论文部分内容阅读
[摘 要]互联网的出现和发展给整个世界的政治、经济、文化都带来了前所未有的改变,人类社会自此进入了信息化的时代。目前,文字、图像、音频、视频等都可以通过网络实现全球共享。随着信息化进程不断推进,电子政务也得以快速发展,其中政务信息系统是电子政务工作主要载体,成为政务信息发布的重要渠道、在线办事的网上窗口、政民互动的有效桥梁,因此电子政务系统的安全就显得至关重要了。本文旨对电子政务进行简要论述,分析其中的安全威胁并提供一些应对技术以供参考。
[关键词]电子政务 信息系统 信息安全
中图分类号:TM73 文献标识码:A 文章编号:1009-914X(2015)36-0323-02
一、电子政务概述
电子政务是政府管理理念和信息化技术所融合的产物,其借助计算机网络来实现现代化管理。面对全世界的竞争和挑战,多国政府已将电子政务作为其发展战略。随着互联网的普及和电子信息技术的不断进步,电子政务凭借其便捷、快速、高效等优点,必然对传统的政务模式带来强有力的冲击。它的出现,改变传统运作模式,通过信息化来实现为社会公众提供更加全面、更加透明的政务管理和服务。利用互联网开展政府工作,能够提高工作效率,节省成本,减少资源消耗,扩大服务的范围。
近年来,互联网技术迅猛发展,互联网已成为政务工作中必不可少的信息基础设施的一部分。电子政务工作的开展依赖相应的信息系统,例如政府信息公开系统、网上全流程办事系统、协同办公系统等。然而,这些电子政务信息系统存放在开放的互联网中也面临着网络攻击、计算机木马病毒、用户信息泄露、身份假冒等风险和威胁。因此,电子政务系统稳定和安全是开展电子政务工作的基本保障。
二、电子政务工作目前存在的问题
1.认识不到位
政府工作顺利开展离不开正确领导,电子政务也不另外。目前部分政府领导干部对加快电子政务建设的重要性认识不到位,一定程度上也制约电子政务的发展。另外,缺乏對电子政务顶层设计,低水平重复投入建设现象普遍存在,不仅浪费财政经费,而且无法实现资源整合和共享,“信息孤岛”现象严重,严重影响电子政务建设的质量和水平。
2.缺乏专业人才
许多政府部门信息化专业技术人员缺乏,特别是偏远基层政府,工资待遇水平低,专业技术人才流动频率高,缺乏持续有效的专业技术培训,对系统的使用不规范,使用过程中问题较多。实际中的情况是政府部门往往选择比较懂电脑的人员兼职来处理日常的网络建设和技术维护,这样的做法在一定程度上阻碍电子政务建设的发展。
3.制度不健全
缺乏一个完整、统一的法律和制度框架,缺乏顶层规划设计,各地做法和建设标准不一,许多政府部门目前政务信息公开的工作量较大,运行机制较不完善,对信息的搜集和整理不够全面,这些都制约了政务信息化的发展。
4.安全体系建设有待加强
构建电子政务信息安全体系是电子政务工程中不可缺少的重要组成部分。电子政务系统在建设过程中缺乏严格按照国家的保密规定、安全要求和实施规范。由于经费或其他诸多原因对信息安全的投入不足,往往重建设轻维护,导致电子政务信息系统疏于更新维护,大大增加安全风险。
三、电子政务互联网系统的安全威胁
基于公网的电子政务系统相对于物理隔离的电子政务内网风险要大得多,政务内网系统风险主要是来自内部管理,而基于互联网的信息系统风险主要来自身份伪装、信息窃取、内容篡改、病毒侵袭等。
1.身份假冒、口令窃取威胁
互联网用户量巨大,网络安全最基本的要求是保障身份安全。而政务系统很难对合法或非法用户身份进行有效鉴别,存在被假冒身份欺骗的可能。一旦政务工作人员的身份被非法用户假冒,将会严重威胁到相关政务系统的安全,轻则无法保证发布信息的真实性,重则影响国家社会的安全和稳定。
2.信息窃取或篡改威胁
