電子政務(wù)中信息資源安全保障體系研究 - 電子政務(wù)論文

電子政務(wù)中信息資源安全保障體系研究-電子政務(wù)論文摘要：電子政務(wù)系統(tǒng)的廣泛應(yīng)用，給政府管理帶來極大方便的同時(shí)，也帶來了許多平安方面的問題。通過分析當(dāng)前我國電子政務(wù)信息面臨的平安威脅，從技術(shù)防護(hù)、組織管理、法規(guī)規(guī)范、應(yīng)急處理4個(gè)方面給出了構(gòu)建電子政務(wù)系統(tǒng)平安的技術(shù)框架。關(guān)鍵詞：電子政務(wù)；信息平安；政務(wù)信息資源中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)22-5503-02

ResearchonSecurityAssuranceoftheE-governmentSystem

SHANGLei

(ShandongUniversityofPoliticalScienceandLaw,Jinan250013,China)

Abstract:Withthedevelopmentofcomputertechnologyandnetworktechnology,E-governmentwaswidelyused.Italsocausedmanysecurityproblems.Thispaperdescribedthepointofcurrentinformationsecuritysystembasedontheanalysisofsomesecuritythreat，andproposedaframeofsecurityine-governmentconstruction.

Keywords:E-government;informationsecurity;E-governmentinformationresources

信息平安問題已經(jīng)成為當(dāng)前信息產(chǎn)業(yè)開展的焦點(diǎn)所在，網(wǎng)絡(luò)環(huán)境下的資源共享使得信息的平安問題受到越來越多的人們的關(guān)注，在電子政務(wù)的實(shí)施中波及眾多重要的政府信息，甚至國家平安信息，這些信息承載著各級政府管理部門的信息傳遞與流程管理，比任何商務(wù)信息或個(gè)人信息更為敏感，因此信息平安問題成為電子政務(wù)建設(shè)中至關(guān)重要的核心議題。

現(xiàn)階段，我國電子政務(wù)信息平安系數(shù)比擬低，形勢非常嚴(yán)峻。從有關(guān)主管部門頒布的調(diào)查結(jié)果顯示，我國信息網(wǎng)絡(luò)平安事件發(fā)生比例逐年呈現(xiàn)回升趨勢，2008年5月，我國大陸地區(qū)約有2.4萬個(gè)IP地址對應(yīng)的主機(jī)被木馬程序控制，2.8萬個(gè)IP地址對應(yīng)的主機(jī)被僵尸程序控制，9.7萬個(gè)主機(jī)感染歹意代碼。其中波及電子政務(wù)的平安問題尤其不容無視，被篡改政府網(wǎng)站數(shù)量占到被篡改網(wǎng)站總數(shù)的17.39%，有近80%的政務(wù)網(wǎng)絡(luò)曾經(jīng)或者正在被“木馬〞入侵?！?】

1政務(wù)信息資源面臨的平安威脅

總體上來說，政務(wù)信息所面臨的平安威脅分為兩種：一是對網(wǎng)絡(luò)中信息的威脅；二是對網(wǎng)絡(luò)中設(shè)備的威脅。而對網(wǎng)絡(luò)中信息的平安威脅那么是我們防備的重點(diǎn)。歸結(jié)起來，針對網(wǎng)絡(luò)信息平安的威脅主要來自幾個(gè)方面：

1〕電磁泄露、地震、洪水、雷擊、火災(zāi)等環(huán)境事故造成的威脅；

2〕操作人員的無意差錯(cuò)；

3〕人為的歹意攻擊；

政務(wù)網(wǎng)絡(luò)的開放性要求，給黑客攻擊帶來了便利，這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，黑客的攻擊和計(jì)算機(jī)犯罪就屬于這一類，可對計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。主要分為兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。

4〕網(wǎng)絡(luò)本身的軟件的漏洞、“陷門〞或硬件故障。

政務(wù)系統(tǒng)本身存在一些漏洞或缺陷，軟件平安性不高，為攻擊者利用，如操作系統(tǒng)漏洞、數(shù)據(jù)庫管理系統(tǒng)漏洞、通信協(xié)議本身的平安漏洞等。任何的軟件都無法保證絕對的無缺陷和無漏洞，而這恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。據(jù)卡耐基梅隆大學(xué)的估計(jì)，每1000行代碼中一般有5到15個(gè)BUG【2】，這種漏洞顯然會影響政務(wù)信息的平安和保密。此外，硬件系統(tǒng)的平安缺陷也是網(wǎng)絡(luò)信息系統(tǒng)面臨的重大威脅之一。

