòu)筑一個大壩一樣盡可能地堵住每一個安全漏洞。網(wǎng)絡(luò)安全是一個動態(tài)的過程，安全最理想化的狀態(tài)是客戶能買到合適的產(chǎn)品，能夠合理地部署并進行規(guī)范的配制，能夠配備有經(jīng)驗的管理人員，并且和現(xiàn)有的IT系統(tǒng)無縫連接起來，這就需要靠各個廠商間彼此互相支持，為政府部門用戶量身定制網(wǎng)絡(luò)安全解決方案。（三）技術(shù)做推動、基礎(chǔ)設(shè)施是前提現(xiàn)階段中國各級政府部門目前所選用的高端軟硬件平臺，基本上都是國外公司的產(chǎn)品，這也對政務(wù)安全帶來了許多隱患。因此，在構(gòu)建電子政務(wù)系統(tǒng)的時候，在可能的情況下，我們應(yīng)盡量選用國產(chǎn)化技術(shù)和國內(nèi)公司的產(chǎn)品。網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施是一種為信息系統(tǒng)應(yīng)用主體和網(wǎng)絡(luò)安全執(zhí)法主體提供網(wǎng)絡(luò)安全公共服務(wù)和支撐的一種社會基礎(chǔ)設(shè)施。眾所周知，安全并沒有統(tǒng)一的尺度，對于各地區(qū)、各部門而言，安全發(fā)展也是不平衡的，對安全的要求也隨之不同。所以評估安全風(fēng)險，要在投資、收益方面做一個權(quán)衡。安全技術(shù)和產(chǎn)品越做越好，攻擊的技術(shù)和手段也越來越高，此消彼漲。所以，應(yīng)以“風(fēng)險”的概念、“過程”的角度去考慮安全問題。事實上，經(jīng)過幾年的探索，那種過于強調(diào)安全的傾向已經(jīng)弱化，“邊發(fā)展邊安全”的現(xiàn)實做法逐漸被接受。 在電子政務(wù)安全建設(shè)中，需要權(quán)衡安全、成本、效率三者的關(guān)系。實際上，絕對的安全是沒有的，電子政務(wù)系統(tǒng)也不是“越安全越好”。不同的電子政務(wù)系統(tǒng)，對于信息安全的要求是不同的。因此，必須根據(jù)電子政務(wù)系統(tǒng)的實際要求做到恰到好處。在進行電子政務(wù)安全設(shè)計的時候，必須根據(jù)實際應(yīng)用情況，協(xié)調(diào)好安全、成本、效率三者的關(guān)系。一個電子政務(wù)系統(tǒng)安全保密性能超出安全保密的管理要求不但沒有必要，而且還會造成資金上的浪費。因此，在電子政務(wù)建設(shè)中，我們應(yīng)奉行有所為、有所不為的安全觀，要體現(xiàn)出執(zhí)政為民的宗旨。提高政府各項工作的效率，真正把該管的事情管好，把該做的事情做好。要重點和優(yōu)先建設(shè)面向社會服務(wù)的電子政務(wù)系統(tǒng)，對于存有大量機密信息的秘密系統(tǒng)、黨政核心部門可以暫時不進行面對社會的電子政務(wù)建設(shè)，待實際成熟時再建。 2004年電子商務(wù)的務(wù)實低調(diào)和“電子政務(wù)年”的延續(xù)，必然使2005年的信息化主角仍然是電子政務(wù)。因為信息安全面對的主要應(yīng)用領(lǐng)域當(dāng)然是電子政務(wù)。經(jīng)過2002年熱浪的洗禮，目前電子政務(wù)的邊界和外延極度擴張，除了政府，金融、通信和電子等關(guān)系國計民生的重大行業(yè)信息化也在納入大電子政務(wù)的范圍。國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見（中辦17號文件）明確指出，“電子政務(wù)網(wǎng)絡(luò)由政務(wù)內(nèi)網(wǎng)和政務(wù)