基于互联网的政务信息系统存在大量不宜公开的内部信息和公民企业的相关信息,如待办公文信息,企业和公众注册的一些私人信息。互联网作为高度开放的网络,内部数据通过互联网传输过程中极易被窃取和监听,如遇到别有用心者或互联网黑客,系统信息泄露的风险将大大增加。
3.系统面临恶意攻击的威胁
部署在互联网的政务系统遭受到恶意攻击的风险更大,特别是一些为为企业或是百姓服务的公众服务系统,极易受到恶意攻击。互联网带来便利,服务大众的同时,同样也带来了许多威胁和风险。如果不能保障平台稳定和安全,不仅不能给公众带来便捷快速的办事效率,反而会影响政府在公众心目中的形象。
4.病毒传播和扩散威胁
互联网拥有异常丰富的资源,能够为人们提供诸多的服务和便捷,但同时也时刻面临着网络病毒的危害。随着互联网的迅猛发展,病毒的更新和扩散速度也是愈加迅速,常常以指数级速度递增,这也对承载电子政务信息系统网络服务器的安全带来前所未有的挑战。
四、电子政务信息系统安全框架
我国国务院办公厅针对电子政务已提出了“三网一库”体系,“三网”指的是政府机关的办公业务网、政府部门间用于信息交换的办公业务资源网、依托互联网的政府公众信息网,而“一库”指的是政府信息资源数据库。
以安全为出发点,整个电子政务系统框架可以分为四个层次的安全控制域:第一层为核心决策层,是为领导决策和指挥而提供信息支持和技术服务最机密的一层,是集中处理和储存政府信息的域;第二层是政府内部用于处理办公事务的一层,前两层都是内网,仅限于内部交流;第三层是各部门实现信息交换和传输的专网,可将信息在不同的内网之间传输,一般有各类政府公文、涉密的数据和部门间的交换信息,信息通过内部权限管理进行传输,防止出现非法的入侵;第四层是公共服务层,是对外发布信息的外部网络,一般面向公众发布信息提供服务,包含各种公开信息和普通的社会服务。 五、互联网电子政务系统安全风险应对的基本原则
1.涉密信息不得上网
凡涉及国家或政府相关秘密的重要文件、图片、影像等资料均不可以在互联网上传输和处理,必须严格遵照国家保密规定做好安全保密工作。
2.综合防范,确保安全
基于互联网的电子政务系统要从管理、技术等各个方面来综合防范。根据应用系统的安全需求,要合理配置信息安全资源,如经费、设备、人员等方面,采取相应的措施,进行有效的管理,确保系统安全。
3.分域控制、分类防护
要针对不同的政务信息分别选择不同的防御措施和方法来确保安全,并采取分域控制的手段来进行互联网的访问,以实现政务信息交换与隔离的安全。
六、常用电子政务信息安全技术
1.防火墙技术
防火墙是由硬件与软件结合而成的设备、用于内外网之中、专网与公用网之间的一个保护屏障,是安全关网的形象说法,它可以保护内网不受非法用户的入侵。虽然防火墙可以一定程度上保障内网的安全,隔离内外网,但也存在缺陷,来自内部的威胁仍然不能防御,对病毒或其他攻击也难以屏蔽。
2.加密解密技术
加密解密技术即运用技术手法将重要数据以秘密形式进行传输,接收后再以一定手段还原解读。根据密钥不同,常用的有对称密钥加密技术和非对称密钥加密技术,对称密钥加密技术的加密解密密钥相同,密钥简短,算法简便,处理高效,适用于解密大文件;非对称密钥加密技术的加密解密密钥不同,它便于密钥的管理和分发,消除密钥窃取的安全隐患,保密性强,适用于解密少量数据。加密解密技术可一定程度上预防机密信息和数据的泄露和被窃。
3.入侵检测技术
通过网络监测硬件设备或软件对网络上的数据流进行实时检测,制定相应安全策略,与系统中预设的入侵特征数据库进行比对,如发现有对系统入侵的企图,立即进行防御措施,如调整防火墙的控制,切断网络连接等。该技术能够抵御内网的攻击,来补充防火墙技术的不足,但其更多的是发现攻击,而控制访问的功能稍显微弱,因此不能取代防火墙的作用。
4.安全扫描技术
