论文部分内容阅读
摘要:随着教育信息化的发展,高校纷纷建设电子政务系统以提升管理的绩效,然而也产生了负面影响,而要规避网络风险和解决网上危机保障高校电子政务系统的安全是关键的因素。针对高校电子政务的安全需求,分析了高校电子政务系统的结构,分析了高校电子政务系统的安全威胁及提出相应的解决对策。
关键词:电子政务安全;教育信息化;高校
中图分类号:S7 文献标识码:A
互联网一开始就是一个以自律为主、管理为辅的领域,传统的管理方式已不再适用,这使得高校的行为自律成为关键。但依靠自律来进行的管理毕竟缺少可靠性,而目前单纯依靠技术又无法实现管理自律,法律和规章制度建设的滞后性又是不争之事实,所以,惟有依靠高校自身加强网上办公流程的安全度、制定电子政务系统的安全技术规范和各种行为规则来加以约束。
一、高校电子政务的安全需求
高校电子政务是指高校运用计算机和网络技术,实现其学校事务管理和服务职能的数字化和网络化,重组优化高校组织结构和工作流程,为学生、教师和职员提供高效优质、规范透明和全方位的管理与服务。而高校电子政务系统的安全保密管理是一个综合性的安全防御管理体系, 从系统设计、设备配置、软件程序、系统运行环境、人员的专业素质和职业道德、工作组织和岗位设置、规章制度、法律到社会环境等各个方面,采取规划控制等一系列技术、管理手段及措施,防止对电子政务系统有意和无意的、人为的和非人为的任何形式的破坏、非法使用和信息泄漏,以及保证当系统遭到破坏后迅速恢复正常运行的手段等。
高校电子政务系统的运行降低了学校运作成本,提高了行政效率,使信息实现了跨区域快速而自由的流动,但经由政务网络传输的机构间敏感的涉密数据信息吸引了更多的来自互联网的计算机病毒入侵和非授权访问攻击,从而给高校政务系统带来严重的安全威胁。 正因为电子政务涉及对秘密信息和高敏感度的核心政务的保护、涉及到高校公共秩序和行政监管的准确实施、涉及到为在校师生及相关人员提供公共服务的质量保证,因此电子政务系统容易成为不法之徒的攻击目标,加之互联网的开放性,使通过互联网运行的高校电子政务机制面临着严峻的挑战。
二、高校电子政务的结构分析
一个比较完整的高校电子政务系统框架包括8个主要的部分: ①系统网络、服务器、存储平台:该平台提供了电子政务系统运行的硬件环境;②系统软件平台:包括操作系统、数据库、目录服务等必不可少的系统软件;③中间件平台:中间件平台位于应用和系统软件之间,为多层构架的电子政务应用系统提供支持;④电子政务应用组件平台:当前技术条件下的电子政务系统是基于多层构架和组件技术构建的;⑤电子政务应用系统:在电子政务应用组件平台之上提供各种电子政务应用;⑥电子政务数据和信息:提供大量的共享信息和数据;⑦电子政务安全解决方案:解决电子政务安全问题的方案;⑧电子政务标准和规范:建设电子政务系统应遵循的规范。
三、高校电子政务中的安全威胁
基于对高校电子政务系统的构成及其安全服务的分析,笔者从三个方面分析了高校电子政务系统的安全威胁,主要包含以下几个方面:
1.安全技术缺陷
网络技术本身的缺陷主要表现为三个方面:一是操作系统本身的缺陷带来了不安全因素,如身份认证、访问控制、系统漏洞等软件本身缺乏安全性;二是黑客入侵和犯罪。网络的开放性使许多黑客和间谍可能通过黑客工具或假冒他人合法身份,利用网络的缺陷进行各种入侵和犯罪活动;三是病毒蔓延和泛滥。因为许多系统程序和应用程序存在相当多的漏洞,病毒可能导致电子政务系统崩溃和破坏,影响高校业务系统的正常运行。
2.业务管理系统的安全隐患
业务管理系统主要是指基于数据库系统运行的信息管理系统,如办公自动化系统、公文处理系统、政务信息管理系统等等。这些系统在设计之初并没有考虑严格意义上的数据安全,这给系统本身留下一个比较重大的安全隐患。主要表现为:
(1)易于冒充篡改
