24周年

財稅實務(wù) 高薪就業(yè) 學歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.30 蘋果版本:8.7.30

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

中國電子政務(wù)中的安全問題及對策

來源: 楊乃濱 編輯: 2010/09/15 09:16:19  字體:

  論文摘要:從電子政務(wù)安全范疇的界定入手,從物理安全、系統(tǒng)安全、信息安全、管理安全4個方面闡述中國電子政務(wù)中的安全問題及對策。

  近年來,在黨中央、國務(wù)院的大力推動下,我國電子政務(wù)開始進入全面實施階段,電子政務(wù)建設(shè)成為一項覆蓋各級政府部門的、大型復(fù)雜的系統(tǒng)工程。與此同時,安全問題給電子政務(wù)工程的規(guī)劃、設(shè)計、組織和實施帶來了巨大的挑戰(zhàn)。國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT/CC權(quán)威發(fā)布的數(shù)據(jù)顯示,2008上半年與2007年同期相比,網(wǎng)絡(luò)安全事件數(shù)量有顯著增加,其中政府網(wǎng)頁信息被篡改的事件呈現(xiàn)大幅度上漲趨勢,與2007年同期相比增加41%。因此,電子政務(wù)信息系統(tǒng)的安全管理成為一個必須引起各部門高度重視的問題。

  一、電子政務(wù)安全范疇

  談到電子政務(wù)安全,人們立即就會聯(lián)想到病毒、黑客等熟悉的名詞,也很容易把它與網(wǎng)絡(luò)安全、電子商務(wù)安全混為一談。網(wǎng)絡(luò)安全通常是指計算機網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和數(shù)據(jù)受到保護,不因偶然和惡意的原因而遭到破壞、更改和泄露。它更多地側(cè)重于技術(shù)層面上網(wǎng)絡(luò)系統(tǒng)安全問題的分析和對策。而電子政務(wù)安全則是一個非常復(fù)雜的系統(tǒng)工程,它遍布在政府信息化的各個環(huán)節(jié)之中,其范疇已經(jīng)超越網(wǎng)絡(luò)安全所指的技術(shù)層面。可以說,網(wǎng)絡(luò)安全是電子政務(wù)安全中一個重要的組成部分。

  電子政務(wù)安全和電子商務(wù)安全都是非常復(fù)雜的系統(tǒng)工程,但是由于電子政務(wù)本身的開放性、虛擬性、網(wǎng)絡(luò)化的特點以及我國政府部門制定統(tǒng)一的電子政務(wù)建設(shè)標準和規(guī)范、全國上下可互聯(lián)互通的統(tǒng)一平臺和網(wǎng)絡(luò),有關(guān)國家政治經(jīng)濟的敏感信息和數(shù)據(jù)都對電子政務(wù)系統(tǒng)的安全性提出了更為嚴格的要求。從信息社會角度講,電子政務(wù)安全和電子商務(wù)安全也存在著本質(zhì)共性的聯(lián)系,電子政務(wù)安全是實現(xiàn)電子商務(wù)安全的基礎(chǔ)和保障。

  電子政務(wù)安全的特殊需求實際上就是要合理地解決網(wǎng)絡(luò)開放性與安全性之間的矛盾,在電子政務(wù)系統(tǒng)信息暢通的基礎(chǔ)上,有效阻止非法訪問和攻擊對系統(tǒng)的破壞。本文將電子政務(wù)安全的范疇界定為物理安全、系統(tǒng)安全、信息安全、管理安全4個部分。

  二、電子政務(wù)中的安全問題及對策

  1.物理安全

  保證計算機信息系統(tǒng)各種設(shè)備的物理安全是整個電子政務(wù)系統(tǒng)安全的前提。物理安全是指保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。電子政務(wù)系統(tǒng)采用的計算機硬件雖然在功能上有了很大的提高,但它畢竟屬于高度精密的儀器,任何開發(fā)時的疏忽以及實際運行時的震蕩、靜電、潮濕、過熱等情形都可能使其受到嚴重的損傷。具體來說,電子政務(wù)中的物理安全主要包括以下幾個方面。一是系統(tǒng)運行中的安全隱患,主要包括電源問題、水患與火災(zāi)、電磁干擾與泄露以及其他的環(huán)境威脅。二是物理訪問風險與控制。物理安全威脅不單來自于環(huán)境,還來自于人為操作失誤及各種計算機犯罪行為。三是電子政務(wù)信息系統(tǒng)的場地與設(shè)施安全管理。是指中華人民共和【亙國家標準GB50173—93《電子計算機機房設(shè)計規(guī)范》、GB2887—89《計算站場地技術(shù)條件》、GB9361—88(計算站場地安全要求》對應(yīng)用信息系統(tǒng)的場地與設(shè)施進行的安全管理。