安全扫描技术是重要的网络安全技术之一,通过穿透试验来检测不易被发现的系统漏洞,评估出系统的安全配置,从而做到提前防御,主动做好相应的危险控制。安全扫描技术能够帮助系统管理员及早的发现系统问题,主动防范可能出现的安全漏洞,提供很高的安全性。
5.防病毒技术
电子政务系统对防病毒技术和防病毒产品的要求较高。由于病毒的破坏力大,后果严重,传播迅速,控制困难,所以需要借助这类技术来防止病毒的传染和破坏。防病毒技術可以检查病毒,阻止病毒传播甚至清除病毒,是至关重要的一项技术。
6.数字签名技术
数字签名技术可辨认数据签署人的身份,是存于数据信息中或者以附件形式存在的数据。数字签名只有发信人可以产生,是无法进行伪造的数字串。能够代替签名或印章,并具有同等的法律效力。该技术是结合非对称密钥加密技术与数字摘要技术的一种应用技术,能够实现信息的完整传输、有效辨别发信人的身份、防止出现抵赖交易等行为。
结束语
随着互联网的普及,开展电子政务已是大趋所势。通过政务信息化建设可以更加及时和准确发布政府信息,为广大公众提供更优质和便捷的服务。电子政务信息体系安全建设是一个系统工程,需要安全技术和制度管理等诸多因素配合,才能形成一个强大的安全网络系统。所以我们要不断对网络安全技术进行研究,探索政务信息化管理,不断提升自身的信息安全观念,共同来推动我国电子电子政务信息安全工作,以实现我国经济的又快又好的发展。
参考文献
[1] 朱方洲,李旭军.电子政务安全保障体系的研究[J].电脑学习,2006(6).
[2] 侯安才.电子政务安全中的三网隔离技术及应用[J].网络安全技术与应用,2006(6).
[3] 李青.电子政务安全策略研究[J].中国人民公安大学学报,2005(4).
[4] GB/T 19715.信息技术第2部分:管理和规划信息技术安全,信息技术安全管理指南,2005.
[5] GB/T 20274.信息安全技术.信息系统安全保障评估框架,2006.
[6] 徐燕.电子政务安全及其技术[J].贵州教育学院学报,2004(8).
作者简介
陈海荣(1986-),男,福建连城人,就职于上杭县数字上杭建设办公室,在读硕士,主要从事政府网站管理及绩效考评等工作。
[关键词]电子政务 信息系统 信息安全
中图分类号:TM73 文献标识码:A 文章编号:1009-914X(2015)36-0323-02
一、电子政务概述
电子政务是政府管理理念和信息化技术所融合的产物,其借助计算机网络来实现现代化管理。面对全世界的竞争和挑战,多国政府已将电子政务作为其发展战略。随着互联网的普及和电子信息技术的不断进步,电子政务凭借其便捷、快速、高效等优点,必然对传统的政务模式带来强有力的冲击。它的出现,改变传统运作模式,通过信息化来实现为社会公众提供更加全面、更加透明的政务管理和服务。利用互联网开展政府工作,能够提高工作效率,节省成本,减少资源消耗,扩大服务的范围。
近年来,互联网技术迅猛发展,互联网已成为政务工作中必不可少的信息基础设施的一部分。电子政务工作的开展依赖相应的信息系统,例如政府信息公开系统、网上全流程办事系统、协同办公系统等。然而,这些电子政务信息系统存放在开放的互联网中也面临着网络攻击、计算机木马病毒、用户信息泄露、身份假冒等风险和威胁。因此,电子政务系统稳定和安全是开展电子政务工作的基本保障。
二、电子政务工作目前存在的问题
1.认识不到位
政府工作顺利开展离不开正确领导,电子政务也不另外。目前部分政府领导干部对加快电子政务建设的重要性认识不到位,一定程度上也制约电子政务的发展。另外,缺乏對电子政务顶层设计,低水平重复投入建设现象普遍存在,不仅浪费财政经费,而且无法实现资源整合和共享,“信息孤岛”现象严重,严重影响电子政务建设的质量和水平。
2.缺乏专业人才