2電子政務(wù)系統(tǒng)信息平安實(shí)施策略

要想擁有一個(gè)完善的電子政務(wù)信息平安管理系統(tǒng)，必須自始至終貫徹一套嚴(yán)格的管理標(biāo)準(zhǔn)。由于網(wǎng)絡(luò)信息平安的防護(hù)波及技術(shù)、管理、配套法規(guī)以及應(yīng)急處理四個(gè)方面，因此，電子政務(wù)信息平安管理系統(tǒng)從總體上可分為四大模塊，即技術(shù)防護(hù)、組織管理、法規(guī)規(guī)范和應(yīng)急處理，它們以信息網(wǎng)絡(luò)的總體平安策略為核心，共同愛護(hù)電子政務(wù)信息平安運(yùn)行。

2.1電子政務(wù)信息平安的技術(shù)防護(hù)

電子政務(wù)信息平安的防護(hù)技術(shù)可以分為物理平安機(jī)制和邏輯平安機(jī)制兩個(gè)方面，前者指為了愛護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊，確保電子政務(wù)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境等而設(shè)置的平安策略，包括了環(huán)境平安、設(shè)備平安和介質(zhì)平安三個(gè)方面。后者指網(wǎng)絡(luò)信息平安的技術(shù)保障，如我們熟悉的訪問控制技術(shù)、平安檢測技術(shù)、防火墻技術(shù)、防病毒技術(shù)等。下面介紹一種近年來應(yīng)用于電子政務(wù)系統(tǒng)主動平安技術(shù)入侵檢測。

入侵檢測作為

防火墻之后的第二道閘口正日益成為保障電子政務(wù)網(wǎng)絡(luò)系統(tǒng)平安的一種重要伎倆。人侵偵測系統(tǒng)(IntrusionDetectionSystem,IDS)【3】對計(jì)算機(jī)網(wǎng)絡(luò)及基于網(wǎng)絡(luò)的系統(tǒng)進(jìn)行監(jiān)視，依據(jù)監(jiān)視結(jié)果針對不同的入侵行為采用不同的平安策略，以期最大程度地降低入侵帶來的危害，是一種主動檢測系統(tǒng)是否受到攻擊的網(wǎng)絡(luò)平安技術(shù)。入侵檢測系統(tǒng)的主要功能包括：監(jiān)視、分析用戶及系統(tǒng)活動；辨認(rèn)、反映已知進(jìn)攻的活動模式；統(tǒng)計(jì)分析異常行為模式；審計(jì)、跟蹤管理操作系統(tǒng)，辨認(rèn)用戶違反平安策略的行為等。目前針對電子政務(wù)系統(tǒng)平安應(yīng)用的入侵檢測系統(tǒng)計(jì)劃有基于政務(wù)信息資源數(shù)據(jù)挖掘的入侵檢測技術(shù)、基于電子系統(tǒng)協(xié)同工作的多主體入侵檢測技術(shù)。

2.2電子政務(wù)信息平安的組織管理機(jī)制

隨著電子政務(wù)信息系統(tǒng)的應(yīng)用日益廣泛，各單位組織對信息系統(tǒng)的依賴性不斷增強(qiáng)，日常行政辦公等各類業(yè)務(wù)信息開始全面依賴信息系統(tǒng)進(jìn)行處理，這些對信息平安提出了更高的要求，迫切需要系統(tǒng)化地構(gòu)建涉密信息系統(tǒng)平安管理制度。