  2.系統(tǒng)安全

  (1)硬件系統(tǒng)安全的問題及對策。電子政務(wù)系統(tǒng)的主要特征就是大量采用信息系統(tǒng)支持政務(wù)活動,而信息系統(tǒng)首先表現(xiàn)為各種各樣的物理設(shè)備,比如計算機、磁盤、網(wǎng)絡(luò)設(shè)備等。如果這些物理設(shè)備遭到損毀,整個系統(tǒng)就不可避免地會受到嚴重的影響。因此,首先考察硬件系統(tǒng)的安全問題。

  并非只有軟件才有漏洞,硬件系統(tǒng)同樣可能存在各種各樣的缺陷。這些缺陷一旦逃過出廠測試,就可能在實際運行中造成系統(tǒng)崩潰。一般而言,硬件系統(tǒng)的漏洞主要包括設(shè)計疏忽、元件質(zhì)量低劣、人為留下的“后門”等。對于這些問題,解決辦法就是做好電子政務(wù)系統(tǒng)硬件采購時的分析工作。在制訂采購計劃時要多搜集相關(guān)信息,到相關(guān)廠商處了解不同品牌、型號硬件的特點和使用,并在具體采購時仔細檢查,試運行一段時間后再投入實際應(yīng)用。特別需要注意的是,對于關(guān)鍵的系統(tǒng),在采購硬件時應(yīng)盡量避免使用剛剛面世的新產(chǎn)品,而盡可能采用比較成熟、穩(wěn)定的型號,以規(guī)避人們常說的“技術(shù)風險”。電子政務(wù)系統(tǒng)安全類產(chǎn)品采購時應(yīng)注意的事項包括以下幾點。①產(chǎn)品必須具有公安部《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》和檢測報告。

  ②如果該產(chǎn)品涉及數(shù)據(jù)加密,根據(jù)《商用密碼管理條例》的規(guī)定,該產(chǎn)品的加密算法應(yīng)具有國密辦的批準文號。③在選擇安全產(chǎn)品時,應(yīng)盡量選擇具有我國自主知識產(chǎn)權(quán)的產(chǎn)品。這類產(chǎn)品具有自主知識產(chǎn)權(quán)的源代碼,安全性較高,而且有利于廠家對產(chǎn)品的升級與維護。④應(yīng)盡量選擇具有更先進技術(shù)的安全產(chǎn)品。在安全領(lǐng)域同一種安全產(chǎn)品往往具有幾代技術(shù),在選購之前應(yīng)適當了解該產(chǎn)品的技術(shù)演變,選擇較先進的安全產(chǎn)品。⑤安全產(chǎn)品的系統(tǒng)處理速度值得考慮。安全類產(chǎn)品由于具有復(fù)雜的分析過濾功能,往往成為系統(tǒng)的瓶頸,其處理速度直接影響應(yīng)用的效果。⑥注意察看安全產(chǎn)品在權(quán)威機構(gòu)的檢測報告,其各項安全功能是否達到要求。

  (2)軟件系統(tǒng)的安全問題及對策。軟件系統(tǒng)是電子政務(wù)系統(tǒng)的靈魂,因此保證軟件系統(tǒng)的安全運行、降低因軟件問題導致的系統(tǒng)風險對電子政務(wù)系統(tǒng)來說至關(guān)重要。首先是計算機病毒的防范措施。對于計算機病毒的防范,一般要采取以下措施。

  一是定期進行數(shù)據(jù)備份,一旦遭到病毒破壞可以及時恢復(fù)主要數(shù)據(jù)。

  二是合理使用殺毒軟件。沒有任何一種反病毒軟件能夠防治現(xiàn)有的和未來產(chǎn)生的所有病毒,因此,必須合理使用和部署防病毒軟件才能充分發(fā)揮其作用。