许多政府部门信息化专业技术人员缺乏,特别是偏远基层政府,工资待遇水平低,专业技术人才流动频率高,缺乏持续有效的专业技术培训,对系统的使用不规范,使用过程中问题较多。实际中的情况是政府部门往往选择比较懂电脑的人员兼职来处理日常的网络建设和技术维护,这样的做法在一定程度上阻碍电子政务建设的发展。
3.制度不健全
缺乏一个完整、统一的法律和制度框架,缺乏顶层规划设计,各地做法和建设标准不一,许多政府部门目前政务信息公开的工作量较大,运行机制较不完善,对信息的搜集和整理不够全面,这些都制约了政务信息化的发展。
4.安全体系建设有待加强
构建电子政务信息安全体系是电子政务工程中不可缺少的重要组成部分。电子政务系统在建设过程中缺乏严格按照国家的保密规定、安全要求和实施规范。由于经费或其他诸多原因对信息安全的投入不足,往往重建设轻维护,导致电子政务信息系统疏于更新维护,大大增加安全风险。
三、电子政务互联网系统的安全威胁
基于公网的电子政务系统相对于物理隔离的电子政务内网风险要大得多,政务内网系统风险主要是来自内部管理,而基于互联网的信息系统风险主要来自身份伪装、信息窃取、内容篡改、病毒侵袭等。
1.身份假冒、口令窃取威胁
互联网用户量巨大,网络安全最基本的要求是保障身份安全。而政务系统很难对合法或非法用户身份进行有效鉴别,存在被假冒身份欺骗的可能。一旦政务工作人员的身份被非法用户假冒,将会严重威胁到相关政务系统的安全,轻则无法保证发布信息的真实性,重则影响国家社会的安全和稳定。
2.信息窃取或篡改威胁
基于互联网的政务信息系统存在大量不宜公开的内部信息和公民企业的相关信息,如待办公文信息,企业和公众注册的一些私人信息。互联网作为高度开放的网络,内部数据通过互联网传输过程中极易被窃取和监听,如遇到别有用心者或互联网黑客,系统信息泄露的风险将大大增加。
3.系统面临恶意攻击的威胁
部署在互联网的政务系统遭受到恶意攻击的风险更大,特别是一些为为企业或是百姓服务的公众服务系统,极易受到恶意攻击。互联网带来便利,服务大众的同时,同样也带来了许多威胁和风险。如果不能保障平台稳定和安全,不仅不能给公众带来便捷快速的办事效率,反而会影响政府在公众心目中的形象。
4.病毒传播和扩散威胁
互联网拥有异常丰富的资源,能够为人们提供诸多的服务和便捷,但同时也时刻面临着网络病毒的危害。随着互联网的迅猛发展,病毒的更新和扩散速度也是愈加迅速,常常以指数级速度递增,这也对承载电子政务信息系统网络服务器的安全带来前所未有的挑战。
四、电子政务信息系统安全框架
我国国务院办公厅针对电子政务已提出了“三网一库”体系,“三网”指的是政府机关的办公业务网、政府部门间用于信息交换的办公业务资源网、依托互联网的政府公众信息网,而“一库”指的是政府信息资源数据库。
以安全为出发点,整个电子政务系统框架可以分为四个层次的安全控制域:第一层为核心决策层,是为领导决策和指挥而提供信息支持和技术服务最机密的一层,是集中处理和储存政府信息的域;第二层是政府内部用于处理办公事务的一层,前两层都是内网,仅限于内部交流;第三层是各部门实现信息交换和传输的专网,可将信息在不同的内网之间传输,一般有各类政府公文、涉密的数据和部门间的交换信息,信息通过内部权限管理进行传输,防止出现非法的入侵;第四层是公共服务层,是对外发布信息的外部网络,一般面向公众发布信息提供服务,包含各种公开信息和普通的社会服务。 五、互联网电子政务系统安全风险应对的基本原则
1.涉密信息不得上网
凡涉及国家或政府相关秘密的重要文件、图片、影像等资料均不可以在互联网上传输和处理,必须严格遵照国家保密规定做好安全保密工作。
2.综合防范,确保安全
基于互联网的电子政务系统要从管理、技术等各个方面来综合防范。根据应用系统的安全需求,要合理配置信息安全资源,如经费、设备、人员等方面,采取相应的措施,进行有效的管理,确保系统安全。