電子政務(wù)的信息平安保障不僅在于硬件設(shè)備，更需要工作人員平安意識的提高和機(jī)構(gòu)安

全機(jī)制完善，這是整個(gè)系統(tǒng)平安的關(guān)鍵?！?】僅僅通過技術(shù)伎倆實(shí)現(xiàn)的平安能力是有限的，有效的平安組織管理體系才能確保平安技術(shù)和產(chǎn)品發(fā)揮作用。目前我國電子政務(wù)信息資源平安組織管理體系已經(jīng)根本形成，包括了國家平安部、國家保密局、國家密碼管理委員會、信息產(chǎn)業(yè)部等，分別執(zhí)行各自平安管理職能；各地區(qū)和部委也建立了相應(yīng)平安管理機(jī)構(gòu)。在具體的工作中還需要注意下列問題：1〕從思想上提高員工尤其是組織領(lǐng)導(dǎo)者的平安意識，加強(qiáng)平安工作培訓(xùn)。2〕建立嚴(yán)格制度的文檔歷史檔案。3〕加強(qiáng)網(wǎng)絡(luò)監(jiān)控、檢測伎倆和口令管理。4〕建立完善的網(wǎng)絡(luò)系統(tǒng)備份和恢復(fù)功能。

2.3電子政務(wù)信息平安應(yīng)急處理機(jī)制

再健全的平安體系也無法保障系統(tǒng)的絕對平安，任何一個(gè)系統(tǒng)都不可防止的會遭受攻擊，為了更好的應(yīng)對緊急情況，建立科學(xué)有效的應(yīng)急處理機(jī)制是非常必要的，因此需要有專業(yè)的組織機(jī)構(gòu)進(jìn)行專業(yè)的平安防護(hù)，并同時(shí)展開平安保障研究工作。建立積極有效的電子政務(wù)信息平安防護(hù)策略和防護(hù)機(jī)制，包括了建立風(fēng)險(xiǎn)評估機(jī)制、建立防護(hù)演練機(jī)制以及建立人才培養(yǎng)機(jī)制，同時(shí)還需要建立一套迅速有力的響應(yīng)機(jī)制，保證在任何時(shí)候政務(wù)信息平臺都能高效正常運(yùn)行。

2.4電子政務(wù)信息平安政策法規(guī)規(guī)范體系

法律是保障電子政務(wù)信息平安的最有力伎倆，興旺國家在政府信息平安立法方面積累了成功經(jīng)驗(yàn)，早在1992年，世界經(jīng)濟(jì)合作與開展組織發(fā)表了?信息系統(tǒng)平安指南》,旨在幫忙成員和非成員的政府、企業(yè)組織增強(qiáng)信息系統(tǒng)的風(fēng)險(xiǎn)意識，提供一般性的平安知識框架。針對各國的電子政務(wù)信息平安問題，各國也有自己的法律體系，如美國的?陽光下的政府法》、和?信息公開法》、英國的?官方信息愛護(hù)法》、俄羅斯的?聯(lián)邦信息、信息化和信息愛護(hù)法》等。

我國的司法部門在吸取和借鑒國外網(wǎng)絡(luò)信息平安立法經(jīng)驗(yàn)的根底上，也在應(yīng)加快我國的立法進(jìn)程，制定和公布個(gè)人隱私愛護(hù)法、個(gè)人數(shù)據(jù)愛護(hù)法、信息網(wǎng)絡(luò)平安性法規(guī)、數(shù)字簽名認(rèn)證法、電子憑證(票據(jù))法、網(wǎng)上知識產(chǎn)權(quán)法等，預(yù)防和打擊計(jì)算機(jī)犯罪法規(guī)以完善我國的網(wǎng)絡(luò)信息平安法律體系，使電子政務(wù)信息平安管理走上法制化軌道。

3結(jié)束語

目前，我國在電子政務(wù)系統(tǒng)信息平安建設(shè)的研究主要集中在通過不同視角的網(wǎng)絡(luò)信息平安建設(shè)來確保涉密政務(wù)信息的完整性、保密性、不可否定性、可用性、可控性等，一方面我們要加強(qiáng)信息平安核心技術(shù)的研發(fā)，另一方面也要加強(qiáng)信息平安管理制度、法律法規(guī)方面的建立健全，以及包括政府工作人員在內(nèi)的多方努力，來共同確保電子政務(wù)系統(tǒng)的信息平安。

參考文獻(xiàn)：

【1】寧家駿.關(guān)于加強(qiáng)我國新時(shí)期電子政務(wù)信息平安保障體系建設(shè)的