由于审核签名信息仅仅是一个记录姓名的文本型字段,信息的审核与数据缺乏必要的关联,对数据的任何修改都不影响信息的验证,因此极易被恶意冒充,只需在字段中填上被冒充者的关键字段即可。原复核人和审核人很难通过技术手段识别这种篡改,即无法准确判断出哪些数据被篡改过。这就造成了最为严重的问题。
(2)难以及时协同
由于目前没有完善的联合审核签名机制,缺乏一种基于网络的实时写作机制,一个签名者无法通过网络直接通知下一个签名者,以致审核签名者并不是总能及时地进行签名,漏签的现象时有发生,从而影响了工作进度。
3.系统管理人员严重缺乏
我国高校信息安全学科建设与建成信息安全保障体系对人才的需求还存在很大的差距, 高校作为向社会输送人才的基地,但却缺少懂电子政务的人才,电子政务技术型人才既掌握计算机与信息技术又具备足够的现代政务管理知识,理解政务管理的需求,能够用最有效的技术手段来实施电子政务管理。目前我国的高校分文科和理科,综合性学科涉及到信息安全的比较少,虽然各个高校设有信息安全专业,但由于本科教学的学时和课程设置,使本科毕业的学生从事信息安全工作还难以实现。
四、高校电子政务安全的解决对策
1.利用多种技术加强合作
高校电子政务系统安全从技术角度来说,主要涉及到网络通信系统的保密与安全、操作系统与数据库平台的安全、应用软件系统的安全、物理硬件安全等四个方面。当前,高校网络安全防卫系统安全技术应主要在以下方面加以改进:严格采用数据传输、数据存储、数据完整性的鉴别以及密钥管理四种数据加密技术。首先,对传输中的数据流加密,常用的方法有线路加密和端—端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,被将自动重组、解密,成为可读数据。其次,数据存储加密,可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现;后者则是对用户资格、权限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。再次,数据完整性鉴别,是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证,达到保密的要求。最后,密钥管理,为了数据使用的方便,数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。
2.制定完整的运行管理体系和安全保密制度
安全管理必须靠一套完整有效的贯彻、执行、监督体系和一系列的规章制度去规范。除国家网络安全法律法规外,各高校应结合自身业务的需求,建章立制以实施规范管理。政务系统的运作管理,绝大部分高校是依附于校(院)长办公室的部门或者是独立的部门——网络(信息)中心负责,网管部门尤如管家,网络维护、安全监测面面俱到。现实的问题是网管部门工作忙起来或经费紧缺时,容易被忽视的是网络的安全问题。加强对网络部门的网络安全监督,也是十分重要的。此外,高校应针对各个业务系统的需求制订具体的、有一定安全等级的部门信息系统的安全标准,以节省各个部门在安全问题上耗费的人力和财政资源。
3.加强对系统管理人员及使用人员的技术培训力度
高校电子政务是信息技术与高校管理的结合,完全依赖计算机及其网络技术的新型工作方式,电子政务人才需要掌握电子信息技术和现代政务管理两部分的知识,因此,除对系统管理人员及使用人员作计算机技术及使用操作培训外,还要重点培训系统使用方面的安全操作知识(包括登网、退网等)及口令保密意识;对系统管理员,还要作更深入的技术培训,除系统的运行维护外,还主要包括对非法入侵的识别能力及防范能力等,从而使其充分了解和理解政务管理的需求,善于提出满足政务管理需求的电子政务应用方式。
作者单位: 东北林业大学 经济管理学院
参考文献:
[1]ANASH, BDUAN, DBRINK,etal. PKI:Implementing &ManagingE-security[J].MeGraw-Hill Osborn Media,NewYork,200l,(15):120-122.