3.分域控制、分类防护
要针对不同的政务信息分别选择不同的防御措施和方法来确保安全,并采取分域控制的手段来进行互联网的访问,以实现政务信息交换与隔离的安全。
六、常用电子政务信息安全技术
1.防火墙技术
防火墙是由硬件与软件结合而成的设备、用于内外网之中、专网与公用网之间的一个保护屏障,是安全关网的形象说法,它可以保护内网不受非法用户的入侵。虽然防火墙可以一定程度上保障内网的安全,隔离内外网,但也存在缺陷,来自内部的威胁仍然不能防御,对病毒或其他攻击也难以屏蔽。
2.加密解密技术
加密解密技术即运用技术手法将重要数据以秘密形式进行传输,接收后再以一定手段还原解读。根据密钥不同,常用的有对称密钥加密技术和非对称密钥加密技术,对称密钥加密技术的加密解密密钥相同,密钥简短,算法简便,处理高效,适用于解密大文件;非对称密钥加密技术的加密解密密钥不同,它便于密钥的管理和分发,消除密钥窃取的安全隐患,保密性强,适用于解密少量数据。加密解密技术可一定程度上预防机密信息和数据的泄露和被窃。
3.入侵检测技术
通过网络监测硬件设备或软件对网络上的数据流进行实时检测,制定相应安全策略,与系统中预设的入侵特征数据库进行比对,如发现有对系统入侵的企图,立即进行防御措施,如调整防火墙的控制,切断网络连接等。该技术能够抵御内网的攻击,来补充防火墙技术的不足,但其更多的是发现攻击,而控制访问的功能稍显微弱,因此不能取代防火墙的作用。
4.安全扫描技术
安全扫描技术是重要的网络安全技术之一,通过穿透试验来检测不易被发现的系统漏洞,评估出系统的安全配置,从而做到提前防御,主动做好相应的危险控制。安全扫描技术能够帮助系统管理员及早的发现系统问题,主动防范可能出现的安全漏洞,提供很高的安全性。
5.防病毒技术
电子政务系统对防病毒技术和防病毒产品的要求较高。由于病毒的破坏力大,后果严重,传播迅速,控制困难,所以需要借助这类技术来防止病毒的传染和破坏。防病毒技術可以检查病毒,阻止病毒传播甚至清除病毒,是至关重要的一项技术。
6.数字签名技术
数字签名技术可辨认数据签署人的身份,是存于数据信息中或者以附件形式存在的数据。数字签名只有发信人可以产生,是无法进行伪造的数字串。能够代替签名或印章,并具有同等的法律效力。该技术是结合非对称密钥加密技术与数字摘要技术的一种应用技术,能够实现信息的完整传输、有效辨别发信人的身份、防止出现抵赖交易等行为。
结束语
随着互联网的普及,开展电子政务已是大趋所势。通过政务信息化建设可以更加及时和准确发布政府信息,为广大公众提供更优质和便捷的服务。电子政务信息体系安全建设是一个系统工程,需要安全技术和制度管理等诸多因素配合,才能形成一个强大的安全网络系统。所以我们要不断对网络安全技术进行研究,探索政务信息化管理,不断提升自身的信息安全观念,共同来推动我国电子电子政务信息安全工作,以实现我国经济的又快又好的发展。
参考文献
[1] 朱方洲,李旭军.电子政务安全保障体系的研究[J].电脑学习,2006(6).
[2] 侯安才.电子政务安全中的三网隔离技术及应用[J].网络安全技术与应用,2006(6).
[3] 李青.电子政务安全策略研究[J].中国人民公安大学学报,2005(4).
[4] GB/T 19715.信息技术第2部分:管理和规划信息技术安全,信息技术安全管理指南,2005.
[5] GB/T 20274.信息安全技术.信息系统安全保障评估框架,2006.
[6] 徐燕.电子政务安全及其技术[J].贵州教育学院学报,2004(8).
作者简介
陈海荣(1986-),男,福建连城人,就职于上杭县数字上杭建设办公室,在读硕士,主要从事政府网站管理及绩效考评等工作。