  三是制定嚴格的病毒防治規(guī)章。

  其次是軟件漏洞與后門?,F(xiàn)在電子政務(wù)平臺使用的所有軟件都不可避免地存在各種各樣的安全漏洞,影響系統(tǒng)的穩(wěn)定性和安全性。為了解決電子政務(wù)平臺軟件系統(tǒng)中的安全問題,本文針對操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫等方面,總結(jié)了一套軟件系統(tǒng)安全防護措施。

  ①電子政務(wù)系統(tǒng)在操作系統(tǒng)安全方面的考慮。一是在電子政務(wù)系統(tǒng)的實際開發(fā)、構(gòu)建過程中,應(yīng)根據(jù)具體運行環(huán)境、安全級別,分別采用不同類別的操作系統(tǒng)。二是盡可能采用具有自主知識產(chǎn)權(quán)且源代碼對我國政府公開的產(chǎn)品。目前國產(chǎn)軟件在安全軟件、操作系統(tǒng)等方面,已經(jīng)具備與國外軟件產(chǎn)品競爭的實力。因此,采用國產(chǎn)軟件來構(gòu)建電子政務(wù)系統(tǒng)成為一項切實可行的措施。三是盡量避免在電子政務(wù)關(guān)鍵部門、要害環(huán)節(jié)使用外國的產(chǎn)品,以免受制于外國。對于核心應(yīng)用系統(tǒng)和關(guān)鍵政務(wù)環(huán)節(jié),必須確保實施方案的技術(shù)自主性。

 ?、谠趹?yīng)用程序安全方面的考慮。作為軟件系統(tǒng)的使用者應(yīng)該做到:使用穩(wěn)定版本的軟件;經(jīng)常檢查操作系統(tǒng)和應(yīng)用程序提供商的站點,一旦發(fā)現(xiàn)其提供的補丁程序,馬上下載并應(yīng)用在系統(tǒng)上。

 ?、墼跀?shù)據(jù)庫安全方面的考慮。防止SQL指令植人式攻擊的第一步是采用各種安全手段監(jiān)控用戶輸入,以確保SQL指令的可靠性。第二步是清除客戶端錯誤信息文本中的所有技術(shù)資料。第三步是嚴格限制w eb應(yīng)用程序所用數(shù)據(jù)庫訪問賬號權(quán)限。

  (3)網(wǎng)絡(luò)系統(tǒng)安全。網(wǎng)絡(luò)系統(tǒng)雖然也是由硬件系統(tǒng)和軟件系統(tǒng)組成的,但是由于網(wǎng)絡(luò)安全在電子政務(wù)安全中的重要性,本文著重介紹其特有的幾個安全問題及防范措施。

 ?、倏诹畎踩?。隨著電子政務(wù)系統(tǒng)的應(yīng)用,口令成為政務(wù)工作中的一部分。系統(tǒng)口令一般由用戶自行設(shè)置,如果安全意識不強,則會存在較高的風險。

 ?、诰W(wǎng)絡(luò)監(jiān)聽。因為網(wǎng)絡(luò)嗅探器可以檢測到網(wǎng)絡(luò)的流量、通信協(xié)議、信息來源、報文長短、通信周期,進而截獲通信數(shù)據(jù),所以對網(wǎng)絡(luò)中的賬戶、口令等有較大的危害。

  ③拒絕服務(wù)(DoS)攻擊。oD S的目的就是拒絕用戶的正常訪問,破壞系統(tǒng)的正常運行,甚至使電子政務(wù)網(wǎng)絡(luò)系統(tǒng)失效。最基本的oD S攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源,從而使合法用戶無法得到服務(wù)。

  ④電子欺騙攻擊。電子欺騙指在網(wǎng)絡(luò)上通過偽造可信任地址的數(shù)據(jù)包,得到不該信任的信任關(guān)系。網(wǎng)絡(luò)通信中通信雙方通過認證和信任兩個前提進行。常見的電子欺騙有IP欺騙、DNS欺騙、ARP欺騙、WEB欺騙等。針對網(wǎng)絡(luò)系統(tǒng)安全問題的技術(shù)防范措施很多,如入侵檢測、漏洞掃描、安全審計、防火墻技術(shù)、VPN技術(shù)等,可以很好地解決上述網(wǎng)絡(luò)系統(tǒng)安全問題。