[2]MATTHEW STIBBE.E-government SecurityInfo Security Today[J].Volume 2,Issue 3,May-June,2005,(8):10.
关键词:电子政务安全;教育信息化;高校
中图分类号:S7 文献标识码:A
互联网一开始就是一个以自律为主、管理为辅的领域,传统的管理方式已不再适用,这使得高校的行为自律成为关键。但依靠自律来进行的管理毕竟缺少可靠性,而目前单纯依靠技术又无法实现管理自律,法律和规章制度建设的滞后性又是不争之事实,所以,惟有依靠高校自身加强网上办公流程的安全度、制定电子政务系统的安全技术规范和各种行为规则来加以约束。
一、高校电子政务的安全需求
高校电子政务是指高校运用计算机和网络技术,实现其学校事务管理和服务职能的数字化和网络化,重组优化高校组织结构和工作流程,为学生、教师和职员提供高效优质、规范透明和全方位的管理与服务。而高校电子政务系统的安全保密管理是一个综合性的安全防御管理体系, 从系统设计、设备配置、软件程序、系统运行环境、人员的专业素质和职业道德、工作组织和岗位设置、规章制度、法律到社会环境等各个方面,采取规划控制等一系列技术、管理手段及措施,防止对电子政务系统有意和无意的、人为的和非人为的任何形式的破坏、非法使用和信息泄漏,以及保证当系统遭到破坏后迅速恢复正常运行的手段等。
高校电子政务系统的运行降低了学校运作成本,提高了行政效率,使信息实现了跨区域快速而自由的流动,但经由政务网络传输的机构间敏感的涉密数据信息吸引了更多的来自互联网的计算机病毒入侵和非授权访问攻击,从而给高校政务系统带来严重的安全威胁。 正因为电子政务涉及对秘密信息和高敏感度的核心政务的保护、涉及到高校公共秩序和行政监管的准确实施、涉及到为在校师生及相关人员提供公共服务的质量保证,因此电子政务系统容易成为不法之徒的攻击目标,加之互联网的开放性,使通过互联网运行的高校电子政务机制面临着严峻的挑战。
二、高校电子政务的结构分析
一个比较完整的高校电子政务系统框架包括8个主要的部分: ①系统网络、服务器、存储平台:该平台提供了电子政务系统运行的硬件环境;②系统软件平台:包括操作系统、数据库、目录服务等必不可少的系统软件;③中间件平台:中间件平台位于应用和系统软件之间,为多层构架的电子政务应用系统提供支持;④电子政务应用组件平台:当前技术条件下的电子政务系统是基于多层构架和组件技术构建的;⑤电子政务应用系统:在电子政务应用组件平台之上提供各种电子政务应用;⑥电子政务数据和信息:提供大量的共享信息和数据;⑦电子政务安全解决方案:解决电子政务安全问题的方案;⑧电子政务标准和规范:建设电子政务系统应遵循的规范。
三、高校电子政务中的安全威胁
基于对高校电子政务系统的构成及其安全服务的分析,笔者从三个方面分析了高校电子政务系统的安全威胁,主要包含以下几个方面:
1.安全技术缺陷
网络技术本身的缺陷主要表现为三个方面:一是操作系统本身的缺陷带来了不安全因素,如身份认证、访问控制、系统漏洞等软件本身缺乏安全性;二是黑客入侵和犯罪。网络的开放性使许多黑客和间谍可能通过黑客工具或假冒他人合法身份,利用网络的缺陷进行各种入侵和犯罪活动;三是病毒蔓延和泛滥。因为许多系统程序和应用程序存在相当多的漏洞,病毒可能导致电子政务系统崩溃和破坏,影响高校业务系统的正常运行。
2.业务管理系统的安全隐患
业务管理系统主要是指基于数据库系统运行的信息管理系统,如办公自动化系统、公文处理系统、政务信息管理系统等等。这些系统在设计之初并没有考虑严格意义上的数据安全,这给系统本身留下一个比较重大的安全隐患。主要表现为:
(1)易于冒充篡改
由于审核签名信息仅仅是一个记录姓名的文本型字段,信息的审核与数据缺乏必要的关联,对数据的任何修改都不影响信息的验证,因此极易被恶意冒充,只需在字段中填上被冒充者的关键字段即可。原复核人和审核人很难通过技术手段识别这种篡改,即无法准确判断出哪些数据被篡改过。这就造成了最为严重的问题。
(2)难以及时协同
由于目前没有完善的联合审核签名机制,缺乏一种基于网络的实时写作机制,一个签名者无法通过网络直接通知下一个签名者,以致审核签名者并不是总能及时地进行签名,漏签的现象时有发生,从而影响了工作进度。
3.系统管理人员严重缺乏
我国高校信息安全学科建设与建成信息安全保障体系对人才的需求还存在很大的差距, 高校作为向社会输送人才的基地,但却缺少懂电子政务的人才,电子政务技术型人才既掌握计算机与信息技术又具备足够的现代政务管理知识,理解政务管理的需求,能够用最有效的技术手段来实施电子政务管理。目前我国的高校分文科和理科,综合性学科涉及到信息安全的比较少,虽然各个高校设有信息安全专业,但由于本科教学的学时和课程设置,使本科毕业的学生从事信息安全工作还难以实现。
四、高校电子政务安全的解决对策
1.利用多种技术加强合作
高校电子政务系统安全从技术角度来说,主要涉及到网络通信系统的保密与安全、操作系统与数据库平台的安全、应用软件系统的安全、物理硬件安全等四个方面。当前,高校网络安全防卫系统安全技术应主要在以下方面加以改进:严格采用数据传输、数据存储、数据完整性的鉴别以及密钥管理四种数据加密技术。首先,对传输中的数据流加密,常用的方法有线路加密和端—端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,被将自动重组、解密,成为可读数据。其次,数据存储加密,可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现;后者则是对用户资格、权限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。再次,数据完整性鉴别,是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证,达到保密的要求。最后,密钥管理,为了数据使用的方便,数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。
2.制定完整的运行管理体系和安全保密制度
安全管理必须靠一套完整有效的贯彻、执行、监督体系和一系列的规章制度去规范。除国家网络安全法律法规外,各高校应结合自身业务的需求,建章立制以实施规范管理。政务系统的运作管理,绝大部分高校是依附于校(院)长办公室的部门或者是独立的部门——网络(信息)中心负责,网管部门尤如管家,网络维护、安全监测面面俱到。现实的问题是网管部门工作忙起来或经费紧缺时,容易被忽视的是网络的安全问题。加强对网络部门的网络安全监督,也是十分重要的。此外,高校应针对各个业务系统的需求制订具体的、有一定安全等级的部门信息系统的安全标准,以节省各个部门在安全问题上耗费的人力和财政资源。
3.加强对系统管理人员及使用人员的技术培训力度
高校电子政务是信息技术与高校管理的结合,完全依赖计算机及其网络技术的新型工作方式,电子政务人才需要掌握电子信息技术和现代政务管理两部分的知识,因此,除对系统管理人员及使用人员作计算机技术及使用操作培训外,还要重点培训系统使用方面的安全操作知识(包括登网、退网等)及口令保密意识;对系统管理员,还要作更深入的技术培训,除系统的运行维护外,还主要包括对非法入侵的识别能力及防范能力等,从而使其充分了解和理解政务管理的需求,善于提出满足政务管理需求的电子政务应用方式。
作者单位: 东北林业大学 经济管理学院
参考文献:
[1]ANASH, BDUAN, DBRINK,etal. PKI:Implementing &ManagingE-security[J].MeGraw-Hill Osborn Media,NewYork,200l,(15):120-122.
[2]MATTHEW STIBBE.E-government SecurityInfo Security Today[J].Volume 2,Issue 3,May-June,2005,(8):10.