  3.信息安全

  數(shù)據(jù)是電子政務(wù)的核心資源之一,因此其安全問題也格外重要。軟件、硬件的損毀雖然可以使政府的正常業(yè)務(wù)中斷,但一般在重新購置系統(tǒng)后仍能恢復(fù),而政府核心數(shù)據(jù)的損毀卻是不可恢復(fù)的致命災(zāi)難。解決數(shù)據(jù)安全問題的主要辦法就是建立完善的管理措施。

  (1)數(shù)據(jù)保護制度。政府重要數(shù)據(jù)面臨的首要風險就是被他人竊取。為防止這類損失,首先就要健全數(shù)據(jù)保護制度。一是做好物理訪問控制,防止外部人員接觸到存有重要數(shù)據(jù)的主機、存儲設(shè)備和打印機等輸出設(shè)備。二是做好數(shù)據(jù)的邏輯訪問控制。三是做好數(shù)據(jù)備份和災(zāi)難恢復(fù)計劃。

  (2)標準可信時間源的獲取。時間在電子政務(wù)安全應(yīng)用上具有其特定的重要意義。政務(wù)文件上的時間標記是重要的政策執(zhí)行依據(jù)和憑證。

  (3)信息傳遞過程中的加密。加密就是為了安全目的對信息進行編碼和解碼。電子政務(wù)應(yīng)用涵蓋政府內(nèi)部辦公和面對公眾的信息服務(wù)兩大方面。就政府內(nèi)部辦公而言,電子政務(wù)系統(tǒng)涉及部門與部門之間、上下級之間、地區(qū)與地區(qū)間的公文流轉(zhuǎn)。這些公文的信息往往涉及機密等級的問題,必須采取適當?shù)募用芊椒▽π畔⒂枰员C堋?

  4.管理安全

  (1)組織管理措施。對于電子政務(wù)系統(tǒng)來說,要想做到合理分工,一個核心的原則就是在實際建設(shè)和應(yīng)用電子政務(wù)系統(tǒng)時把系統(tǒng)的設(shè)計者、管理者、操作者、利害關(guān)系者等角色分開,盡量避免一個人同時具備多個角色。除合理分工外,牽制也是必須考慮的問題。比如在信息錄入環(huán)節(jié)增設(shè)人員監(jiān)督錄入,既可以減少錄人錯誤,也可以防止舞弊。此外,對于重要業(yè)務(wù),可以在系統(tǒng)的工作流程中增加審核環(huán)節(jié),并為具體操作人員設(shè)定操作規(guī)模的上限,從而提高非法操作的難度,降低風險損失。

  (2)人力資源管理。政府的人力資源管理情況也會在很大程度上影響電子政務(wù)的安全。一是對人員的安全教育和保護。從安全角度看,企業(yè)的員工不僅僅是潛在的威脅,也是安全制度的執(zhí)行者和保護對象。二是對內(nèi)部成員的安全防范。多項針對系統(tǒng)安全事件調(diào)查的結(jié)果表明,絕大多數(shù)安全事件是由受害組織的內(nèi)部員工實施的。一般說來,針對內(nèi)部員工的安全管理措施包括以下幾個方面。①合理的崗位劃分和健全的牽制制度。②定期休假制度。給重要崗位的人員提供定期的休假,一方面可以讓員工得到休息,另一方面在其離崗期間內(nèi),臨時管理員可以發(fā)現(xiàn)系統(tǒng)的不合理狀態(tài)并及時報告、調(diào)查。

  ③員工離任處理。一般被辭退的員工往往會產(chǎn)生嚴重的不滿情緒和報復(fù)念頭,同時他們又非常熟悉企業(yè)的系統(tǒng)結(jié)構(gòu)和安全漏洞,因此很可能在離任后惡意破壞電子政務(wù)系統(tǒng)。為防止這種情況的發(fā)生,在員工離任時必須執(zhí)行嚴格的處理辦法。

  三、結(jié)語

  電子政務(wù)系統(tǒng)是安全高度敏感的系統(tǒng),任何時候都要切實保證電子政務(wù)系統(tǒng)的安全,要制定嚴格的管理制度,對于各種系統(tǒng)安全風險,必須分門別類,對癥下藥,確保數(shù)據(jù)完整性、信息保密性、信息真實性、數(shù)據(jù)可用性等。應(yīng)該站在系統(tǒng)的高度,綜合各方面要素,在投資許可的前提下,采用多種安全技術(shù)手段確保電子政務(wù)系統(tǒng)的安全。

我要糾錯】 責任編輯:lcl

實務(wù)學習指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - m.galtzs.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號